Eine Datenschutzerklärung soll die Maßnahmen beschreiben, die eine Organisation oder ein Websitebetreiber ergreift, um die Privatsphäre von Kunden oder Benutzern zu wahren. Als besonders schützenswert gelten hierbei die erhobenen personenbezogenen Daten.
Ein Websitebetreiber muss den Nutzer gemäß § 13 Abs. 1 Telemediengestz (TMG) über Folgendes unterrichten:
- „über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten“
- über die Verarbeitung in Ländern außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums
- „in allgemein verständlicher Form“ und
- „zu Beginn des Nutzungsvorgangs“.
Auf einer Internetseite ist zwingend eine Datenschutzerklärung vorzuhalten. Fehlt sie, stellt das mit der Rechtsprechung einen abmahnbaren wettbewerbsrechtlichen Verstoß dar.
Was sind personenbezogene Daten?
Aus datenschutzrechtlicher Sicht zählen nicht nur Name, Anschrift, Geburtsdatum, Telefonnummern und E-Mail-Adressen zu den personenbezogenne Daten, sondern beispielsweise auch die Daten, die Sie im Internet unbeabsichtigt aussenden, wie beispielsweise der Hostname des zugreifenden Rechners (IP Adresse), weil darüber Rückschlüsse auf die Identität eines Seitenbesuchers gezogen werden können.
Was sind „Server-Log-Dateien“?
IP-Adresse sowie auch die Uhrzeit der Serveranfrage sind Daten, die unter anderem in den sog. „Server-Log-Dateien“ gespeichert werden. Server-Log-Dateien von Websites sind automatisch geführte Protokolle, bei denen alle oder bestimmte Aktionen in Textdateien auf dem Server gespeichert werden. Sie protokollieren die Anfragen und Zugriffe von Seitenbesuchern und dokumentieren auch sämtliche Fehlermeldungen. Website-Betreibern dienen diese Protokolle insbesondere bei Problemen mit der Seite zum Nachvollziehen von Fehlern oder auch bei rechtswidrigen Zugriffen von Hackern zur Identifikation der Zugriffswege.
Da in diesen Dateien personenbezogene Daten gesammelt werden, müssen die Nutzer der Website in der Datenschutzerklärung darauf hingewiesen werden.
Datenerhebungen durch Drittanbieter
Auch Datenerhebungen, die ggf. unbemerkt durch Drittanbieter auf der Website erfolgen, wie beispielsweise bei Nutzung von Google-Produkten, Facebook-„Like-Button“, Twitter-Widgets, Share-Buttons, Einbinden von YouTube-Videos etc., müssen in der Datenschutzerklärung umfänglich, verständlich und vollständig erläutert werden.
Wenn Analysedienste zur statistischen Auswertung von Besucher-Zugriffen verwendet werden, bedarf es auch hier eines Hinweises. Hier ist insbesondere auch zu beachten, dass erhobene IP-Adressen anonymisiert werden müssen und dass Websitenutzer dieser Nutzernachverfolgung („Tracking“) widersprechen können müssen. Bei Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister auf Weisung des Auftraggebers (z.B. Nutzung von Google Anayltics) muss ein Vertrag zur sog. Auftrags(daten)verarbeitung abgeschlossen werden. (siehe: datenschutzbeauftragter-info.de)
Fazit
Früher war es einfach nur schön, sich selber mal im Internet an einer eigenen Website zu probieren. Heute scheint fast schon ein Jurastudium empfehlenswert, um den Überblick über die verschiedenen Rechtsvorschriften zur Datenschutzerklärung behalten zu können.
ACHTUNG:
Mit Inkrafttreten der neuen Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 werden weitere Erfordernisse hinzukommen. Dann muss beispielsweise für jedes eingesetzte Tool auf der Website, das in irgendeiner Form Cookies setzt, Daten sammelt und/oder Daten verarbeitet, die Rechtsgrundlage benannte werden. Des Weiteren wird vor dem Ausfüllen von Kontaktformularen eine Einwilligung in die Datenverarbeitung erfolgen müssen. Wie eng die DSGVO letztlich ausgelegt werden wird, bleibt abzuwarten. Bei sehr enger Auslegung der DSGVO muss ggf. bereits vor dem Setzen eines Cookies die Einwilligung dafür gegeben werden.
Es war lange genug bekannt, dass die DSGVO kommen wird. Da Anwälte, Softwareentwickler und Verbände allerdings erst jetzt anfangen, das Thema detailliert anzugehen, lag bislang vieles im Verborgenen, was sich jetzt als wichtig herausstellt. Und so wird die Anpassung der Websites an die neuen rechtlichen Gegebenheiten für viele Agenturen und auch für die Kunden dieser Agenturen zu einer echten Herausforderung.
Bei mediageno arbeiten weder Rechtsanwälte, noch sind wir eine Rechtsberatung. Insofern stellen unsere Hinweise zu Datenschutz und Datenschutzerklärung lediglich informative Anhaltspunkte dar. Sie erheben keinen Anspruch auf Vollständigkeit und können keine individuelle rechtliche Beratung ersetzen, welche die Besonderheiten des Einzelfalles berücksichtigt.
Ein Beitrag von B. Barth.