In der vergangenen Woche hielt Dr. Lars Siebert, LL.M. (Emory) den Einführungsvortrag zum „17. Berchtesgadener Dialog - Artificial Intelligence“ mit dem Titel „Heilsbringerin oder Gefahrenquelle? Ein Blick auf künftige KI-Anwendungen und internationale Regulierungsbemühungen“.
Datenschutzhinweise auf Homepages
Tuesday, 29. May 2018
Wer eine Homepage im World Wide Web bereitstellt, den treffen diverse Rechtspflichten zur Unterrichtung der Nutzer. Die oft als „Impressumspflicht“ bezeichnete Anbieterkennzeichnung nach § 5 TMG ist weithin bekannt. Zusätzliche Informationspflichten für Dienstleister ergeben sich aus § 2 der deutschen Dienstleistungs-Informationspflichten-Verordnung (DL-InfoV).
§ 13 TMG enthält darüber hinaus eine oft missachtete Unterrichtungspflicht jedes „Diensteanbieters“, also Homepage-Betreibers. Er „hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten (…) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist“.
Noch genauere und weitergehende Informationspflichten treffen jeden Homepage-Betreiber ab dem 25. Mai 2018 nach Art. 12, 13 und 14 der europäischen Datengrundschutz-Verordnung (DS-GVO).
Dazu verwenden die meisten Websites mehr oder weniger uniforme „Datenschutzerklärungen“ oder „Datenschutzhinweise“, die neben der meist unter „Impressum“ abrufbaren Anbieterkennzeichnung erreichbar sind. Die ab 25. Mai 2018 einzuhaltende DS-GVO macht Ernst mit vielen Datenschutzanforderungen, die früher oft nachlässig gehandhabt wurden. Das erfordert in fast allen Fällen eine gründliche Überarbeitung der Datenschutzhinweise auf Homepages. Bei fehlerhaften Hinweisen drohen ein Bußgeld nach § 16 Abs. 2 Nr. 2 TMG, und eine Verfolgung durch die zuständige Datenschutzaufsicht, bei fehlenden oder falschen Hinweisen eine Abmahnung durch Wettbewerber.
Die Nachweispflicht in § 7 Abs. 1 DS-GVO verbunden mit den Auskunftsrechten in Art. 15 DS-GVO zwingen Homepage-Betreiber daher, die ordnungsgemäße Unterrichtung der Nutzer nachzuweisen.
Wie sollte ein Homepage-Betreiber nun über die Verwendung personenbezogener Daten unterrichten?
2. Form der Unterrichtung
§ 13 TMG fordert eine Unterrichtung des Nutzers „zu Beginn des Nutzungsvorgangs“. Wie genau dies beim erstmaligen Besuch einer Homepage erfolgen soll, hat der Gesetzgeber nicht festgelegt.
Nach § 13 Abs. 1 Satz 3 TMG muss die Unterrichtung jederzeit abrufbar sein. Einhellig fordert die Rechtsprechung zudem, sie müsse ohne großen Suchaufwand bereitgestellt werden.
Ideal ist dazu ein Pop-Up-Fenster beim erstmaligen Aufruf der Homepage. Damit der Besucher nicht jedes Mal dasselbe Pop-Up-Fenster angezeigt bekommt, wenn er schon unterrichtet ist, braucht es dann aber Cookies oder andere möglicherweise kritische Mittel, um den wiederkehrenden Besucher zu erkennen. Deshalb ist man sich in der Kommentarliteratur bislang einig, dass ein bloßer Link auf die Unterrichtung an prominenter Stelle ausreichen soll – auch wenn sich dies aus dem Gesetz nicht ableiten lässt. Urteile zu dieser Frage liegen noch nicht vor. Insofern verbleibt insoweit eine gewisse Rechtsunsicherheit.
Ein wichtiger Tipp: Sofern die Datennutzung eine Einwilligung des Nutzers braucht, reicht ein bloßer Hinweis nicht aus. Dazu bedarf es gesonderter „Schaltungen“ von Hinweisen und Unterrichtungen. Deshalb sind viele Tracking-Mechanismen nur nach Einholung einer solchen Einwilligung zulässig.
3. Bezeichnung der Unterrichtung
In der Praxis finden sich viele Bezeichnungen. Links wie „Ihre Daten“ oder „Datenschutzpolitik“ sind häufig, allerdings kritisch zu betrachten. Viele Anbieter mischen auch Einwilligungen, Nutzungsbedingungen und Unterrichtung in einer einzigen „Datenschutzerklärung“.
