Recht und Steuern

Datenschutz im Internet - Die Datenschutzerklärung

Bietet jemand einen elektronischen Informations- oder Kommunikationsdienst an, gelten besondere Informationspflichten in Bezug auf eine damit verbundene Verarbeitung personenbezogener Daten. Zu solchen Diensten zählen etwa eine Webseite mit unmittelbar abrufbarem oder bestellbarem Angeboten wie Online-Shops, Presse- oder Wetterseiten, aber auch Webseiten mit Kontaktformular oder Kommentarfunktion, Trackings-Tools, Apps, Werbemails oder Social Media. Diesen Informationspflichten muss im Rahmen einer Datenschutzerklärung nachgekommen werden.

Grundsätzliches zu Informationspflichten bei Angeboten im Internet

Derzeit ergeben sich die Informationspflichten aus dem Telemediengesetz (TMG) und der Datenschutzgrundverordnung (DS-GVO). Eine weitere europäische Verordnung, die ePrivacy-Verordnung, befindet sich derzeit im Entstehungsprozess (Zeitpunkt des Inkrafttretens derzeit nicht absehbar, frühestens 2021).
Für Diensteanbieter relevant sind neben den Pflichtangaben nach dem TMG vor allem die Informationspflichten aus Art. 12 bis Art. 14 DS-GVO. Es geht darum, Informationen zu Art, Umfang und Zweck der Verarbeitung personenbezogener Daten sowie Kontaktdaten und Anschrift des jeweiligen Diensteanbieters bereitzustellen. Eine wesentliche Neuerung durch die DS-GVO ist, dass der Diensteanbieter auch über die Rechtsgrundlage informieren muss, auf die er die Datenverarbeitung stützt – also entweder einen näher benannten gesetzlichen Erlaubnistatbestand, oder eine Einwilligung durch den Verbraucher, auf deren Widerruflichkeit der Diensteanbieter ebenfalls hinzuweisen hat.

Art und Weise der Information

Auf die Datenschutzerklärung sollte mittels eines sprechenden Links auf jeder Seite Bezug genommen werden. Alternativ kann auch eine eigenständige Kundeninformationsseite eingerichtet werden. Aber auch diesbezüglich bedarf es eines ausdrücklichen Links, der stets für den Betroffenen verfügbar und zugänglich ist. Unzureichend ist ein Link auf AGB, in denen sich datenschutzrechtliche Regelungen finden, da die Datenschutzerklärung keine AGB ist, sondern eine einseitige Erklärung der datenverarbeitenden Stelle. Daher ist auch keine Einwilligung oder Zustimmung hierzu erforderlich. Die Datenschutzerklärung sollte auch nicht einfach im Impressum „angehängt“ werden.

