Gratis
21. Mai 2018 - Umfangreiche Informationspflichten

Datenschutzerklärung im Internet: Was muss drinstehen?

Drucken

Was immer wieder Ziel von Abmahnungen war, wird in Zukunft mehr denn je im Fokus stehen: die Datenschutzerklärung, die auf der Webseite abrufbar ist. Welche Anforderungen muss dieses datenschutzrechtliche Aushängeschild nach der Datenschutz-Grundverordnung (DSGVO) erfüllen?

Empfehlenswert ist, der Daten­schutzerklärung eine kurze Einleitung über Sinn und Zweck der Erklärung voranzustellen Empfehlenswert ist, der Daten­schutzerklärung eine kurze Einleitung über Sinn und Zweck der Erklärung voranzustellen (Bild: iStock.com/HYWARDS)

Transparenz – und dazu gehört die Datenschutzerklräung – ist eines der hervorstechendsten Themen der DSGVO: Die betroffene Person soll umfassend darüber informiert werden, was der jeweilige Verantwortliche mit ihren Daten zu tun beabsichtigt.

Das soll sie in die Lage versetzen, Risiken besser einzuschätzen und zu entscheiden, ob sie ihre Daten dem Verantwortlichen für die jeweiligen Zwecke zur Verfügung stellen will, bzw. ihr wird mitgeteilt, für welche Zwecke der Verantwortliche diese Daten verarbeitet bzw. verarbeiten muss.

Bisher: Transparenz nach TMG

Die Anforderung, zu informieren, bestand de facto schon vorher, u.a. nach dem Telemediengesetz (TMG).

§ 13 TMG sieht vor, dass der Anbieter eines Telemediendienstes, d.h. einer Webseite, die Inhalte, Kontaktformulare etc. anbietet, u.a. darüber informieren muss, für welche Zwecke er Daten verarbeitet, sowie über die Art und den Umfang der Datenverarbeitungen. Übermittelt er Daten an Stellen außerhalb des Europäischen Wirtschaftsraums, ist auch darüber zu informieren.

Zusätzlich muss die datenverarbeitende Stelle ihre Identität offenlegen.

TMG oder DSGVO?

Das TMG basiert auf der ePrivacy-Richtlinie, die durch die ePrivacy-Verordnung abgelöst werden soll.

Die ePrivacy-Verordnung wird analog zur DSGVO unmittelbar für alle Unternehmen gelten, die ihren Sitz in der Europäischen Union haben, und das TMG ablösen.

Die Umsetzung der ePrivacy-VO lässt noch jedenfalls bis 2019 auf sich warten. Es ist umstritten, ob bis dahin das TMG weiterhin für den Online-Bereich Anwendung finden soll oder ob die DSGVO – die grundsätzlich technikneutral ausgestaltet ist und damit sowohl für den Online- als auch für den Offline-Bereich gilt – das TMG bis zur Einführung der ePrivacy-Verordnung ersetzt.

Was gilt jetzt?

Da die bisherigen Entwürfe der ePrivacy-Verordnung wohl keine konkreten Regelungen zu den Informationspflichten im Online-Bereich enthalten, gehen Sie vorsichtshalber davon aus, dass zumindest im Rahmen der Transparenz die Regelungen der Art. 12 ff. DSGVO Anwendung finden.

Als Argument dafür lässt sich auch anführen, dass Erwägungsgrund 58 der DSGVO ausdrücklich eine Veröffentlichung der Informationen nach Art. 13, 14 DSGVO im Internet als Option ausweist.

Art. 12 DSGVO legt die Grundsätze fest, die bei der Ausübung bzw. Erfüllung von Betroffenenrechten umzusetzen sind. Die Information über den Umgang mit den Daten ist u.a. in präziser, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zu erteilen.

Ein Abschreiben des Gesetzestextes verbietet sich daher.

Damit die Datenschutzerklärung auffindbar ist, sollte sie gut sichtbar auf der Webseite (und auch auf allen Unterseiten) unter einem eigenen Button „Datenschutzerklärung“ abrufbar sein.

Inhaltlich: mind. Art. 13 ff. DSGVO

Da in der Praxis nicht auszuschließen ist, dass eine Webseite auch Informationen über Dritte erhebt, sollten Verantwortliche nicht nur die nach Art. 13 DSGVO erforderlichen Informationen, sondern zusätzlich die nach Art. 14 DSGVO nötigen Angaben zur Verfügung stellen.

Art. 13 und 14 DSGVO unterscheiden zwischen den Minimalangaben nach Abs. 1 und den weiteren Angaben nach Abs. 2. Letztere sollen nur dann zu erteilen sein, wenn dies für eine „faire und transparente Verarbeitung“ erforderlich ist.

Es empfiehlt sich, sämtliche Angaben aufzunehmen, um das Risiko zu minimieren. Denn es wird sich schwerlich begründen lassen, in welchen Fällen die Information verzichtbar ist.

Was heißt das nun ganz konkret? Im Folgenden stellt der Beitrag die nötigen Punkte im Einzelnen vor. Die Checklidste finden Sie im Word-Format hier: http://dspraxis.de/cldatenschutzerklaerung.

Checkliste zur Datenschutzerklärung – an alles gedacht?

Checkliste zur Datenschutzerklärung – an alles gedacht?

1) Informationen über den Verantwortlichen

Hier ist neben der Firmierung die vollständige Kontaktadresse des Verantwortlichen, d.h. desjenigen, der für die Datenverarbeitung verantwortlich ist, anzugeben.

Dies wird in der Regel derjenige sein, der auch im Impressum verzeichnet ist.

Der Einfachheit halber verweist die Datenschutzerklärung an den Stellen, an denen eine Kontaktaufnahme durch die betroffene Person erforderlich werden kann – z.B. wenn sie ihre Rechte ausüben oder ihre Einwilligung widerrufen möchte – auf diese Adresse.

2) Kontaktdaten des DSB

Der Datenschutzbeauftragte ist namentlich zu benennen.

Als Kontaktadresse lässt sich die geschäftliche Adresse des Verantwortlichen angeben; ggf. empfiehlt sich eine separate, wenn auch allgemein gehaltene E-Mail-Adresse, die speziell dem Datenschutz zuzurechnen ist (z.B. datenschutzbeauftragter@…).

3) Zwecke der Verarbeitung

Die Datenschutzerklärung muss u.a. ausführlich über Online-typische Nutzungen informieren. Dazu gehört z.B. der Einsatz von Cookies, Social Plug-ins, Tracking-Tools oder Profiling-Tools, die das Verhalten von Besuchern der Webseite analysieren. Die Erklärung sollte daher

  1. über den Umgang mit den Daten informieren, die verarbeitet werden, wenn der Nutzer die Webseite lediglich besucht, und
  2. über den Umgang mit Daten, die anfallen, wenn der Besucher die Services nutzt, die die Webseite anbietet.

Erster Zweck: Besuch der Webseite

Bei einem reinen „Vorbeischauen“ ist es in der Regel nicht erforderlich, dass der Besucher der Webseite Angaben zu seiner Person macht, etwa sich registriert oder seine Kontaktdaten angibt.

Doch auch in diesen Fällen erhebt der Betreiber der Webseite personenbezogene Daten, wenn er z.B. Daten über den Besucher speichert, um die Funktionalitäten der Webseite zu verbessern oder zu analysieren.

Hier ist eine sorgfältige Mitteilung über alle eingesetzten Tools Pflicht. Dies kann z.B. umfassen:

Information über Server-Logfiles: Der Betreiber einer Webseite erhebt z.B. Informationen über die Zugriffe des Nutzers auf die Inhalte und speichert sie in Server-Logfiles. Hier empfiehlt es sich, die erfassten Daten klarstellend zu konkretisieren, wie Uhrzeit des Webseiten-Besuchs, IP-Adresse oder Browsertyp/-version.

Information zu Cookies: Daneben werden regelmäßig Cookies eingesetzt. Hier sollte die Datenschutzerklärung erläutern, was ein Cookie ist, wie es funktioniert, wozu der Verantwortliche die Cookies nutzt – etwa um die Webseite mit ihren technischen Funktionen zur Verfügung zu stellen –, welche Informationen in den Cookies gespeichert und welche an den Betreiber der Webseite übermittelt werden (z.B. Spracheinstellungen, Suchbegriffe).

Wichtig ist, darüber zu informieren, wie der Nutzer die Cookies ausschalten kann, damit er der Erstellung von Profilen etc. widersprechen kann. Hier empfiehlt sich ein Hinweis auf die entsprechenden Funktionalitäten oder auf die Hilfedatei des Browsers des Nutzers. Zusätzlich ist ein Verweis auf die Seite www.aboutcookies.org. nützlich.

Unerlässlich ist zudem ein Hinweis auf die Konsequenzen, wenn der Nutzer die Cookies ausschaltet: Dies führt nämlich üblicherweise dazu, dass er nicht mehr alle Funktionalitäten der Webseite nutzen kann.

Nicht vergessen: Die Datenschutzerklärung muss die Rechtsgrundlagen für den Einsatz von Cookies & Co. mitteilen: Hier kommen z.B. eine Einwilligung nach Art. 6 Abs. 1 Buchst. a DSGVO oder die Wahrung der berechtigten Interessen gemäß Art. 6 Abs. 1 Buchst. f DSGVO i.V.m. § 15 Abs. 3 TMG in Betracht.

Die berechtigten Interessen (z.B. die bedarfsgerechte Gestaltung der Webseite) sind anzugeben.

Information zu Analysetools etc.: Setzt der Webseitenbetreiber Analysetools wie Google Analytics ein, nutzt er Cookies, die eine Analyse des Surfverhaltens des Nutzers ermöglichen. Zweck wird hier meist die Optimierung des Angebots bzw. der Webseite o. Ä. sein.

Hier ist – wie in der Vergangenheit – ausführlich über die Funktionen der Tools und die Möglichkeiten z.B. der Anonymisierung der IP-Adresse zu informieren bzw. darüber, dass der Nutzer durch Einstellungen im Browser verhindern kann, dass dieser Cookies speichert.

Zu beachten ist jedoch die aktuelle Stellungnahme der Datenschutzkonferenz (http://ogy.de/dsk-tmg): Danach sollen Analysetools und Tools zur Reichweitenmessung nur noch mit Einwilligung zulässig sein; die bislang gültige Opt-out-Lösung wäre nicht mehr zulässig, da das TMG nicht mehr anwendbar sei.

Im Ergebnis besteht daher künftig ein Risiko, selbst wenn sich der Einsatz solcher Tools ggf. über Art. 6 Abs. 1 Buchst. f DSGVO auf Grundlage berechtigter Interessen des Unternehmens rechtfertigen lässt.

Information über Plug-ins: Sofern Social Plug-ins von Internetnetzwerken (z.B. Facebook, Twitter, YouTube, LinkedIn oder Xing) zum Einsatz kommen, ist ein Hinweis auf deren Datenschutzerklärung unerlässlich. Denn sie erheben bzw. übermitteln eigenständig Daten.

Der Einsatz solcher Social Plug-ins ist – wie schon in der Vergangenheit – rechtlich höchst kritisch. Denn sowohl die Rechtsprechung als auch die Aufsichtsbehörden erachten die Weiterleitung von Daten an die Anbieter der Social Plug-ins ohne ausdrückliche vorherige Einwilligung des Nutzers in der Regel als unzulässig.

Egal, wie ausführlich oder gut die Belehrung ist: Ein Restrisiko verbleibt. Es empfiehlt sich jedenfalls ein Hinweis, dass der Nutzer sich aus seinem Profil des jeweiligen Dienstes ausloggen sollte, wenn er eine Zuordnung, dass er die Webseite besucht hat, unterbinden möchte.

Zudem empfiehlt sich der Hinweis auf Add-ons für den Browser, die das Laden von Daten verhindern können.

Zweiter Zweck: Nutzung von Services/Diensten auf der Webseite

Daneben muss der Anbieter sorgfältig über den Umgang mit Daten informieren, die bei der Nutzung der Webseiten-Services anfallen.

Zu diesen Services zählen typischerweise Online-Shops, Online-Bewerbungen, die Teilnahme an Gewinnspielen, die Bestellung von Newslettern, aber auch Downloads von Materialien oder die Kontaktaufnahme mit dem Service-Center.

4) Rechtsgrundlage

Für sämtliche Zwecke muss die Datenschutzerklärung die Rechtsgrundlagen angeben. Das bezieht sich auf die Rechtsgrundlagen aus der DSGVO, aber auch ggf. auf Rechtsgrundlagen aus anderen Gesetzen, wie dem TMG oder dem Jugendschutzgesetz.

Rein vorsorglich sei darauf hingewiesen, dass aufgrund des unklaren Verhältnisses zwischen TMG und DSGVO ein gewisses Restrisiko verbleibt, wenn ein Verantwortlicher z.B. nach § 15 Abs. 3 TMG Nutzerprofile unter Hinweis auf Widerspruchsrechte bildet.

Denn das setzt die Vorgaben der Cookie-Richtlinie, die sich auch in der DSGVO widerspiegeln, nicht vollständig um. Dieses Restrisiko wird sich erst mit Anpassung des TMG auflösen.

Bei einem Online-Shop lässt sich u.a. auf Art. 6 Abs. 1 Buchst. b DSGVO (= erforderlich für die Erfüllung vertraglicher Zwecke) Bezug nehmen. Das heißt, hier gelten die üblichen Rechtsgrundlagen, die den Umgang mit Daten legitimieren.

