Die Datenschutzhinweise liest doch sowieso niemand? Ganz so einfach ist das nicht! In diesem Blogbeitrag dreht sich alles um die Informationen zur Verarbeitung personenbezogener Daten auf der Webseite, auch Datenschutzerklärung genannt. Es wird ein schneller Überblick in den gewohnten Kategorien, bei dem nicht alles, aber am Ende doch ganz schön viel zu den Pflichten eines Webseitenanbieters bei den Hinweisen zum Datenschutz erläutert wird – das ganze, wie immer, Recht strukturiert!
Den Datenschutzhinweisen oder, wie diese Infos auch genannt werden, der Datenschutzerklärung, eilt der Ruf voraus, sie würde ohnehin nie gelesen oder wahrgenommen. Dabei wäre es fahrlässig, die Hinweise mit dieser Einstellung zu erstellen – nicht zuletzt wegen der möglichen Bußgelder, wenn sich daraus ein Verstoß gegen das Gesetz ergibt. Tatsächlich sind die Informationen zur Verarbeitung personenbezogener Daten überhaupt nicht uninteressant. Bei Webseitenbetreibern sorgt spätestens die Pflicht zur Formulierung der Hinweise dafür, dass eine Auseinandersetzung mit den verschiedenen technischen Prozessen erfolgt. Und Besucher oder Nutzer einer Webseite profitieren ebenfalls von einer vollständigen, zielgruppengerecht formulierten Datenschutzerklärung. Das wiederum schafft Vertrauen.
Datenschutz gibt es nicht erst seit der DSGVO
Richtig bekannt und vor allem in der wirtschaftlichen Welt relevant geworden ist der Schutz der personenbezogenen Daten durch das Wirksamwerden der Vorschriften der EU Datenschutzgrundverordnung – der DSGVO – im Mai 2018. Diese Gesetzesform hat vor allem die IT-Welt fast genauso erschüttert, wie der Wechsel ins neue Jahrtausend 18 Jahre zuvor. Tatsächlich gibt es den Datenschutz sehr viel länger. Für bestimmte Berufsgruppen, vor allem Ärzte, enthält das Berufsgeheimnis seit jeher die Pflicht, über persönliche Informationen des Kunden, Patienten oder Mandanten Stillschweigen zu bewahren. Auch das ist Datenschutz. Das gesetzliche Verständnis, dass jeder, der Daten von Personen verarbeitet, den Schutz dieser Daten gewährleisten muss und dass umgekehrt jeder Mensch ein Recht auf den Schutz seiner persönlichen Daten hat, ist allerdings erst eine Entwicklung aus der Mitte des 20. Jahrhunderts.
Abgeleitet aus dem allgemeinen Persönlichkeitsrecht, das im Grundgesetz verankert ist wurde 1970 in Hessen das erste Datenschutzgesetz verabschiedet. Dem folgte das Bundesdatenschutzgesetz 1977, welches durch die Rechtsprechung des Bundesverfassungsgerichts in den 1980er Jahren weiterentwickelt, dann stetig überarbeitet schließlich 2018 von der DSGVO abgelöst wurde. Auch das Bundesdatenschutzgesetz, abgekürzt BDSG, enthielt bereits die Pflicht, für die Personen, deren Daten verarbeitet werden, eine entsprechende Information bereitzustellen. Erst durch die hohen Bußgelder, die seit der DSGVO möglich sind, hat Datenschutz und die damit einhergehenden Pflichten jedoch sowohl an Aufmerksamkeit, als auch an zunehmender Akzeptanz gewonnen.
Die Datenschutzerklärung ist eine von mehreren Pflichten, die ein Unternehmen oder eine Organisation hat, wenn sie personenbezogene Daten von Betroffenen, so heißen die Menschen, deren Daten verarbeitet werden, erhebt, speichert oder sonst mit ihnen umgeht. Die Person, das Unternehmen oder die Organisation, die Daten verarbeitet, wird im Datenschutzrecht „Verantwortliche, bzw. Verantwortlicher“ genannt.