Die Datenschutzerklärung im Einzelnen

Die inhaltliche Ausgestaltung einer solchen Datenschutzerklärung richtet sich danach, welche Funktionen der jeweilige Dienst vorsieht und welche Daten hierbei auf welche Weise verarbeitet werden. Daraus ergibt sich, dass es eine allgemeine Musterdatenschutzerklärung nicht geben kann, da dies stets nur für den jeweiligen Einzelfall ausgedrückt werden kann. Jedenfalls muss jede Datenschutzerklärung in gut zugänglicher und verständlicher Form über diverse Informationen verfügen. Eine Muster mit entsprechenden Pflichtangaben nach der DS-GVO findet sich hier.
Die folgende Checkliste führt die Pflichtangaben auf:
  1. Name und Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Diensteanbieters und ggf. dessen Vertreters,
  2. Kontaktdaten des Datenschutzbeauftragten, falls Bestellungspflicht besteht (Weitere Informationen hierzu finden Sie in unserem Merkblatt „Der betriebliche Datenschutzbeauftragte“),
  3. alle Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen,
  4. die jeweilige Rechtsgrundlage für die Verarbeitung (Einwilligung oder gesetzlicher Erlaubnistatbestand), (unterschiedliche Zwecke benötigen ggf. einen eigenständigen Erlaubnistatbestand),
  5. ggf. die berechtigten Interessen zur Datenverarbeitung, sofern diese auf eine Interessenabwägung nach Art. 6 Abs. 1 lit. f) DS-GVO gestützt wird,
  6. bei Weitergabe von personenbezogenen Daten die Empfänger oder Kategorien von Empfängern,
  7. ggf. die Absicht des Diensteanbieters, personenbezogene Daten an ein Drittland (z. B. USA) zu übermitteln, sowie damit verbundene weitere spezifische Pflichtinformationen,
  8. die Dauer, für die die personenbezogenen Daten gespeichert werden bzw. Kriterien, anhand derer diese ermittelt werden soll,
  9. das Bestehen der speziellen Rechte der Betroffenen aus der DS-GVO, also Auskunftsrecht (Art. 15 DSGVO), Lösch- und Berichtigungsanspruch (Art. 16 u. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Widerspruchsrechts (Art. 21 DSGVO), Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
  10. bei Verarbeitung aufgrund Einwilligung auf das Recht, die Einwilligung jederzeit zu widerrufen,
  11. Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde und bei welcher,
  12. ob Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte,
  13. sofern Zweckänderung der Datenverarbeitung erfolgen soll, Informationen hierüber,
  14. Des Weiteren muss die Datenschutzerklärung einen Hinweis auf eine anonyme/pseudonyme Nutzungsmöglichkeit der Website hinweisen, soweit eine solche besteht.
  15. Sollen Daten zu Werbezwecken genutzt werden, muss die Datenschutzerklärung einen Hinweis zu den bestehenden Widerspruchs- oder Widerrufsmöglichkeiten gegen eine solche Nutzung der Daten enthalten (vgl. nachstehende Ziffer VI.).
  16. Da der Inhalt der innerhalb des Dienstes erteilbaren Einwilligungen jederzeit abrufbar sein muss, sollten diese in der Datenschutzerklärung wiederholt werden.
  17. Sollte die Website eine Bonitätsprüfung vornehmen, ist dringend zu empfehlen, diese ebenfalls nur im Falle einer ausdrücklich erklärten Einwilligung vorzunehmen. Zwar genügt bei einem berechtigten Interesse (Bsp.: Online-Händler tritt in Vorleistung) – aber auch nur dann – der Hinweis auf eine Abbruchmöglichkeit, allerdings besteht auch in diesem Fall eine gewisse Rechtsunsicherheit, sodass die Annahme eines solchen Interesses mit Vorsicht zu erfolgen hat. Zudem ist es von Vorteil, den Datenempfänger genau zu bezeichnen. Zu berücksichtigen gilt es auch, dass die Bonitätsprüfung in der Regel auch Score-Werte enthält. Dann ist mitzuteilen, auf welcher wissenschaftlichen Grundlage das Prüfungsverfahren erfolgt.
  18. Sollten Daten außerhalb der Vertragserfüllung an Dritte weitergegeben werden, so sind dem Betroffenen der Empfänger und der Zweck der Weitergabe in der Datenschutzerklärung zu nennen.
  19. Gegebenenfalls hat ein Hinweis auf eine verschlüsselte Datenübertragung zu erfolgen.
  20. Werden Tracking-Tools, Social-Media Plug-Ins, Cookies und ähnliches eingesetzt, muss hierauf ebenfalls hingewiesen und der konkret verwendete Dienst benannt werden. Wenn diese Dienste zu einer Datenübermittlung in ein Drittland (z.B. USA) führen, gelten die oben genannten zusätzlichen besonderen Anforderungen und Informationspflichten.

