Umgang mit personenbezogenen Daten auf Websites

Datenschutzerklärung im Internet

HINWEIS: Dieser Artikel soll – als Service Ihrer IHK Kassel-Marburg – nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl er mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.

Das Gesetz erlaubt in einigen Fällen den Umgang mit personenbezogenen Daten, ohne dass eine Einwilligung des Betroffenen notwendig ist. Trotzdem brauchen Sie in jedem Fall zusätzlich noch eine Datenschutzerklärung.
Eine Datenschutzerklärung ist immer dann auf der Internetseite anzugeben, wenn personenbezogene Daten der Besucher und Kunden gespeichert und verarbeitet werden. Die Verwendung der Daten muss zweckgebunden erfolgen. So dürfen die Daten (wie Name, Adresse, Kontonummer) wirklich nur für die Abwicklung des konkreten Vertrags verwendet werden! Sie müssen die Daten daher nach Abwicklung des Vertrags auch wieder löschen. Wenn Sie beabsichtigen, den Kunden zu „registrieren“, damit er bei weiteren Bestellungen nicht jedes Mal seine Daten neu eingeben muss, benötigen Sie dazu eine Einwilligung. Dasselbe gilt auch für die Speicherung der Bestandsdaten für Zwecke der Werbung – auch in diesem Fall ist eine Einwilligung erforderlich.
Grundsätzlich gilt: Kann die Leistung über das Internet ohne diese erhobenen Nutzungsdaten nicht gewährleistet oder nicht abgerechnet werden, ist die Erhebung der Daten ohne Einwilligung erlaubt. Sobald Sie die Daten aber auch anderweitig verwenden, zum Beispiel für die Analyse des Kundenverhaltens, die Werbung oder den Newsletter, reicht die Datenschutzerklärung nicht aus. Zusätzlich muss die Einwilligung des Betroffenen eingeholt und der Betroffene über sein Widerrufsrecht zur Nutzung seiner Daten informiert werden. Die Einwilligung kann elektronisch erklärt werden, wenn Sie sicherstellen, dass
  1. der Kunde seine Einwilligung bewusst und eindeutig erteilt hat (z. B. durch ein Ankreuz-Feld),
  2. die Einwilligung protokolliert wird,
  3. der Kunde den Inhalt der Einwilligung jederzeit abrufen kann und
  4. der Kunde die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Achtung: Sie müssen den Kunden vor Erklärung der Einwilligung auf sein Widerrufsrecht hinweisen. Der Widerruf der Einwilligung muss in Zukunft genau so einfach sein wie die Erteilung der Einwilligung.
Die vor dem 25. Mai 2018 nach dem Bundesdatenschutzgesetz (BDSG) und Digitale-Dienste-Gesetz (DDG) wirksam eingeholten Einwilligungen bleiben nur dann wirksam bestehen, wenn diese Einwilligungen ihrer Art nach den Bedingungen der Datenschutzgrundverordnung entsprechen (Erwägungsgrund 171 zur DSGVO). Das heißt: Die Einwilligung der betroffenen Person ist dann nicht neu einzuholen, wenn die Person zum Zeitpunkt der Abgabe der Einwilligung älter als 16 Jahre alt war und die Einwilligung freiwillig erfolgte, also nicht dem Kopplungsverbot des Art. 7 Absatz 4 DSGVO unterlag. Es ist daher ratsam, bestehende Einwilligungen speziell daraufhin zu prüfen und den Einwilligungsprozess bei Handlungsbedarf kurzfristig anzupassen.

Was hat sich für die Datenschutzerklärung mit der Datenschutzgrundverordnung (DSGVO) nach dem 25.05.2018 geändert?

Seit dem 25. Mai 2018 wird der § 13 Absatz 1 Telemediengesetz durch den Katalog an Pflichtinformationen nach Art. 13 Absatz 1-3 DSGVO ersetzt und wesentlich erweitert. Danach muss die Datenschutzerklärung die Informationen über alle der nachstehenden Punkte enthalten:
  • den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Verantwortlichen (sowie bei nicht in der Union niedergelassenen Verantwortlichen diejenigen des Vertreters),
  • sofern verpflichtend zu bestellen, die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden,
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe) und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO),
  • wenn die Verarbeitung auf einer wirksamen Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte und
  • ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Sollten die Daten nicht selbst, sondern von einem beauftragten Dritten (z. B. einer Auskunftei) erhoben werden, gilt nicht der Art. 13, sondern der noch strengere Art. 14 DSGVO.

