Beispiel für eine Datenschutzerklärung und eine Cookie-Erklärung, was ist der Unterschied?

Was ist der Unterschied zwischen einem Datenschutzhinweis und einem Cookie-Hinweis? Und was ist der Unterschied zwischen einer Datenschutzrichtlinie und einer Cookie-Richtlinie und wie werden sie verfasst?

Wir erklären Ihnen gerne den Unterschied zwischen einer Datenschutzerklärung und einer Cookie-Erklärung anhand eines Beispiels und unserer Erfahrungen und Fragen an CookieInfo. Häufig werden wir auch gefragt, ob der Datenschutzhinweis im Zusammenhang mit der Cookie-Politik angemessen ist. Wir sehen, dass die Begriffe austauschbar verwendet werden, was unnötige Arbeit verursacht.

Im Folgenden werden die Unterschiede zwischen der Datenschutzerklärung und der Cookie-Erklärung erläutert. Und zwischen Datenschutzrichtlinie und Cookie-Richtlinie.

Enthält ein Muster für Ihre Datenschutzerklärung, Cookie-Richtlinie und Datenschutzrichtlinie gemäß GDPR.

Eine Datenschutzerklärung oder eine Datenschutzrichtlinie?

Seit der Einführung der GDPR am 25. Mai 2018 enthalten viele Websites von Organisationen einen Verweis oder Link auf ihre Datenschutzerklärung oder Datenschutzrichtlinie, oder in der englischen Bezeichnung: „privacy statement“ oder „privacy policy“. Was genau ist mit diesen Begriffen im GDPR gemeint?

Die Datenschutzerklärung und die Datenschutzrichtlinie werden in GDPR nicht ausdrücklich erwähnt. Dennoch gibt es eine klare Unterscheidung zwischen den beiden Konzepten.

Kurz gesagt, der Unterschied ist:

• Ein Datenschutzhinweis richtet sich an die betroffenen Personen (diejenigen, deren personenbezogene Daten verarbeitet werden, d. h. die Besucher Ihrer Website).
• Eine Datenschutzpolitik ist als Leitfaden für die Mitarbeiter der Organisation gedacht, die mit personenbezogenen Daten arbeiten.

Ist ein Datenschutzhinweis obligatorisch?

Die Datenschutzbehörde verwendet den Begriff Datenschutzhinweis im Zusammenhang mit der Informationspflicht (Art. 12-14 GDPR). Personenbezogene Daten dürfen nur dann von einer Person (der betroffenen Person) verarbeitet werden, wenn transparent ist, was mit diesen personenbezogenen Daten geschieht (Grundsatz der Transparenz).

Das bedeutet, dass gemäß § 12-14 GDPR der für die Datenverarbeitung Verantwortliche (die Organisation) verpflichtet ist, die betroffenen Personen über die Datenverarbeitung zu informieren. Obwohl für diese Informationspflicht keine Form vorgeschrieben ist, informieren Sie als für die Datenverarbeitung Verantwortlicher (Organisation) die betroffene Person (den Besucher Ihrer Website) in der Regel durch einen Datenschutzhinweis. Dies macht einen Datenschutzhinweis zur Pflicht , wenn Sie Daten verarbeiten.

Nachstehend finden Sie ein Muster für einen Datenschutzhinweis von Cookieinfo mit einer Checkliste, die Sie bei der Erstellung eines Datenschutzhinweises berücksichtigen sollten.

Beispiel für eine Datenschutzerklärung, Formulierung und Checkliste

Für die Datenschutzerklärung auf Ihrer Website können Sie die folgenden Punkte als Beispiele verwenden:

