Die Datenschutzerklärung im Internet

Am 25. Mai 2018 trat die europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Neben vielen anderen Regelungen, werden in den Artikel 13 ff. DSGVO viele Informations- und Hinweispflichten benannt. Diese müssen bereits zum Zeitpunkt der Datenerhebung erfüllt werden.
Ziel ist es, den Nutzern möglichst umfassend und genau aufzuzeigen, welche Daten von ihnen wie und zu welchen Zwecken verarbeitet werden. Nur so kann der Nutzer durch die weitere Verwendung einer Internetseite oder der Eingabe seiner Daten in Kontaktformulare in die nachfolgende Datenverarbeitung vorab einwilligen. Und nur nach einer solchen Einwilligung ist, wenn es keine anderen rechtlichen Grundlagen gibt, eine Datenverarbeitung überhaupt zulässig.
Für alle tatsächlich bei Verwendung der Internetseite verarbeiteten Datenkategorien ist der Zweck und die Art der Datenverarbeitung anzugeben. Dies gilt zum Beispiel für Adress-, Kontakt- und Bankdaten, aber auch Cookies, Logfiles oder Social Media-Plugins.
Faktisch lässt sich das nur mit einer entsprechenden Datenschutzerklärung umsetzen. Diese sollte ähnlich zentral wie ein Impressum auf der Homepage platziert sein. Die Datenschutzerklärung ist immer öffentlich. Dadurch sind Fehler oder unzureichende Angaben durch Dritte auch schnell und ohne großen Aufwand zu finden.
Bislang gibt es zu der kontrovers diskutierten Frage, ob Verstöße gegen die Informationspflichten nach der DSGVO auch Verstöße gegen das Wettbewerbsrecht sind, noch keine höchstrichterliche Rechtsprechung. Auch die von der Bunderegierung schon länger angekündigte gesetzliche Klarstellung erfolgte bislang nicht. Wohl auch deshalb blieb die befürchtet Abmahnwelle bislang aus. Dennoch muss weiterhin davon ausgegangen werden, dass in naher Zukunft viele Wettbewerber, aber auch professionelle Abmahner die neuen Datenschutzregelungen zum Anlass nehmen werden, Internetseiten kritisch daraufhin durchzusehen, ob alle Vorgaben richtig und vollständig umgesetzt wurden. Bereits kleinste Fehler können dann zu Abmahnungen führen.
Wir raten daher dringend, Angaben in der Datenschutzerklärung, aber auch in Impressum und veröffentlichten AGBs umgehend und regelmäßig auf Richtigkeit und Vollständigkeit zu überprüfen. Da ein Internetauftritt je nach Gestaltung im Einzelfall sehr viele verschiedene Pflichtangaben erfordern kann, sollte im Zweifel auf die Hilfe des Internetdienstleisters oder eines anderen Spezialisten zurückgegriffen werden.
Erste Hinweise, weiterführende Links und Musterbeispiele sind unter "Weitere Informationen" hinterlegt.

Weitere Anforderungen

Die Erhebung von Kundendaten ist grundsätzlich nur in engen Grenzen möglich, entweder aufgrund einer gesetzlichen Grundlage oder einer Einwilligung. Personenbezogene Daten gehören zum Persönlichkeitsrecht. Datenschutzgrundverordnung (DSGVO), Bundesdatenschutzgesetz (BDSG) und Telemediengesetz (TMG) verlangen daher diverse Vorabinformationen und Einwilligungen der Betroffenen, bei Beginn der Datenverarbeitung.

Personenbezogene Daten

Unter personenbezogene Daten fallen alle Angaben, die Rückschlüsse auf ihre persönlichen, wirtschaftlichen und tatsächlichen Verhältnisse zulassen und direkt mit der wirklichen Identität einer Person in Verbindung gebracht werden können. Das sind zum Beispiel neben dem Namen, die Adresse, die Telefonnummer, der Familienstand und die berufliche Tätigkeit.

Datenerhebung zur Vertragserfüllung

Daten, die zur Vertragserfüllung nötig sind, dürfen ohne Einwilligung erhoben und verwendet werden. So werden zur Vertragserfüllung im Onlineshop die Kontaktdaten des Kunden benötigt, um ihm die Vertragsunterlagen und die Ware zusenden zu können. Die Übermittlung der notwendigen Daten an Transportunternehmen und Kreditinstitute erfolgt ebenfalls regelmäßig zur Erfüllung des Vertrages. Jedoch ist über die Datenverarbeitung zu informieren.

Weitere Daten nur mit Einwilligung

Sollen Daten erhoben werden, die nicht zur bloßen Vertragserfüllung notwendig sind und für die es auch keine konkrete gesetzliche oder rechtliche Verpflichtung gibt, etwa im Steuerrecht oder bei behördlicher Anweisung, ist eine Einwilligung erforderlich.
Sie ist bereits nötig, wenn ein Kundenkonto eröffnet wird, Newsletter oder Werbe-Mails an Kunden versendet oder Daten an Dritte weitergegeben werden. Bevor diese Daten erhoben werden, muss der Kunde dem ausdrücklich zustimmen. Er muss die Einwilligung bewusst und eindeutig erklären und auf sein jederzeitiges Widerrufsrecht hingewiesen werden. Die Einwilligung ist zu protokollieren und deren Inhalt muss jederzeit abrufbar sein.

Gestaltungshinweis

In der Datenschutzerklärung ist umfassend über Art, Umfang und Zweck der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten sowie etwaige Widerspruchsrechte zu unterrichten. Fehlt eine solche Aufklärung, kann dies ebenfalls abgemahnt werden. Erfolgt die Erhebung auf Grundlage einer Einwilligung, muss daneben auf die Möglichkeit des jederzeitigen Widerrufs hingewiesen werden. Die Datenschutzerklärung muss jederzeit abrufbar sein. Es empfiehlt sich ein Link auf die Datenschutzerklärung, welcher von jeder Unterseite des Online-Shops aufrufbar ist. Zusätzlich kann eine Downloadmöglichkeit oder ein Hinweis auf technische Speichermöglichkeiten gegeben werden. Aus datenschutzrechtlicher Sicht ist es nicht ausreichend, mit einem Link auf AGBs zu verweisen, wenn dort neben diesen auch die Datenschutzerklärung zu finden ist.