Datenschutzerklärung

Haupt-Reiter

In einer Datenschutzerklärung stellen Webseitenbetreiber/innen dar, wie sie mit anonymen, pseudonymen oder auch personenbezogenen Daten der Webseitenbesucher/innen umgehen bzw. wie sie die Daten dieser schützen.

Laut §13 des Telemediengesetzes sind Dienstanbieter, die personenbezogene Daten abfragen, dazu verpflichtet die Nutzerinnen und Nutzer über „Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten“ zu informieren. Die Unterrichtung muss allgemein verständlich und jederzeit erreichbar sein.

Personenbezogene Daten werden definiert in § 3 BDSG als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Darunter fallen zum Beispiel Name, Telefonnummer, E-Mail-Adresse, Alter und Geburtsdatum.

Bei der Verarbeitung von personenbezogenen Daten gelten eine ganze Reihe von Datenschutzprinzipien. Schon bei der technischen Gestaltung des Internetauftritts sind Datenschutzvorgaben zu beachten, die im Einzelnen aber hier nicht dargestellt werden können. Personenbezogene Daten dürfen überhaupt nur dann erhoben werden, wenn es für den Zweck der Verarbeitung erforderlich ist (Erforderlichkeits- und Zweckbindungsprinzip). Zudem muss eine Rechtsgrundlage im Gesetz bestehen oder eine Einwilligung vorliegen (Prinzip der Rechtsgrundlage). Einwilligungen müssen beispielsweise eingeholt werden, wenn man einen Newsletter verschicken will, oder personenbezogene Daten jenseits getrennt vereinbarter vertraglicher Zwecke verwenden will. 

Die Datenschutzerklärung auf einer Internetseite stellt aber keine solche Einwilligung dar. Sie dient eher Transparenz- und Unterrichtungspflichten. Zwar schreibt das Gesetz eigentlich vor, dass die Unterrichtung zu Beginn des Nutzungsvorgangs erfolgen muss. Es ist gängige Praxis, dass der Datenschutzerklärung muss eine eigene Seite gewidmet wird, die allerdings dann von allen Seiten aus abrufbar (verlinkt) sein muss.

Sicherheitshalber sollte jede Webseite eine Datenschutzerklärung vorhalten, denn schon beim Aufruf der Webseite fallen beim Diensteanbieter IP-Adressen an, die sich in vielen Fällen auf die Person beziehen lassen, die die Seite aufgerufen hat. Webseitenbetreiber/innen, die Gesetze zum Datenschutz nicht einhalten, handeln ordnungswidrig. Die Ordnungswidrigkeit kann mit einer Geldbuße geahndet werden. Zudem kann eine fehlerhafte Datenschutzerklärung auch zu Abmahnungen führen.

Art und Umfang der Datenschutzerklärung können sehr unterschiedlich sein, sie sind abhängig von den Inhalten einer Webseite und vom Zweck der erhobenen bzw. gespeicherten Daten. Folgende Elemente könnte die Datenschutzerklärung einer Webseite beinhalten:

 

1. Überblick

Zu Beginn der Datenschutzerklärung sollte man einen kurzen, verständlichen Überblick über die gesamte Erklärung geben. Dieser Überblick darf auch als getrennte Seite vorgeschaltet werden.

Es empfiehlt sich eine Strukturierung der Datenschutzerklärung nach verschiedenen Verwendungszwecken und Funktionen der Webseite. Neben dem Zweck die Inhalte der Webseite dem Besucher zu übermitteln, bieten viele Webseiten Registrierungs-, Kommentar- und Kontaktfunktionen. Darüber hinaus werden zumeist Analysedienste eingesetzt. Besondere Relevanz hat die Weitergabe von Daten an Dritte – etwa beim Schalten von Werbung, was regelmäßig mit einer Datenweitergabe einhergeht.

Für jeden dieser Zwecke sind Arten und Umfang der Erhebung allgemeinverständlich darzustellen.

