Datenschutzerklärung im Internet
Das Gesetz erlaubt in einigen Fällen den Umgang mit personenbezogenen Daten, ohne dass eine Einwilligung des Betroffenen notwendig ist. Trotzdem brauchen Sie in jedem Fall zusätzlich noch eine Datenschutzerklärung.
Eine Datenschutzerklärung ist immer dann auf der Internetseite anzugeben, wenn personenbezogene Daten der Besucher und Kunden gespeichert und verarbeitet werden. Die Verwendung der Daten muss zweckgebunden erfolgen. So dürfen die Daten (wie Name, Adresse, Kontonummer) wirklich nur für die Abwicklung des konkreten Vertrags verwendet werden! Sie müssen die Daten daher nach Abwicklung des Vertrags auch wieder löschen. Wenn Sie beabsichtigen, den Kunden zu „registrieren“, damit er bei weiteren Bestellungen nicht jedes Mal seine Daten neu eingeben muss, benötigen Sie dazu eine Einwilligung. Dasselbe gilt auch für die Speicherung der Bestandsdaten für Zwecke der Werbung – auch in diesem Fall ist eine Einwilligung erforderlich.
Grundsätzlich gilt: Kann die Leistung über das Internet ohne diese erhobenen Nutzungsdaten nicht gewährleistet oder nicht abgerechnet werden, ist die Erhebung der Daten ohne Einwilligung erlaubt. Sobald Sie die Daten aber auch anderweitig verwenden, zum Beispiel für die Analyse des Kundenverhaltens, die Werbung oder den Newsletter, reicht die Datenschutzerklärung nicht aus. Zusätzlich muss die Einwilligung des Betroffenen eingeholt und der Betroffene über sein Widerrufsrecht zur Nutzung seiner Daten informiert werden. Die Einwilligung kann elektronisch erklärt werden, wenn Sie sicherstellen, dass
- der Kunde seine Einwilligung bewusst und eindeutig erteilt hat (zum Beispiel durch ein Ankreuz-Feld),
- die Einwilligung protokolliert wird,
- der Kunde den Inhalt der Einwilligung jederzeit abrufen kann und
- der Kunde die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Achtung: Sie müssen den Kunden vor Erklärung der Einwilligung auf sein Widerrufsrecht hinweisen. Der Widerruf der Einwilligung muss in Zukunft genau so einfach sein wie die Erteilung der Einwilligung.
Die vor dem 25.05.2018 nach dem Bundesdatenschutzgesetz (BDSG) und Telemediengesetz (TMG) wirksam eingeholten Einwilligungen bleiben nur dann wirksam bestehen, wenn diese Einwilligungen ihrer Art nach den Bedingungen der Datenschutzgrundverordnung entsprechen (Erwägungsgrund 171 zur DSGVO). Das heißt: Die Einwilligung der betroffenen Person ist dann nicht neu einzuholen, wenn die Person zum Zeitpunkt der Abgabe der Einwilligung älter als 16 Jahre alt war und die Einwilligung freiwillig erfolgte, also nicht dem Kopplungsverbot des Art. 7 Absatz 4 DSGVO unterlag. Es ist daher ratsam, bestehende Einwilligungen speziell daraufhin zu prüfen und den Einwilligungsprozess bei Handlungsbedarf kurzfristig anzupassen.
Was ändert sich für die Datenschutzerklärung mit der Datenschutzgrundverordnung (DSGVO) nach dem 25.05.2018?
Nach dem 25.05.2018 wird der § 13 Absatz 1 Telemediengesetz durch den Katalog an Pflichtinformationen nach Art. 13 Absatz 1-3 DSGVO ersetzt und wesentlich erweitert. Danach muss die Datenschutzerklärung die Informationen über alle der nachstehenden Punkte enthalten:
- den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Verantwortlichen (sowie bei nicht in der Union niedergelassenen Verantwortlichen diejenigen des Vertreters),
- sofern verpflichtend zu bestellen, die Kontaktdaten des Datenschutzbeauftragten,
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden,
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe) und
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO),
- wenn die Verarbeitung auf einer wirksamen Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird,
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte und
- ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Sollten die Daten nicht selbst, sondern von einem beauftragtem Dritten (z.B. einer Auskunftei) erhoben werden, gilt nicht der Art. 13, sondern der noch strengere Art. 14 DSGVO.