Legal Facts
Fakt 1: Rechtsgrundlage der Datenschutzhinweise
Die Pflicht zur Information über die Verarbeitung personenbezogener Daten ist in Artikel 13 und 14 DSGVO normiert. Artikel 13 gilt, wenn die Daten direkt beim Betroffenen erhoben werden, also zum Beispiel, wenn ein Nutzer selbst eigene Daten angibt. Artikel 14 findet Anwendung, wenn die Daten nicht direkt bei den Betroffenen erhoben werden, sondern mittelbar, zum Beispiel durch Übermittlung von einer anderen Stelle. Diese Vorschriften betreffen nicht nur Webseiten, sondern jede Verarbeitung personenbezogener Daten. Das heißt, wann immer ein Verantwortlicher Angaben verwendet, die unter den Begriff personenbezogener Daten fallen, muss er die Betroffenen hierüber informieren. Dies muss spätestens zum Zeitpunkt der Erhebung der Daten erfolgen. Es darf nicht erst im Nachhinein informiert werden. Wichtig ist auch: Die Information muss laut Artikel 12 DSGVO transparent, präzise und verständlich sein. Sprachlich sollte die Zielgruppe, zum Beispiel die Nutzer der Webseite, berücksichtigt werden. Wenn sich also eine Webseite an Kinder richtet, ist diese Tatsache bei der Datenschutzerklärung zu berücksichtigen – andernfalls kann ein Verstoß gegen Art. 12 DSGVO vorliegen.
Fakt 2: Pflichtangaben
Für den Inhalt der Datenschutzhinweise fordert Art. 13 DSGVO zunächst allgemeine Informationen zum Verantwortlichen und einer Auflistung der Rechte, die Betroffene im Hinblick auf ihre Daten haben. Daneben müssen für jeden Verarbeitungsprozess sowohl die Rechtsgrundlage als auch der Zweck der Verarbeitung der personenbezogenen Daten erläutert werden.
Dieser Anforderung liegen zwei wichtige Prinzipien im Datenschutz zugrunde: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden, das ist das Prinzip der Zweckbindung. Es ist nicht gestattet, Daten zu einem bestimmten Zweck zu erheben und sie dann zu einem anderen Zweck weiter zu verarbeiten, wenn nicht alle gesetzlichen Vorgaben auch hinsichtlich des zweiten Zwecks berücksichtigt wurden. Hier spielt unter anderem die rechtzeitige Information der Betroffenen eine Rolle. Deshalb sollten alle vorgesehenen Zwecke bereits initial in der Datenschutzinformation aufgenommen werden. Das zweite Prinzip lautet, dass eine Verarbeitung nur dann rechtmäßig ist, wenn sie auf Basis einer der in Artikel 6 der DSGVO genannten Rechtsgrundlagen erfolgt. Das heißt, für jede Verarbeitung muss geprüft werden, ob eine der Rechtsgrundlagen gegeben ist. Eine rechtliche Grundlage kann ein Gesetz sein, das zum Beispiel die Aufbewahrung bestimmter Daten vorsieht. Eine Rechtsgrundlage ist auch die explizite Einwilligung des Betroffenen in die jeweilige Verarbeitung.
Die Datenschutzhinweise sehen somit vor, dass ganz transparent jeder Schritt zu erläutern ist, in dem personenbezogene Daten verarbeitet werden. Hinzu kommen Angaben zur Verarbeitung der Daten außerhalb der EU, zur Übermittlung an Dritte, zum Beispiel Dienstleister sowie zur Dauer der Aufbewahrung.
Fakt 3: Besonderheiten bei der Webseite
Überträgt man die Pflichtinhalte nach DSGVO auf die Datenschutzinformation einer Webseite – was enthält sie typischerweise? Zusammenfassend gilt das bereits Erwähnte: Jede Datenverarbeitung muss berücksichtigt werden. Das bedeutet, dass der Webseitenbetreiber sich damit auseinandersetzen muss, welche Daten erhoben und verarbeitet werden, wenn er beispielsweise einen Hosting-Anbieter, einen Marketing-Dienstleister oder bestimmte Technologien einsetzt. Denn – wie der Begriff „Verantwortlicher“ es schon sagt – der Anbieter einer Webseite ist für die Erhebung, Speicherung und sonstige Verarbeitung von personenbezogenen Daten auf dieser Webseite verantwortlich. Über diese Prozesse muss er seine Besucher transparent informieren.
