Datenschutzerklärung – Was muss drin sein?

dokumente 12
Fachbeitrag

Bis zum 01. Februar 2015 wurden 15.831.107 Internetseiten mit „de”-Domain registriert, allein in Deutschland gehen etwa 45.000 neue Seiten monatlich online. Theoretisch müsste auf jeder dieser Webseiten eine Datenschutzerklärung vorhanden sein. Die Praxis sieht allerdings ganz anders aus…

Wo ist die Pflicht zur Einbindung einer Datenschutzerklärung geregelt?

Die Pflicht, eine Datenschutzerklärung auf der Webseite einzubinden, ergibt sich aus § 13 TMG. Danach muss der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten außerhalb der EU bzw. des EWR unterrichten.

Welche Form muss eine Datenschutzerklärung haben?

Da die Unterrichtung zu Beginn des Nutzungsvorgang auf Webseiten etwas schwierig ist, ist die gleichzeitige Unterrichtung bei Erhebung grundsätzlich ausreichend. Da die Information außerdem jederzeit abrufbar sein muss, bietet es sich an, die Datenschutzerklärung wie das Impressum in einem eigenen Reiter als feste Seite zu implementieren.

Darüber hinaus muss die Information in allgemein verständlicher Form erfolgen, so dass technische oder juristische Fachbegriffe und Formulierungen vermieden werden sollten

Welchen Inhalt muss eine Datenschutzerklärung haben?

Der Inhalt ergibt sich aus den auf der Webseite erfolgenden Datenverwendungen. Über diese ist wahr und vollständig zu unterrichten. Darunter fallen Informationen über die allgemeine Datenerhebungen, wie zum Beispiel

  • die Erhebung von IP-Adressen um die Webseite überhaupt aufrufen zu können, sowie
  • die vom Browser übermittelten Daten (beispielsweise Browsertyp/-version, verwendetes Betriebssystem, besuchte Webseiten).

Aber auch Informationen über besondere Kategorien, wie zum Beispiel

  • Gewinnspiele,
  • Newsletter-Abos,
  • Webanalyse, etwa durch Google Analytics oder Piwik oder
  • Online-Bewerbungen
  • Kontaktformulare

müssen enthalten sein. In jedem dieser Fälle sollte auf das Widerspruchsrecht der Betroffenen hingewiesen werden und im Fall der Analysetools auch eine technische Möglichkeit zum Widerspruch eingeräumt werden. Außerdem müssen stets die Zwecke angegeben werden, zu denen die Daten verwendet und an wen sie gegebenenfalls weitergegeben werden.

Welche Folgen drohen bei Verstößen?

Wer den Nutzer nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, begeht gemäß § 16 TMG eine Ordnungswidrigkeit, die mit einem Bußgeld von bis zu 50.000 € geahndet werden kann. Darüber hinaus hat das OLG Hamburg (Urteil vom 27.06.2013, 3 U 26/12) entschieden, dass eine Datenerhebung ohne eine ausreichende Datenschutzerklärung einen Verstoß gegen Wettbewerbsrecht (§ 4 Nr. 11 UWG) darstellt und daher abgemahnt werden kann.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Erstellung einer Datenschutz-Dokumentation (z.B. internes / öffentliches Verfahrensverzeichnis)
  • Bereitstellung von Verpflichtungserklärungen auf das Datengeheimnis
  • Formulierung von Betriebsvereinbarungen bei datenschutzrelevanten Sachverhalten

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Dokumente

23 Kommentare zu diesem Beitrag

  1. Ist es bei Kontaktformularen erforderlich, dass der Kunde bezüglich der Datenschutzvereinbarungen in einem Fenster einwilligen muss? Oder reicht die Datenschutzerklärung auf einem anderen Reiter der Seite aus?

    • Der Kunde sollte bei einem Kontaktformular auf die Datenschutzerklärung hingewiesen werden. Dies kann praktischer Weise durch einen Link auf auf die Datenschutzerklärung am Ende des Kontaktformulars getan werden (z.B. “Hier finden Sie unsere Informationen zum Datenschutz.”).

  2. Wann ist die Bereistellung eines “Öffentliches Verfahren” (PDF) für eine Internetseite verpflichtend? Bei der Recherche haben wir keinen Dax-Konzern oder großen Online-Shop gefunden, der etwas über das “Öffentliche Verfahren” außerhalb der Datenschutzerklärung bereitstellt.

