FAQ
Sie haben Fragen zum Thema Datenschutzerklärung, wir haben Antworten
Gemäß den Vorgaben der DSGVO muss jeder Betreiber einer Website, der personenbezogene Daten erhebt, übermittelt, verarbeitet, speichert oder anderweitig nutzt, die Websitebesucher im Rahmen einer Datenschutzerklärung darüber informieren (Art. 13 DSGVO und Art. 14 DSGVO). Dies trifft auf nahezu alle Webseiten zu.
Jeder Betreiber einer Website muss in Deutschland nach Art. 13 DSGVO eine entsprechende Datenschutzerklärung bereitstellen. Dabei ist es unerheblich, ob die Webseite gewerblichen oder privaten Zwecken dient, da auch bei Betrieb einer privaten Website – ebenso wie bei einer gewerblichen Webseite – personenbezogene Daten der Besucher – zumindest zur Sicherung des Betriebs der Seite – verarbeitet werden. Da bereits die IP-Adresse mit der ganz herrschenden Rechtsprechung ein personenbezogenes Datum darstellt und diese IP-Adresse z.B. vom eigenen Server zur Sicherung des Betriebs der Webseite protokolliert wird, ist davon auszugehen, dass jede öffentlich erreichbare Webseite eine Datenschutzerklärung vorhalten muss.
Art. 4 Nr. 1 DSGVO definiert personenbezogenen Daten wie folgt:
„personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“
Konkret bedeutet dies: Typische personenbezogene Daten wie z.B. die E-Mail-Adresse, die IP-Adresse, Standortdaten, der Name, das Alter, das Geschlecht, die Religion, die Anschrift, aber auch Informationen wie die Personalausweisnummer, Kontodaten und sonstige zur Nutzung eines Kontos gehörende Daten sowie Informationen rund um das Bestellverhalten (Kleidergröße, Krankheiten, Vorlieben, Kaufverhalten) fallen unter die Definition der personenbezogenen Daten.
Die Datenschutzgrundverordnung (DSGVO) gibt vor, dass der Betreiber der Webseite seine Besucher und Nutzer umfassend zu informieren hat. Werden vom Seitenbetreiber personenbezogene Daten erhoben, übermittelt oder verarbeitet, ist es seine Pflicht, eine rechtskonforme Datenschutzerklärung auf der Seite bereitzustellen. Die Datenschutzerklärung muss dabei die Verarbeitung von Informationen und Daten durch den Verantwortlichen beschreiben. Dazu gehören vor allem personenbezogene Daten wie Name, Adresse, E-Mail-Adresse, IP-Adresse.
Die Datenschutzerklärung muss die Nutzer der Website verständlich und transparent darüber aufklären, wie mit ihren personenbezogenen Daten umgegangen wird. Zudem muss die Datenschutzerklärung die Rechtsgrundlagen nennen und sollte idealerweise die zur Verfügung gestellten Informationen gliedern und strukturieren. Dies ist zugegebener Maßen nicht einfach. Aus diesem Grund haben wir den Generator für eine Datenschutzerklärung als Muster oder Vorlage ins Leben gerufen.
Hier gilt das Gebot der frühzeitigen Unterrichtung. Bereits zu Beginn der Nutzung, also bei Erhebung der Daten, muss der Nutzer über Art, Umfang und Zweck der Datenerhebung aufgeklärt werden. Es ist dabei nicht erforderlich, dass die Datenschutzerklärung der Website vorgeschaltet ist. Die Datenschutzerklärung muss jedoch von jeder einzelnen Unterseite gut sichtbar und dauerhaft abrufbar sein.
Wie genau eine Datenschutzerklärung in eine Webseite eingebunden werden muss, ist gesetzlich nicht vorgegeben. In jedem Fall muss die Datenschutzerklärung jedoch jederzeit von jeder einzelnen Unterseite zu erreichen sein. Der Nutzer der Webseite darf diesen Hinweis auf die Datenschutzerklärung nicht lange suchen und auch nicht zweimal klicken müssen, um die Datenschutzerklärung aufrufen zu können. Die Datenschutzerklärung muss mit nur einem Klick erreichbar sein. Es bietet sich daher an, die Datenschutzerklärung im immer sichtbaren Menü der Seite oder im Footer zu verlinken. Ein Link bloß im Impressum wird dagegen nicht ausreichen. Vielmehr ist anzuraten das Impressum und die Datenschutzhinweise sauber voneinander zu trennen. Auch sollte die Datenschutzerklärung in der gleichen Schriftgröße und -art wie der sonstige Inhalt verfasst werden.
Die Datenschutzerklärung auf einer Webseite oder einem Shop muss den Besucher der Website über die Verarbeitung personenbezogener Daten in einer einfachen und verständlichen Sprache unterrichten. Der genaue Inhalt der Datenschutzerklärung richtet sich dabei danach, wie mit den personenbezogenen Daten der Nutzer durch den Betreiber der Seite umgegangen wird. Einerseits gibt es einige Informationen, die jede Datenschutzerklärung enthalten muss. Andere Teile bestimmen sich danach, welche Dienste und/oder Tools vom Webseitenbetreiber eingesetzt werden. Ganz allgemein kann der Inhalt der Datenschutzerklärung daher in einen allgemeinen und einen besonderen Teil gegliedert werden.
Idealer Weise beginnt die Datenschutzerklärung mit einer Einleitung, die die Nutzer über den Sinn und Zweck einer Datenschutzerklärung informiert. Zudem müssen bestimmte allgemeine Angaben dahingehend gemacht werden, wer für die Einhaltung des Datenschutzes verantwortlich ist und ggf. wer als Datenschutzbeauftragter benannt wurde.
Sodann ist im besonderen Teil für jede einzelne Datenverarbeitung kenntlich zu machen, zu welchem Zweck und auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt. Sollte auf der Webseite ein Profiling erfolgen, muss der Nutzer darüber aufklärt werden, was genau mit den gesammelten Information passiert. Weiter ist anzugeben, wie lange die personenbezogenen Daten des Besuchers gespeichert werden. Zudem ist jeder Besucher über seine Rechte, die ihm nach der DSGVO zustehen, zu informieren, um auf diese Art und Weise die Kontrolle über seine personenbezogenen Daten sicherzustellen. Diese Rechte sind:
- Recht auf Auskunft: Der Webseitenbetreiber muss seinen Besuchern auf Anfrage Informationen dazu geben können, welche personenbezogenen Daten er konkret zu welchem Zweck gespeichert hat.
- Recht auf Berichtigung: Der Besucher hat einen Anspruch darauf, dass fehlerhafte Daten berichtigt werden.
- Recht auf Löschung oder Einschränkung der Verarbeitung: Wenn ein Besucher den Betreiber einer Webseite auffordert, Daten zu löschen, müssen diese Daten gelöscht werden. Dies gilt nur dann nicht, wenn dem eine gesetzliche Pflicht zur Aufbewahrung der Daten entgegensteht oder das Interesse des verantwortlichen höher wiegt als das Interesse des Betroffenen.
- Recht auf Widerspruch: der Besucher der Seite muss der Verarbeitung seiner personenbezogenen Daten widersprechen können.
- Recht auf Datenherausgabe und Übertragbarkeit: Zudem kann der Besucher der Webseite verlangen, seine personenbezogenen Daten in einem „gängigen Format“ an einen anderen Verantwortlichen zu übergeben. Gleiches gilt für die Herausgabe der Daten.
Ob die Verarbeitung personenbezogener Daten rechtmäßig erfolgt, richtet sich maßgeblich nach Art. 6 Abs. 1 Datenschutzgrundverordnung (DSGVO). Hier werden die wichtigsten Rechtsgrundlagen genannt:
- Einwilligung: Nach Art. 6 Abs. 1 lit. a DSGVO muss der Betroffene in die Verarbeitung der personenbezogenen Daten eingewilligt haben. Ist dies nicht geschehen, muss eine (andere) Rechtsgrundlage für die Verarbeitung der Daten vorliegen.
