english

Datenschutzerklärung im Internet

Datenschutzerklärung im Internet
© Jakub Jirsák - Fotolia.com

Ansprechpartner

Romy Seifert
Romy Seifert

Telefon: +49 2161 241-135
Telefax: +49 2161 635-44135
E-Mail:
V-Card: Kontaktdaten speichern

Bismarckstraße 109
41061 Mönchengladbach

Datenschutzerklärung im Internet

Das Gesetz erlaubt in einigen Fällen den Umgang mit personenbezogenen Daten, ohne dass eine Einwilligung des Betroffenen notwendig ist. Trotzdem brauchen Sie in jedem Fall zusätzlich noch eine Datenschutzerklärung.

Eine Datenschutzerklärung ist immer dann auf der Internetseite anzugeben, wenn personenbezogene Daten der Besucher und Kunden gespeichert und verarbeitet werden. Die Verwendung der Daten muss zweckgebunden erfolgen. So dürfen die Daten (wie Name, Adresse, Kontonummer) wirklich nur für die Abwicklung des konkreten Vertrags verwendet werden! Sie müssen die Daten daher nach Abwicklung des Vertrags auch wieder löschen. Wenn Sie beabsichtigen, den Kunden zu "registrieren", damit er bei weiteren Bestellungen nicht jedes Mal seine Daten neu eingeben muss, benötigen Sie dazu eine Einwilligung. Dasselbe gilt auch für die Speicherung der Bestandsdaten für Zwecke der Werbung - auch in diesem Fall ist eine Einwilligung erforderlich.

Grundsätzlich gilt: Kann die Leistung über das Internet ohne diese erhobenen Nutzungsdaten nicht gewährleistet oder nicht abgerechnet werden, ist die Erhebung der Daten ohne Einwilligung erlaubt. Sobald Sie die Daten aber auch anderweitig verwenden wie zum Beispiel für die Analyse des Kundenverhaltens, die Werbung oder den Newsletter, reicht die Datenschutzerklärung nicht aus. Zusätzlich muss die Einwilligung des Betroffenen eingeholt und der Betroffene über sein Widerrufsrecht zur Nutzung seiner Daten informiert werden. Die Einwilligung kann elektronisch erklärt werden, wenn Sie sicherstellen, dass

  1. der Kunde seine Einwilligung bewusst und eindeutig erteilt hat, (zum Beispiel durch ein Ankreuz-Feld)
  2. die Einwilligung protokolliert wird,
  3. der Kunde den Inhalt der Einwilligung jederzeit abrufen kann und
  4. der Kunde die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Achtung: Sie müssen den Kunden vor Erklärung der Einwilligung auf sein Widerrufsrecht hinweisen. Der Widerruf der Einwilligung muss in Zukunft genau so einfach sein wie die Erteilung der Einwilligung.

Die vor dem 25.05.2018 nach dem BDSG und TMG wirksam eingeholten Einwilligungen bleiben auch nach der Datenschutz-Grundverordnung bestehen.

Was ändert sich für die Datenschutzerklärung mit der Datenschutz-Grundverordnung (DSGVO) nach dem 25.05.2018?

Nach dem 25.05.2018 wird der § 13 Absatz 1 Telemediengesetz durch den Katalog an Pflichtinformationen nach Art. 13 Absatz 1-3 DSGVO ersetzt und wesentlich erweitert. Danach muss die Datenschutzerklärung die Informationen über alle der nachstehenden Punkte enthalten:

  • den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Verantwortlichen (sowie bei nicht in der Union niedergelassenen Verantwortlichen diejenigen des Vertreters)
  • sofern verpflichtend zu bestellen, die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe) und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO)
  • wenn die Verarbeitung auf einer wirksamen Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  • ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Sollten die Daten nicht selbst, sondern von einem beauftragtem Dritten (z.B. einer Auskunftei) erhoben, gilt nicht der Art. 13, sondern der noch strengere Art. 14 DSGVO.

Musterdatenschutzerklärung nach EU-DSGVO

Das Institut für Informations-, Telekommunikations- und Medienrecht an der Westfälischen Wilhelms-Universität Münster hat eine Musterdatenschutzerklärung erarbeitet. Sie finden diese auf der Internetseite http://www.uni-muenster.de/Jura.itm/hoeren/lehre/materialien unter dem Stichwort Musterdatenschutzerklärung. Wir machen Sie darauf aufmerksam, dass die Datenschutzerklärung nur ein Musterdokument ist und keine Gewähr auf Aktualität, Vollständigkeit und Richtigkeit bietet. Ein Mustertext kann weder jede individuelle Datenverarbeitung erfassen noch kann er die anwaltliche Beratung ersetzen. Deshalb sollten Sie jede Musterdatenschutzerklärung gemeinsam mit einem Rechtsanwalt auf Ihre Verarbeitungsprozesse überprüfen und anpassen.

Besonderheiten bei Cookies und Analyse Tools

In der Datenschutzerklärung muss vor allem dargelegt werden, wie die Daten verarbeitet werden. Dies betrifft insbesondere Internetseitenbetreiber, die Cookies oder Trackings- und Analyse Tools sowie Social-Media-Plug-Ins verwenden.

1. Cookies

Cookies sind kleine Textdateien, die auf dem Rechner des Besuchers Ihrer Internetseite abgelegt werden, um das Angebot auf seine Bedürfnisse abzustimmen und ihm die Nutzung bestimmter Funktionen zu ermöglichen. Fast jede Webseite nutzt eine Cookie-Technologie. Dazu gehört z. B. die Einrichtung eines Warenkorbs, in dem Produkte abgelegt werden können, oder die vorübergehende Speicherung von Produkten, die kürzlich angesehen wurden. Hierbei handelt es sich um sogenannte Sitzungs-Cookies, die in der Regel nach dem Ende einer Browser-Sitzung wieder von der Festplatte des Kunden gelöscht werden. Wenn Sie solche Cookies verwenden, reicht es aus, den Kunden in Ihrer Datenschutzerklärung darauf hinzuweisen, da es sich um Nutzungsdaten handelt. Wir empfehlen zudem, den Kunden darüber zu informieren, dass er durch Einstellung seines Browsers das Abspeichern von Cookies verhindern kann, dadurch jedoch eventuell bestimmte Funktionen der Internetseite nicht wahrgenommen werden können.

Daneben gibt es aber auch noch sog. permanente Cookies. Permanente Cookies speichert der Browser, bis ein vom Server definiertes Ablaufdatum erreicht ist. Mit permanenten Cookies können wiederkehrende Besucher auf der Seite erkannt werden. Auch Analysetools, wie beispielsweise Google Analytics, arbeiten auf der Basis von Cookies. Hier empfehlen wir, die Einwilligung des Kunden einzuholen, um auch ganz sicher der Cookie-Richtlinie (RL 2009/136/EG) zu genügen.

2. Tracking- und Analysetools

Tracking- und Analysetools (wie z. B. Google Analytics, eTracker, Piwik und ähnliche) sind Programme, mit deren Hilfe Sie die Zahl und Art der Zugriffe und Nutzung Ihrer Internetseite auswerten können, um so Ihr Angebot zu optimieren.

In datenschutzrechtlicher Hinsicht kann die Anwendung dieser Programme problematisch sein, wenn Sie die IP-Adressen der Seitenbesucher erfassen und verarbeiten. Denn eine starke Meinung geht davon aus, dass es sich bei der IP-Adresse um ein personenbezogenes Datum handelt und daher eine Einwilligung des jeweiligen Besuchers nötig ist. Aus diesem Grund wurden von Datenschützern bestimmte Kriterien entwickelt, die ein Analyseprogramm erfüllen sollte, um ohne Einwilligung angewendet werden zu dürfen. Demnach sollte ein Analyseprogramm nur gekürzte und damit anonymisierte oder im Idealfall gar keine IP-Adressen erheben und verarbeiten. Dann benötigen Sie keine Einwilligung. Außerdem muss es dem Besucher eine Internetseite möglich sein, der Erhebung seiner Daten zu widersprechen. Schließlich müssen die Daten nach Abschluss der Analyse gelöscht werden und dürfen zu keinem Zeitpunkt mit der betreffenden Person zusammengeführt werden.

Beachten Sie: Das Zählen der Besucher auf der Website fällt nicht unter die Datenschutzregeln, da hierbei nur die Zugriffe gezählt werden. Bei der Aufzeichnung der Zugriffe handelt es sich nicht um personenbezogenen Daten.

