blueredix logo
SCAN Schwachstellenscans auf Abruf ab 149 €
medium gdpr-privacy-policy-missing

Datenschutzerklärung fehlt

DSGVO Art. 13/14 verpflichten jede Webseite zur Veröffentlichung einer Datenschutzerklärung. Fehlende Erklärungen sind ein leichtes Ziel für Behörden wie für Mitbewerber.

Worum es geht

Der Scanner hat keine deutlich gekennzeichnete Datenschutzseite gefunden, die von Ihrer Startseite verlinkt ist. Wir suchen nach “Datenschutz”, “Datenschutzerklärung”, “Privacy”, “Privacy policy” oder “Privacy notice” im Linktext und im URL-Slug. DSGVO Art. 13 und 14 verpflichten jeden Verantwortlichen, Betroffene über erhobene Daten, Zwecke, Rechtsgrundlagen, Empfänger und Rechte zu informieren. Auf einer Webseite wird das üblicherweise mit einer aus dem Footer verlinkten Datenschutzerklärung umgesetzt.

Warum das wichtig ist

Zwei Durchsetzungs-Kanäle halten die Pflicht lebendig.

Aufsichtsbehörden (LfDI auf Landesebene, BfDI auf Bundesebene) werten eine fehlende Datenschutzerklärung als per-se Verstoß gegen Art. 13. Eine “aber meine Seite erhebt eigentlich nichts”- Ausnahme gibt es nicht. Server-Logs, Kontaktformulare und die IP-basierte Auslieferung jedes statischen Assets sind bereits Erhebung.

Mitbewerber können auf Grundlage von §3a UWG (Vorsprung durch Rechtsbruch) abmahnen. Deutsche Zivilgerichte haben wiederholt bestätigt, dass DSGVO Art. 13 und 14 “Marktverhaltensregeln” und somit wettbewerbsrechtlich verfolgbar sind.

Der Pflichtumfang ist über die Jahre gewachsen. Eine moderne Datenschutzerklärung umfasst typischerweise:

  1. Identität des Verantwortlichen (passt zum Impressum) und ggf. DSB-Kontakt.
  2. Kategorien personenbezogener Daten.
  3. Zwecke und Rechtsgrundlagen je Verarbeitungstätigkeit.
  4. Empfänger oder Kategorien von Empfängern. Jedes Drittanbieter-Werkzeug (Analytics, CDN, Mail, Hosting, Zahlung, Support) zählt dazu.
  5. Speicherdauer und Löschkriterien.
  6. Betroffenenrechte (Art. 15 bis 22 DSGVO) und ihre Ausübung.
  7. Beschwerderecht bei einer Aufsichtsbehörde und Kontakt der zuständigen Behörde.
  8. Drittlandtransfers, insbesondere zu US-Anbietern unter Schrems II.
  9. Pro Tracker, Analyse-Tool und Embed: konkrete Rechtsgrundlage und Funktionsbeschreibung.

So beheben Sie das

  1. Einen geprüften Generator nutzen. Der eRecht24-Datenschutz-Generator ist der meistzitierte; der activeMind-Generator ist ebenfalls weit verbreitet. Generatoren ersetzen keine sorgfältige Prüfung, sind aber ein schneller, vertretbarer Ausgangspunkt.

  2. Jeden Drittanbieter-Dienst auflisten, mit dem Besucherdaten geteilt werden. Der blueredix-Scanner erkennt viele davon automatisch (Analytics, Tag-Manager, Marketing-Pixel); die Erklärung braucht je einen Absatz dazu.

  3. Auf /datenschutz/ oder /privacy/ veröffentlichen, neben dem Impressum aus dem Footer verlinken. Der Link muss ohne Scrollen sichtbar und nicht in einem allgemeinen “Mehr”-Menü versteckt sein.

  4. Eine jährliche Kalender-Erinnerung zur Überprüfung setzen. Die Auslegung von Art. 13 wird durch Rechtsprechung regelmäßig nachgeschärft, und die Tools, die Sie heute einsetzen, sind nicht zwingend die Tools von übermorgen.

Die Datenschutzerklärung beschreibt, was aktuell auf Ihrer Seite passiert. Wenn ein Drittanbieter-Tool dazukommt, wird die Erklärung vor der Live-Schaltung aktualisiert, nicht danach.

Mehr dazu