- Datenverarbeitung zur Erfüllung des Vertrages (Art. 6 Abs. 1 lit. b DSGVO): Wenn Daten zur Erfüllung eines Vertrags verarbeiten werden, wie z.B. in einen Onlineshop, wenn im Rahmen der Bestellung die Adressdaten erhoben werden ist dies in der Regel gem. Art. 6 Abs. 1 lit. b DSGVO zulässig. Die Datenerhebung bzw. Datenerfassung und Datenverarbeitung ist dann rechtmäßig, zumal diese Daten benötig werden, um die Leistung erbringen zu können und um z.B. die Produkte an den Käufer zu versenden.
- Datenverarbeitung aufgrund berechtigten Interesses: Gem. Art. 6 Abs. 1 lit f DSGVO können Daten rechtmäßig verarbeiten werden, wenn die Datenverarbeitung zur Wahrung der berechtigten Interesse des Verantwortlichen oder Dritter erforderlich ist und nicht andere schützenswerte Interessen überwiegen. Hier ist die Datenerhebung bzw. Datenerfassung und Datenverarbeitung in der Regel rechtmäßig, wenn kein ausdrücklicher Widerspruch des Nutzers vorliegt.
Server speichern in aller Regel Daten über die Besucher einer Website auch nach Ende des Besuchs auf der Seite. Hierzu werden seitens der Hosting-Anbieters sogenannte Server-Logfiles erstellt. Nur wenn Sie Ihre Webseite auf einem eigenen Server hosten, haben Sie hierüber die volle Kontrolle. In dem Fall der externen Vergabe des Hostings an einen Anbieter muss in die Datenschutzerklärung mit aufgenommen werden, dass Server-Logfiles erhoben werden. In diesem Fall muss ein entsprechender Hinweis in die Datenschutzerklärung, dass z.B. die verwendete IP-Adresse, die besuchte Website, die Uhrzeit des Zeitpunkts des Zugriffes, der verwendeter Browser usw. erhoben werden. Server-Logfiles sollten für maximal 7 Tage gespeichert und anschließend gelöscht oder anonymisiert werden. Es ist auch anzuraten, darüber aufzuklären, dass die Daten lediglich aus Sicherheitsgründen und zur Gewährleistung des Betriebs der Webseite gespeichert werden, um z.B. Angriffe auf die Webseite aufklären zu können.
Beim Einsatz eines Kontaktformular werden bei Benutzung dieses Kontaktformulars durch den Nutzer zwangsläufig personenbezogene Daten von diesem eingegeben, um eine Kontaktaufnahme zu ermöglichen. Insofern ist dies auch in der Datenschutzerklärung abzubilden und der Nutzer ist darauf hinzuweisen, wie mit diesen Daten umgegangen wird. Es ist daher anzugeben, welche personenbezogenen Daten wie und warum verarbeitet werden. Dazu gehört auch, dass die personenbezogenen Daten nur verarbeitet werden, nachdem der Nutzer seine Einwilligung zur Datenverarbeitung erteilt hat und die geltenden Datenschutzbestimmungen eingehalten werden.
Diesbezüglich kann auf die Ausführungen zum Kontaktformular verwiesen werden.
Ja, grundsätzlich gilt eine Einwilligung für den Erhalt von Newsletter-Mails, die vor dem 25. Mai 2018 eingeholt wurde, auch nach dem Inkrafttreten der DSGVO fort, wenn diese Einwilligung rechtmäßig eingeholt wurde, der Nutzer also insbesondere informiert darüber gewesen ist, worin er genau einwilligt. Zudem muss der Newsletter per Double Opt-In bestätigt worden sein. Der BGH hat am 01. Februar 2018 (Urteil des III. Zivilsenats vom 1.2.2018 – III ZR 196/17) festgestellt, dass eine solche Einwilligung nicht erlischt.
