© bluedesign / Fotolia

Achtung! Abmahnung aufgrund einer fehlenden Datenschutzerklärung auf der Webseite - Muster für Datenschutzerklärung für Website

Welche gesetzlichen Vorgaben sind zu beachten?

Momentan finden sich die wichtigsten von Websites-Betreibern zu beachtenden Vorgaben
(noch) im Telemediengesetz (TMG), insbesondere in den §§ 11 ff. TMG. Diese erlauben zahlreiche gängige Anwendungen, etwa die Nutzung von Nutzerdaten oder Web-Analysewerkzeugen.

Mit Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) im Mai 2018 werden diese speziellen -an Telemedien orientierten- Regelungen überlagert und teilweise sogar verdrängt. Da die Regelungen der DSGVO sehr abstrakt gehalten und nicht speziell für den Umgang mit Telemedien konzipiert worden sind, soll flankierend zur DSGVO noch eine spezielle Verordnung für diesen Bereich (ePrivacy-Verordnung) verabschiedet werden. Es ist allerdings nicht zu erwarten, dass diese Verordnung vor Mai 2019 Inkrafttreten wird. Weitere Anpassungen sind damit für die Zukunft zu erwarten.

Ab Mai 2018 und bis zur Verabschiedung einer ePrivacy-Verordnung sind die für Website-Betreiber wichtigsten Rechtfertigungen einer Datenverarbeitung daher:

  • das Vorliegen einer Einwilligung des Betroffenen oder
  • die Notwendigkeit der Datenverarbeitung für die Durchführung eines Vertrags oder
  • das legitime Interesse des Datenverarbeiters, sofern nicht die Rechte des Betroffenen überwiegen. (vgl. Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO)

Welche Anforderungen gibt es bei Einwilligungen?

Eine aus Sicht des Datenschutzes gültige Einwilligungserklärung muss informiert und freiwillig sein. Für eine Newsletter-Anmeldung oder bei Korrespondenz über ein Kontaktformular
beruht die Datenerhebung zwar üblicherweise auf freiwilligen Angaben des Betroffenen, dieser muss aber zusätzlich umfassend informiert werden über:

  • den Zweck der Datenerhebung, -verarbeitung und -nutzung (inklusive Löschung)
  • eine Weitergabe an Dritte (falls geplant),
  • die Möglichkeit nicht einzuwilligen und die damit verbundenen Folgen,
  • die Möglichkeit die Einverständniserklärung für die Zukunft zu widerrufen und Angaben zur Stelle, an welche man sich hierfür wenden muss.

Die Einwilligung muss dokumentiert werden und jederzeit vom Betroffenen abgefragt werden können. Ein Widerruf muss zu jederzeit möglich sein. Der Widerruf darf nicht komplizierter sein als das Erteilen der Einwilligung.

Was gilt für Facebook-Buttons, Websiteoptimierungs- oder -analysesoftware?

Die Nutzung einer Website bringt regelmäßig einen Datenaustausch mit sich, etwa durch die Speicherung von Zugriffsdaten, den Einsatz von Cookies, Webanalysesoftware u.ä.. Die hierfür erhobenen Daten beruhen üblicherweise nicht auf eigenen freiwilligen Eingaben der Betroffenen, sondern werden weitgehend automatisch erhoben. Bei diesen Anwendungen werden die Daten aber häufig nur anonymisiert ausgewertet. Nach bislang geltender Rechtslage ist die Verwendung solch anonymisierter Informationen insoweit gesetzlich privilegiert worden, als das TMG unter gesetzlich definierten Voraussetzungen diese Nutzung ausdrücklich erlaubte. Dieses Privileg fällt ab Mai 2018 voraussichtlich weg.

Eine Datenerhebung ohne Einwilligung oder zum Zwecke der Vertragsanbahnung/-durchführung ist damit künftig nur noch nach sorgfältiger Abwägung der berechtigten Interessen des Betroffenen und den legitimen Interessen des Verarbeiters (Website- Betreibers) zulässig. Die Abwägung erfolgt dabei in 3 Stufen:

  1. Gibt es ein berechtigtes Interesse an der Datenerhebung? (z.B. Optimierung des Internetauftritts, Erhöhung der Benutzerfreundlichkeit, Werbezwecke)
  2. Ist die Datenverarbeitung zur Wahrung dieses Interesses erforderlich? (Grundsatz der Datensparsamkeit beachten!)
  3. Überwiegen die Interessen der Betroffenen am Schutz ihrer Daten dem Interesse des Website-Betreibers? (Bei anonymisierten personenbezogenen Daten kann dies im Rahmen der Interessenabwägung zugunsten der Website-Betreiber wirken.)

Das berechtigte Interesse muss gegenüber dem Nutzer mitgeteilt werden, etwa in der Datenschutzerklärung.

Wie ist der Nutzer zu informieren? - Anforderungen an die Datenschutzerklärung

Nach § 13 TMG hat der Betreiber einer Website, der im Telemediengesetz stets als Diensteanbieter bezeichnet wird, den Nutzer im Rahmen einer leicht auffindbaren Datenschutzerklärung über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten außerhalb des Europäischen Wirtschaftsraums in allgemein verständlicher Form zu unterrichten. Technische oder juristische Fachbegriffe sollten daher nach Möglichkeit vermieden werden oder jedenfalls erklärt werden.

Durch die DSGVO ändert sich an der Pflicht, eine Datenschutzerklärung auf der Website vorzuhalten grundsätzlich nichts. Allenfalls der Katalog der Pflichtinformationen, die im Datenschutzhinweis enthalten sein müssen, wird durch die DSGVO erweitert. Nach der DSGVO sollten sich in der Datenschutzerklärung folgende Punkte wiederfinden:

  • Name und Kontaktdaten des Verantwortlichen,
  • Sofern verpflichtend zu bestellen, die Kontaktdaten des Datenschutzbeauftragten,
  • Art, Umfang und Zweck der Datenverarbeitung sowie die Rechtsgrundlage für die Verarbeitung (Einwilligung oder gesetzlicher Erlaubnistatbestand),
  • Wenn die Verarbeitung auf Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO beruht (Interessenabwägung): die berechtigten Interessen des Verantwortlichen,
  • Ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
  • Ggf. die Absicht der Übermittlung der Daten in Drittländer,
  • Die Dauer der Datenspeicherung, oder jedenfalls die Kriterien für die Festlegung der Speicherdauer,
  • Auskunfts-, Berichtigungs-, Sperrungs- und Löschungsrechte sowie etwaige
    bestehende Widerspruchs- und Widerrufsmöglichkeiten der Datennutzung und
    das Recht auf Datenübertragbarkeit
  • Bestehen eines Beschwerderechts bei der Aufsichtsbehörde.

Nach TMG ferner: Angaben über sämtliche auf der Website ablaufende Datenvorgänge also:

  • Erklärungen zur Nutzung von Zugangsdaten
  • Ggf. Anonyme oder pseudonyme Nutzungsmöglichkeiten,
  • Ggf. Nutzung von Cookies,
  • Ggf. Nutzung von Web-Analyse Tools,
  • Ggf. Nutzung von Social-Plugins,

Eine wesentliche Neuerung liegt darin, dass zukünftig nicht nur die Zwecke der Datenverarbeitung zu nennen sind, sondern auch eine klare Rechtsgrundlage. Die DSGVO legt zudem Wert auf eine leicht verständliche klare Sprache und eine Information an leicht zugänglicher Stelle.

In der Anlage finden Sie ein Muster für eine Datenschutzerklärung, das die gängigsten Anwendungen auf einer Website (Erhebung Zugriffsdaten, Kontaktformulare, Newsletter, Cookies und Google-Analytics) enthält. Mit Hilfe von sog. Datenschutzerklärungs- Generatoren, die Im Internet teilweise kostenlos verfügbar sind, können standardisierte Textbausteine für weitere gebräuchliche Anwendungen leicht abgerufen werden.

Welche einzelnen Anwendungen für Ihre Website zutreffen sowie die technischen Einzelheiten über die erhobenen Daten, Speicherdauern oder Verarbeitungsabläufe sollten mit dem zuständigen IT-Dienstleister abgestimmt, und ggf. die individuelle Datenschutzerklärung entsprechend angepasst werden.

Wo sollte die Datenschutzerklärung abrufbar sein?

Nach TMG muss der Website-Betreiber dem Nutzer die Gelegenheit geben, gleichzeitig mit dem Aufruf der Website von der Datenschutzerklärung Kenntnis zu nehmen. Die DSGVO stellt auf den „Zeitpunkt der Erhebung“ ab und erfordert damit ebenfalls, dass der Nutzer quasi mit „Betreten“ der Website, die Gelegenheit zur Information hat. Daher sollten die Datenschutzhinweise schon auf der Startseite – möglichst an prominenter Stelle- enthalten und auch klar erkennbar sein.

Die Datenschutzerklärung muss zudem jederzeit für den Nutzer abrufbar sein, so dass es sich empfiehlt, für die Datenschutzerklärung einen speziellen Link „Datenschutz“ der von jeder Unterseite aus erreichbar ist, in der Website zu implementieren. Ein „Verstecken“ der Datenschutzerklärung im Impressum ist ausdrücklich nicht zu empfehlen.

Impressumspflicht, Verbraucherstreitbeilegungsgesetz

Rein vorsorglich sei an dieser Stelle nochmals auf die immer noch aktuelle Impressumspflicht (§ 5 TMG) sowie die Informationspflicht nach dem Verbraucherstreitbeilegungsgesetzt erinnert.

Achtung!
Website-Betreiber ohne Impressum, Datenschutzerklärung oder Information nach dem Verbraucherstreitbeilegungsgesetz können auch von Verbraucherschutzverbänden oder Wettbewerbern abgemahnt werden, was mit erheblichen Kosten verbunden sein kann.