th share video content contact download event event-wifi cross checkmark close icon-window-edit icon-file-download icon-phone xing whatsapp wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin Google-plus facebook pinterest skype vimeo snapchat arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram

Datenschutzerklärung: Checkliste der Informationspflichten nach DSGVO und TKG für Webauftritte

Worüber muss auf einer Website datenschutzrechtlich informiert werden?

Hinweis: Die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) gelten seit 25.5.2018. Alle Datenverarbeitungen müssen dieser Rechtslage entsprechen. Das gilt auch für Datenverarbeitungen auf Webseiten.

Dazu kommen noch die älteren Bestimmungen des Telekommunikationsgesetzes (TKG), die auf der E-Privacy-Richtlinie basieren. Danach ist anders als nach der DSGVO bei technisch nicht notwendigen Cookies eine Einwilligung erforderlich (das TKG kennt keinen Rechtsgrund des berechtigten Interesses); diese Einwilligung muss jedoch nicht ausdrücklich sein. Es wird jedoch empfohlen, wie von der DSGVO gefordert, mit ausdrücklichen Einwilligungen (aktives Cookie-Fenster) zu arbeiten. Näher Informationen dazu unter: Auswirkungen der EuGH-Judikatur auf die Einbindung von Cookies

Die in diesem Dokument verwendeten Formulierungsbeispiele beruhen auf fiktiven Verarbeitungssachverhalten und dienen zur Erklärung und Veranschaulichung. Es ist für jeden datenschutzrechtlich Verantwortlichen unerlässlich zu prüfen, welche Datenverarbeitungen im Einzelfall konkret erfolgen und die Datenschutzerklärung dementsprechend zu formulieren.

Überblick

Nach der DSGVO sind der betroffenen Person durch den Verantwortlichen gewisse Informationen über die Datenverarbeitungen zur Verfügung zu stellen.

Die DSGVO bezieht sich ebenso wie das TKG nur auf personenbezogene Daten.

Achtung: Die IP-Adresse gilt bereits als personenbezogenes Datum. Daher muss bereits dann den datenschutzrechtlichen Informationspflichten entsprochen werde, wenn bloß die IP-Adresse verarbeitet wird (erfasst wird die IP-Adresse i.d.R. mit Zeitpunkt und Zeitdauer des Webseitenbesuchs).

Nach der Rechtsprechung des EuGH zur E-Privacy-RL („Planet49“, C 673-17) sind auch bei einer Verarbeitung nicht-personenbezogener Daten im Rahmen von Cookies die Informationspflichten zu beachten und muss gegebenenfalls eine Einwilligung eingeholt werden. Der Einfachheit halber wird im folgenden Text nur von „Daten“ gesprochen. 

Beispiel für die Berücksichtigung in der Datenschutzerklärung:

„Der Schutz Ihrer Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten daher ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, TKG). In diesen Datenschutzinformationen informieren wir Sie über die wichtigsten Aspekte der Datenverarbeitung im Rahmen unserer Website.

Beim Besuch unserer Website wird Ihre IP-Adresse, Beginn und Ende der Sitzung für die Dauer dieser Sitzung erfasst. Dies ist technisch bedingt und stellt damit ein berechtigtes Interesse i.S.v. Art 6 Abs 1 lit f DSGVO dar. Soweit im Folgenden nichts Anderes geregelt wird, werden diese Daten von uns nicht weiterverarbeitet.“

Neben den Informationspflichten nach der DSGVO bestehen noch jene nach dem TKG für Dienste der Informationsgesellschaft (z.B. Webseiten oder Webshops). Diese entsprechen inhaltlich weitgehend den Informationspflichten der DSGVO, auch wenn das TKG leicht unterschiedliche Bezeichnungen verwendet. Es sind daher nach dem TKG keine zusätzlichen Informationen erforderlich. Der Einfachheit halber werden in dieser Checkliste die Bezeichnungen der DSGVO verwendet. Auf Besonderheiten wird im Text hingewiesen.

Zu den Besonderheiten des TKG im Vergleich zur DSGVO im Detail: Datenverarbeitung im Webshop und auf der Website | Einwilligungserklärung - Cookies - Datenschutzerklärung

Erster Schritt zur Datenschutzerklärung

Am wichtigsten ist es, dass sich der Verantwortliche („wer“) darüber klar wird, welche personenbezogenen Daten („was“) zu welchem Zweck („warum“) und mit welcher Berechtigung (auf welcher Rechtsgrundlage) auf seiner Webseite verarbeitet werden und an wen Daten weitergeleitet werden („wohin“). Um die Datenschutzerklärung transparent (verständlich) beschreiben zu können, sollte man sich über die Funktionsweise der Datenanwendung („wie“) und über die notwendige Speicherdauer („wie lange“) im Klaren sein.

