Alle Internetseiten von Selbsthilfegruppen, Selbsthilfevereinigungen und Selbsthilfekontaktstellen benötigen neben einem Impressum eine Datenschutzerklärung. Diese muss als extra Unterseite angeboten werden (also nicht als Teil des Impressums). Diese Unterseite muss eindeutig bezeichnet sein (also etwa „Datenschutz“ oder „Datenschutzerklärung“). Und sie muss von allen anderen Unterseiten aus mit einem Klick zu erreichen sein. In der Datenschutzerklärung muss beschrieben sein, wie mit den personenbezogenen Daten umgegangen wird, die bei einem Besuch der Internetseite entstehen.

Folgende Informationen müssen in der Datenschutzerklärung genannt werden:

  • Kontaktdaten des*der Betreibenden der Internetseite
  • Kontaktdaten des*der Datenschutzbeauftragten (sofern vorhanden)
  • Aufzählung aller Datenverarbeitungsvorgänge beim Besuch der Internetseite
  • Dauer der Speicherung der Daten
  • Betroffenenrechte, Hinweis auf Widerrufsrecht, Auskunftsrecht über die verarbeiteten Daten, Beschwerderecht bei der Aufsichtsbehörde

Eine Datenschutzerklärung ist auch dann Pflicht, wenn auf der Internetseite keine Namen, E-Mail-Adressen oder Telefonnummern abgefragt werden. Denn bei jedem Besuch einer Internetseite fallen technisch bedingt Nutzungsdaten wie zum Beispiel IP-Adresse, MAC-Adresse, Werbe-ID oder andere Geräte-Identifikationsnummern an. Auch diese Daten gelten nach der DSGVO als personenbezogene Daten, weil ein Rückschluss auf eine*n konkrete*n Nutzer*in technisch möglich ist.
Die Informationen in der Datenschutzerklärung müssen korrekt und für die jeweilige Anwendung zutreffend sein. Daher empfiehlt sich der Rückgriff auf Mustertexte aus dem Internet ohne Anpassung auf die eigene Situation in der Regel nicht.
Häufig wissen Selbsthilfegruppen und Selbsthilfekontaktstellen nicht genug über die technische Grundlage ihrer Internetseite, um zu entscheiden, welche Informationen sie in der Datenschutzerklärung geben müssen. Lassen Sie sich die notwendigen Informationen von den Techniker*innen zur Verfügung stellen, die den Internetauftritt betreuen oder programmiert haben.

Abfrage personenbezogener Informationen auf einer Internetseite

Wenn auf der Internetseite E-Mail-Adressen, Namen, Adressen, Telefonnummern etc. von Nutzer*innen abgefragt werden (zum Beispiel auf einem Kontaktformular, bei der Registrierung für ein Forum oder für einen Newsletter, für die Anmeldung zu einer Tagung), müssen die Datengeber*innen über den Umgang mit diesen Daten informiert werden (in der Datenschutzerklärung). Es ist empfehlenswert, in solchen Fällen eine Einwilligung einzuholen (etwa mit einem Kästchen zum Ankreuzen mit „Ich bin einverstanden, dass diese Angaben zum Zweck xy, wie in der Datenschutzerklärung erläutert, verarbeitet werden.“)

Reichweiten-Analyse

Wenn Internetseitenbetreiber Analyse-Anwendungen wie zum Beispiel Google Analytics nutzen, muss in der Datenschutzerklärung darüber informiert werden und die Anwendungen müssen datensparsam konfiguriert werden.
Für eine Reichweitenanalyse gibt es gute Alternativen zu Google Analytics: So können dafür auch lokal installierte Logdateien-Analyseanwendungen eingesetzt werden. Häufig wird dafür die Open-Source-Software Matomo verwendet.

Drittanbieter in der Datenschutzerklärung

Wenn in die Internetseite Anwendungen von Drittanbietern eingebunden sind, muss die Datenschutzerklärung auch hierzu Informationen enthalten. Beispiele für solche Anwendungen von Dritten sind Nutzungsanalyseprogramme wie Google Analytics oder von einem anderen Server geladene Schriften wie Google Fonts, Google Maps, Videos von YouTube und Social Plug-Ins von Sozialen Netzwerken wie Facebook, Instagram oder Twitter.
Bei Social Plug-Ins von Facebook, Instagram, Twitter oder eingebundenen YouTube-Videos ist darauf zu achten, dass deren Inhalte erst geladen werden, nachdem der*die Nutzer*in diese Elemente aktiv angeklickt hat (als aktive Einwilligung – und nicht bereits beim ersten Laden der Internetseite). Wählen Sie dafür eine sogenannte 2-Klick-/Opt-In-Lösung.
Wenn Inhalte von Drittanbietern verwendet werden sollen, sollten die zuständigen Techniker*innen beauftragt werden, diese entsprechend der genannten Bedingungen (2-Klick-/Opt-In-Lösung) umzusetzen.