Musterdatenschutzerklärung nach EU-DSGVO

Das Institut für Informations-, Telekommunikations- und Medienrecht an der Westfälischen Wilhelms-Universität Münster hat eine Musterdatenschutzerklärung erarbeitet. Sie finden diese auf der Internetseite unter dem Stichwort Musterdatenschutzerklärung. Wir machen Sie darauf aufmerksam, dass die Datenschutzerklärung nur ein Musterdokument ist und keine Gewähr auf Aktualität, Vollständigkeit und Richtigkeit bietet. Ein Mustertext kann weder jede individuelle Datenverarbeitung erfassen noch kann er die anwaltliche Beratung ersetzen. Deshalb sollten Sie jede Musterdatenschutzerklärung gemeinsam mit einem Rechtsanwalt auf Ihre Verarbeitungsprozesse hin überprüfen und anpassen.

Besonderheiten bei Cookies, Analyse-Tools und Social-Plug-Ins

In der Datenschutzerklärung muss vor allem dargelegt werden, wie die Daten verarbeitet werden. Dies betrifft insbesondere Internetseitenbetreiber, die Cookies oder Tracking- und Analyse-Tools sowie Social-Media-Plug-Ins verwenden.

1. Cookies

Cookies sind kleine Textdateien, die auf dem Rechner des Besuchers Ihrer Internetseite abgelegt werden, um das Angebot auf seine Bedürfnisse abzustimmen und ihm die Nutzung bestimmter Funktionen zu ermöglichen. Fast jede Webseite nutzt eine Cookie-Technologie. Dazu gehört z. B. die Einrichtung eines Warenkorbs, in dem Produkte abgelegt werden können, oder die vorübergehende Speicherung von Produkten, die kürzlich angesehen wurden. Hierbei handelt es sich um sogenannte Sitzungs-Cookies, die in der Regel nach dem Ende einer Browser-Sitzung wieder von der Festplatte des Kunden gelöscht werden. Solche Cookies sind rechtlich erlaubt, weil das berechtigte Interesse des Unternehmers (Verbesserung der Webseitennutzung) das Interesse des Kunden (Datensparsamkeit) überwiegt. Wenn Sie solche Cookies verwenden, reicht es aus, den Kunden in Ihrer Datenschutzerklärung darauf hinzuweisen, da es sich um Nutzungsdaten handelt und Sie ein berechtigtes Interesse an der Verbesserung der Webseitennutzung haben. Wir empfehlen zudem, den Kunden darüber zu informieren, dass er durch Einstellung seines Browsers das Abspeichern von Cookies verhindern kann, dadurch jedoch eventuell bestimmte Funktionen der Internetseite nicht wahrgenommen werden können.
Allerdings belohnt das Unternehmen Google die Unternehmen mit einem besseren Ranking, wenn ein Cookie-Banner für das Einholen der Einwilligung auf der Website eingebunden ist. Deshalb setzen viele Unternehmen diese Cookie-Banner ein, auch wenn es sich vielleicht nur um Sitzungs-Cookies handelt.
Tipp: Achten Sie bei der Einbindung des Cookie-Banners darauf, dass der Banner nicht die notwendigen Angaben wie Impressum, Datenschutzerklärung usw. in der Ansicht für den Nutzer überdeckt.
Daneben gibt es aber auch noch sogenannte permanente Cookies. Permanente Cookies sind technisch nicht notwendige Cookies. Diese speichert der Browser, bis ein vom Server definiertes Ablaufdatum erreicht ist. Mit permanenten Cookies können wiederkehrende Besucher auf der Seite erkannt werden. Hier dürfte das berechtigte Interesse des Unternehmers nicht ausreichen, sondern hier muss eine ausdrückliche Einwilligung (Opt-In) des Kunden vorliegen. Diese Empfehlung entspricht dem Entwurf der E-Privacy-Verordnung. Die alte Cookie-Richtlinie (RL 2009/136/EG) ist ab dem 25.05.2018 nicht mehr anwendbar. Bis zum Inkrafttreten der E-Privacy-Verordnung gelten dann die Informationspflichten nach Artikel 13 und 14 der Datenschutzgrundverordnung.
Beim Affiliate-Marketing (also beim Platzieren von Third-Party-Cookies durch ein Unternehmen, das für die Einbindung der Werbe-Cookies dem Website-Betreiber Provisionen zahlt) empfehlen wir, beim Kunden vorher die ausdrückliche Einwilligung einzuholen (so z.B. die Nutzungsbedingungen von Facebook und Google).

