Datenschutzerklärung nach DSGVO
Jeder Unternehmer, der personenbezogene Daten verarbeitet, ist nach Art. 13 und 14 Datenschutzgrundverordnung (DSGVO) verpflichtet zu informieren über: die Art der erhobenen Daten, Zweck und Umfang der Verarbeitung, Übermittlung an Dritte, Angaben zur Aufbewahrungsdauer und die Rechte Betroffener, deren Daten verarbeitet werden. Die Informationen sind zum Zeitpunkt der Erhebung der Daten zu erteilen. Dies ist im stationären Geschäft machbar, wenn in Anwesenheit des Kunden die Vertragsdaten aufgenommen werden. Auch ist dies möglich über ein Infoblatt, wenn ein solches im Ladengeschäft ausliegt. Beim Onlinehandel (eigener Webshop oder auf einer Plattform, z.B. ebay) oder im Rahmen einer App scheidet dies naturgemäß aus. Das Unternehmen hat daher – wie bisher auch – eine generelle Datenschutzerklärung auf der Webseite, oder Downloadseite bereitzustellen, die für den Nutzer leicht auffindbar und jederzeit eingesehen werden kann; dies per Link, welcher von sämtlichen Seiten von der Homepage aus anklickbar ist. Der Link sollte klar bezeichnet werden, etwa mit „Datenschutzerklärung“ oder „Datenschutzinformationen“. Nicht ausreichend ist das „Verstecken“ der Erklärung in den AGB.
Inhaltliche Anforderungen an die Datenschutzerklärung
1. Name und Kontaktdaten des Verantwortlichen sowie Kontaktdaten des Datenschutzbeauftragten
Der Verantwortliche ist die natürliche oder juristische Person, welche die Daten erhebt und verarbeitet. Die Kontaktdaten des Datenschutzbeauftragten sind nur zu nennen, wenn ein solcher benannt werden muss. Wann er benannt werden muss und was seine Aufgaben sind, erfahren Sie im IHK-Artikel zum Datenschutzbeauftragten.
2. Rechtsgrundlage und Zweck der Datenverarbeitung(Art. 6 DSGVO)
Anzugeben sind die Rechtsgrundlage für die Verarbeitung und die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen. Die häufigsten Rechtsgrundlagen in der Wirtschaft für eine Datenerhebung sind der Vertrag, eine einzuholende Einwilligung oder das sich ergebende berechtigte Interesse des Datenerhebers. Unter die Erklärung des Zwecks fällt etwa die Verarbeitung von Namen und Kontaktdaten zur Durchführung der Bestellung, Weiterleitung der Kundenadresse an den Paketversender im Onlineshop oder der Einsatz von Trackingtools wie Google Analytics. Der Betroffene ist darüber zu informieren, ob er gesetzlich oder vertraglich zur Bereitstellung der personenbezogenen Daten verpflichtet ist und welche möglichen Folgen die Nichtbereitstellung hat. Ohne Bereitstellung der Daten, die zum Abschluss und zur Durchführung vertraglicher Pflichten erforderlich sind (z. B. Name, Anschrift, Kontraktdaten), kann man in der Regel einen Vertrag nicht abschließen oder durchführen , oder wird gegebenenfalls eine Vertragsbeziehung beenden müssen. Die Information sollte dann entsprechend darauf lauten.
a) Vertragsverhältnisse
Die häufigste Rechtsgrundlage für Unternehmer, um Daten zu erheben, ist der Vertrag. Personenbezogene Daten können zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich sein (Art. 6 Abs. 1 lit. b DSGVO). Angaben wie der Name des Kunden oder seine Adresse sind z. B. nötig, um im Rahmen eines Kaufvertrages die Ware zu liefern. Liegt ein Vertrag vor, muss nicht noch zusätzlich eine Einwilligung eingeholt werden. Verträge haben für die Dauer ihrer Laufzeit Bestand, Einwilligungen können jederzeit widerrufen werden.
b) Einwilligung
Die Verarbeitung personenbezogener Daten ist zulässig, wenn sie auf einer Einwilligung beruht (Art. 6 Abs. 1 lit. a DSGVO). Eine Einwilligung ist insbesondere beim Versand von E-Mail-Newslettern notwendig. Sie muss folgende Voraussetzungen erfüllen:
- Eindeutige bestätigende Handlung: Der Nutzer muss also z. B. aktiv eine Check-Box anklicken; keine voreingestellten Check-Boxen.
