eRecht24 Datenschutz Generator - Kostenlose Muster-Datenschutzerklärung (nach DSGVO)

(3791 Bewertungen, 4.34 von 5)

Hier erstellen Sie kostenlos, schnell & einfach eine Datenschutzerklärung für Ihre Webseite

Seit 25. Mai 2018 gilt die neue DSGVO! Haben Sie Ihre Websites DSGVO-konform angepasst?
Ein Generator, nicht bloß Muster oder Vorlage: Egal, ob Unternehmer, Webdesigner oder Agentur. Erstellen Sie noch schnell und einfach DSGVO-konforme Datenschutzerklärungen
mit dem eRecht24 Premium Datenschutzgenerator und sichern Sie sich und Ihre Kunden gegen Abmahnungen ab.

Jetzt DSGVO-konforme Datenschutzerklärung erzeugen

Ihre Vorteile:

  • in 3 Minuten zur rechtssicheren Datenschutzerklärung
  • für alle Webseiten und Unternehmensformen geeignet
  • kostenlos und anonym
  • ein individueller Generator, keine allgemeinen Muster oder Vorlagen

Bereits über 1,9 Millionen Nutzer seit 2013:

  • "Sehr praktisch! Ich nutze es immer wieder für die Webseiten meiner Kunden. Danke, für dieses tolle kostenlose Tool!"
  • "Respekt! e-recht24.de weiß, was Webmaster brauchen."
  • "Sehr übersichtlich, gute Lesbarkeit und ein ausgezeichneter Service. Danke dafür!"

Datenschutzhinweis: Ihre Daten werden ausschließlich zur Erzeugung Ihrer Datenschutzerklärung genutzt. Die Daten werden nicht an Dritte weitergegeben.


Das Wichtigste zur DSGVO-konformen Datenschutzerklärung für Webseiten

Für eine Website ist eine Datenschutzerklärung ein absolutes Muss. Ansonsten drohen DSGVO Geldbußen, Abmahnungen und Schadensersatzforderungen. Sanktionen sind auch bei fehlerhaften und unvollständigen Datenschutzerklärungen möglich. Gehen Sie hier deshalb sehr gewissenhaft vor. Doch was sind eigentlich die wichtigsten rechtlichen Inhalte einer Datenschutzerklärung? Sollten Sie für die Datenschutzerklärung eine Vorlage nutzen? Oder ist für eine Datenschutzerklärung ein Generator besser?

 

Inhaltsverzeichnis

Datenschutzerklärung auf Webseiten

Der Datenschutz-Generator und die DSGVO

 

Wer ist im Internet zu einer Datenschutzerklärung verpflichtet?

Die DSGVO schreibt vor, dass Sie als Webseitenbetreiber die Besucher umfassend informieren. Erheben, übermitteln, verarbeiten oder nutzen Sie personenbezogene Daten, müssen sie eine Datenschutzerklärung erstellen.

Exkurs: Was sind personenbezogene Daten?

Bei personenbezogenen Daten ordnet ein Webseitenbetreiber einer Person Daten zu. Typische personenbezogene Daten sind IP- und E-Mail-Adresse, Standortdaten, Name und Alter.

Eine Datenschutzerklärung muss (fast) jede Internetseite haben. Heutzutage verarbeiten nahezu alle Webseitenbetreiber personenbezogene Daten. Nutzen Sie einen Homepage-Baukasten, setzen die Anbieter sehr oft Tracking-Tools und Plug-ins ein. Bei einem externen Hosting erstellt der Hoster auch Server-Logfiles.Bei deutschen und europäischen Webseiten ist eine Datenschutzerklärung zwingend notwendig.

Bei ausländischen Webseiten ist eine Datenschutzerklärung nur erforderlich, wenn sich der Webseitenbetreiber mit seinen Dienstleistungen und Produkten an EU-Bürger richtet oder eine Niederlassung in der EU hat. Eine Datenschutzerklärung ist bei jedem Onlineshop nötig. Nutzen Sie Wordpress, müssen Sie hier eine spezielle Datenschutzerklärung für Wordpress verwenden.

Datenschutzerklärung: Was sind die wichtigsten Inhalte?

Eine Datenschutzerklärung unterrichtet Webseitenbesucher über die Verarbeitung personenbezogener Daten. Sie als Webseitenbetreiber müssen die Erklärung in einer einfachen und verständlichen Sprache abfassen. Der genaue Inhalt richtet sich danach, wie genau Sie mit den personenbezogenen Daten der Nutzer umgehen. Es gibt einige Punkte, die jede Datenschutzerklärung enthält. Der Rest richtet sich danach, welche Tools Sie einsetzen.

Benennen Sie in der Datenschutzerklärung die Person, die für die Datenverarbeitung verantwortlich ist. Haben Sie einen internen oder externen Datenschutzbeauftragten, müssen Sie auch diesen aufführen. Machen Sie deutlich, zu welchem Zweck und auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt.

Geben Sie als Seitenbetreiber an, wie lange Sie die personenbezogenen Daten der Nutzer speichern. Informieren Sie die Betroffenen über die Rechte, die ihnen nach der DSGVO zustehen. Setzen Sie als Seitenbetreiber auf der Internetseite Profiling ein, müssen sie die Nutzer darüber aufklären, was genau sie hier machen. Die meisten Webseitenbetreiber sammeln Daten und erstellen hierüber Nutzerprofile. Damit optimieren sie den Verkaufsprozess.

Datenschutzerklärung und Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist dafür verantwortlich, dass Behörden und Unternehmen die Vorschriften zum Datenschutz einhalten. Er stellt dabei sicher, dass sie personenbezogene Daten so sammeln, speichern und verarbeiten, dass sie den Vorgaben des Bundesdatenschutzgesetztes (BDSG) und der neuen Datenschutz-Grundverordnung (DSGVO) entsprechen. Der Datenschutzbeauftragte ist damit ein unabhängiges Kontrollorgan.

Aufgaben eines Datenschutzbeauftragten

Gemäß dem BDSG muss ein Datenschutzbeauftragter überprüfen, ob Unternehmen und Behörden die Datenschutzbestimmungen einhalten. Dazu muss er interne Abläufe überwachen und kontrollieren. Stellt er einen Verstoß fest, muss er zusammen mit der Geschäftsführung Maßnahmen evaluieren und bestimmen, um diese Verstöße zu beseitigen. Der Datenschutzbeauftragte kann dabei nicht selbst entscheiden, welche Maßnahmen geeignet sind. Diese Entscheidung muss die Geschäftsleitung allein treffen.Damit Behörden und Unternehmen erst gar nicht gegen Datenschutzbestimmungen verstoßen, ist der Datenschutzbeauftragte dafür verantwortlich, intern eine Datenschutzorganisation aufzubauen. Diese soll das Personal über Richtlinien und Änderungen informieren. Darüber hinaus schult der Datenschutzbeauftragte das Personal regelmäßig.

Zusätzliche Aufgaben durch die DSGVO

Mit dem Start der neuen DSGVO am 25. Mai erhält der Datenschutzbeauftragte neue Aufgaben. Er ist dann nicht mehr nur dafür verantwortlich darauf hinzuwirken, dass Unternehmen und Behörden die Datenschutzvorschriften einhalten. Nach Art. 39 Abs. 1b DSGVO hat er dann auch eine umfassende Überwachungspflicht. Das heißt: Der Datenschutzbeauftragte ist dafür zuständig, alle Maßnahmen, die einen gesetzeskonformen Umgang mit personenbezogenen Daten gemäß der DSGVO betreffen, zu überwachen. Dazu muss er u. a. dafür sorgen, dass Unternehmen und Behörden Zuständigkeiten richtig zuweisen und die beteiligten Mitarbeiter entsprechend schulen.

Wer haftet bei Datenschutzverstößen?

Begehen Unternehmen und Behörden einen Verstoß gegen Datenschutzbestimmungen, haftet in der Regel die Unternehmensführung bzw. die Behördenleitung. Sie sind nach dem BDSG letztendlich dafür verantwortlich, die Vorgaben einzuhalten. Handelt der Datenschutzbeauftragte jedoch fahrlässig oder vorsätzlich, muss sich dieser seinen Fehlern stellen und selbst dafür haften. Mit dem Start der neuen DSGVO trifft Datenschutzbeauftragte eine umfassendere Pflicht, so dass es möglich ist, dass sie fortan öfter selbst für Datenschutzverstöße haften.

Wer benötigt einen Datenschutzbeauftragten?

Öffentliche Stellen wie Ämter und Behörden müssen regelmäßig einen Datenschutzbeauftragten bestellen. Nicht-öffentliche Stellen dagegen müssen einen Datenschutzbeauftragten einholen, wenn 10 oder mehr Personen dauerhaft mit der automatisierten Datenverarbeitung beschäftigt sind. Sie müssen einen Datenschutzbeauftragten erst ab einer Personenstärke von 20 bestellen, wenn sie nichtautomatisiert Daten erheben und verarbeiten. Daneben müssen Adressverlage, Markt- und Meinungsforschungsinstitute, Auskunfteien und Unternehmen, die besonders sensitive Daten erheben, unabhängig vom eingesetzten Personal regelmäßig einen Datenschutzbeauftragten einbestellen.

Der Datenschutz-Generator und die DSGVO

Jeder Webseitenbetreiber - aber vor allem Webdesigner und Agenturen - müssen sich um das Thema "Datenschutz" kümmern. Ein "Herummogeln" um diese Frage ist nicht mehr möglich.

Vor allem, weil die im Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) zu zahlreichen rechtlichen Änderungen im Bereich Datenschutz geführt hat. Vor allem die stetige Abmahngefahr und die hohen Bußgelder von bis zu 20 Millionen Euro haben das Thema zu einem der wichtigsten Themen für Seitenbetreiber, Wedesigner und Online Shops werden lassen. Alle Datenschutzerklärungen auf Webseiten mussten bzw. müssen nun DSGVO-konform neu erstellt werden.

Als eRecht24 Premium Nutzer steht Ihnen dafür ein umfangreicher DSGVO-konformer Datenschutz Generator zur Verfügung.

Sören Siebert
Sören SiebertRechtsanwalt

Datenschutzerklärung erstellen: Generator vs. Muster & Vorlagen?

Im Gegensatz zu vielen Muster Datenschutzerklärungen oder bloßen Vorlagen für eine Datenschutzerklärung können Sie mit unserem Datenschutz-Generator die Datenschutzerklärung für Ihre Webseite direkt und individuell erstellen.

Muster oder Vorlagen für Datenschutzerklärungen sind immer statisch. Sie können dort allenfalls einige Passagen löschen. Oft ist auch gar nicht klar, welchen Stand diese Muster oder Vorlagen haben. Eine aktuelle und konkret zu Ihrer Webseite passende Datenschutzerklärung können Sie so aber nicht erzeugen.

Ein echter Generator hat den Vorteil, dass Sie schnell und einfach die Tools und Datenverarbeitungsvorgänge anklicken können, die für Sie relevant sind. Am Ende erhalten Sie dann eine Datenschutzerklärung mit den Inhalten, die Sie wirklich benötigen. Als pdf und als html Quellcode.

Welche Anwendungen, Tools & Plug-Ins deckt der eRecht24 Datenschutzgenerator ab?

Wir arbeiten seit Jahren daran, unseren Datenschutz-Generator für Sie rechtlich aktuell zu halten und um die aktuellsten Tools und PlugIns zu ergänzen. Aktuell sind in der Profi-Version des Generators folgende Punkte enthalten:

Datenschutzerklärung auf Englisch für Ihre Website

Deutsche Seitenbetreiber, die ihre Webseite in deutscher Sprache zur Verfügung stellen, müssen auch ihre Datenschutzerklärung auf Deutsch führen. In einigen Fällen benötigen sie jedoch eine englische Übersetzung ihrer Datenschutzerklärung. 

Dann benötigen Webseitenbetreiber eine englische Übersetzung der Datenschutzerklärung:

Verschiedene Faktoren auf einer Webseite können darauf hindeuten, dass Seitenbetreiber eine englische Übersetzung ihrer Datenschutzerklärung benötigen:

  1. Ist die Webseite neben deutscher auch in englischer Sprache verfügbar, zum Beispiel weil Seitenbetreiber eine internationale Zielgruppe erreichen wollen, ist auch eine englische Variante der Datenschutzerklärung notwendig.

  2. Führen Webseitenbetreiber auf ihrer Seite eine Telefonnummer mit internationaler Vorwahl, sollten sie die Datenschutzerklärung ins Englische übersetzen.

  3. Liefern Webseitenbetreiber ihre Ware auch ins englischsprachige Ausland, sollten sie ihre Datenschutzerklärung ins Englische übersetzen.

