Datenschutzerklärung im Internet nach der DSGVO

Lesezeit: ca. 8 Minuten

Eine transparente Information über die Datenverarbeitung personenbezogener Daten ist heute wichtiger denn je. Laut Artikel 12 bis 14 der EU Datenschutzgrundverordnung (DSGVO) ist der Verantwortliche zum Zeitpunkt der Erhebung dieser Daten dazu verpflichtet ausführlich über den Umgang damit zu informieren. Wie muss dies in der Praxis aussehen?

Streitpunkt TMG oder DSGVO

Seit dem 25. Mai 2018 gilt EU-weit für alle Unternehmen und Behörden uneingeschränkt die DSGVO, womit das vorher gültige Telemediengesetz (TMG) abgelöst wurde. Doch was den Online-Bereich betrifft, ist weiterhin umstritten, welche der beiden vorerst Anwendung finden soll. Die bisher bestehende ePrivacy-Richtlinie, auf deren Basis sich auch das TMG verabschiedet wurde, soll durch die ePrivacy-Verordnung ersetzt werden. Letztere soll ebenso wie die DSGVO für alle Unternehmen in der europäischen Union gelten, wird aber erst 2019 umgesetzt werden, womit es zu besagter Unklarheit kommt.

Das TMG sah jedoch bereits eine Transparenz bei der Datenverarbeitung vor. Es sollte u.a. darüber informiert werden, welcher der Zweck, die Art und der Umfang der Datenverarbeitung sei. Darüber hinaus war die Identität der Verantwortlichen offenzulegen.

Es scheint, als würden die bisherigen Entwürfe der ePrivacy-Verordnung keine konkreten Regelungen der Informationspflichten im Onlinebereich vorsehen, womit in jedem Fall die Vorschriften der technikneutralen DSGVO anzuwenden wären.

Hinweise zur Form der Datenschutzerklärung nach Artikel 12 DSGVO

Die DSGVO beschreibt in Artikel 12 umfangreich, in welcher Form die Informationen über die Datenverarbeitung an den Betroffenen gegeben werden sollen. Der Gesetzestext besagt, dass jede Information bezüglich der Verarbeitung in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln sei.

Dies schließt in der Praxis beispielsweise ein Kopieren des Gesetzestextes aus und setzt voraus, dass jene Information gut sichtbar auf der Webseite, unter einem eigenen Button, aufzufinden und für jeden Betroffenen verständlich formuliert ist.

Inhalte der Informationen über die Datenverarbeitung nach Artikel 13 und 14

Aufgrund mangelnder Nachvollziehbarkeit und gegebener Komplexität der genauen Datenverarbeitung beim Besuch einer Internetseite, empfiehlt es sich als Verantwortlicher neben den nach Artikel 13 nötigen Informationen auch die durch Artikel 14 vorgesehenen Angaben offenzulegen. Artikel 14 bezieht sich auf die Erhebung personenbezogener Daten durch Dritte und da jene im Onlinebereich nicht auszuschließen ist, sind in diesem Fall beide Artikel zu berücksichtigen.

Nennung des Verantwortlichen und des Datenschutzbeauftragten

Nach Artikel 13 ist als erstes der Verantwortliche für die Datenverarbeitung namentlich zu nennen und zusätzlich dessen vollständige Kontaktadresse. Das sind im Zweifelsfall die Angaben, die auch im Impressum veröffentlicht sind. Es empfiehlt sich der Einfachheit halber an den Stellen der Datenschutzerklärung, wo eine Kontaktaufnahme notwendig sein könnte, auf das Impressum zu verweisen.

Ergänzend dazu ist eine Angabe der Kontaktdaten des zuständigen Datenschutzbeauftragten zu machen. Dies kann zum Beispiel eine separate, wenn auch allgemein und personenabhängig gehaltene E-Mail-Adresse sein.

Mittel und Zwecke der Verarbeitung

Ein zentraler Punkt der Datenschutzerklärung ist die Frage: Welche Daten werden wie und wozu verarbeitet?