Rechtliche Folgen und Hintergründe

Hintergrund dieser zahlreichen Informationspflichten ist es, dass der Gesetzgeber an die Verarbeitung sogenannter personenbezogener Daten hohe Anforderungen stellt, da diese einen schwerwiegenden Eingriff in die Privatsphäre einer jeden Person darstellen kann. Daher soll es nicht jedem gestattet sein, jedermanns personenbezogene Daten nach Belieben zu verwenden.
1. Der Begriff der personenbezogenen Daten
Aus diesem Grund knüpfen sowohl § 13 TMG, der die Pflichten des Diensteanbieters regelt, als auch die DS-GVO an die Verarbeitung personenbezogener Daten an.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Umfasst sind danach etwa der Name, Adressangaben einschließlich E-Mail-Adresse und Telefonnummer, Geburtsdatum und Kontonummer, aber auch die ungekürzte IP-Adresse. Auch bei Verwendung von Social-Media-Plug-Ins, wie den Facebook-Like“-Button oder Cookies, werden daher unter Umständen personenbezogene Daten verarbeitet. Somit ist auch auf eine nicht sichtbare, automatisierte Datenerhebung hinzuweisen, wie sie etwa durch Web-Analyse-Tools durchgeführt wird. In diesem Fall gelten zudem weitergehende Voraussetzungen, da innerhalb der Webanalysedienste eine Profilbildung stattfindet. Insoweit ist ein ausdrückliches Einverständnis erforderlich, auf dessen ständige Widerrufsmöglichkeit hinzuweisen ist.
2. Erlaubnis der Datenverarbeitung – Gesetz und Einwilligung
Nach dem im Datenschutz geltenden Zweckbindungsgrundsatz, ist jede Datenerhebung nur zu einem vorher bestimmten Zweck erlaubt und muss durch ein Gesetz oder eine Einwilligung legitimiert sein. Im Falle einer gesetzlichen Erlaubnis bedarf es keiner ausdrücklichen Einwilligung des Betroffenen. Zum Beispiel ist die Weitergabe von Daten zur Erfüllung eines Vertrages – wie etwa die Übermittlung der Adressdaten des Kunden an das ausliefernde Transportunternehmen im Rahmen eines Kaufvertrages - nach Art. 6 Abs. 1 lit. b) DS-GVO erlaubt.
Ansonsten ist grundsätzlich jegliche Art der Datenverarbeitung möglich, soweit der Betroffene ausdrücklich und freiwillig eingewilligt hat. An die Freiwilligkeit der Einwilligung stellt die DS-GVO besondere Ansprüche. Nach dem Kopplungsverbot kann z.B. keine wirksame Einwilligung eingeholt werden, wenn der Betroffene in die Verarbeitung von Daten einwilligen muss, die für die Erfüllung eines zugrundeliegenden Vertrages überhaupt nicht erforderlich wären.
Daneben muss die Einwilligung für den bestimmten Fall erfolgen, also muss der Zweck der Verarbeitung benannt werden. Hieran fehlt es, wenn die Einwilligungserklärung derart kompliziert ausgestaltet ist, dass der Verbraucher nicht weiß, was genau von der Einwilligung umfasst ist, und er daher die Auswahl gleich dem Anbieter überlässt (BGH: Cookie-Urteil vom 28.05.2020, Az. I ZR 7/16).
Eine ausdrückliche Einwilligung liegt nicht vor, wenn diese in AGB oder mittels einer vorangekreuzten Erklärung (Opt-out) erfolgt.
Die Einwilligung muss für den Betroffenen jederzeit abrufbar und widerrufbar sein.
In jedem Fall dürfen immer nur so wenige Daten wie möglich erhoben werden (sog. Grundsatz der Datenminimierung). Zudem muss bei der Datenerhebung beim Betroffenen gekennzeichnet werden, ob es sich um Pflichtangaben oder freiwillige Angaben handelt, sodass der Betroffene selbst entscheiden kann, ob er diese tätigt oder nicht.
Wichtige Grundprinzipien der DS-GVO im Zusammenhang mit Datenschutz im Internet sind zudem das Konzept des Datenschutzes durch Technik (sog. „Privacy by Design“) und datenschutzfreundlicher Voreinstelllungen (sog. „Privacy by Default“) (Art. 25 DS-GVO).
„Privacy by Design“ meint, dass der Diensteanbieter sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze, wie etwa Datenminimierung, wirksam umzusetzen. Durch „Privacy by Default“ wird sichergestellt, dass technische Voreinstellungen immer so zu erfolgen haben, dass ohne Eingreifen der betroffenen Person nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet und Dritten zugänglich gemacht werden können.

Sonderfall Cookies

Cookies sind Textdateien, die lokal auf der Festplatte des Nutzers gespeichert werden, der eine Internetseite aufruft. Neben funktionalen Cookies, die ein reibungsloses Funktionieren der Webseite ermöglichen, werden auch Cookies für Analyse- und Werbezwecke eingesetzt.
Der Bundesgerichtshof (BGH) hat mit Urteil vom 28.05.2020 (Az: I ZR 7/16) entschieden, dass bei Cookies, die für Werbung und andere Zwecke genutzt werden, eine Einwilligung erforderlich ist, unabhängig davon, ob mit Tracking-Cookies personenbezogene Daten verarbeitet werden. Eine voreingestellte Zustimmung (z.B. gesetztes Häkchen im Einwilligungsfeld des Cookie-Banners) ist keine Einwilligung.
Wenn mehrere Tracking-Cookies verwendet werden (z.B. Analyse, Statistik, Marketing), müssen sie in einer Liste aufgeführt werden, so dass dem Nutzer die Wahlmöglichkeit zwischen Zustimmung, Ablehnung und individuellen Einstellungen eröffnet wird.
Demgegenüber bedarf der Einsatz zwingend erforderlicher bzw. technisch notwendiger Cookies keiner Einwilligung der Nutzer der Internetseite (z.B. Warenkorb, Login, Sprache). Diese funktionalen Cookies müssen nicht als Einwilligungsoption im Cookie-Banner angezeigt werden.
Wichtig: Impressum und Datenschutzerklärung der Webseite müssen leicht erkennbar und unmittelbar erreichbar sein. Sie dürfen nicht vom Cookie-Banner verdeckt sein.
Empfehlenswert sind ein Hinweis und eine Verlinkung im Cookie-Banner auf die Datenschutzerklärung.
In der Datenschutzerklärung muss bei der Verwendung von Cookies über Funktionsweise und Verwendungszweck informiert werden, ferner über die Möglichkeit der Ablehnung sowie die Rechtsgrundlage. Gleiches gilt für die Möglichkeit des Widerrufs, der einfach möglich sein muss, z.B. über eine Einbettung in das Cookie-Banner.

