DATENSCHUTZ
1
Musterdatenschutzerklärung für Websitebetreiber nach den
Vorgaben der DSGVO
A. Erläuterung zur Musterdatenschutzerklärung
Die folgende Musterdatenschutzerklärung ist als Grundgerüst für eine der EU-
Datenschutzgrundverordnung (DSGVO) konforme Datenschutzerklärung für
Websitebetreiber zu verstehen. Die Erklärung ist nicht abschließend und umfasst nicht alle
erforderlichen Elemente. Zudem können in der Mustererklärung Elemente enthalten sein,
die auf einzelnen Websites keinen Einsatz finden. Es ist daher stets eine entsprechende
Anpassung und Ergänzung der Erklärung durch den jeweiligen Websitebetreiber erforderlich.
Dieses Muster wurde von Professor Dr. Thomas Hoeren zusammen mit Mitarbeitern der
Forschungsstelle Recht des DFN-Vereins entwickelt (unter anderem Johannes Baur und
Charlotte Röttgen). Der Mustertext dient Ihnen als Vorschlag zur Umsetzung Ihrer eigenen
Datenschutzerklärung für Ihre Webseite. Es ist Ihnen gestattet, sich für diesen Zweck an
den Formulierungen dieses Mustertextes zu orientieren. Eine Nennung der Urheber dieses
Mustertextes ist für diesen Fall nicht erforderlich. Bitte beachten Sie jedoch, dass wir eine
Gewährleistung und Haftung für die Rechtmäßigkeit und Richtigkeit des Inhalts
ausdrücklich ausschließen und nachdrücklich vor einer unbedachten Übernahme des
Musters, das auf die konkreten Bedürfnisse des Einzelfalls immer angepasst werden muss,
warnen.
I. Fehlende Elemente der Musterdatenschutzerklärung
Es sei darauf hingewiesen, dass die im Folgenden aufgeführten Elemente nicht Teil unserer
Musterdatenschutzerklärung sind. Sofern ein Websitebetreiber ein oder mehrere der
beschriebenen Datenverarbeitungsszenarien auf seiner Website einsetzt, ist die Erklärung
hierauf entsprechend anzupassen. Dabei sind Art, Umfang, Zweck, Dauer und
Widerrufsmöglichkeiten der jeweiligen Datenverarbeitung im konkreten Einzelfall
anzugeben.
1. Newsletter-Tracking
Setzt die Website ein Newsletter-Tracking ein, so ist auf die damit einhergehende
Datenverarbeitung gesondert einzugehen. Eine Rechtfertigungsnorm für die
Datenverarbeitung wird in Art. 6 Abs. 1 lit. f DSGVO zu finden sein.Stand Mai 2018
2
2. Blog mit Kommentarfunktion
Beim Betrieb eines Blogs mit Kommentarfunktion werden zusätzliche personenbezogene
Daten (Beispiel: Pseudonyme) gespeichert. Dabei muss auch auf eine Möglichkeit,
Kommentare zu abonnieren, eingegangen werden. Das Kommentieren sollte nur nach
Einholung einer Einwilligung zur Verarbeitung der personenbezogenen Daten möglich sein.
In diesem Fall ist eine Rechtfertigung nach Art. 6 Abs. 1 lit. a DSGVO möglich.
3. Verarbeitung besonderer Kategorien personenbezogener Daten, Art. 9 DSGVO
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische
Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen oder die
Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten,
biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer
natürlichen Person sind grundsätzlich untersagt. Art. 9 Abs. 2 DSGVO enthält jedoch einen
Ausnahmekatalog. Sollten Websitebetreiber Daten dieser Art auf ihrer Website verarbeiten,
so ist vorweg eine Prüfung vorzunehmen. Die entsprechende Erlaubnisnorm ist dann in der
Datenschutzerklärung zu nennen.
