Die Datenschutzerklärung

 

Neun nützliche Hinweise für die rechtskonforme Datenschutzerklärung

 

Intro

Beim Besuch einer Website werden vom Nutzer unterschiedlichste Daten „gesammelt“. Damit sind die Grundsätze des Datenschutzrechts vom Websitebetreiber zu beachten. Außerdem ist eine Datenschutzerklärung vorgeschrieben.

Mit den Anforderungen des Datenschutzes wird oftmals zu sorglos umgegangen – sowohl vom Websitebetreiber als auch der betreuenden Agentur. Da es sich um gesetzliche Pflichten handelt, schützt Unwissenheit vor Strafe nicht. Grundkenntnisse zum Datenschutz sind daher unverzichtbar.

 

Rechtsgrundlagen und Rechtsfolgen bei Verstößen

Das Datenschutzrecht folgt aus unserem Allgemeinen Persönlichkeitsrecht (angelegt in Art 1 und 2 Grundgesetz, also „ganz oben“ in unserer Verfassung) und wurde vom Bundesverfassungsgericht im sog. Volkszählungsurteil manifestiert. Später folgten die Regelungen zum Datenschutz. Verstöße sind Ordnungswidrigkeiten und können mit Bußgeldern geahndet werden.

Einige Zivilgerichte sehen im Erfordernis einer Datenschutzerklärung auch eine Marktverhaltensregel. Das Fehlen einer Datenschutzerklärung stellt dann einen abmahnfähigen Wettbewerbsverstoß dar. So zuletzt: LG Köln, Beschluss vom 26.11.2015; OLG Köln Urteil vom 11.03.2016, Az: 6 U 121/15; OLG Hamburg, Urteil vom 27.06.2013, Az: 3 U 26/12; OLG Karlsruhe, Urteil vom 09.05.2012, Az: 6 U 38/11; LG Berlin, Beschluss vom 12.02.2015, Az: 16 O 504/14.

 

Um diese Rechtsfolgen eines solchen Datenschutzverstoßes auszuschließen, muss eine rechtmäßige Datenschutzerklärung angeboten werden.

 

 

 

Die Datenschutzerklärung konkret:

 

(1) Wer muss eine Datenschutzerklärung verwenden?

(Fast) Alle.

Also alle Websitebetreiber – außerhalb der rein familiären oder privaten Nutzung – müssen für ihre Website eine Datenschutzerklärung anbieten.

 

(2) Wo muss die Datenschutzerklärung stehen?

Neben dem Impressum.

Als extra Seite. Anklickbar, direkt von der Startseite aus. Denn sie muss jederzeit abrufbar sein.

 

(3) Warum?

Diese Pflichten folgen aus § 13 Telemediengesetz (TMG). Danach muss der Websitebetreiber – auch Dienstanbieter genannt – den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten außerhalb der EU bzw. des EWR unterrichten. „Zu Beginn“ meint die gleichzeitige Unterrichtung bei Erhebung.

 

(4) Wie muss die Datenschutzerklärung gefasst sein?

Klar, eindeutig und verständlich.

Das Gesetz sagt: Die Unterrichtung muss in allgemein verständlicher Form erfolgen. Also weniger technisch oder juristisch formuliert, sondern in „einfacher Sprache“.

Dabei sind der Fantasie keine Grenzen gesetzt. Warum also die Datenschutzerklärung nicht mit Icons oder Erklär-Videos ausstatten? Mein Tipp: Betrachten Sie die Datenschutzerklärung nicht als Last, sondern als Chance zur Abgrenzung von Ihren Mitbewerbern. Ein rechtsicherer – und dabei auch verständlicher – Webauftritt ist ein Mehrwert für den Nutzer und potentiellen Kunden.

Also: Eine Datenschutzerklärung bündelt alle relevanten Angaben zum Datenschutz und stellt sie verständlich und übersichtlicher dar.

 

(5) Welchen Inhalt muss eine Datenschutzerklärung haben?

Kommt darauf an…

Denn ich muss im jeweiligen Einzelfall angeben, welche Daten ich erhebe, verarbeite und nutze. Die Information muss wahr und vollständig erteilt werden.

Ich schaue mir also zunächst genau an, wann ich auf meiner Website, in welchem Ausmaß und zu welchem Zweck welche Daten erhebe, bearbeite und nutze. Diese Daten und Vorgänge muss ich konkret benennen und die Abläufe erklären. Auch was mit den Daten nach der Nutzung passiert. Und ob eine Weitergabe an Dritte erfolgt, z. B. bei Auftragsdatenverarbeitung, z. B. beim Einsatz von Analysetools, z. B. beim Einsatz von „Google Analytics“.

Übrigens: Der Einsatz von sog. Social-Media-Plug-Ins ist laut Auskunft des Landesdatenschutzbeauftragten des Landes Baden-Württemberg vom 12.10.2017 sowohl mit der sog. Shariff- als auch mit der sog. 2-Klick-Lösung „datenschutzkonform implementierbar“. Auch zu diesen Abläufen muss eine Information in der Datenschutzerklärung gegeben werden. Zusätzlich empfiehlt sich eine Verlinkung zu den Datenschutzhinweisen der Plattformanbieter, damit sich der Betroffene die weiteren Informationen beschaffen kann.

 

(6) Welche Informationen sind das konkret?

Informationen zu personenbezogenen Daten.

Also alle Angaben, die einzeln oder in Kombination mit anderen, bestimmte Personen erkennbar oder bestimmbar machen, z. B. durch ein Datum wie Name, Adresse, Telefonnummer, Mailadresse, Pseudonyme, Konto- und Kreditkartennummern, Telefonnummern, IP-Adressen, Ausweisnummern, Kundennummern. Sofern der Kontext zu Namen oder namensähnlichen Angaben fehlt, entfällt die Eigenschaft als personenbezogene Angabe.

 

(7) Erlaubnis, Einwilligung und Widerspruch

Datenerhebung, -bearbeitung und –nutzung ist gemäß des Bundesdatenschutzgesetzes (BDSG) zulässig, wenn das zur Erfüllung des Vertrages gehört (z. B. Lieferadresse) oder wenn die Betroffene freiwillig eingewilligt hat, z. B. in den Newsletterbezug.

Diese freiwillige Einwilligung muss in der Datenschutzerklärung wiederholt werden. Zusätzlich ist auf das jederzeitige Widerrufsrecht der erteilten Einwilligungen hinzuweisen. Im Fall der Analysetools muss zusätzlich eine technische Möglichkeit zum Widerspruch eingeräumt werden.

 

(8) Weitere Pflichtangaben

Es muss stets die datenverarbeitende Stelle angegeben werden und wo die Betroffene Auskunft über die Erhebung, Bearbeitung und Nutzung ihrer personenbezogenen Daten einfordern kann.

 

(9) Fragen zur Erstellung einer Datenschutzerklärung
  • Welche Funktionen werden angeboten, zu welchen Zwecken?
  • Welche Daten werden dabei erhoben, bearbeitet, genutzt?
  • Welche Analysetools werden eingesetzt?
  • Werden Cookies eingesetzt? Welche, zu welchem Zweck?
  • Werden Social-Media-Plug-Ins eingesetzt?
  • Werden Daten zu Sicherheitszwecken gespeichert?
  • Welche Einverständniserklärungen (z. B. Newsletter) werden eingeholt?
  • Was passiert im Anschluss mit den Daten?
  • Werden Daten an Dritte weitergegeben? Was passiert dort mit den?

 

Stand 12.10.2017