- Informiertheit: Der Nutzer muss wissen, in welche Zwecke er einwilligt.
- Freiwilligkeit: Der Nutzer muss freiwillig einwilligen. Hier muss genau geschaut werden, ob die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
- Widerruflichkeit: Der Betroffene ist auf die Möglichkeit hinzuweisen, dass er jederzeit die Einwilligung mit Wirkung für die Zukunft widerrufen kann.
Die Einwilligung ist zu dokumentieren.
c) Berechtigte Interessen
Das berechtigte Interesse nach Artikel 6 Abs. 1 lit. f DSGVO kann ebenfalls zulässige Rechtsgrundlage sein. Bei einem berechtigten Interesse ist abzuwägen, ob derjenige, dessen personenbezogenen Daten erhoben werden, weniger schutzwürdig ist als der Unternehmer, der diese Daten erhebt. Es muss im Rahmen der Datenschutzerklärung angegeben werden, wie diese Abwägung ausfällt. Dies ist beispielsweise der Fall bei einem Kontaktformular, das der Kunde im Online-Shop ausfüllt. Der Online-Händler hat ein berechtigtes Interesse an dessen E-Mail Adresse, um dem Kunden die angeforderten Informationen geben zu können. Zielt die Kontaktaufnahme auf einen Vertragsschluss ab, ist Art. 6 Abs. 1 lit. b DSGVO zusätzliche Rechtsgrundlage.
3. Empfänger der Daten
Ist eine Übermittlung personenbezogener Daten an Dritte beabsichtigt, ist der Empfänger anzugeben. Hier können auch Datenkategorien angegeben werden, wie etwa „Weitergabe an Newsletter-Agentur“, „Weitergabe an Versandunternehmen“, „Weitergabe an Bezahldienstleister.“ Bei Versand- und Zahlungsdiensten dürften Sie die Datenübermittlung auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) stützen können. Beachten Sie darauf hinzuweisen, dass die Weitergabe erfolgt, um die Bestellung, oder die Zahlung zur Vertragserfüllung durchführen zu können. Beim Newsletter benötigen Sie die Einwilligung des Betroffenen (Art. 6 Abs. 1 lit. a, 7 DSGVO). Üblicherweise erfolgt diese im sogenannten Double-Opt-In-Verfahren. Das heißt, der Newsletter darf erst zugesendet werden, wenn der Nutzer die Anmeldung nach Mitteilung seiner E-Mail-Adresse über eine vom Unternehmer zugesendete E-Mail und einen darin enthaltenen Link bestätigt.
4. Datentransfer in Drittstaaten
Werden Daten in einen Staat außerhalb der EU oder an eine internationale Organisation übertragen, ist darüber stets zu informieren. Dabei ist auch die Rechtsgrundlage zu nennen, auf die sich der Unternehmer beruft (z. B. Vertragsschluss, Einwilligung, berechtigtes Interesse).