Die isolierte Unterrichtung unter einem Link sowie die Bezeichnung als „Datenschutzhinweise“ oder „Informationen zu persönlichen Daten“ sind deutlicher und empfehlenswert. Nichts falsch machen Sie mit der Wiedergabe des gesetzlichen Begriffs einer Unterrichtung.
Formulierungsbeispiel:
Link neben [Impressum], bezeichnet als [Datenschutz]
Überschrift der verlinkten Seite: Datenschutzunterrichtung
4. Inhalt und Gestaltung der Unterrichtung
Die Unterrichtung des Nutzers muss inhaltlich richtig (also aktuell) und vollständig sein. Gerade bei der Vollständigkeit hapert es bei vielen Websites. Diese nutzen oft umfangreich Web-Tracking-Mechanismen (diese verstecken sich z. B. auch hinter Google-Maps-Links oder Facebook-Daumen), ohne korrekt über den Umfang der Datennutzung zu informieren.
Die DS-GVO verlangt, dass der Betreiber einer Homepage über Namen und Kontaktdaten des Verantwortlichen für den Datenschutz informiert. Ferner muss er jeden von der Datenverarbeitung Betroffenen über seine Rechte unterrichten.
Eine übersichtliche Gestaltung sowie einfache Sprache sind weitere Anforderungen an die Unterrichtung. In der Praxis empfiehlt sich daher eine klare inhaltliche Gliederung.
Inhaltlich muss der Diensteanbieter unterrichten über:
• die erhobenen Datenkategorien des Nutzers,
• die Empfänger personenbezogener Daten, sofern der Diensteanbieter solche an Dritte übermittelt,
• die Zwecke, zu denen der Diensteanbieter und ggf. andere Datenempfänger die personenbezogenen Daten nutzen,
• die Rechtsgrundlagen für die Datenverarbeitung,
• die berechtigten Interessen an der Datenverarbeitung, wenn er solche als Rechtfertigung für die Verarbeitung heranzieht,
• die Absicht (falls vorhanden – dann kritische Prüfung der Zulässigkeit!), die Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums zu übermitteln.
5. No-Go’s
Viele Datenschutz-Unterrichtungen beginnen mit Eigenwerbung und betonen Selbstver-ständlichkeiten. Die Einhaltung der Gesetze ist ohnehin verpflichtend. Wer dies im Wettbewerb übertrieben herausstellt, setzt sich unnötigen Abmahn-Risiken aus. Der BGH hat 2008 nämlich entschieden, dass eine solche Werbung gegen § 5 Abs. 1 Nr. 2 UWG verstößt.
Oft wird auch versucht, in Datenschutz-Unterrichtungen eine Zustimmung zu Nutzungsbedingungen oder gar die Einwilligung zu Datennutzungen zu fingieren. Aktuell sieht man vielfach Popups, die beispielsweise lauten: „Durch die Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden.“ So etwas wird unkritisch aus anglo-amerikanischen Rechtskreisen übernommen. Nur: In der EU handelt es sich dabei um keine wirksame Einwilligung. Das hat das Landgericht Hamburg bereits 2009 zur „Datenschutz-erklärung“ von Google entschieden.
Nun zu Fragen, wie die Unterrichtung angepasst oder aufgeteilt werden kann:
6. Anpassung der Unterrichtung
Ändert der Diensteanbieter die Umstände der Datenerhebung und -verwendung bei Nutzung seiner Homepage, muss er die Nutzer über die Änderung erneut informieren. Dazu müssen dem Nutzer die Änderungen bewusst gemacht werden (z. B. durch textliche Hervorhebung gegenüber einer Vorversion).
Das wiederum erfordert eine genaue Kenntnis davon, welcher Nutzer bereits welche Version der Unterrichtung erhalten hat. Diese Kenntnis kann kein Diensteanbieter mit der notwendigen Sicherheit haben, außer wenn die Nutzung der Homepage eine persönliche Authentifizierung erfordert (serverseitig gesetzte Cookies reichen nicht aus, der Nutzer kann sich ja von einem anderen oder neuen Gerät aus anmelden).
Leider ist bis heute unklar, wie diese Anforderungen technisch einwandfrei umgesetzt werden sollen. Empfehlenswert ist zumindest, ein Archiv älterer Versionen der Unterrichtung stets abrufbar zu halten.
7. Eine oder mehrere Unterrichtungen?
Viele Homepage-Betreiber versuchen, alle Unterrichtungen auch zu umfangreichen Angeboten in einem sehr langen und komplexen Text „unterzubringen“. Das ist indes keine gesetzliche Anforderung. Ein solches Vorgehen droht zudem gegen die gesetzliche Pflicht zur übersichtlichen Darstellung zu verstoßen.
