Key Facts
- Erklärungen zum Datenschutz sind für jede Webseite Pflicht
- Webseiten von Gewerbetreibenden und monetarisierte Webseiten ohne Datenschutzerklärung können aufgrund eines Wettbewerbsverstoßes abgemahnt werden
- Inhalt der Datenschutzerklärung richtet sich nach dem Aufbau einer Webseite
- Datenschutzerklärungen müssen von jeder (Unter-) Seite aus erreichbar sein
Rechtliche Grundlagen
Die Datenschutzgrundverordnung (im folgenden DS-GVO) unterscheidet nicht zwischen privaten und gewerblichen Betreibern einer Seite und fasst beide als Anbieter eines Online-Dienstes unter dem Begriff „Verantwortlicher“ zusammen (Art. 4 Tz. 7 DS-GVO). Der Verantwortliche hat betroffene Personen vor der Verarbeitung ihrer Daten in einfacher, präziser und verständlicher Form zu unterrichten (Art. 12, 13 u. 14 DS-GVO) sowie diverse Mitteilungspflichten (Art. 15 bis 22 u. Art. 34 DS-GVO).
Bei Besuch einer Webseite werden verschiedene Daten übermittelt, die Rückschlüsse auf natürliche Personen zulassen, nicht zuletzt die IP-Adresse (sowie verwendeter Browser sowie Version, Verweildauer, Endgerät, Monitorauflösung, etc.). Diese Daten werden mitgeteilt, unabhängig davon, ob eine Webpräsenz Inhalte besitzt. Personenbezogene Daten werden unter Art. 4 Tz. 1 DS-GVO sowie Art. 9 DS-GVO definiert, der sich auf die Verarbeitung besonderer Kategorien personenbezogener Daten bezieht, wie z.B. Religionszugehörigkeit, politische Meinung etc. (vgl. auch § 22 BSDG-neu).
Auch blanke Webseiten mit dem Hinweis, die Webseite des Verantwortlichen sei im Entstehen begriffen, sind ebenfalls mit einer Datenschutzerklärung zu versehen. Sofern der Verantwortliche nicht selbst Betreiber des eigenen Servers, kann davon ausgegangen werden, dass der Webseiten Hoster Daten über Nutzer eine Logfiles sammelt.
Inhalte einer Datenschutzerklärung
Neben der DS-GVO gelten die Anforderungen des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes. Ziel der Erklärung ist es, betroffenen Personen Informationen über den Umfang und den Zweck erhobener Daten sowie zu deren Verarbeitung zu vermitteln. Jede Handlung und eingesetzte Technologie, die zu einer Verarbeitung (Erhebung, Speicherung, etc.) personenbezogener Daten führt, muss in einer Datenschutzerklärung aufgeführt werden.
Es wird eine Unterscheidung zwischen Direkterhebung (Art. 13. DS-GVO), direkt bei der betroffenen Person, und einer Dritterhebung (Art. 14 DS-GVO) getroffen, also einer Erhebung bei Dritten. Es ist nicht pauschal zu beantworten, welche Informationen ein für die Verarbeitung Verantwortlicher bereitstellen muss, wenn er z.B. beabsichtigt die Daten gegenüber Dritten offenzulegen.
Die verpflichtend mitzuteilenden Informationen der Datenschutzerklärung richten sich nach den Vorgaben der Direkt- bzw. Dritterhebung (Art. 13 und 14 DS-GVO)
Die zwingend notwendigen Inhalte nach Art. 13 DS-GVO finden Sie in unserem Artikel zu Informationspflichten.
Technologien und Cookies
Ein Hinweis auf die Nutzung von Cookies und eingebetteten Technologien muss sich nicht nur in der Datenschutzerklärung, sondern auch als Hinweis beim Besuch der Seite finden. Die überwiegende Zahl an Webseiten bindet Cookies sowie Technologien zum Tracking von Besuchern ein. Diese können im weiteren Verlauf u.a. für Remarketing und Tracking über soziale Netzwerke genutzt werden und stellen ggf. einen starken Eingriff in die Rechte und Freiheiten natürlicher Personen dar.
Streng genommen muss der Besucher vor der Verarbeitung (hier: der Erhebung) seiner Daten in diese einwilligen können. Das Laden von Cookies und eingebetteter Technologien vor der Einwilligung in den sogenannten „Cookie-Hinweis“ ist demnach nicht konform mit der DS-GVO. Die Möglichkeit zum Widerspruch der Datenerhebung muss darüber hinaus dazu führen, dass der Besucher entweder die Seite nicht nutzen kann oder nur mit eingeschränkter Funktionalität.
Ausnahmen: Cookies die reinen Funktionalität bzw. Nutzung der Webseite dienen, z.B. zur Navigation auf der Seite selbst, sind nicht zustimmungspflichtig.
Die beobachtete Praxis ist allerdings, dass Webseiten häufig ohne bestätigten Cookie-Hinweis weiter nutzbar sind. Dieser ist ggf. während der Nutzung noch konstant sichtbar, beschränkt aber nicht die Verarbeitung personenbezogener Daten. Explizit: Von einer „stillschweigenden Einwilligung“ durch Nutzung der Seite darf nicht ausgegangen werden.
Nachweispflichten des Verantwortlichen
Jede durch Besucher einer Webseite abgegebene Einwilligung in Datenschutzerklärungen, die Nutzung von Cookies und eingebetteten Technologien sollte gegenüber Aufsichtsbehörden nachweisbar sein. Da diese Nachweispflicht auch noch Monate nach dem Besuch einer Webseite besteht, kann dazu führen, dass bestimmte personenbezogene Daten aufgrund der DS-GVO länger gespeichert bleiben, als sie zuvor mussten.
Verweise auf Rechtstexte mit Stichwort
- Art. 4 Nr. 1 DS-GVO „personenbezogene Daten“
- Art. 4 Nr. 7 DS-GVO „Verantwortlicher“
- Art. 9 Abs. 1 DS-GVO Verarbeitung besonderer Kategorien personenbezogener
- Art. 12 ff DS-GVO Transparenzpflichten
- § 22 Abs. 2 BDSG-neu Umgang mit biometrischen Daten
Zurück zum Themenfokus DS-GVO