Denn: Webseitenbetreiber erheben personenbezogene Daten ihrer Kunden noch immer in Deutschland und damit in der EU. Auf diese Weise sind sie durch die DSGVO verpflichtet, Kunden bei der Erhebung ihrer Daten auf die Datenschutzerklärung hinweisen. Damit diese die Erklärung dann auch lesen können, muss sie sie auch in englischer Sprache zur Verfügung stehen.

Wenn Sie für Ihre Website die Datenschutzerklärung, den Disclaimer oder das Impressum in englischer Sprache benötigen, nutzen Sie bitte eRecht24 Premium. Hier finden Sie neben den englischen Version der Texte unsere Profi-Generatoren mit umfangreicheren Funktionen für professionelle Webseiten.

 


 

Was deckt der Datenschutzgenerator ab: Anwendungen im Detail

Datenschutzerklärung und 1& 1 Web Analytics

1&1 Web Analytics ist ein Tool, über das Webseitenbetreiber das Userverhalten auf ihrer Seite analysieren können. Sie erhalten auf diese Weise wichtige Informationen zu Parametern wie Besucheranzahl, Besucherherkunft, Verweildauer, Absprungrate und Browser. Das lässt sie Rückschlüsse auf die Funktionalität ihrer Seite ziehen und diese dann optimieren.

Das ist bei 1&1 Web Analytics datenschutzrechtlich problematisch

1&1 Web Analytics erhebt und speichert zum Teil personenbezogene Daten, wie zum Beispiel den Besucherstandort. Damit Webseitenbetreiber das dürfen, müssen sie zwei Maßnahmen ergreifen:

1. Vertrag zur Auftragsdatenverarbeitung abschließen
Seitenbetreiber müssen mit 1&1 einen Vertrag zur Auftragsdatenverarbeitung nach §11 BDSG abschließen. Sie können über diesen regeln, dass und wie sie die Userdaten an 1&1 weitergeben und wie der Anbieter diese Daten verarbeitet und speichert.

2. Datenschutzerklärung anpassen
Webseitenbetreiber, die 1&1 Web Analytics nutzen, müssen in ihrer Datenschutzerklärung konkret darauf hinweisen. Dazu müssen sie erklären,

  • dass sie personenbezogene Daten erheben,
  • welche Daten genau sie dabei sammeln,
  • warum sie diese Daten sammeln,
  • was sie mit den Daten machen,
  • wie lange sie diese Daten speichern und
  • dass User der Datenerhebung widersprechen können.

Darüber hinaus müssen Seitenbetreiber in ihrer Datenschutzerklärung auch angeben, dass sie mit 1&1 einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen haben.

Rechtsprechung zu 1&1 Web Analytics

Das Landgericht Hamburg hat in einem Urteil am 10.03.2016 entschieden, dass Webseitenbetreiber nur Google Analytics verwenden dürfen, wenn sie darüber ausführlich in ihrer Datenschutzerklärung informieren (312 O 127/16). Am 09.08.2016 hat das Gericht diese Entscheidung in einem Beschluss noch einmal bestätigt (Az. 406 HKO 120/16). Diese Rechtsprechung lässt sich auch auf den Analysedienst von 1&1 übertragen. Das heißt: Webseitenbetreiber, die in ihrer Datenschutzerklärung nicht auf den Einsatz von 1&1 Web Analytics verweisen, erfüllen nicht die Voraussetzungen der DSGVO.

ActiveCampaign

ActiveCampain ist ein US-amerikanischer E-Mail-Marketing-Anbieter, über den Unternehmen ihre E-Mail-Kampagnen planen, durchführen, verwalten und auswerten können. Der Fokus der Software liegt auf E-Mail-Marketing, Marketing-Automation und CRM-Automatisierung. Kunden können so über ActiveCampaign ihre Marketing- und Vertriebsprozesse optimieren. Der Anbieter hat mehr als 75.000 Kunden.

Warum ist ActiveCampaign datenschutzrechtlich relevant?

Um Newsletter per E-Mail und SMS verschicken zu können, müssen Webseitenbetreiber zunächst die E-Mail-Adresse und die Telefonnummer der User erheben. Diese Daten sind personenbezogene Daten und daher durch die Datenschutz-Grundverordnung (DSGVO) besonders geschützt.
So können Webseitenbetreiber ActiveCampaign datenschutzkonform verwenden
Um beim Einsatz von ActiveCampaign die Anforderungen der DSGVO zu erfüllen, müssen Webseitenbetreiber diese Pflichten erfüllen:

Double-Opt-In für E-Mail- und SMS-Newsletter

Um die E-Mail von Usern datenschutzgerecht zu erheben, können Webseitenbetreiber das Double-Opt-In-Verfahren nutzen. Dabei fragen sie zunächst die Mailadresse der User ab und lassen sie in diesem Kontext in das Abonnieren des Newsletters einwilligen. Und: Seitenbetreiber weisen gleichzeitig darauf hin, dass Nutzer den Newsletter jederzeit wieder abbestellen können. Nutzer erhalten dann eine Mail, der ihnen die Anmeldung für den Newsletter anzeigt. Mit einem Klick auf einen Link in der Mail können User die Anmeldung dann bestätigen.

Um die Telefonnummer für SMS-Marketing zu erhalten, können User das Double-Opt-In-Verfahren in abgewandelter Form nutzen. Dazu fragen Webseitenbetreiber über eine Online-Maske zunächst die Telefonnummer der Nutzer ab. Dabei klären sie auf, dass sie mit Eintragen ihrer Nummer den Newsletter abonnieren.

Und: Wie beim E-Mail-Marketing müssen Seitenbetreiber hier auch darauf verweisen, dass User den Newsletter jederzeit wieder abbestellen können. Diese Hinweise sollten sie per Opt-in-Verfahren vom Nutzer bestätigen lassen. Danach sollten Seitenbetreiber im nächsten Schritt in der Online-Maske die Telefonnummer des Newsletter-Absenders anzeigen. User können diese speichern und eine SMS an die Nummer mit dem Befehl „Start“ versenden. Das aktiviert den Newsletter.

Vertrag zur Auftragsverarbeitung abschließen

Immer dann, wenn Dritte Zugriff auf die Kundendaten eines Unternehmens erhalten, müssen die beiden Parteien einen Vertrag zur Auftragsverarbeitung abschließen. Das gibt § 28 DSGVO vor. ActiveCampaign erhält vollen Zugriff auf verschiedene, zum Teil personenbezogene Daten der Kunden. Seitenbetreiber müssen daher mit ActiveCampaign einen Vertrag zur Auftragsverarbeitung abschließen. Dieser sollte ansprechen,

  • welche Nutzerdaten ActiveCampaign wie lange speichert,
  • warum und wie es diese Daten verarbeitet und
  • welche Rechte und Pflichten die Verantwortlichen haben.

ActiveCampaign ist ein US-amerikanisches Unternehmen, der seinen Kunden ein amerikanisches Pendant zum Vertrag zur Auftragsverarbeitung bietet. Dies entspricht in der Regel den Vorgaben der DSGVO. Der Anbieter ist zudem mit dem EU-US-Privacy-Shield zertifiziert. Der Privacy-Shield ist ein Übereinkommen zwischen der EU und den USA. Es soll die Einhaltung europäischer Datenschutz-Standards in den USA sichern.

Verzichten Webseitenbetreiber darauf, mit ActiveCampaign einen Vertrag zur Auftragsverarbeitung zu schließen, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes. Das schreibt Art. 83 Abs. 4 lit. a DSGVO vor.

Datenschutzerklärung anpassen

§ 13 Abs. 1 DSGVO schreibt vor: Seitenbetreiber müssen in ihrer Datenschutzerklärung aufführen, warum sie für den Einsatz von ActiveCampaign

  • personenbezogene Daten sammeln,
  • wie lange sie die personenbezogenen Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
  • dass User der Einwilligung in die Datenerhebung jederzeit widersprechen können.

Darüber hinaus müssen Seitenbetreiber in ihrer Datenschutzerklärung informieren, dass sie mit ActiveCampaign einen Vertrag zur Auftragsverarbeitung geschlossen haben und wie der E-Mail-Anbieter die Userdaten nutzt.

Rechtsprechung zum Versand von Newslettern über ActiveCampaign

Am 10.02.2011 hat der Bundesgerichtshof entschieden: Seitenbetreiber müssen die Erlaubnis der User über das Double-Opt-In-Verfahren einholen, wenn sie Newsletter an ihre E-Mail-Adresse versenden wollen (Az. I ZR 164/09). Und: Das Oberlandesgericht Düsseldorf hat am 17.03.2016 bestätigt, dass Webseitenbetreiber Usern im Rahmen des Double-Opt-In-Verfahrens eine Mail zukommen lassen dürfen, um die Anmeldung für den Newsletter bestätigen zu lassen (Az: I-15 U 64/15).

Adobe Typekit Web Fonts

Adobe Fonts, früher Adobe Typekit, sind von Adobe zur Verfügung gestellte Schriftarten. User können diese für ein einheitliches Schriftbild auf ihren Webseiten oder in ihren Apps verwenden.

Warum sind Adobe Typekit Web Fonts datenschutzrechtlich bedenklich?

Um die benötigten Schriftarten von Adobe korrekt darstellen zu können, laden Webseiten die Fonts mit jedem Besuch über einen Server von Adobe in den USA. Adobe erhält dann automatisch Daten, unter anderem zu

  • den bereitgestellten Schriftarten,
  • der Konto-ID,
  • der Anwendung, die die Schriftarten anfordert,
  • dem Server, der die Schriftarten bereitstellt und
  • dem Hostnamen der Webseite, auf der die Schriftarten geladen werden.

Ob Adobe in diesem Rahmen auch Zugriff auf die IP-Adresse und weitere personenbezogene Daten der Webseitenbesucher erhält, ist unklar. Adobe selbst gibt an, beim Laden der Schriften keine Cookies zu speichern und keine Daten wie IP-Adresse und Browser-Version zu erfassen. Die gesammelten Daten sollen lediglich dazu dienen, die Webseite und das damit verbundene Adobe-Font-Konto zu identifizieren.

Können Webseitenbetreiber Adobe Typekit Web Fonts rechtssicher verwenden?

Sollte Adobe bei der Verwendung der Schriftarten personenbezogene Daten wie die IP-Adresse der User erfassen, benötigen Webseitenbetreiber eine Einwilligung gemäß Artikel 7 Datenschutz-Grundverordnung (DSGVO). Diese Einwilligung in Form eines Opt-Ins müsste jedoch bereits vorliegen, bevor Adobe die personenbezogenen Daten erhebt – also bevor die Schriftarten dargestellt werden. Das ist in der Praxis jedoch nicht möglich.

Webseitenbetreiber könnten jedoch ein berechtigtes Interesse daran haben, die Daten von Usern zu verarbeiten, gemäß Art. 6 Abs. 1 lit. f) DSGVO. Das berechtigte Interesse könnte in den Vorteilen liegen, die die Verwendung von Adobe Fonts mitbringt. Dazu zählen zum Beispiel eine geräteübergreifende, einheitliche Darstellung, verbesserte Ladezeiten und ein kleinerer administrativer Aufwand. Ob das für ein berechtigtes Interesse der Webseitenbetreiber ausreicht, ist rechtlich jedoch zweifelhaft.

Neben der Einwilligung der User oder einem berechtigten Interesse müssen Webseitenbetreiber in ihrer Datenschutzerklärung darüber informieren, dass sie Adobe Fonts verwenden. Gleichzeitig sollten sie Nutzer auch auf die entsprechenden Nutzungsbedingungen und Datenschutzbestimmungen von Adobe hinweisen. User können sich dann selbst ein Bild machen, was mit ihren Daten passiert, sobald diese Deutschland und die EU verlassen.

Rechtsprechung zu Adobe Typekit Web Fonts

Das Landgericht Berlin hat in seinem Urteil vom 06.09.2007 vorgegeben: Webseitenbetreiber dürfen IPs von Usern nicht ohne Einwilligung speichern (Az. 23 S 3/07). Am 30.09.2008 kam das Amtsgericht München zu einem differenzierteren Ergebnis. Demnach sind dynamische IP-Adressen keine personenbezogenen Daten, da diese nur den Internetanschluss bestimmen lassen und nicht den Nutzer dahinter (Az. 133 C 5677/08). Der Europäische Gerichtshof kam 19.10.2016 zu dem Schluss: IP-Adressen sind personenbezogene Daten, wenn Webseitenbetreiber theoretisch die Möglichkeit haben, den User hinter der IP-Adresse zu identifizieren (Az. C-582/14).