Besteht eine Homepage z. B. aus reinen Informationsseiten und anderen Bereichen, in denen Nutzer zusätzliche Daten eingeben müssen, kann die Unterrichtung auch aufgeteilt werden. Was alle Nutzer betrifft, sollte in den allgemeingültigen Datenschutzhinweisen stehen. Bestellt ein Nutzer z. B. einen Newsletter oder will er Produkte oder Leistungen bestellen, kann er vor Einleitung dieses Vorgangs zusätzlich unterrichtet werden.
8. Gängige Bausteine der Unterrichtung
8.1. Einleitung
Formulierungsbeispiel:
Wir, die [Firma des Diensteanbieters, Adresse Firmensitz], sind Anbieter der Homepage unter www.[domain] und Verantwortlicher im Sinne der Datenschutzgrundverordnung (DS-GVO). Hiermit informieren wir Sie über den Umgang mit Ihren personenbezogenen Daten, wenn Sie unsere Homepage besuchen.
Diese Hinweise beziehen sich nur auf unsere Homepage. Die Homepage kann Links zu Webseiten anderer Anbieter enthalten. Mit einem Klick auf jene Links verlassen Sie unsere Homepage. Wir weisen darauf hin, dass die nachfolgenden Hinweise ausschließlich für unsere Homepage gelten.
Die bei der Nutzung unserer Homepage erfassten personenbezogenen Daten verarbeiten wir ausschließlich im Rahmen unserer gesetzlichen Befugnisse oder aufgrund Ihrer Einwilligung.
8.2. Definitionen
Es empfiehlt sich, den Begriff der personenbezogenen Daten sowie weiterere Begriffe (wie z. B. die „Verarbeitung“) durch Verweis auf Art. 4 DS-GVO zu erklären. Oder Sie schreiben:
Als personenbezogene Daten gelten alle Informationen, mit denen Ihre Person bestimmbar ist oder welche zu Ihnen zurückverfolgt werden können. Neben Ihrem Namen und Ihrer E-Mail-Adresse ist das beispielsweise auch Ihre IP-Nummer.
8.3. Änderungen der Unterrichtung
Wie vorstehend bereits erläutert, müssen Sie Ihre Nutzer von Änderungen der Datenschutzunterrichtung informieren. Solange die genauen Anforderungen dazu von der Rechtsprechung nicht geklärt sind, lässt sich dazu nur empfehlen zu formulieren:
Änderungen im Umgang mit Ihren Daten
Diese Unterrichtung informiert über die aktuelle Nutzung Ihrer personenbezogenen Daten. Sie ist seit [Datum] gültig.
Mit der Weiterentwicklung unserer Homepage, der Änderung von technischen oder rechtlichen Anforderungen werden wir diese Unterrichtung von Zeit zu Zeit aktualisieren. Auf solche Änderungen machen wir Sie für eine geraume Zeit durch einen eindeutigen und gut sichtbaren Hinweis auf unserer Homepage aufmerksam.
Zudem können Sie hier ältere Versionen dieser Unterrichtung abrufen:
• Stand vom [Datum] bis [Datum]: [Link auf Vorversion]
• Stand vom [Datum] bis [Datum]: [Link auf Vor-Vorversion]
8.4. Weitergabe von Daten
Zwingend ist ein Abschnitt zur Weitergabe von Daten an Dritte.
Formulierungsbeispiel (nicht alle Spiegelstriche sind für jede Homepage sinnvoll):
Übermittlung personenbezogener Daten an Dritte
Eine Übermittlung Ihrer von unserer Homepage erfassten personenbezogenen Daten an Dritte findet im Grundsatz nicht statt, es sei denn, dies ist gesetzlich zugelassen.
Gesetzlich zulässige Ausnahmen sind vor allem:
• Die Übermittlung ist zur Erfüllung eines Vertrags mit Ihnen oder zur Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage hin erforderlich (Art. 6 Abs. 1 lit. b) DS-GVO).
• Sie haben uns dazu eine ausdrückliche Einwilligung erteilt (Art. 6 Abs. 1 lit. a) DS-GVO).
• Die Weitergabe ist zur Wahrung berechtigter Interessen erforderlich und es besteht kein Grund zur Annahme, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe der Daten haben (Art. 6 Abs. 1 lit. f) DS-GVO).
• Es besteht für uns eine rechtliche Verpflichtung zur Weitergabe der Daten (Art. 6 Abs. 1 lit. c) DS-GVO).
Die Übermittlung an und Verarbeitung von Daten durch unseren IT-Dienstleister als Erfüllungsgehilfen, der diese Homepage in unserem Auftrag im Internet bereitstellt, ist nach dem Gesetz keine Übermittlung an „Dritte“.
