Datenschutz & Verbraucher

Bei Website an Datenschutzerklärung nach DSGVO denken

Jeder Onlineshop und fast je­de Web­site braucht ei­ne Da­ten­schutz­er­klä­rung nach DSGVO. Wer dies ver­gisst, ris­kiert Buß­gel­der so­wie Ab­mah­nun­gen. Un­ter­neh­mer soll­ten un­be­dingt mit ei­nem An­walt über die in­halt­li­chen so­wie for­ma­len An­for­derun­gen sprechen.

Teilen auf

LinkedIn Xing Whatsapp

Die meisten Unternehmen haben heutzutage einen eigenen Onlineauftritt – mindestens zur Information über ihre Angebote, oft auch als Verkaufsplattform. Immer ist dabei die Veröffentlichung einer Datenschutzerklärung nach DSGVO gesetzlich verpflichtend, für die einfache Website ebenso wie den opulenten Onlineshop. Im Internet gibt es zahlreiche Vorlagen und Muster dafür, wie solch eine Datenschutzerklärung nach DSGVO aussehen und beispielsweise über den Einsatz von Google Analytics oder andere Tracking- und Analyse-Tools informieren sollte. Teils sind im Netz sogar Konfiguratoren zu finden, mit denen sich Unternehmerinnen und Unternehmer automatisiert eine eigene Datenschutzerklärung zusammenstellen können. Der Einsatz derartiger Lösungen ist aber riskant. Der Anwender könnte beispielsweise durch Flüchtigkeits- oder Verständnisfehler falsche Eingaben machen. Sinnvoller ist es, mit einem spezialisierten Anwalt die Formulierung einer individuellen Datenschutzerklärung nach DSGVO für Website oder Onlineshop zu besprechen. Über wesentliche Aspekte des Themas sollten Unternehmer trotzdem Bescheid wissen – wie auch über die anderen Auswirkungen der Datenschutz-Grundverordnung (DSGVO).

Datenschutzerklärung ist nicht nur we­gen der DSGVO wichtig

Jede Website und jeder Onlineshop braucht eine Datenschutzerklärung nach DSGVO – zumindest, wenn personenbezogene Daten erhoben beziehungsweise verarbeitet werden. Artikel 4 der Datenschutz-Grundverordnung definiert, was alles als „personenbezogene Daten“ zu gelten hat. Es sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. „Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“.

Dass ein Onlineshop unter diese Definition fällt, ist logisch – hier hinterlassen Besteller etwa Lieferadressen oder Kontodaten. Aber auch bei vermeintlich harmlosen Homepages ohne Möglichkeit zur Dateneingabe läuft im Hintergrund eine Datenverarbeitung. Zumindest der IT-Dienstleister, der mit seiner technischen Infrastruktur für einen Kunden dessen Internetpräsenz betreibt, speichert IP-Adressen von Besuchern der Website. Schon allein darum ist eine Datenschutzerklärung nach DSGVO immer erforderlich. Und viele Firmen binden Social-Media-Kanäle wie Facebook auf ihrer Website ein. Wer deren sogenannte Social Plugins – etwa den „Gefällt mir“-Button – installiert, erlaubt die Verknüpfung von Daten seiner Website mit den Onlineprofilen der Besucher. Das ist eindeutig die Erhebung oder Verarbeitung personenbezogener Daten – darüber muss der Seitenbetreiber informieren. Entbehrlich könnte die Datenschutzerklärung sein, wenn die Seite nur Teil eines anderen Internetangebots ist – etwa eine Fanpage bei Facebook. Dann gilt die allgemeine Facebook-Datenschutzerklärung. Unternehmerinnen und Unternehmer sollten detailliert mit Anwalt und technischem Dienstleister besprechen, welche Pflichten beim Einrichten ihrer Internetpräsenz entstehen.

PRODUKTEMPFEHLUNG VON DATEV
Workbook Datenschutz-Grundverordnung

Dieses Workbook erleichtert durch seine systematische Aufbereitung der DS-GVO den Einstieg in die Thematik für alle Praktiker. Es bietet direkt einsetzbare Arbeitshilfen zur Vorbereitung der Umsetzung der DS-GVO.