    • Die Bereitstellung eines öffentlichen Verfahrensverzeichnisses hat grundsätzlich nicht zwingend auf der Internetseite eines Unternehmens zu erfolgen. Erforderlich für die Bereitstellung ist, dass es jedermann möglich ist, auf Antrag ein Exemplar zur Verfügung gestellt zu bekommen. Dies muss lediglich ich geeigneter Weise erfolgen und kann demnach auch elektronisch, schriftlich oder durch Einsichtnahme vor Ort erfolgen.

  3. Hallo,
    muss man mich bei der Nutzung einer Website vorab darauf hinweisen, dass externe Dienste (wie Google Maps, Google Search und ähnliche) verwendet werden? Muss ich der Nutzung solcher Dienste auch widersprechen dürfen? Diese könnten ja schließlich nebst Dienstangebot auch eine Datenerhebung und Analyse durchführen.

  4. Hallo! Ist es notwendig, dass der Nutzer im Rahmen der Datenerhebung auf einer Unternehmenswebsite (etwa um sich in ein Konto einzuloggen) ein spezielles Feld ankreuzt, um dadurch die AGB des Unternehmens zu akzeptieren – oder reicht es, wenn der Nutzer lediglich darauf hingewiesen wird, dass er beim Weiterklicken automatisch der AGB zustimmt? Danke!

    • Eine gesetzliche Verpflichtung, dass nur durch ein Häkchen-Setzen die AGB in den Vertrag einbezogen werden, gibt es nicht. Es ist aber zu empfehlen, so zu verfahren. Ein Unternehmen muss beweisen können, dass ein Nutzer sich im Rahmen des Vertragsabschlusses mit einer bestimmten Version der AGB einverstanden erklärt hat. Wird der Verbraucher lediglich darauf hingewiesen, dass er beim Weiterklicken automatisch der AGB zustimmt, wird schwierig sein, den oben genannten Nachweis zu erbringen.

  5. Ich bin Berufsbetreuer für verschiedene Amtsgerichte und speichere oftmals die Angehörigen meiner Betreuten in einem Bearbeitsprogramm um gegebenenfalls mit diesen in Kontakt zu treten. Anderen außer meiner Büroangestellten sind diese Daten nicht zugängig. Nun fordert mich ein Enkel einer Betreuten auf das öffentliche Verfahrensverzeichnis meines Betreuungsbüro ihm offenzulegen. Muss ich so was führen?

    • Ein Verfahrensverzeichnis ist ein Element des Datenschutzmanagements, das der Bestandsaufnahme über die laufenden Verarbeitungen von personenbezogenen Daten dient. Das Gesetz spricht von einer „Übersicht“, die dem betrieblichen Datenschutzbeauftragten zur Verfügung gestellt wird. Zweck dieser Verpflichtung ist es, erfolgende Datenverarbeitungen transparenter zu machen und dadurch den Schutz personenbezogener Daten zu verbessern. Sofern es in Ihrem Betrieb einen internen/betrieblichen Datenschutzbeauftragten gibt, so ist dieser für eine Zugänglichmachung des Verzeichnisses zuständig. Sofern kein Datenschutzbeauftragter bestellt ist, so obliegt der verantwortlichen Stelle (also demjenigen, der die Daten verarbeitet) gemäß § 4a Abs. 2a BDSG die gegenüber jedermann bestehende Informationspflicht.

      Zu den genauen Voraussetzungen und dem Inhalt eines Verfahrensverzeichnis lesen Sie unbedingt unsere Beiträge dazu:
      Verfahrensverzeichnis – nur eine lästige Verpflichtung?
      Verfahrensverzeichnis

      Falls dennoch noch Fragen offen sein sollten, lassen Sie es uns wissen.

  6. Hallo,
    habe viele (Datenschutzerklärungs)-Texte gefunden, die aufs Web gemünzt. Wie ist das nun bei nativen Apps, da gibt es keine Cookies, sonder eine eindeutige GeräteID wird genutzt. In meiner App kann der Nutzer das tracking ganzlich abschalten. Im Moment suche ich nach einem Mustertext.

    Danke

  7. Hallo,
    Ich bin Marketing- und Kommunikationsberater im Onlinebereich in Österreich. Ich sehe immer mehr Webseiten, die in ihren Datenschutzerklärungen auf Ihre Seite zurückgreifen, frage mich gleichzeitig aber, in wie weit Deutschland und Österreich hier rechtlich gleich getaktet sind. Sprich: Kann deutsches Recht in diesem Bereich ohne Wenn und Aber auch in Österreich angewandt werden?

    • Auch in Österreich gilt die europäische Datenschutzrichtlinie, die aber von jedem Mitgliedsstaat anders und teils mit erheblichen Abweichungen umgesetzt wurde. Ich verweise hierzu ergänzend auf unseren Artikel „Datenschutz in Österreich“.

      Jedenfalls sind die jeweiligen nationalen Gesetzesvorschriften zum Datenschutz (und in anderen Spezialgesetzen) auch innerhalb Europas unterschiedlich ausgestaltet und es können Datenschutzerklärungen von deutschen Webseiten nicht eins zu eins für österreichische Webseiten genutzt werden.

    • Wie im Artikel bereits mitgeteilt, muss ein Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten, sowie über etwaige Weitergaben von Daten, unterrichten. Grundsätzlich kann keine Person von einem Anbieter dazu verpflichtet werden die vorgehaltene Datenschutzerklärung zu akzeptieren. Unter Umständen kann der jeweilige Kunde den angebotenen Service, der die Verarbeitung von personenbezogenen Daten voraussetzt, aber nicht nutzen, wenn dieser die Datenschutzerklärung nicht akzeptiert bzw. sich nicht einverstanden erklärt.

  8. Wenn der Staat eine solche Pflicht der Datenschutzerklärung verlangt und der Staat auch genau weis, wann eine Datenschutzerklärung Falsch ist und Fehler hat, und somit sogar bestraft werden kann, warum stellt der Staat dann keine Datenschutzerklärung zu verfügung, die genau den Wünschen des Gesetzes entsprechen, so wie es derzeit auch Anwälte anbieten. Ich finde diese Datenschutzreglung sehr undurchsichtig und das diese zu Fehler verleitet und zu Strafen vorprogrammiert ist. Ich verlange hier von der Regierung eine klare Linie zu dem was mir zeigt was richtig ist. Wenn der Staat mir eine klare Regelung vorgibt, dann muss dieser auch sagen können wie diese auszusehen hat. Hier macht die Bundesregierung ein Gesetz, aber wie dieses Gesetz richtig befolgt wird, das überlässt sie dem Zufall. Das finde ich rechtswidrig und sollte angeklagt werden.

    • Im ersten Satz der ersten Antwort zitiert der Autor aus dem Gesetzestext folgendes:
      “Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form zu unterrichten.” (vgl. § 13 Abs. 1 TMG).

      Auch bei modernen Internetseiten kann nur der Betreiber selbst Kenntnis von all seinen Datenerhebungen und damit auch -verwendungen haben (z.B. etwa personenbezogene Daten aus Protokolleinträgen auf Servern, die nicht veröffentlicht und nur intern verwendet werden). Der Gesetzestext regelt also mehr als nur deutlich, was ein Seitenbetreiber zu unternehmen hat, sofern er personenbezogene Daten erhebt.

      Sollten Sie nicht wissen, was personenbezogene Daten sind, empfehle ich folgenden Artikel: http://www.gesetze-im-internet.de/bdsg_1990/__3.html

  9. Verstehe ich das richtig, dass die Datenschutzerklärung auch Informationen darüber enthalten muss, dass die Besuche einer Seite mit Tools wie beispielsweise dem “Webmaster Tools” von Google ausgewertet wird? Die Auswertung enthält keine persönlichen Angaben der Besucher und ist vollkommen anonym!?

    • In der Regel dürfte bei reinen Webmaster Tools wie „Google Search Console“ keine personenbezogenen Daten erhoben werden, allerdings kommt es dazu auf die Funktionsweise des Tools an. Wenden sie sich zur genaueren Abklärung für konkrete Tools an Ihren unternehmenseigenen Datenschutzbeauftragten.

  10. Hallo,
    ich hätte eine Frage: Darf die Datenschutzerklärung/-hinweise direkt unter dem Impressum stehen oder sollte sie mit einer seperaten Verlinkung versehen werden?

    • Die Datenschutzerklärung sollte grundsätzlich leicht zu finden und mit nur einem Klick erreichbar sein. Falls Sie also auf Ihrer Startseite lediglich einen Link zu Ihrem Impressum haben und darunter dann eine Datenschutzerklärung packen, ist diese eher versteckt als leicht zu finden. Platzieren Sie daher auf Ihrer Webseite und ebenfalls den Unterseiten einen separaten Link, der direkt zu der Datenschutzerklärung führt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.