Musterdatenschutzerklärung nach EU-DSGVO
Das Institut für Informations-, Telekommunikations- und Medienrecht an der Westfälischen Wilhelms-Universität Münster hat eine Musterdatenschutzerklärung erarbeitet. Sie finden diese auf der Internetseite unter dem Stichwort Musterdatenschutzerklärung. Wir machen Sie darauf aufmerksam, dass die Datenschutzerklärung nur ein Musterdokument ist und keine Gewähr auf Aktualität, Vollständigkeit und Richtigkeit bietet. Ein Mustertext kann weder jede individuelle Datenverarbeitung erfassen noch kann er die anwaltliche Beratung ersetzen. Deshalb sollten Sie jede Musterdatenschutzerklärung gemeinsam mit einem Rechtsanwalt auf Ihre Verarbeitungsprozesse hin überprüfen und anpassen.
Besonderheiten bei Cookies, Analyse-Tools und Social-Plug-Ins
In der Datenschutzerklärung muss vor allem dargelegt werden, wie die Daten verarbeitet werden. Dies betrifft insbesondere Internetseitenbetreiber, die Cookies oder Tracking- und Analyse-Tools sowie Social-Media-Plug-Ins verwenden.
1. Cookies
Cookies sind kleine Textdateien, die auf dem Rechner des Besuchers Ihrer Internetseite abgelegt werden, um das Angebot auf seine Bedürfnisse abzustimmen und ihm die Nutzung bestimmter Funktionen zu ermöglichen. Fast jede Webseite nutzt eine Cookie-Technologie. Dazu gehört z. B. die Einrichtung eines Warenkorbs, in dem Produkte abgelegt werden können, oder die vorübergehende Speicherung von Produkten, die kürzlich angesehen wurden. Hierbei handelt es sich um sogenannte Sitzungs-Cookies, die in der Regel nach dem Ende einer Browser-Sitzung wieder von der Festplatte des Kunden gelöscht werden. Solche Cookies sind rechtlich erlaubt, weil das berechtigte Interesse des Unternehmers (Verbesserung des Webseitenutzung) das Interesse des Kunden (Datensparsamkeit) überwiegt. Wenn Sie solche Cookies verwenden, reicht es aus, den Kunden in Ihrer Datenschutzerklärung darauf hinzuweisen, da es sich um Nutzungsdaten handelt und Sie ein berechtigtes Interesse an der Verbesserung der Webseitenutzung haben.
Wirtschaftlich interessant sind die Cookies, die Daten über das Surfverhalten der Nutzer sammeln. Werbe-Cookies ermöglichen die gezielte Werbung für Inhalte, die den jeweiligen Nutzer interessieren könnten. In der Vergangenheit war es üblich, eine generelle Erlaubnis oder Untersagung von Cookies in den jeweiligen Browsereinstellungen vorzunehmen. Die Folge: Manche Webseiten ließen sich, mit dem Hinweis auf eine fehlerhafte Cookie-Einstellung, nicht nutzen. Seit geraumer Zeit wird der Nutzer bei dem Besuch einer Webseite gefragt, ob er in die Nutzung von Cookies einwilligt. Die Auswahl, welche Cookies dabei erlaubt sind, nämlich technische und solche zu Werbezwecken, ist voreingestellt. Der Bundesgerichtshof (Urteil vom 28. Mai 2020 - I ZR 7/16) hat nunmehr am 28. Mai 2020 entschieden: Das darf nicht sein.
Hintergrund ist das Telemediengesetz. Demnach sind Cookies zum Zwecke der Werbung, der Marktforschung und zur Erstellung von Nutzungsprofilen zwar zulässig. Dafür braucht es allerdings die Einwilligung des Nutzers. Im Gleichklang mit den Regeln der DSGVO zur Einwilligung in Werbung, muss die Einwilligung dabei durch eine ausdrückliche Handlung erfolgen. Das Häkchen muss dabei vom Nutzer selbst gesetzt werden. Die Möglichkeit, das Häkchen zu entfernen reicht nicht aus. Dabei spielt es keine Rolle, ob das Cookie oder die eingesetzte Technik personenbezogene Daten beinhaltet oder nicht. Damit legt der BGH das Telemediengesetz EU-Rechts-konform aus. Bereits Ende 2019 hatte der EuGH auf Vorlage des BGH genau diesen Fall entschieden: Ein Internetnutzer müsse dem Setzen von Werbe-Cookies aktiv durch Anklicken zustimmen. Nur dann liege eine wirksame Einwilligung vor.
