Serie „Die rechtssichere Homepage“ – Die Datenschutzhinweise
Mit meinem Beitrag vom 19.12.2013 über das Impressum habe ich mit einer losen Folge über die rechtssichere Homepage begonnen. Heute wollen wir uns die Datenschutzbestimmungen oder Datenschutzhinweise näher ansehen.
Die Pflicht, über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten auf einer Website zu unterrichten, stammt aus dem Telemediengesetz (TMG), genauer gesagt aus § 13 TMG. Dort ist geregelt, dass der Nutzer eines Telemediendienstes, also insbesondere einer Website „zu Beginn des Nutzungsvorgangs“ „in allgemein verständlicher Form“ zu unterrichten hat, was mit den erhobenen personenbezogenen Daten des Nutzers passiert.
Dabei muss man wissen, dass die herrschende Meinung unter den Juristen schon eine bloße dynamisch vergebene IP-Adresse (also quasi das variable „Nummernschild“ im Netz) als personenbezogenes Datum ansieht. Da jeder Webserver zumindest die IP-Adresse nebst ein paar anderen Daten (Datum und Uhrzeit des Zugriffs auf die Website, Browserversion, Betriebssystem u.ä.) erfasst und speichert bedeutet das also, dass jede Website eine solche Datenschutzerklärung nach § 13 TMG haben muss.
Da diese Erklärung „jederzeit abrufbar“ sein soll und eben „zu Beginn des Nutzungsvorgangs“ die Information zu erfolgen hat, hat sich als gute Sitte eingebürgert, dass die Datenschutzhinweise genauso wie das Impressum mit einem „Speaking-Link“ versehen (z.B. „Datenschutz“) von jeder Unterseite erreichbar angeboten werden.
Achten Sie bitte auf vollständige Informationen. Wird ein Analyse-Tool verwendet, so ist ggf. an einen Vertrag zur Auftragsdatenverarbeitung mit dem Anbieter (z.B. mit Google bei „Google Analytics“) und auf einen entsprechend deutlichen Hinweis auf das Tool in den Datenschutzhinweisen zu achten (die Anbieter der Tools geben teilweise Texte vor, wie gerade auch Google). Teilweise sind die Tools zu modifizieren um eine Anonymisierung der IP-Adressen zu gewährleisten (z.B. bei dem Open Source Tool PIWIK). Andernfalls verstößt man gegen deutsches Datenschutzrecht.
Bei der Verwendung von Social Media Plugins („Gefällt mir“ oder „like“ von Facebook, Google+-Button, Xing-Button, Twitter-Button usw.) muss für jede Social Media Plattform gesondert ein deutlicher Hinweis in der Datenschutzerklärung erfolgen. Die Buttons selbst werden am Besten erst mit einem Klick aktiviert (= Einwilligung des Nutzers in den Datenfluss an den Plattformbetreiber).
Wird alles das nicht beachtet drohen Ordnungswidrigkeitenverfahren und Bußgelder.
Und nicht zu vergessen: Nach im Aufkommen befindlicher Meinung sind mangelhafte oder fehlende Datenschutzhinweise aus dem Wettbewerbsrecht heraus (UWG) auch abmahnfähig.
Unsere Tipps
• Die Datenschutzerklärung sollte den Nutzer auf einer eigenen Unterseite klar und verständlich informieren.
• Der Link auf diese Unterseite heißt am Besten „Datenschutz“ oder „Datenschutzhinweise“, „Datenschutzerklärung“ bzw. „Datenschutzbestimmungen“.
• Die Datenschutzhinweise sollten nicht im Impressum „versteckt“ sein, wie es auch heutzutage noch ab und an zu sehen ist.
• Der Link sollte, wie beim Impressum, nicht nach ewigem Scrollen zu finden sein, sondern – gerade auf der Startseite – schnell erkennbar und anklickbar platziert werden.
• Die Hinweise selbst sind verständlich in der gebotenen Kürze und der erforderlichen Ausführlichkeit zu gestalten. Am Besten wird mit Zwischenüberschriften und einfachen Worten gearbeitet.
• Die Erklärung sollte auch auf das bestehende Widerrufsrecht und das Auskunftsrecht des Nutzers hinweisen und am Besten eine eigene Kontaktmöglichkeit für solche Anfragen bereitstellen.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht
Für alle, die es nicht lassen können und den Text von § 13 TMG lesen wollen:
§ 13 Pflichten des Diensteanbieters
(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.
(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass
1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
(3) Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 2 Nr. 4 hinzuweisen. Absatz 1 Satz 3 gilt entsprechend.
(4) Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. der Nutzer die Nutzung des Dienstes jederzeit beenden kann,
2. die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des Satzes 2 gesperrt werden,
3. der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,
4. die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können,
5. Daten nach § 15 Abs. 2 nur für Abrechnungszwecke zusammengeführt werden können und
6. Nutzungsprofile nach § 15 Abs. 3 nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können.
An die Stelle der Löschung nach Satz 1 Nr. 2 tritt eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.
(5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.
(6) Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.
(7) Der Diensteanbieter hat dem Nutzer nach Maßgabe von § 34 des Bundesdatenschutzgesetzes auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden.
Die Pflicht, über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten auf einer Website zu unterrichten, stammt aus dem Telemediengesetz (TMG), genauer gesagt aus § 13 TMG. Dort ist geregelt, dass der Nutzer eines Telemediendienstes, also insbesondere einer Website „zu Beginn des Nutzungsvorgangs“ „in allgemein verständlicher Form“ zu unterrichten hat, was mit den erhobenen personenbezogenen Daten des Nutzers passiert.
Dabei muss man wissen, dass die herrschende Meinung unter den Juristen schon eine bloße dynamisch vergebene IP-Adresse (also quasi das variable „Nummernschild“ im Netz) als personenbezogenes Datum ansieht. Da jeder Webserver zumindest die IP-Adresse nebst ein paar anderen Daten (Datum und Uhrzeit des Zugriffs auf die Website, Browserversion, Betriebssystem u.ä.) erfasst und speichert bedeutet das also, dass jede Website eine solche Datenschutzerklärung nach § 13 TMG haben muss.
Da diese Erklärung „jederzeit abrufbar“ sein soll und eben „zu Beginn des Nutzungsvorgangs“ die Information zu erfolgen hat, hat sich als gute Sitte eingebürgert, dass die Datenschutzhinweise genauso wie das Impressum mit einem „Speaking-Link“ versehen (z.B. „Datenschutz“) von jeder Unterseite erreichbar angeboten werden.
Achten Sie bitte auf vollständige Informationen. Wird ein Analyse-Tool verwendet, so ist ggf. an einen Vertrag zur Auftragsdatenverarbeitung mit dem Anbieter (z.B. mit Google bei „Google Analytics“) und auf einen entsprechend deutlichen Hinweis auf das Tool in den Datenschutzhinweisen zu achten (die Anbieter der Tools geben teilweise Texte vor, wie gerade auch Google). Teilweise sind die Tools zu modifizieren um eine Anonymisierung der IP-Adressen zu gewährleisten (z.B. bei dem Open Source Tool PIWIK). Andernfalls verstößt man gegen deutsches Datenschutzrecht.
Bei der Verwendung von Social Media Plugins („Gefällt mir“ oder „like“ von Facebook, Google+-Button, Xing-Button, Twitter-Button usw.) muss für jede Social Media Plattform gesondert ein deutlicher Hinweis in der Datenschutzerklärung erfolgen. Die Buttons selbst werden am Besten erst mit einem Klick aktiviert (= Einwilligung des Nutzers in den Datenfluss an den Plattformbetreiber).
Wird alles das nicht beachtet drohen Ordnungswidrigkeitenverfahren und Bußgelder.
Und nicht zu vergessen: Nach im Aufkommen befindlicher Meinung sind mangelhafte oder fehlende Datenschutzhinweise aus dem Wettbewerbsrecht heraus (UWG) auch abmahnfähig.
Unsere Tipps
• Die Datenschutzerklärung sollte den Nutzer auf einer eigenen Unterseite klar und verständlich informieren.
• Der Link auf diese Unterseite heißt am Besten „Datenschutz“ oder „Datenschutzhinweise“, „Datenschutzerklärung“ bzw. „Datenschutzbestimmungen“.
• Die Datenschutzhinweise sollten nicht im Impressum „versteckt“ sein, wie es auch heutzutage noch ab und an zu sehen ist.
• Der Link sollte, wie beim Impressum, nicht nach ewigem Scrollen zu finden sein, sondern – gerade auf der Startseite – schnell erkennbar und anklickbar platziert werden.
• Die Hinweise selbst sind verständlich in der gebotenen Kürze und der erforderlichen Ausführlichkeit zu gestalten. Am Besten wird mit Zwischenüberschriften und einfachen Worten gearbeitet.
• Die Erklärung sollte auch auf das bestehende Widerrufsrecht und das Auskunftsrecht des Nutzers hinweisen und am Besten eine eigene Kontaktmöglichkeit für solche Anfragen bereitstellen.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht
Für alle, die es nicht lassen können und den Text von § 13 TMG lesen wollen:
§ 13 Pflichten des Diensteanbieters
(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.
(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass
1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
(3) Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 2 Nr. 4 hinzuweisen. Absatz 1 Satz 3 gilt entsprechend.
(4) Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. der Nutzer die Nutzung des Dienstes jederzeit beenden kann,
2. die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des Satzes 2 gesperrt werden,
3. der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,
4. die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können,
5. Daten nach § 15 Abs. 2 nur für Abrechnungszwecke zusammengeführt werden können und
6. Nutzungsprofile nach § 15 Abs. 3 nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können.
An die Stelle der Löschung nach Satz 1 Nr. 2 tritt eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.
(5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.
(6) Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.
(7) Der Diensteanbieter hat dem Nutzer nach Maßgabe von § 34 des Bundesdatenschutzgesetzes auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden.