In erster Linie wird Datenschutz definiert als der Schutz vor dem Missbrauch und der missbräuchlichen Datenverarbeitung personenbezogener Daten. Ebenfalls zum Datenschutz gehören der Schutz der Privatsphäre und der Persönlichkeitsrechte. Der Zweck des Datenschutzes ist der Schutz des Rechts jedes Einzelnen auf informelle Selbstbestimmung. Als Gründer, Selbstständiger oder Unternehmer betreibst du wahrscheinlich deine eigene Website. Daher bist du dazu verpflichtet eine Datenschutzerklärung auf deiner Website anzugeben. Wir zeigen dir in diesem Beitrag, worauf du achten solltest und wie du eine Datenschutzerklärung auf deiner Website erstellen kannst.
Datenschutzrecht in Deutschland und in der Europäischen Union
Das Gesetz mit dem langen Namen
Datenschutz im Internet – wichtiger denn je
Erstellen einer Datenschutzerklärung
Datensicherheit mit SSL-Zertifikat erhöhen
Fehler einer Datenschutzerklärung – rechtliche Folgen
In Deutschland gehört das Recht auf informelle Selbstbestimmung zu den allgemeinen Persönlichkeitsrechten. Die informelle Selbstbestimmung wurde durch das Bundesverfassungsgericht mit dem Volkszählungsurteil 1983 als Ausprägung der Menschenwürde anerkannt und ist somit den Grundrechten zuzuordnen. Rechtlich lässt es sich aus Art. 2 Abs. 1 GG (Grundgesetz) herleiten. Da der Schutzbereich sehr weit gefasst ist, betrifft er alle Daten jedes Einzelnen und somit auch sämtliche Nutzungen persönlicher Daten durch Websites im Internet, dazu gehören auch Cookies und IP-Adressen. Eingeschränkt werden darf das Recht auf informelle Selbstbestimmung nur anhand von gesetzlicher Rechtsgrundlagen. Der Schutz umfasst in seinen negativen Ausformungen zudem das Recht auf Nichtwissen.
Den Umgang mit personenbezogenen Daten regelt auf Bundesebene das Bundesdatenschutzgesetz (BDSG) und auf Länderebenen das Datenschutzgesetz der Länder. Für bestimmte Bereiche gibt es Sonderregelungen und Ergänzungen wie zum Beispiel das Telekommunikationsgesetz. In §6 Bundesdatenschutzgesetz kannst du nachlesen, dass das Gesetz Betroffenen bezüglich der Verarbeitung ihrer Daten durch öffentliche beziehungsweise nicht-öffentliche Stellen einige Rechte zugesteht. Das betrifft insbesondere die Bereiche:
Gemäß Bundesdatenschutzgesetz unterliegen nicht nur Verarbeitung und Nutzung personenbezogener Daten dem Verbot mit Erlaubnisvorbehalt, sondern bereits die Erhebung. Verbot mit Erlaubnisvorbehalt bedeutet, dass für Erhebung, Verarbeitung und Nutzung von Daten entweder eine gesetzliche Grundlage vorliegen muss oder der Betroffene ausdrücklich zugestimmt hat. Gemäß §3a BDSG gehört zu den wichtigen Grundsätzen des Datenschutzes das Prinzip der Datensparsamkeit und der Datenvermeidung.
Nicht nur in Deutschland, sondern auch in der EU ist gemäß Artikel 8 Charta der Grundrechte der Europäischen Union (EU) der Schutz personenbezogener Daten ein Grundrecht. Dabei räumt Art. 8 Abs. 2 Satz 2 dem Betroffenen das Recht auf Auskunft und die Berichtigung seiner betroffenen Daten ein. Zur Verarbeitung bedarf es gemäß Art. 2 Abs. 2 Satz 1 entweder der Einwilligung des Betroffenen oder es muss eine gesetzlich legitimierte Grundlage vorliegen.
Die ab dem 25. Mai 2018 für alle EU-Mitglieder zwingend geltende Datenschutzgrundverordnung (DSGVO) beinhaltet neben den allgemein gültigen Richtlinien für den Schutz personenbezogener Daten die Gewährleistung des freien Datenverkehrs sowie Datenschutzrichtlinien für die elektronische Kommunikation.
Gemäß Art. 5 DSGVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen.“ Das heißt, dass die Informationen nicht eindeutig sein müssen, sondern auch Daten mit einbezogen werden, die auf indirektem Weg eine Identifizierung erlauben. Diese sind beispielsweise:
Wie im bis zum Mai 2018 geltenden deutschen Datenschutzgesetz ist für die Verarbeitung der Daten eine Erlaubnis des Betroffenen nötig. Art. 6 DSGVO sagt dazu eindeutig:
Zu geltendem Recht kommen in der DSGVO folgende Neuregelungen hinzu:
Am 24. Februar 2016 trat das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ in Kraft. Es handelt sich dabei um ein Gesetz, das die Abmahnung bei Verstößen gegen den Datenschutz ermöglicht. Durch die Einführung von §2 Abs. 2 Nr. 11 des Unterlassungsklagegesetzes (UKlaG) werden die Abmahnbefugnisse von Verbraucherschutzverbänden durch das sogenannte Verbandsklagerecht auf Verstöße gegen den Datenschutz erweitert.
Wörtlich heißt es im UKlaG §2 Abs. 1 Unterlassungsanspruch bei verbraucherschutzgesetzwidrigen Praktiken: „Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. Werden die Zuwiderhandlungen in einem Unternehmen von einem Mitarbeiter oder Beauftragten begangen, so ist der Unterlassungsanspruch oder der Beseitigungsanspruch auch gegen den Inhaber des Unternehmens begründet. Bei Zuwiderhandlungen gegen die in Absatz 2 Satz 1 Nummer 11 genannten Vorschriften richtet sich der Beseitigungsanspruch nach den entsprechenden datenschutzrechtlichen Vorschriften.“
Und der neu eingeführte Abs. 11 sagt über die „… Vorschriften, welche die Zulässigkeit regeln:
a) der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder
b) der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer, wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.“
Grundsätzlich gilt die Pflicht, dass jede Website eine Datenschutzerklärung beinhalten muss. Diese sollte für den Nutzer der Website einfach zu finden und nicht versteckt sein. So kannst du einfach und schnell das Vertrauen des Nutzers gewinnen.
Da Verbraucherschützer und Wettbewerbsverbände Datenverstöße künftig abmahnen und gerichtlich geltend machen können, stehen nicht nur Selbstständige, die eine eigene Homepage betreiben, sondern vor allem Unternehmen des Onlinehandels im Fokus. Dort ist Datenschutz besonders wichtig. Wie alle anderen Firmen müssen Onlinehändler, insbesondere in Verbindung mit der DSGVO, verstärkt auf die korrekte Erhebung, Nutzung und Verarbeitung der Kundendaten achten. Gemäß Telekommunikationsgesetz §13 Abs. 1 und §33 sind Besucher einer Website über die Art, den Zweck sowie den Umfang einer Erhebung und Verarbeitung beziehungsweise Nutzung der personenbezogenen Daten zu unterrichten. Zudem besteht die Vorschrift, dass du als Seitenbetreiber verpflichtet bist, deine Besucher über etwaige Widerspruchsrechte zu informieren. Diese Informationen erhalten Besucher deiner Webseite sinnvollerweise in der Datenschutzerklärung.
Nein, du solltest deine Datenschutzerklärung nicht im Impressum deiner Website verstecken. Aufgrund der Gesetzesvorgabe reicht ein Hinweis über den Datenschutz im Impressum nicht aus. Dies liegt vorrangig an der Annahme des Gerichts, dass der Nutzer die Informationen zum Datenschutz nicht auf der als Impressum bezeichneten Seite vermutet. Da das Anlegen eines Impressums jedoch ebenso Pflicht ist wie die Datenschutzerklärung, solltest du beide Punkte auf separaten Seiten anlegen.
Wenn du eine Website oder einen Onlineshop betreibst ist die sicherste Variante, alle Seiten mit einer eigenen Seite für den Datenschutz, zum Beispiel mit dem Namen Datenschutz, Datenschutzinformationen oder Datenschutzerklärung, zu verlinken. Als zulässig gilt jedoch auch, die datenschutzrechtlichen Informationen anderen Kundeninformationen beizuordnen, zum Beispiel der AGB (allgemeine Geschäftsbedingungen). Allerdings muss die Verlinkung zur Datenschutzerklärung transparent erfolgen. Das heißt, alle Besucher deiner Seite sehen auf den ersten Blick, wo sie die Datenschutzinformationen finden.
Zu den wichtigsten Punkten in einer Datenschutzerklärung gehören:
Warum das Internet den Datenschützern „ein Dorn im Auge“ ist, lässt sich relativ einfach erklären. Während des Besuchs deiner Website sammeln spezielle Programme eine Vielzahl von Informationen über den Nutzer. Eine Reihe der Daten betreffen den Datenschutz. Um den Besucher auf diese durchaus gängigen Verfahren aufmerksam zu machen, ist die Datenschutzerklärung ein wichtiges Instrument.
Wenn du selbstständig bist und auf deiner Website Produkte oder eine Dienstleistung anbietest oder gar einen Online-Shop betreibst, solltest du nicht nur über den Datenschutz gut informiert sein, sondern dich ebenso intensiv mit der Buchhaltung beschäftigen. Nur so kannst du dir langfristigen Erfolg sichern.
Um eine Datenschutzerklärung ins Netz zu stellen, musst du als Erstes die Datenflüsse ermitteln. Die Kernfrage lautet, wo ein Browser beim Besuch einer Website Daten für den Nutzer bewusst oder unbewusst übermittelt. Im Anschluss musst du die Daten näher betrachten, die Rückschlüsse über die persönlichen, wirtschaftlichen, sachlichen, sozialen und/oder tatsächlichen Verhältnisse erlauben. Zu diesen personenbezogenen Daten zählen unter anderem Name, Adresse, E-Mail-Adresse, Telefonnummer, Geschlecht, Fotos, Standortdaten, Bankverbindung und Ähnliches sowie die gerne vergessene IP-Adresse. Zwiespältig ist dabei die Betrachtung der dynamischen IP-Adresse, die sich nicht dauerhaft einer Person zuordnen lässt. Ein Blick auf die Datenerhebung, Datenverarbeitung und Datennutzung schafft Klarheit, welche Verfahren zum Einsatz kommen.
Je nachdem welche Datenverwendungen auf deiner Website oder deinem Online-Shop erfolgen, musst du die entsprechenden Angaben wahrheitsgemäß und vollständig in der Datenschutzerklärung aufnehmen. Dabei werden personenbezogene Daten wie eben beschrieben grundsätzlich erhoben. Ebenso gehört zur allgemeinen Datenerhebung die IP-Adresse, damit die Homepage überhaupt aufgerufen werden kann. Außerdem werden Daten, die der Browser automatisch übermittelt wie beispielsweise Betriebssystem, Browserversion- oder typ, besuchte Websites, erhoben. Desweiteren werden Server Logfiles automatisch erhoben und gespeichert. Diese sogenannten Protokolldateien speichern Prozesse, die auf dem Server ablaugen, wie zum Beispiel Seitenaufrufe oder Fehlermeldungen bei einer URL. Hinzu kommen Daten aus verschiedenen Kategorien:
Bei Cookies handelt es sich um kleine Textdateien, die im Browser eines Geräts gespeichert werden und somit je nach Form im Nachgang eine Wiedererkennung des Nutzers gewährleisten. Solange sich ein Cookie im Browser befindet, bleiben Informationen wie zum Beispiel noch nicht abgeschlossene Bestellungen, vorhanden. Datenschutztechnisch sind allerdings nur die Cookies von Interesse, die Angaben wie IP-Adressen oder Nutzernamen, über die sich die Identität des Nutzers feststellen lässt, beinhalten.
Es gibt eine Reihe von Cookies, die das Surfverhalten der Nutzer analysieren. Eines der präsentesten ist ein Cookie, das Facebook bei der Nutzung eines angebotenen Like-Buttons auf eine Website setzt. Die Analyse wertet aus, welche URL ein Nutzer wann aufgerufen hat. Besitzt der Nutzer zugleich einen Facebook-Account, lässt sich so problemlos die Person ermitteln. Der Facebook-Nutzer erhält zu seinem Surfverhalten passende Werbeangebote angezeigt. Das Landgericht Düsseldorf entschied, dass die Verwendung eines Facebook-Like-Buttons einer ausdrücklichen Zustimmung des Nutzers bedarf. Der Hinweis alleine in der Datenschutzerklärung genügt nicht.
Ein nicht zu unterschätzendes Programm, das sich über Cookies in den Browser eines Nutzers „einschleicht“, ist Google Analytics. Dieser Dienst untersucht unter anderem die Herkunft von Besuchern einer Website, die Zeit, die sie auf einer Seite verbringen sowie den Einsatz von Suchmaschinen. Durch die Auswertung sind bessere Kontrollen der Erfolge einer Werbekampagne möglich. Schätzungsweise 50 bis 80 Prozent aller Websites setzen Google Analytics ein. Datenschutzrechtlich ist das Webanalyseprogramm sehr problematisch und deshalb auch umstritten. Eigentlich wäre ein Hinweis auf die Nutzung von Google Analytics in einer Datenschutzerklärung nicht ausreichend. Es müsste für jede Verwendung ein Vertrag unterschrieben werden. Das lässt sich in der Praxis jedoch nicht durchsetzen.
Bei dem Werbedienst Google AdSense besteht eine ähnliche Problematik wie bei Google Analytics. Google schaltet mit AdSense auf den damit ausgestatteten Websites Werbeanzeigen. Dabei beteiligt Google den Seitenbetreiber mit den durch die Aufrufe über AdSense generierten Einnahmen. Da AdSense mit Cookies arbeitet und die IP-Adresse an Google übermittelt, ist der Nutzer in der Datenschutzerklärung über den Einsatz von Google AdSense zu informieren. Um dem Datenschutz Genüge zu tun, verpflichtet Google seit September 2015 die Nutzer von AdSense zu Cookie-Hinweisen auf ihrer Website.