1. Die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen;
   Aufgelistet ☐ Nicht aufgelistet ☐
2. Falls zutreffend, die Kontaktdaten des Datenschutzbeauftragten (FG);
   Aufgelistet ☐ Nicht aufgelistet ☐
3. Verarbeitungszwecke und Rechtsgrundlagen;
   Aufgelistet ☐ Nicht aufgelistet ☐
4. Die berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten, wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f GDPR beruht;
   Aufgelistet ☐ Nicht aufgelistet ☐
5. Gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (dies sind Personen oder Organisationen, denen der für die Verarbeitung Verantwortliche personenbezogene Daten zur Verfügung stellt, z. B. ein Lohnbüro, eine Steuerbehörde, ein Cloud-Dienst usw.);
   Aufgelistet ☐ Nicht aufgelistet ☐
6. Falls zutreffend, dass der für die Verarbeitung Verantwortliche beabsichtigt, die personenbezogenen Daten in ein Drittland oder an eine internationale Organisation zu übermitteln (falls ja, welche zusätzlichen Maßnahmen getroffen wurden);
   Aufgelistet ☐ Nicht aufgelistet ☐
7. Die Aufbewahrungsfrist für personenbezogene Daten oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Frist;
   Aufgelistet ☐ Nicht aufgelistet ☐
8. Information über die Rechte der betroffenen Personen;
   Aufgelistet ☐ Nicht aufgelistet ☐
9. Wenn die Verarbeitung auf einer Einwilligung beruht, hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen;
   Aufgelistet ☐ Nicht aufgelistet ☐
10. dass die betroffene Person das Recht hat, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
    Aufgelistet ☐ Nicht aufgelistet ☐
11. ob die Bereitstellung personenbezogener Daten eine gesetzliche oder vertragliche Verpflichtung oder eine notwendige Voraussetzung für den Abschluss eines Vertrags ist und ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen es haben kann, wenn die Daten nicht bereitgestellt werden;
    Aufgelistet ☐ Nicht aufgelistet ☐
12. das Vorhandensein einer automatisierten Entscheidungsfindung und, falls vorhanden, nützliche Informationen über die zugrunde liegende Logik, die Bedeutung und die erwarteten Auswirkungen einer solchen Verarbeitung auf die betroffene Person;
    Aufgelistet ☐ Nicht aufgelistet ☐
13. Alle anderen Informationen, die zur Gewährleistung einer transparenten Verarbeitung erforderlich sind (dies sollte von dem für die Verarbeitung Verantwortlichen selbst festgelegt werden).

Ebenso wichtig wie der eigentliche Inhalt des Datenschutzhinweises ist, dass die Informationen klar sind (keine vagen Begriffe) und sich von anderen, nicht datenschutzbezogenen Informationen (wie Vertragsbedingungen oder allgemeinen Nutzungsbedingungen) unterscheiden lassen. Die Informationen sollten für eine durchschnittliche Person aus der Zielgruppe verständlich (z. B. der Unterschied zwischen Kindern und Fachleuten) und leicht auffindbar sein. Sie kommen dem nach, indem Sie eine Datenschutzerklärung in Ihre Website aufnehmen, häufig in der Fußzeile, und auf diese verweisen.

Ein Muster für einen Datenschutzhinweis kann durch Anklicken in der Fußzeile der CookieInfo-Website angezeigt werden.

Was ist eine Datenschutzrichtlinie?

Die Datenschutzbehörde verwendet im Zusammenhang mit Art. 24 GDPR den Begriff „Datenschutzerklärung“. Nach diesem Artikel ist ein für die Verarbeitung Verantwortlicher verpflichtet, Maßnahmen zu ergreifen, um die Einhaltung der einzelnen im GDPR festgelegten Grundsätze und Anforderungen nachzuweisen: die so genannte „Rechenschaftspflicht“.

Aus diesem Artikel geht hervor, dass der für die Verarbeitung Verantwortliche in bestimmten Fällen verpflichtet ist, eine Datenschutzerklärung zu erstellen, um die getroffenen Maßnahmen darzulegen. Dies ist im Grunde eine weitere Ausarbeitung der Rechenschaftspflicht.

Der für die Verarbeitung Verantwortliche ist verpflichtet, eine Datenschutzerklärung zu erstellen, wenn sie in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht. Dabei berücksichtigen Sie die Art, den Umfang, den Kontext und den Zweck der Datenverarbeitung.

Datenschutzpolitik nicht obligatorisch, aber…

Auch wenn der für die Datenverarbeitung Verantwortliche nicht verpflichtet ist, eine Datenschutzpolitik zu haben, ist es dennoch ratsam, eine Datenschutzpolitik zu erstellen, um der Rechenschaftspflicht nachzukommen.

Auf diese Weise können Sie als Unternehmen nachweisen, dass Sie die GDPR einhalten.

Darüber hinaus ermöglicht eine Datenschutzpolitik jedem Mitarbeiter, seine Verantwortung bei der Verarbeitung personenbezogener Daten zu kennen und darauf zu achten, dass er im Einklang mit den Anforderungen des GDPR arbeitet. Dadurch werden Risiken, wie z. B. eine Datenverletzung, verringert.

Im Gegensatz zum oben erwähnten Datenschutzhinweis, der sich an die betroffenen Personen richtet (d. h. an diejenigen, deren personenbezogene Daten verarbeitet werden), ist eine Datenschutzpolitik als Handbuch für die Mitarbeiter der Organisation gedacht, die mit personenbezogenen Daten arbeiten.

Stellungnahme der Datenschutzbehörde

Die Aufsichtsbehörde für personenbezogene Daten empfiehlt, die Datenschutzpolitik zu veröffentlichen, um den betroffenen Personen deutlich zu machen, wie die Organisation mit personenbezogenen Daten umgeht. Aber ob das ratsam ist, kann bezweifelt werden. In der Tat enthält eine Datenschutzrichtlinie oft geschäftsrelevante Informationen. Die betroffenen Personen werden nämlich bereits durch einen Datenschutzhinweis über die Datenverarbeitung informiert, um der Informationspflicht nachzukommen.

