Die Datenschutzerklärung ist ein gesetzlich vorgeschriebenes Dokument auf einer Website, das Besucher darüber informiert, welche personenbezogenen Daten erhoben, verarbeitet und gespeichert werden.
Was bedeutet das?
In Deutschland und der gesamten Europäischen Union verpflichtet die Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 gilt, jeden Website-Betreiber zur Bereitstellung einer Datenschutzerklärung. Als personenbezogene Daten gelten bereits IP-Adressen, die beim Aufruf einer Website automatisch im Webserver-Log gespeichert werden. Damit ist praktisch jede öffentlich zugängliche Website betroffen, unabhängig davon, ob sie ein Kontaktformular oder andere interaktive Elemente enthält.
Inhaltlich verlangt die DSGVO in den Artikeln 13 und 14 unter anderem folgende Angaben: Name und Kontaktdaten der verantwortlichen Person oder Organisation, Zwecke und Rechtsgrundlagen der Datenverarbeitung (z. B. Art. 6 Abs. 1 lit. b für vorvertragliche Maßnahmen oder lit. f für berechtigte Interessen), Empfänger der Daten (etwa externe Dienstleister), Speicherdauer sowie die Rechte betroffener Personen auf Auskunft, Berichtigung, Löschung und Widerspruch. Jeder eingesetzte Drittdienst, der Daten verarbeitet, muss separat aufgeführt werden: Google Analytics, Kontaktformular-Plugins, Newsletter-Dienste, eingebettete YouTube-Videos oder Google-Maps-Karten.
WordPress bietet seit Version 4.9.6 (erschienen am 17. Mai 2018, kurz vor dem DSGVO-Stichtag) einen integrierten Datenschutz-Assistenten unter Einstellungen > Datenschutz. Der Assistent erstellt eine Musterseite für die Datenschutzerklärung und sammelt automatisch Datenschutzhinweise installierter Plugins ein. Plugins wie Akismet oder Jetpack liefern eigene Textbausteine, die in die generierte Seite eingebettet werden. Der erzeugte Text bietet einen Ausgangspunkt; er sollte jedoch durch einen rechtlichen Fachmann oder einen Datenschutztextgenerator auf Vollständigkeit und Rechtssicherheit für den konkreten Anwendungsfall geprüft werden.
Beispiel aus der Praxis
Sie betreiben eine WordPress-Website mit einem Kontaktformular. Das Formular übermittelt Name und E-Mail-Adresse an Ihren Server und speichert die Anfrage in der Datenbank. In Ihrer Datenschutzerklärung erläutern Sie: welche Daten das Formular erfasst, zu welchem Zweck (Bearbeitung der Anfrage), auf welcher Rechtsgrundlage (Art. 6 Abs. 1 lit. b DSGVO), wie lange die Daten gespeichert bleiben und an wen sie weitergegeben werden, etwa an Ihren E-Mail-Anbieter. Fehlt dieser Abschnitt, riskieren Sie eine kostenpflichtige Abmahnung durch Mitbewerber oder Verbraucherschutzverbände.
Tipp aus der Praxis
Eine einmal erstellte Datenschutzerklärung veraltet schnell: Jedes neu installierte Plugin, das Nutzerdaten verarbeitet, macht eine Aktualisierung notwendig. Richten Sie sich eine Erinnerung ein, die Erklärung nach jeder wesentlichen Änderung an Ihrer Website zu überprüfen. Platzieren Sie die Datenschutzerklärung unbedingt im Footer jeder Seite; eine schwer auffindbare Erklärung gilt als unzureichend. Wenn Ihre Website ein SSL-Zertifikat nutzt (was sie in jedem Fall tun sollte), stellen Sie sicher, dass die Datenschutzseite ausschließlich über HTTPS erreichbar ist und keine gemischten HTTP-Inhalte lädt.