Eine Datenschutzerklärung ist ein zentraler Bestandteil eines datenschutzkonformen Webauftritts. Sie informiert Besucher darüber, welche personenbezogenen Daten auf einer Webseite verarbeitet werden, zu welchen Zwecken dies geschieht, welche Rechtsgrundlagen herangezogen werden, welche Dienstleister eingebunden sind und welche Rechte betroffene Personen haben.
Doch eine einmal erstellte Datenschutzerklärung reicht in der Praxis häufig nicht dauerhaft aus. Webseiten ändern sich regelmäßig. Neue Plugins, Kontaktformulare, Newsletter-Dienste, Analyse-Tools, Kartendienste, Videos, Bewerbungsformulare oder Zahlungsanbieter können neue Datenverarbeitungen auslösen. Auch organisatorische Änderungen im Unternehmen können dazu führen, dass Datenschutzhinweise angepasst werden müssen.
MUNAS Consulting unterstützt Unternehmen, Praxen, Vereine, Einrichtungen und Organisationen bei der Prüfung von Datenschutzerklärungen, Webseiten, Formularen und datenschutzrelevanten digitalen Diensten.
Warum ist die Prüfung von Datenschutzerklärungen wichtig?
Die Datenschutz-Grundverordnung verlangt, dass betroffene Personen transparent über die Verarbeitung ihrer personenbezogenen Daten informiert werden. Diese Informationen müssen verständlich, leicht zugänglich und in klarer Sprache bereitgestellt werden.
Für Webseiten bedeutet das: Die Datenschutzerklärung muss zur tatsächlichen Datenverarbeitung passen. Es genügt nicht, einen allgemeinen Mustertext einzubinden, wenn auf der Webseite konkrete Dienste, Formulare oder Trackingtechnologien eingesetzt werden, die dort nicht zutreffend beschrieben sind.
Eine veraltete oder unvollständige Datenschutzerklärung kann verschiedene Risiken auslösen:
- unzureichende Erfüllung von Informationspflichten,
- Beschwerden betroffener Personen,
- Rückfragen von Datenschutzaufsichtsbehörden,
- Abmahnrisiken im Zusammenhang mit unklaren Pflichtinformationen,
- Vertrauensverlust bei Kunden, Bewerbern oder Geschäftspartnern,
- zusätzlicher Aufwand bei späteren Korrekturen.
Eine regelmäßige Prüfung hilft dabei, solche Schwachstellen frühzeitig zu erkennen und die Datenschutzerklärung an die tatsächlichen Verarbeitungen anzupassen.
Datenschutzerklärung ist nicht gleich Datenschutzdokumentation
Wichtig ist die Unterscheidung zwischen der Datenschutzerklärung auf der Webseite und der internen Datenschutzdokumentation.
Die Datenschutzerklärung richtet sich an Webseitenbesucher und andere betroffene Personen. Sie soll verständlich erklären, welche Daten verarbeitet werden und welche Rechte bestehen.
Die interne Datenschutzdokumentation umfasst dagegen weitere Unterlagen, etwa:
- Verzeichnis von Verarbeitungstätigkeiten,
- Auftragsverarbeitungsverträge,
- technische und organisatorische Maßnahmen,
- Löschfristen,
- Berechtigungskonzepte,
- Datenschutzrichtlinien,
- Dokumentation von Datenschutzvorfällen,
- Prozesse für Betroffenenanfragen.
Eine gute Datenschutzerklärung setzt voraus, dass die tatsächlichen Datenverarbeitungen bekannt sind. Deshalb sollte die Prüfung der Datenschutzerklärung immer mit einem Blick auf die Webseite, die eingesetzten Dienste und die internen Prozesse verbunden werden.
Welche Inhalte sollten überprüft werden?
Bei der Prüfung einer Datenschutzerklärung sollte nicht nur der Text selbst betrachtet werden. Entscheidend ist, ob der Text die tatsächlichen Verarbeitungsvorgänge zutreffend und verständlich beschreibt.
Verantwortlicher und Kontaktdaten
Die Datenschutzerklärung muss erkennen lassen, wer für die Verarbeitung personenbezogener Daten verantwortlich ist. Dazu gehören insbesondere Name oder Unternehmensbezeichnung, Anschrift und geeignete Kontaktmöglichkeiten.