Auch wenn eine Orientierung an fremden Datenschutzerklärungen möglich ist, kann eine Datenschutzerklärung (abgesehen von der urheberrechtlichen Problematik) nicht einfach abgeschrieben werden, sondern muss für jede Webseite unter Berücksichtigung sämtlicher Datenverarbeitungen individuell erstellt werden.

Textbausteine finden Sie auch in unserem WKO-Online-Ratgeber zu den Informationsverpflichtungen der DSGVO.

Tipp: Es spricht an sich nichts dagegen, zur Erstellung der Datenschutzerklärung die im Internet zum Teil kostenlos zur Verfügung gestellten „Datenschutzgeneratoren“ zu verwenden. Beachten Sie aber die diesbezüglichen Nutzungsbedingungen. Oftmals ist es notwendig, einen Link auf den Urheber zu setzen. Geschieht dies nicht, kann es zu kostenpflichtigen Abmahnungen kommen. Außerdem sollten die Nutzungsbedingungen inklusive dem Hinweis der Gratisleistung zu späteren Beweiszwecken mit Datum dokumentiert (abgespeichert) werden.

Formulierungsbeispiele für die Datenschutzinformationen für den Newsletter-Versand finden Sie hier: Einwilligungserklärung für Newsletter nach dem TKG und der DSGVO

Checkliste Informationspflichten

Beispiel für die Kontaktdaten:

„Sie erreichen uns unter folgenden Kontaktdaten:“ [Kontaktdaten ergänzen (Adresse, Telefon, E-Mail)]

[nur falls ein EU-Vertreter vorhanden ist:] „Unseren Vertreter erreichen Sie unter:“ [Kontaktdaten des Vertreters ergänzen (Adresse, Telefon, E-Mail)]

[falls ein Datenschutzbeauftragter vorhanden ist:] „Unseren Datenschutzbeauftragten erreichen Sie unter:“ [Kontaktdaten des Datenschutzbeauftragten ergänzen (Adresse, Telefon, E-Mail)]

  • Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung.
    Verarbeitungszweck könnte z.B. eine möglichst komfortable Nutzung des Webshops sein.
    Als Rechtsgrundlagen kommen insbesondere in Frage:
  • Die Verarbeitung ist zur Vertragserfüllung erforderlich.
  • Die Verarbeitung gründet sich auf folgendes berechtigtes Interesse: (Das berechtigte Interesse muss konkret angeführt werden; z.B. könnte der Hinweis aufgenommen werden, dass ein bestimmtes Cookie technisch bedingt ist).
Achtung: Auf Grund des TKG dürfen nur Cookies gesetzt werden, die zur Nutzung des jeweiligen Dienstes der Webseite (insbesondere technisch bzw. zur Vertragserfüllung) erforderlich sind. Für alle anderen Cookies muss mit der Rechtsgrundlage der (aktiven) Einwilligung gearbeitet werden (in der Praxis: Cookie-Fenster).
  • Die Verarbeitung erfolgt mit Einwilligung des Betroffenen.
    Die Rechtsgrundlage „Einwilligung“ kommt vor allem bei Webanalyse-Anwendungen in Frage.

Beispiel für das Zusammenspiel „Zweck“ und „Rechtsgrundlage“ anhand eines Kontaktformulars:

„Kontakt mit uns

Wenn Sie per Formular auf der Website oder per E-Mail Kontakt mit uns aufnehmen, werden Ihre angegebenen Daten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen sechs Monate bei uns gespeichert. Dies ist ein berechtigtes Interesse i.S.d. DSGVO. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.“

  • Daten bzw. Datenkategorien, die verarbeitet werden: dies ist nach dem TKG immer erforderlich (nach der EuGH-Judikatur bei in Cookies gespeicherten Informationen auch ohne Personenbezug). Nach der DSGVO wäre dies nur dann erforderlich, wenn die Daten nicht direkt beim Betroffenen erhoben werden. In diesem Fall ist auch die Quelle der Daten anzugeben.
  • Empfänger oder Kategorien von Empfängern (z.B. IT-Dienstleister, Banken, Versicherungen) der Daten.
  • Dauer der Datenspeicherung, bzw. wenn das nicht möglich ist, die Kriterien für die Festlegung der Dauer.