Amazon Partnerprogramm

Über das Amazon Partnerprogramm können Webseitenbetreiber Usern per Affiliate-Link Empfehlungen für Produkte mitgeben. Klicken Nutzer auf den Link, gelangen sie auf die Produktseite von Amazon. Kaufen sie das Produkt, erhält der Webseitenbetreiber eine Provision dafür.

Warum ist das Amazon Partnerprogramm datenschutzrechtlich bedenklich?

Je nachdem, welches Amazon-Plugin oder -Widget Webseitenbetreiber nutzen, senden sie personenbezogene Daten der User, wie die IP-Adresse oder den Browser-Typ, an Amazon. Möglich machen das Amazon-Plugins, die Scripte oder iFrames nutzen. Gemäß der Datenschutz-Grundverordnung (DSGVO) dürfen Webseitenbetreiber jedoch nur personenbezogene Daten verarbeiten und weiterleiten, wenn sie dafür vorher die Einwilligung der User eingeholt haben.

Wie können Webseitenbetreiber das Amazon Partnerprogramm datenschutzkonform einbinden?

Um das Amazon Partnerprogramm datenschutzkonform auf ihrer Webseite einzubinden, müssen Seitenbetreiber
1) entweder die Einwilligung der User in die Verarbeitung ihrer personenbezogenen Daten einholen
2) oder ein Plugin verwenden, das die Vorgaben der DSGVO erfüllt.

Das Wordpress-Plugin AAWP beispielsweise sammelt keine personenbezogenen Daten der Seitenbesucher, sobald es aktiviert ist. Ausnahme: Um den Lizenzschlüssel für das Plugin zu aktivieren oder zu deaktivieren und um das Plugin zu aktualisieren, sendet dies

  • den Lizenzschlüssel,
  • die verwendete AAWP-Version,
  • die Version der Wordpress-Installation,
  • den Namen der Webseite,
  • die URL der Webseite,
  • die Sprache der Webseite und
  • die Zeitzone

an den Lizenz-Server. Einmal aktiv, setzt das Plugin keine Cookies. Aktivieren Webseitenbetreiber die Geotargeting-Funktion, verwendet das Plugin einen begrenzten Session-Cookie, um das Herkunftsland der Seitenbesucher zwischenzuspeichern. Das ist gemäß der DSGVO jedoch nicht zulässig, da so auch die IP-Adresse des Users ausgewertet werden kann. Seitenbetreiber sollten das Geotargeting daher nicht verwenden.

Weiterhin sollten Webseitenbetreiber auch keine von der Amazon-API bereitgestellten Produktbilder auf ihrer Seite einbinden. Denn: Auf diese Weise kann Amazon die IP-Adresse der Webseitenbesucher auslesen.

Daneben müssen Seitenbetreiber in ihrer Datenschutzerklärung darauf hinweisen, dass sie am Amazon Partnerprogramm teilnehmen. Dazu sollten sie Nutzern ausführlich erklären, wie das Programm funktioniert und über welches Plugin sie die Affiliate-Links setzen. Zudem sollten sie auch auf die Geschäftsbedingungen und Richtlinien zur Datenverarbeitung von Amazon verweisen.

Rechtsprechung zum Amazon Partnerprogramm

Der Bundesgerichtshof (BGH) entscheidet derzeit, ob Webseitenbetreiber eine wirksame Einwilligung der User für die Verwendung von Cookies einholen, wenn die Checkbox beim Cookie-Hinweis vorausgewählt ist. Dafür hat der BGH den Europäischen Gerichtshof (EuGH) um Hilfe gebeten. Der Generalbundesanwalt sieht Webseitenbetreiber in der Pflicht, die Einwilligung der User per Opt-In einzuholen. In der Praxis schließt sich der EuGH häufig der Einschätzung des Generalbundesanwalts an.

Das Oberlandesgericht Frankfurt hat am 17.12.2015 entschieden: Es ist ausreichend, wenn Webseitenbetreiber User über das Opt-Out-Verfahren über die Verwendung von Cookies informieren.

Anfrage per E-Mail, Telefon oder Telefax

Um Unternehmen zu kontaktieren, können Kunden in der Regel auf E-Mail, Telefon oder Telefax zurückgreifen. Dabei erheben Unternehmen personenbezogene Daten, sobald sie den Kontakt des Kunden speichern oder über einen der Kommunikationskanäle personenbezogene Daten erheben.

Diese Pflichten haben Unternehmen

Unternehmen dürfen die für die Anfrage verwendete E-Mail, die angezeigte Telefonnummer oder Telefaxnummer des Kunden nur zur Beantwortung ihres Anliegens verwenden. Ist die Anfrage abgeschlossen, dürfen sie die Daten weder speichern noch für weitere Zwecke verwenden. Das gibt das Zweckbindungsprinzip der Datenschutz-Grundverordnung (DSGVO) vor.
Wollen Unternehmen

  • die E-Mail,
  • Telefonnummer,
  • Faxnummer oder
  • weitere über den Kommunikationskanal erhobene personenbezogene Daten

speichern, müssen sie Kunden auf die Erhebung hinweisen und dafür ihre Einwilligung einholen. Diese Pflicht entfällt nur, wenn das Unternehmen Kunden bereits – beispielsweise im Rahmen eines Vertragsschlusses – über die Datenverarbeitung informiert haben. Dann müssen sie nicht erneut auf diese hinweisen.

Während Unternehmen im E-Mail-Verkehr und bei der Kommunikation über Telefax einen schriftlichen Hinweis auf die Verarbeitung der Daten gemäß Artikel 13 Abs. 1 Datenschutz-Grundverordnung (DSGVO) schriftlich abgeben können, gestaltet sich die Praxis am Telefon schwieriger. Da die Aufklärung über die Datenverarbeitung während der Erhebung stattfinden muss, dürfen Unternehmen Kunden nicht erst nachträglich schriftlich darüber aufklären. Eine vollständige Aufklärung am Telefon ist jedoch sowohl für Unternehmen als auch für Kunden unpraktikabel.

Unternehmen sollten jedoch zumindest darauf hinweisen, dass sie die am Telefon erhobenen Daten – wie zum Beispiel den Namen und die Telefonnummer – für die Bearbeitung des Kundenanliegens speichern. In der Praxis kann das zum Beispiel bei der Terminierung eines Arzttermins sein.
Alternativ können sie die notwendigen Informationen in Form von voraufgezeichneten Texten zur Verfügung stellen. Die DSGVO macht hierzu keine konkreten Vorgaben. Eine einheitliche rechtliche Meinung hat sich hierzu ebenfalls noch nicht herauskristallisiert.

Um die Belehrung von Kunden am Telefon beweisen zu können, steht Unternehmen lediglich die Möglichkeit offen, das Telefongespräch aufzuzeichnen. Dafür benötigen sie jedoch wiederum die Erlaubnis des Kunden.

Rechtsprechung zu Anfragen per E-Mail, Telefon oder Telefax

Soweit ersichtlich, gibt es bisher noch keine Rechtsprechung zu Datenschutzverletzungen in Bezug auf Anfragen per E-Mail, Telefon oder Telefax. Das Gesetz gibt für einen Verstoß diese Strafen vor: Erheben und speichern Unternehmen personenbezogene Daten wie eine E-Mail, ohne den Kunden um Erlaubnis zu bitten, müssen sie mit einer Geldstrafe von bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des weltweit erzielten Jahresumsatzes rechnen.

Apple Pay

Apple Pay ist eine Bezahlfunktion des iPhone-Herstellers Apple. User können mit Apple Pay an Bezahl-Terminals mit NFC sowie in Apps und Onlineshops ihre Ware bezahlen.

Warum ist Apple Pay datenschutzrechtlich relevant?

Damit User Apple Pay nutzen können, benötigen sie eine Apple-ID. Diese können sie mit ihrer E-Mail-Adresse und einem Passwort anlegen. Dann können sie Apple Pay einrichten. Dazu müssen sie die Daten einer Bankkarte hinterlegen. Apple gibt an, nur einen Teil der Kartennummern – beispielsweise von Kreditkarten – zu speichern. Es speichert keine Transaktionsdaten, die Rückschlüsse auf die Person erlauben.

Das Geldinstitut der Bankkarte, die User für Apple Pay nutzen, speichert unter anderem

  • ihren Namen,
  • die Rechnungsadresse,
  • ihre Geräte-ID mit Modellnummer und
  • ihre Telefonnummer.

Apple Pay datenschutzkonform verwenden

Unternehmen, die Kunden Apple Pay als Zahlungsmöglichkeit anbieten, müssen in ihrer Datenschutzerklärung darüber informieren. Dabei müssen sie angeben, welche Daten sie zu welchem Zweck an Apple übermitteln. Sie dürfen jedoch nur die Daten weitergeben, die Apple zwingend für die Zahlungsabwicklung benötigt. Und: Unternehmen sollten User darauf hinweisen, dass sie der Verwendung ihrer Daten jederzeit widersprechen können.

Rechtsprechung zu Apple Pay

Bisher liegt – soweit ersichtlich – keine Rechtsprechung zu Apple Pay vor.

Beschwerderecht bei der zuständigen Aufsichtsbehörde

Die Datenschutz-Grundverordnung (DSGVO) gibt Verbrauchern in Artikel 77 Abs. 1 das Recht, eine Beschwerde bei einer Datenschutzaufsichtsbehörde einzureichen, wenn sie glauben, dass ein Unternehmen oder eine Behörde ihre personenbezogenen Daten nicht gemäß den Datenschutzvorgaben verarbeitet hat. Die zuständige Aufsichtsbehörde muss der Beschwerde dann in einem angemessenen Umfang nachgehen und Verbraucher zwischenzeitlich über den aktuellen Stand und über das Ergebnis unterrichten.

Wo können Verbraucher eine Beschwerde einreichen?

Wollen Verbraucher eine Beschwerde einreichen, können sie das bei einer Datenschutzbehörde des Landes vornehmen, in dem

  • sie wohnen,
  • ihren Arbeitsplatz haben oder
  • der mutmaßliche Datenschutzverstoß passiert ist.

Ist eine Stelle in einem anderen Mitgliedsstaat für die Beschwerde zuständig, stimmt sich die deutsche Datenschutzbehörde mit dieser Aufsichtsbehörde ab. Für die Praxis heißt das: Verbraucher können sich an eine deutsche Datenschutzbehörde wenden und müssen nicht in fremder Sprache eine in einem anderen EU-Mitgliedsstaat ansässige Behörde kontaktieren. Die deutsche Aufsichtsbehörde bleibt während der ganzen Bearbeitung der Beschwerde der Ansprechpartner für Verbraucher.

Diese Datenschutzbehörden sind in Deutschland für Beschwerden verantwortlich

Verbraucher finden in Deutschland mehrere Datenschutzbehörden, die jeweils unterschiedliche Zuständigkeiten haben. Zwischen ihnen besteht kein hierarchisches Verhältnis.

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist zuständig, wenn Verbraucher davon ausgehen, dass eine der folgenden Stellen ihre personenbezogenen Daten nicht gemäß den Vorgaben der DSGVO verarbeitet hat:

  • Behörden des Bundes
  • Sonstige öffentliche Stellen des Bundes
  • Postdienstleistungsunternehmen
  • Telekommunikationsunternehmen
  • Jobcenter
  • Bundesweit tätige, gesetzliche Kranken- und Pflegekassen
  • Bundesweit tätige Renten- und Unfallversicherungsträger
  • Firmen, die unter das Sicherheitsüberprüfungsgesetz fallen

Landesdatenschutzbehörden

Verbraucher können sich mit ihrer Beschwerde an die Landesdatenschutzbehörden wenden, wenn sie annehmen, dass eine der folgenden Stellen ihre personenbezogenen Daten nicht den Anforderungen des deutschen Datenschutzes nach verarbeitet hat:

  • Behörden des jeweiligen Bundeslandes
  • Sonstige öffentliche Stellen des jeweiligen Bundeslandes oder einer Kommune
  • Unternehmen und sonstige nicht-öffentliche Stellen, die nicht in die Sonderzuständigkeit des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fallen

Spezifische Datenschutzbehörden

Für alle anderen Bereiche stehen jeweils auf den Fall abgestimmte, spezifische Datenschutzbehörden zur Verfügung. So können sich Verbraucher, die beispielsweise davon ausgehen, dass die öffentlich-rechtlichen Rundfunkanstalten – wie zum Beispiel ARD und ZDF – ihre Daten nicht gemäß der DSGVO verarbeitet haben, an den Rundfunkdatenschutzbeauftragten wenden. In Hessen, Bremen, Berlin und Brandenburg kümmern sich die jeweiligen Landesdatenschutzbeauftragten um den Datenschutz der Rundfunkanstalten.

So muss die Datenschutzbehörde Verbraucher bei einer Beschwerde unterrichten

Haben Verbraucher eine Beschwerde bei einer Aufsichtsbehörde eingereicht, muss diese regelmäßig über den Stand unterrichten. Spätestens nach 3 Monaten muss sie dabei dieser Pflicht nachkommen.

Wie arbeiten Datenschutzbehörden?

Um der Beschwerde von Verbrauchern nachzugehen, haben die Datenschutzbehörden umfassende Kontrollbefugnisse. Darüber hinaus handeln sie unabhängig und sind dabei nur dem Gesetz unterworfen.

Datenschutzerklärung und Bewerbungen

Über ein Bewerbungsformular können sich User auf Webseiten auf eine ausgeschriebene Stelle bewerben. Oftmals müssen sie dafür ihren Namen, ihre E-Mail, ihren Wohnort, ihre Ausbildung sowie Abschlussnoten und Zeugnisse angeben. Dabei handelt es sich um personenbezogene Daten.

Die DSGVO und das Bewerbungsformular

Fragen Webseitenbetreiber in ihrem Bewerbungsformular personenbezogene Daten wie den Namen, die Ausbildung oder die E-Mail-Adresse von Nutzern ab, schreibt die DSGVO vor, dass sie im Detail erklären müssen, wie sie mit den erhobenen Bewerberdaten verfahren. Dazu müssen sie darüber informieren,

  • dass sie über das Bewerbungsformular personenbezogene Daten sammeln,
  • welche Daten sie dabei genau erheben (z. B. Bewerberstammdaten, Zeugnisse, Qualifikationen)
  • warum sie diese Daten erheben,
  • was sie mit den Daten machen
  • an wen sie die Daten weitergeben (z. B. Betriebsrat, Personalabteilung, Fachbereichsleiter),
  • für wie lange sie die Daten speichern wollen (zum Beispiel 3 Monate bis nach Beendigung des Bewerberverfahrens) und
  • welche Rechte Bewerber in Bezug auf Löschung, Auskunft oder Berichtigung ihrer Daten haben.

Diese Informationen sollten Webseitenbetreiber Nutzern entweder während der Abfrage der Daten oder in einer automatisieren Eingangsbestätigung zur Verfügung stellen. Darüber hinaus sollten sie diese Informationen auch in ihrer Datenschutzerklärung führen.

Bewerbungsformular datenschutzkonform auf der Webseite einbinden

Um ein Bewerbungsformular auf einer Webseite rechtssicher einzubinden, müssen Seitenbetreiber diese Vorgaben berücksichtigen:

Datensparsamkeitsprinzip

Seitenbetreiber sollten im Bewerbungsformular nur die personenbezogenen Daten erheben, die sie für eine Bearbeitung und Bewertung der Bewerbung unbedingt benötigen. Auf diese Weise erfüllen sie die Anforderungen des Datensparsamkeitsprinzips. In der Regel sind das unter anderem Angaben wie der Name, die E-Mail, die Ausbildung, der Wohnort und das Geburtsdatum. Diese können sie als Pflichtfeld kennzeichnen. Angaben wie eine Telefonnummer fallen grundsätzlich nicht unter die benötigten Angaben und erfüllen daher nicht das Datensparsamkeitsprinzip.

Denn: Webseitenbetreiber können User auch über ihre E-Mail kontaktieren. Sie sollten das Feld daher nicht als ein Pflichtfeld kennzeichnen. Vielmehr sollten sie es Usern hier offenhalten, ihre Informationen zu hinterlegen.

Zweckbindungsprinzip

Webseitenbetreiber dürfen die personenbezogenen Daten, die sie über das Bewerbungsformular erheben, nur für die Bearbeitung und Bewertung der Bewerbung verwenden. Sie dürfen die Daten für keinen anderen Zweck einsetzen. Ist der Zweck – also die Bearbeitung und Bewertung der Bewerbung – erfüllt, dürfen Seitenbetreiber die Daten nicht für weitere Zwecke verwenden.

Das bedeutet: Kommt ein Bewerber nicht für eine Arbeitsstelle infrage, sollten sie seine Daten löschen – unter der Voraussetzung, der Bewerber hat in eine Speicherung der Daten für den Bewerbungsprozess eingewilligt. Wollen sie die Daten über den angegebenen Zeitraum hinaus – zum Beispiel zur Aufnahme in einen Bewerberpool für eine eventuelle spätere Zusammenarbeit – speichern, müssen sie hierfür erneute die Erlaubnis vom Bewerber einholen.

Transparenzgebot

Um das Transparenzgebot zu erfüllen, müssen Webseitenbetreiber User darüber informieren, wie und in welchem Umfang sie die personenbezogenen Daten erheben und speichern. Sie können die Einwilligung der User dabei per Opt-In einholen. Daneben sollten sie das Bewerbungsformular mit einem Datenschutzhinweis versehen, der auf die Datenschutzerklärung verlinkt.

Verschlüsselungspflicht

Die über das Bewerberformular erhobenen Daten müssen Seitenbetreiber verschlüsselt übersenden. Das gibt das Telemediengesetz in § 13 Abs. 7 vor. Dabei sollten sie auf ein anerkanntes Verschlüsselungsverfahren wie Transport Layer Security (TLS) setzen. Verzichten Seitenbetreiber darauf, drohen hohe Bußgelder. Denn: Gemäß der DSGVO handelt es sich dabei um eine Ordnungswidrigkeit.

Aufnahme in ein Verzeichnis von Verarbeitungstätigkeiten

Seitenbetreiber sind zudem verpflichtet, die Verarbeitungstätigkeiten der erhobenen personenbezogenen Bewerberdaten in einem Verzeichnis aufzulisten. Das gibt Art. 30 Abs. 1 DSGVO vor. Dazu zählen auch die einzelnen Prozesse des Bewerbermanagements. Das Verzeichnis hilft Seitenbetreibern dabei, ihre Rechenschaftspflichten nachzuweisen, wenn sich ein Bewerber bei der Datenschutzaufsicht beschwert und der Seitenbetreiber daher der Aufsicht das Verzeichnis vorlegen muss.

Urteile zu Bewerbungsformularen und Datenschutzerklärung

Klären Seitenbetreiber in ihrer Datenschutzerklärung nicht darüber auf, wie und warum sie über ein Kontaktformular – und damit auch über ein Bewerbungsformular – personenbezogene Daten erheben, begehen sie einen abmahnbaren Wettbewerbsverstoß. Das hat das Oberlandesgericht Köln am 11.03.2016 festgestellt (Az. 6 U 121/15). Zu einem anderen Urteil ist das Landgericht Berlin am 04.02.2015 gekommen. Dies stellte fest, dass es sich dabei nicht um einen abmahnbaren Wettbewerbsverstoß handelt (Az. 52 O 394/15). Ein höchstrichterliches Urteil steht hierzu noch aus.

Borlabs Cookie

Borlabs Cookie ist ein WordPress-Plugin, über das Webseitenbetreiber die Erlaubnis für das Setzen von Cookies einholen können. In der Regel blenden sie dafür auf ihrer Webseite ein Pop-up ein, das Nutzer per Opt-in um ihre Zustimmung bittet. Borlabs Cookie ermöglicht es dabei, die Genehmigung für unterschiedliche Webdienste wie Google Adsense, Google Analytics, Facebook Pixel und YouTube einzuholen.

Warum ist Borlabs Cookie datenschutzrechtlich relevant?

Um die Erlaubnis der User für die Verwendung von Cookies abzufragen und zu speichern, erhebt und sammelt Borlabs Cookie unter anderem die Cookie-Präferenz der User sowie eine per Zufall generierte ID, die mit dem Webseitenbesucher verknüpft ist. Um diese Datenerhebung gemäß den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und der demnächst anstehenden e-Privacy-Verordnung vorzunehmen, müssen Seitenbetreiber verschiedene Verantwortlichkeiten beachten.

So können Webseitenbetreiber Borlabs Cookie datenschutzkonform einsetzen

Um Borlabs Cookie datenschutzkonform zu verwenden, müssen Webseitenbetreiber in ihrer Datenschutzerklärung aufführen,

  • warum sie über Borlabs Cookie Daten wie die Cookie-Präferenz der User erheben,
  • wie lange sie diese Daten speichern wollen
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass User das Setzen von Cookies durch eine Einstellung im Browser verhindern können.

Rechtsprechung zur Verwendung von Borlabs Cookie

Bisher liegt – soweit ersichtlich – keine Rechtsprechung zur Verwendung von Borlabs Cookie vor.

Calendly

Calendly ist ein Planungstool, mit dem Unternehmen schnell und einfach Termine für Besprechungen, Events und Meetings festlegen können. Unternehmen verbinden Calendly dafür mit einem Kalender wie von Google, Office 365 oder Outlook. Nutzer können dann einsehen, wann Unternehmen für ein Meeting zur Verfügung stehen und so ihren bevorzugten Termin wählen. Für eine nahtlose Nutzererfahrung können Unternehmen Calendly auch mit Anwendungen wie Stripe, Salesforce und GoToMeeting verbinden.

Warum ist Calendly datenschutzrechtlich relevant?

Buchen Kunden einen Termin über Calendly, erheben Unternehmen von ihnen Daten wie Namen und E-Mail-Adresse. Dabei handelt es sich um personenbezogene Daten. Sie müssen daher besondere datenschutzrechtliche Pflichten erfüllen.

Die Server von Calendly stehen zudem in den USA. Unternehmen geben daher die erhobenen Daten in ein Drittland außerhalb der EU weiter. Dabei müssen sie darauf achten, dass Calendly in den USA das Datenschutzniveau der Datenschutz-Grundverordnung (DSGVO) einhält.

Calendly datenschutzkonform verwenden

Um Calendly datenschutzkonform zu verwenden, müssen Unternehmen diese Anforderungen erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen erheben über Calendly personenbezogene Daten und geben diese an den Softwareanbieter weiter. Dafür müssen sie mit Calendly einen Vertrag zur Auftragsverarbeitung abschließen. Das gibt Artikel 28 DSGVO vor. In dem Vertrag sollten sie festhalten,

  • welche Userdaten sie an Calendly weitergeben,
  • wie lange Calendly die Daten speichert,
  • warum Calendly die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Calendly bietet Usern ein Data Processing Addendum. Dies entspricht einem Vertrag zur Auftragsverarbeitung. Calendly verpflichtet sich in dem Data Processing Addendum, die Nutzerdaten zu schützen und nicht an Dritte weiterzugeben.

Datenschutzerklärung anpassen

Verarbeiten und speichern Unternehmen personenbezogene Daten und versenden sie diese an einen Dritten, müssen sie das in ihrer Datenschutzerklärung anführen. Sie sollten User daher darauf hinweisen, dass sie personenbezogene Daten an Calendly weitergeben und dafür mit dem Anbieter einen Vertrag zur Auftragsverarbeitung geschlossen haben. In diesem Zusammenhang sollten sie angeben,

  • warum sie personenbezogene Daten über Calendly erheben,
  • wie lange sie die Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Nutzer der Datenspeicherung jederzeit widersprechen können.

Zusätzlich sollten Unternehmen User auf die Datenschutzbestimmungen und Nutzungsbestimmungen von Calendly aufmerksam machen. User können dann selbst überprüfen, wie Calendly ihre Daten verarbeitet.

Und: Unternehmen sollten Hinweise auf den Privacy Shield aus ihrer Datenschutzerklärung entfernen. Der Europäische Gerichtshof (EuGH) entschied im Sommer 2020, dass dieser unwirksam ist. Er eignet sich nicht, um rechtskonform Daten von der EU in ein Drittland zu schicken.

Standardvertragsklauseln prüfen

Calendly verwendet Standardvertragsklauseln, um seine Kundendaten von der EU in die USA zu versenden. Unternehmen dürfen personenbezogene Daten darüber jedoch nur an Dritte außerhalb der EU weitergeben, wenn in dem betreffenden Land ein ähnliches Datenschutzniveau herrscht. In den USA ist das aktuell nicht der Fall. Es ist daher unklar, ob Unternehmen über Standardvertragsklauseln Daten rechtssicher an Calendly übertragen können.

Rechtsprechung zu Calendly

Der EuGH erklärte den Privacy Shield im Juli 2020 für unwirksam (Az. C-311/18). Unternehmen können diesen nicht mehr als rechtliche Basis verwenden, um personenbezogene Daten in die USA zu verschicken. Denn: Dort herrscht nach Ansicht der Richter kein angemessenes Datenschutzniveau. Das ist vor allem darauf zurückzuführen, dass die dortigen Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Und: Europäische Verbraucher haben keine Klagemöglichkeit, wenn sie eine missbräuchliche Verwendung ihrer Daten vermuten sollten.

Die Datenschutzbehörde Hamburg sprach im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro zuzüglich Gebühren von 250 Euro gegen ein Versandunternehmen aus. Dies hatte mit einem beauftragen Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen. Grundsätzlich droht Unternehmen bei diesem Vergehen ein Bußgeld von bis zu 10 Millionen Euro oder alternativ von bis zu 2 Prozent ihres Jahresumsatzes.

CleverElements

Clever Elements ist eine E-Mail-Marketing-Plattform, über die Unternehmen E-Mail-Kampagnen planen, erstellen und durchführen können. Der Anbieter hat weltweit mehr als 250.000 Kunden.

Darum ist Clever Elements datenschutzrechtlich relevantUm Clever Elements nutzen zu können, müssen Unternehmen zunächst die E-Mail-Adressen von Usern erheben. Bei E-Mail-Adressen handelt es sich um personenbezogene Daten, die besonders schützenswert sind. Daher schreibt die Datenschutz-Grundverordnung (DSGVO) verschiedene Pflichten vor.

Clever Elements datenschutzkonform verwenden

Damit Unternehmen E-Mails über Clever Elements versenden dürfen, müssen sie zunächst die Einwilligung der Kunden in den Versand einholen. In der Praxis hat sich dafür das Double-Opt-In-Verfahren etabliert. Dabei fragen Unternehmen zuerst die E-Mail-Adresse der Nutzer ab. In diesem Rahmen weisen sie sie daraufhin, dass sie auf diese Weise der Nutzung ihrer Daten zustimmen. Und: Sie lassen User wissen, dass sie den Newsletter jederzeit wieder abbestellen können. Unternehmen schicken Nutzern dann eine E-Mail zu, die die Anmeldung des Newsletters führt. Über einen Link müssen diese die Einwilligung in den Versand noch einmal bestätigen. Auf diese Weise bieten Unternehmen den Newsletter-Versand über Clever Elements rechtlich zulässig an.

Datenschutzerklärung anpassen

§ 13 Abs. 1 DSGVO gibt vor: Webseitenbetreiber müssen in ihrer Datenschutzerklärung angeben, welche Daten sie warum für den Newsletter-Versand mit Clever Elements erheben. Im Detail müssen sie dafür aufführen,

  • für welchen Zweck sie die personenbezogenen Daten erheben,wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen die Datenerhebung und Datennutzung erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
  • dass User der Erlaubnis in die Datenerhebung und Datenspeicherung jederzeit widersprechen können.

Vertrag zur Auftragsverarbeitung abschließen

§ 28 DSGVO gibt vor: Hat ein anderes Unternehmen Zugriff auf die Kundendaten eines Webseitenbetreibers, muss dieser mit dem Unternehmen einen Vertrag zur Auftragsverarbeitung abschließen. Seitenbetreiber, die Clever Elements für ihren Newsletter-Versand nutzen, müssen mit dem E-Mail-Anbieter daher in dem Vertrag festlegen,welche Daten sie wie lange speichern wollen,

  • warum und wie sie die Daten verarbeiten und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Den Vertrag zur Auftragsverarbeitung können Webseitenbetreiber bei Clever Elements in ihrem Account abschließen. Kommen sie dieser Pflicht nicht nach, ist ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes möglich. Das gibt Art. 83 Abs. 4 lit. a DSGVO vor.

Haben Webseitenbetreiber den Vertrag zur Auftragsverarbeitung mit Clever Elements abgeschlossen, müssen sie dies auch in ihrer Datenschutzerklärung aufführen. Dabei müssen sie erklären, wie Clever Elements die Kundendaten nutzt.

Rechtsprechung zum Versand von Newslettern über Clever Elements

Der Bundesgerichtshof hat am 10.02.2011 festgelegt: Unternehmen, die E-Mails an Kunden verschicken, müssen für die Einholung der Einwilligung das Double-Opt-In-Verfahren nutzen (Az. I ZR 164/09). Diese Entscheidung gilt damit auch für die Verwendung der Software von Clever Elements. Das Oberlandesgericht (OLG) Düsseldorf hat zudem entschieden: Webseitenbetreiber dürfen Usern eine Mail zukommen lassen, die sie zur Bestätigung der Anmeldung für einen Newsletter auffordert. (17.03.2016, Az: I-15 U 64/15). Damit hat das OLG Düsseldorf die Rechtmäßigkeit des Double-Opt-In-Verfahrens noch einmal bestätigt.

CleverReach

CleverReach ist eine E-Mail-Marketing-Software, über die Unternehmen ihren Newsletter-Versand planen und durchführen können. CleverReach bietet seinen Service ausschließlich als Cloud-Lösung an. Das Unternehmen hat weltweit über 230.000 Kunden.

Warum ist CleverReach datenschutzrechtlich relevant?

Um Newsletter an Kunden versenden zu können, müssen Webseitenbetreiber zunächst die E-Mail-Adresse von Usern erheben. E-Mail-Adressen gelten als personenbezogene Daten. Das heißt: Sie sind durch die Datenschutz-Grundverordnung (DSGVO) besonders geschützt.

Wie können Webseitenbetreiber CleverReach datenschutzkonform verwenden?

Um über CleverReach datenschutzkonform Newsletter zu versenden, müssen Webseitenbetreiber diesen Pflichten nachkommen:

Einwilligung der User einholen

Wollen Webseitenbetreiber die E-Mail-Adresse von Nutzern erheben, verarbeiten und speichern, benötigen sie dafür ihre Einwilligung. Dabei hat die rechtliche Praxis gezeigt: Erheben Unternehmen die E-Mail-Adresse von Nutzern per Double-Opt-In, erfüllen sie die Anforderungen der DSGVO.
Dazu müssen sie User bei der Erhebung ihrer E-Mail darauf hinweisen, dass sie diese speichern und für den E-Mail-Versand verwenden. Daneben müssen sie Nutzern auch mitteilen, dass sie dem jederzeit wieder widersprechen können.

Anders gesagt: Sie können den Newsletter, den sie erhalten, jederzeit wieder abbestellen. Haben Kunden ihre E-Mail hinterlassen, müssen Webseitenbetreiber ihnen per Mail eine Bestätigung der Newsletter-Anmeldung zukommen lassen. Darin sollten User einen Link finden, der sie das noch einmal bestätigen lässt. Webseitenbetreiber können Usern nun über CleverReach Newsletter zukommen lassen.

Vertrag zur Auftragsverarbeitung abschließen

Erhalten Dritte – wie beispielsweise eine andere Firma – Zugriff auf die Kundendaten eines Unternehmens, müssen sie mit dieser Partei einen Vertrag zur Auftragsverarbeitung abschließen. Das schreibt § 28 DSGVO vor. Binden Webseitenbetreiber CleverReach für ihren Newsletter-Versand ein, müssen sie daher mit dem Anbieter einen Vertrag zur Auftragsverarbeitung abschließen. Darin müssen sie festlegen,

  • welche Userdaten sie wie lange speichern wollen,
  • warum und wie sie diese verarbeiten und
  • welche Rechte und Pflichten die Verantwortlichen haben.

CleverReach bietet Webseitenbetreibern die Möglichkeit, den Vertrag direkt in ihrem Account abzuschließen.

Datenschutzerklärung anpassen

Webseitenbetreiber müssen in ihrer Datenschutzerklärung angeben, dass sie mit CleverReach einen Vertrag zur Auftragsverarbeitung abgeschlossen haben. Dabei müssen sie aufführen, wie CleverReach die Userdaten nutzt.

Darüber hinaus müssen Seitenbetreiber erklären, warum sie für die Zusammenarbeit mit CleverReach

  • personenbezogene Daten erheben,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen dieses Vorgehen erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
  • dass Nutzer der Einwilligung in die Datenerhebung jederzeit widersprechen können.

Diese Pflichten schreibt § 13 Abs. 1 DSGVO vor.

Rechtsprechung zum Versand von Newslettern über CleverReach

Schließen Webseitenbetreiber keinen Vertrag zur Auftragsverarbeitung mit CleverReach ab, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes. Das gibt Art. 83 Abs. 4 lit. a DSGVO vor.

Der Bundesgerichtshof hat am 10.02.2011 entschieden: Webseitenbetreiber, die E-Mails an User verschicken, müssen für die Einholung der Erlaubnis das Double-Opt-In-Verfahren verwenden (Az. I ZR 164/09). Dieses Urteil ist damit auch für den Einsatz von CleverReach relevant.
Das Oberlandesgericht (OLG) Düsseldorf hat zudem bestätigt, dass Webseitenbetreiber Nutzern im Rahmen des Double-Opt-In-Verfahrens eine Mail zukommen lassen dürfen, die sie die Anmeldung für einen Newsletter bestätigen lässt (17.03.2016, Az: I-15 U 64/15).

Clickmeeting

Clickmeeting ist eine browserbasierte Webkonferenz- und Webinar-Software. Unternehmen können darüber Meetings und Webinare planen und durchführen. Während des Gesprächs oder des Webinars haben Moderatoren die Möglichkeit, Präsentationen zu zeigen, Videos von YouTube vorzuführen oder zusammen mit den Teilnehmern an einem Whiteboard zu arbeiten. Darüber hinaus können die Moderatoren Umfragen und Tests erstellen und diese während der Konferenz ausfüllen lassen. Bei der Ausführung der Webinare können Unternehmen wählen, ob sie diese live oder per Aufzeichnung ausspielen möchten.

Darum ist Clickmeeting datenschutzrechtlich relevant

Clickmeeting speichert die Daten der Kunden, die einen Account anlegen. Dabei speichert es unter anderem Profildetails wie

  • Name,
  • Benutzername,
  • E-Mail-Adresse und
  • Telefonnummer.

Bei Kunden mit einem kostenpflichtigen Account speichert Clickmeeting auch die Zahlungsdaten. Darüber hinaus erhebt der Anbieter die Daten der Teilnehmer der Konferenzen und Webinare. Dazu zählen unter anderem

  • Username,
  • IP-Adresse,
  • E-Mail-Adresse,
  • gesendete Nachrichten,
  • Betriebssystem und
  • Geräteinformationen.

Welche Daten Clickmeeting genau erhebt, hängt von der Art und Weise ab, wie Unternehmen und die Teilnehmer die Software nutzen. Grundsätzlich erhält das Tool jedoch einen umfassenden Einblick in den Datenverkehr zwischen seinen Kunden und den Konferenz- und Webinar-Teilnehmern. Clickmeeting selbst gibt an, geeignete technische und physische Sicherheitsmaßnahmen einzusetzen, um die personenbezogenen Daten zu schützen und so die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einzuhalten.

So können Unternehmen Clickmeeting datenschutzkonform verwenden

Damit Unternehmen Clickmeeting im Einklang mit der DSGVO verwenden, müssen sie diese Anforderungen erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Halten Unternehmen über Clickmeeting eine Konferenz oder ein Webinar, erhält die Software automatisch personenbezogene Daten der Teilnehmer. Art. 28 DSGVO schreibt vor, dass Unternehmen dafür einen Vertrag zur Auftragsverarbeitung mit Clickmeeting abschließen müssen. Sie können das auf der Webseite des Anbieters vornehmen. Dort stellt dieser ein entsprechendes Muster bereit.

Unternehmen sollten in dem Vertrag zur Auftragsverarbeitung aufführen,

welche Nutzerdaten Clickmeeting erhebt und speichert,

wie lange es diese Daten aufbewahrt,

warum Clickmeeting diese Daten speichert und

welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Ist der Vertrag zur Auftragsverarbeitung geschlossen, müssen Unternehmen das in ihrer Datenschutzerklärung erwähnen. Dabei müssen sie aufführen,

  • warum und welche Nutzerdaten sie speichern,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage das erlaubt (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass User der Datenspeicherung jederzeit widersprechen können.

Rechtsprechung zur Verwendung von Clickmeeting

Bisher liegt, soweit ersichtlich, keine Rechtsprechung zur Verwendung von Clickmeeting vor. Unternehmen sollten jedoch sicherstellen, dass sie vor der ersten Nutzung von Clickmeeting einen Auftragsverarbeitungsvertrag geschlossen haben. Denn: Versäumen sie das, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent ihres weltweiten Jahresumsatzes. Die Datenschutzbehörde Hamburg hat für dieses Vergehen am 17.12.2018 bereits ein Bußgeld ausgesprochen. So musste ein Versandunternehmen gut 5.000 Euro zahlen, da es mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen hatte.

CloudFlare

Cloudflare ist ein US-amerikanischer Dienstleister, der ein Content-Distribution-Network, verschiedene Web-Sicherheitsservices und DNS-Dienste anbietet. Unternehmen können den Dienstleister buchen, um die Ladezeit ihre Webseite zu beschleunigen und vor DDoS-Angriffen zu schützen. Cloudflare hat einen Marktanteil von über 70 Prozent.

Warum ist Cloudflare datenschutzrechtlich relevant?

Cloudflare erhält vollen Zugriff auf den Datenverkehr zwischen seinen Kunden und deren Webseitenbesuchern. Dabei erhebt der Anbieter unter anderem Daten zu

  • der abgerufenen Webseite,
  • dem verwendeten Browsertyp,
  • dem Betriebssystem,
  • der Referrer-URL,
  • der IP-Adresse und
  • dem anfragenden Provider

der User. Cloudflare erhebt damit unter anderem personenbezogene Daten und ist so zu einem besonderen Datenschutz verpflichtet. Das Unternehmen gibt selbst an, keine Nutzer-spezifischen Daten-Logs zu speichern und keine Userdaten an Dritte zu verkaufen oder für die Ausspielung von Werbung zu nutzen.

Cloudflare datenschutzkonform nutzen

Um Cloudflare gemäß den Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu verwenden, müssen Webseitenbetreiber diese Pflichten erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen, die erhobene, personenbezogene Kundendaten an Dritte weitergeben, müssen mit diesen einen Vertrag zur Auftragsverarbeitung abschließen. Das gibt Artikel 28 DSGVO vor. Das heißt: Webseitenbetreiber, die Cloudflare nutzen, müssen einen entsprechenden Vertrag eingehen. Cloudflare stellt Kunden diesen online auf seiner Webseite zur Verfügung. Seitenbetreiber sollten dabei darauf achten, dassder Vertrag aufführt,

  • welche Kundendaten Cloudflare speichert,
  • wie lange es diese Daten speichert,
  • warum Cloudflare diese Daten verarbeitet und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Haben Webseitenbetreiber mit Cloudflare den Vertrag zur Auftragsverarbeitung geschlossen, sollten sie das in ihrer Datenschutzerklärung erwähnen. Dabei sollten sie auch klarstellen,

  • warum sie die oben genannten Daten erheben,
  • wie lange sie die Informationen speichern wollen,
  • welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass User der Datenerhebung jederzeit widersprechen können.

Rechtsprechung zur Verwendung von Cloudflare

Unternehmen, die keinen Vertrag zur Auftragsverarbeitung abschließen, müssen mit einem Bußgeld rechnen. Das kann bei bis zu 10 Millionen Euro oder alternativ bei bis zu 2 Prozent des weltweiten Jahresumsatzes liegen. Die Datenschutzbehörde Hamburg hat für dieses Vergehen am 17.12.2018 ein Bußgeld ausgesprochen. So musste ein Versandunternehmen eine Strafe in Höhe von 5.000 Euro zuzüglich Gebühren in Höhe von 250 Euro zahlen, da es mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen hatte.

Cookies und Datenschutzerklärung

Cookies sind kleine Textdateien, die den Browserverlauf und das Userverhalten auf einer Webseite speichern. Das heißt: Jedes Mal, wenn ein User eine Webseite aufruft, merken sich die Cookies, was dieser auf der Seite macht. Die gesammelten Daten landen dann beim Webseitenbetreiber. Dabei unterscheidet man in zwei Arten von Cookies. Session-Cookies löschen sich automatisch selbst, wenn User den Browser schließen. Dauerhafte Cookies dagegen bleiben bestehen, bis User sie selbst löschen.

Funktionen für Webseitenbetreiber und User

In der Praxis nutzen Cookies sowohl Webseitenbetreibern als auch Usern. Webseitenbetreiber erhalten durch Cookies genaue Informationen darüber, wie und wie lange Nutzer ihre Webseiten verwenden. Daraus können sie Schlüsse ziehen, wie sie ihre Seite optimieren können.User profitieren von Cookies, da sie so die Einstellungen auf Webseiten wiederfinden, die sie bei vorherigen Besuchen vorgenommen haben. Das bedeutet: Sie müssen beispielsweise in Onlineshops nicht immer wieder ihre Kundendaten eingeben oder die Seitensprache einstellen. Darüber hinaus erhalten Nutzer durch Cookies Produktvorschläge, die auf ihrem bisherigen Surf- und Kaufverhalten basieren. Das macht die Internetnutzung insgesamt einfacher.

Cookies und Datenschutzrecht

Cookies erstellen ein anonymes Besucherprofil, das Informationen zum Userverhalten – u.a. zu Browser und IP-Adresse – sammelt. Bei vieler dieser Informationen handelt es sich um personenbezogene Daten. Das heißt: Webseitenbetreiber können diese Daten einer bestimmten Person zuordnen. Sie müssen daher eine umfassende Datenschutzerklärung auf ihrer Webseite zur Verfügung stellen, um die gesetzlichen Anforderungen in Deutschland zu erfüllen.

Cookies und Telemedienrecht

Die Cookie-Richtlinie der EU gibt vor, dass User ausdrücklich in die Nutzung von Cookies einwilligen müssen. Die Bundesrepublik hat diese Richtlinie jedoch nicht umgesetzt. Hierzulande gibt es daher keine unmittelbare Pflicht, Nutzer in die Verwendung von Cookies einwilligen zu lassen. Stattdessen sagt § 15 Abs. 3 Telemediengesetz (TMG): Webseitenbetreiber müssen Nutzer über die Cookie-Nutzung aufklären und auf ihr Widerspruchsrecht hinweisen. In der Praxis können Webseitenbetreiber das mit einem Cookies-Hinweis vornehmen, der einen Link zur Datenschutzerklärung aufweist. Ab dem 25. Mai 2018 löst die EU-Datenschutzgrundverordnung die Cookie-Richtlinie ab.

Rechtsprechung zu Cookies

Wie Webseitenbetreiber konkret über die Nutzung von Cookies aufklären müssen, ist höchstrichterlich noch nicht entschieden. Das Oberlandesgericht (OLG) Frankfurt hat am 17.12.2015 festgestellt, dass es ausreicht, User über das Opt-Out-Verfahren über die Verwendung von Cookies zu informieren. In der Praxis heißt das: Webseitenbetreiber können den Cookies-Hinweis mit einem bereits vorangekreuzten Häkchen versehen, so dass User nur noch auf „OK“ oder „Akzeptieren“ klicken müssen.Aktuell hat der Bundesgerichtshof (BGH) jedoch dem Europäischen Gerichtshof (EuGH) die Frage vorgelegt, ob diese Vorgehensweise ausreicht. Es kann daher sein, dass der BGH noch entscheidet, dass ein Opt-In verpflichtend ist. Dann müssten Webseitenbetreiber User das Häkchen selbst setzen lassen.

Consent Manager Provider

Consent Manager Provider ist ein Consent Management Tool, mit dem Webseitenbetreiber die Zustimmung ihrer User in die Datenverarbeitung einholen, verwalten und dokumentieren können. So holt das Plugin beispielsweise die Zustimmung von Nutzern zur Verwendung von Tracking Cookies ein. Dabei ermittelt es auch, welche Designvariante bei Besuchern am besten funktioniert. Auf diese Weise können Seitenbetreiber hohe Zustimmungsraten erreichen. Advertiser und andere Partner können über eine standardisierte API abfragen, ob eine Zustimmung zu Werbemaßnahmen vorliegt. Unternehmen können damit über Consent Manager Provider die Vorgaben der Datenschutz-Grundverordnung (DSGVO) erfüllen.

Darum ist Consent Manager Provider datenschutzrechtlich relevant

Consent Manager Provider sammelt zahlreiche Daten zu Webseitenaufrufen und den gewählten Präferenzen zur Datenerhebung. Dabei erhebt das Tool zum Beispiel Daten zum verwendeten Browser und Details zu den spezifischen Einwilligungen der User, wie den Zeitstempel, Datenumfang und Datenattribute. Webseitenbetreiber müssen daher verschiedene Pflichten erfüllen, um den Anforderungen der DSGVO gerecht zu werden.

Consent Manager Provider datenschutzkonform verwenden

Um Consent Manager Provider datenschutzkonform zu verwenden, müssen Seitenbetreiber in ihrer Datenschutzerklärung über den Einsatz des Tools aufklären. Dabei müssen sie aufführen,

  • warum sie Daten zu den gewählten User-Präferenzen erheben,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Nutzer der Datenerhebung widersprechen können.

Artikel 28 DSGVO gibt zudem vor, dass Seitenbetreiber mit Consent Manager Provider einen Vertrag zur Auftragsverarbeitung abschließen müssen. Denn: Mit Consent Manager Provider erhält ein Dritter Zugriff auf die Userdaten. Der Vertrag sollte dabei aufführen,

  • welche Nutzerdaten Consent Manager Provider wie lange speichert,
  • warum und wie Consent Manager Provider diese Daten verarbeitet und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Seitenbetreiber, die diesen gesetzlichen Vorgaben nicht nachkommen, müssen mit einem Bußgeld rechnen. Dabei gibt Artikel 83 Abs. 4 lit. DSGVO vor: Das Bußgeld kann bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen.

Rechtsprechung zur Verwendung von Consent Manager Provider

Erhält ein Dritter Zugriff auf die Daten von Webseitenbesuchern, müssen Seitenbetreiber mit diesem einen Vertrag zur Auftragsverarbeitung schließen. Das stellte die Datenschutzbehörde Hamburg am 17.12.2018 fest, als sie ein Bußgeld gegen ein Versandunternehmen aussprach. Dies hatte keinen Vertrag zur Auftragsverarbeitung mit einem beauftragten Dienstleister geschlossen. Das Versandunternehmen musste daher eine Strafe in Höhe von 5250 Euro zahlen.

Criteo

Criteo ist eine Advertising-Plattform, über die Unternehmen verschiedene Software-Lösungen buchen können, um Usern personalisierte Werbung anzuzeigen. Schwerpunkt von Criteo ist das Retargeting und ein sogenanntes Commerce-Marketing-Ökosystem. In der Praxis wertet Criteo den Webseiten-Traffic seiner Kunden aus und schaltet darauf basierend individuell gestaltete und platzierte Werbeanzeigen. Auf diese Weise können Unternehmen ihren Umsatz steigern. Criteo hat seinen Sitz in Paris und ist in mehr als 30 Ländern aktiv.

Warum ist Criteo datenschutzrechtlich relevant?

Um seine Services anzubieten, erhebt Criteo unter anderem Daten zu

  • dem Surfverhalten,
  • dem verwendeten Browser und
  • dem Betriebssystem

der User. Diese Daten speichert Criteo in Form von Cookies auf dem Computer der Webseitenbesucher. Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, müssen Criteo-Kunden daher verschiedene datenschutzrechtliche Pflichten erfüllen. Laut eigenen Angaben verzichtet Criteo darauf, personenbezogene Daten zu speichern oder zu teilen, die eine Identifizierung der User zulassen.

Wie können Seitenbetreiber Criteo datenschutzkonform nutzen?

Um die Dienste von Criteo DSGVO-konform in Anspruch zu nehmen, müssen Webseitenbetreiber diese Pflichten erfüllen:

Joint Controllership Agreement schließen

Criteo erhält einen umfassenden Einblick in die Daten der Webseitenbesucher seiner Kunden. Das Unternehmen speichert und verarbeitet diese Daten. Dabei entscheidet nicht allein das beauftragende Unternehmen, sondern auch Criteo selbst, wie die Daten verarbeitet werden. Artikel 26 DSGVO schreibt für so einen Fall vor, dass beide Parteien eine Vereinbarung über die gemeinsame Verantwortung (Joint Controllership Agreement) schließen. Dabei sollten sie darauf achten, dass die Vereinbarung erklärt,

  • welche Kundendaten Criteo erhebt und speichert,
  • wie lange Criteo diese Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Haben Webseitenbetreiber eine Vereinbarung mit Criteo geschlossen, sollten sie das in ihre Datenschutzerklärung aufnehmen. Daneben sollten sie auch aufführen,

  • warum sie Daten an Criteo weitergeben,
  • wie lange Criteo diese Daten speichert,
  • wie Criteo die Daten verarbeitet,
  • welche Rechtsgrundlage das ermöglicht und
  • dass User der Einwilligung in das Setzen von Cookies und damit der Datenerhebung jederzeit widersprechen können.

Rechtsprechung zur Verwendung von Criteo

Der Europäische Gerichtshof (EuGH) hat am 01.10.2019 festgestellt: Unternehmen, die auf ihrer Webseite unter anderem Tracking-Cookies setzen, müssen vorher per Opt-in eine Einwilligung der Webseitenbesucher einholen (Az. C-673/17). Dabei ist es irrelevant, ob die Cookies personenbezogene Daten sammeln oder nicht.

