Die rechtssichere Gestaltung von Online-Angeboten ist mittlerweile eine große Herausforderung. Sowohl nach der aktuellen Rechtslage (BDSG und TMG) als auch nach der DSGVO müssen die Websitenbesucher über die Art, den Umfang und Zwecke der Erhebung und Verwendung der personenbezogenen Daten umfassend und verständlich informiert werden. Dieser Artikel stellt die wichtigsten Aspekte dar, die aus datenschutzrechtlicher Sicht beim Betreiben einer Website zu beachten sind.
Die Website als Existenzgrundlage
Jeder geschäftliche Auftritt eines Unternehmens wird heutzutage über eine Website dargestellt. Mittlerweile ist diese Kommunikationsform eine wesentliche Schnittstelle zu Kunden und Geschäftspartnern und eine wichtige „Visitenkarte“.
Neben der rein informatorischen Nutzung von Websites, steht der funktionelle Gebrauch von Webdiensten und -portalen immer mehr im Mittelpunkt des gesellschaftlichen und vor allem wirtschaftlichen Zusammenlebens. E-Commerce-, Dienst- und Serviceleistungen – stark zunehmend auch im Mobile Bereich – werden fast ausschließlich über Telemedien abgewickelt. Zu jedem Abwicklungsvorgang gehört stets auch die Übertragung von personenbezogenen Daten, welche nicht selten in großen Datenbanken des Betreibers gesammelt werden. Tracking-, Analyse-, Social Media- und Werbetools von Drittanbietern sorgen für den Aufbau umfassender Nutzerprofile.
Diese komplexen Verknüpfungen mit Diensten von Dritten und das Tracking von Usern werfen datenschutzrechtliche Fragen auf: Welche Dienste dürfen nach deutschem Datenschutzrecht überhaupt eingesetzt werden und wie müssen die Nutzer der Seite in den Datenschutzhinweisen informiert werden?
Datenschutzrechtliche Prüfung am Maßstab von BDSG und TMG
Die Pflicht, eine Datenschutzerklärung auf der Website einzubinden, ergibt sich aus § 13 TMG. Danach muss der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten außerhalb der EU bzw. des EWR unterrichten.
Hier finden Sie eine Übersicht, welche Aspekte im Fokus der datenschutzrechtlichen Überprüfung einer Website besonderes beachtet werden sollten.
Tracking und Analyse-Tools (z.B. Google Analytics, Piwik, Adobe Analytics, etc.)
Tracking- und Analyse-Tools sind datenschutzrechtlich nicht immer unbedenklich. Was konkret bei den populärsten Tracking- oder Analyse-Tools zu bechten ist, können Sie hier nachlesen:
Die Besucher der Website sind in der Datenschutzerklärung umfassend und verständlich darüber zu informieren, welche Daten zu welchem Zweck erhoben und ggf. Weitergegeben werden. Darüber hinaus sind folgende Punkte zu beachten:
- Löschung der Altdaten,
- Vereinbarung zur Auftragsdatenverarbeitung mit dem Anbieter,
- Anonymisierung der IP-Adressen,
- Widerspruchsrecht der Websitenbesucher,
- ggf. Informationen über die Übermittlung der Daten außerhalb der EU/EWR
Cookies (z.B. für Adsense, DoubleClick for Publishers, DoubleClick Ad Exchange, AdWords, etc.)
Die Websitenbesucher sollten in der Datenschutzerklärung auch über die Nutzung von Cookies inkl. der Widerspruchsrechte informiert werden. Mehr zum Thema Cookies können Sie hier nachlesen:
Social-Media Plug-Ins
Aufsichtsbehördlich wird eine eigene Verantwortlichkeit des Betreibers einer Unternehmenswebsite für die Datenverarbeitung angenommen, welche aufgrund der Einbindung des Like-Buttons erfolgt, und zwar unabhängig davon, ob dies über eine 2-Klick-Lösung realisiert ist. Die Begründung hierfür ist, dass der Websitebetreiber durch die Einbindung des Social Plugin in die eigene Website sehr wohl Einfluss auf den Datenverarbeitungsprozess hat. Wird durch die Konfiguration z. B. einer Website ein Datenverarbeitungsprozess bei einem weiteren Dienstleister (z.B. Facebook) ausgelöst, trägt der Websitebetreiber die datenschutzrechtliche (zumindest Mit-) Verantwortung für die dadurch ausgelöste (unzulässige) Verarbeitung.
Auch das LG Düsseldorf hat in einem aktuellen Urteil vom 09.03.2016 (AZ: 12 O 151/15) entschieden, dass die bloße Einbindung des Facebook Like-Button auf Websites ohne die Einwilligung der betroffenen Seitenbesucher und ohne Angabe über Zweck und Funktionsweise des Buttons rechtswidrig ist.
Daher ist es zu empfehlen, sog. Social Bookmarks auf die Website einzubinden oder auf die sog. Shariff-2-Klick-Lösung zu setzen.
Facebook Connect oder Google Sign in
Durch die Einbindung von Facebook Connect ist es möglich, die Registrierung für einen Dienst zu beschleunigen. Durch die Verknüpfung des Dienstes mit Facebook ist die Eingabe der Daten nicht mehr notwendig. Die benötigten Daten werden dem Anbieter von Facebook mitgeteilt. Im Gegenzug erhält Facebook aber auch Informationen zu der Nutzung des neuen Dienstes durch den User. Zur datenschutzkonformen Anwendung ist eine Einwilligung des Nutzers notwendig und eine entsprechende Ergänzung der Datenschutzerklärung.
Facebook Custom Audiences
Mittels Custom Audiences kann ein Unternehmen einen Abgleich seiner Kundendaten mit Facebook vornehmen, um bei den betroffenen Kunden, die zugleich Facebook-Nutzer sind, von Facebook entsprechend beworben zu werden. Bei Facebook Custom Audiences ist mangels entsprechender Rechtsgrundlage eine Einwilligung des Betroffenen zwingende Voraussetzung für den rechtskonformen Einsatz. Fehlt diese Voraussetzung für die Datenerhebung und -verarbeitung, drohen gem. § 43 BDSG zumindest Bußgelder. Daneben können Schadenersatzansprüche Betroffener begründet werden. Mehr dazu können Sie hier lesen.
Anmelde- bzw. Kontaktformular
Haben Sie einen Anmelde- oder Kontaktformular auf Ihrer Website, dann müssen Sie insbesondere darauf achten, dass die Daten verschlüsselt übermittelt werden. Die Pflicht eines Websitenbetreibers im Rahmen der Verwendung von Kontaktformularen zur Übertragung von personenbezogenen Daten ein anerkanntes Verschlüsselungsverfahren zu implementieren, ergibt sich aus § 13 Abs. 7 TMG, welcher im Zuge des Inkrafttretens des IT-Sicherheitsgesetzes seit Sommer 2015 gilt.
Ein anerkanntes Verschlüsselungsverfahren für Datennetzwerke ist z.B. die Transport Layer Security (TLS). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt mit einer Technischen Richtlinie Empfehlungen für den Einsatz des kryptographischen Protokolls TLS, welches der sicheren Übertragung von Informationen in Datennetzwerken und damit dem Schutz der Vertraulichkeit, Integrität und Authentizität der übertragenen Informationen dient. Dabei wird der Einsatz von TLS in der Version 1.2 empfohlen.
Ein Verstoß gegen § 13 Abs. 7 TMG stellt gemäß § 16 Abs. 2 Nr. 3 TMG eine Ordnungswidrigkeit dar, welche nach § 16 Abs. 3 TMG mit einer Bußgeld geahndet werden kann.
Darüber hinaus sind im Bereich Anmelde- und Kontaktformular folgende Aspekte zu berücksichtigen:
- Unterscheidung zwischen Pflichtangaben und freiwilligen Angaben;
- Datenschutzhinweis in Bezug auf die Erhebung und Nutzung der Daten erforderlich.
Bereich „Karriere“ (Online-Bewerbungsverfahren)
Auch im Bereich der Karriere ist darauf zu achten, dass die Bewerbungen samt Anlagen verschlüsselt übermittelt werden. Insoweit dürfte hier nichts anderes gelten als bei den Anmelde- und Kontaktformularen.
Technische Hinweise
Die gesetzlichen Vorgaben der datenschutzgerechten Gestaltung der Website müssen auch technisch umgesetzt werden. Hier sind insbesondere folgende Punkte zu beachten:
- Technischer Implementierung von Social Bookmarks z.B. Shariff-2-Klick-Lösung
- Technische Implementierung von rechtskonformer Einsatz von Analyse-Tools
- Code für Cookie-Deaktivierungslink
- Leichte Erreichbarkeit der Datenschutzerklärung: Bezüglich einer möglichen Verlinkung der Datenschutzhinweise ist nach der Rechtsprechung des BGH zu beachten, dass die erforderlichen Informationen nach maximal 2 Klicks erreichbar sei müssen, um die Anforderungen an eine leichte Erkennbarkeit und unmittelbare Erreichbarkeit zu erfüllen.
Welche Folgen drohen bei Verstößen?
Wer den Nutzer nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, begeht gemäß § 16 TMG eine Ordnungswidrigkeit, die mit einem Bußgeld von bis zu 50.000 € geahndet werden kann.
Eine fehlende oder dann fehlerhafte Datenschutzerklärung stellt darüber hinaus einen Verstoß gegen das Wettbewerbsrecht (§ 4 Nr. 11 UWG) dar und kann daher abgemahnt werden kann. Dies wurde zuletzt im März 2016 vom OLG Köln (Urt. vom 11.06.2016, 6U121/15) so gesehen. Da sich auf der Website einer Steuerberatungsgesellschaft weder im Formular noch an anderer Stelle eine Datenschutzerklärung zum Umgang mit den Daten aus dem Formular fand, wurde sie von einem Wettbewerber abgemahnt.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de