Datenschutzerklärung
Websites sammeln inzwischen eine Vielzahl an Daten über ihre Nutzer. Darunter auch Daten, die dem Datenschutz unterliegen. Das Telemediengesetz (TMG) verpflichtet Diensteanbieter und somit auch Website-Betreiber deshalb, ihre Nutzer über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über deren Verarbeitung in Staaten, die nicht der EU-Datenschutz-Richtlinie unterliegen, allgemein verständlich zu informieren. Das gilt auch, wenn dazu externe Dienstleister im Wege der Auftragsdatenverarbeitung tätig werden und Tools wie Google Analytics bei der Analyse des Nutzerverhaltens zum Einsatz kommen.
In der Praxis erfolgt die Unterrichtung zum Datenschutz meist durch Einbinden eines Links auf eine Datenschutzerklärung. Diese ist häufig auf der Startseite der Website verlinkt, da die vorgeschriebene Information zu Beginn des Nutzungsvorgangs erfolgen muss. Durch die umfangreichen Regelungen ist das Erstellen einer Datenschutzerklärung eine komplexe Angelegenheit. Muster für die Datenschutzerklärung können dabei wertvolle Hilfe leisten.
Folgen einer fehlenden Datenschutzerklärung
Eine fehlende oder fehlerhafte Datenschutzerklärung kann als Verstoß gegen den Datenschutz ein Bußgeld von bis zu 50.000 Euro nach sich ziehen. Die Website muss dazu nicht zwangsläufig gewerblichen Charakter haben. Auch eine private Website, auf der ein Blog betrieben wird, unterfällt der Pflicht, wenn dieser beispielsweise eine Kommentarfunktion beinhaltet oder einen Online-Werbedienst eingebunden hat. Nahezu jede Website benötigt dadurch eine Datenschutzerklärung.
Gegebenenfalls droht dem Betreiber zudem die Abmahnung durch Konkurrenten wegen eines Wettbewerbsverstoßes. Gerichte sind dieser Ansicht bereits gefolgt und sehen in § 13 I TMG, der zur Information der Nutzer verpflichtet, eine wettbewerbsrechtlich relevante Marktverhaltensvorschrift.
Vorgehen bei Erstellung einer Datenschutzerklärung
Erster Schritt bei der Erstellung einer Datenschutzerklärung ist die Ermittlung der Datenflüsse. Wo übermittelt ein Nutzer bzw. dessen Browser beim Besuch der Website bewusst oder unbewusst Daten? Solche Schnittstellen auf einer Website können beispielsweise Kontaktformulare, Bestellmasken, Newsletter-Abonnements, Kommentarfunktionen, Gewinnspiele oder Nutzerforen sein.
Anschließend sind die Daten, die Rückschlüsse auf persönliche, sachliche wie auch tatsächliche Verhältnisse natürlicher Personen zulassen, näher zu betrachten. Denn beim Datenschutz geht es nur um den Schutz personenbezogener Daten. Personenbezogene Daten sind dabei regelmäßig – aber nicht abschließend – Daten wie Name, Geschlecht, Adresse, Telefonnummer, E-Mail-Adresse, Bankverbindungen, Fotos, Standortdaten und ähnliche Informationen, die von Nutzern bei der Verwendung der Seite erhoben werden. Zu ihnen gehören auch statische IP-Adressen. Umstritten ist dagegen die Eigenschaft dynamischer IP-Adressen als personenbezogene Daten. Befürworter argumentieren, dass sich auch diese Informationen letztlich, wenn auch über Umwege, einem Menschen zuordnen lassen. Gegner verneinen dies, da dynamische IP-Adressen nicht auf Dauer einem bestimmten Internetanschluss zugeordnet sind. Dennoch sollten bis zu einer endgültigen Klärung durch höchstrichterliche Rechtsprechung auch dynamische IP-Adressen als personenbezogene Daten behandelt werden.
Wichtig ist auch ein Blick auf die bei der Datenerhebung, -verarbeitung und -nutzung eingesetzten Anwendungen und Verfahren, insbesondere wenn diese von externen Anbietern stammen. Muster enthalten hier regelmäßig Hinweise auf besonders oft genutzte Dienste wie Google Analytics, Google AdSense, Google+, Facebook und Twitter, die sich hier zur leichteren Erstellung einer Muster-Datenschutzerklärung spezifisch auswählen lassen. Bei zusätzlichen Diensten auf der Website wie etwa einem Newsletterangebot oder Kontaktformularen, durch die ein Betreiber personenbezogene Daten erhält, sind auch diese in der Datenschutzerklärung darzustellen.
Cookies
Cookies sind kleine Textdateien, die der Browser auf dem jeweiligen Gerät speichert und die es je nach Gestaltung im Nachhinein ermöglichen, dessen Nutzer wiederzuerkennen. Damit werden z. B. Website-Einstellungen, wie etwa Informationen zu einer bislang nicht abgeschlossenen Bestellung, im Browser wiederhergestellt, solange die Cookies nicht gelöscht werden. Datenschutzrechtlich relevant werden Cookies, wenn sie über enthaltene Informationen wie etwa Benutzernamen oder IP-Adresse eine Personenbezogenheit herstellen.
Manche Cookies ermöglichen es dabei, wie insbesondere das Cookie, das Facebook bei Einbindung des von ihm angebotenen Like-Buttons auf einer Webseite setzt, das Surfverhalten ihrer Nutzer zu analysieren. Ausgewertet wird die URL der besuchten Seite und wann ein Nutzer diese aufgerufen hat. Ist ein Nutzer dabei zugleich bei Facebook angemeldet, lässt sich das zudem einer bestimmten Person zuordnen, wobei dem Facebook-Nutzer u. a. zum Surfverhalten passende Werbeanzeigen angezeigt werden. Aus diesem Grund hielt das Landgericht Düsseldorf die Verwendung des Facebook-Like-Buttons, ohne dass Nutzer ausdrücklich zuvor in diese Datenübermittlung eingewilligt haben, in einem Urteil aus dem März 2016 für rechtswidrig. Darüber hilft auch der Hinweis auf den Einsatz des Like-Buttons in der Datenschutzerklärung nicht hinweg. Auch wenn sich die Situation vergleichbar darstellt, ist Entsprechendes für das Plug-in, das Google für sein soziales Netzwerk Google+ anbietet, noch nicht entschieden.
Google Analytics
Auch Google Analytics verwendet Cookies. Mit Blick auf die dabei an Google übermittelten Daten ist auch der Einsatz von Google Analytics datenschutzrechtlich relevant. Das Website-Analysetool sollte dabei wegen der bereits zu IP-Adressen als personenbezogene Daten gemachten Ausführungen nicht ohne die aktivierte Funktion zur Anonymisierung von IP-Adressen zum Einsatz kommen. Der zur Einbindung von Google Analytics angebotene Code ist dazu mit „gat._anonymizeIp();“ zu erweitern. Sonst erhält Google statt der gekürzten IP-Adresse die vollständige IP-Adresse von Website-Besuchern. Außerdem erfährt Google die Besucherzahlen der Seite. Wegen der Übermittlung auf Server in die USA, wo ein niedrigerer Datenschutz herrscht, ist das problematisch. Wer das vermeiden will, sollte seinen Browser auch mit einem Add-on versehen, das die Ausführung von Google Analytics verhindert. Auf diese Möglichkeit sollte die Datenschutzerklärung zudem hinweisen. Des Weiteren ist zur rechtskonformen Gestaltung mit Google ein Vertrag über die sich durch die Analyse ergebende Auftragsdatenverarbeitung zu schließen. Ohne diesen Vertrag wäre zuvor von jedem Website-Besucher die Einwilligung einzuholen, bevor die Datenerhebung durch Google Analytics stattfinden darf. Die immer weiter auf Websites verbreiteten Cookie-Zustimmungen, die Besucher direkt beim Aufruf erhalten, genügen dafür nicht, da die in der Regel kurzen Hinweise die Funktion der Cookies nicht deutlich genug machen. Der praktische Einsatz von Google Analytics wäre daher weitgehend verhindert. Ohne diese Voraussetzungen sind über Google Analytics erhaltene Daten sicherheitshalber zu löschen, um keinen Verstoß gegen die Regelungen zum Datenschutz zu riskieren. In der Praxis erweist sich das wegen der eingeschränkten Möglichkeiten zum spezifischen Löschen betroffener Daten wie der IP-Adresse bei Google Analytics als schwierig.
Google AdSense
Ähnliches wie für Google Analytics gilt für Googles Werbedienst Google AdSense. Mit Google AdSense schaltet Google Werbeanzeigen auf damit versehene Websites. Dabei beteiligt Google deren Betreiber an den über Aufrufe der AdSense-Anzeigen generierten Einnahmen. Google AdSense arbeitet ebenfalls mit Cookies und übermittelt u. a. die IP-Adresse an Google, weshalb Nutzer darüber ebenfalls in der Datenschutzerklärung zu informieren sind. Google verpflichtet AdSense-Nutzer deswegen seit September 2015, einen Cookie-Hinweis auf ihrer Website zu platzieren.
Der sogenannte Tweet-Button, das Plug-in von Twitter zum Tweeten von Inhalten, funktioniert vergleichbar wie die anderen Social-Media-Plug-ins. Auch Twitter wertet Webseitenbesuche aus und trackt dabei mittels Cookies das Surfverhalten. Der zugrunde liegende Code wird dabei ebenfalls bereits mit Aufruf einer entsprechenden Webseite automatisch durch den Browser ausgeführt.
Weitere Dienste
Neben den weitverbreiteten Diensten Google Analytics, Google AdSense und den Plug-ins von Facebook, Google+ und Twitter gibt es eine Vielzahl weiterer kostenloser wie professioneller Anbieter wie Webtrekk, Criteo, Pinterest, LinkedIn oder Xing, um die die hier angebotene Muster-Datenschutzerklärung – wenn Nutzer ihre personenbezogenen Daten dabei preisgeben – zu ergänzen ist. Wichtig ist, auch diese in der Datenschutzerklärung zu nennen. Dabei ist so weitgehend wie möglich auf Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie eine Verarbeitung in Staaten, in denen kein vergleichbares Datenschutzniveau wie in der EU herrscht, in allgemein verständlicher Sprache zu informieren. Bei Änderungen ist der Inhalt zu aktualisieren.
Darüber hinaus ist es wegen § 15 TMG notwendig, auch auf das Widerspruchsrecht betroffener Nutzer gegen die Erfassung von Nutzungsdaten hinzuweisen, wenn Daten für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien erhoben und dazu pseudonymisierte Nutzungsprofile erstellt werden.
Nicht vergessen werden sollte zudem, dass das Bundesdatenschutzgesetz (BDSG) im Falle einer Auftragsdatenverarbeitung eine schriftliche Vereinbarung zwischen Auftraggeber und Auftragnehmer vorschreibt. Sitzt der Anbieter im Ausland, haben es Auftraggeber wegen der unterschiedlichen Regelungen zum Datenschutz schwer, eine solche Vereinbarung zu treffen.