Zunächst ist der Aufruf der Webseite selbst bereits eine Verarbeitung personenbezogener Daten. Was passiert dabei? Das Internet funktioniert ein bisschen wie ein Postsystem. Jedem Gerät ist eine IP-Adresse zugeordnet. Über die Eingabe einer Domain wird eine bestimmte IP-Adresse, zum Beispiel von einem Web-Server, von unserem Gerät angesprochen und spielt dann die gespeicherten Inhalte, also zum Beispiel eine Webseite, aus. Das eigene Gerät sendet bei der Abfrage einer Webseite automatisch einige Daten mit – quasi, wie wenn wir einen Absender auf einen Briefumschlag schreiben. Das ist notwendig, damit das Empfängergerät, zum Beispiel der Server, die Webseite korrekt darstellen kann. Zu diesen Angaben, die mit der Anfrage versendet werden, gehört die IP-Adresse des abfragenden Geräts oder auch das Betriebssystem, welches das Gerät verwendet. Dieses kleine Datenpaket nennt man Server-Logfile. Es wird auf dem empfangenden Server für einen kurzen Zeitraum, meist ein paar Tage, gespeichert. Da der Europäische Gerichtshof in seiner Rechtsprechung die IP-Adresse als personenbezogenes Datum einordnet, muss über diesen Prozess des Aufrufs der Webseite in der Datenschutzinformation hingewiesen werden.
Ebenso müssen die Hinweise darüber informieren, was mit personenbezogenen Daten geschieht, die im Rahmen einer Kontaktaufnahme erhoben werden, zum Beispiel über ein Kontaktformular oder die Kontaktkanäle aus dem Impressum. Ein großes Thema bei Webseiten sind außerdem Verarbeitungsprozesse im Rahmen des Einsatzes von Technologien zu analytischen Zwecken, wie Google Analytics oder PIWIK. Gleiches gilt für auf der Seite integrierte Dienste zum Zwecke des Marketing, wenn auf einer Webseite zum Beispiel digitale Banner angezeigt werden, die aus einem Werbenetzwerk stammen und gar nicht direkt auf dem Server des Webseitenanbieters liegen. In den meisten Fällen arbeiten solche Dienste mit Cookies.
Darüber hinaus kann es viele weitere Verarbeitungsprozesse personenbezogener Daten geben. Und schließlich ist es auch möglich, datenverarbeitende Prozesse, die über die Webseite hinaus zum Beispiel im Verhältnis zu den eigenen Kunden stattfinden, in die Datenschutzhinweise der Webseite aufzunehmen und von allen relevanten Stellen aus auf diese Hinweise zu verweisen. Dies hat den Vorteil, dass es für die Tätigkeit eines Unternehmens ein zentrales Dokument mit Informationen gibt, was die regelmäßige Aktualisierung und Pflege erleichtert. Zudem schafft es Transparenz und Klarheit, alle Pflichtangaben zum Datenschutz, die die gleiche Gruppe an Empfängern betreffen, übersichtlich in einem Text zusammenzufassen. Denn auch das „Verteilen“ von Datenschutzinformationen an mehrere Stellen kann der Transparenz schaden. Lediglich Hinweise, die nur eine bestimmte Gruppe, zum Beispiel die eigenen Mitarbeitenden, betreffen, sollten an anderer Stelle erteilt werden.
Fakt 4: Erreichbarkeit der Datenschutzhinweise
Die Datenschutzinformation muss von jeder Seite der Webseite abrufbar sein. Es gilt insoweit das Gleiche wie für das Impressum. Sie sollte also im Header oder Footer einer Seite verlinkt sein, sodass sie von jeder Unterseite aus ohne weiteres erreicht werden kann. Diese Anforderung, dass die Datenschutzhinweise ebenso wie die Anbieterkennzeichnung einer Seite nicht versteckt oder auf irgendeiner Unterseite untergebracht werden dürfen, wird aus dem Gesetzeswortlaut und den zugehörigen Erwägungsgründen des Gesetzgebers der Datenschutz-Grundverordnung hergeleitet.
