Recht und Steuern
Beim Affiliate-Marketing (also das Platzieren von Third-Party-Cookies durch ein Unternehmen, das für die Einbindung der Werbe-Cookies dem Websitebetreiber Provisionen zahlt) empfehlen wir beim Kunden vorher die ausdrückliche Einwilligung einzuholen (so z.B. die Nutzungsbedingungen von Facebook und Google).
Datenschutzerklärung im Internet
Das Gesetz erlaubt in einigen Fällen den Umgang mit personenbezogenen Daten, ohne dass eine Einwilligung des Betroffenen notwendig ist. Trotzdem brauchen Sie in jedem Fall zusätzlich noch eine Datenschutzerklärung.
- Was ändert sich für die Datenschutzerklärung mit der Datenschutz-Grundverordnung (DSGVO) nach dem 25.05.2018?
- Musterdatenschutzerklärung nach EU-DSGVO
- Besonderheiten bei Cookies, Analyse Tools und Social-Plug-Ins
- Auffindbarkeit der Datenschutzerklärung
- Online-Kontaktformulare
- Abmahnung und Bußgelder
Eine Datenschutzerklärung ist immer dann auf der Internetseite anzugeben, wenn personenbezogene Daten der Besucher und Kunden gespeichert und verarbeitet werden. Die Verwendung der Daten muss zweckgebunden erfolgen. So dürfen die Daten (wie Name, Adresse, Kontonummer) wirklich nur für die Abwicklung des konkreten Vertrags verwendet werden! Sie müssen die Daten daher nach Abwicklung des Vertrags auch wieder löschen. Wenn Sie beabsichtigen, den Kunden zu "registrieren", damit er bei weiteren Bestellungen nicht jedes Mal seine Daten neu eingeben muss, benötigen Sie dazu eine Einwilligung. Dasselbe gilt auch für die Speicherung der Bestandsdaten für Zwecke der Werbung - auch in diesem Fall ist eine Einwilligung erforderlich.
Grundsätzlich gilt: Kann die Leistung über das Internet ohne diese erhobenen Nutzungsdaten nicht gewährleistet oder nicht abgerechnet werden, ist die Erhebung der Daten ohne Einwilligung erlaubt. Sobald Sie die Daten aber auch anderweitig verwenden wie zum Beispiel für die Analyse des Kundenverhaltens, die Werbung oder den Newsletter, reicht die Datenschutzerklärung nicht aus. Zusätzlich muss die Einwilligung des Betroffenen eingeholt und der Betroffene über sein Widerrufsrecht zur Nutzung seiner Daten informiert werden. Die Einwilligung kann elektronisch erklärt werden, wenn Sie sicherstellen, dass
- der Kunde seine Einwilligung bewusst und eindeutig erteilt hat, (zum Beispiel durch ein Ankreuz-Feld)
- die Einwilligung protokolliert wird,
- der Kunde den Inhalt der Einwilligung jederzeit abrufen kann und
- der Kunde die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Achtung: Sie müssen den Kunden vor Erklärung der Einwilligung auf sein Widerrufsrecht hinweisen. Der Widerruf der Einwilligung muss in Zukunft genau so einfach sein wie die Erteilung der Einwilligung.
Die vor dem 25.05.2018 nach dem BDSG und TMG wirksam eingeholten Einwilligungen bleiben nur dann wirksam bestehen, wenn diese Einwilligungen ihrer Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen (Erwägungsgrund 171 zur DS-GVO).
Die vor dem 25.05.2018 nach dem BDSG und TMG wirksam eingeholten Einwilligungen bleiben nur dann wirksam bestehen, wenn diese Einwilligungen ihrer Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen (Erwägungsgrund 171 zur DS-GVO).
Das heißt: Die Einwilligung der betroffenen Person ist dann nicht neu einzuholen, wenn die Person zum Zeitpunkt der Abgabe der Einwilligung älter als 16 Jahre alt war und die Einwilligung freiwillig erfolgte, also nicht dem Kopplungsverbot des Art. 7 Absatz 4 DS-GVO unterlag.
Es ist daher ratsam, bestehende Einwilligung speziell darauf hin zu prüfen und den Einwilligungsprozess bei Handlungsbedarf kurzfristig anzupassen.
