Rechtsratgeber Datenschutzerklärung

Die DSGVO beinhaltet mehrere Grundsätze für den Umgang mit personenbezogenen Daten.

• Rechtmäßigkeit
  Daten müssen rechtmäßig, nach Treu und Glauben sowie transparent verarbeitet werden.
• Zweckbindung
  Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden.
• Datenminimierung
  Die Erhebung von Daten ist auf das notwendige Maß zu beschränken.
• Richtigkeit
  Daten müssen richtig sein, unrichtige Daten sind zu korrigieren.
• Speicherbegrenzung
  Daten dürfen nur so lange gespeichert werden, wie der festgelegte Zweck es erfordert. Ist der Zweck erreicht, müssen sie gelöscht werden.
• Datensicherheit
  Der Verantwortliche muss Maßnahmen ergreifen, um Daten zu schützen. Dazu gehört bei Webseiten z.B. der Einsatz einer Verschlüsselung.
• Rechenschaftspflicht
  Die Einhaltung der genannten Grundsätze ist durch den Verantwortlichen ggf. nachzuweisen.

Diese Grundsätze sind keine unverbindlichen Programmsätze, sondern eine rechtliche Verpflichtung. Werden beispielsweise entgegen dem Grundsatz der Datenminimierung in einem Formular zahlreiche Daten abgefragt, obwohl dies nicht erforderlich ist, stellt dies einen Verstoß gegen die DSGVO dar.

Unter personenbezogenen Daten sind alle Informationen, die sich auf eine bestimmte Person beziehen. Das können Daten sein, die sie unmittelbar identifizieren, etwa der Name oder ein Foto.

Aber auch eine Onlinekennung, eine Nutzer-ID oder die IP-Adresse stellen personenbezogene Daten dar. Denn auch wenn man mit diesen nur etwas anfangen kann, wenn man weitere Informationen hat, sind sie zumindest personenbeziehbar. Der Begriff der personenbezogenen Daten ist also weit gefasst.

Daten werden verarbeitet, wenn sie durch einen Verantwortlichen genutzt werden. Die DSGVO nennt ausdrücklich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung.

Dies bedeutet zum Beispiel: Bei der Einbindung eines Plugins, das von dem Server eines Drittanbieters geladen wird, werden hiernach Daten verarbeitet. Denn wenn der Nutzer die Webseite mit dem Plugin aufruft, baut sein Browser eine Verbindung mit dem Server des Drittanbieters auf, um das Plugin abzuholen. Technisch setzt dies voraus, dass die IP-Adresse des Nutzers übermittelt wird. Diese automatische Übermittlung stellt eine Verarbeitung dar, über die der Nutzer ggf. in der Datenschutzerklärung aufzuklären ist.

Verantwortlicher ist, wer alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei einer Webseite ist dies der Webseitenbetreiber. Denn er entscheidet, welche Daten des Nutzers verarbeitet werden und in welcher Weise.

Seiner Verantwortlichkeit kann sich der Webseitenbetreiber nicht dadurch entziehen, dass er Drittdienste einsetzt, bei denen er nicht weiß, wie diese mit personenbezogenen Daten umgehen. Er muss sicherstellen, dass die von ihm eingesetzten Plugins und Tools datenschutzkonform sind. Wenn er dies nicht kann, muss er auf einen Einsatz verzichten.

Ein Auftragsverarbeiter verarbeitet – wie der Begriff schon erahnen lässt – personenbezogene Daten im Auftrag des Verantwortlichen. Das bedeutet, er nutzt diese nicht für eigene Zwecke, sondern ist abhängig von den Weisungen des Verantwortlichen.

Beispiel: Der Hoster einer Webseite ist Auftragsverarbeiter, weil er Daten nur im Auftrag seines Kunden speichert. Bei Cloudanwendungen („Software as a Service“ – SaaS) liegt ebenfalls häufig eine Auftragsverarbeitung vor.

Wenn ein Auftragsverarbeiter eingesetzt wird, muss der Verantwortliche einen Auftragsverarbeitungsvertrag mit diesem abschließen. In diesem regeln der Verantwortliche und der Auftragsverarbeiter, wie mit personenbezogenen Daten umzugehen ist. Die Anforderungen an einen solchen Vertrag sind in Art. 28 DSGVO geregelt.

Wichtig zu verstehen ist: Nicht jede Übermittlung von Daten stellt eine Datenverarbeitung im Auftrag dar. Wenn fremde Fachleistungen bei einem eigenständig Verantwortlichen in Anspruch genommen werden, ist kein Auftragsverarbeitungsvertrag abzuschließen.