Im Falle des Internets stellt sich das etwas komplizierter dar. Neben den Daten, die bei der Nutzung der Services einer Webseite anfallen, sind auch die offenzulegen, die schon durch alleiniges Besuchen der Webseite anfallen. Somit muss im Zweifelsfall über den Gebrauch von Cookies, Social Plug-ins, Profiling Tools etc. informiert werden. Ein sorgfältiger Bericht über alle eingesetzten Tools ist Pflicht.

Bei einem ersten Besuch der Webseite ohne Nutzung weiterer Services, muss der benutzer im Normalfall keine Angaben zu seiner Person machen. Dennoch sind Daten, wie die IP-Adresse, der Browsertyp und ähnliches, der Definition der personenbezogenen Daten zuzuordnen. In der Regel handelt es sich hierbei um Funktionen, die zur Verbesserung der Webseite genutzt werden.

Server-Logfiles, Cookies, Analysetools, Plug-Ins

Beim Besuch einer Webseite erhebt der Verantwortliche Informationen über Zugriffe auf Online-Inhalte der Nutzer. IP-Adresse, Browsertyp/-version und Uhrzeit der Nutzung werden in Server-Logfiles gespeichert. Eine konkrete Angabe der gespeicherten Datentypen ist unumgänglich.

Des Weiteren werden häufig Cookies eingesetzt. Hier ist in der Datenschutzerklärung zu erläutern, was ein Cookie ist bzw. wie es funktioniert und wozu der Betreiber die verwendeten Cookies nutzt. Dem Nutzer ist mitzuteilen, welche Informationen in den Cookies gespeichert und welche an den Verantwortlichen weitergeleitet werden. Zusätzlich darf nicht die Rechtsgrundlage außer Acht gelassen werden. Beispielsweise könnte dies eine Einwilligung nach Artikel 6 Abs. 1 Buchstabe a der DSGVO oder die Wahrung berechtigter Interessen (Buchstabe f), wie beispielsweise eine nutzergerechte Gestaltung der Webseite, sein.

Beim Einsatz von Analysetools wie z.B. Google Analytics, werden spezielle Cookies genutzt, die eine Analyse des Surfverhaltenes der Nutzer erreichen. Auch hier muss ausführlich über die Funktionen, als auch über der Möglichkeit zur Verhinderung dieser Datenspeicherung durch gewisse Einstellungen im Browser informiert werden. Eine aktuelle Tendenz besagt jedoch, dass diese Art von Analysetools in Zukunft nur noch mit einer Einwilligung zulässig sein wird. Da das TMG nicht mehr gültig wäre, würde die bisher genutzte Opt-out-Lösung nicht mehr anzuwenden sein. Beim Umgang mit diesen Tools ist also Vorsicht geboten, denn sie könnten zukünftig zum Datenschutzrisiko werden.

Ein ebenso kritisches Thema bildet die Anwendung von Social Plug-Ins. Eine Weiterleitung der durch eine Webseite gespeicherten Daten an Netzwerke wie Facebook, Twitter, Youtube oder Xing ist ohne eine ausdrückliche Einwilligung des Nutzers unzulässig. Auch bei einer noch so ausführlichen Datenschutzerklärung bleibt stets ein Restrisiko für den Betreiber der Webseite. Werden Social Plug-Ins genutzt, muss in jedem Fall auf die jeweilige Datenschutzerklärung des verbundenen Netzwerks hingewiesen werde. Zudem sollte eine Mitteilung über Add-Ons für den Browser, die die Erhebung von Daten unterbinden können, und die Empfehlung, sich aus dem jeweiligen Netzwerkprofil auszuloggen, um eine Zuordnung der Daten zu verhindern, vorhanden sein.

