- Warum benötigt meine Webseite einen Datenschutzerklärung?
- Was kann passieren, wenn eine Datenschutzerklärung fehlt?
- Was muss in einer Datenschutzerklärung enthalten sein?
Anbieter von Telemedien (z. B. Webseiten von Unternehmen) müssen ihre Nutzer über die Verarbeitung von personenbezogenen Daten aufklären. Dies erfolgt mit einer Datenschutzerklärung die vergleichbar mit dem vorgeschriebenen Impressum (§ 5 TMG) von allen Seiten einer Webpräsentation erreichbar sein muss. Die gesetzliche Pflicht hierzu ergibt sich aus § 13 TMG. Eine fehlende Datenschutzerklärung kann einen abmahnfähigen Wettbewerbsverstoß nach § 4 Nr. 11 UWG darstellen.
Die öffentlich zugänglichen Webseiten eines Unternehmens stellen zumeist ein Telemediendienst im Sinn des Telemediengesetzes (TMG) dar. Der Anbieter eines Telemediendienstes (hier das sich präsentierende Unternehmen) ist nach § 13 TMG verpflichtet seine Nutzer zu Beginn der Nutzung „über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form zu unterrichten“.
An den Inhalt, die Form und die Erreichbarkeit der Datenschutzerklärung sind bestimmte Anforderungen geknüpft. Zum Teil ergeben diese sich aus dem Gesetzestext, größtenteils aber durch die Rechtsprechung und Rechtsliteratur.
Die Datenschutzerklärung sollte ein statischer Informationstext sein, der ohne besondere technische Voraussetzungen und Hürden abrufbar ist. Die Verwendung besonderer Formate wie das PDF- oder Word-Format gilt ebenso als ungeeignet, wie die Erforderlichkeit, dass der PC des Nutzers eine bestimmte Programmiersprache (Javascript) zur Anzeige installiert oder aktiviert hat.
Die Datenschutzerklärung muss von allen Seiten aus erreichbar sein. Diese Anforderung entspricht der des gleichermaßen vorgeschriebenen Impressums (§ 5 TMG). Es gilt als unzureichend, wenn die Datenschutzerklärung nur auf der Startseite verlinkt ist oder nur mit vielen Klicks über eine umfangreiche Menüstruktur erreichbar ist. Empfohlen wird auf jeder Webseite einen stets sichtbaren Link „Datenschutz“ oder „Datenschutzerklärung“ einzublenden.
Die Datenschutzerklärung muss in einer für den Nutzer verständlichen Sprache geschrieben sein. Fachbegriffe und komplizierte Formulierungen sollten vermieden oder auf ein begründbar erforderliches Maß reduziert werden.
Aber was ist nun der eigentliche Inhalt der Datenschutzerklärung?
Der Nutzer ist darüber aufzuklären welche seiner personenbezogenen Daten innerhalb der Internetpräsentation und zu welchem Zweck erhoben und verwendet werden.
Dies beginnt mit dem Umstand, dass der Nutzer technikbedingt seine IP-Adresse preisgibt. Schon diese IP-Adresse gilt als personenbezogenes Datum (EuGH, 19.10.2016, Az. C-582/14). Daneben gibt es diverse technische Informationen, die durch die Nutzung an den für die Internetpräsentation zuständigen Webserver gesendet werden:
- Betriebssystem, Browserversion, Bildschirmauflösung des Nutzers
- Datum und Uhrzeit der Anforderung einer Webseite
- Technische Zugriffsmethode
- Webadresse der angeforderten Webseite
- Zuletzt aufgerufene Webseite des Nutzers (auch wenn diese nicht zur hier betrachteten Internetpräsentation gehört)
- übertragene Datenmenge
Allein anhand dieser Daten lassen sich schon „interessante“ Bewegungsprofile über die Besucher der Webseiten erstellen. Wenn dies tatsächlich erfolgt, ist auch das in der Datenschutzerklärung festzuhalten.