Beispiel anhand eines Webshops:

„Wir weisen darauf hin, dass zum Zweck eines funktionierenden Einkaufsvorganges und zur späteren Vertragsabwicklung vom Webshop-Betreiber im Rahmen von Cookies die IP-Daten des Anschlussinhabers gespeichert werden, ebenso wie Name, Anschrift und Kreditkartennummer […] des Käufers.

Darüber hinaus werden zum Zweck der Vertragsabwicklung folgende Daten auch bei uns gespeichert: [Daten ergänzen]. Die von Ihnen bereit gestellten Daten sind zur Vertragserfüllung bzw. zur Durchführung vorvertraglicher Maßnahmen erforderlich. Ohne diese Daten können wir den Vertrag mit Ihnen nicht erfüllen. Eine Datenübermittlung an Dritte erfolgt nicht, mit Ausnahme der Übermittlung der Kreditkartendaten an die abwickelnden Bankinstitute/Zahlungsdienstleister zum Zwecke der Abbuchung des Einkaufspreises, an das von uns beauftragte Transportunternehmen/ Versandunternehmen zur Zustellung der Ware sowie an unseren Steuerberater zur Erfüllung unserer steuerrechtlichen Verpflichtungen.

Nach Abbruch des Einkaufsvorganges werden die bei uns gespeicherten Daten gelöscht. Im Falle eines Vertragsabschlusses werden sämtliche Daten aus dem Vertragsverhältnis bis zum Ablauf der steuerrechtlichen Aufbewahrungsfrist (7 Jahre) gespeichert. Die Daten Name, Anschrift, gekaufte Waren und Kaufdatum werden darüber hinaus bis zum Ablauf der Produkthaftung (10 Jahre) gespeichert.  Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des § 96 Abs 3 TKG sowie des Art 6 Abs 1 lit b der DSGVO (notwendig zur Vertragserfüllung).“

  • Falls die Absicht besteht, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, muss auch darüber informiert werden, ebenso wie über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission. Weiters ist im Falle von Datenübermittlung vorbehaltlich geeigneter Garantien oder aufgrund von verbindlichen internen Datenschutzvorschriften, bzw. generell aufgrund von besonderen Ausnahmebestimmungen eben auf diese geeigneten oder angemessenen Garantien zu verweisen oder zumindest, wo eine Kopie erhältlich wäre.
Achtung: Beachten Sie bei einer Datenübermittlung in die USA den Entfall des Privacy-Shield-Abkommens!
  • Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch.
  • Möglichkeit des Widerrufs der Einwilligung und dass im Falle eines Widerrufs die Rechtmäßigkeit der Datenverarbeitung bis zum Zeitpunkt des Widerrufs nicht berührt wird.
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.

Beispiel für die Belehrung über die Betroffenenrechte:

„Ihre Rechte

Ihnen stehen bezüglich Ihrer von uns verarbeiteten Daten grundsätzlich die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch zu. Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei uns [E-Mail-Adresse angeben] oder der Datenschutzbehörde beschweren.“

  • Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.
  • Gegebenenfalls das Bestehen automatisierter Entscheidungsfindung, inkl. aussagekräftiger Informationen über die involvierte Logik und die Tragweite der Entscheidung (z.B. Profiling). 

Drittanbieter

Wenn Dienste von Drittanbietern verwendet werden (Web-Analyse-Programme, digitale  Landkarten, …), dann muss auch darüber transparent informiert werden. Manche Drittanbieter bieten Textbausteine an, damit man den Informationspflichten nachkommen kann. In der Praxis wird oft auch direkt auf die Datenschutzinformationen des Drittanbieters verlinkt. Verantwortlich bleibt aber der Betreiber der Webseite; der Drittanbieter wird allenfalls zusätzlich zum Verantwortlichen. Viele Drittanbieter bieten auch eigene Vertragslösungen oder Verträge als Auftragsverarbeiter an.

Achtung: Da Dienste von Drittanbietern i.d.R. weder technisch noch zur Vertragserfüllung erforderlich sind, wird in den meisten Fällen mit einer Einwilligung als Rechtsgrundlage gearbeitet werden müssen. Dies deswegen, weil nach dem TKG Cookies nur gesetzt werden dürfen, wenn dies zur Vertragserfüllung notwendig oder technisch erforderlich ist („Cookie-Fenster“). Das TKG ist hier strenger als die DSGVO.

