Big Brother is watching you: Checkliste für die Datenschutzerklärung

Nicht nur, um die gesetzlichen Vorgaben aus dem Bundesdatenschutzgesetz (kurz: BDSG) zu erfüllen und keine Sanktionen befürchten zu müssen – Auch um Verbrauchern, denen es an Vertrauen in den Schutz ihrer personenbezogenen Daten mangelt, ein Gefühl von Sicherheit beim Kauf im Online-Handel zu geben, ist ein sensibler und gewissenhafter Umgang mit den vom Kunden anvertrauten Daten wichtig.

(Bildquelle Internet-Security: Lichtmeister via Shutterstock)

Fehlende Datenschutzerklärung = Wettbewerbsverstoß?

Unternehmen unterliegen in puncto Datenschutz grundsätzlich der Aufsicht des jeweiligen Landesdatenschutzbeauftragten oder der Landesbehörden. Mittlerweile mischen auch die Verbraucherschützer mit – und können bei Datenschutzverstößen einschreiten.

Kann man wegen eines Datenschutzverstoßes auch von anderer Seite abgemahnt werden – nämlich vom Konkurrenten? Eine Frage, die immer noch nicht eindeutig zu beantworten ist, da der Datenschutz weniger den Schutz eines fairen Wettbewerbs bezweckt, sondern vielmehr den Schutz bei Erhebung und Nutzung von Daten. Erst kürzlich hat das Oberlandesgericht Köln vergleichbare Urteile bestätigt, nach denen Datenschutzverstöße unter Umständen auch von Wettbewerbern abgemahnt werden können (Urteil vom 11.03.2016, Az.: 6 U 121/15).

Datenschutzerklärung: Wann und wieviel ist ein Muss?

Konkret ging es beim aktuellen Urteil des Oberlandesgerichts Köln um ein verwendetes Kontaktformular – ohne entsprechende Belehrung, was mit den eingegebenen Daten der Nutzer passiert. Ein vermeintlich kleiner Fehler, der dem Webseitenbetreiber teuer zu stehen kam.

Eine Datenschutzerklärung (d.h. eine Information über die Erhebung und Verwendung von Daten der Webseitenbesucher) muss zwar nur dann bereitgehalten werden, wenn personenbezogene Daten erhoben und verarbeitet werden. Praktisch arbeitet fast jede Webseite mit Analysetools, Kontaktformularen und/oder Cookies. Eine Datenschutzerklärung ist damit in der Praxis für fast jede Webseite unverzichtbar.

Ob solche langen und sehr schwer verständlichen Datenschutzerklärungen überhaupt noch einen nachvollziehbaren Zweck erfüllen, hat die Stiftung Warentest bereits ausführlich in Frage gestellt.

Mehr ist mehr? Die wichtigsten Klauseln in der Datenschutzerklärung

Zugegeben: die Rechtslage in Bezug auf den Datenschutz ist sehr kompliziert und für den Laien meist nur schwer verständlich. Prüfen Sie mit unserer Checkliste, ob Sie auf Ihren Webseiten noch Nachholbedarf haben. Die hineingesteckte Zeit ist in jedem Fall gut investiert.

So viel zur Theorie vorweg:

Der Betreiber der Webseite hat den Nutzer insbesondere über die folgenden Punkte zu unterrichten:

• dass Daten gespeichert werden
• Art, Umfang und Zwecke der Erhebung, Verarbeitung oder Nutzung/Verwendung personenbezogener Daten

Die Belehrung soll in allgemein verständlicher Form erfolgen und von jeder Seite des Internetauftritts verlinkt sein.

Nun zur Praxis:

1. Kontaktformulare

Bei der Nutzung eines Kontaktformulars erhebt der Webseitenbetreiber personenbezogene Daten (z.B. E-Mail-Adresse). Was passiert mit der gespeicherten E-Mail-Adresse? Werden die Daten anschließend gelöscht? Sagen Sie es dem Webseitenbesucher (Oberlandesgericht Köln, Urteil vom 11.03.2016, Az.: 6 U 121/15).

2. Weitergabe personenbezogener Daten

Klassisches Beispiel für den Online-Handel: Dienstleistungspartner (z.B. DHL) müssen zur Abwicklung des Vertragsverhältnisses natürlich über die Empfängeradresse informiert werden. Der Umfang der Datenübermittlung sollte sich jedoch auf ein Mindestmaß beschränken und den Nutzer darüber informieren.