Unabhängig von diesen technischen Daten werden möglicherweise weitere personenbezogene Daten erhoben, verwendet oder auch weitergegeben, beispielsweise in
- Kontaktformularen
- Foren
- Kommentarfunktionen
- Newsletteranmeldungen
- Benutzerregistrierrungen
- Online-Shops
- Webstatistiken
- Verwendung von Drittanbietern wie Google-Analytics, Google-Fonts, Facebook, Twitter
- usw.
Der Nutzer ist in der Datenschutzerklärung hierzu genau aufzuklären.
Die Datenschutzerklärung soll den Nutzer schließlich auch über seine persönlichen Rechte wie sein Widerrufsrecht und sein Auskunftsrecht aufklären und die für die Ausübung dieser Rechte erforderlichen Kontaktinformationen bereitstellen.
Kann ich einen Datenschutzerklärungsgenerator aus dem Internet nutzen?
Viele wesentliche Bestandteile einer Datenschutzerklärung lassen sich durch die Auswahl geeigneter Mustertexte konstruieren. Das nutzen die Anbieter von Datenschutzerklärungsgeneratoren.
Häufig sind die Ergebnisse der Generatoren durchaus akzeptabel, wenn der Anbieter gängige und aktuelle Mustertexte einsetzt. Die Herausforderung für die eigene Unternehmenswebseite liegt einerseits darin, die Generatoren richtig zu bedienen und die Mustertexte an die individuellen Gegebenheiten anzupassen.
Bei der datenschutzseitig korrekten Umsetzung einer Webseite mit Datenschutzerklärung gibt es aber auch diverse Themen, die nicht von den Generatoren beantwortet werden können. Beispielsweise die Fragen:
- Muss ich in einem Kontaktformular die Datenschutzerklärung mit einer Checkbox bestätigen lassen?
- Darf ich den Absendern meines Kontaktformulars später einen Newsletter senden?
- Welche Daten darf ich abfragen, wenn sich bei mir jemand für einen Newsletter anmeldet – und welche auf keinen Fall?
Was kann passieren, wenn eine Datenschutzerklärung fehlt?
Erste gerichtliche Entscheidungen (OLG Hamburg, 27.06.2013, Az. 3 U 26/12 oder LG Köln, 26.11.2015, Az. 33 O 230/15) zeigen auf, dass das Erfordernis einer Datenschutzerklärung eine Marktverhaltensregel darstellt. Somit kann das Fehlen einer Datenschutzerklärung als Wettbewerbsverletzung nach § 4 Nr. 11 UWG angesehen und abgemahnt werden. Das LG Bochum (Az. 12 O 85/18) sieht bei Verstößen gegen die DS-GVO zumindest keine Abmahnmöglichkeit über das UWG, da die DS-GVO hierzu speziellere Regelung (“lex specialis”) bietet. Am 27.02.2020 entscheidet das OLG Stuttgart wiederum, dass die Informationspflichten der DS-GVO Marktverhaltensregelungen darstellen, und eine fehlende Datenschutzerklärung von Wettbewerbern abgemahnt werden kann. Die gerichtlichen Entscheidungen gehen doch recht deutlich in die Richtung, dass die Nichterfüllung der Informationspflichten im Datenschutz abmahnfähig sein können.
Darüber hinaus kann das Fehlen einer Datenschutzerklärung auch als Beschwerde bei der jeweils zuständigen Landesdatenschutzbehörde vorgebracht werden. Meist wollen es Unternehmen vermeiden in den Fokus einer Datenschutzbehörde zu gelangen und dadurch das Risiko für eine spezifischere Unternehmensprüfung zu erhöhen.
Zuletzt sei aber darauf hingewiesen, dass das „sich beschäftigen“ mit der erforderlichen Datenschutzerklärung häufig dazu führt, dass Unternehmen ihren Umgang mit personenbezogenen Daten überdenken. Das führt meistens zu einem deutlich verbesserten Umgang mit den Daten von Webseitennutzern. Diese Webseitennutzer werden zunehmend mündiger und anspruchsvoller, so dass ein sichtbar adäquater Umgang mit personenbezogenen Daten heutzutage ein Pluspunkt für den Anbieter darstellt.