8.5. Protokollierung von Zugriffsdaten
Praktisch alle Webserver protokollieren bestimmte Zugriffsdaten in sogenannten Logs. Bei der IP-Nummer ist dies sogar zwingend notwendig, um die Verbindung zum Nutzer aufrechtzuerhalten.
Formulierungsbeispiel:
Protokollierung von Zugriffsdaten
Beim Abruf der Homepage werden folgende personenbezogene Daten an unse-ren Web-Server übertragen und in einer Protokolldatei gespeichert:
• IP-Nummer des von Ihnen zum Abruf der Homepage genutzten Gerätes
• Uhrzeit des jeweiligen Zugriffs auf eine Seite der Homepage
• An Ihr Gerät übertragene Datenmenge
• Über die Homepage abgerufene Dateien
• URL der Seite/Homepage, von der Sie auf die angewählte Seite gelangt sind
• Von Ihnen verwendeter Browser (Typ und Version)
• Von Ihnen verwendetes Betriebssystem und Version
Abruf und Verwendung dieser Daten erfolgen aufgrund unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DS-GVO) daran, die Homepage entsprechend den Anforderungen Ihres Gerätes bzw. Browsers darstellen zu können, bzw. zur Untersuchung und Nachverfolgung von Angriffen auf unsere IT.
Eine darüber hinaus gehende Nutzung erfolgt ausschließlich zu statistischen Zwecken in anonymisierter Form durch uns. Durch die Anonymisierung jener Daten sind Rückschlüsse auf ihre Person nicht möglich.
Viele vergessen dabei einen Hinweis auf die Speicherdauer jener Daten. Es ist nicht vermittelbar, weshalb solche Daten länger als nötig gespeichert bleiben. Empfehlenswert ist daher eine recht kurze Frist von ein bis zwei Wochen.
Formulierungsbeispiel:
Die Protokolldaten werden für die Dauer von [_] Tagen gespeichert und danach gelöscht, außer wenn sie zur Nachverfolgung eines identifizierten Angriffs aus-nahmsweise länger vorgehalten werden müssen.
Bei den aus der Protokolldatei abgeleiteten anonymisierten Daten handelt es sich nicht mehr um personenbezogene Daten. Diese werden zur Erstellung von Statistiken zur Verbesserung der Website durch uns genutzt und allenfalls an Agenturen weitergegeben, die wir mit der Verbesserung der Website beauftragen.
8.6. Verschlüsselte Kommunikation
Je nach Art und Umfang der von der Website verarbeiteten personenbezogenen Daten empfiehlt sich eine verschlüsselte Kommunikation zwischen Web-Browser und Web-Server; manchmal ist sie sogar erforderlich. Dann sollte hierzu entsprechend der verwendeten Technik (im Beispiel TLS) informiert werden.
Formulierungsbeispiel:
Verschlüsselte Kommunikation
Die Datenübertragung zwischen Ihrem Web-Browser und unserem Web-Server erfolgt grundsätzlich verschlüsselt. Wir nutzen dazu das TLS-Protokoll.
Ob die Daten einer einzelnen Seite unserer Homepage verschlüsselt übertragen werden, erkennen Sie an der Darstellung eines geschlossenen Schlüssels meist in der unteren Statusleiste oder in der Adressleiste ihres Browsers.
Zur Meidung von Abmahnungen prüfen Sie vorab, ob Sie Kontaktformulare, Eintragungen zu Newslettern oder ähnliches auf Ihrem Web-Server nutzen. Meist werden die dort eingege-benen Daten auf dem Web-Server unverschlüsselt gespeichert. Erstens sollten Sie darüber informieren und zweitens die zwischengespeicherten Daten möglichst schnell (automatisch) löschen, z. B. so:
Stets ist die Kommunikation zwischen Ihrem Browser und unserem Web-Server von Ende zu Ende verschlüsselt. Geben Sie Kontaktdaten oder Anmeldungen zu unserem Newsletter im Browser ein, werden jene Daten technisch bedingt auf unserem Web-Server zwischengespeichert und von da verschlüsselt/unverschlüsselt weitergeleitet. Insofern liegt keine Ende-zu-Ende-Verschlüsselung vor.
Die auf unserem Web-Server zwischengespeicherten Daten werden nach [kurzer Zeitraum in Tagen] gelöscht.
