Datenschutzerklärung: Das muss enthalten sein

Die Datenschutzerklärung gehört sicher zu den unangenehmen und unbequemen Pflichtaufgaben eines Webmasters. Aber sie ist wichtiger denn je. Dieser Artikel erklärt die Hintergründe und zeigt auf, was enthalten sein muss.

(Bild: © Maksim Kabakou – Fotolia.com)

(Bild: © Maksim Kabakou – Fotolia.com)

Während Impressumsfehler ständig Gegenstand von Abmahnungen sind, hört man selten von den Folgen einer fehlerhaften Datenschutzerklärung. Dieses „Schattendasein“ lag bisher vor allem an der Ungewissheit, ob Datenschutzverstöße von Mitbewerbern abmahnbare Wettbewerbsverstöße sind. Bejaht haben das manche Gerichte, wie zuletzt Frankfurt a.M. (Az. 3-10 O 86/12) bei fehlenden Angaben zur Statistiksoftware Piwik.

Eine weitere Verschärfung wird das geplante Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts mit sich bringen. Es sieht vor, dass auch Verbraucherschutzverbände künftig zur Durchsetzung des Datenschutzes befugt sein sollen. Wie zuvor bei Impressen, ist damit zu rechnen, dass vor allem so genannte „Abmahnvereine“ diese Berechtigung für Abmahnungen nutzen werden.

Privatpersonen waren zwar auch bisher berechtigt gegen Datenschutzverstöße vorzugehen, jedoch bringen ihnen erst die kommenden Änderungen eine Minimierung der Risiken, die sie bisher von dem Rechtsweg abhielten.

Es ist also Zeit, die Datenschutzerklärung einem Update zu unterziehen. Sie ist die Visitenkarte der Datenverarbeitung und sollte daher rechtskonform sein. Die nachfolgenden Tipps werden Ihnen helfen, die Schwachstellen der Datenschutzerklärung zu erkennen und zu beseitigen. Eine weitere Hilfe wird zudem der Datenschutz-Muster-Generator des Autors sein.

1. Wo muss die Datenschutzerklärung platziert werden?

Die Datenschutzerklärung muss laut § 13 Abs.1 Telemediengesetz, die Nutzer zu Beginn des Nutzungsvorgangs“ informieren. Da dies auf eine Vorschaltseite herausliefe, fand sich ein Konsens, dass eine deutlich erkennbare „Datenschutz“-Rubrik ausreichend sei. Daher sollte neben dem Impressumslink ebenfalls ein Link zur Datenschutzerklärung platziert werden.

In Social-Media-Profilen wird eine eigene Datenschutzerklärung bei eigener Datenerhebung, z.B. bei Gewinnspielen, notwendig.

2. Detailgrad der Datenschutzerklärung

Laut Gesetz müssen Nutzer „über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten“ aufgeklärt werden. Das heißt nicht, dass die Datenschutzerklärung jedes Datum und jeden Prozess beschreiben muss.

Der Detailgrad ist eher vom Zweck her zu bestimmen. Die Datenschutzerklärung soll die Nutzern erkennen lassen, an welcher Stelle welche Daten zu welchen Zwecken erhoben werden und wie Nutzer der Verwendung ihrer Daten widersprechen können (auch als Opt-Out bezeichnet). Das gilt ganz besonders, wenn Newsletter versendet und Analyse- sowie Targetingtools eingesetzt werden. Dazu gleich mehr.

3. Einwilligungen

Eine Datenschutzerklärung kann theoretisch Einwilligungen beinhalten die jedoch optisch, z.B. mit Fettschrift, hervorgehoben sein müssen. Jedoch dürfen Einwilligungen nicht überraschend sein, da sie sonst unwirksam sind. Es sind wenige Fälle vorstellbar, in denen Nutzer mit einer Einwilligung in der Datenschutzerklärung rechnen (z.B. Einwilligung zur Nennung der Namen von Gewinnspielgewinnern.)

