Datenschutz im Internet - Die Datenschutzerklärung I. Grundsätzliches Bietet jemand einen elektronischen Informations- und/oder Kommunikationsdienst, wie etwa eine Website, eine App, Werbeemails oder Social Media an, ist das Telemediengesetz (TMG) anzuwenden. Danach gilt es zu beachten, dass jede Zurverfügungstellung eines solchen elektronischen Dienstes ihrer eigenen Datenschutzerklärung bedarf. Zentrale Norm ist der § 13 TMG, welcher vorschreibt, dass Informationen zu Art, Umfang und Zweck jeder Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten dem Betroffenen zur Verfügung zu stellen sind. Die inhaltliche Ausgestaltung einer solchen Datenschutzerklärung richtet sich also danach, welche Funktionen der jeweilige Dienst vornimmt. Daraus erklärt sich, dass es eine Musterdatenschutzerklärung nicht geben kann - vielmehr ist diese individuell danach auszugestalten, welche Daten auf welche Weise durch den Dienst erhoben werden (können). Als Checkliste -mehr aber auch nichtkann der „One-Pager“ und dessen Erläuterungen des BMJV dienen, welche unter folgendem Link abrufbar sind: http://www.bmjv.de/SharedDocs/Pressemitteilungen/DE/2015/11192915_Vorstellung_OnePager.html Nach dem im Datenschutz geltenden Zweckbindungsgrundsatz ist jede Datenerhebung, die nicht durch Gesetz oder eine Einwilligung legitimiert ist, verboten. Das Verhältnis zwischen gesetzlicher Erlaubnis und Einwilligung ist derart ausgestaltet, dass es im Falle einer gesetzlichen Erlaubnis keiner Einwilligung bedarf. Beispiel für eine gesetzliche Erlaubnis ist § 28 I Nr. 1 BDSG, welcher besagt, dass es zulässig ist, Daten zur Erfüllung des Kaufvertrages weiterzugeben - wie etwa die Übermittlung der Adressdaten des Kunden an das ausliefernde Transportunternehmen. Ansonsten ist grundsätzlich jegliche Art der Datenverarbeitung möglich, soweit der Betroffene ausdrücklich eingewilligt hat. Eine ausdrückliche Einwilligung liegt nicht vor, wenn diese in AGB oder mittels einer vorangekreuzten Erklärung erfolgt. Zudem muss die Erklärung den Zweck der Verarbeitung benennen. Diese Einwilligung muss für den Betroffenen jederzeit abrufbar sein. Zudem kann sie jederzeit widerrufen werden, mit der Folge, dass die Zulässigkeit der Datenverarbeitung endet. In jedem Fall dürfen immer nur so wenige Daten wie möglich erhoben werden. Zudem sind sowohl Pflicht- als auch freiwillige Angaben zu kennzeichnen. Sollten die datenschutzrechtlichen Bestimmungen nicht eingehalten werden drohen je nach Verstoß Freiheitsstrafen, Bußgelder, die Entziehung der Gewerbeerlaubnis, wettbewerbsrechtliche Abmahnungen oder auch Unterlassungsklagen der betroffenen Kunden. Zuständige Behörde für die Ahndung von Verstößen gegen das Telemediengesetz mittels Bußgeldern ist die Bezirksregierung Düsseldorf. II. Art und Weise der Information Die Datenschutzerklärung, bei welcher es sich nicht um AGB handelt, sollte mittels eines sprechenden Links auf jeder Seite in Bezug genommen werden. Alternativ kann auch eine eigenständige Kundeninformationsseite eingerichtet werden. Aber auch diesbezüglich bedarf es eines ausdrücklichen Links, der stets für den Betroffenen verfügbar und zugänglich ist. Unzureichend ist ein Link auf die AGB. III. Die Datenschutzerklärung im Einzelnen a. Die Datenschutzerklärung muss in allgemein verständlicher Form über die Art, den Umfang und den Zweck jeder Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten informieren (§ 13 TMG, § 33 I BDSG). Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Umfasst sind danach etwa Adressangaben oder der Name. Somit ist auch auf eine nicht sichtbare, automatisierte Datenerhebung hinzuweisen, wie sie etwa durch Web-Analyse-Tools durchgeführt wird. In diesem Fall gelten zudem weitergehende Voraussetzungen, da innerhalb der Webanalysedienste eine Profilbildung stattfindet. Insoweit ist ein ausdrückliches Einverständnis dahingehend erforderlich, dass eine Verknüpfung zwischen diesem Profil und personenbezogenen Daten erfolgt. Hinsichtlich eines solchen Einverständnisses muss eine ständige Widerrufsmöglichkeit gegeben sein auf die entsprechend hinzuweisen ist. b. Des Weiteren muss die Datenschutzerklärung einen Hinweis auf eine anonyme/pseudonyme Nutzungsmöglichkeit der Website hinweisen, soweit eine solche besteht. c. Werden Bestandsdaten zur Vertragserfüllung erhoben und verwendet, so ist hierauf hinzuweisen. Wegen des gesetzlichen Erlaubnistatbestand genügt ein Hinweis- eine Einwilligung ist nicht erforderlich. Bestandsdaten sind personenbezogene Daten, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind. d. Im Zusammenhang mit der Verwendung von Cookies besteht die Besonderheit, dass die Situation im besonderen Maße durch eine unklare Rechtslage geprägt ist. Hintergrund ist die streitige