8.7. Suchfunktion
Oft bieten Homepages eine Suchfunktion an, mit der alle Seiten der Homepage durchsucht und gefundene Inhalte direkt angesprungen werden können. Letztlich werden die Suchangaben zusammen mit der IP-Nummer des Nutzers verarbeitet. Deshalb müssen Sie über die Verwendung dieser personenbezogenen Daten entsprechend informieren, z. B. so:
Suchfunktion
Unsere Homepage bietet Ihnen [genaue Lokation] die Eingabe von Suchbegriffen an, deren Fundstellen auf den einzelnen Seiten der Homepage direkt auswählbar angezeigt werden. Die von Ihnen eingegebenen Suchbegriffe werden ausschließlich zur Durchführung der Suchanfrage auf unserem Web-Server genutzt, nicht an uns oder Dritte weitergegeben und zusammen mit den Protokolldaten des Web-Servers nach [kurzer Zeitraum in Tagen] gelöscht.
8.8. Kontaktformular
Viele Websites ermöglichen die individuelle Kontaktaufnahme über ein Kontaktformular. Auf diese Weise muss der Nutzer nicht in sein E-Mail-Programm wechseln und kann ggf. sogar strukturiertere Anfragen stellen als in einem E-Mail.
Das Kontaktformular erfasst personenbezogene Daten. Also ist hierüber zu informieren, z. B. so:
Kontaktformulare
An einigen Stellen unserer Homepage finden Sie Formulare, um direkt mit uns in Kontakt zu treten. Die von Ihnen im Kontaktformular eingegebenen Daten (wie Name, E-Mail, Betreff und Nachrichtentext) speichern wir und leiten sie an die jeweils mit der Kontaktaufnahme beauftragte Person bei uns weiter.
Der mit der Kontaktaufnahme beauftragte Mitarbeiter erhält diese Daten per E-Mail in sein Postfach. Er wird sie dort nur so lange gespeichert lassen, wie es zur Abwicklung der mit der Kontaktaufnahme verfolgten Angelegenheit erforderlich ist.
8.9. Newsletter
Viele Websites ermöglichen die Anmeldung zu einem Newsletter. Zur Anmeldung werden Sie personenbezogene Daten erfassen. Also ist hierüber zu informieren, z. B. so:
Newsletter
Wenn Sie unseren Newsletter bestellen, speichern wir Ihren Namen und Ihre E-Mail-Adresse und nutzen diese zur Versendung des Newsletters. Diese Daten werden weder veröffentlicht noch an Dritte weitergegeben.
Sie können Ihre Einwilligung zur Übersendung jederzeit per E-Mail widerrufen und den Newsletter abbestellen. Den Widerruf können Sie durch Klick auf den in jeder Newsletter-E-Mail bereitgestellten Link, per E-Mail an [widerruf@xxxx.de] oder durch eine Nachricht an die im Impressum angegebenen Kontaktdaten erklären. Wir löschen dann Ihren Namen und Ihre E-Mail-Adresse aus unserem Verteiler.
Wenn Sie Besteller des Newsletters anschreiben, könnten diese entgegen, sie hätten nie um eine Übersendung gebeten. Dann müssen Sie die Anmeldung zum Newsletter nachweisen. Dazu empfiehlt es sich, das sogenannte „Double-Opt-In“-Verfahren anzuwenden.
Formulierungsbeispiel:
Newsletter
Sie können auf unserer Homepage einen E-Mail-Newsletter („Newsletter“) abonnieren. Für die Anmeldung zum Newsletter müssen Sie uns Ihre E-Mail-Adresse mitteilen.
Zur Verifizierung Ihrer E-Mail-Adresse nutzen wir das sog. Double-Opt-In-Verfahren. Dazu senden wir Ihnen eine Bestätigungs-E-Mail an die von Ihnen angegebene E-Mail-Adresse, in welcher wir um Bestätigung bitten, dass Sie den Erhalt des Newsletters wünschen. Sofern Sie dies bestätigen, speichern wir Ihre E-Mail-Adresse so lange, bis Sie den Newsletter abbestellen. Diese Daten werden weder veröffentlicht noch an Dritte weitergegeben. Die Speicherung dient allein dem Zweck, Ihnen den Newsletter senden zu können.
Die Angabe weiterer Daten (Anrede, Name, Vorname) ist freiwillig und wird verwendet, um Sie persönlich ansprechen zu können.
Sie können Ihre Einwilligung zur Übersendung jederzeit per E-Mail widerrufen und den Newsletter abbestellen. Den Widerruf können Sie durch Klick auf den in jeder Newsletter-E-Mail bereitgestellten Link, per E-Mail an [widerruf@xxxx.de] oder durch eine Nachricht an die im Impressum angegebenen Kontaktdaten erklären. Wir löschen dann Ihren Namen und Ihre E-Mail-Adresse aus unserem Verteiler.
Kritischer wird es, wenn gemessen werden soll, welcher Newsletter wie oft gelesen wird. Dazu verwenden viele Websites einen Link, der den Abruf des Newsletters von einer Website ermöglicht, anstatt den Newsletter per E-Mail auszusenden. Teilweise werden auch Newsletter im HTML-Format versendet, die ein Ein-Pixel-Bild oder andere Daten nachladen und so erlauben, den Abruf des Newsletters zu zählen.
Die Details einer solchen Messung sind genau zu prüfen, denn oft kommt es dabei zur Übertragung und Speicherung personenbezogener Daten. Dafür wird es wohl kaum ein berechtigtes Interesse geben. Wir empfehlen daher eine rein anonyme Messung. Wenn diese erfolgt, sollte gleichwohl unterrichtet werden, z. B. so:
Wir erfassen mittels [Technik beschreiben], welche Ausgabe unseres Newsletters wann und wie häufig gelesen wird. Diese Daten erfassen wir auf anonymer Basis zu rein statistischen Zwecken. Wir erfassen und speichern also nicht, welcher Empfänger einen Newsletter geöffnet hat.
8.10. Kommentare, Seminaranmeldungen
Weitgehend analog wie die Anmeldung zu Newslettern sind Kommentarfunktionen und Seminaranmeldungen zu handhaben. Bei der Umsetzung solcher Funktionen bestehen jedoch technisch sehr unterschiedliche Varianten. Von daher können wir in diesen Hinweisen keine allgemeingültige Formulierungsempfehlung geben.
8.11. Cookies
Ideal ist es, wenn Sie in Ihrer Datenschutzunterrichtung schreiben können:
Cookies
Unsere Homepage verwendet keine Cookies.
Nur verwenden heute fast alle Homepages Cookies. Meist dienen diese dazu, Nutzer wiederzuerkennen oder bereits eingegebene Daten nach Rückkehr zu einer Formularseite nicht neu eingeben zu müssen. Gerade bei der Abwicklung von Bestellprozessen gibt es hierzu mit der Durchführung eines Vertrages in Art. 6 Abs. 1 lit. b DS-GVO eine gesetzliche Grundlage oder mit der Wahrung berechtigter Interessen an einer kundenfreundlichen Abwicklung des Teledienstes in Art. 6 Abs. 1 lit. f DS-GVO.
Die EU hat dazu eine sogenannte „Cookie-Richtlinie“ erlassen. Diese musste nicht eigens in deutsches Recht umgesetzt werden. Die eingangs erläuterte Unterrichtungspflicht in § 13 TMG zusammen mit den Regelungen in § 15 TMG reichten dazu schon aus. Heute ist die Regelung in § 15 TMG durch die genaueren Regelungen in der DS-GVO überholt und abgelöst.
Da es (früher) nach § 15 TMG und heute nach der DS-GVO eine ausdrückliche Einwilligung in die Nutzung der meisten Cookies braucht, kann diese nicht über die Datenschutzunterrichtung eingeholt werden. 2019 ist zudem mit einer neuen EU-Verordnung zu Cookies zu rechnen, der sogenannten ePrivacy-Verordnung. Diese wird den Umgang mit Cookies grundlegend neu regeln.
Keine Einwilligung braucht jedoch das Setzen eines sogenannten „session cookies“, wenn dies Nutzereingaben zur erlaubten Verwendung des Diensteanbieters vorübergehend speichert und keinen Dritten bereitstellt.
Formulierungsbeispiel:
Cookies
Um Ihnen ein schnelles Browsen zu ermöglichen und damit Sie einmal eingegebene Informationen bei Rückkehr zur Formularseite nicht erneut eingeben müssen, benutzt unsere Homepage sogenannte „session cookies“. Dabei handelt es sich um kleine Textdateien. Diese Dateien werden vorübergehend im Cookie-Speicher Ihres Browsers gespeichert und sind für Dritte nicht abrufbar.
Wir als Diensteanbieter können diese Cookies nicht direkt auslesen. Dies erfolgt lediglich durch Ihren Browser bei Rückkehr zu einer Seite unserer Homepage.
Sobald Sie ihren Browser beenden, werden die Cookie-Daten – abhängig von der Cookie-Einstellung Ihres Browsers – automatisch gelöscht.
Das schnelle Löschen der Sitzungs-Cookies ist zwingend. Ansonsten greift Erwägungsgrund 30 der DS-GVO. Der EU-Gesetzgeber hat darin klar erkannt, dass Cookies „Spuren hinterlassen, die (…) dazu benutzt werden können, um Profile (…) zu erstellen“. Für solche Cookies braucht es dann wieder eine ausdrückliche Einwilligung.
