Die meisten Unternehmen haben heutzutage einen eigenen Onlineauftritt, viele sogar eine eigene App – mindestens zur Information über ihre Angebote, oft auch als Verkaufsplattform. Praktisch immer ist dabei die Veröffentlichung einer Datenschutzerklärung nach DS-GVO verpflichtend, für die einfache Website ebenso wie den opulenten Onlineshop. Im Internet gibt es zwar Vorlagen und Muster, wie so eine Datenschutzerklärung für die Website nach DS-GVO aussehen und etwa über den Einsatz von Google Analytics oder andere Tracking- und Analyse-Tools informieren sollte. Teils finden sich dort sogar Konfiguratoren, mit denen Unternehmerinnen und Unternehmer automatisiert eine eigene Datenschutzerklärung erstellen können. Der Einsatz solcher Lösungen ist allerdings riskant. Bei der Anwendung drohen beispielsweise falsche Eingaben durch Flüchtigkeits- oder Verständnisfehler. Besser wäre es, mit Unterstützung einer spezialisierten Rechtsanwaltskanzlei eine individuelle Datenschutzerklärung nach DS-GVO für die Website oder den Onlineshop zu formulieren. Wichtige Aspekte des Themas sollten Unternehmerinnen und Unternehmer trotzdem kennen – wie auch die anderen Auswirkungen der Datenschutz-Grundverordnung (DS-GVO).
Mit dem Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) wurden Anforderungen rund um die digitale Kommunikation präzisiert. Die wichtigste Klarstellung bezieht sich auf Cookies und Banner, und betrifft somit alle, die eine Website oder einen Webshop betreiben. Das Fachbuch Websites, Cookies & Co – Was sich für Unternehmen ändert gibt Ihnen konkrete Handlungsanleitungen und zeigt Ihnen, wie Sie Bußgelder vermeiden. Das Buch ist erhältlich für DATEV-Mitglieder im DATEV-Shop oder auch im Buchhandel bei Sack, bei Schweitzer online, bei Amazon oder bei Genialokal.
Datenschutzerklärung: Nicht nur wegen der DS-GVO wichtig
Jede Website und jeder Onlineshop braucht eine Datenschutzerklärung nach DS-GVO – zumindest, wenn die Erhebung beziehungsweise Verarbeitung personenbezogener Daten geplant ist. Zwar ließe sich für die Datenschutzerklärung gemäß DS-GVO auf einer Website auch ein allgemeines Muster nutzen. Die individuelle Formulierung des Textes durch Fachleute verspricht jedoch deutlich mehr Rechtssicherheit, schließlich geht es um die Außenwirkung sowie bei möglichen Rechtsverstößen auch um hohe Bußgelder. Was alles als „personenbezogene Daten“ zu gelten hat, definiert Artikel 4 der Datenschutz-Grundverordnung (DS-GVO). Dies sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. „Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“.
Datenschutzerklärung nach DS-GVO für Onlineshop und Website
Dass dies Onlineshops betrifft, ist offensichtlich. Wer bestellt, hinterlässt meistens Lieferungs- oder Zahlungsdaten. Doch selbst bei scheinbar harmlosen Websites ohne direkte Dateneingabe läuft im Hintergrund eine Datenverarbeitung. Zumindest IT-Dienstleister, deren technische Infrastruktur viele Unternehmen nutzen, speichern IP-Adressen von Besucherinnen und Besuchern der Website. Schon darum ist eine Datenschutzerklärung nach DS-GVO für einen Onlineshop immer erforderlich – und für fast jede Website, selbst ohne Nutzung von Analyse-Tools wie etwa Google Analytics. Viele Firmen integrieren außerdem Social-Media-Kanäle wie Facebook oder Instagram auf ihrer Website. Deren sogenannte Social Plugins, etwa der „Gefällt mir“-Button, verknüpfen Daten der Website mit persönlichen Onlineprofilen – eindeutig eine Erhebung oder Verarbeitung personenbezogener Daten, über die zu informieren ist. Bei der Nutzung von sozialen Medien für die Außenkommunikation ist die Rechtsprechung des Europäischen Gerichtshof zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DS-GVO zu beachten. Dazu müssen dann entsprechende vertragliche Regelunge vereinbart werden, um rechtskonforme Verarbeitungen zu gewährleisten.
Unternehmerinnen und Unternehmer sollten ihre Pflichten beim Einrichten einer Internetpräsenz detailliert mit der Rechtsanwaltskanzlei und dem technischem Dienstleister besprechen.