Was bedeutet das nun für Unternehmen, die Webseiten betreiben?
Beachtet ein Unternehmen die höchstrichterliche Rechtsprechung nicht, kann dem Besucher der Webseite ein Unterlassungsanspruch zustehen. Damit geht auch das Risiko von Abmahnkosten einher. Webseitenbetreiber sollten daher auf eine Vorauswahl für Werbe-Cookies verzichten und dem Nutzer das Setzen der Häkchen zu bestimmten Cookies vollständig selber überlassen.
2. Tracking- und Analyse-Tools
Tracking- und Analyse-Tools (wie z.B. Google Analytics, eTracker, Piwik und ähnliche) sind Programme, mit deren Hilfe Sie die Zahl und Art der Zugriffe und Nutzung Ihrer Internetseite auswerten können, um so Ihr Angebot zu optimieren. Analyse-Tools wie beispielsweise Google Analytics arbeiten auf der Basis von Cookies. Hier empfehlen wir, die Einwilligung des Kunden einzuholen.
In datenschutzrechtlicher Hinsicht kann die Anwendung dieser Programme deshalb problematisch sein, wenn Sie die IP-Adressen der Seitenbesucher erfassen und verarbeiten. Denn eine starke Meinung geht davon aus, dass es sich bei der IP-Adresse um ein personenbezogenes Datum handelt und daher eine Einwilligung des jeweiligen Besuchers nötig ist. Aus diesem Grund wurden von Datenschützern bestimmte Kriterien entwickelt, die ein Analyseprogramm erfüllen sollte, um ohne Einwilligung angewendet werden zu dürfen. Demnach sollte ein Analyseprogramm nur gekürzte und damit anonymisierte oder im Idealfall gar keine IP-Adressen erheben und verarbeiten. Dann benötigen Sie keine Einwilligung. Außerdem muss es dem Besucher einer Internetseite möglich sein, der Erhebung seiner Daten zu widersprechen. Schließlich müssen die Daten nach Abschluss der Analyse gelöscht werden und dürfen zu keinem Zeitpunkt mit der betreffenden Person zusammengeführt werden.
Beachten Sie: Das Zählen der Besucher auf der Website fällt nicht unter die Datenschutzregeln, da hierbei nur die Zugriffe gezählt werden. Bei der Aufzeichnung der Zugriffe handelt es sich nicht um personenbezogenen Daten.
3. Verwendung von Plug-Ins von Social Media (Social-Plug-Ins)
Plug-Ins sind Programme sozialer Netzwerke wie Facebook, Google+ u.ä., die z.B. in Form eines „Gefällt mir“- oder „+1“-Buttons (dargestellt als kleines Symbol) auf einer Internetseite installiert werden können. Bei diesen Social-Plug-Ins ist stets eine ausdrückliche Einwilligung des Besuchers erforderlich. Eine anerkannte Technik für die Einholung der Einwilligung ist hier der Shariff-Button oder die 2-Klick-Lösung.
Als problematisch angesehen werden diese Buttons deshalb, weil schon mit Aufruf der Internetseite, auf der sie sich befinden, eine Verbindung mit den Servern des jeweiligen Netzwerks hergestellt und die IP-Adresse des Besuchers dorthin übermittelt wird. Dies gilt unabhängig davon, ob diese Person bei dem sozialen Netzwerk eingeloggt oder überhaupt registriert ist. Bei eingeloggten Nutzern wird der Besuch einer Seite mit Plug-In außerdem ihrem Nutzerkonto zugeordnet. Damit nicht schon bei Aufruf der Seite Daten an die Server des jeweiligen Netzwerkes weitergeleitet werden, sollte der Plug-In zunächst nur als bloße Grafik ohne aktive Funktion auf der Seite erscheinen. Erst durch Anklicken wird dann der eigentliche Plug-In aktiviert und die Verbindung zu den Servern hergestellt, zuvor soll der Besucher jedoch auf die Folgen hingewiesen werden. Auf diese Weise muss der Besucher aktiv einwilligen, bevor seine Daten an das Netzwerk weitergeleitet werden (sog. 2-Klick-Lösung).