Das bedeutet: Unternehmen, die die Dienste von Criteo nutzen, müssen User um Erlaubnis bitten, die Daten erheben zu dürfen. Kommen sie dieser Pflicht nicht nach, droht ihnen ein Bußgeld. Aktuell sind bereits Bußgeldandrohungen der Bayerischen und Niedersächsischen Datenschutzbehörden im Zusammenhang mit Criteo bekannt.

Schließen Webseitenbetreiber kein Joint Controllership Agreement mit Criteo, droht ihnen ebenfalls ein Bußgeld. Die Datenschutzbehörde Hamburg hat am 17.12.2018 ein Bußgeld verhängt, da ein Versandunternehmen keinen Vertrag zur Auftragsverarbeitung mit einem beauftragten Dienstleister geschlossen hatte. Es musste eine Strafe in Höhe von gut 5.000 Euro zahlen. Grundsätzlich möglich sind Bußgelder von bis zu 10 Millionen Euro oder alternativ von bis zu 2 Prozent des weltweiten Jahresumsatzes. Dieses Strafmaß gibt Art. 83 Abs. 4 lit. a DSGVO vor.

Beschwerderecht bei der zuständigen Aufsichtsbehörde

Datenschutzerklärung zum Verarbeiten von Kunden- und Vertragsdaten

Eine Datenschutzerklärung zeigt, wie Webseitenbetreiber, Unternehmen und Behörden personenbezogene Daten wie E-Mail-Adresse, Browsertyp und IP-Adresse sammeln, speichern und verarbeiten. Kunden- und Vertragsdaten beinhalten in der Regel sensible Informationen wie Namen, Adresse, Telefonnummer und Kontodaten, so dass es sich hierbei ebenfalls um personenbezogene Daten handelt. Webseitenbetreiber sind daher verpflichtet, diese in der Datenschutzerklärung anzusprechen.

Vorgaben der Datenschutzerklärung für Kunden- und Vertragsdaten

Damit die Datenschutzerklärung den gesetzlichen Bestimmungen entspricht, müssen Webseitenbetreiber darin über den Umgang mit den Kunden- und Vertragsdaten aufklären. Dazu müssen sie aufführen,

  • welche Kunden- und Vertragsdaten sie sammeln,
  • warum sie diese Informationen sammeln,
  • was sie mit diesen Daten machen,
  • wie und warum sie diese Daten gegebenenfalls an Dritte weitergeben und
  • dass sie die Verantwortung übernehmen, die Daten der Kunden zu schützen.

Das heißt im Umkehrschluss: Unternehmen, Behörden und Webseitenbetreiber dürfen keine Kunden- und Vertragsdaten sammeln und verarbeiten, wenn sie dies nicht in der Datenschutzerklärung ansprechen.

Voraussetzungen für die Verwendung von Kunden- und Vertragsdaten

Damit Unternehmen und Webseitenbetreiber Kunden- und Vertragsdaten erheben dürfen, muss ihnen dies gesetzlich erlaubt sein. Nach dem Gesetz ist die Erhebung von Daten zulässig, wenn sie für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Das heißt für die Praxis: Schließen Unternehmen und Kunden einen Vertrag, dürfen Unternehmen die personenbezogenen Daten erheben, die für den Vertragsschluss und die Vertragserfüllung notwendig sind. Dabei handelt es sich in der Regel um Informationen wie Namen, Anschrift und Kontoverbindung.

Was passiert mit den Kundendaten nach Vertragserfüllung?

Ist der Vertrag zwischen beiden Parteien erfüllt, müssen Unternehmen sicherstellen, dass die Kundendaten vor weiteren Zugriffen geschützt sind. Das bedeutet in Praxis meist, dass sie die Daten löschen müssen.
Wollen Unternehmen die Daten über ihren eigentlichen Zweck hinaus speichern, verwenden oder an Dritte weitergeben, benötigen sie eine eindeutige und freiwillige Einwilligungsklärung der Betroffenen. Diese sollte unzweifelhaft nachweisen, wie Unternehmen die Daten jetzt nutzen bzw. an wen und warum sie diese weitergeben. Auch das sollten Unternehmen in der Datenschutzerklärung festhalten.

Rechtsprechung zur Verarbeitung von Kunden- und Vertragsdaten

Das Landgericht (LG) Hamburg hat am 02.03.2017 entschieden, dass die Verarbeitung von Patientendaten ohne deren Zustimmung einen Verstoß gegen das BDSG darstellt (Az. 327 O 148/16). Auch die Weitergabe von personenbezogenen Daten an Dritte hat die Rechtsprechung behandelt: So entschied das LG Düsseldorf am 20.02.2017, dass personenbezogene Daten nicht ohne Einwilligung an Dritte übergeben werden dürfen (Az. 5 O 400/16).

Datenübermittlung - Dienstleister, die online Verträge schließen (ohne Warenversand)

Dienstleister, die online Verträge schließen, erheben eine Reihe von Informationen zu ihren Kunden. Diese tragen in der Regel persönliche Informationen wie Namen und Adresse in eine Onlinemaske ein, um so den Vertrag mit dem Dienstleister zu schließen. Die Datenverarbeitung, die die Dienstleister dann vornehmen, muss den Datenschutzbestimmungen entsprechen.

Voraussetzungen zur Datenübermittlung

Bevor Dienstleister Daten ihrer Kunden ermitteln, müssen sie sich vorher versichern, dass sie überhaupt dazu berechtigt sind, die Informationen per Datenübermittlung zu erheben und zu speichern. Die Erlaubnis dazu kann ihnen entweder das Gesetz oder eine Einwilligung der betroffenen Person erteilen. Nach dem Gesetz ist die Erhebung von Daten zulässig, wenn sie für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Kunden notwendig ist.In der Praxis bedeutet das: Schließen Dienstleister und Kunden einen Vertrag, dürfen Dienstleister auch ohne vorherige Einwilligung des Kunden die personenbezogenen Daten abfragen und übermitteln, die notwendig sind, um den Vertrag zustande kommen zu lassen und zu erfüllen. In der Regel sind das Informationen wie Name, Anschrift, E-Mail und Kontoverbindung.Darüber hinaus müssen Dienstleister für Onlinedienste, über die User personenbezogene Daten übermitteln, ein anerkanntes Verschlüsselungsverfahren implementieren. Das schreibt das Telemediengesetz in § 13 Abs. 7 vor. Das soll sicherstellen, dass Dienstleister die Informationen sicher und ohne Zugriff durch Dritte übermitteln können. Verzichten sie auf diese Schutzmaßnahme, droht ihnen Geldbuße von bis zu 50.000 Euro pro Verstoß.

Pflichten für die Datenschutzerklärung

Die Datenübermittlung stellt einen Unterfall der Datenverarbeitung dar. Das heißt: Dienstleister, die online Verträge schließen, dürfen nur personenbezogene Daten verarbeiten, wenn sie in ihrer Datenschutzerklärung ausdrücklich darüber aufklären,

  • welche Daten sie bei der Übermittlung sammeln,
  • warum sie diese sammeln,
  • was sie mit den Informationen vorhaben,
  • wie und warum sie die Daten gegebenenfalls an Dritte weitergeben und
  • dass sie Verantwortung übernehmen, die Daten der User zu schützen.

Datenübermittlung - Online-Shops & Händler (mit Warenversand)

Kaufen Verbraucher in einem Onlineshop ein, nehmen Händler während des Bestellprozesses eine Reihe von Daten auf, um den Vertrag mit ihnen zu schließen. Dazu zählen in der Regel Informationen wie Name, E-Mail und Adresse. Shopbetreiber müssen darauf achten, dass sie dabei deutsche Datenschutzbestimmungen erfüllen.

Wann dürfen Händler personenbezogene Daten übermitteln?

Bevor Händler bei einer Online-Bestellung die Daten der Verbraucher ermitteln, müssen sie klären, ob sie dazu überhaupt berechtigt sind. Die Erlaubnis kann ihnen entweder das Gesetz oder die Zustimmung des Konsumenten geben. Das Gesetz erlaubt es Händlern, Daten zu erheben und zu übermitteln, wenn diese für den Abschluss eines Rechtsgeschäfts notwendig sind.Für die Praxis heißt das: Schließen Händler mit einem Verbraucher einen Kaufvertrag, dürfen sie all die Daten im Bestellprozess abfragen, die sie benötigen, um den Vertrag zustande kommen zu lassen. Neben dem Namen und der E-Mail ist das vor allem auch die Liefer- und Rechnungsadresse, damit sie die Ware auf dem Postweg zustellen können.
Damit Dritte bei der Datenübermittlung keinen Zugriff auf die Kundendaten bekommen, sind Händler zudem dazu verpflichtet, ein anerkanntes Verschlüsselungsverfahren zu nutzen. Im Gesetz gibt das das Telemediengesetz in § 13 Abs. 7 vor. Schützen Shopbetreiber die personenbezogenen Daten während der Übermittlung nicht, drohen ihnen empfindliche Strafen. Pro Verstoß warten hier Geldbußen von bis zu 50.000 Euro.

Verbraucher in der Datenschutzerklärung informieren

Die Datenübermittlung von Händlern stellt eine Art der Datenverarbeitung dar. Das bedeutet: Schließen Online-Händler Verträge mit Verbrauchern, müssen sie in ihrer Datenschutzerklärung darüber aufklären, wie und warum sie die personenbezogenen Daten erheben. Dazu müssen sie informieren,

  • welche Daten für die Datenübermittlung erheben,
  • warum sie diese erheben,
  • wie sie diese Daten verarbeiten,
  • wie und warum sie diese gegebenenfalls an Dritte weiterreichen und
  • dass sie Verantwortung übernehmen, die Daten der Kunden zu schützen.

Datenschutzerklärung und Digistore24

Digistore24 ist ein Online-Marktplatz und eine Affiliate-Plattform, über die Händler ihren Produktvertrieb organisieren können. Digistore24 agiert damit rechtlich gesehen als Reseller von Produkten. Der Fokus der Plattform liegt auf digitalen Artikeln. Physische Produkte treten nur in Form von DVDs und Büchern auf. Im Mai 2018 hatte Digistore24 über 130.000 Nutzer. Dabei machte das Unternehmen in 2018 einen Umsatz von 160 Millionen Euro, bei 2,6 Millionen Transaktionen.

Diese Daten sammelt Digistore24

Um sich bei Digistore24 anzumelden, müssen Händler unter anderem

  • ihren Namen,
  • ihre Anschrift und
  • ihre Kontaktdaten wie E-Mail und Telefonnummer

angeben. Die Daten der Kunden, die über Digitstore24 Produkte der teilnehmenden Händler einkaufen, sammelt das Unternehmen nicht.

Digistore24 datenschutzkonform verwenden

Wollen Händler ihre Produkte über den Marktplatz von Digistore24 verkaufen oder das Affiliate-Programm nutzen, müssen sie dies in ihrer Datenschutzerklärung aufführen. Dabei sollten sie Usern erklären, wann und warum sie auf die Seite von Digistore24 weitergeleitet werden und welche Daten dabei an Digistore24 gehen.

Händler sollten auch darauf hinweisen, dass Nutzer der Verwendung ihrer Daten durch Digistore24 jederzeit widersprechen können. Das gilt jedoch nicht für die Daten, die Digistore24 zwingend benötigt, um Produkte zu verkaufen und Zahlungen abzuwickeln. Diese Daten dürfen Händler an Digistore24 weiterleiten.

Müssen Händler mit Digistore24 einen Vertrag zur Auftragsverarbeitung abschließen?

Digistore24 tritt nicht als Auftragsverarbeiter, sondern als Reseller auf. Das heißt: Nach einem Kauf erhalten Händler von Digistore24 die vom Kunden für die Vertragsabwicklung zur Verfügung gestellten Daten. Händler erfüllen daher den Kaufvertrag selbst. Sie müssen daher keinen Vertrag zur Auftragsverarbeitung mit Digitstore24 abschließen.

eRecht24 Safe Sharing Tool

Das e-Recht24 Safe Sharing Tool ist ein datenschutzkonformes Plugin, über das User Inhalte von sozialen Netzwerken wie Facebook und Twitter teilen können. Webseitenbetreiber, die das Tool in ihre Webseite integrieren, ermöglichen ihren Usern das Teilen von Content, ohne automatisch Nutzerdaten an die sozialen Netzwerke weiterzugeben. Das Resultat: datenschutzkonforme Shares und Likes.