Sonderfall Email-Werbung

In der Datenschutzerklärung muss auch über die Verwendung der E-Mail-Adresse im Zusammenhang mit E-Mail-Werbung informiert werden. An die Zulässigkeit der Versendung solcher E-Mails werden jedoch noch weitere rechtliche Voraussetzungen geknüpft:
Zur Vornahme von E-Mail-Werbung ist in der Regel eine protokollierte Einwilligung erforderlich, welche zu erkennen gibt, dass es dem Nutzer bei Erklärung dieser Einwilligung bekannt gewesen ist, welche konkreten Waren oder Dienstleistungen von welchem Unternehmer beworben werden sollen. Dies kann durch das „Double Opt-In-Verfahren“ gewährleistet werden. Hierbei wird dem Kunden nach dessen Eintragung für den Newsletter zunächst eine E-Mail geschickt, die einen Bestätigungslink beinhaltet, den der Kunde betätigen muss. So wird ausgeschlossen, dass ein unbekannter Dritter die Einwilligung erteilt hat.
Auch hier ist der Hinweis auf die jederzeitige Widerrufsmöglichkeit verpflichtend. Außerdem muss der Newsletter selbst auf diese hinweisen und eine einfache Möglichkeit hierzu bieten, entweder per Link auf eine Abmeldeseite, oder eine E-Mail-Adresse speziell zur Abmeldung. Unzulässig ist es, die Einwilligung allein mittels E-Mail-Anfrage einzuholen, da dies bereits eine unzulässige Datennutzung ohne vorherige Einwilligung darstellt.
Weitere Informationen zu Werbung per E-Mail finden Sie auf unserer Webseite Werbung per Telefon, Fax und E-Mail .

Rechtliche Folgen

Mit der DS-GVO sind die drohenden Sanktionen im Fall von Datenschutzverstößen noch einmal empfindlich angezogen worden. So stehen nun den betroffenen Personen auch Schadensersatzansprüche gegen den Verantwortlichen zu. Gleichzeitig kann die Aufsichtsbehörde Geldbußen verhängen, deren Höhe je nach Verstoß und Einzelfall bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen können. Je nach Verstoß drohen zudem Freiheitsstrafen (§ 42 BDSG n.F.), die Entziehung der Gewerbeerlaubnis, wettbewerbsrechtliche Abmahnungen oder auch Unterlassungsklagen der betroffenen Kunden. Mit der DS-GVO kommen nun auch ein Verbandsklagerecht und Schadensersatzansprüche der Betroffenen, sodass die Einhaltung der Regeln auch aus wirtschaftlicher Sicht an Bedeutung noch einmal stark zunimmt.
Zuständige Behörde für die Ahndung von Verstößen gegen das Telemediengesetz mittels Bußgeldern ist die Bezirksregierung Düsseldorf.
Das Thema Datenschutz im Internet und Datenschutzerklärung ist sehr komplex und die Risiken durch die Sanktionsmöglichkeiten der Aufsichtsbehörden und Dritter sind groß. Eine einzelfallbezogene Beratung ist hier oft unerlässlich.

Hinweis: Dieser Artikel soll - als Service Ihrer IHK Köln - nur erste Hinweise geben und erhebt kei­nen Anspruch auf Vollständigkeit. Obwohl es mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.
Stand: Juli 2020
Mitgliedsunternehmen der IHK Köln und solche Personen, die in der Region Köln die Gründung eines Unternehmens planen, erhalten weitere Informationen bei:
Ihre Ansprechpartnerinnen:

Zum Thema Datenschutz:                                             Zum Thema Internetrecht:
Birgit Wirtz und Annette Schwirten                              Susanne Wollenweber