Beispiel: Ein Auftrag zur Überweisung von Geld an eine Bank. Auch wenn personenbezogene Daten übermittelt werden (Name und IBAN des Empfängers), handelt es sich nicht um eine Auftragsverarbeitung.

Wenn nicht nur der Webseitenbetreiber über die Zwecke und Mittel der Verarbeitung entscheidet, sondern auch ein oder mehrere weitere Verantwortliche, liegt eine gemeinsame Verantwortlichkeit vor. Im Unterschied zum Auftragsverarbeiter nutzt der andere die Daten nicht nur zur Bereitstellung eines Dienstes, sondern zu eigenen Zwecken.

Beispiel: Bei der Einbindung des Like-Buttons von Facebook liegt eine gemeinsame Verantwortlichkeit vor (EuGH, Urteil vom 29.07.2019 – C‑40/17 – „Fashion-ID“).

Im Falle einer gemeinsamen Verantwortlichkeit sind die Beteiligten verpflichtet, in einer Vereinbarung in transparenter Form festzulegen, wie sie ihrer datenschutzrechtlichen Verantwortung nachkommen.

Wenn Daten verarbeitet werden sollen, braucht es eine Rechtsgrundlage. Die DSGVO nennt sechs Rechtsgrundlagen in Art. 6 DSGVO, für Webseitenbetreiber sind vor allem relevant:

• Einwilligung
  Der Nutzer hat seine Einwilligung erteilt (Art. 6 Abs. 1 UAbs. 1 Buchst. a) DSGVO);
• Vertragsdurchführung
  Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (Art. 6 Abs. 1 UAbs. 1 Buchst. b) DSGVO);
• Rechtliche Verpflichtung
  Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (Art. 6 Abs. 1 UAbs. 1 Buchst. c) DSGVO);
• Berechtigte Interessen
  Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (Art. 6 Abs. 1 UAbs. 1 Buchst. f) DSGVO).

Webseitenbetreiber müssen vor einer Verarbeitung prüfen, ob sie diese auf eine der genannten Rechtsgrundlagen stützen können.

Beispiel: Ein Kunde bestellt Waren im Onlineshop. Die Verarbeitung der Kontaktdaten, der Bestelldaten und der Zahlungsdaten erfolgt zur Vertragsdurchführung und der Nutzer ist Vertragspartei. Die IP-Adresse des Nutzers darf für sieben Tage in den Serverlogfiles gespeichert werden. Denn anhand der IP-Adressen kann die Webseitensicherheit verbessert werden. Dies stellt ein berechtigtes Interesse des Webseitenbetreibers dar. Meldet sich der Nutzer für einen Newsletter an, muss er zuvor einwilligen, dass seine E-Mail-Adresse verarbeitet wird. Für die Rechnung besteht eine gesetzliche Aufbewahrungspflicht von 10 Jahren.

Als die DSGVO in Kraft trat, konnte man den Eindruck gewinnen, eine Verarbeitung von Daten sei nur mit einer Einwilligung zulässig. Denn gefühlt jeder verlangte, dass in die Verarbeitung eingewilligt wird. Das hat sich mittlerweile gelegt – zu Recht. Einer Einwilligung bedarf es nur, wenn die Verarbeitung nicht auf eine andere Rechtsgrundlagen gestützt werden kann.

Beispiel: Ein Tracking von Nutzern, also das Nachverfolgen von Aktivitäten einzelner Nutzer auf einer Webseite, kann nicht auf ein berechtigtes Interesse des Webseitenbetreibers gestützt werden.

An eine wirksame Einwilligung werden mehrere Anforderungen gestellt:

• Die Einwilligung muss vor Beginn der Verarbeitung eingeholt werden, nicht nachträglich.
• Sie muss ausdrücklich erklärt werden, also durch eine eindeutige bestätigende Handlung. Ein bereits angekreuztes Kontrollkästchen ist daher unzulässig. Auch wenn der Nutzer dieses abwählen kann, willigt er nicht selbst ein, sondern er schweigt.
• Die Einwilligung muss in informierter Weise erfolgen werden. Der Verantwortliche hat daher transparent darüber aufzuklären, in welche Verarbeitung eingewilligt wird.
• Die Einwilligung ist zweckgebunden und muss sich daher auf einen oder mehrere Zwecke beziehen.

Eine erteilte Einwilligung kann jederzeit widerrufen werden. Über die Möglichkeit zum Widerruf ist der Nutzer zu belehren. Der Widerruf der Einwilligung muss zudem so einfach sein wie ihre Erteilung.

Der Verantwortliche muss zudem nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Aus diesem Grunde müssen Webseitenbetreiber die Einwilligung von Nutzern in geeigneter Form protokollieren. Im Falle von Newslettern kann beispielsweise durch den Klick auf einen Bestätigungslink nachvollzogen werden, dass der Inhaber der E-Mail-Adresse den Versand wünscht.

Wenn die Verarbeitung von Daten erforderlich ist, damit ein Vertrag geschlossen oder erfüllt wird. Auf die Vertragserfüllung kann allerdings nur die Datenverarbeitung gestützt werden, wenn die betroffene Person selbst Vertragspartei ist.

Für die Vertragserfüllung nicht erforderliche Daten dürfen nur verarbeitet werden, wenn eine andere Rechtsgrundlage dies zulässt.

Gesetzliche Pflichten können sich beispielsweise aus dem Steuer- oder Handelsrecht ergeben. Solange eine solche Verpflichtung besteht, ist auch die Verarbeitung rechtmäßig. Diese muss sich aber im Rahmen des gesetzlichen Zwecks halten.

Berechtigte Interessen können wirtschaftliche oder ideelle Interessen des Verantwortlichen sein. Webseitenbetreiber können beispielsweise ein Interesse an Betrugsprävention, Direktwerbung oder der Verbesserung ihrer Webseite bzw. der Webseitensicherheit haben.

Eine Verarbeitung aufgrund eines berechtigten Interesses erfordert eine Abwägung mit den Interessen des Betroffenen. Dabei sind die vernünftigen Erwartungen der betroffenen Person und die Absehbarkeit der Verarbeitung zu berücksichtigen. Wenn die Interessen des Betroffenen überwiegen, kann auch ein grundsätzlich berechtigtes Interesse die Datenverarbeitung nicht rechtfertigen.

Beispiel: Der Nutzer einer Webseite wird erwarten und absehen, dass der Webseitenbetreiber einfache Statistiken über die Nutzung der Webseite erhebt. Eher nicht erwarten wir er, wenn seine Aktivitäten im Einzelnen nachverfolgt und an ein Unternehmen in den USA übermittelt werden. Aus diesem Grunde vertreten die Aufsichtsbehörden, dass Google Analytics nicht auf Grundlage eines berechtigten Interessen eingesetzt werden kann.

Ein Widerspruchsrecht kann der Nutzer nach Art. 21 DSGVO ausüben, wenn er Gründe anführen kann, die sich aus seiner besonderen Situation ergeben. In diesem Falle darf der Verantwortliche die Daten nicht mehr verarbeiten. Wenn Daten zur Direktwerbung verarbeitet werden, z.B. bei Bestandskundenwerbung, ist ebenfalls ein Widerspruch möglich.

Ein Widerspruchsrecht kann der Nutzer nach Art. 21 DSGVO ausüben, wenn er Gründe anführen kann, die sich aus seiner besonderen Situation ergeben. In diesem Falle darf der Verantwortliche die Daten nicht mehr verarbeiten. Wenn Daten zur Direktwerbung verarbeitet werden, z.B. bei Bestandskundenwerbung, ist ebenfalls ein Widerspruch möglich.

Werden die Voraussetzungen der DSGVO nicht eingehalten, drohen Sanktionen in mehrfacher Hinsicht:

Die Aufsichtsbehörden können Bußgelder von bis zu 20.000.000 € oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen.

Ob Verstöße gegen DSGVO abgemahnt werden können, ist noch nicht abschließend geklärt. Die überwiegende Zahl der bisher ergangenen Gerichtsentscheidungen tendiert allerdings in diese Richtung.

Zudem können Betroffene nach Art. 82 DSGVO Schadensersatz gegen den Verantwortlichen geltend machen, auch für immaterielle Schäden.

Wahrscheinlich schon. Die Gerichte sind sich hier nicht einig, überwiegend wird aber eine Möglichkeit zur Abmahnung aber wohl bejaht.

Für Webseiten hat das Landgericht Würzburg entschieden, dass eine fehlende Datenschutzerklärung einen Wettbewerbsverstoß darstellt (LG Würzburg, Beschluss vom 13.9.2018 – 11 O 1741/18).