Neben diesen internetspezifischen Angaben gilt die Informationspflicht selbstverständlich für die Verarbeitung von Daten, die der Nutzer direkt angeben muss, um die Services, der Webseite zu nutzen und die, die bei der Nutzung der Services eigenständig von der Webseite gespeichert werden. Das können Online-Shops, die Teilnahme an Gewinnspielen, das Bestellen von Newslettern, Online-Bewerbungen oder auch Downloads von Materialien und Kontaktaufnahmen zum Betreiber der Webseite sein.

Neben diesen Informationen muss die Datenschutzerklärung darauf hinweisen, welche Konsequenzen sich für den Nutzer aus einer Verweigerung der Datenangabe ergeben und ob diese zwingend oder freiwillig erfolgt.

Rechtsgrundlage

Artikel 13 der DSGVO besagt des Weiteren, dass eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten anzugeben ist. Hier sind einerseits die Rechtgrundlagen der DSGVO gemeint, andererseits können aber auch andere Gesetze wie das TMG oder Jugendschutzgesetz herangezogen werden. Das momentane Spannungsverhältnis zwischen DSGVO und TMG kann an einigen Stellen zum Problem werden, was sich allerdings erst mit der Anpassung des TMG ändern wird.

Empfänger der Daten

In der Datenschutzerklärung muss ausgeführt werden, welche Empfänger bzw. welche Kategorien von Empfängern die Daten erhalten und zu welchem Zweck, wie z.B. zum Zwecke einer Vertragsabwicklung.

Übermittlung in unsichere Drittländer

Ebenso darzustellen ist die Übermittlung von Daten an ein unsicheres Drittland, was beispielsweise bei internationalen Organisationen der Fall sein kann – auch im Falle der Nutzung von Google Analytics, da die Google Inc. ihren Sitz in den USA hat. Diese Angaben beinhalten außerdem die angemessenen Garantien, die zur Legitimierung der Datenweitergabe realisiert wurden.

Quelle der Daten

Neben den Daten, die der Betreiber weitergibt, muss er auch darüber Auskunft geben, welche Daten er selbst von einem Dritten, wie z.B. einer Suchmaschine, erhält.

Speicherung von Daten

Im zweiten Absatz von Artikel 13 DSGVO werden weitere vorgeschriebene Teile der Datenschutzerklärung aufgeführt. Hier findet sich ein Eintrag zum Thema Speicherdauer der Daten. Der Gesetzgeber sieht vor, dass der Betreiber einer Webseite einen konkreten Zeitraum benennt, für den erhobene und verarbeitete Daten gespeichert werden. Ist dies nicht ohne weiteres möglich, sind die Kriterien zur Festlegung dieser Dauer anzugeben. Es empfiehlt sich außerdem, darauf hinzuweisen, welche Rechtsgrundlage die Speicherdauer hat.

Rechte der betroffenen Person

Die DSGVO (Artikel 12 ff.) betont diverse Rechte der betroffenen Person, die sie im Zweifelsfall gegen den Verantwortlichen geltend machen kann. Dazu werden das Auskunftsrecht, das Recht auf eine Einschränkung der Verarbeitung, sowie das Recht auf Berichtigung und Löschung der Daten, Widerspruchsrechte und das Recht auf Datenübertragung gezählt. Diese sind ausführlich und verständlich zu beschreiben. Außerdem empfehlenswert ist ein Hinweis darauf, wann für den Nutzer diese Rechte nicht greifen.

Im Fall des Beschwerderechts sind neben dem Recht selbst auch die vollständigen Kontaktdaten zu nennen.

Automatische Entscheidungsfindung/ Profiling

Die Datenschutzerklärung muss darüber aufklären, ob und warum eine automatisierte Entscheidungsfindung oder ein Profiling stattfindet. Im Falle der Nutzung von Analysetools ist dies nicht auszuschließen.

Widerrufsrechte

Zuletzt muss in jedem Fall auch über die Möglichkeit des Widerrufs der Einwilligung informiert werden.

Dass die Datenschutzerklärung eines Unternehmens im Internet rechtskonform ist, bedeutet eine gute und vor allem abgesicherte Darstellung nach außen. Gerade im Fall von Abmahnungen etc. kann eine unzulängliche Datenschutzerklärung für einen Mitbewerber als Basis eines Rechtsstreits dienen. Insofern lohnt es sich definitiv, Zeit und Sorgfältigkeit bei der Ausarbeitung der Erklärung zu investieren. Diese kann für Unternehmen auch außerhalb des Online-Bereichs relevant werden, indem, im direkten persönlichen Kontakt mit Kunden oder auch im Briefverkehr, auf die im Internet zu findenden Datenschutzhinweise verwiesen wird.

Datenschutzerklärung im Mailverkehr

Auch bei geschäftlichen E-Mails bestehen die Informationspflichten über den Umgang mit personenbezogenen Daten, insofern, wie in Absatz 4 von Artikel 13 DSGVO aufgeführt, der Betroffene noch nicht über die Informationen verfügt. Der Einfachheit halber darf am Ende einer Mail ein Link auf die online vorhandene Datenschutzerklärung angegeben werden. Zur Sicherheit empfiehlt es sich, diesen Link in den Standardentwurf für E-Mails einzufügen, so dass keinem Kunden oder potentiellem Kunden die Informationen vorenthalten werden.

Datenschutzerklärung im Briefverkehr

Das gleiche gilt für den schriftlichen Verkehr auf dem Briefweg. Hier darf ebenfalls auf die im Internet bereitgestellten Datenschutzhinweise Bezug genommen werden. Dies kann z.B. in Form eines QR-Codes geschehen. In keinem Fall dürfen aber die Informationspflichten im Offline-Bereich vernachlässigt werden.

Sind Datenschutzhinweise am Telefon notwendig?

Während beim schriftlichen Verkehr mit Kunden eine Datenschutzerklärung somit eher leicht einzubringen ist, gestaltet sich dies im Fall von Telefonie und auch im persönlich mündlichen Kontakt etwas komplizierter. Muss einem potentiellen Neukunden, der beispielsweise das erste Mal bei einem Arzt oder Friseur anruft, um einen Termin zu vereinbaren, sofort eine Datenschutzerklärung vorgelesen werden? Was erstmal relativ lebensfern klingt, wird dank der DSGVO tatsächlich zum Konfliktpunkt. Laut Gesetz muss der Verantwortliche auch bei Telefonaten oder im persönlichen Gespräch zum Zeitpunkt der Erhebung personenbezogener Daten den Betroffenen über die Datenverarbeitung informieren. Der Mehrwert für den Kunden selbst ist fragwürdig. Aber auch wenn die DSGVO nicht außer Acht gelassen werden darf, sind die Aufsichtsbehörden zumindest mit einem gestuften Informationsprozess einverstanden. Somit muss am Telefon nicht eine gesamte Datenschutzerklärung vorgelesen werden, sondern es genügen einige wichtige Hinweise und ein zusätzlicher Verweis, wie auch bei Briefen und E-Mails, auf die Datenschutzerklärung im Internet. Der Gesetzgeber geht davon aus, dass jeder in der EU lebende Mensch die Möglichkeit habe, auf das Internet zuzugreifen, womit ein Verweis auf die Datenschutzrichtlinien des Unternehmens im Internet grundsätzlich ausreichend ist.

Die Wichtigkeit der Anwendung und Umsetzung der DSGVO für den Gesetzgeber ergibt sich zuletzt auch daraus, dass die Informationspflichten der 2. Bußgeldstufe zugeordnet sind. Weist die Datenschutzerklärung im Internet Unvollständigkeiten auf und verfehlt somit die Ziele der in Artikel 12 bis 14 DSGVO beschriebenen Informationspflichten, droht dem Unternehmen oder der Behörde neben dem Schmerzensgeldanspruch der Betroffenen im Zweifelsfall auch eine Bußgeldstrafe von bis zu 20 Mio. Euro oder 4% des gesamten weltweiten Jahresumsatzes.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen