Die Verpflichtung zur Vorhaltung der Datenschutzerklärung ergibt sich aus § 13 TMG. Demnach ist zur Angabe einer Datenschutzerklärung verpflichtet, wer eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Aufgrund dieser weiten Definition können wir nur empfehlen, eine Datenschutzerklärung zu implementieren, die den Nutzer über die Verwendung seiner personenbezogenen Daten informiert und aufklärt. Andernfalls drohen gem. § 16 TMG Bußgelder von bis zu 50.000 Euro der Landesdatenschutzbeauftragen, sowie Abmahnungen durch die Konkurrenz. Bildnachweis: Druck im Kopf – © Robert Kneschke – fotolia.com
Datenschutz auf Ihrer Internetseite
a) Inhalt einer Datenschutzerklärung
Gemäß § 13 TMG sind Betreiber gewerblicher Internetseiten dazu verpflichtet, eine Datenschutzerklärung vorzuhalten. Die Nutzer sind darin über die Art, den Umfang und die Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten.
b) Information über die Rechte des Betroffenen
Nach dem BDSG hat der Betroffene gegenüber der datenverarbeitenden und damit verantwortlichen Stelle, d. h. dem Seitenbetreiber, ein Auskunftsrecht sowie ein Recht zur Löschung, Berichtigung und zur Sperrung der personenbezogenen Daten. Über diese Rechte sollte der Seitenbetreiber die Nutzer in seiner Datenschutzerklärung unterrichten und ihnen aufzeigen, wie sie diese Rechte wahrnehmen können.
c) Einwilligung bei Nutzung personenbezogener Daten zu anderen Zwecken
Seitenbetreiber, die personenbezogene Daten für andere Zwecke als die Vertragsabwicklung oder die Funktion der Internetseite nutzen möchten, müssen den Nutzer hierüber informieren und dieser muss der anderweitigen Nutzung seiner personenbezogenen Daten vorab ausdrücklich zustimmen. An die Einwilligung werden dabei hohe Anforderungen gestellt. Der Seitenbetreiber hat im Streitfall zu beweisen, dass der Nutzer seine Einwilligung bewusst und eindeutig erklärt hat. Die Einwilligung muss zudem protokolliert werden. Der Nutzer muss seine Einwilligung jederzeit widerrufen können. Darauf ist auch hinzuweisen.
d) Datenschutzerklärung berücksichtigt besondere Funktionen der Webseite
Die Datenschutzerklärung muss alle datenschutzrechtlich relevanten Funktionen der Internetseite berücksichtigen, mit denen der Nutzer personenbezogene Daten über die Webseite übermittelt. Dies können z. B. Bestellformulare für Newsletter, Kommentarmöglichkeiten, Kontaktformulare, Gästebücher und Login-Bereiche sein.
e) Datenschutzerklärung ständig verfügbar und aussagekräftig verlinkt
Die Hinweise zum Datenschutz müssen von den Nutzern jederzeit auf der Internetseite abgerufen werden können. Ähnlich wie bei der Anbieterkennzeichnung ist die Datenschutzerklärung mit einem sog. sprechenden Link „Datenschutz” oder „Datenschutzerklärung” zu verlinken. Die Datenschutzerklärung muss mit max. zwei Klicks von der Startseite aus erreichbar sein. Dieses Erfordernis ist nicht erfüllt, wenn die Datenschutzerklärung lediglich in den AGB oder im Impressum „versteckt” wird.
f) Unterrichtung über die Nutzung von Cookies
Cookies sind Informationen, die auf dem Computer des Nutzers in einer kleinen Textdatei hinterlegt und bei einem erneuten Besuch einer Internetseite ausgelesen werden. Online-Shops nutzen regelmäßig Cookies, oder vergleichbare Techniken, um den Warenkorb des Nutzers zu speichern und bei einem erneuten Seitenaufruf wieder anzuzeigen. Da der Einsatz von Cookies datenschutzrechtlich relevant ist,, ist der Nutzer über den Einsatz von Cookies und deren Zweck zu informieren.Weitere Informationen erhalten Sie in unserem Beitrag „Cookie-Richtlinie: Ist eine Einwilligung erforderlich wenn Cookies genutzt werden?„
g) Unterrichtung über die Verarbeitung von Daten außerhalb der EU
Die EU und insbesondere Deutschland, haben im Vergleich mit anderen Ländern ein hohes Datenschutzniveau. Werden Daten in ein Land außerhalb dieses Schutzraumes “exportiert”, ist größte Sorgfalt anzuwenden, weil die europäischen Standards nicht überall bestehen. Auch die USA haben kein derart durchgängig hohes Datenschutzniveau. Einige Nicht-EU-Staaten sind zwar dem sog. “Safe Harbour” Abkommen beigetreten, das ein vergleichbares Datenschutzniveau wie in den EU-Staaten garantieren soll. Aber auch wenn dies der Fall ist, kann man insbesondere bei Cloud-Services wie Google-Analytics oder Facebook nicht wissen, wo die Daten verarbeitet werden. Ob die Integration derartiger Services durch die Nutzung von Plugins und Skripten auf der eigenen Internetseite gegen deutsches Datenschutzrecht verstößt, insbesondere gegen das Verbot, personenbezogene Daten ohne Einwilligung an Dritte in nicht EU-Staaten weiterzugeben, ist gerichtlich noch nicht geklärt.
h) Unterrichtung über den Datenaustausch mit anderen Webseiten
Die Nutzung von externen Webservices, wie z. B. des Facebook-Like-Buttons und anderer aktiver Java-Skript Plugins, ermöglicht den Nutzern einer Internetseite sehr einfach mit der Seite zu interagieren. Als Seitenbetreiber können sehr einfach neue Funktionen in die Internetseite integriert werden. Ruft der Nutzer eine Seite mit einem aktiven Plug-In auf, stellt der Browser eine direkte Verbindung mit dem fremden Server, z. B. Facebook, her. Ist der Nutzer bei Facebook angemeldet oder liegt ein Facebook-Cookie auf dem Rechner, kann Facebook den Nutzer identifizieren. Da durch solche Plugins, personenbezogene Daten ungefragt an Dritte weitergeleitet werden, muss die Datenschutzerklärung darüber zumindest aufklären. Die ungefragte Weitergabe personenbezogener Daten ist aber auch bei einer ordnungsgemäßen Aufklärung hierüber in der Datenschutzerklärung rechtswidrig. Es ist daher ratsam, sog. Zwei-Klick Lösungen zu nutzen, bei denen der Nutzer der Datenübertragung an den fremden Server vorab explizit zustimmen muss.
i) Ermöglichung anonymer Nutzung oder unter Pseudonym
Der Seitenbetreiber hat den Nutzer über Möglichkeiten zu unterrichten, ob und wie eine anonyme oder pseudonyme Nutzung der Internetseite möglich ist. Wird mit der Internetseite ein Online-Shop betrieben, kann auf die Möglichkeit einer anonymen bzw. pseudonymisierten Nutzung verzichtet werden, da die Adressdaten und der Klarname für die Vertragsabwicklung benötigt werden.
j) Unterrichtung über die Durchführung von Bonitätsprüfungen
Wenn personenbezogene Daten für Anfragen bezüglich Bonitätsauskünften bei Schufa, Creditreform usw. verwendet werden, muss darüber in der Datenschutzerklärung aufgeklärt werden. Hierbei sind der Name und die Anschrift des Unternehmens möglichst genau anzugeben, an das die Daten weitergeleitet werden
k) Nennung des betrieblichen Datenschutzbeauftragten
Ob ein betrieblicher Datenschutzbeauftragter zu bestellen ist, ist dem BDSG zu entnehmen. Dies ist bei Nicht-öffentlichen Stellen beispielsweise dann der Fall, wenn personenbezogene Daten automatisiert verarbeitet werden und damit mehr als 9 Personen ständig beschäftigt sind oder wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Wenn ein betrieblicher Datenschutzbeauftragter als Ansprechpartner bestellt wurde, ist dieser in der Datenschutzerklärung mit einer Kontaktmöglichkeit zu benennen.
l) Newsletter
Bei Newslettern ist zunächst zwischen Newslettern an Bestandskunden und Nichtbestandskunden zu unterscheiden. Bei der Anmeldung sollte stets ein sog. Double-Opt-In-Verfahren genutzt werden, da der Bundesgerichtshof widerholt entschieden hat, dass ein einfaches Opt-Out-Verfahren (wie es etwa bei Postwerbung genutzt werden kann) bei Werbung über E-Mail oder Telefon gerade nicht ausreichend ist. Der Nutzer muss zudem auf die Möglichkeit einer Austragung aus dem Newsletter-Verteiler hingewiesen werden. Zudem muss in den Newsletter-Mails ein Link zur Abmeldung vom Newsletter enthalten sein (sog. Opt-Out). Über die Newsletter-Funktion ist in der Datenschutzerklärung aufzuklären und sie ist dort in ihrer Funktionsweise zu beschreiben.
m) Anklickbarkeit der Verlinkungen in der Datenschutzerklärung / allgemeine Gestaltung
Die in der Datenschutzerklärung enthaltenen Verlinkungen (Links) zu Opt-Out-Tools und allen sonstigen relevanten Seiten müssen anklickbar sein und diese Links müssen auch funktionieren. Überdies sollte auf eine übersichtliche und lesbare Gestaltung der Datenschutzerklärung geachtet werden. So sollte die Datenschutzerklärung untergliedert und die Überschriften zu den einzelnen Abschnitten als solche zu erkennen sein.
n) Informationen zu eingesetzter Tracking-Technik (z. B. Piwik oder Google Analytics)
Nahezu jede professionelle Webseite setzt eine Web-Tracking-Software, die er Aufzeichnung von Nutzer-Bewegungen, Herkunft und Interaktionen aufzeichnet. Da derartige Tracking-Tools personenbezogene Daten erheben, verarbeiten und speichern, sind strenge Vorgaben der Landesdatenschutzbeauftragten einzuhalten.