Schlagwort-Archiv: Datenschutzerklärung

Datenschutzhinweise auf einer Webseite

Es besteht keine generelle Pflicht auf jeder Webseite Datenschutzhinweise einzubinden. Soweit allerdings Webseitenbetreiber personenbezogener Daten des Nutzers (z.B. Vor- und Nachname, Telefonnummer, Telefaxnummer, E-Mail-Adresse, Anschrift des Internetnutzers) erheben (z.B. Blogs mit Kommentarfunktion, Online-Shops) sind sie verpflichtet über die Erhebung dieser Daten im Rahmen einer sog. „Datenschutzerklärung“ zu informieren. Nicht zu unterschätzen ist auch der Umstand, dass schnell auffindbare Datenschutzhinweise ein Vertrauen beim Nutzer im Hinblick auf seriösen Umgang mit erfassten Daten schafft.

Den Informationspflichten sollte am besten im Rahmen einer eigenen Unterseite mit dem Titel „Datenschutzhinweise“, „Datenschutzerklärung“ oder „Privacy Policy“ nachgekommen werden. Der Link zur Datenschutzerklärung sollte, wie auch das Impressum, einfach erkennbar und schnell erreichbar sein. Es ist zu empfehlen, dass die Datenschutzerklärung von jedem Punkt des Internetangebots aus erreichbar ist. Üblich ist z.B. ein Link in der Navigations- oder Fußleiste (wie beim Impressum). Die Datenschutzhinweise sollten allerdings nicht im Impressum „versteckt“ werden. Wenn sich die Datenschutzerklärung zusammen mit dem Impressum hinter einem Link befinden soll, sollte dieser Link dann entsprechend auch mit „Impressum/Datenschutzerklärung“ bezeichnet werden.

Häufig werden in der Praxis der Einfachheit halber im Rahmen von Datenschutzerklärungen gleichzeitig auch zusätzliche Einwilligungen in die Datenverarbeitung gem. § 4a BDSG eingeholt (z.B. für die Übermittlung der Daten an Dritte). Die Einholung der erforderlichen Einwilligung ist aber problematisch, da umstritten ist, ob und ggf. in welchem Umfang Betroffene in dieser Weise überhaupt in die Datenverarbeitung einwilligen können. Es besteht somit die Gefahr, dass die abgegebene Einwilligung unwirksam ist. Am besten sollten daher die Einholung der Einwilligungen und die Information durch die Datenschutzerklärung getrennt erfolgen. Es ist zu empfehlen eine Einwilligung immer zumindest durch das Anklicken eines Kästchens einzuholen (sog. Opt-In). Allerdings ist dies oftmals in der praktischen Umsetzung schwer einzuhalten, da nicht immer die Möglichkeit besteht solch ein Kästchen tatsächlich einzubinden.

Umfang der Datenschutzerklärung

Gemäß § 13 Abs. 1 TMG muss der Webseitenbetreiber seine Nutzer über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über Übermittlungen ins Ausland in allgemein verständlicher Form unterrichten.

Die konkrete Gestaltung einer Datenschutzerklärung hängt stets davon ab, welche Daten für welche Zwecke im Einzelfall verwendet werden und z.B. welche Social-Media Plugins verwendet werden.

Über folgende Punkte muss der Nutzer zumindest in verständlicher Weise informiert werden:

  • Welche personenbezogenen Daten werden konkret erhoben und verwendet (z.B. Inhalt eines Kontaktformulars; Hinweis auf Newsletterversand; Bonitätsprüfung; (nach Ansicht der Aufsichtsbehörden zählen auch IP-Adressen zu den zu benennenden personenbezogenen Daten, dies ist jedoch strittig).
  • Des Weiteren sollte in der Datenschutzerklärung darüber informiert werden, wenn Zugriffsdaten/ Server-Logfiles oder Cookies gespeichert werden, eine Kontaktaufnahme ermöglicht wird, Kommentare und Beiträge, Kommentarabonnements oder Newsletter angeboten werden.
  • Außerdem muss der Nutzer darüber aufgeklärt werden, welche Daten bei der „Einbindung von Diensten und Inhalten Dritter“ (z.B. Kartenmaterial von Google-Maps, Videos von YouTube, RSS-Feeds oder Grafiken von anderen Webseiten) erhoben werden. Zudem muss über die Widerruf, Änderungen, Berichtigungen und Aktualisierungen aufgeklärt werden.
  • Weiterhin ist anzugeben, warum die Daten gespeichert werden (sog. „Verwendungszweck“: z.B. Beantwortung von Anfragen; Versand eines Newsletter; Beweissicherung beim „double opt-in“-Verfahren).
  • Wohin werden personenbezogene Daten ggf. übermittelt (z.B. Partnerunternehmen, insbesondere sollten auch Stellen in Drittstaaten konkret benannt werden).
  • Wenn folgende Angebote bzw. Tools oder Social-Media-Plugins in die Website eingebunden sind, muss dies auch in der Datenschutzerklärung angegeben werden, da hier personenbezogene Daten erhoben werden:
    • Google Analytics, +1 Schaltfläche von Google+, Google AdSense, Piwik, eTracker, Facebook Social Plugins, Twitter, Jetpack/Wordpress.com-Stats, Akismet, Flattr, MailChimp, Amazon-Partnerprogram.
    • Zu diesen Tools oder Social-Media-Plugins muss jeweils konkret dargelegt werden, wie diese Dienste personenbezogene Daten erheben. Zur Information über den Einsatz von z.B. Webanalysetools wird der Webseitenbetreiber zum Teil vom Hersteller des Tools vertraglich verpflichtet. Google Analytics schreibt z.B. genau vor, welcher Text hierfür zu verwenden ist. Wie man z.B. Google Analytics Datenschutzschutzkonform verwendet und ein Formulierungsmuster für die Homepage findet sich hier.
  • Die Informationspflichten reichen allerdings nicht immer aus; zum Teil bedarf es einer datenschutzrechtlichen Einwilligung, welche grundsätzlich auch nachweisbar eingeholt werden muss (z.B. „double Opt-In“ zur Newsletterwerbung im Bestellablauf (siehe oben) oder bei Versand von personenbezogenen Daten in ein Land ohne ein „angemessenes Schutzniveaus („Opt-In“), z.B. USA).
  • Des Weiteren bedarf es eines Hinweises auf das Bestehen eines Widerspruchsrechts, wenn
    • Nutzerprofile gemäß § 15 Abs. 3 TMG erstellt werden, oder
    • Newsletter an Bestandskunden auf Grundlage von § 7 Abs. 3 UWG versendet werden (der Hinweis muss zusätzlich im Newsletter selbst erteilt werden)
  • Über den Einsatz von Cookies, die ohne personenbezogene Daten auskommen, den bestellten Datenschutzbeauftragten und dessen Kontaktdaten (siehe hierzu den Artikel, wann ein Datenschutzbeauftragter zu bestellen ist) über die Rechte des Nutzers nach § 13 Abs. 7 TMG und §§ 34 ff. BDSG sowie über getroffene IT-Sicherheitsmaßnahmen (nach § 9 BDSG und Anlage) muss nicht zwingend informiert werden. Als vertrauensbildende Maßnahme ist dies jedoch in Erwägung zu ziehen.

Tipp: Im Internet gibt es verschiedene Anwälte die Datenschutzerklärungsgeneratoren anbieten. Auch wenn diese unterschiedliche Qualität haben, ist es besser –wenn die Kosten eines Anwalts gespart werden sollen- zumindest solch eine automatisch generierte Datenschutzerklärung in die Webseite einzubinden, als gar keine zu haben.

Die Datenschutzerklärung sollte des Weiteren stets bei neuen Tools, Social-Media-Plugins und technischen und sonstige Neuerungen überprüft und ggfs angepasst werden.

Datenschutzerklärung bei Social-Media Profile

Bei Social-Media Profilen werden in den meisten Fällen die Informationspflichten bereits durch die Datenschutzerklärung der Social-Media-Plattform selbst erfüllt. Nur wenn die Plattform selbst keine Datenschutzerklärung bietet oder im Rahmen des Social-Media Auftritts zusätzliche Daten von den Besuchern erhoben werden (z.B. im Rahmen eines Gewinnspiels), wird eine eigene Datenschutzerklärung notwendig.

Rechtsfolgen

Bei fehlenden oder falschen Informationen über die Datenerhebung können die Datenschutzbehörden Bußgelder von bis zu EUR 50.000 verhängen, was bislang aber sehr selten passiert. Des Weiteren wird häufig von den Datenschutzbehörden vor Verhängung eines Bußgeldes die Möglichkeit eingeräumt den Datenschutzverstoß abzustellen (Stellungnahme und Nachbesserung).

Schließlich könnten kostenpflichtige Abmahnungen von Wettbewerbern ausgesprochen werden. Allerdings sehen die meisten Gerichte in einem Datenschutzverstoß allein zunächst keinen Wettbewerbsbezug, weil die Datenschutzbestimmungen die Rechte von Privatpersonen schützen sollen, es sei denn, es gibt eine wirtschaftliche Komponente (z.B. durch den Verkauf der Daten an Dritte oder unerwünschter E-Mail-Werbung). Allerdings wird diese Auffassung der Gerichte von vielen Juristen kritisiert, so dass es durchaus möglich ist, dass die Gerichte dies zukünftig anders bewerten.

Auch Privatpersonen können theoretisch den Webseitenbetreiber verklagen. Dies ist aber äußerst selten und die Streitwerte sind meist sehr gering und daher auch für Anwälte nicht interessant.

Über den Autor

Jan SchnedlerDieser Artikel ist in Zusammenarbeit mit Jan Schnedler von Grenius Rechtsanwälte in Hamburg entstanden. Er ist Spezialist für die Themen Technologietransfer, Wirtschaftsrecht, IP/Geistiges Eigentum und IT-Recht.