Datenschutzerklärung
Warum muss eine Datenschutzerklärung vorhanden sein?
Das Telemediengesetz (TMG) schreibt in § 13 Abs. 1 TMG vor, dass ein Betreiber einer Webseite den Nutzer zu Beginn der Seitennutzung über Art, Umfang und Zweck der Erhebung und Verwendung seiner personenbezogenen Daten informieren muss.
Ob eine Webseite nur Informationen zum Unternehmen und den Produkten bietet oder es sich um einen Onlineshop handelt, ob die Webseite nur eine einzige Seite oder einen interaktiven Auftritt mit vielen Unterseiten bereitstellt, diese Pflicht gilt für alle Betreiber einer Webseite gleichermaßen, nur der Umfang wird sich in den meisten Fällen unterscheiden.
Ob eine Webseite nur Informationen zum Unternehmen und den Produkten bietet oder es sich um einen Onlineshop handelt, ob die Webseite nur eine einzige Seite oder einen interaktiven Auftritt mit vielen Unterseiten bereitstellt, diese Pflicht gilt für alle Betreiber einer Webseite gleichermaßen, nur der Umfang wird sich in den meisten Fällen unterscheiden.
Wo muss sie platziert werden?
Die Datenschutzerklärung muss von jeder Seite des Auftritts aus leicht und schnell auffindbar sein.
Am besten wird sie als eigener Navigationsbutton oder durch einen Link in Fuß- oder Kopfzeilen jeder Seite ausgestaltet, der entsprechend deutlich (z.B. „Datenschutz“ oder „Datenschutzerklärung") beschriftet sein sollte.
Man kann die Erklärung aber auch in die Impressumsseite integrieren, dann sollte diese etwas abgesetzt, unterhalb der Impressums-Pflichtangaben stehen. Dem Navigationsbutton bzw. Link gibt man dann eine Doppelbezeichnung wie z.B. „Impressum/Datenschutz“.
Am besten wird sie als eigener Navigationsbutton oder durch einen Link in Fuß- oder Kopfzeilen jeder Seite ausgestaltet, der entsprechend deutlich (z.B. „Datenschutz“ oder „Datenschutzerklärung") beschriftet sein sollte.
Man kann die Erklärung aber auch in die Impressumsseite integrieren, dann sollte diese etwas abgesetzt, unterhalb der Impressums-Pflichtangaben stehen. Dem Navigationsbutton bzw. Link gibt man dann eine Doppelbezeichnung wie z.B. „Impressum/Datenschutz“.
Was muss sie beinhalten?
Die Datenschutzerklärung muss transparent darstellen, welche Daten von wem für welchen Zweck für welchen Zeitraum erhoben und genutzt werden.
Dabei darf man nicht vergessen, dass auch Informationen zur Verwendung von Cookies, SocialPlugins (z.B.: der Facebook-Like-Button), Trackingtools (z.B. Google Analytics oder Adobe Analytics), Kartenmaterial von Google u.v.m. in die Datenschutzerklärung aufgenommen werden müssen.
Dabei darf man nicht vergessen, dass auch Informationen zur Verwendung von Cookies, SocialPlugins (z.B.: der Facebook-Like-Button), Trackingtools (z.B. Google Analytics oder Adobe Analytics), Kartenmaterial von Google u.v.m. in die Datenschutzerklärung aufgenommen werden müssen.
Vor deren Einsatz sollte geprüft werden, ob bzw. in welcher Form ein datenschutzkonformer Einsatz möglich ist. Die Angabe eines Kontakts, an den sich der Nutzer zur Klärung weiterer Fragen wenden kann, gehört ebenfalls zum Standardinhalt der Datenschutzerklärung.
Welche Konsequenzen hat es, wenn die Datenschutzerklärung fehlt, unvollständig oder falsch ist?
Behördliche Sanktionen
Informiert man den Nutzer der Website nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig, so liegt gem. § 16 Abs. 1 Nr. 2 TMG eine Ordnungswidrigkeit vor, die von den Datenschutzaufsichtsbehörden mit einem Bußgeld bis zu 50.000,00 Euro geahndet werden kann.
Abmahnung
Zwischenzeitlich sehen immer mehr Gerichte eine fehlende oder unrichtige Datenschutzerklärung als durch die Konkurrenz abmahnfähig an.
Im Falle einer Abmahnung kommt meist neben den Abmahnkosten (einschließlich der Kosten der rechtlichen Verteidigung) auch die Abgabe einer Unterlassungserklärung auf das abgemahnte Unternehmen zu. In der Regel ist die Unterlassungserklärung noch mit einer hohen Vertragsstrafe für den Fall der Zuwiderhandlung verbunden.
Im Falle einer Abmahnung kommt meist neben den Abmahnkosten (einschließlich der Kosten der rechtlichen Verteidigung) auch die Abgabe einer Unterlassungserklärung auf das abgemahnte Unternehmen zu. In der Regel ist die Unterlassungserklärung noch mit einer hohen Vertragsstrafe für den Fall der Zuwiderhandlung verbunden.
Checkliste Datenschutzerklärung nach DS-GVO
Da die Europäische Datenschutz-Grundverordnung auch erhöhte Informationspflichten mit sich bringt, haben wir für Sie eine Checkliste erstellt, mit deren Hilfe Sie nachprüfen können, ob Sie in Ihrer Datenschutzerklärung alle geforderten Angaben veröffentlicht haben.
| Wichtige zu veröffentlichende Angaben | Ja | Nein |
|---|---|---|
| Name und Kontaktdaten des Unternehmens als Verantwortlicher (hierzu gehören Angaben wie Anschrift, E-Mail Adresse, ggf. Telefonnummer und Fax) |
o | o |
| Zwecke, für die die personenbezogene Daten verarbeitet werden (zu beachten: sofern die Verarbeitung auch für andere Zwecke erfolgen soll, so ist die betreffende Person vor der Weiterverarbeitung hierauf hinzuweisen) |
o | o |
| Rechtsgrundlage der Verarbeitung personenbezogener Daten (Einwilligung oder gesetzliche Vorschrift wie z. B. Abschluss eines Vertrages) |
o | o |
| Speicherdauer oder Kriterien für die Festlegung der Speicherdauer (wie z.B. bis zur Newsletter Abmeldung) |
o | o |
| Bestehen der Betroffenenrechte (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragbarkeit und Recht auf Widerspruch bei erteilten Einwilligungen) |
o | o |
| Beschwerderecht bei der Aufsichtsbehörde (wenn der Betroffener der Ansicht ist, dass die Verarbeitung seiner personenbezogenen Daten rechtswidrig erfolgt) |
o | o |
Praxis-Tipp: Sie sind verpflichtet, die oben genannten Angaben zu veröffentlichen. Sollten Sie an einer Stelle also ein „Nein“-Kästchen angekreuzt haben, müssen Sie diese Angaben umgehend veröffentlichen.
| Individuell zu veröffentlichende Angaben | Ja | Nein |
|---|---|---|
| Kontaktdaten des Datenschutzbeauftragten (sofern Sie einen Datenschutzbeauftragten bestellt haben) |
o | o |
| Berechtigte Interessen, die mit der Verarbeitung verfolgt werden (anzugeben, wenn die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist) |
o | o |
| Empfänger oder Kategorien (d. h. Gruppen wie Hoster, Lettershops) von Empfängern der personenbezogenen Daten (sofern personenbezogene Daten an „Dritte“ - z. B. Dienstleister, Geschäftspartner - übermittelt werden) |
o | o |
| Absicht, die personenbezogenen Daten in ein Nicht-EU-Ausland (sog. Drittland) zu übermitteln und die Rechtsgrundlage für diese Übermittlung wie z. B. ein Datenschutzabkommen mit diesem Drittland | o | o |
| Verpflichtung zur Bereitstellung personenbezogener Daten seitens des Betroffenen und die möglichen Folgen der Nichtbereitstellung (erforderlich sind personenbezogene Daten z.B. für einen Vertragsabschluss. Diese Verpflichtung findet sich auch im Gesetz wieder.) |
o | o |
| Automatisierte Entscheidungsfindung und Profiling (sofern eingesetzt, sind die besondere Tragweite und die angestrebten Auswirkungen sowie die verwendete Logik oder Algorithmus anzugeben) |
o | o |
Praxis-Tipp: Je nach Einzelfall können Sie verpflichtet sein, weitere Angaben zu veröffentlichen. Prüfen Sie daher nach, ob dieses auf Sie zutrifft.
Autor: IHK München und Oberbayern