Social Plugins und Datenschutz

Klicken Nutzer auf einen eingebundenen Like- oder Share-Button auf einer Webseite, drücken sie nicht nur ihre digitale Meinung aus, sondern geben gleichzeitig Nutzerdaten an die sozialen Netzwerke weiter – häufig ohne ihr Wissen. Da es sich dabei jedoch um personenbezogene Daten handelt, müssten Webseitenbetreiber dafür eigentlich erst die Zustimmung der Nutzer einholen. Diese liegt in der Regel jedoch nicht vor. Denn: Es reicht nicht aus, wenn sie dafür lediglich einen Hinweis in ihre Datenschutzerklärung aufnehmen. Share- und Like-Buttons von Facebook und Co. verstoßen somit gegen deutsche Datenschutzbestimmungen.Das e-Recht24 Safe Sharing Tool ermöglicht es Usern, Inhalte zu teilen, ohne ihre Daten weiterzugeben. Das macht den Einsatz der Social Plugins für Seitenbetreiber rechtlich zulässig, da sie so nicht mehr gegen den Datenschutz zu verstoßen.

Rechtsprechung zu Social Plugins

Das Landgericht (LG) Düsseldorf hat am 09.03.2016 entschieden, dass die Einbindung von Social Plugins, die ungefragt Nutzerdaten an Facebook übermitteln, nicht erlaubt sind (Az. 12 O 151/15). Das Urteil bezog sich zwar nur auf Facebook. Plugins anderer sozialer Netzwerke wie Google+ und Twitter übertragen jedoch auch personenbezogene Daten, so dass diese ebenfalls unzulässig sind. Seitenbetreibern und Shops, die die Plugins trotzdem nutzen, drohen daher teure wettbewerbsrechtliche Abmahnungen.

Datenschutzerklärung und etracker

etracker ist ein Webanalyse-Tool, das die Daten von Webseitenbesuchern sammelt und auswertet. Diese Daten helfen Seitenbetreibern dabei, ihre Webseite entsprechend zu optimieren.

So funktioniert etracker

etracker erhebt zu jedem User auf der Webseite Informationen. Es sammelt u. a. Daten dazu,

  • wann User die Webseite besuchen,
  • wie lange sie die Seite besuchen,
  • wie oft Nutzer die Webseite besuchen,
  • woher die Nutzer kommen und
  • welchen Browsertyp sie verwenden.

Aus diesen gewonnenen Daten können Webseitenbetreiber Nutzerprofile erstellen. Diese machen es ihnen leicht, Usern personalisierte Newsletter oder Werbung zuzuspielen.

etracker und Datenschutz

Verwenden Seitenbetreiber etracker, müssen sie die Nutzerprofile anonymisieren oder pseudonymisieren. Sie dürfen die personenbezogenen Daten keinem Personenprofil zuordnen, da dies § 15 Telemediengesetz (TMG) nicht erlaubt. Darüber hinaus müssen sie etracker in ihrer Datenschutzerklärung ansprechen. Sie müssen darin erklären,

  • welche Daten sie über etracker sammeln,
  • wozu sie diese Daten sammeln,
  • wie sie diese Daten verarbeiten (z. B. zur Erstellung von Nutzerprofilen),
  • ob und warum sie diese Daten gegebenenfalls an Dritte weiterreichen und
  • dass sie die Verantwortung übernehmen, die über etracker gewonnenen Daten zu schützen.

Damit User nicht wehrlos gegenüber Trackingsoftware wie etracker sind, müssen Webseitenbetreiber Nutzer zudem in ihrer Datenschutzerklärung darauf hinweisen, dass sie dem Tracking widersprechen können. In der Regel nutzen Seitenbetreiber hierfür einen Link, der das Tracking für den jeweiligen Nutzer abschalten lässt.

Rechtsprechung zu etracker

Das Landgericht (LG) Frankfurt am Main hat am 18.02.2014 entschieden: Webseitenbetreiber sind beim Einsatz von pseudonymisiertem Tracking verpflichtet, User darauf hinzuweisen, dass sie der Erhebung und Verwendung ihrer Daten widersprechen können (Az.: 3-10 O 86/12). Klären Webseitenbetreiber Nutzer darüber nicht auf, handelt es sich um einen Wettbewerbsverstoß. Das Urteil bezog sich zwar auf das Online-Statistik-Tool Piwik. Die Verwendung von etracker bringt jedoch die gleichen datenschutzrechtlichen Voraussetzungen mit sich.

Externes Hosting

Wenn Unternehmen eine eigene Webseite veröffentlichen möchten, benötigen sie dafür Speicherplatz im Web. In der Regel lohnt es sich dafür nicht, einen eigenen Server zu betreiben. Dieser ist zu zeit- und kostenintensiv. Die meisten Webseitenbetreiber greifen daher auf einen externen Hosting-Anbieter zurück, um ihre Seite im Netz zu platzieren.

Warum ist externes Hosting datenschutzrechtlich problematisch?

Wenn Unternehmen, Online-Händler oder Nutzer ihre Webseite über einen externen Hosting-Anbieter veröffentlichen, erhält dieser in der Regel automatisch Daten der Webseitenbesucher oder der Kunden. Das können zum Beispiel Name, E-Mail-Adresse und Anschrift sein. Viele Hoster bieten ihren Kunden zudem Serviceleistungen, die sie Daten zum Verhalten der Besucher auf der Webseite erheben und auswerten lassen. Auf diese Weise erhält der Hosting-Anbieter zum Beispiel einen Einblick in IP-Adressen, Kontaktabfragen, Meta- und Kommunikationsdaten, Webseitenzugriffe und Vertragsdaten.

Externes Hosting datenschutzkonform nutzen

Um eine Webseite über einen externen Hosting-Anbieter datenschutzkonform betreiben zu können, müssen Seitenbetreiber diesen Pflichten nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Wenn Dritte Zugriff auf personenbezogene Daten erhalten, müssen Webseitenbetreiber mit diesen einen Vertrag zur Auftragsverarbeitung abschließen. Das schreibt § 28 Datenschutz-Grundverordnung (DSGVO) vor. Bei einer Hosting-Leistung verarbeiten die Anbieter in der Regel personenbezogene Daten der Webseitenbesucher. Es liegt daher eine Auftragsverarbeitung vor.

Um dafür geeignete Rahmenbedingungen zu schaffen, müssen Webseitenbetreiber mit dem Hosting-Anbieter einen Vertrag zur Auftragsverarbeitung schließen. Dieser regelt dann alle technischen und organisatorischen Maßnahmen, wie zum Beispiel

  • Zugriffshierarchien,
  • Backupregelungen und
  • Dokumentationsformalien.

Grundsätzlich sollte der Vertrag ansprechen, welche Userdaten der externe Hosting-Anbieter wie lange und aus welchem Grund speichert. Und: Der Vertrag sollte alle Rechte und Pflichten der Verantwortlichen aufführen. Wenn Webseitenbetreiber keinen Vertrag zur Auftragsverarbeitung mit dem Hosting-Anbieter schließen, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes. Das erlaubt Art. 83 Abs. 4 lit. a DSGVO.

Sonderfall Access-Provider

Wenn Webseitenbetreiber lediglich einen Access-Provider nutzen, kann es sein, dass kein Vertrag zur Auftragsverarbeitung notwendig ist. Das ist der Fall, wenn sie den Speicherplatz im Web lediglich nutzen, um ihre Webseite zu hosten, Daten zu transportieren und sonst keine weiteren Services in Anspruch nehmen. Sie erheben dann keine personenbezogenen Daten über den Hosting-Anbieter.

Sonderfall Dienstleister für Wartung

Wenn Unternehmen einen eigenen Server betreiben, für dessen Wartung jedoch einen Dienstleister beauftragen, könnte ebenfalls ein Vertrag zur Auftragsverarbeitung notwendig sein. Denn: Der Dienstleister könnte dann Zugriff auf personenbezogene Daten haben. Das Bayerische Landesamt für Datenschutz geht davon aus, dass in so einem Fall eine Auftragsverarbeitung vorliegt.

Datenschutzerklärung anpassen

Webseitenbetreiber müssen in ihrer Datenschutzerklärung angeben, dass sie einen externen Hosting-Anbieter nutzen. Dabei sollten sie aufführen,

  • dass sie diesen nutzen, um ein sicheres und schnelles Online-Angebot bereitstellen zu können,
  • warum und wie der Hosting-Anbieter so personenbezogene Daten erhält,
  • wie lange dieser die personenbezogenen Daten speichert,
  • welche Rechtsgrundlage das erlaubt und
  • dass User der Einwilligung in die Datenerhebung jederzeit widersprechen können.

Diese Pflichten schreibt § 13 Abs. 1 DSGVO vor. Daneben sollten Webseitenbetreiber in ihrer Datenschutzerklärung auch erwähnen, dass sie mit dem Hosting-Anbieter einen Vertrag zur Auftragsverarbeitung geschlossen haben.

Rechtsprechung zu externem Hosting

Die Datenschutzbehörde Hamburg hat am 17.12.2018 einen Bußgeldbescheid erlassen, da ein Versandunternehmen mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen hatte. Das Unternehmen musste daher eine Strafe von 5.000 Euro zuzüglich 250 Euro Gebühren zahlen. Diese oder eine ähnliche Strafe droht auch Webseitenbetreibern, die keinen Vertrag zur Auftragsverarbeitung mit einem externen Hosting-Anbieter schließen.

Facebook Plugins und Datenschutzerklärung

Facebook ist ein soziales Netzwerk, das Profile von Privatpersonen und Unternehmen erstellen und miteinander vernetzen lässt. User können Inhalte liken, kommentieren sowie teilen und sich so weltweit austauschen.Unternehmen nutzen Facebook als Marketingkanal. Sie teilen darüber für ihre Zielgruppe relevante Inhalte, um eine möglichst große Zahl an Followern zu generieren. Das wiederum soll den Verkauf ihrer Produkte ankurbeln und so den Unternehmenswert steigern.

So sammelt und nutzt Facebook Daten

Facebook sammelt eine Vielzahl von Daten seiner Nutzer. Dazu zählen u. a. die Daten, die User selbst im Netzwerk angeben, wie Name, Geburtsdatum und Wohnort. Darüber hinaus speichert das Netzwerk Daten zu allen Aktivitäten, die Nutzer vornehmen. Dazu zählen u. a. Kommentare, Likes, Statusmeldungen, Veranstaltungen und Freunde. Daneben sammelt Facebook Daten zur Art und Weise der Nutzung. So erhebt es Informationen dazu, wann, wie oft und wie lange User im Netzwerk surfen.Diese Daten nutzt Facebook zum einen, um Usern ein personalisiertes Erlebnis bieten, und zum anderen, um Unternehmen eine Plattform für personalisierte Werbung stellen zu können. Für Analysezwecke gibt das Netzwerk einige seiner Daten zudem an Dritte weiter. In seinen Datenschutzrichtlinien verweist der Konzern jedoch darauf, dass es sich dabei nicht um personenbezogene Daten handelt. Diese würden nur dann an Dritte weitergereicht, wenn eine Einwilligung des jeweiligen Users vorliegt.

Datenschutzprobleme bei Facebook

Unternehmen müssen auch bei Facebook deutsche Datenschutzbestimmungen erfüllen. Das ist möglich, indem sie auf ihrer Facebookseite entsprechende Datenschutzhinweise unterbringen oder dort einen Link zu den Datenschutzhinweisen auf ihrer eigenen Webseite platzieren. Dafür müssen sie gleichzeitig in ihrer Datenschutzerklärung auf die Facebook Page verweisen. Auf diese Weise verdeutlichen sie ihren Nutzern, dass die gemachten Hinweise auch für Facebook gelten.Darüber hinaus stehen Unternehmen vor einer Reihe von Datenschutzproblemen, die Facebook mitbringt. So gibt das Social Plugin des Netzwerks auf der eigenen Unternehmensseite automatisch Nutzerdaten an Facebook weiter, wenn User daraufklicken. Da es sich dabei um personenbezogene Daten handelt, müssen Unternehmen hierfür zunächst eine Einwilligung der User einholen. Das ist jedoch nicht möglich, indem sie lediglich in ihrer Datenschutzerklärung darauf hinweisen. Sie sollten daher auf der eigenen Webseite zusätzlich auf alternative Plugins wie das eRecht24 Safe Sharing Tool zurückgreifen, um deutsche Datenschutzbestimmungen zu erfüllen.Daneben ist auch Facebooks Custom Audiences datenschutzrechtlich ein Problem für Unternehmen. Sie können darüber ihre Kundendaten mit Facebook-Nutzern abgleichen, um so personalisierte Werbung zu schalten. