Egal ob Unternehmensseite oder privater Modeblog. Die Frage, welche Personendaten auf einer Website verarbeitet und gespeichert werden, muss jeder Betreiber einer Website beantworten können. Dies fordert das Telemediengesetz (TMG), welches Internetanbietern auferlegt über Art, Umfang und Zweck der erhobenen Personendaten zu informieren.

Es mehren sich Gerichtsentscheidungen, wonach fehlende Hinweise zum Datenschutz als Wettbewerbsverstöße gewertet werden und somit kostenpflichtig abgemahnt werden können (so. z.B. LG Berlin, Beschluss v. 12.2.2015, Az. 16 O 504/14; OLG Hamburg Urteil v. 27.6.2013, Az. 3 U 26/12; OLG Karlsruhe, Urteil v. 09.05.2012, Az. 6 U 38/11). Grund genug, dem wichtigen Thema Datenschutzerklärung mal wieder einen Beitrag zu widmen.

Update, August 2018: Wir haben unsere Erkenntnisse zur Erstellung einer Datenschutzerklärung auf einer Übersichtsseite zusammengefasst. Dort finden Sie auch eine Anleitung zur Erstellung von Informationspflichten für Ihre Website.

 

Sinn und Zweck

Eine Datenschutzerklärung muss Nutzer über den gesamten Umfang der Datenverarbeitung informieren. Das Gesetz fordert zudem eine allgemein verständliche Form. Nutzer sollen also nicht durch komplizierte Inhalte verwirrt werden, sondern klar und einfach nachvollziehen können, was mit ihren persönlichen Daten geschieht.

 

Wer benötigt eine Datenschutzerklärung?

Nach dem TMG ist jeder Diensteanbieter dazu verpflichtet über den Umfang der Datenverarbeitung zu Beginn des Nutzungsvorgangs zu informieren. Der Begriff „Diensteanbieter“ ist dabei sehr weit zu verstehen und erfasst alle Websitebetreiber, die eigene oder fremde Inhalte auf einer Website bereithalten oder den Zugang zur Nutzung vermitteln. Neben herkömmlichen Webpräsenzen von Unternehmen gilt diese Pflicht auch für folgende Beispiele:

  • Blogs
  • mobile Internetseiten
  • benutzerbeschränkte Internetseiten (auch hier müssen die registrierten Nutzer erfahren, was mit ihren Daten geschieht)
  • ausländische Internetseiten (die ihr Angebot an deutsche Nutzer richten)
  • Anmeldeseite für Newsletter
  • Landingpages

Ausgenommen von der Informationspflicht sind Inhalte auf Plattformen, die bereits eine eigene Erklärung vorweisen. Klassisches Beispiel sind hierbei soziale Netzwerke wie Facebook, Google+ oder Twitter. Da es sich hierbei nicht um selbständige Präsenzen im Sinne des Gesetzes handelt, ist eine eigene Datenschutzerklärung nicht erforderlich. Allerdings erfassen die vorhandenen Datenschutzerklärungen nur die reguläre Verwendung innerhalb der Netzwerke. Sofern eigene Applikationen (z.B. Gewinnspiel) eingebaut werden, ist über den Umfang der Datenverarbeitung gesondert zu informieren. Diese Pflicht ist in der Regel bereits in den Nutzungsbedingungen enthalten (siehe User Policy von Facebook).

 

Welche Daten werde auf der Website verarbeitet?

Um Nutzer über die Datenverarbeitung informieren zu können, müssen Sie zunächst selbst überlegen, welche personenbezogenen Daten für die Nutzung Ihrer Website benötigt werden. Beantworten Sie zunächst folgende Fragen:

  • Welche Daten werden technisch durch Sie oder Ihren Provider erhoben (z.B. Browsertyp, Standort, IP-Adresse)?
  • Welche Daten können/müssen Nutzer angeben, um Funktionen nutzen zu können (z.B. Name, E-Mail, Adresse, Telefonnummer, Bankdaten bei Registrierung)?
  • Was wird mit den erhobenen Daten gemacht (z.B. Aufträge durchgeführt, Newsletter versendet, Gewinnspiele, Kommentare in Blog)?
  • Welche technischen Hilfsmittel sind auf Ihrer Website eingebunden (z.B. dauerhafte oder temporäre Cookies)?
  • Wird Ihre Website durch eine Software analysiert (z.B. durch Google Analytics, Piwik, etracker)?
  • Arbeiten Sie mit Werbenetzwerken zusammen, die Nutzer nachverfolgen (z.B. Retargeting-Anbieter)?
  • Nutzen Sie Social Plugins (z.B. Facebook Button, Twitter, Goolge+, Xing)?
  • Werden Inhalte Dritter mittels Framing eingebunden (z.B. GoogleMaps, YouTube, Vimeo)?
  • An welche Adresse können Nutzer Anfragen oder Widersprüche richten (z.B. datenschutz@unternehmen.de)?

 

Erstellung Datenschutzerklärung

Nun kommt der etwas mühsame Teil. Die oben gesammelten Informationen müssen so aufbereitet werden, dass sie für Nutzer Ihrer Website in verständlicher Weise abrufbar sind. Eine fehlende juristische Ausbildung ist dabei kein Hindernis, sondern kann durchaus von Vorteil sein. Das Gesetz fordert nämlich ausdrücklich eine allgemeine Verständlichkeit für Nutzer. Informieren Sie daher in einer Form, die auch für juristische Laien nachvollziehbar ist und halten sich beim Aufbau an die oben dargestellten Fragen. Eine Gliederung könnte danach folgendermaßen aussehen:

  • Allgemeine Hinweise zur Datenschutzerklärung
  • Automatische Speicherung von Daten durch unsere Website
  • Speicherung von Daten durch Ihre Angaben bei einer Registrierung
  • Allgemeiner Hinweis zu Cookie
  • Eingesetzte Analysesoftware
  • Hinweis zum Retargeting
  • Hinweise zu Social Plugins, Framing & Co.
  • Rechte der User

Sofern Sie Analysesoftware (wie z.B. Google Analytics) einsetzen, finden Sie in den meisten Fällen Textbausteine bei den jeweiligen Anbietern. Bei kleineren Anbietern bietet sich auch eine persönliche Nachfrage an. Im Regelfall werden die nötigen Hinweise dann zur Verfügung gestellt und können in die Datenschutzerklärung aufgenommen werden. Dabei müssen Sie beachten, dass Nutzern bei der Websiteanalyse und Retargeting zu Werbezwecken grundsätzlich ein Widerspruchsrecht zusteht. Achten Sie bei der Auswahl des Anbieters darauf, dass dieser einen entsprechenden Link bereitstellt, mit dessen Aktivierung sich Nutzer dem jeweiligen Dienst entziehen können. Alle größeren Anbieter bieten entsprechende Widerspruchs-Links (Opt-Out) auf ihren Internetseiten an.

 

Einbindung auf Website

Alle Hinweise zur Datenverarbeitung müssen bereits „zu Beginn des Nutzungsvorgangs“ mitgeteilt werden. Streng genommen bedeutet dies, dass vor Aufruf der Internetseite eine Vorschaltung mit entsprechenden Hinweisen zum Datenschutz auftaucht. Diese sehr weitgehende Interpretation ist jedoch nicht nötig und wird von den Aufsichtsbehörden auch nicht gefordert. Vielmehr genügt eine Verlinkung, die ähnlich wie das Impressum leicht erkennbar auf der Website positioniert wird. Wie dieser Link heißen soll, ist gesetzlich nicht vorgegeben. Ob „Datenschutzhinweise“, „Datenschutzerklärung“ oder einfach „Datenschutz“ ist Jedem selbst überlassen. Möglich ist auch über einen Link auf das Datenschutz und Impressum gemeinsam hinzuweisen.

 

Folgen bei fehlender Datenschutzerklärung

Neben Bußgeldern durch Aufsichtsbehörden drohen auch Abmahnungen durch Mitbewerber, wenn die Informationspflichten zum Datenschutz missachtet werden. Eine weitere Verschärfung droht, wenn das geplante Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzsrechts in Kraft tritt. Abmahnvereine wittern schon ihre Chance… Sollten Sie bei der Datenschutzerklärung bisher auf Lücke gesetzt haben, ist jetzt schnelles Handeln angesagt. Gerne unterstützen wir Sie bei der Erstellung rechtssicherer Pflichtangaben.

Hinweis: Dieser Beitrag wurde erstmals am 16.09.2013 veröffentlicht und wurde nun überarbeitet und aktualisiert.

 


David OberbeckÜber den Autor:
David Oberbeck ist Rechtsanwalt und Partner der Datenschutzkanzlei. Seine Beratungsschwerpunkte liegen im Datenschutz-, Wettbewerbs- und IT-Recht. Zudem ist er als externer Datenschutzbeauftragter für verschiedene Unternehmen tätig.