Die Übermittlung an Drittländer ist nur möglich, falls – neben einer Rechtsgrundlage, z.B. zur Durchführung eines Vertrags – sogenannte „Garantien“ bestehen, die ein der EU angemessenes Datenschutzniveau einhalten. Dies sind:
Die Übermittlung an Drittländer ist nur möglich, falls – neben einer Rechtsgrundlage, z.B. zur Durchführung eines Vertrags – sogenannte „Garantien“ bestehen, die ein der EU angemessenes Datenschutzniveau einhalten. Dies sind:
- Angemessenheitsbeschluss der EU-Kommission für bestimmte Drittstaaten (Andorra, Argentinien, Kanada nur für bestimmte kanadische Provinzen, soweit das sog. PIPEDA – Personal Information Protection Electronic Documents Act - anwendbar ist, Japan, Schweiz, Färöer, Guernsey, Israel, Isle of Man, Jersey, Uruguay und Neuseeland),
- Standardvertragsklauseln der EU-Kommission; die Vertragsmuster sind unverändert zu übernehmen
- Verbindliche interne Datenschutzvorschriften für konzerninterne Datenübermittlung
- Verhaltensregeln von Branchenverbänden (diese sind aber vorab von der zuständigen Aufsichtsbehörde zu genehmigen)
- Datenschutzbezogene Zertifizierungsverfahren; für eine konforme Zertifizierung mit der DSGVO bedarf es einer Anerkennung durch die Deutsche Akkreditierungsstelle (DAkkS).
Achtung: Seit dem 10. Juli 2023 besteht zwischen den EU-Mitgliedstaaten und den USA ein Angemessenheitsbeschluss für den Transfer personenbezogener Daten in die USA (sogenanntes Data Privacy Framework). Dieser Beschluss bestätigt den in einer Liste zertifizierten US-Unternehmen ein der EU vergleichbar angemessenes Datenschutzniveau. Auf Grundlage des Data Privacy Frameworks können Verantwortliche und Auftragsverarbeiter aus der EU fortan personenbezogene Daten an zertifizierte Unternehmen in die USA übermitteln. Spezielle Schutzmaßnahmen nach der DSGVO, wie EU-Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) oder das Vorliegen eines Ausnahmetatbestands im Einzelfall, sind nicht zu treffen. Dies gilt allerdings nur bei Datentransfers mit gemäß des Data Privacy Framework zertifizierten US-Unternehmen. Zertifizierte US-Unternehmen, die sich zur Einhaltung des Data Privacy Framework verpflichtet haben, werden in einer Liste des US-Handelsministeriums geführt.Für Datenübermittlungen an US-Unternehmen, die nicht in dieser Liste aufgeführt sind oder, wenn die relevanten Datenarten vom zertifizierten Unternehmen nicht abgedeckt sind, werden weiterhin die Standardvertragsklauseln benötigt.Ebenfalls bietet es sich an, personenbezogene Daten auf EU-Servern zu speichern und bisher eingesetzte US-Anbieter nach einer Datenspeicherung auf EU-Servern zu fragen.
5. Dauer der Speicherung und Kriterien für die Festlegung der Dauer
Das Unternehmen muss angeben, wie lange es die Daten speichert. Dabei ist der Grundsatz der Datenminimierung zu beachten: Werden die Daten nicht mehr benötigt, sind sie zu löschen. Zu beachten sind dabei immer die handels-und steuerrechtlichen Aufbewahrungsfristen. Diese betragen bis zu zehn Jahre. Ansonsten sind Daten zu löschen, sobald sie für die Erreichung des Zwecks, zu dem sie erhoben worden sind, nicht mehr erforderlich sind. Dies ist entsprechend bei der jeweiligen Zweckbeschreibung der Datenerfassung anzugeben, beispielsweise für Kontaktformular, Logfiles, Registrierung, Newsletter. Formulierungsbeispiele sind u. a. in der öffentlich verfügbaren Musterdatenschutzerklärung von Professor Hoeren auffindbar.
6. Betroffenenrechte
Der Betroffene ist darüber aufzuklären, dass ihm ein Recht auf Auskunft, Berichtigung (soweit die verarbeiteten, personenbezogenen Daten nicht korrekt sind), Löschung, Einschränkung sowie Widerspruch der Verarbeitung (sollten die gesetzlichen Voraussetzungen vorliegen) zusteht. Wenn die Datenverarbeitung auf Einwilligung oder Vertrag beruht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, besteht ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Damit ist die Übermittlung der Daten zu einem neuen Anbieter gemeint (z.B. der Wechsel des Bankkontos, Stromanbieters, E-Mail-Providers, oder eines sozialen Netwerks). Der Betroffene hat jederzeit das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn er sich in seinen Rechten nach der DSGVO verletzt sieht. Die Beschwerde kann insbesondere bei der Aufsichtsbehörde eingelegt werden, in deren Mitgliedstaat er seinen gewöhnlichen Aufenthalt hat.