Für eine Abmahnbarkeit haben ebenfalls entschieden:

KG Berlin, Urteil vom 20.12.2019 – 5 U 9/18; OLG Stuttgart, Urteil vom 27. Februar 2020 – 2 U 257/19; OLG Naumburg, Urteil vom 7.11.2019 – 9 U 6/19.

An erster Stelle steht die Bestandsaufnahme. Welche Daten werden von Ihnen verarbeitet? Machen Sie eine Liste, wann Nutzer Ihrer Seite ihre Daten hinterlassen.

Einige ausgewählte Fälle:

• Serverlogfiles
• Kontaktaufnahme
• Bestellungen im Onlineshop
• Buchhaltung
• Bewerber für Stellen
• ...

Die Bestandsaufnahme können Sie über „Einfach Abmahnsicher“ abkürzen. Wir stellen Ihnen einige wenige Fragen – und Sie vergessen nichts.

Über die Webseite werden automatisch personenbezogene Daten verarbeitet.

Beispiel: Speichert Ihr Server die IP-Adresse von Nutzern in Logfiles und wie lange?

Wenn Sie diese Fragen nicht selbst beantworten können, fragen Sie Ihren Administrator.

Achten Sie darauf, dass Ihre Webseite verschlüsselte Verbindungen erzwingt. Ob Ihre Webseite überhaupt über eine Verschlüsselung verfügt, können Sie selbst überprüfen. Rufen Sie dazu Ihre Webseite auf und klicken Sie auf das Schloss in der Adressleiste. Wenn Ihre Webseite nicht über eine Verschlüsselung verfügt, sollten Sie eine solche implementieren. Das schützt die Daten Ihrer Nutzer, außerdem berücksichtigen Suchmaschinen mittlerweile, ob eine Webseite verschlüsselt ist.

Unsere Analyse unterstützt Sie bei diesem Schritt. An der Auswertung können Sie ablesen, an welchen Stellen Sie einen Nachholbedarf haben.

Drittanbieter, die in Ihre Webseite eingebunden sind, müssen Sie in der Datenschutzerklärung nennen. Wissen Sie, welche das sind? In der Auswertung unserer Analyse zeigen wir Ihnen die von uns erkannten Dienste an.

Drittanbieter, die in Ihre Webseite eingebunden sind, müssen Sie in der Datenschutzerklärung nennen. Wissen Sie, welche das sind? In der Auswertung unserer Analyse zeigen wir Ihnen die von uns erkannten Dienste an.

Fast jeder Webseitenbetreiber muss einen Auftragsverarbeitungsvertrag mit seinem Hoster abschließen. Darüber hinaus bedarf es Auftragsverarbeitungsverträge insbesondere bei

• Analysetools (z.B. Google Analytics, Adobe Analytics);
• Newsletteranbietern (z.B. Mailchimp, Cleverreach);
• Clouddiensten;
• CRM-Systemen;
• E-Mail-Provider;
• ...

Wenn Sie einen Newsletter versenden, sollten Sie sich mit diesem gesondert beschäftigen.

Der Versand von Newslettern erfordert in der Regel eine Einwilligung. Bei der Anmeldung muss der Nutzer aufgeklärt werden, dass er in die Zusendung einwilligt, dass er seine Einwilligung jederzeit widerrufen kann und die Rechtmäßigkeit der Verarbeitung bis zum Widerruf durch diesen nicht berührt wird.

Ferner bedarf es eines „Double-Opt-In“, der Nutzer muss den Erhalt von E-Mails also zusätzlich durch den Klick auf einen Link bestätigen. Nur so ist sichergestellt, dass die angegebene E-Mail-Adresse korrekt ist.

Darüber hinaus muss jeder Newsletter neben Links zum Impressum und zur Datenschutzerklärung auch einen Abmeldelink beinhalten.

Aus den Erkenntnissen der vorherigen Schritte können Sie Ihre Datenschutzerklärung erstellen. Dabei unterstützen wir Sie, indem wir ein paar Fragen stellen.

Eine Datenschutzerklärung muss über alle im Zusammenhang mit einer Webseite stattfindenden Datenverarbeitungen aufklären. Maßgeblich ist Art. 13 DSGVO, wonach der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung verschiedene Informationen mitteilen muss.

• Name des Verantwortlichen
  Verantwortlicher ist der Betreiber der Seite, dabei kann es sich auch um ein Unternehmen handeln. In diesem Fall ist auch der gesetzliche Vertreter anzugeben.
• Kontaktdaten des Verantwortlichen
  Wie im Impressum ist eine ladungsfähige Anschrift erforderlich. Zusätzlich sind mindestens Telefonnummer oder E-Mail-Adresse anzugeben.
• Kontaktdaten des Datenschutzbeauftragten
  Wenn ein Datenschutzbeauftragter existiert, muss dessen E-Mail-Adresse oder sonstige Erreichbarkeit genannt werden.
• Zwecke der Datenverarbeitung
  Für jede Verarbeitung ist der Zweck so vollständig und so detailliert zu nennen, dass der Nutzer ein Bild davon hat, wie seine Daten weiter verwendet werden.
• Rechtsgrundlage
  Zusätzlich zum Zweck muss der Verantwortliche benennen, auf welche Rechtsgrundlage er die Verarbeitung stützt. Der Betroffene soll dadurch selbst nachprüfen können, ob die Verarbeitung rechtmäßig ist.
• Berechtigte Interessen
  Wenn eine Verarbeitung auf einem berechtigten Interesse beruht, muss der Verantwortliche dieses benennen. Auch dies dient dem Interesse des Betroffenen, die Rechtmäßigkeit der Verarbeitung beurteilen zu können.
• Empfänger/Kategorien von Empfängern
  Werden Daten an Dritte weitergegeben, muss der Verantwortliche dies kenntlich machen. Kann er den Dritten nicht explizit benennen, genügt die Angabe einer Kategorie von Empfängern (z.B. „Zahlungsdienstleister“, wenn mehrere eingesetzt werden).
• Übermittlung in Drittländer
  Sollen Daten in ein Drittland übermittelt werden, ist auch dies transparent zu machen. Weiter muss angegeben werden, ob ein Angemessenheitsbeschluss der EU-Kommission für das Drittland besteht. Gegebenenfalls sind hier weitere Erläuterungen erforderlich, etwa wenn die Übermittlung unter Verwendung von durch die EU-Kommission genehmigten Standardvertragsklauseln erfolgt.
• Dauer der Datenspeicherung
  Wenn Angabe der konkreten Dauer nicht möglich ist, sind Kriterien für die Festlegung der Dauer zu nennen.
• Betroffenenrechte
  Die dem Betroffenen zustehenden Rechte, unter anderem auf Widerruf einer Einwilligung, Widerspruch gegen die Verarbeitung und auf Beschwerde bei einer Aufsichtsbehörde.
• Verpflichtung zur Angabe von Daten
  Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.
• Automatisierte Entscheidungsfindung
  Im Falle einer automatisierten Entscheidungsfindung, beispielsweise wenn für Kunden aufgrund einer Bonitätsprüfung nur bestimmte Zahlungsarten möglich sind, bedarf es aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Die Datenschutzerklärung muss umfassend und transparent informieren. Das ist ein gewisser Widerspruch, denn zu viele Informationen führen dazu, dass der Nutzer sich nicht mehr zurechtfindet.

Dieses Problem kann durch die Gestaltung der Datenschutzerklärung angegangen werden. Ein Inhaltsverzeichnis, Zwischenüberschriften, Piktogramme oder eine Unterteilung in Kurz- und Langversion können die Lesbarkeit und das Verständnis erhöhen. Wenn möglich ist eine einfache Sprache zu verwenden, vor allem, wenn sich ein Angebot an Kinder richtet.

Der Nutzer sollte die Datenschutzerklärung dort finden, wo er sie erwartet: In der Navigation oder in der Fußzeile der Webseite.

Die Bezeichnung des Links muss eindeutig sein, also „Datenschutz“, „Datenschutzerklärung“ oder „Datenschutzhinweise“.

Der Link muss gut sichtbar sein, verzichten Sie daher auf eine zu kleine Schrift oder einen geringen Kontrast von Link und Hintergrund.

Die Betroffenenrechte, über die der Nutzer in der Datenschutzerklärung zu informieren ist, nennt Art. 13 DSGVO:

• Recht auf Auskunft
• Recht auf Berichtigung
• Recht auf Löschung
• Recht auf Einschränkung der Verarbeitung
• Recht auf Widerspruch
• Recht auf Datenübertragbarkeit
• Recht auf Widerruf einer Einwilligung
• Recht auf Beschwerde bei einer Aufsichtsbehörde

Daten von Nutzern dürfen in Logfiles gespeichert werden, wenn hierfür ein überwiegendes berechtigtes Interesse besteht, z.B. Schutz vor Hackerangriffen. Die Dauer der Speicherung ist aber zu begrenzen. Wir empfehlen, Logfiles spätestens nach einem Monat zu löschen.

Wenn sich ein Nutzer an Sie wendet, dürfen Sie die an Sie übermittelten Daten selbstverständlich zum Zweck der Beantwortung der Anfrage verwenden. Wie lange Sie diese speichern, hängt ein wenig davon ab, welcher Art die Anfrage ist. Wichtig ist, dass keine „Datenfriedhöfe“ entstehen. Legen Sie fest, wann Sie Daten löschen wollen, bei einer normalen Anfrage sollte eine Dauer von drei Jahren nach dem letzten Kontakt die Obergrenze sein. Ausnahme: Wenn Sie einen längeren Bedarf an einer Speicherung haben, beispielsweise zur Rechtsverteidigung.

Wenn Sie ein System zum Management von Kundenbeziehungen (CRM) einsetzen, müssen Sie ebenfalls darauf achten, dass Daten entsprechend von Ihnen definierten Regeln gelöscht werden.

Um Cookies ranken sich viele Missverständnisse. Wenn sie eingesetzt werden, weil sie technisch notwendig sind oder den Komfort der Webseite verbessern, ist das auf Grundlage eines berechtigten Interesses möglich. Derartige Cookies dienen dem Verantwortlichen wie auch dem Nutzer, der sich z.B. nicht ständig neu einloggen muss oder dessen Waren im Warenkorb gespeichert werden. Derartige „funktionale Cookies“ erkennen zwar den Nutzer wieder, sie werden aber nicht genutzt, um Erkenntnisse über sein Verhalten zu gewinnen.

Anders ist es beim Tracking. Wenn mittels Cookies die Aktivitäten des Nutzers nachverfolgt werden, ist genau zu prüfen, ob ein berechtigtes Interesse des Verantwortlichen noch überwiegt. Die Aufsichtsbehörden gehen davon aus, dass für Google Analytics und andere Tracking-Tools eine Einwilligung erforderlich ist.

Nicht unbedingt. Für funktionale Cookies (siehe vorherige Frage) ist eine Einwilligung nicht nötig. Unter der DSGVO ist zu prüfen, ob für anderweitige Cookies ein berechtigtes Interesse besteht.

Der Europäische Gerichtshof hat allerdings 2019 entschieden, dass für Cookies, die nicht unbedingt erforderlich sind, um eine Webseite zur Verfügung zu stellen, eine Einwilligung erforderlich ist (EuGH, Urteil vom 01.10.2019 – C‑673/17). Auch wenn die „Cookie-Richtlinie“, auf der die Entscheidung beruht, nicht in deutsches Recht umgesetzt ist, sollten Webseitenbetreiber die europäische Rechtsprechung ernst nehmen. Bevor Cookies gesetzt werden, die nicht im vorgenannten Sinne „unbedingt erforderlich“ sind, muss der Nutzer aktiv einwilligen.

Nicht unbedingt. Für funktionale Cookies (siehe vorherige Frage) ist eine Einwilligung nicht nötig. Unter der DSGVO ist zu prüfen, ob für anderweitige Cookies ein berechtigtes Interesse besteht.

Ein Cookie-Banner kann ganz unterschiedliche Funktionen haben. Es kann den Nutzer lediglich darüber informieren, dass eine Webseite auch Cookies einsetzt. Es kann aber auch dafür genutzt werden, eine Einwilligung des Nutzers einzuholen. In letzterem Fall werden Cookies erst gesetzt, wenn der Nutzer auf dem Banner einen Button drückt.

Für eine wirksame Einwilligung muss der Nutzer aktiv bestätigen, dass er mit der Verwendung von Cookies, die nicht unbedingt erforderlich sind, einverstanden ist. Dafür muss ihm das Banner die Möglichkeit geben, Cookies abzulehnen. Vorausgefüllte Kästchen oder nur ein „Okay“ sind nicht ausreichend. Es braucht eine gleichwertige Möglichkeit „Ja“ oder „Nein“ zu sagen. Ein großer farbiger „Ich akzeptiere“-Button und ein winziger grauer „Nur essentielle Cookies akzeptieren“ ist daher problematisch.

Zu empfehlen sind sogenannte „Cookie-Consent-Tools“. Das sind Plugins, mit denen der Nutzer selbst auswählen kann, welche Cookies er zulassen will. Diese müssen natürlich so gestaltet sein, dass der Nutzer leicht einstellen kann, dass er bestimmte Cookies, z.B. Statistik- oder Marketing-Cookies, nicht zulassen will.

