Inhaltsverzeichnis
Muster Datenschutzerklärung
Hosting
Sofern Sie sich als Besucher weder registrieren noch einloggen, erheben wir in sog. Logfiles folgende Daten, die Ihr Browser übermittelt:
IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time, Inhalt der Anforderung, HTTP-Statuscode, übertragene Datenmenge, Website, von der die Anforderung kommt und Informationen zu Browser und Betriebssystem.
Das ist erforderlich, um unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten. Dies entspricht unserem berechtigten Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f DSGVO.
Wir setzen für die Zurverfügungstellung unserer Website folgenden Hoster ein.
[Name und Anschrift Hoster]
Dieser ist Empfänger Ihrer personenbezogenen Daten und als Auftragsverarbeiter für uns tätig. Dies entspricht unserem berechtigten Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f DSGVO, selbst keinen Server in unseren Räumlichkeiten vorhalten zu müssen. Serverstandort ist [Deutschland].
Weitere Informationen zu Widerspruchs- und Beseitigungsmöglichkeiten gegenüber [Hoster] finden Sie unter: [Link]
Sie haben das Recht der Verarbeitung zu widersprechen. Ob der Widerspruch erfolgreich ist, ist im Rahmen einer Interessenabwägung zu ermitteln.
Die Daten werden nach Ablauf von [14 Tagen] gelöscht.
Die Verarbeitung der unter diesem Abschnitt angegebenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Die Funktionsfähigkeit der Website ist ohne die Verarbeitung nicht gewährleistet.
Technische Hinweise
Neben den Server-Logfiles können auch von der verwendeten Applikation und deren Plugins personenbezogene Daten verarbeitet werden. Darunter fallen u.a. die Protokollierung fehlerhafter Anmeldeversuche, oder Zugriffe auf nicht existierende Seiten (404). Dies sollte überprüft und entsprechend ergänzt werden.
Im Falle eine Speicherung, sollte ebenfalls angegeben werden, wie lange diese erfolgt und ob und ab wann eine Anonymisierung der erhobenen Daten stattfindet.
Rechtliche Hinweise
Grundsätzlich ist ein Auftragsverarbeitungsvertrag mit dem Hoster abzuschließen. Das bayerische Landesamt für Datenschutzaufsicht hat für das Hosting rein statischer Websites eine Ausnahme gemacht. Für den Fall, dass die Webseite der Selbstdarstellung dient, z.B. von Vereinen oder Kleinunternehmen, keine personenbezogenen Daten an den Betreiber fließen und kein Tracking stattfindet, liegt keine Auftragsverarbeitung vor. Weiter heißt es: „Die Tatsache, dass auch beim Hosting von statischen Webseiten zwangsläufig IP-Adressen, d.h. personenbezogene Daten, verarbeitet werden müssen, führt nicht zur Annahme einer Auftragsverarbeitung. Das wäre nicht sachgerecht. Die (kurzfristige) IP-Adressenspeicherung ist vielmehr noch der TK-Zugangsvermittlung des Website-Hosters nach dem TKG zuzurechnen und dient in erster Linie Sicherheitszwecken des Hosters.“ (https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Hosting_keine_Auftragsverarbeitung.pdf) Es sollte deshalb überprüft werden, ob der Hoster Tracking und Auswertungstools zur Verfügung stellt und ob und wie lange Logfiles aufbewahrt werden.
Weitere Zwecke der Datenverarbeitung
- Gewährleistung der Stabilität und Sicherheit der Website
- Auswertung der Systemsicherheit und -Stabilität
- Optimierung der Website
- Überprüfung, ob rechtswidrige Nutzung stattgefunden hat
Widerspruchs- und Beseitigungsmöglichkeit
Der häufig verwendete Hinweis, dass seitens des Nutzers keine Widerspruchsmöglichkeit bestehe, entspricht nicht der gesetzlichen Vorgabe. Wird die Verarbeitung auf das berechtigte Interesse des Verantwortlichen gestützt (Art. 6 Abs. 1 lit.f DSGVO), so ist das Recht auf Widerspruch nicht per se ausgeschlossen. Ob dieser jedoch Erfolg hat, ist im Rahmen einer Interessenabwägung zu ermitteln. Auch wenn in der Praxis das berechtigte Interesse des Websitebetreibers wohl überwiegen wird, folgt daraus kein Ausschluss des Widerspruchrechts. Eine solche Formulierung sollte korrigiert werden, da sie dazu führen kann, dass der Betroffene an der Ausübung seines Widerspruchrechts gehindert wird.
Empfänger
Gemäß Art. 13. Abs. 1 lit. e DSGVO, besteht die Pflicht „die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“ anzugeben. Häufig wird vertreten, dass vorrangig Empfänger namentlich und mit Anschrift zu benennen sind und nur hilfsweise auf Kategorien zurückgegriffen werden darf. Eine andere Auffassung vertritt ein Wahlrecht zwischen der namentlichen Nennung und der Angabe von Kategorien. (Vgl. Daum: Pflichtangaben auf Webseiten MMR 2020 643 (646) m.w.N.) Demnach wäre es ausreichend als Kategorie „Hoster“ anzugeben. Für diese Auffassung spricht jedoch, wenn überhaupt, nur die Übersichtlichkeit. Dem Sinn und Zweck der Vorschrift entspricht es aber vielmehr den Namen und die Anschrift anzugeben, zumal dieser im Rahmen des Hostings bereits feststeht (Vgl. Lorenz: Datenschutzrechtliche Informationspflichten (VuR 2019, 213 (216)).
Speicherdauer
Für die Feststellung der Speicherdauer sollten die Server- und Applikationseinstellungen überprüft werden, auch um Widersprüche zwischen den angebenden Zwecken zu vermeiden. So kann es beispielsweise zu Unstimmigkeiten kommen, wenn angegeben wird, dass nach jeder Sitzung die Daten gelöscht werden, diese aber gleichzeitig der Stabilität und Sicherheit dienen sollen. Eine allgemeine Mitteilung, die Daten würden so lange gespeichert werden, wie es für die angegebenen Zwecke erforderlich ist, ist nicht ausreichend (Vgl. Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 13 Rn 15). Ausreichend ist aber gem. Art. 13 Abs. 2 lit a. DSGVO die Angabe von Kriterien für die Festlegung der Speicherdauer.
