IT-Recht

Verbraucherinnen und Verbraucher bevorzugen Unternehmen, denen sie vertrauen können.

Für gewerbliche Betreiber von Webseiten und Online-Shops bedeutet das: Sie müssen auf die Einhaltung rechtlicher Vorgaben achten. Damit vermeiden sie teure Abmahnungen und Bußgelder. In diesem Zusammenhang spielt die Europäische Datenschutz-Grundverordnung (EU-DSGVO) eine besonders wichtige Rolle. Die Regelungen müssen von jedem Unternehmen angewandt werden, das personenbezogene Daten seiner Kunden erhebt.

Themen

Datenschutz (EU-DSGVO)

Jeder Unternehmer, der über seine Webseite, seinen Online-Shop oder andere digitale Angebote personenbezogene Daten seiner Kunden erhebt, muss in einer sog. Datenschutzerklärung u.a. folgende Informationen zur Verfügung stellen:

  • die Art der Daten, die erhoben werden
  • den Umfang der Daten,
  • den Namen und die Kontaktdaten des Verantwortlichen
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
  • den Zweck der Erhebung,
  • die Verarbeitung oder Nutzung der Daten,
  • die Rechtsgrundlage,
  • die Speicherdauer,
  • das Recht auf Auskunft, Berichtigung oder Löschung
  • etwaig bestehende Widerrufsrechte.

Wichtig: Nach der EU-Datenschutzgrundverordnung (EU-DSGVO) und dem Bundesdatenschutzgesetz (BDSG) hat der Nutzer gegenüber dem Seitenbetreiber ein Recht auf Auskunft über die betreffenden personenbezogenen Daten. Er hat außerdem ein Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung (Sperrung) sowie das Recht auf Datenübertragbarkeit. Über diese und weitere Rechte muss der Seitenbetreiber die Nutzer in seiner Datenschutzerklärung unterrichten und ihnen aufzeigen, wie sie diese Rechte wahrnehmen können. Er ist darüber hinaus dazu verpflichtet, dem Betroffenen die Ausübung dieser Rechte so leicht wie möglich zu gestalten (Art. 12 Abs. 2 EU-DSGVO).

Alle Informationen werden in der Datenschutzerklärung zusammengefasst und auf der Webseite veröffentlicht.

Grundlage für die genannten Informationspflichten sind u.a. § 13 Abs. 1 Telemediengesetz sowie Art. 13 EU-DSGVO.

Erstellung einer Datenschutzerklärung

Die Datenschutzerklärung muss allgemein verständlich, übersichtlich und ansprechend gestaltet sein. Alle darin enthaltenen Links sind richtig und anklickbar. Die Datenschutzerklärung bezieht sich auf alle Datenverarbeitungsvorgänge, die auf der Webseite stattfinden. Dazu gehören beispielsweise der Newsletterversand, Kontaktformulare, Kommentar-/Bewertungsbereiche, geschützte Mitgliederbereiche usw. Das heißt, alle Bereiche, in denen personenbezogene Daten verarbeitet werden.

Sollten Sie Fragen zur Erstellung einer Datenschutzerklärung haben, wenden Sie sich bitte an eine Rechtsanwältin bzw. einen Rechtsanwalt vor Ort. Die ungeprüfte Übernahme von Mustervorlagen für Datenschutzerklärungen aus dem Internet ist nicht empfehlenswert.

Verfügbarkeit und Verlinkung der Datenschutzerklärung

Die Hinweise zum Datenschutz müssen von den Nutzern jederzeit auf der Internetseite abgerufen werden können, § 13 Abs. 1 S. 3 TMG. Ähnlich wie das Impressum muss die Datenschutzerklärung mit einem sog. sprechenden Link versehen, also klar, verständlich und gut platziert, sein. Die Bezeichnung des Links kann beispielsweise „Datenschutz“ bzw. „Datenschutzerklärung“ lauten und ist von allen Seiten in der Regel über die Fußzeile abrufbar. Es reicht grundsätzlich nicht aus, die Datenschutzerklärung in die AGB einzubinden oder als Unterpunkt im Impressum zu platzieren.