5) Empfänger der Daten

Es ist darzustellen, welche Kategorien von Empfängern warum Daten erhalten. Typische Fälle sind „für Zwecke der Vertragsabwicklung“, „zur Erfüllung gesetzlicher Vorgaben zur Auskunft“ oder „an Auftragsverarbeiter“.

6) Übermittlung in ein unsicheres Drittland

Auch die Übermittlung der Daten an Anbieter wie die Google Inc. mit Sitz in den USA (Google Analytics!) und die angemessenen Garantien, die zur Legitimierung des Transfers umgesetzt wurden, sind Teil der Information.

Angemessene Garantien können etwa die Standardvertragsklauseln oder der Privacy Shield sein.

7) Quelle der Daten

Erhebt der Verantwortliche die Daten nicht direkt von der betroffenen Person, sondern z.B. über Dritte (Suchmaschinen etc.), muss er über die Herkunft der Daten informieren.

8) Speicherung von Daten

Die Datenschutzerklärung muss die Speicherdauer der Daten, die anfallen, angeben.

Sie sollte möglichst konkrete Zeitfenster nennen und – sofern möglich – darauf hinweisen, auf welcher Rechtsgrundlage die Speicherdauer beruht.

9) Rechte der betroffenen Person

Art. 12 ff. DSGVO sehen diverse Rechte vor, die die betroffene Person gegenüber dem Verantwortlichen geltend machen kann.

Dazu zählen das Auskunftsrecht, das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit oder die Widerspruchsrechte nach Art. 21 DSGVO.

Über diese Rechte und ihren Umfang ist ausführlich zu belehren. Hier empfiehlt sich auch ein Hinweis, wann diese Rechte nicht greifen (z.B. Auskunft unverhältnismäßig).

10) Beschwerderecht

Hier sind neben dem Beschwerderecht an sich auch die Kontakte für diese Beschwerde, d.h. der Datenschutzbeauftragte oder die zuständige Datenschutzaufsichtsbehörde, mit Angabe der vollständigen Kontaktdaten zu benennen.

11) Verpflichtung zur Bereitstellung von Daten

Die Datenschutzerklärung muss darüber aufklären, ob der Nutzer für bestimmte Zwecke Daten bereitstellen muss und welche Konsequenzen es hat, wenn er dies verweigert.

Der „bestimmte Zweck“ kann etwa der Abschluss eines Vertrags sein, die Konsequenzen „kein Vertragsabschluss“. Daneben empfiehlt sich ein Hinweis, ob der Nutzer die Daten zwingend oder freiwillig etwa im Webformular angeben muss/kann.

12) Automatisierte Entscheidungsfindung/Profiling

Weiterhin ist eine Belehrung erforderlich, ob eine automatisierte Entscheidungsfindung oder ein Profiling stattfinde. Kommen Analysetools zum Einsatz, ist dies jedenfalls nicht auszuschließen.

Die Datenschutzerklärung muss darüber informieren, warum das Profiling erfolgt (Beispiel: bedarfsgerechte Produktgestaltung).

13) Einwilligung / Widerrufsrechte

Informieren Sie schlussendlich über die Möglichkeit, die Einwilligung zu widerrufen.

Der Hinweis auf die speziellen Widerspruchsrechte nach Art. 21 DSGVO – z.B. bei Direktwerbung oder berechtigten Interessen – sollte zusätzlich gesondert und besonders hervorgehoben erfolgen, etwa eingerahmt. Das ergibt sich aus dem Wortlaut von Art. 21 DSGVO.

Empfehlungen zum Schluss

Eine rechtskonforme Datenschutzerklärung bildet das Aushängeschild für ein Unternehmen. Es lohnt sich also, etwas Zeit zu investieren, um sie korrekt zu gestalten.

Zudem bietet eine rechtssichere Datenschutzerklärung auch keine Angriffsfläche für Abmahner – was ebenfalls ein nicht zu vernachlässigender Faktor ist (siehe Datenschutz PRAXIS 2/18, S. 15).

Empfehlen Sie, in der Datenschutzerklärung nicht nur den Online-Bereich transparent darzustellen, sondern auch den Umgang mit Daten außerhalb des Internets.

So lassen sich Geschäftspartner, Kunden etc. – jedenfalls ergänzend – auf die Webseite verweisen, wenn der Verantwortliche ihre Daten erhebt.

Silvia C. Bauer
Silvia C. Bauer ist Rechtsanwältin bei der Luther Rechtsanwaltsgesellschaft mbH in Köln. Ihr Arbeitsplatz liegt über der längsten Tiefgarage Europas
.