Was ändert sich für die Datenschutzerklärung mit der Datenschutz-Grundverordnung (DSGVO) nach dem 25.05.2018?
Seit dem 25.05.2018 ist § 13 Absatz 1 Telemediengesetz durch den Katalog an Pflichtinformationen nach Art. 13 Absatz 1-3 DSGVO ersetzt und wesentlich erweitert worden. Danach muss die Datenschutzerklärung die Informationen über alle der nachstehenden Punkte enthalten:
- den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Verantwortlichen (sowie bei nicht in der Union niedergelassenen Verantwortlichen diejenigen des Vertreters)
- sofern verpflichtend zu bestellen, die Kontaktdaten des Datenschutzbeauftragten
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe) und
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO)
- wenn die Verarbeitung auf einer wirksamen Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Sollten die Daten nicht selbst, sondern von einem beauftragtem Dritten (z.B. einer Auskunftei) erhoben, gilt nicht der Art. 13, sondern der noch strengere Art. 14 DSGVO.
Musterdatenschutzerklärung nach EU-DSGVO
Das Institut für Informations-, Telekommunikations- und Medienrecht an der Westfälischen Wilhelms-Universität Münster hat eine Musterdatenschutzerklärung erarbeitet. Sie finden diese auf der Internetseite http://www.uni-muenster.de/Jura.itm/hoeren/lehre/materialien unter dem Stichwort Musterdatenschutzerklärung. Wir machen Sie darauf aufmerksam, dass die Datenschutzerklärung nur ein Musterdokument ist und keine Gewähr auf Aktualität, Vollständigkeit und Richtigkeit bietet. Ein Mustertext kann weder jede individuelle Datenverarbeitung erfassen noch kann er die anwaltliche Beratung ersetzen. Deshalb sollten Sie jede Musterdatenschutzerklärung gemeinsam mit einem Rechtsanwalt auf Ihre Verarbeitungsprozesse überprüfen und anpassen.
Besonderheiten bei Cookies, Analyse Tools und Social-Plug-Ins
In der Datenschutzerklärung muss vor allem dargelegt werden, wie die Daten verarbeitet werden. Dies betrifft insbesondere Internetseitenbetreiber, die Cookies oder Trackings- und Analyse Tools sowie Social-Media-Plug-Ins verwenden.
1. Cookies
Cookies sind kleine Textdateien, die auf dem Rechner des Besuchers Ihrer Internetseite abgelegt werden, um das Angebot auf seine Bedürfnisse abzustimmen und ihm die Nutzung bestimmter Funktionen zu ermöglichen. Fast jede Webseite nutzt eine Cookie-Technologie. Dazu gehört z. B. die Einrichtung eines Warenkorbs, in dem Produkte abgelegt werden können, oder die vorübergehende Speicherung von Produkten, die kürzlich angesehen wurden. Hierbei handelt es sich um sogenannte Sitzungs-Cookies, die in der Regel nach dem Ende einer Browser-Sitzung wieder von der Festplatte des Kunden gelöscht werden. Solche Cookies sind rechtlich erlaubt, weil das berechtigte Interesse des Unternehmers (Verbesserung des Websitenutzung) das Interesse des Kunden (Datensparsamkeit) überwiegt. Wenn Sie solche Cookies verwenden, reicht es aus, den Kunden in Ihrer Datenschutzerklärung darauf hinzuweisen, da es sich um Nutzungsdaten handelt und Sie ein berechtigtes Interesse an der Verbesserung der Websitenutzung haben. Wir empfehlen zudem, den Kunden darüber zu informieren, dass er durch Einstellung seines Browsers das Abspeichern von Cookies verhindern kann, dadurch jedoch eventuell bestimmte Funktionen der Internetseite nicht wahrgenommen werden können.
Allerdings belohnt das Unternehmen Google die Unternehmen mit einem besseren Ranking, wenn ein Cookie-Banner für das Einholen der Einwilligung auf der Website eingebunden ist. Deshalb setzen viele Unternehmen diese Cookie-Banner ein, auch wenn es sich vielleicht nur um Sitzungs-Cookies handelt.
Tipp: Achten Sie bei der Einbindung des Cookie-Banners darauf, dass der Banner nicht die notwendigen Angaben wie Impressum, Datenschutzerklärung usw. in der Ansicht für den Nutzer überdeckt.