3. Kommentarfunktionen und Kundenbewertungen

Werden bei der Kommentarfunktion personenbezogene Daten, wie Name oder E-Mailadresse erhoben? Wird die E-Mailadresse am Kommentar angegeben? Wird der Name am Kommentar angegeben? Speichern Sie die E-Mailadresse zum Schutz vor maschinell erstellten Kommentaren? Fragen, auf die der Nutzer eine Antwort haben sollte, bevor er seinen Kommentar auf der Webseite hinterlässt.

4. Cookies

Internetseiten, die Cookies (kleine Textdateien, die auf dem Rechner abgelegt werden und vom Browser gespeichert werden) verwenden, sollten darüber ebenfalls ein Wörtchen in der Datenschutzerklärung verlieren.

5. Verwendung von Webanalyse-Tools

Es hat außerdem Einfluss auf die Datenschutzerklärung, wenn Webanalysetools (z.B. Google Analytics, etracker etc.) verwendet werden, da diese personenbezogen funktionieren. Die Klauseln müssen aufklären, welche Daten des Webseitenbesuchers das Tool erhebt und wie diese dann genutzt werden. Aufzuklären ist außerdem, an wen die Daten ggf. übermittelt werden. Hier bedarf es für jedes einzelne Tool einer ergänzenden Regelung in der Datenschutzerklärung.

Sie wissen nicht, was in diesem Bereich überhaupt auf Ihrer Seite passiert? Das kostenlose Add-on „Ghostery“ erkennt Tracker, Web Bugs, Pixel und Beacons, die auf einer Webseite eingesetzt werden.

6. Google Remarketing, ExactTarget oder Adwords Conversion Tracking

Auch mit zahlreichen anderen Funktionen kann das Surfverhalten der Webseitenbesucher ausgewertet werden und zielgerichtet mit Werbung angesprochen werden. Die hierfür notwendigen Klauseln müssen aufklären, welche Daten des Webseitenbesuchers das Tool erhebt und wie diese dann genutzt werden. Aufzuklären ist außerdem, an wen die Daten ggf. übermittelt werden.

7. Verwendung von Social-Plug-Ins

Die Einbindung von Social Plug-Ins veranlasst einen Datentransfer mit den Servern des Betreibers des jeweiligen sozialen Netzwerks, wodurch eine unbemerkte Übermittlung von personenbezogenen Daten stattfindet. Dass der Einsatz von solchen Plug-Ins seit einem aktuellen Urteil daher mehr als unsicher ist, haben wir an dieser Stelle bereits ausführlich erläutert. Werden die Plug-Ins weiter genutzt, muss aus datenschutzrechtlicher Sicht in jedem Fall eine Aufklärung über die Verwendung in der Datenschutzerklärung erfolgen.

8. Newsletterversand

Auch der Versand von virtueller Werbung ist eine Form der Nutzung von Kundendaten. Nutzt eine Webseite E-Mail-Werbung, ist eine entsprechende Klausel in die Datenschutzerklärung zu integrieren, dass die E-Mail-Adresse bei Einwilligung für den Versand von Werbung genutzt wird und wie der Empfänger diesen Newsletter unter Umständen wieder los wird.

9. Zahlungsarten und die Bonitätsprüfung

Um Geschäfte mit risikobehafteten Kunden und die Gefahr von Zahlungsausfällen zu vermeiden, sind viele Zahlungsarten mit einer Bonitätsprüfung verknüpft. Es dürfen zum Zwecke der Bonitätsprüfung nur die Daten erhoben werden, die für eine Bonitätsprüfung benötigt werden, also für den zu schließenden Vertrag wesentlich sind. Der Kunde sollte aus Transparenzgründen in der Datenschutzerklärung darüber aufgeklärt werden, welche detaillierten Angaben zur Datenabfrage erhoben und an wen weitergegeben werden, sowie den Ablauf der Bonitätsprüfung genau zu beschreiben.

10. Auskunft, Berichtigung, Sperrung und Löschung von Daten

Last but not least: Besucher einer Webseite, deren Daten erhoben, gespeichert und weiter genutzt werden, haben jederzeit das Recht auf unentgeltliche Auskunft über ihre gespeicherten Daten sowie das Recht auf Berichtigung, Löschung bzw. Sperrung. Ein Hinweis, der in keiner Datenschutzerklärung fehlen soll.

Unsere Empfehlung:

Um Kunden umfassend zu informieren, sollten die Hinweise mindestens diese Fragen beant­worten: Welche Daten erfasst der Anbieter? Wie werden sie erhoben? Wofür nutzt er sie? Welche Rechte hat der Kunde? Dass hierüber belehrt werden muss, sollte jedem klar sein. Die Datenschutzerklärung sollte jedoch nicht nur rechtlich absichern und umfangreiche Nutzungsrechte einräumen, sondern aufklären und Vertrauen schaffen.