7. Profiling
Profiling ist ein automatisierter Entscheidungsprozess und dient dazu, um die Interessen des Betroffenen, sein Verhalten und andere Eigenschaften (z.B. die Arbeitsleistung einer Person, oder ihre wirtschaftliche Lage, zu analysieren oder diese vorherzusagen. Beim Profiling oder einer anderen automatisierten Entscheidungsfindung (sofern eingesetzt) sind aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person zur Verfügung zu stellen.
8. Herkunft der Daten
Werden die Daten nicht direkt beim Kunden erhoben, sondern stammen von einem Dritten (bspw. eine Agentur, Adresshändler), muss man die Quelle angeben (vgl. Art. 14 Abs. 2 (f) DSGVO).
Datenerhebungen durch den Besuch der Webseite
Auf der Unternehmenswebseite werden in der Regel personenbezogene Daten durch eigene Funktionen oder durch Drittanbieter erhoben. Dazu gehören in der Regel grob gesagt:
- Daten über das Surfverhalten wie Suchanfragen und Browserverlauf
- IP-Adresse
- E-Mail-Adressen
- Bestellverlaufsdaten
- Daten, die durch Tracking-Software entstehen
Über folgende technischen Einrichtungen können Nutzerdaten erhoben werden:
1. Log-Dateien
Diese Dateien protokollieren die Aktivitäten der Seitenbesucher. Dadurch können unter anderem Fehler aufgespürt und beseitigt werden. Die Daten dienen zur Sicherstellung der Sicherheit des IT-Systems (z. B. Angriffserkennung). Für Marketingzwecke dürfen diese Daten nicht verwendet werden. Die Log-Dateien speichern unter anderem die folgenden personenbezogenen Daten:
- Datum und Uhrzeit zum Zeitpunkt des Seitenzugriffs
- URL der besuchten Website
- Menge der übertragenen Daten in Byte
- Information über die Quelle, über die Besucher auf die Seite gelangen (z. B. die vorherige Webseite)
- Angabe des Browserstyps/ Internetservice-Provider des Nutzers
- Information zum Betriebssystem
- IP-Adresse des Besuchers
Rechtsgrundlage für die Verarbeitung dieser Daten ist Art. 6 Abs. 1 lit. f DSGVO.
Berechtigte Interessen können die statistische Auswertung der Seitenbesuche sowie die Sicherheit und Funktionsfähigkeit der Website sein.
Berechtigte Interessen können die statistische Auswertung der Seitenbesuche sowie die Sicherheit und Funktionsfähigkeit der Website sein.
2. Cookies und Cookie-Banner
Cookies sind kleine Textdateien, die auf dem Rechner des Besuchers abgelegt werden, um das Angebot auf seine Bedürfnisse abzustimmen und ihm die Nutzung bestimmter Funktionen zu ermöglichen. Auch werden mithilfe Cookies personenbezogene Daten erhoben, da Rückschlüsse auf eine natürliche Person möglich sind. Für die Verwendung von Cookies bedarf es deshalb ebenfalls einer Rechtsgrundlage. Wenn Cookies verwendet werden, muss im Rahmen der Datenschutzerklärung auf Funtkion und Speicherdauer hingewiesen werden. Der Nutzer der Webseite ist auch darüber zu informieren, dass er durch Einstellung seines Browsers das Abspeichern von Cookies verhindern kann, dadurch jedoch eventuell bestimmte Funktionen der Internetseite nicht mehr genutzt werden können. Technische notwendige Cookies, wie z.B. Session-Cookies zur Warenkorbfunktion, das Merken von Spracheinstellungen, oder Login-Informationen können auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden.
Mit Hilfe von Analyse-Tools, wie z. B. Google Analytics, Matomo (früher: Piwik) oder ähnlichen, kann die Art und Zahl der Zugriffe und Nutzung der Seite ausgewertet werden, um so das Angebot zu optimieren. Da derartige Tracking-Tools u. a. IP-Adressen (= personenbezogene Daten) verarbeiten, muss der Besucher darüber aufgeklärt werden.
Sei Dezember 2021 gilt das Telekommunikation-Teledienst-Datenschutzgesetz (TTDSG). Dies regelt insbesondere den Schutz personenbezogener Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien (z.B. Webseiten, Online-Shops, Video-on-Demand-Dienste oder Online-Vermittlungsdienste).
Paragraf 25 TTDSG regelt die „Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“. Hauptanwendungsfall ist hierbei das Setzen von Cookies. Es sind aber auch
andere vergleichbare Technologien erfasst (z.B. Tracking-Pixel, digitales Fingerpinting, Smarthome-Anwendungen etc). Die Regelung gilt unabhängig davon, ob personenbezogene Daten erhoben werden.
Voraussetzung für das Speichern und Auslesen von Informationen auf bzw. aus Endgeräten ist eine Einwilligung des Endnutzers. Diese ist dann nicht erforderlich, wenn
andere vergleichbare Technologien erfasst (z.B. Tracking-Pixel, digitales Fingerpinting, Smarthome-Anwendungen etc). Die Regelung gilt unabhängig davon, ob personenbezogene Daten erhoben werden.
Voraussetzung für das Speichern und Auslesen von Informationen auf bzw. aus Endgeräten ist eine Einwilligung des Endnutzers. Diese ist dann nicht erforderlich, wenn
- der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der
Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist; oder - der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemedien-
dienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur
Verfügung stellen kann.
Als “Erforderlich” eingestuft, werden technisch notwendige Cookies, wie Session-Cookies, die bestimmte Einstellungen des Nutzers speichern (z.B. Warenkorbfunktion, Sprachauswahl oder Log-In-Daten) und Opt-Out-Cookies, mit denen Einwilligungen in das Setzen von Cookies widerrufen werden können.
Nicht einwilligungspflichtig sind außerdem Cookies für die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz (beispielsweise Live-Chat-Systeme und Messenger-Dienste).
Für Cookies und andere Technologien aus Drittanbieteranwendungen zu Marketing-, Marktforschungs-, Marktanalyse-Zwecken, die das Nutzerverhalten nachvollziehen sollen benötigt man eine Einwilligung des Nutzers. Hierunter fallen (wie bisher auch) Cookies aus Tracking- und Analysetools, Retargeting-Dienste, Social-Media-Plugins (wie Facebook, Instagram, Google+, Youtube, LinkedIn, Pinterest, Twitter etc.), sowie skalierbare, zentrale Messverfahren.
Ein pauschales Cookie-Banner mit dem Hinweis, dass der Nutzer sich automatisch mit dem Setzen von Tracking-Cookies einverstanden erklärt, wenn er die Seite aufruft und darauf surft, reicht nicht aus. Der Nutzer muss im Cookie-Banner seine Einstellungen (bis auf die technichen Notwendigen) selbst frei wählen, also einwilligen, können. Die Einwilligung muss informiert und für jeden einzelnen Dienst/Cookie möglich sein. Funktion und Dauer des Cookies oder Dienstes muss im Cookie-Banner also beschrieben werden. Die Anforderungen an die Einwilligung richten sich nach der DSGVO, d.h. sie muss über die Zwecke der Datenverarbeitung informieren, sowie freiwillig und ausdrücklich erfolgen. Holt man die Einwilligung ein, reicht die Verwendung eines Ankreuzkästchen mit einem voreingestellten Häkchen, dass der Nutzer deaktivieren kann (sog. Opt-out), nicht für eine wirksame Einwilligung aus. Der Nutzer muss für eine rechtskonforme Einwilligung selbst zwischen den Cookies wählen und das Häkchen selbst setzen können (sog Opt-in). Vor der Auswahl und Bestätigung des Nutzers mittels Opt-in dürfen die Cookies (bis auf auf technisch notwedige) noch nicht gesetzt werden. Erst nach der Einwilligung darf das Tracking erfolgen. Der Einwilligende muss zudem über die jederzeitige Widerrufsmöglichkeit informiert werden. Der Widerruf muss so einfach erklärt werden können, wie die Einwilligung. Wenn der Nutzer also sein Opt-in mit einem Ankreuzfeld erteilen kann, muss er dieses Feld auch wieder deaktvieren können, um seine Einwilligung zu widerrufen. Ist im Cookie-Banner die Annahme aller Cookies möglich (z.B. “Alle Cookies annehmen”), muss auch eine Option für die Ablehnung aller Cookies bestehen(z.B. “Alle Cookies ablehnen”). Impressum und Datenschutzerklärung dürfen vom Banner nicht verdeckt werden. Eine Möglichkeit ist es daher zum Beispiel Impressum und Datenschutzerklärung zusätzlich im Banner zu verlinken.
Wichtig ist auch die Einbindung eines sog. Opt-Out-iFrames, damit Besucher der Internetseite das Tracking deaktivieren können. Darüber hinaus müssen die Analyse-Tools so eingerichtet sein, dass die IP-Adressen anonymisiert übermittelt werden. Mit dem Dienstanbieter des Tools ist ein Auftragsverarbeitungsvertrag abzuschließen, unabhängig davon, ob es sich um ein statistisch analysierendes Tool oder ein Tracking-Tool handelt.
Weitere Informationen zum Cookie-Banner und die Einholun der Einwilligung finden Sie im FAQ zu Cookies und Tracking des Landesdatenschutzbeauftragten Baden-Württemberg.
3. Social-Plugins sozialer Netzwerke
Viele Webseitenbetreiber verwenden Plugins sozialer Netzwerk wie Facebook, Google+ u. ä., die z. B. in Form eines „Gefällt mir“ auf der Seite installiert werden können. Problematisch an diesen Plugins ist, dass bereits mit Aufruf der Internetseite eine Verbindung mit den Servern des jeweiligen Netzwerks hergestellt und die IP-Adresse des Besuchers übermittelt wird. Dies gilt unabhängig davon, ob die Person bei dem sozialen Netzwerk eingeloggt bzw. registriert ist.
Solche Plugins sind datenschutzwidrig. Ratsam ist es, das Plugin zunächst nur als bloße Grafik ohne aktive Funktion auf der Seite anzuzeigen. Erst durch Anklicken wird dann das eigentliche Plugin aktiviert und die Verbindung zu den Servern hergestellt. Auf diese Weise muss der Besucher aktiv einwilligen, bevor seine Daten an das Netzwerk weitergeleitet werden
(sog. 2-Klick oder Shariff-Lösung).
Solche Plugins sind datenschutzwidrig. Ratsam ist es, das Plugin zunächst nur als bloße Grafik ohne aktive Funktion auf der Seite anzuzeigen. Erst durch Anklicken wird dann das eigentliche Plugin aktiviert und die Verbindung zu den Servern hergestellt. Auf diese Weise muss der Besucher aktiv einwilligen, bevor seine Daten an das Netzwerk weitergeleitet werden
(sog. 2-Klick oder Shariff-Lösung).
4. Newsletter
Viele Unternehmer verschicken Newsletter zu Werbezwecken. Rechtsgrundlage für das Versenden des Newsletters ist die Einwilligung des Betroffenen nach Art. 6 Abs.
1 lit. a DSGVO. Double-Opt-In ist ein Nachweisverfahren, das für die Beweislast im E-Mail-Marketing relevant ist. Nach dem Wettbewerbsrecht ist Email-Werbung ohne vorherige ausdrückliche Einwilligung des Adressaten eine unzumutbare Belästigung und ist daher unzulässig, und berechtigt zur Abmahnung. Daher stellt sich häufig die Frage, ob der Empfänger (dies gilt sowohl für Verbraucher als auch für Unternehmer) zuvor ausdrücklich in die Verwendung seiner Daten eingewilligt hat. Die Einwilligung wird durch die sog. Double-Opt-In-Methode eingeholt. Dabei meldet sich der Kunde mit seiner E-Mail-Adresse an. Das Unternehmen verschickt daraufhin eine Bestätigungs-Mail mit einem Anmeldelink. Durch Aktivieren des Links gibt der Kunde seine Einwilligung zum Versand von Newslettern.
1 lit. a DSGVO. Double-Opt-In ist ein Nachweisverfahren, das für die Beweislast im E-Mail-Marketing relevant ist. Nach dem Wettbewerbsrecht ist Email-Werbung ohne vorherige ausdrückliche Einwilligung des Adressaten eine unzumutbare Belästigung und ist daher unzulässig, und berechtigt zur Abmahnung. Daher stellt sich häufig die Frage, ob der Empfänger (dies gilt sowohl für Verbraucher als auch für Unternehmer) zuvor ausdrücklich in die Verwendung seiner Daten eingewilligt hat. Die Einwilligung wird durch die sog. Double-Opt-In-Methode eingeholt. Dabei meldet sich der Kunde mit seiner E-Mail-Adresse an. Das Unternehmen verschickt daraufhin eine Bestätigungs-Mail mit einem Anmeldelink. Durch Aktivieren des Links gibt der Kunde seine Einwilligung zum Versand von Newslettern.
Näheres zum rechtlichen Rahmen für Marketing via E-Mail oder auch per Telefonanruf, finden Sie im IHK-Artikel zur Werbung.
5. Kontaktformular
Unternehmen bieten Ihren Kunden oft an, durch ein Formular mit dem Unternehmen in Kontakt zu treten. Dabei werden personenbezogene Daten gespeichert. Rechtsgrundlage dafür ist das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Zielt der Kontakt zum Abschluss eines Vertrages ab, so ist Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO. Die Daten dürfen nur solange gespeichert werden, wie dies für die Bearbeitung der Anfrage notwendig ist. Die Übermittlung des Kontaktformulars sollte über eine angemessene verschlüsselte Verbindung (SSL-Protokoll) erfolgen (ein unverschlüsseltes Kontaktformular kann abgemahnt werden).
6. Registrierung auf der Webseite
Besteht auf der Internetseite die Möglichkeit, sich unter Angabe personenbezogener Daten zu registrieren, muss der Kunde darüber informiert werden, was mit seinen
angegeben Daten passiert. Im Rahmen des Registrierungsprozess wird folgendes erhoben:
Nutzername und Passwort, E-Mail, Anschrift, IP-Adresse des Nutzers, Datum und Uhrzeit des Logins. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen.
angegeben Daten passiert. Im Rahmen des Registrierungsprozess wird folgendes erhoben:
Nutzername und Passwort, E-Mail, Anschrift, IP-Adresse des Nutzers, Datum und Uhrzeit des Logins. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen.
7. Externe Schriften und Dateien wie Google Fonts oder Google Maps
Auf Internetseiten werden neben den Standardschriften in der Regel auch Schriftarten von anderen Anbietern benutzt. Bei der Verwendung externer Schriftarten wie z. B. Google Fonts, baut der Browser des Nutzers beim Laden der Webseite über den Link eine Verbindung zu den Servern von Google auf. Dabei werden unter anderem verschiedene Browser- und Gerätedaten und auch die IP-Adresse des Nutzers an die Server von Google in den USA übermittelt. Um die Schriften und Dateien zu nutzen und den Regeln der DSGVO zu entsprechen, sollte man den Datenaustausch mit externen Servern unterbinden, indem die Schriften heruntergeladen und anschließend lokal im Webserver gespeichert und von dort verwendet werden. Als Rechtsgrundlage ist im Rahmen der Datenschutzerklärung das berechtigte Interesse anzugeben (Artikel 6 Abs. 1 lit. f DSGVO).
Dieser Artikel soll – als Service Ihrer IHK Region Stuttgart – nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl dieser Artikel mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.