Daneben gibt es aber auch noch sog. permanente Cookies. Permanente Cookies sind technisch nicht notwendige Cookies. Diese speichert der Browser, bis ein vom Server definiertes Ablaufdatum erreicht ist. Mit permanenten Cookies können wiederkehrende Besucher auf der Seite erkannt werden. Hier dürfte das berechtigte Interesse des Unternehmers nicht ausreichen, sondern hier muss eine ausdrückliche Einwilligung (Opt-In) des Kunden vorliegen. Diese Empfehlung entspricht dem Entwurf der E-Privacy-Verordnung. Die alte Cookie-Richtlinie (RL 2009/136/EG) ist ab dem 25.05.2018 nicht mehr anwendbar. Bis zum Inkrafttreten der E-Privacy-Verordnung gelten dann die Informationspflichten nach Artikel 13 und 14 der Datenschutz-Grundverordnung.
Allerdings belohnt das Unternehmen Google die Unternehmen mit einem besseren Ranking, wenn ein Cookie-Banner für das Einholen der Einwilligung auf der Website eingebunden ist. Deshalb setzen viele Unternehmen diese Cookie-Banner ein, auch wenn es sich vielleicht nur um Sitzungs-Cookies handelt.
Tipp: Achten Sie bei der Einbindung des Cookie-Banners darauf, dass der Banner nicht die notwendigen Angaben wie Impressum, Datenschutzerklärung usw. in der Ansicht für den Nutzer überdeckt.
Daneben gibt es aber auch noch sog. permanente Cookies. Permanente Cookies sind technisch nicht notwendige Cookies. Diese speichert der Browser, bis ein vom Server definiertes Ablaufdatum erreicht ist. Mit permanenten Cookies können wiederkehrende Besucher auf der Seite erkannt werden. Hier dürfte das berechtigte Interesse des Unternehmers nicht ausreichen, sondern hier muss eine ausdrückliche Einwilligung (Opt-In) des Kunden vorliegen. Diese Empfehlung entspricht dem Entwurf der E-Privacy-Verordnung. Die alte Cookie-Richtlinie (RL 2009/136/EG) ist ab dem 25.05.2018 nicht mehr anwendbar. Bis zum Inkrafttreten der E-Privacy-Verordnung gelten dann die Informationspflichten nach Artikel 13 und 14 der Datenschutz-Grundverordnung.
Beim Affiliate-Marketing (also das Platzieren von Third-Party-Cookies durch ein Unternehmen, das für die Einbindung der Werbe-Cookies dem Websitebetreiber Provisionen zahlt) empfehlen wir beim Kunden vorher die ausdrückliche Einwilligung einzuholen (so z.B. die Nutzungsbedingungen von Facebook und Google).
2. Tracking- und Analysetools
Tracking- und Analysetools (wie z. B. Google Analytics, eTracker, Piwik und ähnliche) sind Programme, mit deren Hilfe Sie die Zahl und Art der Zugriffe und Nutzung Ihrer Internetseite auswerten können, um so Ihr Angebot zu optimieren. Analysetools, wie beispielsweise Google Analytics, arbeiten auf der Basis von Cookies. Hier empfehlen wir, die Einwilligung des Kunden einzuholen.
Unklar ist, wie bis zum Inkrafttreten der E-Privacy-Verordnung das Tracking zu bewerten ist. Nach herrschender Meinung könnte § 15 Absatz 3 Telemediengesetz weiter gelten, wonach der Unternehmer für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien pseudonymisierte Nutzungsprofile erstellen darf, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
In datenschutzrechtlicher Hinsicht kann die Anwendung dieser Programme deshalb problematisch sein, wenn Sie die IP-Adressen der Seitenbesucher erfassen und verarbeiten. Denn eine starke Meinung geht davon aus, dass es sich bei der IP-Adresse um ein personenbezogenes Datum handelt und daher eine Einwilligung des jeweiligen Besuchers nötig ist. Aus diesem Grund wurden von Datenschützern bestimmte Kriterien entwickelt, die ein Analyseprogramm erfüllen sollte, um ohne Einwilligung angewendet werden zu dürfen. Demnach sollte ein Analyseprogramm nur gekürzte und damit anonymisierte oder im Idealfall gar keine IP-Adressen erheben und verarbeiten. Dann benötigen Sie keine Einwilligung. Außerdem muss es dem Besucher eine Internetseite möglich sein, der Erhebung seiner Daten zu widersprechen. Schließlich müssen die Daten nach Abschluss der Analyse gelöscht werden und dürfen zu keinem Zeitpunkt mit der betreffenden Person zusammengeführt werden.
Beachten Sie: Das Zählen der Besucher auf der Website fällt nicht unter die Datenschutzregeln, da hierbei nur die Zugriffe gezählt werden. Bei der Aufzeichnung der Zugriffe handelt es sich nicht um personenbezogenen Daten.
In datenschutzrechtlicher Hinsicht kann die Anwendung dieser Programme deshalb problematisch sein, wenn Sie die IP-Adressen der Seitenbesucher erfassen und verarbeiten. Denn eine starke Meinung geht davon aus, dass es sich bei der IP-Adresse um ein personenbezogenes Datum handelt und daher eine Einwilligung des jeweiligen Besuchers nötig ist. Aus diesem Grund wurden von Datenschützern bestimmte Kriterien entwickelt, die ein Analyseprogramm erfüllen sollte, um ohne Einwilligung angewendet werden zu dürfen. Demnach sollte ein Analyseprogramm nur gekürzte und damit anonymisierte oder im Idealfall gar keine IP-Adressen erheben und verarbeiten. Dann benötigen Sie keine Einwilligung. Außerdem muss es dem Besucher eine Internetseite möglich sein, der Erhebung seiner Daten zu widersprechen. Schließlich müssen die Daten nach Abschluss der Analyse gelöscht werden und dürfen zu keinem Zeitpunkt mit der betreffenden Person zusammengeführt werden.
Beachten Sie: Das Zählen der Besucher auf der Website fällt nicht unter die Datenschutzregeln, da hierbei nur die Zugriffe gezählt werden. Bei der Aufzeichnung der Zugriffe handelt es sich nicht um personenbezogenen Daten.
3. Verwendung von Plug-Ins von Social Media (Social-Plug-Ins)
Plug-Ins sind Programme sozialer Netzwerke wie Facebook, Google+ u. ä., die z. B. in Form eines »Gefällt mir«- oder »+1«-Buttons (dargestellt als kleines Symbol) auf einer Internetseite installiert werden können. Bei diesen Social-Plug-Ins ist stets eine ausdrückliche Einwilligung des Besuchers erforderlich. Eine anerkannte Technik für die Einholung der Einwilligung ist hier der Shariff-Button oder die 2-Klick-Lösung.
Als problematisch angesehen werden diese Buttons deshalb, weil schon mit Aufruf der Internetseite, auf der sie sich befinden, eine Verbindung mit den Servern des jeweiligen Netzwerks hergestellt und die IP-Adresse des Besuchers dorthin übermittelt wird. Dies gilt unabhängig davon, ob diese Person bei dem sozialen Netzwerk eingeloggt oder überhaupt registriert ist. Bei eingeloggten Nutzern wird der Besuch einer Seite mit Plug-In außerdem ihrem Nutzerkonto zugeordnet. Damit nicht schon bei Aufruf der Seite Daten an die Server des jeweiligen Netzwerkes weitergeleitet werden, sollte der Plug-In zunächst nur als bloße Grafik ohne aktive Funktion auf der Seite erscheinen. Erst durch Anklicken wird dann der eigentliche Plug-In aktiviert und die Verbindung zu den Servern hergestellt, zuvor soll der Besucher jedoch auf die Folgen hingewiesen werden. Auf diese Weise muss der Besucher aktiv einwilligen, bevor seine Daten an das Netzwerk weitergeleitet werden (sog. 2-Klick-Lösung).
Plug-Ins sind Programme sozialer Netzwerke wie Facebook, Google+ u. ä., die z. B. in Form eines »Gefällt mir«- oder »+1«-Buttons (dargestellt als kleines Symbol) auf einer Internetseite installiert werden können. Bei diesen Social-Plug-Ins ist stets eine ausdrückliche Einwilligung des Besuchers erforderlich. Eine anerkannte Technik für die Einholung der Einwilligung ist hier der Shariff-Button oder die 2-Klick-Lösung.
Als problematisch angesehen werden diese Buttons deshalb, weil schon mit Aufruf der Internetseite, auf der sie sich befinden, eine Verbindung mit den Servern des jeweiligen Netzwerks hergestellt und die IP-Adresse des Besuchers dorthin übermittelt wird. Dies gilt unabhängig davon, ob diese Person bei dem sozialen Netzwerk eingeloggt oder überhaupt registriert ist. Bei eingeloggten Nutzern wird der Besuch einer Seite mit Plug-In außerdem ihrem Nutzerkonto zugeordnet. Damit nicht schon bei Aufruf der Seite Daten an die Server des jeweiligen Netzwerkes weitergeleitet werden, sollte der Plug-In zunächst nur als bloße Grafik ohne aktive Funktion auf der Seite erscheinen. Erst durch Anklicken wird dann der eigentliche Plug-In aktiviert und die Verbindung zu den Servern hergestellt, zuvor soll der Besucher jedoch auf die Folgen hingewiesen werden. Auf diese Weise muss der Besucher aktiv einwilligen, bevor seine Daten an das Netzwerk weitergeleitet werden (sog. 2-Klick-Lösung).
4. Datentransfer in Drittländer
Bei der Nutzung von Internetseiten können aufgrund der zugrundeliegenden Technik personenbezogene Daten der Besucher in andere Staaten außerhalb der EU übermittelt werden. Die Datenschutz-Grundverordnung sieht für die Übermittlung personenbezogener Daten in ein Land außerhalb der EWR (EU und Island, Liechtenstein, Norwegen) besondere Regelungen vor. Eine erste Orientierung hierzu bietet das aktuelle Kurzpapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK). Link: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/02/DSK_KPNr_4_Drittländer.pdf#
Auffindbarkeit der Datenschutzerklärung
Die Datenschutzerklärung muss für den Nutzer jederzeit leicht auffindbar und aufrufbar sein. Wir empfehlen neben dem Link zum Impressum auf jeder Seite (vielleicht in der Fußleiste) einen Link "Datenschutzerklärung" einzurichten. Achtung: Keine Datenschutzerklärung in AGBs! Es ist unzulässig, Datenschutzerklärungen in eventuell verwendete allgemeine Geschäftsbedingungen zu integrieren, da es sich nur um eine Information des Nutzers handelt und eben nicht um eine Vertragsbedingung.
Online-Kontaktformulare
Bei der Verwendung von Online-Kontaktformularen empfehlen wir Ihnen, die Datenschutzerklärung direkt als Passus in die Formularmaske mit aufzunehmen und über den jederzeit möglichen Widerruf der Verwendung der Daten zu informieren und die Einwilligung des Kunden einzuholen.
Bei Online-Kontaktformularen muss nach dem 25.05.2018 gekennzeichnet werden, was Pflichtfelder sind. Daten auf Vorrat zu erheben ist nicht erlaubt, wenn sie für den Zweck nicht notwendig sind (Beispiel: Geburtsdatum als Pflichtfeld zu markieren beim Abonnement von Newsletter). Weiterhin ist es ab dem 25.05.2018 Pflicht, dass die Datenübermittlung per Kontaktformular verschlüsselt erfolgt.
Abmahnung und Bußgelder
Die Frage, ob DSGVO-Verstöße abmahnbar sind, ist in der Rechtsprechung zurzeit streitig. Während das LG Würzburg (Beschl. v. 13.9.2018, 11 O 1741/18) der Auffassung war, dass eine Datenschutzerklärung, die nicht den Anforderungen der DSGVO genügt, einen abmahnbaren Wettbewerbsverstoß darstelle und deshalb von Konkurrenten abgemahnt werden könne, hatte das LG Bochum (Urt. v. 7.8.2018, I-12 O 85/18) entschieden, dass eine Abmahnung durch Mitbewerber nicht zulässig sei. Denn die DSGVO enthalte in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende abschließende Regelung.
Danach kann ein Verstoß gegen datenschutzrechtliche Vorschriften nur Bußgelder der Datenschutzbehörde auslösen.