Mit Bild
Warum müssen Website-Betreiber ihre Datenschutzerklärung jetzt anpassen?
Die Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) ist zwar bereits im Mai 2016 in Kraft getreten, der größte Teil der Regelungen werden aber nun am 25. Mai 2018 anwendbar. Diese Verordnung enthält Vorschriften zum Umgang mit personenbezogenen Daten. Im Artikel 13 werden die Informationen aufgelistet, die der Websitebetreiber über die personenbezogene Datenverarbeitung geben muss.
Mit Bild
Das hat erhebliche Auswirkungen auf die Anforderungen an die Datenschutzerklärung einer Website. Bislang verlangte § 13 Abs. 1 Telemediengesetz Informationen zu „Art, Umfang und Zweck“ der Datenerhebung. Die EU-DSGVO schreibt eine ausführlichere Liste an Punkten vor, zu denen die Datenschutzerklärung informieren muss.
Mit Bild
Die DSGVO ermöglicht drakonische Bußgelder im Fall von Verstößen: bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes weltweit. Dazu kommt die Abmahngefahr: Bisher schon konnten fehlende oder fehlerhafte Hinweise zum Datenschutz eine Abmahnung des Websitebetreibers durch Wettbewerber auslösen (OLG Hamburg, 27.06.2013, Az. 3 U 26/12). Daran dürfte sich nichts ändern.
Mit Bild
Die DSGVO gilt EU-weit und direkt, ohne dass die Mitgliedsstaaten dazu ein eigenes nationales Gesetz erlassen müssen. Trotzdem tritt am 25. Mai 2018 in Deutschland auch ein reformiertes Bundesdatenschutzgesetz (BDSG-neu) in Kraft, um die bestehende deutsche Rechtslage an die neue europäische Rechtslage anzupassen. Die Vorgaben zu Datenschutzhinweisen sind nur ein Aspekt der Verordnung.
Mit Bild
Wieso brauchen Website-Betreiber eine Datenschutzerklärung?
Eine Datenschutzerklärung auf der Website ist die praxistauglichste Art, die datenschutzrechtlichen Vorschriften zu erfüllen. Diese verlangen jetzt schon, dass Telemedien-Anbieter die Nutzer ihrer Angebote über „Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten“ informieren, und zwar „zu Beginn des Nutzungsvorgangs“.
Mit Bild
Diese Vorgabe aus § 13 Telemediengesetz (TMG) wird auch weiterhin Gültigkeit behalten, denn auch die DSGVO enthält in Artikel 13 eine „Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“. Neu ist, dass die kommenden Informationspflichten genauer gegliedert sind als in der aktuell gültigen TMG-Vorschrift. Daran, dass die Pflicht durch eine Datenschutzerklärung auf der Website erfüllt werden kann, ändert sich dagegen nichts. Diese Erklärung muss nun allerdings in vielen Fällen ergänzt werden.
Mit Bild
Was muss in einer DSGVO-konformen Datenschutzerklärung stehen?
Eine Datenschutzerklärung sollte folgende Elemente enthalten:
Kontaktdaten des Verantwortlichen (in der Regel des Website-Betreibers) und gegebenenfalls auch des Datenschutzbeauftragten müssen genannt werden.
Zweck und Rechtsgrundlage der Datenverarbeitung müssen genannt werden, und zwar für jede Anwendung bzw. jede Konstellation, zu der personenbezogene Daten erhoben werden. Beispiel: „Für Bestellungen werden Zahlungs- und Adressdaten gespeichert, Adressdaten auch an den Paketdienst übermittelt, der Käufer stimmt dem ausdrücklich zu.“ Rechtsgrundlage kann eine gesetzliche Regelung sein, die die Datenerhebung ermöglicht, oder eine Einwilligung des Nutzers.
Besonders häufig wird als Rechtsgrundlage das „berechtigte Interesse“ an der Verarbeitung nach Art. 6 Abs. 1. Buchst. f DSGVO in Frage kommen. In diesem Fall muss dieses Interesse konkret benannt werden (Etwa „berechtigte wirtschaftliche Interessen“: Interessentendaten, die per Online-Formular erhoben werden, müssen an eine Unternehmensabteilung weitergeleitet werden, um die Anfragen überhaupt beantworten zu können).
Dritte, an die Daten übermittelt werden, müssen genannt werden. Das sind z. B. Betreiber sozialer Netzwerke, wenn deren Buttons eingebunden werden und sie Nutzerdaten speichern.
Dazu muss ein Hinweis erfolgen, falls Daten in Nicht-EU-Staaten übermittelt werden (z. B. wenn der Betreiber des sozialen Netzwerks seine Server in den USA hat). Die Übermittlung personenbezogener Daten in EU-Drittstaaten ist gemäß DSGVO ohnehin sehr problematisch, mehr noch als bisher schon.
Die Dauer der Datenspeicherung beziehungsweise der vorgesehene Zeitpunkt der Löschung muss genannt werden.
Die Nutzer müssen darüber informiert werden, welche Rechte sie in Bezug auf gespeicherte Daten haben (Recht auf Auskunft, auf Löschung, auf Berichtigung und Ergänzung, auf Widerspruch gegen die Verarbeitung, auf Widerruf einer erteilten Einwilligung, auf Beschwerde bei Datenschutzbehörden, auf Datenübertragbarkeit). Besucher oder Nutzer müssen klar darauf hinwiesen werden, dass sie diese Rechte haben und wie sie sich ausüben können.
Falls eine „automatisierten Entscheidungsfindung“ verwendet wird, muss dies genannt werden. Damit sind beispielsweise automatisierte Scores gemeint, die die Bonität bei Finanzierungen ermitteln und entsprechend unterschiedliche Konditionen für unterschiedliche Interessenten ausgeben. (Solche Algorithmen sind gemäß Art. 22 DSGVO ohnehin problematisch, wenn ihr Einsatz nicht „erforderlich“ ist, was immer das bedeuten mag, oder der Nutzer ausdrücklich zustimmt.)
Mit Bild
Welche datenschutzrelevanten Dienste und Funktionen sollten in der Datenschutzerklärung konkret erwähnt werden?
Jedes der folgenden Elemente sollte im Zweifelsfall in der Datenschutzerklärung gesondert erwähnt werden. Werden dafür Daten gespeichert oder weitergegeben? Welche, wofür und wie lange? Stammt das Element bzw. die Anwendung von Dritten? Wenn ja, von wem? Solche Fragen sollte die Datenschutzerklärung möglichst konkret beantworten.
Falls die folgenden Elemente und Funktionen für die Website relevant sind, sollten sie deshalb in der Datenschutzerklärung einzeln vorkommen, mit Informationen dazu, welche Daten erhoben werden etc.:
Kontaktformulare
Kommentarfunktionen
Registriermöglichkeiten
Social-Media-Plugins
Online-Bestellmöglichkeiten
Bezahldienste und Payment-Verfahren
Analytics-Dienste (z. B. Google Analytics, Adobe Analytics), Zugriffsmessungen (z. B. SZM/INFOnline) und Logfile-Auswertungen
Verwendung von Cookies
Verschlüsselungstechniken (SSL)
Newsletter-Abo-Möglichkeiten
Möglichkeiten, neue Beiträge oder Kommentare zu abonnieren
Anzeigen- und Marketing-Dienste (z. B. Google AdSense, AdWords, Conversion Tracking, Remarketing)
Diese Liste ist natürlich nicht vollständig – vorkommen müssen alle Dienste, Funktionen und Angebote, bei deren Nutzung personenbezogene Daten von Besuchern gespeichert und verarbeitet werden. Dazu reicht im Zweifel schon die Speicherung der IP-Adresse.
Mit Bild
Wie muss die Datenschutzerklärung eingebunden werden?
So, dass sie gleich vom Beginn des Besuchs der Website aus ausgerufen werden kann, und zwar egal, auf welche Seite der Besucher als erstes kommt. Die Datenschutzerklärung sollte genau wie das Impressum von jeder Seite des Webauftritts erreichbar sein, am besten in einem direkten Klick. Explizite Vorschriften zur Einbindung eines Links, etwa zu Schriftgröße oder Position, gibt es aber keine.
Mit Bild
Vorsicht vor juristischem Kauderwelsch
Nach Art. 12 Abs. 1 DSGVO müssen Datenschutzerklärungen in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ verfasst sein. Dabei spielt auch die Zielgruppe eine Rolle. Bei einer Website, die sich vor allem an Kinder richtet, müssen die Datenschutzhinweise so formuliert werden, dass die Kinder sie auch verstehen können.
Mit Bild
Woher bekomme ich eine DSGVO-taugliche Datenschutzerklärung?
Es gibt Online-Generatoren, die eine Datenschutzerklärung sozusagen von der Stange liefern. Ein Beispiel ist dieses Datenschutzerklärungs-Tool. Unternehmen, deren Web-Auftritt sich auf reine Informationen beschränken (ohne Shop o. ä.) und deren Online-Besucher kaum mehr Interaktionsmöglichkeiten haben als ein Newsletter-Abo oder ein Kontaktformular, sind damit recht gut bedient.
Wenn das Webangebot dagegen Bestell- und Zahlungsmöglichkeiten, das Anlegen komplexer Nutzerprofile, Vernetzung und Ähnliches mehr ermöglicht, dann ist es durchaus sinnvoll, wenn ein Anwalt, der auf Online-Recht spezialisiert ist, Datenschutzerklärung und Privacy-Hinweise überprüft. Das kostet natürlich Geld (gehen Sie von einer mittleren dreistelligen Summe aus), schützt aber vor Bußgeldern und Abmahnungen.
Mit Bild
Zum Schluss
Die EU-DGSVO erhöht sicher den datenschutzrechtlichen Druck auf Website-Betreiber. Es werden höhere Anforderungen daran gestellt, die Einwilligung zur Speicherung/Verarbeitung personenbezogener Daten einzuholen, die Berechtigung dazu nachzuweisen und darüber zu informieren. Aber aus der DSGVO folgt jedoch nicht, dass Anbieter eines Dienstes im Internet nun gar keine Daten mehr erheben oder verarbeiten dürfen oder dass jeder Nutzer, Interessent oder Kunde jederzeit die sofortige Löschung aller Daten verlangen kann.
Schließlich muss auch das „berechtigte wirtschaftliche Interesse“ des Unternehmens berücksichtigt werden. Darüber hinaus müssen viele personenbezogene Daten archiviert werden, um anderen gesetzlichen Vorschriften als dem Datenschutzrecht zu entsprechen. Ein Online-Händler, der sämtliche personenbezogenen Daten von Kunden direkt nach Ausführen der Bestellung komplett löscht, würde beispielsweise unweigerlich gegen das Steuerrecht verstoßen.