Wenn ein Datenschutzbeauftragter benannt wurde, müssen auch die entsprechenden Kontaktdaten beziehungsweise die Erreichbarkeit angegeben werden.
Zwecke und Rechtsgrundlagen
Für jede Verarbeitung personenbezogener Daten muss geprüft werden, zu welchem Zweck sie erfolgt und auf welche Rechtsgrundlage sie gestützt wird. Je nach Verarbeitung kommen beispielsweise Vertragserfüllung, rechtliche Verpflichtung, Einwilligung oder berechtigte Interessen in Betracht.
Typische Verarbeitungssituationen auf Webseiten sind:
- Aufruf der Webseite und Server-Logfiles,
- Kontaktformular,
- E-Mail-Kontakt,
- Newsletter-Anmeldung,
- Bewerbungsformular,
- Terminbuchung,
- Kundenkonto,
- Online-Shop,
- Zahlungsabwicklung,
- Webanalyse,
- Marketing-Tools,
- eingebundene externe Inhalte.
Die Rechtsgrundlagen sollten nicht pauschal genannt werden, sondern nachvollziehbar zur jeweiligen Verarbeitung passen.
Verarbeitete Daten
Die Datenschutzerklärung sollte verständlich beschreiben, welche Kategorien personenbezogener Daten verarbeitet werden. Dazu können je nach Webseite und Unternehmen gehören:
- Name,
- Anschrift,
- E-Mail-Adresse,
- Telefonnummer,
- IP-Adresse,
- Nutzungsdaten,
- Vertragsdaten,
- Zahlungsdaten,
- Bewerbungsunterlagen,
- Inhaltsdaten aus Formularen,
- technische Geräte- und Browserinformationen.
Nicht jede Webseite verarbeitet dieselben Daten. Deshalb sollte die Datenschutzerklärung individuell zur tatsächlichen Webseite passen.
Empfänger und Dienstleister
Viele Webseiten nutzen externe Dienstleister oder eingebundene Dienste. Diese müssen datenschutzrechtlich eingeordnet und in der Datenschutzerklärung zutreffend beschrieben werden.
Typische Beispiele sind:
- Webhosting,
- Kontaktformular-Plugins,
- Newsletter-Dienste,
- Analyse-Tools,
- Cookie-Banner-Dienste,
- Zahlungsanbieter,
- Kartendienste,
- Videoplattformen,
- Social-Media-Einbindungen,
- Terminbuchungstools,
- Bewerbungsportale,
- Cloud-Dienste.
Dabei ist auch zu prüfen, ob ein Vertrag zur Auftragsverarbeitung erforderlich ist oder ob ein Anbieter als eigener Verantwortlicher tätig wird.
Speicherdauer und Löschfristen
Betroffene Personen sollen nachvollziehen können, wie lange ihre Daten gespeichert werden oder nach welchen Kriterien sich die Speicherdauer bestimmt. Allgemeine Formulierungen sind häufig nicht ausreichend hilfreich, wenn konkrete Speicherfristen oder Löschkriterien bekannt sind.
Bei der Prüfung der Datenschutzerklärung sollte daher betrachtet werden, ob Angaben zu Speicherdauer und Löschung plausibel, verständlich und mit den internen Löschprozessen abgestimmt sind.
Betroffenenrechte
Die Datenschutzerklärung sollte die Rechte betroffener Personen verständlich darstellen. Dazu gehören insbesondere Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie der Widerruf erteilter Einwilligungen.
Zusätzlich sollte beschrieben werden, wie betroffene Personen ihre Rechte geltend machen können und welche Beschwerdemöglichkeit bei einer Datenschutzaufsichtsbehörde besteht.
Cookies, Tracking und Einwilligungen
Ein besonders prüfungsrelevanter Bereich sind Cookies, Trackingtechnologien und vergleichbare Zugriffe auf Endgeräte. Hier reicht es nicht aus, nur allgemeine Hinweise aufzunehmen. Entscheidend ist, welche Dienste tatsächlich eingesetzt werden, ob eine Einwilligung erforderlich ist und ob der Cookie-Banner zur Datenschutzerklärung passt.
Zu prüfen sind insbesondere:
- welche Cookies und vergleichbaren Technologien eingesetzt werden,
- welche Dienste technisch erforderlich sind,
- welche Dienste einwilligungsbedürftig sind,
- ob der Cookie-Banner die tatsächlichen Dienste korrekt abbildet,
- ob Einwilligungen dokumentiert und widerrufen werden können,
- ob Datenschutzerklärung und Cookie-Banner widerspruchsfrei sind.