Einwilligungserklärung des Nutzers

Seitenbetreiber, die personenbezogene Daten verarbeiten möchten, müssen sich hierfür die Einwilligung des Nutzers einholen. Ausnahme: Die Daten werden zum Zweck eines (Vor-)Vertrages, einer rechtlichen Verpflichtung oder zur Wahrung überwiegender berechtigter Interessen verarbeitet (vgl. Art. 6 Abs. 1 EU-DSGVO sowie § 15 TMG). In diesen Fällen ist keine Einwilligung erforderlich.

Als Einwilligung gilt jede freiwillig abgegebene Willensbekundung, die der zuvor informierte Nutzer für einen bestimmten Fall bezieht abgibt. Die Einwilligung muss unmissverständlich sein und wird in Form einer grundsätzlich nicht formgebundenen Erklärung, durch das Setzen eines Häkchens oder einer sonstigen eindeutigen bestätigenden Handlung abgegeben. Damit stimmt die betroffene Person zu, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist.

Der Betreiber der Webseite muss in jedem Fall nachweisen können, dass der Nutzer in die Datenverarbeitung eingewilligt hat. Insbesondere für die schriftliche Erklärung, die auch noch andere Sachverhalte betrifft (z.B. AGB), muss auf eine verständliche und leicht zugängliche Form sowie eine klare und einfache Sprache geachtet werde. Die Einwilligungserklärung muss sich von den anderen Sachverhalten klar unterscheiden. Außerdem muss der Nutzer vor Abgabe der Einwilligung darüber informiert werden, dass er seine Einwilligung jederzeit widerrufen kann. Der Widerruf der Einwilligung muss dabei genau so einfach wie die Erteilung der Einwilligung sein.

Nutzung von Cookies

Cookies sind Informationen, die auf dem Computer des Nutzers in einer kleinen Textdatei hinterlegt und bei einem erneuten Besuch einer bestimmten Internetseite von deren Betreiber ausgelesen werden. Online-Shops nutzen regelmäßig Cookies oder vergleichbare Techniken, um beispielsweise den Warenkorb des Nutzers zu speichern und bei einem erneuten Seitenaufruf wieder anzuzeigen. Damit beinhalten Cookies personenbezogene Daten und sind datenschutzrechtlich relevant. Dies gilt selbst dann, wenn die Informationen nicht ohne Weiteres einer spezifischen Person zugeordnet werden können. Stichwort: „Pseudonymisierung“ (Artikel 4 Nr. 5 EU-DSGVO).

Zum Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Webseite, des Online-Shops o.a. können Nutzungsprofile anhand von pseudonymisierten Daten erstellt werden, wenn der Nutzer dem nicht widerspricht (§ 15 Abs. 3 TMG). Der Betreiber der Webseite muss die Nutzer allerdings neben den sonstigen Informationen – u.a. zum Einsatz von Cookies und zum Zweck der Datenverarbeitung – auf ihr Widerspruchsrecht hinweisen.

Die EU-DSGVO selbst regelt den Einsatz von Cookies nicht, da diese in den Anwendungsbereich der geplanten ePrivacy-Verordnung der Europäischen Union fallen. Bis zum Inkrafttreten der ePrivacy-Verordnung gilt allerdings die bisherige Regelung aus dem Telemediengesetz (s.o., Art. 95 EU-DSGVO) oder alternativ (Art. 6 Abs. 1 lit. f) EU-DSGVO („berechtigtes Interesse“). Bitte lassen Sie sich hierzu im Zweifel beraten.

Newsletter-Versand

Der Versand eines Newsletters setzt in der Regel eine vorherige ausdrückliche und eindeutige bestätigende Einwilligung des informierten Nutzers voraus. Da diese Einwilligung vom Seitenbetreiber nachgewiesen werden muss (Art. 7 Abs. 1 EU-DSGVO), ist das sog. Double-Opt-In-Verfahren – in der Regel in Verbindung mit einer elektronischen Protokollierung – erforderlich. Ein einfaches Opt-Out-Verfahren ist dagegen nicht zulässig.

Der Nutzer hat zudem das Recht, die Einwilligung jederzeit zu widerrufen und muss vor Abgabe der Einwilligung über sein Widerrufsrecht informiert werden (Art. 7 Abs. 3 EU-DSGVO). Da der Widerruf genauso einfach wie die Erteilung der Einwilligung sein muss, sollte bei jedem Versand auf die Möglichkeit einer Austragung aus dem Newsletter-Verteiler hingewiesen und ein (anklickbarer) Link zur Abmeldung vom Newsletter in den Newsletter-Mails (Opt-Out) eingebunden werden.

Ausnahme: Elektronisch versandte Werbung ist auch dann ohne ausdrückliche Einwilligung zulässig, wenn

  • der Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse (E-Mailadresse o.a.) erhalten hat und
  • der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet und
  • der Kunde der Verwendung nicht widersprochen hat und
  • der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Diese Ausnahme gilt nur dann, wenn alle oben genannten Voraussetzungen vorliegen (§ 7 Abs.3 UWG).

Datenübertragung in Drittstaaten außerhalb der EU

Die Übermittlung von personenbezogenen Daten innerhalb der EU ist unproblematisch. Die Mitgliedstaaten verfügen mit der EU-DSGVO im Vergleich zu anderen Drittländern über ein hohes Datenschutzniveau. Vorsicht ist allerdings geboten, wenn Sie personenbezogene Daten auf Server in Drittländern mit schwächeren Datenschutzbestimmungen übertragen. In diesem Fall müssen Sie sicherstellen, dass das in der EU geltende Schutzniveau für natürliche Personen nicht untergraben wird. Dies gilt insbesondere für die Übertragung von Daten an Cloud-Anbieter, Social-Media-Plattformen und weitere Unternehmen mit Sitz in den USA. Erkundigen Sie sich im Zweifel beispielsweise bei Ihrem Datenschutzbeauftragten, welche Maßnahmen Sie hier ergreifen müssen.

Datenaustausch mit anderen Webseiten

Die Nutzung von externen Web-Services, wie zum Beispiel des Facebook-Like-Buttons, auf der eigenen Webseite, ist datenschutzrechtlich problematisch. Sind solche Plugins auf der Webseite eingebunden, stellt der Browser meist unbemerkt eine Verbindung mit dem fremden Server, z.B. Facebook, her, so dass dort der Nutzer identifiziert sowie sein Nutzerverhalten analysiert werden können. Mit anderen Worten: personenbezogene Daten, wie z.B. die dynamische IP-Adresse des Nutzers, werden in der Regel unbemerkt an einen Dritten weitergeleitet.

Mit Einführung der EU-DSGVO ist die bisher angewandte sog. Zwei-Klick Lösung hier nicht mehr empfehlenswert. da diese voraussetzen würde, dass der Webseitenbetreiber selbst umfassend über die Datenverarbeitungsvorgänge bei den Social-Media-Anbietern aufklärt, bevor er eine wirksame Einwilligungserklärung einholen könnte. Stattdessen sollte die sog. Shariff Lösung eingesetzt werden. Sie erlaubt ebenfalls eine unmittelbare Kommunikation mit dem fremden Server. Durch Klicken auf den Shariff Button nimmt der Nutzer allerdings selbst aktiv die Kommunikation beispielsweise zu Facebook auf und überträgt damit eigenständig personenbezogene Daten an das Social-Media-Netzwerk.

Ermöglichung anonymer Nutzung oder unter Pseudonym

Seitenbetreiber müssen die Nutzung von Online-Services – damit ist nicht der Vertragsabschluss im Online-Handel gemeint – und ihre Bezahlung anonym oder unter Pseudonym ermöglichen, soweit dies technisch möglich und zumutbar ist. Sie müssen die Nutzer über diese Möglichkeit informieren (§ 13 Abs. 6 TMG). Die Erhebung personenbezogener Daten, die für die Vertragsabwicklung benötigt werden, ist damit in der Regel nicht betroffen.

Datenerhebung zur Bonitätsprüfungen

Wenn personenbezogene Daten zu Bonitätsauskünften bei Schufa, Creditreform usw. verwendet werden, muss die Datenschutzerklärung darüber aufklären. Sie muss unter anderem den Namen und die Anschrift des Unternehmens, an das die Daten weitergeleitet werden, enthalten. Eine ausdrückliche Einwilligung des Nutzers ist nicht notwendig. Dies gilt allerdings nur, wenn der Online-Shop-Betreiber ein berechtigtes Interesse an dieser Art von Datenverarbeitung nachweisen kann. Beispiel: beim Kauf auf Rechnung muss er durch die Lieferung in Vorleistung gehen. Dieses „berechtigte Interesse“ muss dem Nutzer mitgeteilt werden. (Art. 13 Abs. 1 lit. d EU-DSGVO). In allen anderen Fällen ist die Datenverarbeitung in der Regel nur zulässig, wenn der Nutzer zuvor eingewilligt hat.

Der Datenschutzbeauftragte

Unternehmen können entweder einen Datenschutzbeauftragten einstellen oder einen externen Dienstleister beauftragen.

Sowohl der Verantwortliche, also jeder, der über den Umgang mit personenbezogenen Daten entscheidet, als auch sog. Auftragsverarbeiter (Dienstleister, die im Auftrag eines Verantwortlichen personenbezogene Daten verarbeiten) müssen einen Datenschutzbeauftragten bestellen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt sind (§ 38 Abs. 1 S. 1 BDSG).

Unabhängig von der Zahl der Mitarbeiter müssen Unternehmen auch dann einen Datenschutzbeauftragten benennen, wenn sie bei der Verarbeitung von Daten zu einer Datenschutzfolgenabschätzung nach Art. 35 EU-DSGVO verpflichtet sind oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten (§ 38 Abs. 1 S. 2 BDSG).

Einen weiteren Grund für die Bestellung eines Datenschutzbeauftragten sieht die EU-DSGVO (Art. 37 Abs. 1 lit. b), c)) vor. Davon betroffen sind Unternehmen, deren Kerntätigkeit in der Verarbeitung besonders sensibler Daten liegt. Dazu gehören beispielsweise genetische, biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung (Artikel 9 EU-DSGVO) oder personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 10 EU-DSGVO).

Generell gilt: Dem Nutzer, dessen personenbezogene Daten verarbeitet werden, müssen die Kontaktdaten des Datenschutzbeauftragten im Rahmen der Datenschutzerklärung mitgeteilt werden (Art. 13 Abs. 1 lit. b) EU-DSGVO). Außerdem müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und der Aufsichtsbehörde mitgeteilt werden (Art. 37 Abs. 7 EU-DSGVO).

Einsatz von Webtracking-Tools

Webtracking-Tools wie zum Beispiel Piwik, Google Analytics, WP Statistics, Clicky werden eingesetzt, um die Daten von Webseiten-Besuchern zu sammeln und zu analysieren und so ein Nutzerprofil zu erstellen. Daraus geht beispielsweise hervor, wie häufig und für welche Zeitspanne sich der Nutzer auf der Webseite bewegt und aus welchem Land er kommt. Es handelt sich um eine automatisierte Verarbeitung personenbezogener Daten, um bestimmte Aspekte, wie persönliche Vorlieben oder Interessen zu identifizieren, zu bewerten, oder vorherzusagen (sog. Profiling, Art. 4 Nr. 4 EU-DSGVO). Hier gelten dieselben Regelungen wie bei der Verwendung von Cookies (s.o.).

Im Übrigen benötigt jede Web-Tracking-Software eine eigene Datenschutzkonformitätsprüfung, die vor allem dann sorgfältig durchgeführt werden sollte, wenn Sie Aufträge zur Datenverarbeitung an Dienstleister außerhalb der Europäischen Union erteilen. Ihr Datenschutzbeauftragter berät Sie dazu.