Um wirksam zu sein, sollten Einwilligungen daher den Nutzern deutlich erkennbar gemacht werden und nicht in der Datenschutzerklärung „versteckt werden“. Auf die Datenschutzerklärung kann jedoch zwecks weiterer Details verwiesen werden, wie z.B. „[ ] Ich willige ein, E-Mails bei Kaufabbrüchen zu erhalten (Weitere Informationen in der Datenschutzerklärung)“.

Alle Artikel bequem via E-Mail lesen!

Alle Artikel bequem via E-Mail lesen!

Jeden Montag veröffentlichen wir einen ausführlichen Beitrag, geschrieben von namhaften Expertinnen und Experten. Sie erklären, geben Tipps und ordnen ein. Wenn Sie diese und weitere Artikel nicht verpassen wollen, schicken wir Sie ihnen gern per E-Mail zu – ganz bequem und in voller Länge! Derzeit lautet der Schwerpunkt „Video im Marketing“.

Mehr über die Ausgabe erfahrenJetzt E-Mail eintragen

4. Datenverarbeitungsprozesse

Die Datenschutzerklärung muss die groben Prozesse der Datennutzung über die Website beschreiben und dabei auf etwaige Datenweitergaben hinweisen, z.B.:

Die personenbezogenen Daten der Nutzer werden für die folgenden Zwecke verwendet: (a) Die Ausführung unserer Dienste-, Service- und Nutzerleistungen; (b) Die Gewährleistung eines effektiven Kundendienstes und technischen Supports. Bei Kontaktaufnahme mit uns werden die Angaben zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert; (c) Die zum Zwecke der Bestellung von Waren angegebenen persönlichen Daten (wie zum Beispiel Name, E-Mail-Adresse, Anschrift, Zahlungsdaten) werden von uns zur Erfüllung und Abwicklung der Bestellung verwendet. Diese Daten werden vertraulich behandelt und nicht an Dritte weitergegeben, die nicht am Bestell-, Auslieferungs- und Zahlungsvorgang beteiligt sind.

5. Newsletter

Für den Newsletter ist immer eine gesonderte und ausdrückliche Einwilligung der Nutzer erforderlich, die nicht in der Datenschutzerklärung „versteckt“ sein darf. Vielmehr müssen Nutzer aktiv eine „Abonnieren“-Schaltfläche oder ein (nicht-vorangehaktes) Kontrollkästchen klicken)

Dabei müssen Nutzer auf die ungefähren Inhalte der kommenden Newsletter hingewiesen werden. Werden andere Angaben als die E-Mailadresse erhoben, müssen die Nutzer erfahren wofür.

Ferner müssen die Anmeldeverfahren zu Nachweiszwecken in einem Double-Opt-In-Verfahren erfolgen und protokolliert werden, worauf auch hinzuweisen ist. Das heißt der Newsletterpassus sollte wie folgt lauten:

Unserer Newsletter beinhaltet Informationen über unser Unternehmen, Angebote in unserem Online-Shop, Gewinnspiele und vergleichbare Aktionen. Die Nutzer können dem Empfang der E-Mails jederzeit widersprechen (z.B. per Abmeldelink in jeder E-Mail). Der Name wird gespeichert, um die Empfänger persönlich anzusprechen. Vor dem Versand des Newsletters geht dem E-Mail-Inhaber eine Bestätigungsemail zu, in welcher er die Newsletteranmeldung bestätigen muss. Nicht bestätigte Anmeldungen werden automatisch spätestens innerhalb von vier Wochen gelöscht. Im Rahmen der Anmeldung speichern wir den Anmelde- sowie den Bestätigungszeitpunkt und die IP-Adresse des Nutzers. Wir sind verpflichtet die Anmeldungen zu protokollieren, um ordnungsgemäße Anmeldungen nachweisen zu können.

Hinweis: Der Link zur Datenschutzerklärung sollte auch in der Bestätigungsmail im Double-Opt-In-Verfahren auftauchen.

