IT-Recht

Verbraucherinnen und Verbraucher bevorzugen Unternehmen, denen sie vertrauen können.

Für gewerbliche Betreiber von Webseiten und Online-Shops bedeutet das: Sie müssen auf die Einhaltung rechtlicher Vorgaben achten. Damit vermeiden sie teure Abmahnungen und Bußgelder.

Themen

Datenschutz

Online-Händler, die personenbezogenen Daten ihrer Kunden erheben, müssen diese ausführlich über Art, Umfang und Zweck der Erhebung, Verarbeitung oder Nutzung sowie über etwaige Widerspruchsrechte informieren.

Inhalt einer Datenschutzerklärung

Gem. § 13 Telemediengesetz (TMG) sind Betreiber gewerblicher Internetseiten dazu verpflichtet, eine Datenschutzerklärung vorzuhalten. Darin müssen sie Nutzer über die Art, den Umfang und die Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form unterrichten.

Information über die Rechte des Betroffenen

Nach dem Bundesdatenschutzgesetz (BDSG) hat der Nutzer gegenüber dem Seitenbetreiber ein Auskunftsrecht sowie ein Recht zur Löschung, Berichtigung und zur Sperrung der personenbezogenen Daten. Über diese Rechte sollte der Seitenbetreiber die Nutzer in seiner Datenschutzerklärung unterrichten und ihnen aufzeigen, wie sie diese Rechte wahrnehmen können.

Einwilligung bei Nutzung personenbezogener Daten zu anderen Zwecken

Seitenbetreiber, die personenbezogene Daten für andere Zwecke als die Vertragsabwicklung oder die Funktion der Internetseite nutzen möchten, müssen den Nutzer hierüber informieren. Dieser muss der anderweitigen Nutzung ausdrücklich zustimmen. An die Einwilligung werden dabei hohe Anforderungen gestellt. Der Seitenbetreiber hat im Streitfall zu beweisen, dass der Nutzer seine Einwilligung bewusst und eindeutig erklärt hat. Die Einwilligung muss zudem protokolliert werden. Der Nutzer muss seine Einwilligung jederzeit widerrufen können. Darauf ist auch hinzuweisen.

Datenschutzerklärung berücksichtigt besondere Funktionen der Webseite

Die Datenschutzerklärung muss alle datenschutzrechtlich relevanten Funktionen der Internetseite berücksichtigen, mit denen der Nutzer personenbezogene Daten über die Webseite übermittelt. Dies können z.B. Bestellformulare für Newsletter, Kommentarmöglichkeiten, Kontaktformulare, Gästebücher und Login-Bereiche sein.

Datenschutzerklärung ständig verfügbar und aussagekräftig verlinkt

Die Hinweise zum Datenschutz müssen von den Nutzern jederzeit auf der Internetseite abgerufen werden können. Ähnlich wie bei der Anbieterkennzeichnung ist die Datenschutzerklärung mit einem sog. sprechenden Link "Datenschutz" oder "Datenschutzerklärung" zu verlinken. Die Datenschutzerklärung muss mit maximal zwei Klicks von der Startseite aus erreichbar sein. Diese Anforderung ist nicht erfüllt, wenn sie lediglich in den AGB oder im Impressum "versteckt" wird.

Unterrichtung über die Nutzung von Cookies

Cookies sind Informationen, die auf dem Computer des Nutzers in einer kleinen Textdatei hinterlegt und bei einem erneuten Besuch einer Internetseite ausgelesen werden. Online-Shops nutzen regelmäßig Cookies oder vergleichbare Techniken, um den Warenkorb des Nutzers zu speichern und bei einem erneuten Seitenaufruf wieder anzuzeigen. Da der Einsatz von Cookies datenschutzrechtlich relevant ist, muss der Nutzer über den Einsatz von Cookies und deren Zweck informiert werden und deren Verwendung zustimmen.

Unterrichtung über die Verarbeitung von Daten außerhalb der EU

Die EU und insbesondere Deutschland haben im Vergleich mit anderen Ländern ein hohes Datenschutzniveau. Werden Daten in ein Land außerhalb dieses Schutzraumes "exportiert", ist größte Sorgfalt anzuwenden, weil die europäischen Standards nicht überall bestehen. Auch die USA haben kein derart durchgängig hohes Datenschutzniveau.

Unterrichtung über den Datenaustausch mit anderen Webseiten

Die Nutzung von externen Webservices, wie z.B. des Facebook-Like-Buttons und anderer aktiver Java-Skript-Plugins, ist nicht unproblematisch. Als Seitenbetreiber können Sie sehr einfach neue Funktionen in die Internetseite integrieren. Klickt der Nutzer einen solchen Webservice an, stellt der Browser eine direkte Verbindung mit dem fremden Server, z.B. Facebook, her. Ist der Nutzer bei Facebook angemeldet oder liegt ein Facebook-Cookie auf dem Rechner, kann Facebook den Nutzer identifizieren. Da durch solche Plugins personenbezogene Daten ungefragt an Dritte weitergeleitet werden, muss die Datenschutzerklärung darüber zumindest aufklären. Die ungefragte Weitergabe personenbezogener Daten ist aber auch bei einer ordnungsgemäßen Aufklärung hierüber in der Datenschutzerklärung rechtswidrig. Es ist daher ratsam, sog. Zwei-Klick Lösungen zu nutzen, bei denen der Nutzer der Datenübertragung an den fremden Server vorab explizit zustimmen muss.

Ermöglichung anonymer Nutzung oder unter Pseudonym

Der Seitenbetreiber hat den Nutzer über Möglichkeiten zu unterrichten, ob und wie er die Internetseite anonym oder per Pseudonym nutzen kann. Wird mit der Internetseite ein Online-Shop betrieben, kann auf die Möglichkeit einer anonymen bzw. pseudonymen Nutzung verzichtet werden, da die Adressdaten und der Klarname für die Vertragsabwicklung benötigt werden.

Unterrichtung über die Durchführung von Bonitätsprüfungen

Wenn personenbezogene Daten zu Bonitätsauskünften bei Schufa, Creditreform usw. verwendet werden, muss darüber in der Datenschutzerklärung aufgeklärt werden. Hierbei sind der Name und die Anschrift des Unternehmens möglichst genau anzugeben, an das die Daten weitergeleitet werden

Nennung des betrieblichen Datenschutzbeauftragten

Ein betrieblicher Datenschutzbeauftragter ist zu bestellen, wenn personenbezogene Daten automatisiert verarbeitet werden und damit mehr als neun Personen ständig beschäftigt sind. Das gilt auch, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Wenn ein betrieblicher Datenschutzbeauftragter als Ansprechpartner bestellt wurde, ist dieser in der Datenschutzerklärung mit einer Kontaktmöglichkeit benennen. Eine rechtliche Pflicht hierfür besteht aber nicht.

Newsletter

Bei der Anmeldung sollte stets ein sog. Double-Opt-In-Verfahren (=ausdrückliche und aktive vorherige Einwilligung des Empfängers) genutzt werden, da der Bundesgerichtshof wiederholt entschieden hat, dass ein einfaches Opt-Out-Verfahren (=Link zur Abmeldung vom Newsletter) nicht ausreichend ist. Der Nutzer muss zudem bei Anmeldung und bei jedem Versand auf die Möglichkeit einer Austragung aus dem Newsletter-Verteiler hingewiesen werden. In der Praxis wird dies durch einen Link zur Abmeldung vom Newsletter in den Newsletter-Mails erreicht (sog. Opt-Out). Über die Newsletter-Funktion ist in der Datenschutzerklärung aufzuklären und sie ist dort in ihrer Funktionsweise zu beschreiben.

Anklickbarkeit der Verlinkungen in der Datenschutzerklärung/allgemeine Gestaltung

Die in der Datenschutzerklärung enthaltenen Links zu Opt-Out-Tools und allen sonstigen relevanten Seiten müssen anklickbar sein, und diese Links müssen auch funktionieren. Überdies sollte auf eine übersichtliche und lesbare Gestaltung der Datenschutzerklärung geachtet werden. So sollte die Datenschutzerklärung untergliedert und die Überschriften zu den einzelnen Abschnitten als solche zu erkennen sein.

Informationen zu eingesetzter Tracking-Technik (z.B. Piwik oder Google Analytics)

Nahezu jede professionelle Webseite setzt eine Web-Tracking-Software ein, die Nutzer-Bewegungen, Herkunft und Interaktionen aufzeichnet. Da derartige Tracking-Tools personenbezogene Daten erheben, verarbeiten und speichern, sind strenge Vorgaben der Landesdatenschutzbeauftragten einzuhalten.