DSGVO Datenschutzerklärung – was muss drin stehen?
Von einer Webdesignerin die seit 2001 in dieser Branche arbeitet – und die den Unterschied zwischen einer echten und einer kopierten Datenschutzerklärung auf den ersten Blick erkennt.
Die Datenschutzerklärung ist die am meisten kopierte Seite im österreichischen Internet. Jeder hat eine – aber die wenigsten wissen ob ihre wirklich stimmt.
Aus Deutschland kopiert. Vor fünf Jahren erstellt und seitdem nie angefasst. Aus einem Generator generiert ohne die Einstellungen anzupassen. Oder – am schlimmsten – einfach von einer anderen Website abgeschrieben.
All das ist ein Problem. Hier erkläre ich warum – und was eine Datenschutzerklärung wirklich enthalten muss.
Hinweis: Dieser Artikel informiert allgemein über DSGVO-Anforderungen in Österreich – er ersetzt keine Rechtsberatung. Bei konkreten Fragen: Datenschutzbehörde Österreich (dsb.gv.at) oder ein auf Datenschutz spezialisierter Rechtsanwalt.
Was ist die DSGVO – und warum gilt sie in Österreich?
DSGVO steht für Datenschutz-Grundverordnung – eine europäische Verordnung die seit 25. Mai 2018 in allen EU-Mitgliedsstaaten gilt. In Österreich ergänzt sie das Datenschutzgesetz (DSG).
Die DSGVO regelt wie mit personenbezogenen Daten (alle Informationen die einer bestimmten Person zugeordnet werden können – Name, E-Mail-Adresse, IP-Adresse, Standort, Fotos und vieles mehr) umgegangen werden darf.
Jede Website die personenbezogene Daten verarbeitet – und das tut fast jede – muss eine Datenschutzerklärung haben. Das ist keine Option. Das ist Pflicht.
Wann verarbeitet eine Website personenbezogene Daten?
Fast immer. Hier sind die häufigsten Beispiele:
- Kontaktformular – Name, E-Mail, Nachricht werden übermittelt
- Newsletter-Anmeldung – E-Mail-Adresse wird gespeichert
- Kommentarfunktion – Name und E-Mail des Kommentators
- Google Analytics – IP-Adressen und Surfverhalten werden an Google übermittelt
- Google Fonts – beim Laden werden IP-Adressen an Google übertragen
- YouTube-Videos eingebettet – YouTube setzt Cookies und erfährt wer das Video gesehen hat
- Webserver-Logfiles – jeder Serveraufruf speichert automatisch IP-Adressen
- Onlineshop – Name, Adresse, Zahlungsdaten
Selbst eine scheinbar "leere" Website ohne Formular verarbeitet Daten – durch die automatische Speicherung von IP-Adressen im Server-Protokoll (Logfile).
Was muss in der Datenschutzerklärung stehen – die Pflichtinhalte
1. Wer ist verantwortlich?
Name, Adresse und Kontaktdaten des Verantwortlichen – also der Person oder des Unternehmens das die Daten verarbeitet. Das ist in der Regel derselbe wie im Impressum.
Falls vorhanden: Name und Kontakt des Datenschutzbeauftragten (DSB) – eine Person die intern für Datenschutz zuständig ist. Für kleine Unternehmen in Österreich meist nicht verpflichtend – aber wenn vorhanden muss er genannt werden.
2. Welche Daten werden verarbeitet – und warum?
Für jeden Verarbeitungsvorgang muss erklärt werden:
- Welche Daten konkret gesammelt werden
- Zu welchem Zweck – warum braucht man diese Daten?
- Auf welcher Rechtsgrundlage – das ist der juristische Grund warum die Verarbeitung erlaubt ist. Die häufigsten sind:
- Einwilligung (der Nutzer hat aktiv zugestimmt)
- Vertragserfüllung (die Daten werden für die Abwicklung eines Auftrags benötigt)
- Rechtliche Verpflichtung (z.B. Buchhaltung)
- Berechtigtes Interesse (muss sorgfältig begründet werden)
3. Wie lange werden Daten gespeichert?
Jede Datenkategorie braucht eine konkrete Speicherdauer – oder zumindest die Kriterien nach denen sie festgelegt wird.