Ein Drittdienst ist in der Datenschutzerklärung zu erwähnen, um dem Nutzer zu erläutern, wie mit seinen Daten umgegangen wird. Wenn der Drittdienst außerhalb Europas sitzt, z.B. in den USA, ist eine Erwähnung auch notwendig, weil über eine Übermittlung in Drittstaaten zu informieren ist.

Europäische Dienste unterliegen der DSGVO und dürfen daher verwendet werden. Bei Diensten außerhalb Europas ist der Einsatz nur zulässig, wenn der Datenschutz gewährleistet ist. Die DSGVO ermöglicht dies auf verschiedene Weise, insbesondere

• für das Land, in das Daten übermittelt werden sollen, liegt ein Angemessenheitsbeschluss der EU-Kommission vor;
• auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission, wenn sich das Unternehmen verpflichtet hat, einen Katalog von Datenschutzgrundsätzen einzuhalten und entsprechend zertifiziert ist (z.B. nach dem EU-US-Privacy-Shield);
• zwischen dem Verantwortlichen und dem Unternehmen, dem die Daten übermittelt werden sollen, geeignete Garantien vereinbart wurden, beispielsweise durch Abschluss von der EU-Kommission genehmigter Standardvertragsklauseln.

Nach Art. 45 Abs. 1 DSGVO dürfen Daten an ein Drittland übermittelt werden, wenn die EU-Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet. Der Verantwortliche muss trotzdem prüfen, ob die Datenverarbeitung zulässig ist und – falls erforderlich – einen Auftragsverarbeitungsvertrag oder eine Vereinbarung über die gemeinsame Verantwortlichkeit abschließen. Aber der Verantwortliche darf davon ausgehen, dass der Datenschutz in dem Drittland grundsätzlich gewährleistet ist.

Für folgende Länder hat die EU-Kommission einen Angemessenheitsbeschluss getroffen:

• Andorra
• Argentinien
• Faröer Inseln
• Guernsey
• Israel
• Isle of Man
• Japan
• Jersey
• Kanada
• Neuseeland
• Schweiz
• Uruguay

Für die USA regelte das EU-US-Privacy-Shield, dass Datenübermittlungen an zertifizierte Unternehmen zulässig waren. Der Europäische Gerichtshof hat allerdings festgestellt, dass der Datenschutz in den USA nicht sichergestellt ist. Dabei haben die Richter vor allem die weiten Zugriffsbefugnisse der amerikanischen Sicherheitsbehörden kritisiert. Das EU-US-Privacy-Shield ist daher unwirksam und kann nicht mehr als Grundlage für Datenübermittlungen genutzt werden. Ob ein Datenaustausch auf der Grundlage von Standardvertragsklauseln erlaubt ist, ist derzeit unsicher.

Drittdienste aus den USA können Sie nutzen, wenn Sie die Vorgaben der DSGVO einhalten. Dazu sollten Sie wie folgt vorgehen:

• Welche Grundlage besteht für eine Übermittlung von Daten in die USA?
  • Kann eine Übermittlung durch Abschluss von Standardvertragsklauseln erfolgen?
  • Wenn nein: Der Einsatz des Drittdienstes kann trotzdem möglich sein, lassen Sie sich rechtlich beraten.
• Ist der Drittdienst ein Auftragsverarbeiter oder sind Sie gemeinsam für die Datenverarbeitung verantwortlich? Schließen Sie einen Auftragsverarbeitungsvertrag bzw. eine Vereinbarung über die gemeinsame Verantwortlichkeit ab.
• Welche Einstellungen sind vorzunehmen, damit die Vorgaben der DSGVO eingehalten werden, insbesondere was die Datensparsamkeit angeht?
• Ist der eingesetzte Drittdienst in Ihrer Datenschutzerklärung ausreichend beschrieben?

Wenn ein Drittdienst eingesetzt wird, bei dem die Daten für Sie im Auftrag verarbeitet werden, brauchen Sie einen Auftragsverarbeitungsvertrag. Manchmal ist dieser bereits in den Allgemeinen Geschäftsbedingungen des Drittdienstes enthalten. In der Beschreibung der von uns unterstützten Drittdienste finden Sie einen Hinweis, ob ein Auftragsverarbeitungsvertrag verfügbar ist und wie Sie diesen abschließen können.

Die Unternehmen stellen zumeist Informationsseiten zur Verfügung, auf denen Sie sich über die Umsetzung der Datenschutzgrundverordnung informieren können.

Sie müssen Ihre Kunden darüber informieren, wie Sie bei einer Bestellung oder bei Anfragen mit den Daten umgehen. Dazu bedarf es einer Analyse aller Verarbeitungsvorgänge in Ihrem Onlineshop.

Beispiele:

Möglicherweise nutzen Sie eine Plattform zum Kundenmanagement, beispielsweise Salesforce, Hubspot oder Zoho. In diesen Fällen müssen Ihre Kunden erfahren, was gespeichert wird und wann Sie die Daten löschen.

Auch wenn Sie die Möglichkeit anbieten, ein Kundenkonto anzulegen, müssen Sie mitteilen, welche Daten gespeichert werden und wann Sie diese löschen.

Welche Zahlungsdienstleister setzen Sie ein? An welche Unternehmen geben Sie Daten zur Bonitätsprüfung weiter oder berechnen Sie die Bonität von Kunden selbst?

Denken Sie auch daran, dass Sie Personen-, Adress- und Zahlungsdaten zur Buchhaltung verarbeiten und aus steuerlichen Gründen aufbewahren.

Vielleicht können Kunden auch Kommentare oder Bewertungen hinterlassen?

Einfach Abmahnsicher unterstützt Sie bei der Analyse, damit Sie nichts vergessen.

Wenn Sie Bestandskunden per E-Mail über gleichartige Angebote informieren wollen, können Sie dies grundsätzlich unter Berufung auf Ihre berechtigten Interessen. Auch wettbewerbsrechtlich ist die Bestandskundenwerbung nach § 7 Abs. 3 UWG unter bestimmten Voraussetzungen zulässig.

In der Datenschutzerklärung müssen Sie im Vorfeld darauf hinweisen, dass Sie eine derartige Verwendung von Kundendaten beabsichtigen und wie der Kunde dem widersprechen kann.

Ja. Eine Versendung von Newslettern ohne Einwilligung ist sowohl mit der DSGVO als auch mit § 7 UWG nicht vereinbar. Ausnahme: Bestandskundenwerbung, wenn gleichartige Produkte angeboten werden.

Die Einwilligung in den Bezug eines Newsletters muss so gestaltet sein, dass der Nutzer weiß, in welche Art von Werbung er einwilligt. Neben der Angabe, dass E-Mails versendet werden, müssen Sie den Inhalt des Newsletters schlagwortartig umschreiben. Damit legen Sie fest, zu welchen Zwecken die E-Mails versendet werden dürfen. Die Beschreibung darf nicht zu weit sein, nur „Informationen“ wäre zu unkonkret. Zu eng sollte sie aber auch nicht gefasst werden, denn wenn in einen Newsletter zu „Produkten“ eingewilligt wird, ist ein darüber hinausgehender Inhalt nicht zulässig. Ein Newsletter zu einem Gewinnspiel wäre dann nicht möglich.

Eine weitgehende und zugleich konkrete Formulierung könnte daher sein: „Informationen zu unseren Produkten, Angeboten und zu unserem Unternehmen“.

Wenn Sie eine Auswertung vornehmen, wie erfolgreich der Newsletter ist, müssen Sie dies in den Text für die Einwilligung aufnehmen. Die Erfolgsmessung muss in der Datenschutzerklärung ausführlich erläutert werden. Daher bietet es sich an, im Einwilligungstext kurz auf der Datenschutzerklärung geschehendie Erfolgsmessung hinzuweisen und weiterführend auf die Datenschutzerklärung zu verlinken.

Schließlich muss der Nutzer darauf hingewiesen werden, dass die Einwilligung jederzeit widerrufen werden kann.

Ein Text für die Einwilligung kann zum Beispiel so aussehen:

Ich willige ein, dass mir das Unternehmen X per E-Mail Informationen zu Produkten, Angeboten und zum Unternehmen zuschickt. Meine Einwilligung kann ich jederzeit widerrufen. Hinweise zur Erfolgsmessung und zum Datenschutz.

Das ist grundsätzlich möglich, wobei dem Nutzer diese Erfolgsmessung transparent vor Augen zu führen ist. Dies muss im Einwilligungstext für den Newsletter und in der Datenschutzerklärung geschehen.

Neben der E-Mail-Adresse können weitere Angaben des Nutzers sinnvoll sein, beispielsweise wenn eine persönliche Ansprache erfolgen soll. Zu empfehlen ist, derartige zusätzliche Angaben als freiwillig zu kennzeichnen und nur dann abzufragen, wenn es hierfür ein Bedürfnis gibt.