2. Tracking- und Analyse-Tools

Tracking- und Analyse-Tools (wie z. B. Google Analytics, eTracker, Piwik und ähnliche) sind Programme, mit deren Hilfe Sie die Zahl und Art der Zugriffe und Nutzung Ihrer Internetseite auswerten können, um so Ihr Angebot zu optimieren. Analyse-Tools wie beispielsweise Google Analytics arbeiten auf der Basis von Cookies. Hier empfehlen wir, die Einwilligung des Kunden einzuholen.
Unklar ist, wie bis zum Inkrafttreten der E-Privacy-Verordnung das Tracking zu bewerten ist. Nach herrschender Meinung könnte § 15 Absatz 3 Telemediengesetz weiter gelten, wonach der Unternehmer für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien pseudonymisierte Nutzungsprofile erstellen darf, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
In datenschutzrechtlicher Hinsicht kann die Anwendung dieser Programme deshalb problematisch sein, wenn Sie die IP-Adressen der Seitenbesucher erfassen und verarbeiten. Denn eine starke Meinung geht davon aus, dass es sich bei der IP-Adresse um ein personenbezogenes Datum handelt und daher eine Einwilligung des jeweiligen Besuchers nötig ist. Aus diesem Grund wurden von Datenschützern bestimmte Kriterien entwickelt, die ein Analyseprogramm erfüllen sollte, um ohne Einwilligung angewendet werden zu dürfen. Demnach sollte ein Analyseprogramm nur gekürzte und damit anonymisierte oder im Idealfall gar keine IP-Adressen erheben und verarbeiten. Dann benötigen Sie keine Einwilligung. Außerdem muss es dem Besucher einer Internetseite möglich sein, der Erhebung seiner Daten zu widersprechen. Schließlich müssen die Daten nach Abschluss der Analyse gelöscht werden und dürfen zu keinem Zeitpunkt mit der betreffenden Person zusammengeführt werden.
Beachten Sie: Das Zählen der Besucher auf der Website fällt nicht unter die Datenschutzregeln, da hierbei nur die Zugriffe gezählt werden. Bei der Aufzeichnung der Zugriffe handelt es sich nicht um personenbezogene Daten.

3. Verwendung von Plug-Ins von Social Media (Social-Plug-Ins)

Plug-Ins sind Programme sozialer Netzwerke wie Facebook, Google+ u. ä., die z. B. in Form eines „Gefällt mir“- oder „+1“-Buttons (dargestellt als kleines Symbol) auf einer Internetseite installiert werden können. Bei diesen Social-Plug-Ins ist stets eine ausdrückliche Einwilligung des Besuchers erforderlich. Eine anerkannte Technik für die Einholung der Einwilligung ist hier der Shariff-Button oder die 2-Klick-Lösung.
Als problematisch angesehen werden diese Buttons deshalb, weil schon mit Aufruf der Internetseite, auf der sie sich befinden, eine Verbindung mit den Servern des jeweiligen Netzwerks hergestellt und die IP-Adresse des Besuchers dorthin übermittelt wird. Dies gilt unabhängig davon, ob diese Person bei dem sozialen Netzwerk eingeloggt oder überhaupt registriert ist. Bei eingeloggten Nutzern wird der Besuch einer Seite mit Plug-In außerdem ihrem Nutzerkonto zugeordnet. Damit nicht schon bei Aufruf der Seite Daten an die Server des jeweiligen Netzwerkes weitergeleitet werden, sollte der Plug-In zunächst nur als bloße Grafik ohne aktive Funktion auf der Seite erscheinen. Erst durch Anklicken wird dann der eigentliche Plug-In aktiviert und die Verbindung zu den Servern hergestellt, zuvor soll der Besucher jedoch auf die Folgen hingewiesen werden. Auf diese Weise muss der Besucher aktiv einwilligen, bevor seine Daten an das Netzwerk weitergeleitet werden (sog. 2-Klick-Lösung).