Ein absolutes No-Go ist das Setzen von Cookies von oder für Drittanbieter/n, sofern der ausreichend hierüber informierte Nutzer nicht vorab ausdrücklich eingewilligt hat.
8.12. Web-Tracking-Mechanismen wie Google Analytics
Immer wieder finden sich in Datenschutzhinweisen Passagen zu Web-Tracking-Mechanismen. Dazu haben wir eigenständige DS-GVO-Praxistipps herausgegeben. Hier sei nur auf zwei wesentliche No-Go’s hingewiesen: Der pauschale Hinweis auf eine Übertragung der Daten in die USA ist ebenso unzureichend wie der Hinweis auf Opt-Out-Möglichkeiten oder solche Cookies bzw. Plug-Ins. Der Gesetzgeber verbietet es, Nutzer zum Aktivwerden gegen unzulässige Datensammlung oder -verwendung zu zwingen.
Es gibt schlicht keine gesetzliche Grundlage, die eine Übermittlung personenbezogener Daten von einer Homepage an Google erlaubt. Die Werbe- und Marktforschungszwecke in § 15 Abs. 3 TMG beziehen sich nur auf pseudonymisierte Daten, zudem darf der Nutzer dieser Nutzung widersprechen. Die – in vielen Datenschutzinformationen zitierte – Vorschrift des Art. 6 Abs. 1 lit. f) DS-GVO schützt nur berechtigte Interessen des Diensteanbieters. Die Weitergabe von Daten an Google dient jedoch nicht dessen Interessen, sondern eigenen Geschäftsinteressen von Google. Dazu besteht ohne Einwilligung keine gesetzliche Erlaubnis.
Google AdSense lässt sich daher nur nach ausdrücklicher Einwilligung des Nutzers einset-zen, und nur bei solchen Nutzern, die eingewilligt haben – was praktisch kaum umsetzbar ist und den mit der Nutzung von Google Analytics verbundenen Erwartungen zuwiderläuft.
Rechtlich schwierig ist auch, dass einige Tracking-Anbieter zur Verwendung bestimmter Hinweise anregen oder diese sogar verlangen. In aller Regel stimmen solche Vorgaben jedoch nicht mit den gesetzlichen Vorgaben überein.
Ein wichtiger Hinweis: Mit einigem Konfigurationsaufwand lässt sich selbst Google Analytics gesetzkonform einsetzen. Dies erfordert zwingend die Erweiterung um die Funktion bzw. Einstellung „_anonmizeIP()“. Je nach Version werden auch dabei in Ausnahmefällen noch volle IP-Adressen an Server von Google in die USA übertragen und erst dort gekürzt, was allein schon kritisch genug ist. Die meisten Website-Betreiber wollen sich mit den wenigen dann verfügbaren Nutzungsdaten nur nicht zufriedengeben – und verletzen damit Recht und Gesetz.
Wer Google Analytics gesetzkonform konfiguriert hat, sollte darüber informieren. Pauschale Empfehlungen lassen sich dazu nicht geben, dafür gibt es zu viele Varianten der Google-Analytics-Konfiguration; zudem werden diese von Google oft und häufig geändert.
8.13. Inhalte Dritter wie Google Maps
Oft wollen Website-Anbieter Inhalte Dritter einblenden, ohne die entsprechenden Programme oder Inhalte vorrätig zu halten. Dabei kann es sich um Youtube-Videos, Kartenmaterial oder Wetterdaten handeln. Oft sind es auch CAPTCHA-Funktionen wie reCAPTCHA von Google.
In diesen Fällen wird zwischen dem Web-Browser des Nutzers und dem Server des Drittanbieters eine direkte Verbindung hergestellt. Die meisten dieser Anbieter (vor allem Google) sammeln und erheben bei dieser Gelegenheit unterschiedlich viele Daten, oft ohne genau über Umfang, Zweck und Weitergabe zu informieren. Deshalb versuchen sich manche Website-Betreiber mit Hinweis auf den „fehlenden Einfluss auf den Umfang der Daten, die der Anbieter erhebt und wie er sie verwendet“, herauszuwinden. Rechtlich ist dies zum Scheitern verurteilt, denn Diensteanbieter ist der jeweilige Web-Site-Betreiber, der solche Dritt-Inhalte in seine eigene Website einbindet.
Zu vermeiden ist auch die Nutzung von Schriftarten wie den Google Web Fonts, wenn diese direkt von Google-Servern in den USA nachgeladen werden. Dann dienen sie nämlich (auch) Googles eigenen Geschäftszwecken, was ohne ausdrückliche Einwilligung des Nutzers gesetzlich nicht erlaubt ist. Technisch ist es möglich, die Fonts auf den eigenen Web-Server zu laden. Dann muss noch Einiges unternommen werden, um gleichwohl eine Kontaktaufnahme zu den Google-Servern zu unterbinden, und so gesetzkonform zu agieren. Indes ist nicht ausgeschlossen, dass Google in der Zukunft über Umwege doch wieder eine Kontaktaufnahme zu eigenen Servern einrichtet.
8.14. Social Media Plug-Ins (Facebook, Twitter, Instagram, etc.)
Absolut kritisch wird es, wenn auf der Homepage Social-Media Plugins wie der Like- oder Share-Button von Facebook eingesetzt werden sollen. Hier gilt das vorstehend zu Dritt-Anbieter-Inhalten Gesagte: Allein mit einem Hinweis in der Datenschutzunterrichtung lassen sich solche Plug-Ins nicht gesetzkonform einsetzen, es braucht stets eine ausdrückliche Einwilligung nach gesonderter Information des Nutzers.
8.15. Hinweis auf Betroffenenrechte
§ 13 TMG sah noch keine Information der Nutzer über ihre Rechte in Bezug auf Datennutzung vor. Dies ändert sich ab dem 25. Mai 2018. Ab dann verlangen Art. 12 Abs. 1 und 2 DS-GVO eine geeignete Information der Nutzer über die Wahrnehmung ihrer Rechte.
Umfang und Details hierzu hängen naturgemäß vom Umfang der durch eine Homepage verarbeiteten Daten ab. Stets braucht es jedoch einen Hinweis wie folgt.
Formulierungsbeispiel (bei Einwilligungen muss auch auf die Widerrufsmöglichkeit von
Einwilligungen hingewiesen werden):
Ihre Rechte als Betroffene
Als Nutzer unserer Homepage haben Sie das Recht, auf Antrag unentgeltlich Auskunft darüber zu erhalten, welche Daten zu Ihrer Person wir gespeichert haben. Diesen Antrag können Sie in angemessenem Zeitrahmen erneut stellen. Sie dürfen ferner die Berichtigung falscher Daten sowie die Sperrung oder Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen.
Falls von Ihnen bereitgestellte personenbezogene Daten gespeichert wurden, können Sie auch eine Herausgabe verlangen (Recht auf Datenportabilität).
Falls Sie annehmen, dass Ihre personenbezogenen Daten unrechtmäßig verarbeitet werden, können Sie eine Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde einreichen.
Sollten Sie Auskunft zu während der Nutzung unserer Homepage erfassten personenbezogenen Daten beantragen, lässt sich dies in der Regel nur bearbeiten, wenn Sie uns die beim Zugriff auf die Homepage verwendete IP-Adresse mitteilen. Eine Ausnahme gilt bezüglich solcher Daten, die Sie uns unter Angabe Ihres Namens oder Ihrer E-Mail-Adresse übermittelt haben (z. B. im Kontaktformular).
Löschung von Daten
Sofern Ihr Wunsch nicht mit einer gesetzlichen Pflicht zur Aufbewahrung von Daten kollidiert, können Sie die Löschung Ihrer personenbezogenen Daten verlangen. Ist eine Löschung nicht möglich, da die Daten für zulässige gesetzliche Zwecke benötigt werden, erfolgt eine Einschränkung der Datenverarbeitung. In diesem Fall werden die Daten gesperrt und nicht für andere als die noch zulässigen Zwecke verarbeitet.
Widerspruchsrecht
Als Nutzer unserer Homepage können Sie nach dem Gesetz der Verarbeitung Ihrer personenbezogenen Daten zu jeder Zeit widersprechen. Es muss Ihnen klar sein, dass Sie dann die Nutzung unserer Homepage einstellen müssen. Ganz ohne Verarbeitung personenbezogener Daten (siehe den Abschnitt über Protokolldateien oben) lässt sich eine Homepage im World Wide Web nämlich nicht betreiben.
8.16. Hinweis auf den Datenschutzbeauftragten
Zum Abschluss empfiehlt sich in aller Regel ein Link zur Kontaktaufnahme mit dem Datenschutzbeauftragten.
Formulierungsbeispiel:
Wenn Sie Fragen zu dieser Unterrichtung oder zur Nutzung Ihrer personenbezogenen Daten durch uns haben, zögern Sie nicht, unseren Datenschutzbeauftragten direkt zu kontaktieren.
Haben Sie Fragen zu Datenschutzhinweisen auf Homepages? Dann stehen Ihnen Dr. Matthias Terbach, Dr. Justus Gaden, Axel Dumann und Roland Kreitz bei allen Fragen rund um die DS-GVO zur Verfügung.