Ein zweiter Unterschied zum Datenschutzhinweis besteht darin, dass das GDPR nicht genau festlegt, was eine Datenschutzrichtlinie enthalten muss. Wenn Sie eine Datenschutzerklärung erstellen möchten, sollten Sie die folgenden Punkte berücksichtigen.

Erstellen Sie die GDPR-Datenschutzrichtlinie – Checkliste

Wenn Sie eine GDPR-konforme Datenschutzrichtlinie erstellen möchten, können Sie die folgenden Punkte berücksichtigen.

1. Eine Einführung, in der erläutert wird, warum die Einhaltung der Datenschutzbestimmungen in der Organisation wichtig ist;
   Aufgelistet ☐ Nicht aufgelistet ☐
2. Zweck und Geltungsbereich der Datenschutzpolitik;
   Aufgelistet ☐ Nicht aufgelistet ☐
3. Erläuterung von Begriffen (z. B. personenbezogene Daten, Datenschutzverletzung, Übermittlungsmechanismus);
   Aufgelistet ☐ Nicht aufgelistet ☐
4. Was sind die Prinzipien/Grundsätze des GDPR und wie werden sie berücksichtigt?
   Aufgelistet ☐ Nicht aufgelistet ☐
5. Die drei von der AP in ihrem Bericht erwähnten „zwingenden Bestandteile“ der Datenschutzpolitik (die im Übrigen in § 24 GDPR nicht als solche aufgeführt sind):
   – Eine Beschreibung der (Kategorien von) personenbezogenen Daten;
   – Eine Beschreibung der Zwecke der Datenverarbeitung;
   – Eine Beschreibung der Rechte der betroffenen Personen;
   
   Aufgelistet ☐ Nicht aufgelistet ☐
6. Eine Beschreibung der Funktionen und Zuständigkeiten, z. B. auf der Grundlage der RAS(C)I-Matrix
   Aufgelistet ☐ Nicht aufgelistet ☐
7. Überwachung und Durchsetzung (wer überwacht die Datenschutzpolitik, was sind die Konsequenzen bei Nichteinhaltung der Politik)
   Aufgelistet ☐ Nicht aufgelistet ☐

Die Datenschutzrichtlinie kann dann auf die verschiedenen Datenschutz- und Datensicherheitsrichtlinien (z. B. Richtlinien zu den Rechten der betroffenen Personen, Datenschutzverletzungen, Aufbewahrungsfristen und Sicherheitsrichtlinien) verweisen oder direkt mit ihnen verknüpft werden, die den Schutz der Privatsphäre und den Datenschutz in einer Organisation gewährleisten sollen, so dass die Datenschutzrichtlinie ein vollständiges Bild der Politik des für die Datenverarbeitung Verantwortlichen zum Schutz personenbezogener Daten vermittelt.

Hinweis: Die Nichteinhaltung der Rechenschaftspflicht kann vom AP mit einer Geldstrafe von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist.

Datenschutzerklärung und Datenschutzpolitik – der Unterschied und die Schlussfolgerung

Obwohl der Begriff Datenschutzhinweis (Datenschutzerklärung) nach dem GDPR eigentlich etwas anderes bedeutet als der Begriff Datenschutzerklärung (Privacy Policy), wird in der Praxis die Unterscheidung zwischen diesen Begriffen immer noch oft verwechselt. Dies ist grundsätzlich keine Katastrophe und auch nicht falsch, solange der für die Datenverarbeitung Verantwortliche seiner Informationspflicht (§ 12-14 GDPR) und seiner Rechenschaftspflicht (§ 24 GDPR) ordnungsgemäß nachkommt und nicht z.B. seine Datenschutzerklärung zum Zwecke der Rechenschaftspflicht auf die Website stellt und damit meint, auch seine Informationspflicht gegenüber den betroffenen Personen erfüllt zu haben.

Eine Cookie-Richtlinie oder eine Cookie-Erklärung?

Erstellung einer Cookie-Richtlinie und Beispiel

Wie Sie als Unternehmen mit Cookies und Trackern auf Ihrer Website umgehen wollen, legen Sie in einer Cookie-Richtlinie fest. Wägen Sie in Ihrer Cookie-Richtlinie die Verwendung von Cookies der ersten und dritten Partei ab. Für Cookies und Tracker, die persönlich identifizierbare Informationen abrufen (oder zusammenstellen) können, müssen Sie eine Cookie-Richtlinie festlegen. Dazu gehören: Einholung der Zustimmung (Einwilligung), Registrierung, Identifizierung von Cookies, Zweck von Cookies und Trackern, Auswirkungen auf die Datenschutzpolitik usw.