Fakt 5: Rechtsfolgen bei Verstoß
Ein Verstoß gegen das Erfordernis einer Datenschutzinformation oder einzelne Vorgaben kann teuer werden. Es handelt sich um eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 20 Mio. Euro oder 4% des Jahresumsatzes des Verantwortlichen geahndet werden kann. An dieser Stelle soll nicht zu dem schlechten Ruf des Datenschutzes wegen dieser hohen Geldbußen beigetragen werden. Deshalb ist festzuhalten, dass solche Bußgelder grundsätzlich nur bei schweren Verstößen ausgereizt werden. Trotzdem kann ein Bußgeld empfindlich ausfallen, auch bei einem deutlich kleineren Betrag. Außerdem wurde durch die Rechtsprechung entschieden, dass Verstöße gegen die Informationspflicht auch als Wettbewerbsverstoß durch Wettbewerber und Verbraucherschutzbehörden abgemahnt werden können. Darauf zu hoffen, dass die Behörden zu beschäftigt sind, ist daher keine Lösung – wenn die Information nicht korrekt ist, kann dies zum Beispiel durch die Verbraucherzentrale zivilrechtlich verfolgt werden.
Das sagen die Gerichte
Um bei dem Format eines Überblicks zu bleiben, wird an dieser Stelle ausnahmsweise keine Rechtsprechung sondern eine behördliche Entscheidung erläutert. Dies soll außerdem zeigen, dass es im Datenschutz oft nicht zu Gerichtsverfahren kommt: Weil die Aufsicht durch die Datenschutzbehörden erfolgt, enden viele Verfahren mit einem Bußgeldbescheid, welcher nicht angegriffen wird.
In dem zum Thema der Datenschutzinformation nachfolgend erläuterten Fall hat die französische Datenschutzaufsicht, die Commission Nationale de l’Informatique et des Libertées (CNIL) einen Bußgeldbescheid über 800.000 Euro gegen ein Tochterunternehmen der Supermarktkette Carrefourre erlassen. Auch, wenn es sich um den Bescheid einer französische Behörde handelt, sei darauf hingewiesen, dass dieses Beispiel auch für den deutschen Rechtsraum relevant ist. Die DSGVO besitzt EU-weite Geltung.
Inhaltlich ging es bei dem Verfahren um ein Treueprogramm mit Bonuskarte, welche durch das Unternehmen angeboten wurde. Der Verstoß umfasste eine teilweise Missachtung des Transparenzprinzips aus Art. 12 DSGVO sowie der Informationspflicht nach Art. 13 DSGVO. In den Datenschutzhinweisen war einerseits nicht auf alle im Rahmen des Treueprogramms erhobenen Daten und durchgeführten Verarbeitungsprozesse vollständig hingewiesen worden. Zum Anderen waren die Hinweise selbst laut Ausführungen der Behörde zum Teil nur erschwert zugänglich, da sie zum Beispiel nur als Unterpunkt zu den rechtlichen Hinweisen auf der Webseite untergebracht waren. Ebenso wurde bemängelt, dass an der Stelle, wo die relevante Einwilligung als Rechtsgrundlage für die Verarbeitung eingeholt wurde, kein Verweis oder Link auf die Datenschutzhinweise angebracht war.
Dieses Beispiel zeigt sehr gut, wie streng die Behörden bei der Beurteilung der Transparenz und ganz allgemein im Hinblick auf die Anforderungen an eine Datenschutzinformation sind.
Zum guten Schluss
Das war ein schneller Überblick über die Pflicht zur Bereitstellung einer Datenschutzinformation auf einer Webseite. Zusammenfassend kann festgehalten werden, dass diese Hinweise nicht als lästige Pflicht vernachlässigt werden sollten. Die Angaben, die Art. 13 DSGVO vorsieht, sollte der Betreiber einer Webseite ohnehin kennen und zur Hand haben. Gleichzeitig vermittelt eine transparente, übersichtliche und vollständige Datenschutzerklärung den Nutzern das Bild eines vertrauenswürdigen Anbieters.