Datenschutzerklärung
Erfahren Sie, warum eine transparente Datenschutzerklärung auf Ihrer Webseite unerlässlich ist und welche Informationen sie gemäß DSGVO enthalten muss. So stellen Sie sicher, dass Sie die rechtlichen Anforderungen erfüllen und das Vertrauen Ihrer Nutzer gewinnen.
Allgemeines
Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss gemäß Art. 13 und 14 DSGVO über die Art der erhobenen Daten, den Zweck und Umfang der Verarbeitung, die Übermittlung an Dritte, die Aufbewahrungsdauer und die Rechte der betroffenen Personen informieren. Diese Informationen sind zum Zeitpunkt der Datenerhebung bereitzustellen. Im stationären Geschäft kann dies direkt bei der Erfassung der Vertragsdaten oder über ein Infoblatt im Ladengeschäft geschehen. Im Onlinehandel oder in Apps ist dies nicht möglich. Hier muss eine Datenschutzerklärung auf der Webseite oder Downloadseite bereitgestellt werden, die für den Nutzer leicht auffindbar und jederzeit einsehbar ist. Der Link zur Erklärung sollte auf allen Seiten der Website sichtbar und deutlich als „Datenschutzerklärung“ oder „Datenschutzinformationen“ gekennzeichnet sein – nicht in den Allgemeinen Geschäftsbedingungen (AGB) versteckt.
Inhaltliche Anforderungen an eine Datenschutzerklärung
Eine Datenschutzerklärung dient dazu, den Umgang mit personenbezogenen Daten transparent zu gestalten und den Betroffenen über ihre Rechte und die Verarbeitung ihrer Daten zu informieren. Im Rahmen der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen verpflichtet, bestimmte Angaben zu machen.
Im Folgenden sind die wesentlichen inhaltlichen Anforderungen an eine Datenschutzerklärung gemäß der DSGVO aufgelistet.
Name und Kontaktdaten des Verantwortlichen sowie Kontaktdaten des Datenschutzbeauftragten
Die Datenschutzerklärung muss den Namen und die Kontaktdaten des Verantwortlichen für die Datenverarbeitung enthalten. Der Verantwortliche ist die natürliche oder juristische Person, die über die Verarbeitung der personenbezogenen Daten entscheidet.
Ist ein Datenschutzbeauftragter erforderlich (z.B. bei größeren Unternehmen oder spezifischen Tätigkeiten), sind auch dessen Kontaktdaten anzugeben.
Rechtsgrundlage und Zweck der Datenverarbeitung (Art. 6 DSGVO)
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten sowie die Zwecke, zu denen diese verarbeitet werden, müssen klar angegeben werden. Die häufigsten Rechtsgrundlagen für die Datenerhebung sind ein Vertrag, eine einzuholende Einwilligung oder ein berechtigtes Interesse der datenerhebenden Person.
Zu den Zweckerklärungen zählen beispielsweise die Verarbeitung von Namen und Kontaktdaten zur Bestellabwicklung, die Weiterleitung der Kundenadresse an den Paketdienst im Rahmen eines Onlineshops oder der Einsatz von Trackingtools wie Google Analytics.
Die betroffenen Personen sind darüber zu informieren, ob sie gesetzlich oder vertraglich zur Bereitstellung der personenbezogenen Daten verpflichtet sind und welche möglichen Folgen eine Nichtbereitstellung haben könnte. Ohne die Angabe von Daten, die für den Abschluss oder die Erfüllung eines Vertrags erforderlich sind (z. B. Name, Anschrift, Kontaktdaten), kann in der Regel kein Vertrag geschlossen oder erfüllt werden. Gegebenenfalls könnte dies auch zur Beendigung einer bestehenden Vertragsbeziehung führen.
Die Information sollte entsprechend angepasst und klar kommuniziert werden.
Vertragsverhältnisse
Die häufigste Rechtsgrundlage für Unternehmen, um Daten zu erheben, ist der Vertrag. Personenbezogene Daten können zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich sein (Art. 6 Abs. 1 lit. b DSGVO). Angaben wie der Name des Kunden oder seine Adresse sind z. B. notwendig, um im Rahmen eines Kaufvertrages die Ware zu liefern. Liegt ein Vertrag vor, muss nicht noch zusätzlich eine Einwilligung eingeholt werden. Verträge haben für die Dauer ihrer Laufzeit Bestand, Einwilligungen können jederzeit widerrufen werden.
Einwilligung
Die Verarbeitung personenbezogener Daten ist zulässig, wenn sie auf einer Einwilligung beruht (Art. 6 Abs. 1 lit. a DSGVO). Eine Einwilligung ist insbesondere beim Versand von E-Mail-Newslettern notwendig.
Dabei ist zu beachte, dass die Einwilligung folgende Voraussetzungen erfüllt:
- Eindeutige bestätigende Handlung: Der Nutzer muss also z. B. aktiv eine Check-Box anklicken; keine voreingestellten Check-Boxen.
- Informiertheit: Der Nutzer muss wissen, in welche Zwecke er einwilligt.
- Freiwilligkeit: Der Nutzer muss freiwillig einwilligen. Hier muss genau geschaut werden, ob die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
- Widerruflichkeit: Der Betroffene ist auf die Möglichkeit hinzuweisen, dass er jederzeit die Einwilligung mit Wirkung für die Zukunft widerrufen kann.
Beachte: Die Einwilligung ist zu dokumentieren.
Berechtigte Interessen
Das berechtigte Interesse nach Artikel 6 Abs. 1 lit. f DSGVO kann ebenfalls zulässige Rechtsgrundlage sein. Bei einem berechtigten Interesse ist abzuwägen, ob derjenige, dessen personenbezogenen Daten erhoben werden, weniger schutzwürdig ist als der Unternehmer, der diese Daten erhebt. Es muss im Rahmen der Datenschutzerklärung angegeben werden, wie diese Abwägung ausfällt. Dies ist beispielsweise der Fall bei einem Kontaktformular, das der Kunde im Online-Shop ausfüllt. Der Online-Händler hat ein berechtigtes Interesse an dessen E-Mail Adresse, um dem Kunden die angeforderten Informationen geben zu können. Zielt die Kontaktaufnahme auf einen Vertragsschluss ab, ist Art. 6 Abs. 1 lit. b DSGVO zusätzliche Rechtsgrundlage
Empfänger der Daten
Wenn eine Übermittlung personenbezogener Daten an Dritte vorgesehen ist, sollten die Empfänger angegeben werden. Alternativ können auch Datenkategorien genannt werden, wie etwa „Weitergabe an Newsletter-Agentur“, „Weitergabe an Versandunternehmen“ oder „Weitergabe an Bezahldienstleister“. Bei Versand- und Zahlungsdiensten kann die Datenübermittlung in der Regel auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden.
Es ist darauf hinzuweisen, dass die Weitergabe erfolgt, um die Bestellung oder die Zahlung zur Erfüllung des Vertrags abzuwickeln. Für den Versand eines Newsletters ist die Einwilligung der betroffenen Person erforderlich (Art. 6 Abs. 1 lit. a, Art. 7 DSGVO). Diese erfolgt üblicherweise im sogenannten Double-Opt-In-Verfahren, bei dem der Newsletter erst nach einer Bestätigung durch die betroffene Person versendet wird. Diese Bestätigung erfolgt über einen Link, der in einer E-Mail nach der Anmeldung bereitgestellt wird.
Datentransfer in Drittstaaten
Werden Daten in einen Staat außerhalb der EU oder an eine internationale Organisation übertragen, ist darüber stets zu informieren. Dabei ist auch die Rechtsgrundlage zu nennen, auf die sich der Unternehmer beruft (z. B. Vertragsschluss, Einwilligung, berechtigtes Interesse).
Die Übermittlung an Drittländer ist nur möglich, falls – neben einer Rechtsgrundlage, z.B. zur Durchführung eines Vertrags – sogenannte „Garantien“ bestehen, die ein der EU angemessenes Datenschutzniveau einhalten.
Die Übermittlung an Drittländer ist nur möglich, falls – neben einer Rechtsgrundlage, z.B. zur Durchführung eines Vertrags – sogenannte „Garantien“ bestehen, die ein der EU angemessenes Datenschutzniveau einhalten.
Dauer der Speicherung und Kriterien für die Festlegung der Dauer
Das Unternehmen ist verpflichtet, die Dauer der Datenspeicherung anzugeben. Dabei gilt der Grundsatz der Datenminimierung: Daten sind zu löschen, sobald sie nicht mehr benötigt werden. Handels- und steuerrechtliche Aufbewahrungsfristen, die bis zu zehn Jahre betragen können, sind dabei stets zu beachten. Ansonsten müssen Daten gelöscht werden, sobald sie für den Zweck, zu dem sie erhoben wurden, nicht mehr erforderlich sind. Dies ist in der jeweiligen Zweckbeschreibung der Datenerfassung zu vermerken, z. B. für Kontaktformulare, Logfiles, Registrierungen oder Newsletter.
Betroffenenrechte
Der Betroffene ist darüber aufzuklären, dass ihm ein Recht auf Auskunft, Berichtigung (soweit die verarbeiteten, personenbezogenen Daten nicht korrekt sind), Löschung, Einschränkung sowie Widerspruch der Verarbeitung (sollten die gesetzlichen Voraussetzungen vorliegen) zusteht. Wenn die Datenverarbeitung auf Einwilligung oder Vertrag beruht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, besteht ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Damit ist die Übermittlung der Daten zu einem neuen Anbieter gemeint (z.B. der Wechsel des Bankkontos, Stromanbieters, E-Mail-Providers, oder eines sozialen Netzwerks). Der Betroffene hat jederzeit das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn er sich in seinen Rechten nach der DSGVO verletzt sieht. Die Beschwerde kann insbesondere bei der Aufsichtsbehörde eingelegt werden, in deren Mitgliedstaat er seinen gewöhnlichen Aufenthalt hat.
Profiling
Profiling ist ein automatisierter Entscheidungsprozess und dient dazu, um die Interessen des Betroffenen, sein Verhalten und andere Eigenschaften (z.B. die Arbeitsleistung einer Person, oder ihre wirtschaftliche Lage, zu analysieren oder diese vorherzusagen. Beim Profiling oder einer anderen automatisierten Entscheidungsfindung (sofern eingesetzt) sind aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person zur Verfügung zu stellen.
Herkunft der Daten
Werden die Daten nicht direkt beim Kunden erhoben, sondern stammen von einem Dritten (bspw. eine Agentur, Adresshändler), muss die Quelle angegeben werden (vgl. Art. 14 Abs. 2 (f) DSGVO).
Datenerhebungen durch den Besuch der Webseite
Auf einer Webseite eines Unternehmens werden in der Regel personenbezogene Daten durch eigene Funktionen oder durch Drittanbieter erhoben. Dazu gehören in der Regel grob gesagt: Daten über das Surfverhalten wie Suchanfragen und Browserverlauf, die IP Adresse, E-Mail-Adressen etc.
Über folgende technischen Einrichtungen können Nutzerdaten erhoben werden:
Log-Dateien
Log-Dateien protokollieren die Aktivitäten der Seitenbesucher. Dadurch können unter anderem Fehler aufgespürt und beseitigt werden. Die Daten dienen zur Sicherstellung der Sicherheit des IT-Systems (z. B. Angriffserkennung). Für Marketingzwecke dürfen diese Daten nicht verwendet werden. Die Log-Dateien speichern unter anderem die folgenden personenbezogenen Daten: Datum und Uhrzeit zum Zeitpunkt des Seitenzugriffs, die URL der besuchten Website, die Menge der übertragenen Daten in Byte etc. Rechtsgrundlage für die Verarbeitung dieser Daten ist Art. 6 Abs. 1 lit. f DSGVO.
Berechtigte Interessen können die statistische Auswertung der Seitenbesuche sowie die Sicherheit und Funktionsfähigkeit der Website sein.
Berechtigte Interessen können die statistische Auswertung der Seitenbesuche sowie die Sicherheit und Funktionsfähigkeit der Website sein.
Cookies
Cookies sind kleine Textdateien, die auf dem Rechner eines Nutzers gespeichert werden, um Funktionen bereitzustellen und Inhalte zu personalisieren. Da Cookies personenbezogene Daten wie IP-Adressen verarbeiten können, ist eine Rechtsgrundlage erforderlich. Die Datenschutzerklärung muss über Funktion, Speicherdauer und die Möglichkeit informieren, das Speichern durch Browser-Einstellungen zu verhindern, was jedoch eingeschränkte Funktionen bedeuten kann. Technisch notwendige Cookies, wie Session-Cookies, basieren auf berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Social-Plugins sozialer Netzwerke
Viele Webseitenbetreiber verwenden Plugins sozialer Netzwerk wie Facebook, Google+ u. ä., die z. B. in Form eines „Gefällt mir“ auf der Seite installiert werden können. Problematisch an diesen Plugins ist, dass bereits mit Aufruf der Internetseite eine Verbindung mit den Servern des jeweiligen Netzwerks hergestellt und die IP-Adresse des Besuchers übermittelt wird. Dies gilt unabhängig davon, ob die Person bei dem sozialen Netzwerk eingeloggt bzw. registriert ist.
Solche Plugins sind datenschutzwidrig. Ratsam ist es, das Plugin zunächst nur als bloße Grafik ohne aktive Funktion auf der Seite anzuzeigen. Erst durch Anklicken wird dann das eigentliche Plugin aktiviert und die Verbindung zu den Servern hergestellt. Auf diese Weise muss der Besucher aktiv einwilligen, bevor seine Daten an das Netzwerk weitergeleitet werden
(sog. 2-Klick oder Shariff-Lösung).
Solche Plugins sind datenschutzwidrig. Ratsam ist es, das Plugin zunächst nur als bloße Grafik ohne aktive Funktion auf der Seite anzuzeigen. Erst durch Anklicken wird dann das eigentliche Plugin aktiviert und die Verbindung zu den Servern hergestellt. Auf diese Weise muss der Besucher aktiv einwilligen, bevor seine Daten an das Netzwerk weitergeleitet werden
(sog. 2-Klick oder Shariff-Lösung).
Newsletter
Viele Unternehmen nutzen Newsletter zu Werbezwecken, wofür die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich ist. Das Double-Opt-In-Verfahren dient dabei als Nachweis: Der Empfänger meldet sich an, erhält eine Bestätigungs-Mail mit einem Link und gibt erst durch dessen Aktivierung seine Zustimmung. Ohne ausdrückliche Einwilligung gilt E-Mail-Werbung nach Wettbewerbsrecht als unzulässig und kann abgemahnt werden.
Kontaktformular
Unternehmen bieten Ihren Kunden oft an, durch ein Formular mit dem Unternehmen in Kontakt zu treten. Dabei werden personenbezogene Daten gespeichert. Rechtsgrundlage dafür ist das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Zielt der Kontakt zum Abschluss eines Vertrages ab, so ist Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO. Die Daten dürfen nur solange gespeichert werden, wie dies für die Bearbeitung der Anfrage notwendig ist. Die Übermittlung des Kontaktformulars sollte über eine angemessene verschlüsselte Verbindung (SSL-Protokoll) erfolgen (ein unverschlüsseltes Kontaktformular kann abgemahnt werden).
Registrierung auf der Webseite
Besteht auf der Internetseite die Möglichkeit, sich unter Angabe personenbezogener Daten zu registrieren, muss der Kunde darüber informiert werden, was mit seinen angegeben Daten passiert. Im Rahmen des Registrierungsprozess wird folgendes erhoben: Nutzername und Passwort, E-Mail, Anschrift, IP-Adresse des Nutzers, Datum und Uhrzeit des Logins. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen.
Externe Schriften und Dateien wie Google Fonts oder Google Maps
Auf vielen Webseiten werden externe Schriftarten wie Google Fonts genutzt. Dabei wird eine Verbindung zu den Servern von Google in den USA aufgebaut, wodurch Browser- und Gerätedaten sowie die IP-Adresse des Nutzers übertragen werden. Um DSGVO-konform zu handeln, sollten die Schriftarten lokal auf dem Webserver gespeichert und von dort verwendet werden, um den Datenaustausch mit externen Servern zu vermeiden. Als Rechtsgrundlage ist in der Datenschutzerklärung das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO anzugeben.
Leitfaden und Checkliste
Über unseren Leitfaden (nicht barrierefrei, PDF-Datei · 51 KB) sowie über unsere Checkliste (nicht barrierefrei, PDF-Datei · 398 KB) können Sie überprüfen, ob Sie alle notwendigen Angaben veröffentlicht haben.
Stand: Juli 2025
Die Informationen und Auskünfte der IHK Schwaben enthalten nur erste Hinweise und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für ihre inhaltliche Richtigkeit nicht übernommen werden. Sie können eine Beratung im Einzelfall (z. B. durch einen Rechtsanwalt, Steuerberater, Unternehmensberater etc.) nicht ersetzen.