Ivana Kardum
Datenschutzbeauftragte
Eine Datenschutzerklärung stellt eine Verpflichtung des Seitenbetreibers nach Art. 13 Abs. 1 EU-DSGVO dar, verantwortungsvoll mit den von ihm erhobenen personenbezogenen Daten umzugehen.
Eine Datenschutzerklärung muss eigentlich jeder der eine Webseite betreibt haben. Diese Pflicht ergibt sich aus Art. 13 und 14 der DSGVO und dem Telemediengesetz §13. Lt. des Gesetzes. Darin wird erklärt, dass Verantwortliche eine Informationspflicht gegenüber Betroffenen haben, wenn sie personenbezogene Daten erheben und verarbeiten. Der Diensteanbieter muss den Nutzer zu Beginn des Nutzungsvorganges über die Art, den Umfang und die Zwecke der Erhebung und die Verwendung der personenbezogenen Daten unterrichten. Das schließt auch eine eventuelle Weitergabe der Daten an Staaten außerhalb der EU bzw. des EWR ein. Ausnahmen bilden hier lediglich Seiten, die einem rein privaten bzw. familiären Zweck dienen.
Eine entsprechende Unterrichtung des Nutzers zu Beginn des Nutzungsvorganges ist selbstverständlich schwierig, deshalb ist die gleichzeitige Unterrichtung bei Erhebung in diesem Fall grundsätzlich ausreichend.
Die Datenschutzerklärung muss genau wie das Impressum jederzeit durch den Nutzer abrufbar sein und sollte entsprechend über einen eigenen Reiter auf der Seite implementiert werden. Des Weiteren sollte die Datenschutzerklärung durch den Nutzer gut sichtbar und erreichbar sein und nicht in einem verschachtelten Untermenü auf der Webseite liegen.
Es reicht leider nicht aus, eine Verlinkung der Seite mit der Datenschutzerklärung auf der Startseite herzustellen. Die Datenschutzerklärung muss grundsätzlich auch über jede Unterseite der Webseite erreichbar und damit entsprechend verlinkt sein.
Die Informationen der Datenschutzerklärung sollen in allgemein verständlicher Form erfolgen. Technische oder juristische Fachbegriffe und entsprechende Formulierungen sollten vermieden werden. Natürlich ist dies sehr schwer und in einigen Fällen auch nicht stringent durchführbar wie die Praxis zeigt.
Der Inhalt der Datenschutzerklärung hängt individuell von der Webseite ab. Je nachdem für welchen Zweck verschiedene personenbezogene Daten erhoben und verarbeitet werden, muss sich das auch in der Datenschutzerklärung wiederspiegeln. Über die Verwendung der Daten ist der Nutzer wahr und vollständig zu unterrichten. Eine universelle Datenschutzerklärung für alle Webseiten gibt es nicht.
Die Datenschutzerklärung sollte erst einmal einige grundsätzliche Elemente enthalten wie den Grund der Datenerhebung und wo diese geschieht. Des Weiteren werden bereits beim Aufruf der Seite einige Informationen vom Webserver gespeichert, worüber man den Nutzer informieren muss. Auch die Hinweispflicht was die Verwendung von Cookies angeht, darf nicht fehlen und muss fester Bestandteil einer Datenschutzerklärung sein, falls diese eingesetzt werden.
Welche Punkte zwingend in eine Datenschutzerklärung eingebunden werden müssen, regelt Art. 13 Abs. 1 EU-DSGVO. Er beinhaltet eine Art „Checkliste“, deren Inhalt unabdingbar in einer Datenschutzerklärung aufgelistet werden muss.
Die wichtigsten Punkte sind:
Werden auf der Webseite Tools zur Traffic-Analyse wie Google Analytics (zusätzlich ist hier ein entsprechender Vertrag zur Auftragsdatenverarbeitung notwendig) oder Matomo eingesetzt, so muss dieses entsprechend beschrieben werden. Auch die Einbindung von Seiten wie YouTube, Facebook, Xing, oder weitere Dienste wie Google Maps müssen dem Nutzer mitgeteilt werden.
Gleiches gilt auch für die Einbindung von sogenannte Social Plugins von z.B. Facebook oder LinkedIn. Sie müssen wie oben beschrieben zumindest erklärt werden. Da diese PlugIns wie der Like-Button schon direkt nach Aufruf der Webseite Daten an den Anbieter übertragen, wenn der Nutzer auf diesen Portalen eingeloggt ist, und der Inhalt der übertragenen Daten nicht genau bekannt ist, raten wir unseren Kunden von der Nutzung ab. Es gibt zwar die Möglichkeit über Tools den Like-Button vom Nutzer erst aktivieren zu lassen, wenn dieser die Seite liken möchte, jedoch wird dies meist vom Nutzer nicht gemacht und der Sinn des Buttons ist hinfällig.
Grundsätzlich können diese meist kostenlose Angebote zur ersten Einschätzung herangezogen werden. Das ist hilfreich, um einen ersten Überblick über die Punkte zu bekommen, die in die entsprechende Datenschutzerklärung aufgenommen werden sollten. Jedoch ist jede Homepage individuell auf den Betreiber zugeschnitten, sodass es sein kann, dass die Generatoren nicht alle Punkte abdecken können, die benötigt werden.
Zudem stellt sich die Frage der Haftung, wenn eine Datenschutzerklärung mit einem Generator oder einer Mustervorlage erstellt wurde und doch ein Fehler seitens der Aufsichtsbehörde oder eines Abmahners gefunden wird.
Der Vorlagengeber wird im Zweifel nicht für diesen Fehler haftbar gemacht werden können, sodass Sie als Nutzer auf dem Bußgeld „sitzenbleiben“.
Um dies zu vermeiden, empfehlen wir grundsätzlich die Datenschutzerklärung von einer auf IT-Recht spezialisierten Kanzlei erstellen zu lassen, die auch im Haftungsfall einspringt.
In der Vergangenheit, Gegenwart und verstärkt in der Zukunft überprüfen die Aufsichtsbehörden das Vorhandensein und die Richtigkeit der Datenschutzerklärungen auf den Webseiten.
Das Bayerisches Landesamt für Datenschutzaufsicht hat laut aktueller Zahlen einen deutlichen Anstieg der Meldungen von Datenschutzverletzungen gemeldet. Besonders dabei aufgefallen ist, dass viele Verantwortliche selbst nicht ausreichend Kenntnis über die Tools und Dienste aufweisen, die auf ihren Webseiten eingebunden werden. Die nicht konformen Betreiber wurden darüber informiert und aufgefordert dies entsprechend zu ändern.
Die Folgen einer fehlenden Datenschutzerklärung können Abmahnungen sein. In letzter Zeit kommt es auch vermehrt durch Konkurrenten zu Abmahnungen aufgrund einer fehlenden Datenschutzerklärung. Die Gerichte entscheiden hierbei immer öfter, dass dies eine Verletzung des Wettbewerbs darstellt. Zuletzt hat das OLG Köln am 11.03.16 (Az.6 U 121/15) geurteilt, dass ein Kontaktformular entsprechend in der Erklärung zum Datenschutz erwähnt werden muss. Ist diese nicht vorhanden kann es zu einer entsprechenden Abmahnung kommen. Auch in anderen Urteilen in der Vergangenheit wurde klargestellt, dass eine Datenschutzerklärung heutzutage ein Muss ist und kein Kann.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!