Print

Auch an weitere ge­setz­liche Vor­gaben denken

Die Datenschutzerklärung nach DSGVO ist also quasi für jede Website und jeden Onlineshop ein Muss. Mit ihrem Inkrafttreten am 25. Mai 2018 ersetzte die Datenschutz-Grundverordnung nämlich die zuvor in den Datenschutzgesetzen von Bund und Ländern sowie im §13 Telemediengesetz (TMG) festgeschriebenen Vorgaben für eine Datenschutzerklärung. Sonderregelungen existieren jedoch weiterhin für die Telekommunikation – sie sind im Telekommunikationsgesetz (TKG) festgehalten. Außerdem muss jeder Firmenchef wissen, dass ihn der Verzicht auf eine Datenschutzerklärung auch mit anderen Gesetzen in Konflikt bringt. Wer gewerbsmäßig eine Website mit einer falschen oder ohne Datenschutzerklärung betreibt, verstößt auch gegen das Gesetz gegen unlauteren Wettbewerb (UWG).

Diese Folgen dro­hen beim Ver­stoß gegen die DSGVO

Richtig teuer ist das Fehlen einer korrekten Datenschutzerklärung nach DSGVO bei Website oder Onlineshop wegen der Bußgelder gemäß Datenschutz-Grundverordnung. Fehlt eine Datenschutzerklärung oder weist sie inhaltliche beziehungsweise formale Fehler auf, kann dies das Unternehmen bis zu 20 Millionen Euro kosten, oder vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Inzwischen haben sich die Aufsichtsbehörden für Datenschutz in den Bundesländern auf einen Bußgeldkatalog geeinigt und ihn schon wiederholt angewendet. In Deutschland gab es bereits Millionenstrafen für gravierende Datenschutzverstöße. Aber selbst, wenn die Datenschutzerklärung lediglich kleine Mängel aufweist und die Aufseher es bei einer Ermahnung belassen, dürfte Ärger drohen. Verbraucherorganisationen oder Konkurrenten könnten eine Abmahnung wegen Verstößen gegen das Wettbewerbsrecht schicken. Wie weitreichend die Möglichkeiten zu Abmahnungen sind und wie teuer sie die Betroffenen kommen, dazu gibt es keine einheitliche Rechtsprechung. Nur wer rechtzeitig mit seinem Anwalt spricht und keine Fehler macht, ist wirklich auf der sicheren Seite.

PRODUKTEMPFEHLUNG VON DATEV
Kommentar Datenschutz-Grundverordnung

Der vorliegende Kommentar zur DS-GVO liefert eine verständliche Kommentierung eines sehr komplexen Verordnungstextes. Er macht praktikable Umsetzungsvorschläge und enthält Argumentationshilfen für rechtliche Auseinandersetzungen.

Print

Das gehört in eine Datenschutzerklärung nach DSGVO

Die Datenschutzerklärung auf einer Website oder in einem Onlineshop folgt einem klaren Zweck. Sie soll Besucher der Website darüber informieren, in welchem Umfang und zu welchen Zwecken das Unternehmen ihre personenbezogenen Daten verwendet. Etwa, ob und an welche Dritte es sie weitergibt. Nur wer weiß, was mit den Daten geschieht, kann sich gegen eine Verwendung aussprechen beziehungsweise die Homepage wieder verlassen. Deshalb müssen Unternehmen umfassend und korrekt darüber informieren, was technisch auf der Website stattfindet. Etwa beim Verarbeiten von IP-Adressen und Browser-Daten oder beim Einsatz von Cookies, Webanalyse-Tools wie Google Analytics und Social Media Plugins. Und dies muss verständlich sowie übersichtlich geschehen. Das erfordert höchste Sorgfalt, damit kein Fehler passiert. Per Datenschutzerklärung mitzuteilen sind zum Zeitpunkt der Datenerhebung neben der konkreten Rechtsgrundlage, also Artikel 13 und 14 der DSGVO,

  • Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters,
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
  • gegebenenfalls die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden,
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • und gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der EU-Kommission oder im Falle bestimmter Übermittlungen einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Separat auf das Wider­rufs­recht hinweisen