Gerade bei Webseiten entstehen hier häufig Abweichungen zwischen Technik, Cookie-Banner und Datenschutzerklärung.
Technische Änderungen berücksichtigen
Webseiten entwickeln sich ständig weiter. Neue Funktionen werden ergänzt, Plugins installiert, Trackingdienste eingebunden oder Formulare verändert. Häufig werden solche Änderungen technisch umgesetzt, ohne dass die Datenschutzerklärung anschließend angepasst wird.
Eine Prüfung sollte daher insbesondere erfolgen bei:
- Website-Relaunch,
- Einbindung neuer Plugins,
- Einführung eines neuen Cookie-Banners,
- Nutzung neuer Analyse-Tools,
- Einbindung von Karten oder Videos,
- Ergänzung eines Kontaktformulars,
- Einführung eines Bewerbungsformulars,
- Newsletter-Start,
- Einrichtung eines Online-Shops,
- Integration von Zahlungsdiensten,
- Einführung von Terminbuchungstools.
So lässt sich verhindern, dass die Datenschutzerklärung hinter der tatsächlichen Webseite zurückbleibt.
Häufige Fehler bei Datenschutzerklärungen
Im Rahmen von Datenschutzprüfungen zeigen sich immer wieder ähnliche Schwachstellen. Dazu gehören beispielsweise:
- veraltete Formulierungen,
- unvollständige Angaben zu eingesetzten Diensten,
- fehlende Hinweise zu Drittanbietern,
- unklare Rechtsgrundlagen,
- fehlende Angaben zu Speicherdauern,
- veraltete Kontaktdaten,
- nicht genannte Kontaktformulare,
- nicht berücksichtigte Bewerbungsprozesse,
- fehlende Hinweise zu Newsletter-Diensten,
- Widersprüche zwischen Cookie-Banner und Datenschutzerklärung,
- unklare Angaben zu Betroffenenrechten,
- nicht dokumentierte neue Datenverarbeitungen.
Viele dieser Fehler entstehen nicht durch Absicht, sondern durch laufende technische Änderungen an der Webseite.
Wie oft sollte eine Datenschutzerklärung geprüft werden?
Eine starre gesetzliche Jahresfrist für die Prüfung einer Datenschutzerklärung gibt es nicht. Sinnvoll ist jedoch eine regelmäßige Überprüfung und zusätzlich eine Prüfung bei relevanten Änderungen.
Eine Prüfung empfiehlt sich insbesondere:
- nach einem Website-Relaunch,
- bei Einführung neuer Software,
- bei Integration neuer Online-Dienste,
- bei Änderungen interner Prozesse,
- bei neuen Kontakt- oder Bewerbungsformularen,
- bei Einbindung neuer Tracking- oder Marketingdienste,
- bei Änderungen am Cookie-Banner,
- bei neuen Zahlungs- oder Buchungssystemen,
- bei rechtlichen Änderungen,
- vor größeren Online-Marketingkampagnen.
So bleibt die Datenschutzerklärung näher an der tatsächlichen Verarbeitungspraxis.
Vorteile einer professionellen Prüfung
Viele Unternehmen nutzen Mustertexte oder Generatoren für Datenschutzerklärungen. Diese können eine erste Grundlage bieten, ersetzen aber keine Prüfung der konkreten Webseite und der tatsächlichen Verarbeitungsvorgänge.
Eine professionelle Prüfung bietet mehrere Vorteile:
- Abgleich zwischen Webseite und Datenschutzerklärung,
- Prüfung eingesetzter Dienste und Tools,
- Einordnung von Rechtsgrundlagen,
- Prüfung von Informationspflichten,
- Abgleich mit Cookie-Banner und Einwilligungsmanagement,
- Identifikation fehlender oder veralteter Angaben,
- konkrete Handlungsempfehlungen,
- bessere Nachvollziehbarkeit der Datenverarbeitung.
MUNAS Consulting prüft Datenschutzerklärungen nicht isoliert, sondern im Zusammenhang mit Webseite, Formularen, Cookie-Banner, Dienstleistern und interner Datenschutzorganisation.