6. Der Cookie-Hinweis

Cookies sind die traditionelle Methode, um wiederkehrende Nutzer zu erkennen und deren Verhalten zu protokollieren. Dazu werden im Regelfall kleine Dateien (die „Cookies“) von Browsern gespeichert. Die gleiche Wirkung haben moderne „Fingerprint“-Techniken, die Nutzer anhand diverser technischen Details individualisieren (z.B. anhand der Rechengeschwindigkeit und individuellen Zusammenstellung der verwendeten Browser-Plugins).

Bereits 2009 beschloss die EU, dass Cookies (was auch für Fingerprints gilt) nur mit einer Einwilligung gesetzt werden dürfen. Nur absolut notwendige Cookies, bedürfen keiner Einwilligung (z.B. Cookies, die einen Shop-Warenkorb speichern).

Deutschland hat die Richtlinie nicht umgesetzt, da die bisherige Gesetzgebung diese Problematik hinreichend berücksichtigen soll. In Deutschland dürfen Cookies nur pseudonymisiert gespeichert werden (d.h. ohne Angaben, die Nutzer jenseits des Rechners identifizieren können). Auch Wirtschaftsverbände widersprachen der „Cookie“-Richtlinie, die einen schweren Schlag für die Werbewirtschaft darstellte.

Als Folge der Unstimmigkeit entstand eine inoffizielle Zwischenlösung, die Websitenutzer vor staatlichen Durchgreifen schützen soll. Dabei werden die Nutzer per Banner, Overlays oder Pop-Ups auf die Cookies und die Möglichkeit eines Opt-Outs hingewiesen. Ob ein solcher Hinweis in Deutschland notwendig ist, bleibt unklar. Da der Cookie-Hinweis jedoch langsam zu einem Usus und von Nutzern erwartet wird, ist dessen Nutzung rechtlich im Zweifel empfohlen.

Cookie-Hinweis

Beispiel eines „Cookie-Hinweises auf der Website des Autors. Klickt der Nutzer auf „Einverstanden“, wird bei ihm ein Opt-Out-Cookie gesetzt, das eine erneute Anzeige dieses Hinweises unterbindet.

7. Analyse-, Tracking- und Werbetools

Die wohl relevanteste Teil der Datenschutzerklärung sind die Hinweise zur Analyse und dem Werbetracking. Ganz besonders gefährlich wird es, wenn Dritttools wie Googles Analytics oder DoubleClick eingebunden werden. Diesen Tools wird eine besonders hohe Belastung der Nutzer zugeschrieben, da sie dazu dienen Nutzer für Werbezwecke „gläsern“ zu machen.

Daher dürfen Analyse- & Trackingtools ohne eine ausdrückliche Einwilligung der Nutzer keine personenbezogenen Daten, sondern nur pseudonyme Daten speichern. Da auch die IP-Adresse derzeit tendenziell als personenbezogen betrachtet wird , heißt es praktisch, dass diese anonymisiert werden muss (Tools wie Google Analytics oder Piwik bieten dazu Funktionen an).

Wird der Analysedienst nicht auf eigenem Server ausgeführt und ist die Dichte der Daten so hoch, dass die Pseudonymität praktisch gewahrt wird, muss mit dem Anbieter eine Auftragsdatenverarbeitungsvereinbarung (ADV-V) abgeschlossen werden. Google und vor allem deutsche Anbieter bieten solche ADV-Vereinbarungen oft an, ausländische Anbieter eher selten.

Schließlich muss auch die Datenschutzerklärung auf die Analyse- und Tracking-Funktionen des Analyse-Tools hinweisen und erklären, wie ein Nutzer der Erfassung durch das Tool widersprechen kann (Opt-Out).

Da ein Beispiel an dieser Stelle den Umfang dieses Artikels sprengen würde, wird auf das Beispiel für Google Analytics verwiesen, das auf der Website des Autors zu finden ist. Es kann zugleich als Blaupause für den Einsatz anderer Analye- und Trackingtools dienen.

8. Social Sharing und Embedding

Viele Drittanbieter bieten Bilder, Videos, Postings, Widgets oder Social-Sharing-Buttons zur Einbindung in Webseiten ein. Dabei werden die auf Servern ihrer Anbieter liegenden Elemente in einem so genannten Inlineframe in die Webseite eingebunden. Das bedeutet, dass die Drittanbieter wiederum auf Daten der Webseitenbesucher zugreifen können. Das ist unproblematisch, solange es nur zur Auslieferung der Inhalte erfolgt. In diesem Fall reicht der folgende Hinweis aus:

Es kann vorkommen, dass innerhalb dieses Onlineangebotes Inhalte Dritter, wie zum Beispiel Videos von YouTube oder Grafiken von anderen Webseiten eingebunden werden. Dies setzt immer voraus, dass die Anbieter dieser Inhalte (nachfolgend bezeichnet als „Dritt-Anbieter“) die IP-Adresse der Nutzer wahr nehmen. Denn ohne die IP-Adresse könnten sie die Inhalte nicht an den Browser des jeweiligen Nutzers senden. Die IP-Adresse ist damit für die Darstellung dieser Inhalte erforderlich.

Problematisch wird es, wenn die Drittanbieter selbst Analyse- und Trackingtools einsetzen. Das ist z.B. beim standardmäßigen Jetpack-Plugin Paket für WordPress, Vimeo-Videos oder den Social-Media-Plugins von Facebook der Fall. Dabei sollte insbesondere der im im Visier der Verbraucher- und Datenschützer stehende „Like“-Button gar nicht oder nur mit einer sog. 2-Klick-Lösung verwendet werden.

Ferner müssen auch die Trackingtools der Drittanbieter entsprechend der obigen Beschreibung in die eigene Datenschutzerklärung aufgenommen werden. Um die Trackingtools überhaupt zu bemerken sollte die eigene Webseite mit Browser-Addons wie z.B. Ghostery überprüft werden.

Ghostery

Das Browser-Plugin Ghostery hilft zu erkennen, welche Analyse- und Trackingtools auf der eigenen Website ausgeführt werden. Auch wenn sie von Dritten „mitgebracht werden“, sollten sich diese auch in der Datenschutzerklärung wiederfinden.

9. Schlusshinweise

Am Ende der Datenschutzerklärung sollten Nutzer auf deren Rechte und Kontaktmöglichkeiten hingewiesen werden:

Nutzer haben das Recht, über die personenbezogenen Daten, die von uns über sie gespeichert wurden, auf Antrag unentgeltlich Auskunft zu erhalten. Zusätzlich haben die Nutzer das Recht auf Berichtigung unrichtiger Daten, Widerruf von Einwilligungen, Sperrung und Löschung ihrer personenbezogenen Daten, soweit dem keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Kontaktdaten sind dem Impressum zu entnehmen.

10. Fazit

Datenschutzvorschriften einzuhalten, setzt viel Sorgfalt voraus und ist ohne vertiefte Einarbeitung oft kaum zu meistern. Das bedeutet jedoch nicht, dass Datenschutzfragen vernachlässigt werden sollten. Ganz im Gegenteil sollte die Datenschutzerklärung als Visitenkarte einer Website so vollständig wie möglich sein und keine Zweifel an der datenschutzrechtlichen Zulässigkeit aufkommen lassen.

Das gilt ganz besonders für Newsletter- und Trackingverfahren. Die Alternative ist das Risiko von Abmahnungen, die neben Kosten von ca. 500 bis 1.000 Euro die Pflicht zur Abgabe einer strafbewehrten Unterlassungserklärung mit sich bringen können. Das bedeutet, bei erneuten Datenschutzfehlern kann eine Vertragsstrafe von ca. 2.000-5.000 Euro fällig werden. Angesichts der Unübersichtlichkeit des Datenschutzrechts, sollte dieses Damoklesschwert daher gemieden werden.

Datenschutzerklärung im Podcast

Folge 4 des „Rechtsbeleherung“-Podcast hat sich ebenfalls mit diesem Thema beschäftigt.

Artikel vom 10. August 2015