Wer zum Tweeten von Inhalten den Tweet-Button von Twitter nutzt, also das Plug-in verwendet, setzt Cookies, die das Surfverhalten tracken und die Webseitenbesuche auswerten. Bereits durch den Aufruf einer entsprechenden Internetseite wird der zugrunde liegende Code durch den Browser ausgeführt.
Neben den bereits genannten Diensten gibt es eine Reihe weiterer kostenloser professioneller Anbieter wie zum Beispiel Criteo, Xing, Webtrekk oder Pinterest, die bei einer Datenschutzerklärung aufzuführen sind. Es ist dabei nicht nur auf die Art, den Zweck sowie den Umfang und die Verwendung der Datenerhebung hinzuweisen, sondern auch, dass die Datenverarbeitung in den USA erfolgt und es dort kein so hohes Datenschutzniveau wie innerhalb der Europäischen Union gibt. Der Hinweis muss in einer verständlichen Sprache formuliert sein und bei Änderungen aktualisiert werden.
§15 Telemediengesetz (TMG) zwingt die Betreiber einer Website, auf das Widerspruchsrecht gegen die Datenerfassung hinzuweisen, wenn diese Daten zum Zweck der Marktforschung, einer bedarfsgerechten Gestaltung der Telemedien oder für Werbezwecke erhoben und dafür pseudonymisierte Nutzerprofile erstellt werden. Zudem schreibt das Bundesdatenschutzgesetz (BDSG) vor, dass es für die Auftragsdatenverarbeitung zwischen Auftraggeber und Auftragnehmer eine schriftliche Vereinbarung geben muss. Schwierig wird es dabei für den Auftraggeber, eine solche Vereinbarung zu treffen, wenn der Auftragnehmer im Ausland sitzt.
Wenn du dir bei der Erstellung der Datenschutzerklärung für deine Website oder einen Online-Shop unsicher bist, kannst du dir Hilfe von zahlreichen Mustern im Internet holen. Nutze unser Datenschutzerklärung Muster für die Texterstellung. Überlege dir, welche Punkte für deine Website relevant sind und passe die Texte entsprechend an. Du bist jedoch selbst dafür verantwortlich die Texte auf ihre Richtigkeit und Vollständigkeit zu prüfen.
Neben einer Musterlösung hast du die Möglichkeit dir mithilfe eines Online-Generators eine DSGVO-konforme Datenschutzerklärung erstellen zu lassen. Anhand einer Anleitung kannst du die für dich relevanten Felder ausfüllen. Am Ende wird die Datenschutzerklärung automatisch für dich generiert. Allerdings solltest du alle Angaben überprüfen, bevor du die Inhalte auf deine Website stellst. Bei der Auswahl eines Generators ist jedoch Vorsicht geboten, da nicht jeder Anbieter diesen kostenfrei zur Verfügung stellt.
Im Zuge der Neuregelung der DSGVO gilt seit dem 25. Mai 2018, dass du als Websitebetreiber ein SSL-Zertifikat für Formulare auf deiner Website oder in deinem Online-Shop verwenden musst. Mit dem „Secure-Sockets-Layer“-Zertifikat verschlüsselst du die Kommunikation deiner Daten, die vom Computer zum Server übertragen werden. Auch hier kannst du das Vertrauen deiner Website-Nutzer gewinnen, indem du in der Datenschutzerklärung auf die SSL-Verschlüsselung (HTTPS-Protokoll) hinweist.
Ein Verstoß gegen den Datenschutz durch eine fehlerhafte oder fehlende Datenschutzerklärung kann teuer werden. Vorgesehen sind Bußgelder in einer Höhe von bis zu 50.000 Euro. Eine Abmahnung kann bereits dann erfolgen, wenn die Datenschutzerklärung nicht als separater Punkt auf der Website zu finden ist. Bei privaten Internetseiten wissen viele Betreiber nicht, dass die Website für den Zwang einer Datenschutzerklärung nicht unbedingt einen gewerblichen Charakter haben muss. Sobald private Websites, auf denen ein Blog betrieben wird, Online-Werbedienste oder Kommentarfunktionen einbinden, unterliegen sie der Pflicht zur Datenschutzerklärung. Im Umkehrschluss bedeutet dies, dass so gut wie keine Website ohne entsprechende Erklärung auskommt. Zudem droht den Betreibern unter Umständen eine Abmahnung durch die Konkurrenz wegen Wettbewerbsverstoßes. Dieser Ansicht folgen die Gerichte und sehen in §13 I Telemediengesetz eine wettbewerbsrechtlich relevante Marktverhaltensvorschrift vor.
14 Tage unverbindlich testen
Testphase endet automatisch
Keine Kreditkarte erforderlich