Frage, ob die bestehende nationale gesetzliche Regelung des § 13 TMG bereits für die Umsetzung der unionsrechtlichen Cookie-Richtlinie ausreicht. Insoweit ist bisher nicht geklärt, wie den datenschutzrechtlichen Bestimmungen in Bezug auf Cookies entsprochen werden kann. Jedenfalls ist bei dem Einsatz von Cookies, die eine spätere Identifizierung des Nutzers, sowie die Vorbereitung einer personenbezogenen Datenerhebung ermöglichen, der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Diese Unterrichtung hat jederzeit abrufbar zu sein. Außerdem sind Angaben erforderlich, die die Möglichkeit der Ablehnung von Cookies beinhalten. Zur Erfüllung dieser Vorgaben wird eine Lösung mittels Bannern empfohlen. In der Datenschutzerklärung sollte zudem darüber informiert werden, welchem Verwendungszweck die Cookies dienen und dass es über den Browser die Möglichkeit gibt bestimmte oder auch alle Cookies abzulehnen. e. Sollen Daten zu Werbezwecken genutzt werden, muss die Datenschutzerklärung einen Hinweis zu den bestehenden Widerspruchs- oder Widerrufsmöglichkeiten gegen eine solche Nutzung der Daten enthalten. f. Da der Inhalt der innerhalb des Dienstes erteilbaren Einwilligungen jederzeit abrufbar sein muss, sollten diese in der Datenschutzerklärung wiederholt werden. g. Sollte die Website eine Bonitätsprüfung vornehmen, ist dringend zu empfehlen, diese ebenfalls nur im Falle einer ausdrücklich erklärten Einwilligung vorzunehmen. Zwar genügt bei einem berechtigten Interesse (Bsp.: Online-Händler tritt in Vorleistung) - aber auch nur dannder Hinweis auf eine Abbruchmöglichkeit, allerdings besteht auch in diesem Fall eine gewisse Rechtsunsicherheit, sodass die Annahme eines solchen Interesses mit Vorsicht zu erfolgen hat. Zudem ist es von Vorteil den Datenempfänger genau zu bezeichnen. Zu berücksichtigen gilt es auch, dass die Bonitätsprüfung in der Regel auch Score-Werte enthält. Sodann ist mitzuteilen, auf welcher wissenschaftlichen Grundlage das Prüfungsverfahren erfolgt. h. Zudem ist über Auskunfts-, Berichtigungs-, Sperrungs- und Löschungsrechte zu informieren. i. Es hat ein Hinweis auf Datenverarbeitungen in Drittstaaten ohne äquivalenten Datenschutz (z.B.: USA) zu erfolgen. j. Sollten Daten außerhalb der Vertragserfüllung an Dritte weitergegeben werden, so sind dem Betroffenen der Empfänger und der Zweck der Weitergabe in der Datenschutzerklärung zu nennen. k. Gegebenenfalls hat ein Hinweis auf eine verschlüsselte Datenübertragung zu erfolgen. l. Sobald mindestens 10 Mitarbeiter in einem Unternehmen mit den Daten arbeiten, ist ein Datenschutzbeauftragter zu benennen. Dieser ist sodann auch in der Datenschutzerklärung mitzuteilen. Weitere Informationen hierzu finden Sie in unserem Merkblatt „Der betriebliche Datenschutzbeauftragte“ http://www.ihkkoeln.de/upload/DerBetrieblicheDatenschutzbeauftragte_1825.pdf?ActiveID=4548 IV. Sonderfall Email-Werbung Zur Vornahme von Email-Werbung ist eine protokollierte Einwilligung erforderlich, welche zu erkennen gibt, dass es dem Nutzer bei Erklärung dieser Einwilligung bekannt gewesen ist, welche konkreten Waren von welchem Unternehmer beworben werden sollen. Dies kann mithilfe eines separaten „OptIn“ auf der Website selbst erfolgen. Für den Nachweis, den der Websitebetreiber zu führen hat, ist jedoch lediglich das „Double Opt-In - Verfahren“ geeignet. Zudem muss der Nutzer spätestens gleichzeitig mit der Einwilligungserteilung auf die bestehende Widerrufsmöglichkeit hingewiesen werden. Unzulässig ist es die Einwilligung mittels Email einzuholen, da dies bereits eine unzulässige Datennutzung ohne vorherige Einwilligung darstellt. Dieses Beispiel verdeutlicht, dass das Datenschutzrecht ein hohes Maß an Aufmerksamkeit und Reflektion der eigenen Betriebsabläufe erfordert. Weitere Informationen hierzu finden Sie in unserem Merkblatt „Telemarketing“ http://www.ihk-koeln.de/upload/Telemarketing_1968.pdf Hinweis: Dieses Merkblatt soll - als Service Ihrer IHK Köln - nur erste Hinweise geben und erhebt keinen Anspruch auf Vollständigkeit. Obwohl es mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden. Stand: März 2016 Mitgliedsunternehmen der IHK Köln und solche Personen, die in der Region Köln die Gründung eines Unternehmens planen, erhalten weitere Informationen bei: Ihre Ansprechpartnerinnen: Zum Thema Datenschutz: Birgit Wirtz Tel. 0221 1640-330 Fax 0221 1640-338 E-Mail: [email protected] Industrie- und Handelskammer zu Köln Unter Sachsenhausen 10–26 50667 Köln www.ihk-koeln.de Zum Thema Internetrecht: Susanne Wollenweber Tel. 0221 1640-310 Fax: 0221 1640-319 E-Mail: [email protected] Bitte bewerten Sie das von Ihnen genutzte IHK-Merkblatt - hier geht´s zum kurzen Online-Fragebogen. Vielen Dank für Ihr Feedback!
© Copyright 2025 ExpyDoc