Grundsätzlich ist es datenschutzrechtlich möglich, externe Schriftarten auf einer Webseite einzubinden. Es ist jedoch anzuraten, diese externen Schriftarten über den eigenen Webserver einzubinden, diese somit selbst zu hosten. Bei anderen Varianten der Integration besteht die Gefahr, dass eine Verbindung zu einem Server eines Drittanbieter wie z.B. Google hergestellt wird. Dabei kommt es oft zu einer Übermittlung personenbezogener Daten in Drittländer. Dies gilt besonders bei Google Fonts, zumal hier bei jedem Aufruf der Webseite durch den Nutzer der Browser des Nutzers die Webfonts herunterlädt und hierzu zum Google-Server Kontakt aufnimmt. Hierdurch findet bereits eine Datenübermittlung (wohl in die USA) statt. In diesem Fall sind zusätzlich die an Drittlandübermittlungen geltenden Anforderungen einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache „Schrems II“ zu erfüllen. Insofern muss jeder Webseitenbetreiber prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Sollte dem nicht so sein, ist die Übermittlung unzulässig. In jedem Fall ist die Einbindung externer Schriftarten im Rahmen der Datenschutzerklärung zu berücksichtigen.
Es ist anzuraten, die Einstellungen so zu wählen, dass Inhalte von Google Maps erst dann geladen werden, wenn der Nutzer aktiv den Kartendienst im Wege eines zusätzlichen Klicks in Anspruch nimmt. Zudem sind Kartendienste Dritter im Rahmen der Datenschutzerklärung der Webseite zu berücksichtigen. Wenn bei der Inanspruchnahme des Tools durch den Nutzer eine Verbindung zu Servern der Drittanbieter hergestellt wird, führen solche Dienste häufig zu einer Übermittlung der personenbezogenen Daten in Drittländer, so auch bei der Einbindung von Google Maps. In diesem Fall sind zusätzlich die an Drittlandübermittlungen geltenden Anforderungen einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache „Schrems II“ zu erfüllen. Insofern muss jeder Webseitenbetreiber prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Sollte dies nicht möglich sein, ist die Übermittlung unzulässig. In jedem Fall ist die Einbindung von Google Maps oder ähnlichen Diensten im Rahmen der Datenschutzerklärung zu berücksichtigen.
Die Antwort lautet: Ja. Jeder Website-Betreiber hat nicht nur ein berechtigtes Interesse, Captchas einzusetzen, sondern sollte dies sogar tun, um die Verfügbarkeit seines Dienstes sicherzustellen.
In Bezug auf Google reCAPTCHA sollten sich Website-Betreiber unbedingt nach Alternativen umschauen. Kann auf den Einsatz von Google reCAPTCHA nicht verzichtet werden, muss der Betreiber der Webseite in der Lage sein, den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachzuweisen. Wenn der Webseite-Betreiber nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann er seine Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen. Beim Einsatz von Google reCAPTCHA sind zusätzlich die an Drittlandübermittlungen geltenden Anforderungen einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache „Schrems II“ zu erfüllen. Insofern muss jeder Webseitenbetreiber prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Sollte dies nicht möglich sein, ist die Übermittlung unzulässig. In jedem Fall ist die Einbindung von Google reCAPTCHA im Rahmen der Datenschutzerklärung zu berücksichtigen.
Die Einstellungen bei der Einbindung von Videos sind in jedem Fall so zu wählen, dass das Video erst dann startet, wenn der Nutzer das Video durch einen extra Klick aktiviert. Startet das Video hingegen automatisch oder ist es „eingebettet“, kann der Nutzer eine Datenverarbeitung durch externe Anbieter nicht verhindern oder beeinflussen. Zudem sind diese Dienste Dritter im Rahmen der Datenschutzerklärung der Webseite zu berücksichtigen. Da bei der Aktivierung derartiger Tools zumeist eine Verbindung zu den Servern der Drittanbieter hergestellt wird, führen solche Dienste oft zu einer Übermittlung personenbezogener Daten in Drittländer. So kann beispielsweise bei der Einbindung von YouTube-Videos eine Datenübermittlung in die USA stattfinden. In diesem Fall sind zusätzlich die an Drittlandübermittlungen geltenden Anforderungen einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache „Schrems II“ zu erfüllen. Insofern muss jeder Webseitenbetreiber prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Sollte dies nicht möglich sein, ist die Übermittlung unzulässig. In jedem Fall ist die Einbindung von derartigen Tools, wie z.B. YouTube oder ähnlichen Diensten, im Rahmen der Datenschutzerklärung zu berücksichtigen.
Eine solche Einbindung von Social PlugIns z.B. denen von Twitter, Facebook, Instagram ist rechtmäßig nur dann möglich, wenn vorher eine Einwilligung des Nutzers eingeholt und in der Datenschutzerklärung über den Einsatz informiert wurde. Hier können sogenannte Zwei- Klicklösungen in Betracht kommen, wie z.B. die von Shariff Wrapper oder Embetty.
Da bei Aktivieren derartiger Social PlugIns eine Verbindung zu den Servern der Drittanbieter hergestellt wird, führen solche Dienste wie Twitter, Facebook, Instagram oft zu einer Übermittlung personenbezogener Daten in Drittländer. So wird bei der Einbindung von Social PlugIns wie Twitter, Facebook, Instagram vornehmlich eine Datenübermittlung in die USA stattfinden. In diesem Fall sind zusätzlich die an Drittlandübermittlungen geltenden Anforderungen einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache „Schrems II“ zu erfüllen. Insofern muss jeder Webseitenbetreiber prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Sollte dies nicht möglich sein, ist die Übermittlung unzulässig. In jedem Fall ist die Einbindung von Social PlugIns wie z.B. denen von Twitter, Facebook, Instagram oder ähnlichen Diensten, im Rahmen der Datenschutzerklärung zu berücksichtigen.
Es kann daher festgehalten werden, dass bei der Nutzung von Diensten Dritter (z. B. Analysetools oder Social Plugins wie Twitter, Facebook, Instagram) es beinahe immer zu Datenübermittlungen an Dritte kommt. Eine Einbindung derartiger Elemente bedarf immer einer Rechtsgrundlage nach Artikel 6 Absatz 1 DSGVO. Die Aufsichtsbehörden gehen davon aus, dass dies nur die Rechtsgrundlage einer Einwilligung sein kann. Mit ein wenig mehr Aufwand sind datenschutzfreundliche Implementierungen von Like- und Share-Buttons, wie z.B. das c’t-Projekts Shariff nutzbar, wenn der Betreiber der Internetseite sicherstellt, dass Informationen über das Nutzerverhalten ohne Einwilligung des Nutzers nicht an Dritte weitergegeben und nicht über Webseiten hinweg zusammengeführt werden. Bei Social-Media-Elementen müssen über eine Zwei-Klick-Lösung oder mit Hilfe datenschutzfreundlicher Einbett-Hilfen (wie dem c’t-Projekt Embetty) eingebunden werden. Bei einem Tracking, das Website- oder Geräte-Grenzen überschreitet, ist die Einwilligung des Besuchers immer zwingend erforderlich.
Die klare Antwort lautet: Nein. Völlig unabhängig davon, ob die IP-Adresse gekürzt wird oder nicht, muss bei Einsatz des Dienstes in der Standartkonfiguration in jedem Fall eine Einwilligung eingeholt werden. Auch hier ist der Bezug zu den USA zu beachten.
Nein, das ist nicht zulässig. Es muss in jedem Fall vorher die Einwilligung des Betroffenen eingeholt werden.
Nein, das ist nicht zulässig. Es muss immer vorab die Einwilligung der Nutzer eingeholt werden. Wie diese Einwilligung eingeholt werden kann, ist in der Orientierungshilfe für Anbieter von Telemedien erklärt.
Der Einsatz von Tools, die eine Reichweitenanalyse erlauben, ist rechtskonform nur möglich, wenn für die Reichweitenanalyse nicht auf die Dienste externer Dritter zurückgegriffen wird. Zur Begründung wird angeführt, dass eine Reichweitenanalyse nämlich auch möglich ist, ohne solchen Dritten (wie z.B. Google Analytics) Informationen über das Nutzungsverhalten der Website-Besucher weiterzugeben. So kann beispielsweise auf eine Logfile-Analyse ausgewichen werden oder es können lokal installierte Analysewerkzeuge wie z.B. Matomo ohne Zusammenführung der Nutzungsdaten über mehrere Anbieter hinweg verwendet werden. Dabei gilt jedoch, dass auch solche Tools transparent dargestellt und datensparsam konfiguriert werden müssen.
Bei der Integration von Elementen Dritter, egal ob Reichweiteanalyse-Tools oder Social-Media-Plugins, ist grundsätzlich immer eine Einwilligung in die konkrete Datenverarbeitung erforderlich. Eine vorherige, aktive ausdrückliche, informierte und freiwillige Einwilligung der Besucher der Internetseite ist insbesondere immer dann erforderlich, wenn Dritten die Möglichkeit eröffnet wird, das Nutzungsverhalten der Seitenbesucher zu analysieren oder wenn personenbezogene Daten an Dritte weitergegeben werden. Gerade diese Weitergabe von personenbezogene Daten an Dritte findet normalerweise bei der Integration externer Elemente wie Social-Media-Plugins oder externer Reichweitenanalyse-Tools statt.
Die Einwilligung muss derart gestaltet sein, dass der Verarbeitungsvorgang klar und deutlich beschrieben wird. Ein Besucher der Webseite muss ohne weiteres verstehen können, in was er einwilligt. Ein bloßer Hinweis dergestalt „wir verwenden Cookies“ ist nicht ausreichend sondern irreführend, weil die damit verbundenen Verarbeitungen für den Besucher nicht transparent gemacht werden. Die entsprechende Einwilligung muss dabei nicht nur für die Verwendung von Cookies an sich, sondern falls auch personenbezogene Daten über die Cookies erhoben werden, für die Erhebung und Weitergabe personenbezogener Daten insgesamt eingeholt werden. Dabei muss genau und für den Besucher verständlich beschrieben werden, welche Daten an welche namentlich zu benennenden Dritten weitergegeben werden, beziehungsweise welche Dritten Daten erheben oder empfangen und zu welchem genauen Zweck dies geschieht. Sollten Dritte eigene Zwecke verfolgen, sind auch diese zu beschrieben. Diese Informationen dürfen nicht verschleiert werden und müssen klar und verständlich dargestellt werden. Zudem müssen Nutzer aktiv und freiwillig einwilligen. Die Einwilligung darf dabei nicht explizit vorausgewählt sein. Ein sogenanntes Opt-Out-Verfahren oder auch bereits im Voraus angekreuzte Kästchen reichen dabei explizit nicht aus. Die einzelnen Empfänger der Daten sollten einzeln bzw. nach Kategorien vom Nutzer ausgewählt werden können. Vor dieser aktiven Einwilligung des Besuchers dürfen noch keinerlei Daten erhoben werden. Alleine das bloße Besuchen einer Website stellt keine ordnungsgemäße Einwilligung dar.
Die Freiwilligkeit der Einwilligung setzt voraus, dass der Nutzer eine echte oder freie Wahl hat und eine Einwilligung auch verweigern kann, ohne dadurch irgendwie geartete Nachteile zu erfahren.
Beim Einsatz von Cookies, die zum Betrieb des Telemediendienstes zwingend notwendig sind und keine seiten- oder geräteübergreifende Nachverfolgung des Nutzerverhaltens ermöglichen, können sich Seitenbetreiber häufig auf (vor-) vertragliche Maßnahmen im Sinne von Artikel 6 Absatz 1 lit. b DSGVO stützen. Als Beispiel hierfür wird in der Literatur immer wieder die Verwendung der Warenkorb-Funktion angeführt, wenn dabei keinerlei Übertragung von Daten an Dritte stattfindet.
In anders gelagerten (Ausnahme-) Fällen kann sich der Seitenbetreiber unter Umständen auf ein berechtigtes Interesse nach Artikel 6 Absatz 1 lit. f DSGVO berufen z.B. aus Sicherheitsgründen. Sollten die entgegenstehenden Belange der Besucher in diesen Fällen nicht überwiegen, ist die Nutzung von Cookies nicht einwilligungsbedürftig. Die Frage ob eine Einwilligung erforderlich ist oder nicht hängt dabei immer sehr stark am Einzelfall und lässt sich nicht pauschal beantworten.
Es besteht der weitverbreitete Irrtum, dass Cookies generell der Einwilligung durch den Nutzer bedürfen. Dies ist jedoch nicht der Fall. Als Beispiel für derartige nicht einwilligungsbedürftige Cookies sind technisch zwingend notwendige Cookies zu nennen. Eine Erhebung und Verarbeitung von Daten, egal ob mit oder ohne Hilfe von Cookies, für die keine Einwilligung erforderlich ist, muss lediglich in der Datenschutzerklärung angegeben werden. Sogenannte „Einwilligungs-Banner“ müssen eingesetzt werden, wenn tatsächlich eine Einwilligung des Besuchers erforderlich ist, also typischerweise dann, wenn Daten an Dritte weitergegeben werden oder wenn Dritte die Möglichkeit erhalten, Daten zu erheben und zu verarbeiten. Dann ist der reine Hinweis auf Cookies in der Datenschutzerklärung nicht mehr ausreichend. Stattdessen muss eine Einwilligung vorliegen.
Für einen wirksamen Cookie-Einwilligungs-Banner müssen folgende Punkte beachtet werden:
Es müssen klare, nicht irreführende Überschriften vorhanden sein. Die weit verbreiteten bloßen Respektbekundungen bezüglich der Privatsphäre der Besucher reichen hierfür nicht aus. Es wird insofern zu klaren Überschriften geraten, in denen die Tragweite der Entscheidung erkennbar wird, wie beispielsweise „Weitergabe Ihrer Nutzerdaten an Dritte“.
Gleiches gilt für Links. Links müssen eindeutig und unmissverständlich bezeichnet sein.
Zudem muss der komplette Gegenstand der Einwilligung deutlich gemacht werden. Fragen wie „Welche personenbezogenen Daten sind betroffen? Wer erhält Zugriff auf die Daten? Was passiert mit den Daten? Welchen Zwecken dient das? Werden die personenbezogenen Daten mit weiteren Daten verknüpft?“ müssen beantwortet werden.
Oftmals ist die Einwilligung bereits voreingestellt. Dies ist ebenfalls unzulässig. Vielmehr ist ein Opt-in notwendig.
Auch ist darauf zu achten, dass keine Daten weitergegeben werden, bevor eine Einwilligung durch den Besucher vorliegt. Zudem muss der Besucher auf die Freiwilligkeit der Einwilligungserklärung hingewiesen werden. Ebenfalls ist ein Hinweis auf die Möglichkeit eines jederzeitigen Widerrufs anzugeben, wie beispielsweise „Diese Einwilligung ist freiwillig, für die Nutzung dieser Website nicht notwendig und kann jederzeit widerrufen werden, indem […]“. Wie der Widerruf zu erklären ist, ist in der Information zur Einwilligungserklärung zudem klar und deutlich zu beschreiben. Dabei muss die Erklärung des Widerrufs ebenfalls so einfach möglich sein wie die Einwilligungserklärung selbst.
Wenn keine oder eine nicht ordnungsgemäße Datenschutzerklärung eingesetzt wird, kann dies eine Abmahnung und/oder ein Bußgeld nach sich ziehen. Im Zuge der Abmahnung können Mitbewerber wie auch Verbraucherschutz- und Wettbewerbsverbände gegen eine unzureichende Datenschutzerklärung auf ihrer Website vorgehen, zumal damit nicht nur gegen die Datenschutzgrundverordnung (DSGVO), sondern auch gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) verstoßen wird. Besonders empfindlich kann auch ein Bußgeld der Datenschutzbehörden ausfallen: Denn seit dem Inkrafttreten der DSGVO drohen bei Verstößen bis zu 20 Mio. Euro Bußgeld oder 4 % Ihres Umsatzes. Auch der Betroffene selbst kann gegen den Betreiber der Webseite vorgehen.
Für die gesamte Webseite, somit auch für die Datenschutzerklärung auf der Seite, ist grundsätzlich derjenige verantwortlich, der im Impressum als Verantwortlicher für die Seite genannt wird. Setzen Sie sich keinem unnötigen Risiko aus und erstellen Sie mit unserem Generator eine rechtskonforme Vorlage einer Datenschutzerklärung. Schnell, einfach und kostenlos.
Derjenige der im Impressum genannt wird. Auch hier können Sie eine Haftung durch die Verwendung unseres Datenschutzhinweises als Muster für Ihre 1&1 oder Jimdo Webseite ausschließen.
Diese Frage ist unserer Kenntnis nach noch nicht gerichtlich geklärt worden. Teilweise wird die Ansicht vertreten, dass – eine ordentlich gegliederte Datenschutzerklärung vorausgesetzt – es jedem Besucher zumutbar sein sollte, einen Abschnitt, der den jeweiligen Besucher nicht interessiert, zu überspringen. Allerdings wird auch gefordert, dass die Datenschutzerklärung klar und verständlich informieren muss. Wenn man z.B. über den Einsatz eines Facebook-PlugIns in seiner Datenschutzerklärung informiert und dieses Tool dann gar nicht einsetzt, könnten Zweifel an der Klarheit und Verständlichkeit der Datenschutzerklärung aufkommen.
Diese Frage stellt sich spätestens dann, wenn die Webseite sich an ein internationales Publikum richtet. Ganz generell kann man hierzu festhalten, dass für alle primären Märkte eine Datenschutzerklärung in der offiziellen Landessprache des Zielmarktes vorzuhalten ist. Für sekundäre Märkte hingegen reicht eine Datenschutzerklärung in englischer Sprache. Mit unserem Generator zur Erstellung eines kostenlosen Musters / einer kostenlosen Vorlage einer Datenschutzerklärung können Sie sich die entsprechenden Texte in Englisch und Französisch mit ausgeben lassen. So sind Sie für alle Eventualitäten (nach deutschem Recht) gewappnet.
Alexander F. Bräuer
Rechtsanwalt, Fachanwalt für gewerblichen Rechtsschutz, Zertifizierter Datenschutzbeauftragter (TÜV-SÜD)
Killian Hedrich
Dipl. Wirtschaftsjurist (FH), Zertifizierter Datenschutzbeauftragter (TÜV-SÜD), Zertifizierter Datenschutzauditor (TÜV-SÜD)
Frank Weiß
Rechtsanwalt, Zertifizierter Datenschutzbeauftragter (TÜV-SÜD)
Das Sagen andere über uns
Der Datenschutzgenerator der Kanzlei Weiß & Partner ist ein professionelles Tool, welches von Herrn Weiß & Partner freundlicherweise kostenlos zur Verfügung gestellt wird. Damit wird auch ehrenamtlich-engagierte Zusammenschlüsse und Vereine – trotzt geringen finanziellen Mittel, sowie fehlenden Wissen über Datenschutz – ein Internetauftritt ermöglicht. Wir möchten uns ganz herzlich bedanken!