4. E-Commerce
Bietet der Websitebetreiber den Nutzern eine Plattform für den Abschluss von Verträgen
(z.B. Kauf- oder Dienstverträge), so werden auch im Rahmen des Vertragsschlusses in aller
Regel personenbezogene Daten des Vertragspartners erhoben. Auf diese Datenverarbeitung
hat der Websitebetreiber gesondert und detailliert hinzuweisen. Soweit die Verarbeitung
der Daten für den Abschluss des Vertrages erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als
Erlaubnisnorm für die Datenverarbeitung.
5. Weitergabe personenbezogener Daten an Dritte
Eine Vielzahl von Websites nutzt Erweiterungen von Drittanbietern. Oftmals werden bei
solchen Implementierungen personenbezogene Daten an die Drittanbieter weitergegeben
oder automatisiert übermittelt. Art, Umfang, Zweck und Dauer dieser Verarbeitung von
personenbezogenen Daten können dabei im Einzelfall unterschiedlich ausgestaltet sein. Eine
umfassende Auflistung aller Situationen, in denen personenbezogene Daten an Dritte
weitergegeben werden, würde den Rahmen dieser Musterdatenschutzerklärung sprengen.
Der Websitebetreiber hat daher im Einzelfall zu prüfen, welche Dienste von Drittanbietern er
auf seiner Website in Anspruch nimmt und ob dabei eine Weitergabe von
personenbezogenen Daten erfolgt. Entsprechend hat er diese Datenverarbeitung in der
Datenschutzerklärung nach den Vorgaben (A.II.) aufzunehmen.Stand Mai 2018
24
(4) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder
historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1
DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die
Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft
beeinträchtigt, oder
(5) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
5. Recht auf Unterrichtung
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern,
denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese
Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es
sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand
verbunden.
Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger
unterrichtet zu werden.
6. Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem
Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und
maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht diese Daten einem
anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die
personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
(1) die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9
Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO beruht und
(2) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie
betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen
Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und
Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener
Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse
liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen
wurde.Stand Mai 2018
25
7. Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit
gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von
Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf
diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr,
es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die
Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu
betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie
betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies
gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie
betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der
Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht
mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen
verwendet werden.
Bei Datenverarbeitung zu wissenschaftlichen, historischen oder statistischen
Forschungszwecken:
Sie haben auch das Recht, aus Gründen, die sich aus Ihrer besonderen Situation
ergeben, bei der Verarbeitung Sie betreffender personenbezogener Daten, die zu
wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen
Zwecken gem. Art. 89 Abs. 1 DSGVO erfolgt, dieser zu widersprechen.
Ihr Widerspruchsrecht kann insoweit beschränkt werden, als es voraussichtlich die
Verwirklichung der Forschungs- oder Statistikzwecke unmöglich macht oder ernsthaft
beeinträchtigt und die Beschränkung für die Erfüllung der Forschungs- oder
Statistikzwecke notwendig ist.Stand Mai 2018
26
8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu
widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der
Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
9. Automatisierte Entscheidung im Einzelfall einschließlich Profiling
Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung –
einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen
gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
Dies gilt nicht, wenn die Entscheidung
(1) für den Abschluss oder die Erfüllung eines Vertrags zwischen Ihnen und dem
Verantwortlichen erforderlich ist,
(2) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der
Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene
Maßnahmen zur Wahrung Ihrer Rechte und Freiheiten sowie Ihrer berechtigten
Interessen enthalten oder
(3) mit Ihrer ausdrücklichen Einwilligung erfolgt.
Allerdings dürfen diese Entscheidungen nicht auf besonderen Kategorien
personenbezogener Daten nach Art. 9 Abs. 1 DSGVO beruhen, sofern nicht Art. 9 Abs. 2 lit. a
oder g DSGVO gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten
sowie Ihrer berechtigten Interessen getroffen wurden.
Hinsichtlich der in (1) und (3) genannten Fälle trifft der Verantwortliche angemessene
Maßnahmen, um die Rechte und Freiheiten sowie Ihre berechtigten Interessen zu wahren,
wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des
Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der
Entscheidung gehört.
10. Recht auf Beschwerde bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs
steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem
Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen
Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden
personenbezogenen Daten gegen die DSGVO verstößt.Stand Mai 2018
27
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den
Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der
Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.