CompliantDesk

DSGVO für den Mittelstand

Datenschutzerklärung für Websites

DSGVOArt. 13 & 14 DSGVO

Jede Website, die personenbezogene Daten verarbeitet, braucht eine Datenschutzerklärung. Art. 13 und 14 DSGVO legen genau fest, worüber Sie betroffene Personen informieren müssen.

Worum geht es?

Die DSGVO verpflichtet Verantwortliche, betroffene Personen transparent über die Verarbeitung ihrer Daten zu informieren. Werden die Daten direkt bei der Person erhoben - etwa über ein Kontaktformular oder Analyse-Tools auf der Website - greift Art. 13 DSGVO; stammen sie aus anderen Quellen, gilt Art. 14 DSGVO. Die Informationspflicht umfasst unter anderem Identität des Verantwortlichen, Zwecke und Rechtsgrundlagen, Empfänger, Speicherdauer und die Rechte der Betroffenen. Die Datenschutzerklärung ist für viele Unternehmen der erste konkrete Berührungspunkt mit der DSGVO und gleichzeitig öffentlich einsehbar - Fehler fallen hier besonders schnell auf, etwa durch Wettbewerber oder Abmahnungen.

Das müssen Sie konkret tun

  • Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten
  • Zwecke der Verarbeitung und zugehörige Rechtsgrundlagen
  • Empfänger oder Kategorien von Empfängern, inklusive Auftragsverarbeiter
  • Speicherdauer beziehungsweise Kriterien für deren Festlegung
  • Hinweis auf Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde
  • Angaben zu Drittlandtransfers, sofern Daten außerhalb der EU verarbeitet werden

So setzen Sie es mit CompliantDesk um

  • Die in der Datenschutzerklärung genannten Verarbeitungen mit den Einträgen im VVT-Modul abgleichen
  • Eingesetzte Dienstleister aus dem Lieferanten-Modul vollständig als Empfänger aufführen
  • Die Erklärung als versioniertes Dokument pflegen und Änderungen nachvollziehbar halten
  • Aktualisierungstermine nach Tool- oder Prozessänderungen über das Kalender-Modul anstoßen
  • Konsistenz zwischen Cookie-Consent, VVT und Datenschutzerklärung sicherstellen

Typische Fehler

Eine generische Vorlage übernehmen, die nicht zu den real eingesetzten Tools passt
Neue Dienste einsetzen, ohne die Datenschutzerklärung anzupassen
Drittlandtransfers verschweigen, obwohl Tools außerhalb der EU verarbeiten
Betroffenenrechte oder das Beschwerderecht unvollständig darstellen

Häufig gestellte Fragen

Was muss in einer Datenschutzerklärung stehen?

Mindestens die Identität des Verantwortlichen, Zwecke und Rechtsgrundlagen der Verarbeitung, Empfänger, Speicherdauer, die Betroffenenrechte und das Beschwerderecht. Bei Verarbeitung außerhalb der EU sind zusätzlich Angaben zu Drittlandtransfers nötig.

Muss die Datenschutzerklärung aktualisiert werden?

Ja. Sobald sich Verarbeitungen ändern, etwa durch neue Tools, Dienstleister oder Zwecke, muss die Datenschutzerklärung angepasst werden. Eine veraltete Erklärung erfüllt die Informationspflicht nicht.

Datenschutz nachweisbar im Griff

CompliantDesk führt VVT, TOM, AVV, Löschkonzept und Datenpannen in einem Datenschutz-Managementsystem zusammen - dokumentiert, versioniert und prüfungsfest.

Demo buchen Alle DSGVO-Themen