4. Datentransfer in Drittländer
Bei der Nutzung von Internetseiten können aufgrund der zugrunde liegenden Technik personenbezogene Daten der Besucher in andere Staaten außerhalb der EU übermittelt werden. Die Datenschutzgrundverordnung sieht für die Übermittlung personenbezogener Daten in ein Land außerhalb der EWR (EU und Island, Liechtenstein, Norwegen) besondere Regelungen vor. Eine erste Orientierung hierzu bietet das aktuelle Kurzpapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK). Link: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/02/DSK_KPNr_4_Drittländer.pdf#
5. Wer haftet für die Datenverarbeitung auf der Plattform Facebook?
Viele Unternehmer fragen sich seit der Entscheidung des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018, ob – neben Facebook – auch der Betreiber einer Facebook-Fanpage für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist. Eine gute Zusammenfassung des gesamten Streits finden Sie bei der betroffenen IHK Schleswig-Holstein: https://www.ihk-schleswig-holstein.de/recht/aktuelle-rechtsthemen/facebook-fanpage-eugh/4086290
Auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat sich zu der Entscheidung des EuGH geäußert: Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtliche Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht. Die Ausführungen des DSK vom 6. Juni 2018 finden Sie hier. (https://www.datenschutz-berlin.de/pdf/publikationen/DSK/2018/2018-DSK-Fanpages_EuGH_Urteil.pdf)
Auffindbarkeit der Datenschutzerklärung
Die Datenschutzerklärung muss für den Nutzer jederzeit leicht auffindbar und aufrufbar sein. Wir empfehlen, neben dem Link zum Impressum auf jeder Seite (vielleicht in der Fußleiste) einen Link „Datenschutzerklärung“ einzurichten. Achtung: Keine Datenschutzerklärung in den AGBs! Es ist unzulässig, Datenschutzerklärungen in eventuell verwendete allgemeine Geschäftsbedingungen zu integrieren, da es sich nur um eine Information des Nutzers handelt und eben nicht um eine Vertragsbedingung.
Online-Kontaktformulare
Bei der Verwendung von Online-Kontaktformularen empfehlen wir Ihnen, die Datenschutzerklärung direkt als Passus in die Formularmaske mit aufzunehmen und über den jederzeit möglichen Widerruf der Verwendung der Daten zu informieren und die Einwilligung des Kunden einzuholen.
Bei Online-Kontaktformularen muss seit dem 25. Mai 2018 gekennzeichnet werden, was Pflichtfelder sind. Daten auf Vorrat zu erheben ist nicht erlaubt, wenn sie für den Zweck nicht notwendig sind (Beispiel: Geburtsdatum als Pflichtfeld zu markieren beim Abonnement eines Newsletters). Weiterhin ist es seit dem 25. Mai 2018 Pflicht, dass die Datenübermittlung per Kontaktformular verschlüsselt erfolgt.
Newsletter
Für den Versand von Newslettern ist rein technisch nur die Angabe der E-Mail-Adresse erforderlich. Die Erhebung weiterer personenbezogener Daten wie Vor- und Nachname, Postadresse oder Geburtsdatum könnte ein Verstoß gegen Art. 25 Abs. 2 Satz 1 DSGVO bedeuten. Danach muss sichergestellt sein, dass durch die Voreinstellung nur diejenigen personenbezogenen Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind. Deshalb empfehlen wir Ihnen, dass Sie für die Anmeldung zum Newsletter nur die Angabe der E-Mail-Adresse als Pflichtfeld markieren und die Angabe aller weiteren personenbezogenen Daten vom Abonnenten freiwillig erfolgen kann.
Abmahnung und Bußgelder
Mangelhafte Datenschutzerklärungen oder eine fehlende Einwilligung sind wettbewerbsrechtlich angreifbar. So ist zum Beispiel eine fehlende Datenschutzerklärung auf einer Website dann keine wettbewerbsrechtliche Bagatelle mehr, wenn die Daten über ein Online-Kontaktformular erhoben werden. Außerdem kann ein Verstoß gegen datenschutzrechtliche Vorschriften Bußgelder auslösen.