Beispiele:
- Kontaktanfragen: bis zur Erledigung des Anliegens – danach Löschung
- Buchhaltungsunterlagen: 7 Jahre (gesetzliche Aufbewahrungspflicht in Österreich)
- Newsletter-Abonnement: bis zur Abmeldung
- Server-Logfiles: meist 7 bis 14 Tage
4. Werden Daten weitergegeben – und an wen?
Jede Weitergabe an Dritte muss genannt werden:
- Hosting-Anbieter – der Server-Betreiber hat Zugriff auf die Daten
- Google (Analytics, Maps, Fonts, Ads) – falls verwendet
- Facebook/Meta (Pixel) – falls verwendet
- Newsletter-Dienste (Mailchimp, Brevo etc.) – falls verwendet
- Zahlungsdienstleister (PayPal, Stripe etc.) – falls verwendet
- Steuerberater – falls Kundendaten weitergegeben werden
Bei Diensten außerhalb der EU – also besonders US-amerikanische Anbieter wie Google, Facebook, Amazon – muss zusätzlich erklärt werden auf welcher Grundlage die Übermittlung in Drittländer erlaubt ist.
5. Rechte der betroffenen Personen
Die DSGVO gibt jedem Menschen Rechte über seine eigenen Daten. Diese Rechte müssen in der Datenschutzerklärung erklärt werden:
- Auskunftsrecht – jeder kann fragen welche Daten über ihn gespeichert sind
- Berichtigungsrecht – falsche Daten müssen korrigiert werden
- Löschungsrecht – das "Recht auf Vergessenwerden" – Daten müssen auf Antrag gelöscht werden wenn kein Grund mehr für die Speicherung besteht
- Einschränkungsrecht – die Verarbeitung kann unter bestimmten Umständen eingeschränkt werden
- Widerspruchsrecht – gegen bestimmte Verarbeitungen kann widersprochen werden
- Datenübertragbarkeit – Daten müssen in einem maschinenlesbaren Format herausgegeben werden können
- Widerruf der Einwilligung – eine erteilte Einwilligung kann jederzeit widerrufen werden
6. Beschwerderecht bei der Datenschutzbehörde
Jede Datenschutzerklärung muss darauf hinweisen dass das Recht besteht eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen.
In Österreich ist das die Datenschutzbehörde (DSB) – erreichbar unter dsb.gv.at.
7. Cookies und Tracking
Alle Cookies und Tracking-Technologien die auf der Website eingesetzt werden müssen erklärt werden – was sie sind, wozu sie dienen, wer sie setzt und wie man sie ablehnen kann.
Das gilt auch wenn man einen Cookie Banner hat – der Banner regelt die Einwilligung, die Datenschutzerklärung erklärt die Details.
Die häufigsten Fehler
Fehler 1: Aus Deutschland kopiert
Deutschland und Österreich haben unterschiedliche Datenschutzgesetze. Eine deutsche Datenschutzerklärung nennt die deutschen Behörden, zitiert deutsches Recht und passt nicht zu österreichischen Anforderungen. Immer österreichisch formulieren.
Fehler 2: Nie aktualisiert
Die Datenschutzerklärung muss aktuell sein. Wer einen neuen Dienst einbindet – Google Analytics, einen neuen Newsletter-Dienst, ein Kontaktformular – muss die Datenschutzerklärung sofort anpassen. Eine veraltete Erklärung ist eine fehlerhafte Erklärung.
Fehler 3: Generator-Text ohne Anpassung
Online-Generatoren für Datenschutzerklärungen sind hilfreich – aber nur als Ausgangspunkt. Wer alle Dienste nennt die der Generator anbietet ohne zu prüfen welche er wirklich nutzt erstellt eine unrichtige Datenschutzerklärung. Und eine falsche ist manchmal schlimmer als eine fehlende.
Fehler 4: Google Fonts vergessen
Google Fonts – die Schriftarten die viele Websites von Google laden – übertragen IP-Adressen. Das muss in der Datenschutzerklärung stehen. Oder – besser – Google Fonts lokal hosten und das Problem vermeiden.
Fehler 5: Speicherdauer fehlt
Sehr häufig: Die Daten werden erklärt – aber wie lange sie gespeichert werden steht nicht dabei. Das ist ein Pflichtinhalt. Ohne Speicherdauer ist die Datenschutzerklärung unvollständig.
Fehler 6: Rechtsgrundlage nicht genannt
Für jeden Verarbeitungsvorgang muss die Rechtsgrundlage nach DSGVO Art. 6 genannt werden. Viele Datenschutzerklärungen erklären was verarbeitet wird – aber nicht warum es erlaubt ist.
Fehler 7: Drittlandübermittlung nicht erklärt
Wer US-amerikanische Dienste nutzt – Google, Facebook, Mailchimp, Stripe – überträgt Daten in die USA. Das muss erklärt werden. Seit dem Schrems II Urteil des EuGH (Europäischen Gerichtshofs) ist das ein sensibles Thema das explizit adressiert werden muss.
Wann muss die Datenschutzerklärung aktualisiert werden?
- Wenn ein neuer Dienst eingebunden wird (Analytics, Newsletter, Kontaktformular)
- Wenn ein Dienst entfernt wird
- Wenn sich die Rechtslage ändert – das passiert öfter als man denkt
- Wenn sich der Hosting-Anbieter ändert
- Wenn sich Kontaktdaten oder Unternehmensangaben ändern
- Mindestens einmal pro Jahr prüfen ob alles noch aktuell ist
Datenschutzerklärung vs. Impressum vs. Cookie Banner
Diese drei werden oft verwechselt oder zusammengeworfen – sie sind aber drei verschiedene Dinge:
- Impressum – wer betreibt diese Website? Pflicht nach ECG und Mediengesetz.
- Datenschutzerklärung – wie werden personenbezogene Daten verarbeitet? Pflicht nach DSGVO.
- Cookie Banner – Einholung der Einwilligung für nicht notwendige Cookies. Pflicht wenn solche Cookies eingesetzt werden.
Alle drei sind eigenständige Pflichten. Keines ersetzt das andere.
Was passiert wenn die Datenschutzerklärung fehlt oder falsch ist?
- Bußgelder – bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes – wobei für kleine Unternehmen die Beträge in der Praxis deutlich niedriger sind
- Beschwerden bei der Datenschutzbehörde – die österreichische DSB ist aktiv und geht Beschwerden nach
- Abmahnungen – von Mitbewerbern oder Datenschutzorganisationen
- Vertrauensverlust – Kunden die eine fehlerhafte oder fehlende Datenschutzerklärung entdecken ziehen Schlüsse über die Seriosität des Unternehmens
Die ehrliche Empfehlung
Eine Datenschutzerklärung einmalig wirklich richtig erstellen – angepasst an die tatsächlich verwendeten Dienste, österreichisch formuliert, mit allen Pflichtinhalten.
Und dann: Regelmäßig prüfen. Immer wenn etwas an der Website geändert wird – neuer Dienst, neues Formular, neues Plugin – sofort auch die Datenschutzerklärung anpassen.
Wer das konsequent macht schläft ruhiger. Und hat bei einer Beschwerde bei der Datenschutzbehörde deutlich bessere Karten.
Hilfreiche österreichische Quellen:
- dsb.gv.at – Datenschutzbehörde Österreich
- wko.at – Wirtschaftskammer Österreich – Datenschutz für Unternehmen
- ris.bka.gv.at – Rechtsinformationssystem des Bundes – DSGVO und DSG im Original
Ich bin Petra Dippold – Webdesignerin aus Moosbrunn, in der Nähe von Wien, seit 2001 in dieser Branche. Jede Website die ich erstelle wird mit einer auf die tatsächlich verwendeten Dienste abgestimmten Datenschutzerklärung übergeben – als selbstverständlicher Teil der Arbeit. 😊
Dieser Artikel informiert allgemein und ersetzt keine Rechtsberatung. Verbindliche Auskunft: dsb.gv.at oder ein auf Datenschutz spezialisierter Rechtsanwalt.