Beispiel für ein Web-Analyse-Tool mit Rechtsgrundlage Einwilligung:

„Web-Analyse

Unsere Website verwendet Funktionen des Webanalysedienstes … [Name des Tools und Firma des Anbieters samt Unternehmenssitz einschließlich Information, ob Daten an ein (außereuropäisches) Drittland übertragen werden]. Dazu werden Cookies verwendet, die eine Analyse der Benutzung der Website durch ihre Benutzer ermöglicht. Die dadurch erzeugten Informationen werden auf den Server des Anbieters übertragen und dort gespeichert.

Ihre Daten werden nur dann verarbeitet, wenn Sie uns Ihre Einwilligung dazu erteilt haben.

Wir haben mit dem Anbieter des Webanalysedienstes einen entsprechenden Vertrag zur Auftragsdatenverarbeitung abgeschlossen.

[Empfohlen:] Ihre IP-Adresse wird erfasst, aber umgehend [z.B. durch Löschung der letzten 8 Zeichen der IP-Adresse] pseudonymisiert. Dadurch ist nur mehr eine grobe Lokalisierung möglich.

[Bei außereuropäischen Anbietern:] Die Beziehung zum Webanalyseanbieter basiert auf … [Standardvertragsklauseln/einem Angemessenheitsbeschluss der Europäischen Kommission].

Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des § 96 Abs 3 TKG sowie des Art 6 Abs 1 lit a (Einwilligung) der DSGVO.

Die Nutzerdaten werden für die Dauer von … [Speicherfrist angeben] aufbewahrt [dies muss mit dem Webanalysedienst abgeklärt werden].“

Informationen bezüglich Social-Media-Anbindungen finden Sie hier: Social Media und eingebettete Komponenten von Drittanbietern 

Wie bzw. wo sollen die Informationen erteilt werden?

Die Informationen sind den Betroffenen zum Zeitpunkt der Erhebung der Daten transparent, klar, einfach und verständlich zur Verfügung zu stellen. Es ist daher wichtig, die Datenschutzerklärung in möglichst verständlicher Sprache zu halten.

Sie sollte für den Besucher der Webseite leicht auffindbar sein. Am besten erfolgt dies in einem eigenen Button „Datenschutzerklärung“ und nicht gemeinsam mit dem Impressum.

Informationen zum Impressum finden Sie auf www.wko.at zu jeder Rechtsform.

Beispiel für eine transparente Beschreibung der Funktionsweise von Cookies:

(zweckmäßigerweise sollte die Funktionsweise jedes Cookies gesondert erklärt und im Cookie-Fenster im Hinblick auf die Einwilligung abgefragt bzw. auf die technische Notwendigkeit des Cookies hingewiesen werden)

„Cookies

Unsere Website verwendet sogenannte Cookies. Dabei handelt es sich um kleine Textdateien, die mit Hilfe des Browsers auf Ihrem Endgerät abgelegt werden. Sie richten keinen Schaden an.

Wir nutzen Cookies aus technischen Gründen, um unser Informationsangebot und unsere Dienstleistung [z.B.: unseren Webshop] funktionstüchtig anbieten zu können. Einige Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen. Sie ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.

Bei nicht funktionsbedingt erforderlichen Cookies ersuchen wir im Cookie-Fenster um Ihre Einwilligung (Art 6 Abs 1 lit a DSGVO). Nur wenn diese aktiv gegeben wird, werden dann Ihre personenbezogenen Daten zum Zweck der …. [Zweck einfügen] für …. [Zeitdauer einfügen] verarbeitet.

Bei Cookies, die im Cookie-Fenster als funktionsbedingt erforderlich gekennzeichnet sind, stützen wir unsere Rechtsgrundlage auf unser berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO), den Webauftritt benutzerfreundlich zu gestalten.

[Funktionsweise und Speicherdauer des jeweiligen Cookies (z.B. „für die Dauer der Session“) beschreiben]

Bei der Deaktivierung von Cookies kann die Funktionalität unserer Webseite eingeschränkt sein.“

Geldstrafen

Die Verletzung der Informationspflicht ist nach der DSGVO mit bis zu 20 Mio. EUR oder 4 % des letztjährigen weltweiten Jahresumsatzes sanktioniert; nach dem TKG zusätzlich mit bis zu 37.000 EUR. 

Relevante Artikel der DSGVO: Art. 13, Art. 14

Relevante Erwägungsgründe: 39, 58 – 62

Relevante Bestimmungen im TKG: § 96 Abs 3 

Stand: