Das Einhalten datenschutzrechtliche Vorgaben im Internet ist nicht nur wegen der erheblichen Bußgelder von großer Bedeutung. § 43 Bundesdatenschutzgesetz etwa sieht Geldbußen bis zu 300.000 Euro vor. Vor allem die zahlreichen Datenskandale der vergangenen Jahre, der große Datenhunger von Unternehmen wie Facebook oder Google sowie die mit dem Bereich des Tracking von Nutzerdaten zusammenhängenden Fragen haben dazu geführt, dass das Thema Datenschutz von Nutzern und Unternehmern zwischenzeitlich ernst genommen wird.
Was bringt der Datenschutz ?
Der Erfolg eines Projekts, das online personenbezogene Daten verarbeitet und nutzt, hängt stark vom Vertrauen der Nutzer in die Seriosität des Anbieters und der Transparenz des Angebotes ab. Es setzt sich bei immer mehr Unternehmen, die im Internet tätig sind die Erkenntnis durch, dass eine vollständige Umsetzung der gesetzlichen Vorgaben eine vertrauensbildende Maßnahme gegenüber dem Kunde darstellt. Hierdurch kann der Erfolg oder Misserfolg eines Unternehmens wesentlich mit beeinflusst werden.
Die Unsicherheit der Kunden ist in diesem Bereich besonders hoch. Kann der Kunde nicht nachvollziehen, welche Daten für welche Zwecke gespeichert oder übermittelt werden, nimmt er im Zweifel die Dienstleistungen nicht in Anspruch oder wechselt den Anbieter. Man sollte daher die Einhaltung datenschutzrechtlicher Vorgaben nicht als notwendiges Übel, sondern als vertrauensbildende und kostengünstige Marketingmaßnahme begreifen.
Fragen des Datenschutzrechts im Internet sind jedoch sehr komplex. Die geltenden Gesetze hinken der tatsächlichen Entwicklung im Netz stets um Jahre hinterher. Zudem gibt es in fast keinem Rechtsbereich eine so große Diskrepanz zwischen der Gesetzeslage und der praktischen Umsetzung und Kontrolle. Es soll hier zunächst ein kurzer Einstieg in die Problematik gegeben werden.
Die verschiedenen Datenschutzgesetze
Bundesdatenschutzgesetz (BDSG)
Als wichtigstes Gesetz regelt das Bundesdatenschutzgesetz (BDSG) die Voraussetzungen der Datenerhebung, Weitergabe und Verarbeitung.
Das BDSG gilt sowohl für Unternehmen als auch für Behörden. Es regelt alle Bereiche des Datenschutzes von der Erhebung, Speicherung und Verarbeitung bis hin zur Weitergabe von Daten etwa zu Zwecken der Werbung. Das Bundesdatenschutzgesetz gilt zudem für alle Bereiche der Datenverarbeitung, egal ob diese online oder offline erfolgt.
Telemediengesetz
Nachdem das Teledienstegesetz und der Mediendienstestaatsvertrag nicht mehr in Kraft sind, gilt hier das Telemediengesetz (TMG) als wichtigste gesetzliche Vorschrift.
Das Telemediengesetz regelt für die Tele- und Mediendienste, also spezifisch für die Internetbranche, verschiedene Bereiche. Neben Haftungsfragen sind dies in den §§ 11 – 15a TMG insbesondere Fragen des Datenschutzes.
Einwilligung des Nutzers in die Datenspeicherung
Es reicht im Falle von Tele- und Mediendiensten nicht aus, dem Kunden die Möglichkeit des Widerspruchs bezüglich der Verarbeitung seiner Daten einzuräumen, wie dies beispielsweise im Bundesdatenschutzgesetz vorgesehen ist. Der Nutzer muss vielmehr in die Verwendung seiner Daten immer dann ausdrücklich einwilligen, wenn die jeweils einschlägigen Gesetze die Verarbeitung nicht gestatten. Dies ist vor allem zu beachten bei der Übermittlung der Daten an Dritte zu Werbezwecken.
Die pauschale Einwilligung eines Nutzers in den allgemeinen Geschäftsbedingungen reicht jedoch für eine wirksame Einwilligung nicht aus, die Einwilligung muss deutlich hervorgehoben sein. Auch Sätze wie "Wir beachten die datenschutzrechtlichen Vorgaben" genügen in keiner Weise den gesetzlichen Vorgaben.
Problematisch sind in diesem Zusammenhang natürlich auch die Internationalen Bezüge. Bei der Übermittlung von Daten in Länder außerhalb der EU gibt es dann Schwierigkeiten, wenn diese Länder nicht über ein Datenschutzniveau verfügen, dass dem in Europa entspricht. Dieses angemessene Schutzniveau wurde zum Beispiel weder für die USA noch für Japan bestätigt.
Datenschutzerklärung – Was muss drin sein ?
Bis zum 01. Februar 2015 wurden 15.831.107 Internetseiten mit "de"-Domain registriert, allein in Deutschland gehen etwa 45.000 neue Seiten monatlich online. Theoretisch müsste auf jeder dieser Webseiten eine Datenschutzerklärung vorhanden sein. Die Praxis sieht allerdings ganz anders aus…
Wo ist die Pflicht zur Einbindung einer Datenschutzerklärung geregelt ?
Die Pflicht, eine Datenschutzerklärung auf der Webseite einzubinden, ergibt sich aus § 13 TMG. Danach muss der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten außerhalb der EU bzw. des EWR unterrichten.
Welche Form muss eine Datenschutzerklärung haben ?
Da die Unterrichtung zu Beginn des Nutzungsvorgang auf Webseiten etwas schwierig ist, ist die gleichzeitige Unterrichtung bei Erhebung grundsätzlich ausreichend. Da die Information außerdem jederzeit abrufbar sein muss, bietet es sich an, die Datenschutzerklärung wie das Impressum in einem eigenen Reiter als feste Seite zu implementieren.
Darüber hinaus muss die Information in allgemein verständlicher Form erfolgen, so dass technische oder juristische Fachbegriffe und Formulierungen vermieden werden sollten.
Welchen Inhalt muss eine Datenschutzerklärung haben ?
Der Inhalt ergibt sich aus den auf der Webseite erfolgenden Datenverwendungen. Über diese ist wahr und vollständig zu unterrichten. Darunter fallen Informationen über die allgemeine Datenerhebungen, wie zum Beispiel:
Aber auch Informationen über besondere Kategorien, wie zum Beispiel:
müssen enthalten sein. In jedem dieser Fälle sollte auf das Widerspruchsrecht der Betroffenen hingewiesen werden und im Fall der Analysetools auch eine technische Möglichkeit zum Widerspruch eingeräumt werden. Außerdem müssen stets die Zwecke angegeben werden, zu denen die Daten verwendet und an wen sie gegebenenfalls weitergegeben werden.
Welche Folgen drohen bei Verstößen ?
Wer den Nutzer nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, begeht gemäß § 16 TMG eine Ordnungswidrigkeit, die mit einem Bußgeld von bis zu 50.000 € geahndet werden kann. Darüber hinaus hat das OLG Hamburg (Urteil vom 27.06.2013, 3 U 26/12) entschieden, dass eine Datenerhebung ohne eine ausreichende Datenschutzerklärung einen Verstoß gegen Wettbewerbsrecht (§ 4 Nr. 11 UWG) darstellt und daher abgemahnt werden kann.
Quellen:
Datenschutzbeauftragter.info
E-Recht24