Die Rolle der internen Prozesse
Eine Datenschutzerklärung kann nur dann zutreffend sein, wenn die tatsächlichen Datenverarbeitungen bekannt sind. Deshalb sollten interne Ansprechpartner aus relevanten Bereichen eingebunden werden.
Dazu gehören je nach Unternehmen insbesondere:
- Geschäftsführung,
- IT,
- Marketing,
- Personalbereich,
- Vertrieb,
- Kundenservice,
- Webagentur,
- externe Dienstleister,
- Datenschutzbeauftragter oder Datenschutzansprechpartner.
Wenn beispielsweise Marketing ein neues Trackingtool nutzt, Personal ein Bewerbungsformular einführt oder die Webagentur externe Dienste einbindet, kann dies Auswirkungen auf Datenschutzerklärung, Cookie-Banner und Auftragsverarbeitung haben.
Prüfung von Datenschutzerklärungen als Teil der Webseitenprüfung
Die Datenschutzerklärung ist ein wichtiger Bestandteil einer datenschutzkonformen Webseite. Sie sollte daher nicht losgelöst von Impressum, Cookie-Banner, Formularen, Trackingdiensten und eingebundenen Drittanbietern betrachtet werden.
Eine Prüfung datenschutzkonformer Webseiten hilft dabei, die Datenschutzerklärung mit der tatsächlichen Webseite abzugleichen und typische Risiken zu erkennen.
Wichtige Prüfpunkte sind:
- Datenschutzerklärung,
- Impressum,
- Cookie-Banner,
- Kontaktformulare,
- Bewerbungsformulare,
- Newsletter-Anmeldungen,
- Webtracking,
- externe Schriftarten,
- Kartendienste,
- Videodienste,
- Social-Media-Einbindungen,
- Zahlungsanbieter,
- Terminbuchungstools,
- Auftragsverarbeitung.
Datenschutz als kontinuierlicher Prozess
Datenschutz ist keine einmalige Aufgabe. Webseiten, Dienste und interne Prozesse verändern sich regelmäßig. Deshalb sollten Unternehmen feste Abläufe etablieren, damit Änderungen frühzeitig erkannt und datenschutzrechtlich bewertet werden.
Dazu gehören beispielsweise:
- regelmäßige Datenschutzprüfungen,
- Dokumentation neuer Verarbeitungstätigkeiten,
- Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten,
- Prüfung eingesetzter Dienstleister,
- Abstimmung mit Webagentur und Marketing,
- Sensibilisierung der Mitarbeiter,
- Aktualisierung von Datenschutzhinweisen und Cookie-Banner.
So bleibt die Datenschutzerklärung Teil eines funktionierenden Datenschutzmanagements und nicht nur ein statischer Text auf der Webseite.
Fazit
Die Prüfung von Datenschutzerklärungen ist ein wichtiger Bestandteil eines funktionierenden Datenschutzmanagements. Sie hilft Unternehmen, Praxen, Vereinen, Einrichtungen und Organisationen dabei, Informationspflichten nachvollziehbar umzusetzen und die tatsächlichen Datenverarbeitungen transparent darzustellen.
Regelmäßige Überprüfungen sind besonders wichtig, wenn Webseiten technisch geändert, neue Dienste eingebunden oder interne Prozesse angepasst werden. Entscheidend ist, dass Datenschutzerklärung, Cookie-Banner, Formulare, Dienstleister und interne Datenschutzdokumentation zusammenpassen.
MUNAS Consulting unterstützt bei der Prüfung von Datenschutzerklärungen, Webseiten, Cookie-Bannern, Formularen und digitalen Diensten. So entsteht eine Datenschutzinformation, die nicht nur vorhanden ist, sondern zur tatsächlichen Verarbeitungspraxis passt.
SEO-Titel
Prüfung von Datenschutzerklärungen für Webseiten
Alternative mit Marke:
Datenschutzerklärung prüfen lassen mit MUNAS Consulting
Meta-Beschreibung
MUNAS Consulting prüft Datenschutzerklärungen, Cookie-Banner, Kontaktformulare, Webseiten-Dienste und Informationspflichten nach DSGVO.
Alternative etwas natürlicher:
Datenschutzerklärung prüfen lassen: MUNAS Consulting unterstützt bei DSGVO, Cookie-Banner, Formularen und datenschutzkonformen Webseiten.