 

2. Allgemeine Angaben - Nutzerrechte

Die Nutzer haben Auskunftsansprüche auf die durch den Betreiber erhobenen personenbezogenen Daten. Darüber hinaus können Nutzer teilweise der Erhebung wiedersprechen oder die Löschung verlangen. Schließlich bestehen Kontrollbefugnisse durch Datenschutzbeauftragte. Nach einem Überblick sollte dies daher grundsätzlich dargestellt werden. Hinzu kommen sollte die Angabe, wer für die Verarbeitung verantwortlich ist (verantwortliche Stelle). Hilfreich kann es auch sein, anzugeben, wer zuständiger Datenschutzbeauftragter ist. Kontaktmöglichkeiten, die eine schnelle Erreichbarkeit sicher stellen, verringern das Risiko des Betreibers, das Probleme eskalieren.

 

3. Aufruf der Internetseite

Auch wenn eine Internetseite nur abgerufen wird, werden technische Daten, durch den Browser übermittelt. Über die erhobenen Angaben muss der Besucher informiert werden. Zu diesen Daten gehören neben der schon erwähnten IP-Adresse, z.B. der Browsertyp und -version, das verwendete Betriebssystem, die Website, von der aus die Seite besucht wird (“Referrer URL”), sowie Datum und Uhrzeit des Zugriffs. Werden diese Daten nicht oder nicht mehr benötigt sind sie zu löschen. Der Dienstanbieter muss begründen, warum er diese Daten verarbeitet. Mögliche Gründe sind die z.B. die statistische Auswertung und die Optimierung der Webseite, hierfür werden in der Regel Analysetools eingesetzt.

 

4. Analysetools

Es werden eine Vielzahl verschiedener Analysetools angeboten. Für die Erhebung von Daten zu Optimierung der Webseite, sowie für Werbezwecke und zur Markt- und Meinungsforschung. Dabei kann auch auf externe Dienstleister zurück gegriffen werden. Analysen können aber auch direkt durch den Seitenbetreiber selbst durgeführt werden, was meistens eine datenschutzfreundlichere Variante darstellt.

Werden Externe eingeschaltet, geht dies in der Regel mit der Weitergabe von Daten an Dritte einher. Diese Weitergabe darf jedoch nur mit anonymisierten Daten erfolgen. Allerdings kann eine solche Anonymisierung im Einzelfall schwer umsetzbar sein. Besonders problematisch ist diese Weitergabe dann, wenn die Verarbeitung im außereuropäischen Ausland erfolgt. Dann ist sie nur in engen Grenzen zulässig. Unternehmen, die solche Dienste anbieten, stellen meist Textbausteine zur Verfügung, die in die eigene Datenschutzerklärung aufgenommen werden können. Das ist hilfreich, befreit einen aber nicht notwendigerweise von der Haftung für Fehler in diesen Texten.

Um die Probleme der Weitergabe zu vermeiden, lassen sich allerdings auch Analysetools einsetzen, die nur “lokal”, d.h. auf einem Server der dem Webseitenbetreiber gehört, betrieben werden. Hier gelten weniger strenge Anforderungen. Es ist lediglich zu gewährleisten, dass die Daten unter Nutzung eines Pseudonyms abgelegt werden und nicht etwa mit dem Klarnamen verknüpft sind. Gleichzeitig ist "technisch-organisatorisch" sicher zu stellen, dass das Pseudonym nicht mit diesen Angaben zur Identifikation zusammen geführt werden können.

In jedem Fall muss eine Nutzung – wieder unter Angabe von Arten, Umfang und Zwecken – in der Datenschutzerklärung beschrieben werden. Schließlich muss innerhalb der Datenschutzerklärung auf die  Möglichkeit hingewiesen werden, der Nutzung zu widersprechen. Idealerweise räumt man an diesem Ort gleich eine technische Möglichkeit ein, diesen Widerspruch online durchzuführen. Hierzu bieten die meisten Dienste eine entsprechende Funktionalität über einen so genannten “Opt-out-cookie” an. Dies gilt auch wenn man lokale Analysetools einsetzt und war wiederholt Gegenstand von Abmahnungen.

 

Verwendung von Cookies

Um Nutzer bei mehrmaliger Aufrufen auf der Seite wieder zu erkennen, wird in der Regel auf so genannte “Cookies” zurück gegriffen. Cookies sind sehr weit verbreitet, aber es gibt auch andere Möglichkeiten der Wiedererkennung. Ein Cookie ist eine kleine Datei, die neben einigen anderen Angaben wie der “Haltbarkeit” und einem Zeitstempel, einer  Identifikationsnummer enthält. Sie wird beim Aufrufen der Internetseite auf dem Computer des Nutzers gespeichert (“gesetzt”) und beim Aufruf ausgelesen. Ein Nutzer kann sich die Cookies in den meisten Browsern anzeigen lassen und so sehen, ob die Seite Cookies benutzt.

Zunehmend verbreitet sich auch in Deutschland die Praxis vor dem Setzen des Cookies beim Nutzer ausdrücklich nachzufragen (opt-in). Teilweise wird aber die Auffassung vertreten, dass es nach deutschem Recht ausreicht, dass man das Setzen unterbinden kann (opt-out). Auf die Verwendung von Cookies muss in der Datenschutzerklärung hingewiesen werden. Die Seitenbesucher/innen sollten darauf aufmerksam gemacht werden. Außerdem muss dargestellt werden, wofür die Cookies verwendet werden.

 

 

Verwendung personenbezogener Daten in Kontaktformularen

Die personenbezogenen Daten dürfen nur freiwillig und in einem möglichst geringen Umfang abgefragt werden. Für ein Kontaktformular ist die Postadresse oder Telefonnummer zum Beispiel nicht zwingend notwendig, wenn bereits eine E-Mail-Adresse angegeben wurde. Es sollte begründet werden, warum die personenbezogenen Daten erhoben werden und wie mit diesen umgegangen wird.

 

Kommentarfunktion

Wer Beiträge seiner Webseite kommentieren lässt, kann dieses in sehr unterschiedlichen Variationen anbieten: mit Name oder Pseudonym, Altersangabe oder mit Bild. Auch hier sollte darauf hingewiesen werden, dass die Daten freiwillig gegeben werden und jederzeit gelöscht werden können.

 

Newsletter

Wer einen Newsletter erhalten möchte, gibt seine E-Mail-Adresse freiwillig an. Hierfür ist in der Regel eine getrennte Einwilligungserklärung erforderlich. Dennoch ist es ratsam auch auf Newsletterfunktionen in der Datenschutzerklärung hinzuweisen. Wenn die E-Mail-Adresse auch zu anderen Zwecken verwendet oder an Dritte weitergegeben wird, muss dies ausdrücklich erwähnt werden. Wichtig ist auch, dass dem Newsletter-Empfänger der Hinweis gegeben wird, dass der Bezug jederzeit beendet werden kann.

 

Auskunftsrecht

Seitenbesucher/innen haben das Recht, über die gespeicherten Daten zu ihrer Person und der Verarbeitung der Daten beim Seitenanbieter Auskunft zu bekommen. Webdienste sind nach dem Bundesdatenschutzgesetz dazu verpflichtet auf Wunsch des Nutzers die personenbezogenen Daten zu löschen oder zu sperren.

 

Weitergabe der Daten an Dritte

Eine Weitergabe von personenbezogenen Angaben an Dritte ist nur in Ausnahmefällen ohne ausdrückliche Einwilligung zulässig. Eine Ausnahme stellt die so genannte Auftragsdatenverarbeitung dar. Eine solche liegt vor, wenn sich ein Seitenbetreiber mit einem Dritten einen Vertrag geschlossen hat um den Betrieb der Seite oder eines Teils seines Angebots durch den Dritten durchführen zu lassen. Die Auftragsdatenverarbeitung muss in der Datenschutzerklärung erwähnt werden. Ihr Zweck, der Umfang der Datenverarbeitung und die Art der erhobenen Daten sind zu nennen, die Angabe des Auftragsdatenverarbeiters selber hingegen ist in der Regel freiwillig.

Darüber hinaus bestehen gesetzliche Weitergaberechte und -pflichten an Behörden auf deren Anforderung. Auch dies kann durchaus kurz in der Datenschutzerklärung Erwähnung finden.

 

Version der Datenschutzerklärung

Inhalte der Webseite oder die rechtlichen Rahmenbedingungen können sich ändern. Daher muss auch die Datenschutzerklärung gelegentlich aktualisiert werden. Geschieht dies, ist es aus Transparenzgründen sinnvoll, auch ältere Versionen noch zum Abruf zur Verfügung zu halten und jeweils den Änderungszeitpunkt anzugeben.

 

Externe Inhalte

Die direkte Einbindung fremder Inhalte, etwa von Bildern, Videos, aber auch so genannten “Social Plugins” (z.B. “Like Buttons”) etc. in die eigene Webseite geht damit einher, dass personenbezogene Daten wie die IP-Adresse auch beim externen Anbieter entstehen. Die datenschutzrechtlichen Implikationen solcher Einbindungen sind – obwohl seit langem Praxis – sind noch nicht umfassend gerichtlich geklärt. Es empfiehlt sich auf solche direkten Einbindungen zu verzichten, oder vor dem Einbinden einen Hinweis auf den externen Anbieter vorzuschalten. Das Video oder das Social-Plugin wird dann erst einem weiteren Mausklick auf den Hinweis anzeigt (zwei-Klick-Lösung).

In der Datenschutzerklärung sollte die gewählte Praxis beschrieben sein und ein Hinweis auf die Datenschutzerklärungen der einbezogenen externen Anbieter enthalten sein.

Links auf externe Seiten

Viele Kinderwebseiten verlinken auf andere Seiten. Durch das anklicken des Links werden die Nutzer auf diese andere Seite weiter geleitet. Wieder entstehen nach dem Anwählen des Links bei der anderen Seite Daten. Viele Webseiten markieren daher die Links auf Seiten, die nicht auf das eigene Angebot verweisen mit einem kleinen Icon, so dass der Nutzer darauf aufmerksam gemacht wird, dass er die Seite jetzt verlässt. Wird diese datenschutzfreundliche Variante gewählt, sollte man die Gelegenheit nicht verstreichen lassen, dies auch in der Datenschutzerklärung zu erwähnen.

Der/die Webseitenbetreibende kann im Rahmen des Datenschutzhinweises erklären, dass die verlinkten Angebote vorab geprüft wurden, dass er/sie für die Inhalte und deren Umgang mit dem Datenschutz aber nicht verantwortlich ist. Allerdings befreien derartige Hinweise nicht in jedem Fall von Haftungsansprüchen.

 

Spezialfall Kinderseiten

Der Gesetzgeber sieht vor, dass Datenschutzerklärungen verständlich geschrieben sein sollen. Eine Webseite für Kinder sollte daher den Umgang mit personenbezogenen Daten in möglichst einfacher Sprache erklären. Wer befürchtet, dass wichtige Aspekte der Erklärung dabei zu kurz kommen, kann noch eine ausführliche Variante für Erwachsene hinzufügen. Auch wenn auf der Kinderseite keine personenbezogenen Daten erhoben werden, kann eine freiwillige Datenschutzerklärung über den Umgang mit erhobenen Daten die jungen Nutzer/innen für das Thema Datenschutz sensibilisieren. Der Webdienst leistet damit Aufklärungsarbeit.

 

 

Einblenden

Rechtlicher Hinweis

Die auf diesen Seiten vorhandenen rechtlichen Ausführungen stellen keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes dar. Die Betreiber der Webseite haften nicht für die Inhalte. Trotz sorgfältiger Prüfung kann zudem nicht ausgeschlossen werden, dass Angaben fehlerhaft oder veraltet sind.

Mitmachen beim Wiki

Sie haben eine Ergänzung? Dann gehen Sie auf den Reiter „Bearbeiten“ und schreiben Sie Ihre Information in das Textfeld. Wir freuen uns über Ihre Beteiligung am Wiki!