Zusätzlich zu diesen Punkten muss der Verantwortliche für die Datenerhebung der betroffenen Person zum Zeitpunkt der Datenerhebung weitere Informationen geben. Sie sind für die Datenschutzerklärung nach DSGVO erforderlich, um eine faire und transparente Verarbeitung zu gewährleisten. Es geht dabei um

  • die Dauer, für die personenbezogene Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer,
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung, Löschung, Einschränkung der Verarbeitung sowie eines Widerspruchsrechts gegen die Verarbeitung und eines Rechts auf Datenübertragbarkeit,
  • das in manchen Fällen bestehende Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • die Frage, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte, und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling sowie – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Will der Verantwortliche die personenbezogenen Daten für einen anderen Zweck weiterverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so muss er die betroffene Person vor der Weiterverarbeitung über diesen anderen Zweck und alle anderen maßgeblichen Aspekte informieren. Außerdem ist ein separater Hinweis auf das Widerrufsrecht des Nutzers vorgeschrieben. So eine Datenschutzerklärung nach DSGVO auf der Website oder im Onlineshop kann also ganz schön umfangreich sein.

Google Analytics und Co. in der Datenschutzerklärung nennen

Damit die Datenschutzerklärung nach DSGVO auf der Website oder im Onlineshop verständlich und übersichtlich ist, empfiehlt sich eine klare Gliederung. Das betrifft insbesondere die konkrete Art der Datenerhebung. Betreiber einer Website sollten sauber auflisten, welche verschiedenen Arten von Datensätzen sie sammeln und welche Tools sie nutzen. Das beginnt schon bei der IP-Adresse, die in Nutzerstatistiken eingeht. Oder der Erfassung von Browser-Daten, die Informationen etwa über Betriebssystem und Browser liefern, mit denen der Besucher arbeitet. Und vor allem natürlich den Einsatz von Cookies. Diese kleine Datenpakete werden auf Endgeräten der Besucher einer Website gespeichert, etwa zur Erleichterung des Logins im Onlineshop. Hier reicht nicht allein der Hinweis auf den Einsatz von Cookies. Je nach Art der genutzten Cookies sollten spezielle datenschutzrelevante Aspekte kurz dargelegt werden, etwa zur Speicherdauer. Hier empfiehlt sich bei einem umfassenden Cookie-Einsatz unbedingt die Rücksprache mit Experten für dieses Thema.

Veranstaltungstipp
Digitale Souveränität erfordert unabhängigkeit vom Silicon Valley

Unter dem Motto »Europe 2021« finden vom 2. bis 4. Februar diverse digitale Podiumsdiskussionen statt. Sie beschäftigen sich zum Jahresauftakt mit jenen Themen, die die nächsten Monate dominieren dürften. Europa muss unbedingt seine Hausaufgaben machen – von der Stärkung der Demokratie über die digitale Souveränität des Kontinents und einen gemeinsamen europäischen Binnenmarkt bis zum Einhalten der Klimaschutzziele im Jahr der UN-Klimakonferenz in Glasgow. Gerade alle Themen rund um die Digitalisierung sind dringend und von enormer Tragweite: Wer etwa auf seiner Website oder in seinem Onlineshop eine Datenschutzerklärung veröffentlich, verweist ganz selbstverständlich auf Google Analytics, Facebook oder Twitter als die großen Datensammler und -auswerter.  Zum Thema »Digitale Datensouveränität« diskutiert Dr. Robert Mayr, CEO der DATEV eG, am 3. Februar um 13 Uhr unter der Moderation von Wirtschaftswoche-Chefredakteur Beat Balzli mit Claudia Nemat (Deutsche Telekom AG) und Wolf-Henning Scheider (ZF Group Friedrichshafen). Die Teilnahme ist kostenlos.

Mehr Infos zum Programm

Kostenlose Anmeldung

Google Analytics kann der Be­su­cher einer Website deaktivieren

Bei der Datenschutzerklärung nach DSGVO sind unbedingt auch Analyse-Tools wie etwa Google Analytics aufzuführen. Informieren muss der Betreiber der Website über den konkreten Vorgang der Datenerhebung durch das Analyse-Tool sowie über die anschließende Verarbeitung der Daten. Und über Möglichkeiten zur Verhinderung einer Datenerhebung sowie das Widerspruchsrecht. Die Datenschutzerklärung gemäß DSGVO könnte für Google Analytics beispielsweise einen Link auf die Seite setzen, wo sich der Einsatz des Tools deaktivieren lässt. Die Informationspflicht gilt natürlich auch für Social Media Plugins wie den „Gefällt mir“-Button von Facebook oder den „Tweet“-Button von Twitter. Über die mit der Verknüpfung von Website und Onlineprofil verbundenen Datenerhebung sind Besucher der Website in Kenntnis zu setzen. Der Seitenbetreiber sollte mit einem technischen Dienstleister klären, wie sich die Buttons so einbinden lassen, dass sie nicht gleich Daten sammeln, sondern diese Funktion erst vom Nutzer aktiviert werden muss.

Bei der Datenschutzerklärung alle Formalien beachten

Gemäß DSGVO ist die Datenschutzerklärung auf der Website oder im Onlineshop gut sichtbar und erkennbar so zu platzieren, dass der Besucher sie schnell und einfach direkt zu Beginn der Nutzung einer Website erreichen sowie auch auf jeder Unterseite immer sehen kann. Daher gilt als Empfehlung und hat sich inzwischen etabliert:

  • Die Datenschutzerklärung muss gleich nach dem Aufruf einer Website und von jeder Unterseite mit einem Klick erreichbar sein.
  • Deshalb ist die am besten ein eigener fester Navigationspunkt in der Fußleiste jeder Seite des Onlineauftritts.
  • In der Fußleiste steht die Datenschutzerklärung dann gut sichtbar als eigener Punkt direkt neben dem Impressum mit den anderen Pflichtangaben.
  • Bei der technischen Gestaltung der Website wird darauf geachtet, dass dies auf jedem stationären und mobilen Endgerät funktioniert – unabhängig von Browser und Betriebssystem oder Bildschirmgröße und -art.
  • Bei der Formulierung ist zu beachten, dass die Datenschutzerklärung nicht nur inhaltlich alle von der DSGVO geforderten Angaben enthält, sondern dass der Text auch für Nicht-Techniker und Nicht-Juristen verständlich ist. Also nicht nur Paragrafen oder Technologien nennen, sondern den Sinn mit auch für Laien verständlichen Worten erklären.

Datenschutzerklärung nach DSGVO betrifft nicht nur die Website

Ganz wichtig: Die Vorgaben zum Datenschutz gelten natürlich auch für andere moderne Technologien, etwa Apps. Es wäre also sinnvoll, im Austausch mit einem Anwalt oder technischen Dienstleister neben der Datenschutzerklärung nach DSGVO für Website oder Onlineshop auch zu besprechen, was rechtlich und technisch bei weiteren digitalen Aktivitäten zu beachten ist.

Über wesentliche Aspekte der DSGVO informiert auch das folgende Video.

Hat Ihnen der Beitrag gefallen?
Frank Wiercks

ist Mitglied der Redaktion von TRIALOG, dem Unternehmermagazin für Mittelständler, Selbständige und Freiberufler. Außerdem arbeitet er für verschiedene Wirtschafts- und Managementmagazine. Zuvor war er unter anderem Chefredakteur von handwerk magazin und Markt und Mittelstand.

  • Trialog-Newsletter

    Sie möchten künftig keine wichtigen Tipps für Ihr Unternehmen verpassen?
    Mit dem kostenlosen Newsletter halten wir Sie auf dem Laufenden.

  • Experten-Suche

    Mit dem richtigen Partner sicher durch die Corona-Krise kommen, Steuerberater helfen bei Konjunkturpaket und Überbrückungshilfen! Finden Sie auf DATEV SmartExperts den passenden Experten.

    Ich suche








  • Auf Facebook mitdiskutieren

    Sie möchten das Thema vertiefen?
    Dann werden Sie gerne Fan und beteiligen sich an der Diskussion auf unserer Facebook-Fanpage

    Jetzt TRIALOG-Fanpage besuchen

  • DATEV im Web
    YouTube LinkedIn