Wir haben bereits mehrere Blogs zu diesem Thema verfasst, aber vielleicht ist der Leitfaden zur Cookie-Richtlinie auch für Sie interessant? Sie können es hier anfordern.

Beispiel für eine Cookie-Anweisung

In einer Cookie-Erklärung geben Sie an, welche Cookies Ihre Website setzt. Da die Cookie-Erklärung sehr viele Informationen enthält, wird sie in der Regel als separate Seite in Ihre Website aufgenommen.

Sie können dann in Ihrer Datenschutzerklärung darauf verweisen. Nachstehend finden Sie ein Beispiel für eine Cookie-Anweisung von CookieInfo.

30% Cookies und Tracker ändern sich monatlich

Da 30 % der auf Ihrer Website verwendeten Cookies monatlich wechseln, ist es wünschenswert, eine Cookie-Erklärung zu verwenden, die automatisch erstellt und nachverfolgt wird.

Dies ist in Kombination mit einem Cookie-Scanner möglich. Sie identifiziert alle Cookies und Tracker, die auf einer Website vorhanden sind. Die Cookies werden der entsprechenden Kategorie zugeordnet (notwendig, funktional, Marketing, statistisch).

Dieses Format wird dann automatisch übernommen und in einer Cookie-Anweisung dargestellt.

Dies spart viel Zeit und verhindert, dass falsche Cookies geladen werden, bevor die Zustimmung (Erlaubnis) zum Setzen von Cookies erteilt wurde.

Ein Beispiel für eine Cookie-Erklärung finden Sie in der Fußzeile der CookieInfo-Website. Diese Cookie-Anweisung wurde automatisch erstellt.

Tipp: Link von Ihrer Datenschutzerklärung zur Cookie-Erklärung

Um auf Ihrer Website alles einigermaßen übersichtlich zu halten, ist es am besten, wenn Sie in der Datenschutzerklärung einen Link auf Ihre Cookie-Erklärung setzen. Beide enthalten sehr viel Text, so dass der Unterschied für den Besucher Ihrer Website sofort ersichtlich ist.

Wir haben zum Beispiel den folgenden Text in unsere Datenschutzerklärung aufgenommen. Sie verweist dann auf die automatisch erstellte CookieInfo-Anweisung.

„Die Website von CookieInfo verwendet Cookies. Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien bereitzustellen und unseren Website-Traffic zu analysieren. Wir geben auch Informationen über Ihre Nutzung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Diese Partner können diese Informationen mit anderen Informationen kombinieren, die Sie ihnen bereitgestellt haben oder die sie aufgrund Ihrer Nutzung ihrer Dienste gesammelt haben.

Als Besucher können Sie entscheiden, wie Sie mit Cookies umgehen möchten. Unsere Cookie-Erklärung finden Sie hier, wo Sie auch Ihre Zustimmung anpassen oder widerrufen können. Ein Beispiel für eine Cookie-Erklärung finden Sie in unserer Fußzeile.

Möchten Sie mehr über Mustertexte lesen, die Sie für Ihren Cookie-Hinweis oder Ihre Cookie-Erklärung verwenden können? Dann schauen Sie sich auch den Artikel Der beste Text für einen Cookie-Hinweis an.

Die GDPR / DSGVO und Cookies

Möchten Sie mehr über GDPR und Cookies erfahren? Mehr darüber erfahren Sie in dem unten stehenden Artikel.

Artikel 1-4 zu den in der Verordnung verwendeten Begriffsbestimmungen,

Artikel 5-11 zum Zweck der Verordnung,

Artikel 12-20 über die Rechte des Einzelnen in Bezug auf Privatsphäre und Daten,

Artikel 24-31 über die Verantwortlichkeiten des Verantwortlichen und des Auftragsverarbeiters,

Artikel 37-39 über das Erfordernis eines Datenschutzbeauftragten,

Artikel 44-46 zu Datenübermittlungen aus der EU,

Artikel 82-83 über Bußgelder und Strafen bei Nichteinhaltung.

Wie hoch ist der Durchschnittswert?

Haben Sie noch Fragen zu diesem Blog? Wir würden gerne von Ihnen hören.

Team CookieInfo.

Haftungsausschluss

Wir haben die Informationen in diesem Blog-Artikel rund um Datenschutzrichtlinien, Datenschutzerklärungen und Cookie-Erklärungen auf der Grundlage unserer Erfahrungen geschrieben. Er soll Sie informieren, aber nicht rechtlich beraten. Wenn Sie Fragen zu Ihrer eigenen Cookie-Richtlinie oder Cookie-Erklärung haben, wenden Sie sich an einen Anwalt oder einen der Rechtspartner von CookieInfo.