4. Datentransfer in Drittländer

Bei der Nutzung von Internetseiten können aufgrund der zugrunde liegenden Technik personenbezogene Daten der Besucher in andere Staaten außerhalb der EU übermittelt werden. Die Datenschutzgrundverordnung sieht für die Übermittlung personenbezogener Daten in ein Land außerhalb der EWR (EU und Island, Liechtenstein, Norwegen) besondere Regelungen vor. Eine erste Orientierung hierzu bietet das aktuelle Kurzpapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK).

5. Wer haftet für die Datenverarbeitung auf der Plattform Facebook?

Viele Unternehmer fragen sich seit der Entscheidung des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018, ob – neben Facebook – auch der Betreiber einer Facebook-Fanpage für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist. Eine gute Zusammenfassung des gesamten Streits finden Sie bei der betroffenen IHK Schleswig-Holstein.
Auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat sich zu der Entscheidung des EuGH geäußert: Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtliche Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.

Auffindbarkeit der Datenschutzerklärung

Die Datenschutzerklärung muss für den Nutzer jederzeit leicht auffindbar und aufrufbar sein. Wir empfehlen, neben dem Link zum Impressum auf jeder Seite (vielleicht in der Fußleiste) einen Link „Datenschutzerklärung“ einzurichten. Achtung: Keine Datenschutzerklärung in den AGBs! Es ist unzulässig, Datenschutzerklärungen in eventuell verwendete allgemeine Geschäftsbedingungen zu integrieren, da es sich nur um eine Information des Nutzers handelt und eben nicht um eine Vertragsbedingung.

Online-Kontaktformulare

Bei der Verwendung von Online-Kontaktformularen empfehlen wir Ihnen, die Datenschutzerklärung direkt als Passus in die Formularmaske mit aufzunehmen und über den jederzeit möglichen Widerruf der Verwendung der Daten zu informieren und die Einwilligung des Kunden einzuholen.
Bei Online-Kontaktformularen muss seit dem 25. Mai 2018 gekennzeichnet werden, was Pflichtfelder sind. Daten auf Vorrat zu erheben ist nicht erlaubt, wenn sie für den Zweck nicht notwendig sind (Beispiel: Geburtsdatum als Pflichtfeld zu markieren beim Abonnement eines Newsletters). Weiterhin ist es seit dem 25. Mai 2018 Pflicht, dass die Datenübermittlung per Kontaktformular verschlüsselt erfolgt.

Newsletter

Für den Versand von Newslettern ist rein technisch nur die Angabe der E-Mail-Adresse erforderlich. Die Erhebung weiterer personenbezogener Daten wie Vor- und Nachname, Postadresse oder Geburtsdatum könnte ein Verstoß gegen Art. 25 Abs. 2 Satz 1 DSGVO bedeuten. Danach muss sichergestellt sein, dass durch die Voreinstellung nur diejenigen personenbezogenen Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Deshalb empfehlen wir Ihnen, dass Sie für die Anmeldung zum Newsletter nur die Angabe der E-Mail-Adresse als Pflichtfeld markieren und die Angabe aller weiteren personenbezogenen Daten vom Abonnenten freiwillig erfolgen kann.

Abmahnung und Bußgelder

Mangelhafte Datenschutzerklärungen oder eine fehlende Einwilligung sind wettbewerbsrechtlich angreifbar. So ist zum Beispiel eine fehlende Datenschutzerklärung auf einer Website dann keine wettbewerbsrechtliche Bagatelle mehr, wenn die Daten über ein Online-Kontaktformular erhoben werden. Außerdem kann ein Verstoß gegen datenschutzrechtliche Vorschriften Bußgelder auslösen.
Stand: Juli 2020