3. Verwendung von Plug-Ins von Social Media

Plug-Ins sind Programme sozialer Netzwerke wie Facebook, Google+ u. ä., die z. B. in Form eines »Gefällt mir«- oder »+1«-Buttons (dargestellt als kleines Symbol) auf einer Internetseite installiert werden können. Als problematisch angesehen werden diese Buttons deshalb, weil schon mit Aufruf der Internetseite, auf der sie sich befinden, eine Verbindung mit den Servern des jeweiligen Netzwerks hergestellt und die IP-Adresse des Besuchers dorthin übermittelt wird. Dies gilt unabhängig davon, ob diese Person bei dem sozialen Netzwerk eingeloggt oder überhaupt registriert ist. Bei eingeloggten Nutzern wird der Besuch einer Seite mit Plug-In außerdem ihrem Nutzerkonto zugeordnet. Damit nicht schon bei Aufruf der Seite Daten an die Server des jeweiligen Netzwerkes weitergeleitet werden, sollte der Plug-In zunächst nur als bloße Grafik ohne aktive Funktion auf der Seite erscheinen. Erst durch Anklicken wird dann der eigentliche Plug-In aktiviert und die Verbindung zu den Servern hergestellt, zuvor soll der Besucher jedoch auf die Folgen hingewiesen werden. Auf diese Weise muss er aktiv einwilligen, bevor seine Daten an das Netzwerk weitergeleitet werden (sog. 2-Klick-Lösung).

4. Datentransfer in Drittländer

Bei der Nutzung von Internetseiten können aufgrund der zugrundeliegenden Technik personenbezogene Daten der Besucher in andere Staaten außerhalb der EU übermittelt werden. Die Übermittlung von Daten in Staaten außerhalb der EU ist aber grundsätzlich nur bei Vorliegen spezieller Bedingungen („angemessenes Datenschutzniveaus“) erlaubt. Daher müssen Sie sich vergewissern, wohin die Daten übermittelt werden. Für die Datenübermittlung z. B. in die USA müssen besondere Regeln (Stichwort: „Privacy Shield“ “ bzw. „EU-Standardvertragsklauseln“) eingehalten werden.

Auffindbarkeit der Datenschutzerklärung

Die Datenschutzerklärung muss für den Nutzer jederzeit leicht auffindbar und aufrufbar sein. Wir empfehlen neben dem Link zum Impressum auf jeder Seite (vielleicht in der Fußleiste) einen Link "Datenschutzerklärung" einzurichten. Achtung: Keine Datenschutzerklärung in AGBs! Es ist unzulässig, Datenschutzerklärungen in eventuell verwendete allgemeine Geschäftsbedingungen zu integrieren, da es sich nur um eine Information des Nutzers handelt und eben nicht um eine Vertragsbedingung.

Online-Kontaktformulare

Bei der Verwendung von Online-Kontaktformularen empfehlen wir Ihnen, die Datenschutzerklärung direkt als Passus in die Formularmaske mit aufzunehmen und über den jederzeit möglichen Widerruf der Verwendung der Daten zu informieren und die Einwilligung des Kunden einzuholen.

Bei Online-Kontaktformularen muss nach dem 25.05.2018 gekennzeichnet werden, was Pflichtfelder sind. Daten auf Vorrat zu erheben ist nicht erlaubt, wenn sie für den Zweck nicht notwendig sind (Beispiel: Geburtsdatum als Pflichtfeld zu markieren beim Abonnement von Newsletter). Weiterhin ist es ab dem 25.05.2018 Pflicht, dass die Datenübermittlung per Kontaktformular verschlüsselt erfolgt.

Abmahnung und Bußgelder

Mangelhafte Datenschutzerklärungen oder eine fehlende Einwilligung sind wettbewerbsrechtlich angreifbar. So ist zum Beispiel eine fehlende Datenschutzerklärung auf einer Website dann keine wettbewerbsrechtliche Bagatelle mehr, wenn die Daten über ein Online-Kontaktformular erhoben werden. Außerdem kann ein Verstoß gegen datenschutzrechtliche Vorschriften Bußgelder auslösen.