Cyber-Attacken und Datenpannen auf Websites nehmen zu. Bei der DATEV Website-Analyse prüfen wir Ihren Internetauftritt gezielt auf Schwachstellen. Unter anderem durch Prüfung der datenschutzrechtlichen Vorgaben, die Analyse der Sicherheitseinstellungen sowie die Überprüfung der Datenschutzerklärung. Informieren Sie sich über die DATEV Website-Analyse.
Auch an weitere gesetzliche Vorgaben denken
Die Datenschutzerklärung nach DS-GVO ist also quasi für jede Website und jeden Onlineshop ein Muss, egal ob ein Muster oder ein individuell erstellter Text zum Einsatz kommt und ob Analyse-Tools wie Google Analytics genutzt werden oder nicht. Mit ihrem Inkrafttreten am 25. Mai 2018 ersetzte die Datenschutz-Grundverordnung nämlich die zuvor in den Datenschutzgesetzen von Bund und Ländern sowie im §13 Telemediengesetz (TMG) festgeschriebenen Vorgaben für eine Datenschutzerklärung. Sonderregelungen existieren aber weiter für die Telekommunikation – sie sind im Telekommunikationsgesetz (TKG) festgehalten. Zudem müssen Firmenchefs und -chefinnen wissen, dass sie der Verzicht auf eine Datenschutzerklärung auch mit anderen Gesetzen in Konflikt bringt. Wer gewerbsmäßig einen Onlineshop oder eine Website mit einer falschen oder ohne Datenschutzerklärung nach DS-GVO betreibt, verstößt auch gegen das Gesetz gegen unlauteren Wettbewerb (UWG).
Das gehört in eine Datenschutzerklärung nach DS-GVO
Die Datenschutzerklärung nach DS-GVO dient bei einer Website oder einem Onlineshop einem klaren Zweck. Sie soll Besucherinnen und Besucher der Website aufzeigen, in welchem Umfang und zu welchen Zwecken das Unternehmen jene personenbezogenen Daten verwendet, die es beim Nutzen der Internetpräsenz sammelt. Etwa, ob und wenn welche Informationen an Dritte gehen. Nur wer weiß, was mit den erhobenen Daten passiert, kann ihrer Verwendung widersprechen oder die Homepage verlassen. Deshalb müssen Unternehmen die Internetnutzerinnen und -nutzer umfassend sowie korrekt darüber in Kenntnis setzen, was technisch auf der Website stattfindet. Etwa beim Verarbeiten von IP-Adressen und Browser-Daten oder beim Einsatz von Cookies, Webanalyse-Tools wie Google Analytics oder Social-Media-Plugins. Und dies muss verständlich sowie übersichtlich geschehen. Das erfordert höchste Sorgfalt, damit kein Fehler passiert. Per Datenschutzerklärung – nach einem Muster erstellt oder individuell von Fachleuten formuliert – mitzuteilen sind zum Zeitpunkt der Datenerhebung neben der konkreten Rechtsgrundlage, also Artikel 13 und 14 der DS-GVO, auch
- Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls der Vertretung nach Art. 27 DS-GVO,
- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten, sofern einer benannt wurde,
- die konkreten Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
- gegebenenfalls die berechtigten Interessen, die von dem Verantwortlichen oder von Dritten verfolgt werden,
- falls vorhanden, die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten sowie
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der EU-Kommission oder im Falle bestimmter Übermittlungen einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
Separat auf das Widerrufsrecht hinweisen
Zusätzlich zu diesen Punkten schuldet der Verantwortliche für die Datenerhebung den betroffenen Personen zum Zeitpunkt der Datenerhebung weitere Informationen. Sie sind erforderlich für die Datenschutzerklärung nach DS-GVO auf der Website oder im Onlineshop, um eine faire und transparente Verarbeitung zu gewährleisten – unabhängig davon, ob die Datenschutzerklärung auf einem Muster basiert oder ein individuell von Fachleuten formulierter Text zum Einsatz kommt. Es geht dabei um
- die Dauer, für die personenbezogene Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer,
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten, das Bestehen eines Rechts auf Berichtigung, Löschung und Einschränkung der Verarbeitung, das Bestehen eines Widerspruchsrechts gegen die Verarbeitung sowie eines Rechts auf die Übertragbarkeit der Daten,
- das bestehende Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird,
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
- die Frage, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte, sowie
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling sowie – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Wollen Verantwortliche die personenbezogenen Daten für einen anderen Zweck weiterverarbeiten als den, für den sie erhoben wurden, sind die Betroffenen vor der Weiterverarbeitung über diesen anderen Zweck sowie alle anderen maßgeblichen Aspekte zu informieren. Zudem ist ein separater Hinweis auf das Widerrufsrecht der Nutzerinnen und Nutzer vorgeschrieben. So eine Datenschutzerklärung nach DS-GVO auf der Website oder im Onlineshop kann also ganz schön umfangreich sein.
Google Analytics und Co. in der Datenschutzerklärung nennen
Damit die Datenschutzerklärung nach DS-GVO auf der Website oder im Onlineshop verständlich und übersichtlich ist, empfiehlt sich eine klare Gliederung, der auch viele verfügbare Muster folgen. Das betrifft insbesondere die konkrete Art der Datenerhebung. Wer eine Website betreibt, sollte sauber auflisten, welche verschiedenen Arten von Datensätzen gesammelt und welche Tools genutzt werden. Das beginnt schon bei der IP-Adresse, die in Nutzungsstatistiken eingeht. Oder der Erfassung von Browser-Daten, die Informationen etwa über Betriebssystem und Browser liefern, mit denen Besucherinnen oder Besucher arbeiten. Und vor allem natürlich den Einsatz von Cookies. Die kleine Datenpakete werden auf Endgeräten der Nutzerinnen und Nutzer einer Website gespeichert, etwa zur Erleichterung des Logins im Onlineshop. Hier reicht nicht allein der Hinweis auf ihren Einsatz. Je nach Art der genutzten Technik sind spezielle datenschutzrelevante Aspekte kurz darzulegen, beispielsweise zur Speicherdauer. Hier empfiehlt sich bei einem umfassenden Einsatz unbedingt die Rücksprache mit Fachleuten für dieses Thema.
DATEV unterstützt Sie bei der Umsetzung der gesetzlichen Datenschutzvorschriften – individuell und praxisnah. Neben unseren Datenschutz-Experten unterstützen Sie weitere Spezialisten bei Bedarf, zum Beispiel zum Thema IT-Sicherheit. Informieren Sie sich über die Datenschutz-Beratungen.
Google Analytics kann der Besucher einer Website deaktivieren
In der Datenschutzerklärung nach DS-GVO für die Website oder einen Onlineshop sind unbedingt Analyse-Tools wie etwa Google Analytics aufzuführen. Informieren müssen Betreiber einer Website über den konkreten Vorgang der Datenerhebung durch das Analyse-Tool sowie die anschließende Verarbeitung der Daten. Und Möglichkeiten zur Verhinderung einer Datenerhebung sowie das Widerspruchsrecht. Die Datenschutzerklärung gemäß DS-GVO auf einer Website könnte für Google Analytics beispielsweise einen Link auf eine Seite setzen, auf der sich der Einsatz des Tools deaktivieren lässt – das empfehlen auch viele Muster. Die Informationspflicht gilt natürlich ebenso für Social-Media-Plugins wie den „Gefällt mir“-Button von Facebook oder den „Tweet“-Button von Twitter. Über die mit der Verknüpfung von Website und Onlineprofil verbundenen Datenerhebung sind Besucherinnen oder Besucher der Website aufzuklären. Seitenbetreiber sollten mit auf dieses Thema spezialisierten Fachleuten klären, wie sich Buttons technisch so einbinden lassen, dass sie nicht gleich Daten sammeln, sondern diese Funktion erst vom Nutzer oder der Nutzerin aktiviert werden muss.
Bei der Datenschutzerklärung alle Formalien beachten
Eine Datenschutzerklärung ist nach DS-GVO auf der Website oder im Onlineshop gut sichtbar und erkennbar so zu platzieren, dass Besucherinnen oder Besucher sie direkt zu Beginn der Nutzung schnell und einfach erreichen sowie auch auf jeder Unterseite immer sehen können. Deshalb gilt als Empfehlung und hat sich inzwischen etabliert:
- Die Datenschutzerklärung muss gleich nach dem Aufruf einer Website und von jeder Unterseite mit einem Klick erreichbar sein. Sie darf sich nicht quasi im Kleingedruckten an unerwarteter Stelle verstecken, weil betroffene Personen dann länger suchen müssten als nötig.
- Es reicht nicht, einen Link im Impressum zu setzen – Impressum und Datenschutzhinweise sind klar voneinander abzugrenzen. Am besten ist ein eigener fester Navigationspunkt für den Datenschutz in der Fußleiste jeder Seite des Onlineauftritts.
- In der Fußleiste steht der Datenschutz dann gut sichtbar als eigener Punkt direkt neben dem Impressum mit den anderen Pflichtangaben.
- Bei der technischen Gestaltung der Website ist wichtig, dass dies auf jedem stationären und mobilen Endgerät funktioniert – unabhängig von Browser, Betriebssystem oder Bildschirmgröße.
- Die Datenschutzerklärung nach DS-GVO soll in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache gestaltet sein. Der Text muss für Nicht-Techniker sowie Nicht-Juristen verständlich sein. Also nicht nur Paragrafen oder Technologien nennen, sondern den Sinn mit auch für Laien verständlichen Worten erklären.
- Bei der Formulierung ist wichtig, dass die Datenschutzerklärung für eine Website oder einen Onlineshop nicht nur inhaltlich alle von der DS-GVO geforderten Angaben enthält, die auch aus einem Muster übernommen werden könnten. Es muss sichergestellt sein, dass alle Verarbeitungen, die über diese Website erfolgen, auch angegeben werden.
Datenschutzerklärung nach DS-GVO: Im Onlineshop oft mehrsprachig
Ausländische Websites brauchen eine Datenschutzerklärung, wenn sich die dort präsentierten Produkte oder Dienstleistungen an EU-Bürger richten oder das Unternehmen eine Niederlassung in der EU hat. Deutsche Firmen, die eine Website oder einen Onlineshop in deutscher Sprache betreiben, brauchen eine Datenschutzerklärung nach DS-GVO auf Deutsch. Mehrere Sprachversionen können aber zwingend sein. Adressiert ein Unternehmen mit seinen Services oder Dienstleistungen auch Kunden in einem anderen EU-Land und betreibt dafür eine mehrsprachige Internetpräsenz oder eine zweite in der Landessprache, ist eine Datenschutzerklärung nach DS-GVO für die Website oder den Onlineshop zusätzlich in dieser Sprache notwendig. Dabei sind die Anforderungen zu erfüllen wie bei der deutschsprachigen Variante. Wichtiger Anhaltspunkt für das Adressieren internationaler Kundengruppen ist neben fremdsprachigen Texten eine Telefonnummer mit internationaler Vorwahl auf der eigenen Website oder im Onlineshop oder die Lieferung auch ins Ausland. Klarheit zur Notwendigkeit einer Datenschutzerklärung in weiteren Sprachen bringt ein Gespräch mit der Rechtsanwaltskanzlei oder dem eigenen Datenschutzbeauftragten.
Machen Sie sich im Seminar Datenschutz aktuell 2023 – die Datenschutz-Grundverordnung in der Praxis mit den datenschutzrechtlichen Verpflichtungen und aktuellen Brennpunkten vertraut. So können Sie aktuelle Fragestellungen im Datenschutz lösen und die entsprechenden Maßnahmen im Unternehmen gesetzeskonform umsetzen. Zusätzlich können Sie sich zu den Erfahrungen im Umgang mit der DS-GVO im Kollegenkreis austauschen. Melden Sie sich jetzt an zum Seminar Datenschutz aktuell 2023.
Diese Folgen drohen beim Verstoß gegen die DS-GVO
Teuer machen das Fehlen einer korrekten Datenschutzerklärung nach DS-GVO bei Website oder Onlineshop die drohenden Bußgelder. Ohne Datenschutzerklärung auf der Website oder bei inhaltlichen beziehungsweise formalen Verstößen – egal ob durch unbrauchbare Muster oder eigene Formulierungen – droht die DS-GVO jedem Unternehmen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes als Strafe an – je nachdem, was mehr ist. Inzwischen haben die Aufsichtsbehörden für Datenschutz in den Bundesländern einen Bußgeldkatalog beschlossen und wiederholt angewendet. Hierzulande gab es bereits Millionenstrafen für Datenschutzverstöße. Aber selbst, wenn die Datenschutzerklärung nur kleine Mängel aufweist und die Aufsichtsbehörde lediglich eine Ermahnung ausspricht, dürfte Ärger drohen. Konkurrenten oder Verbraucherorganisationen könnten eine Abmahnung wegen Verstößen gegen das Wettbewerbsrecht schicken. Wie weitreichend die Möglichkeiten zu Abmahnungen sind und wie teuer sie werden, dazu gibt es keine einheitliche Rechtsprechung. Nur wer rechtzeitig mit der Rechtsanwaltskanzlei oder seinem Datenschutzbeauftragten spricht und keine Fehler macht, ist wirklich auf der sicheren Seite.
Datenschutzerklärung nach DS-GVO nicht nur für die Website
Ganz wichtig: Die Vorgaben zum Datenschutz gelten natürlich auch für andere moderne Technologien, etwa Apps. Es wäre also sinnvoll, im Austausch mit der Rechtsanwaltskanzlei oder einem technischen Dienstleister neben der Datenschutzerklärung nach DS-GVO für Website oder Onlineshop auch zu besprechen, was rechtlich und technisch bei weiteren digitalen Aktivitäten zu beachten ist.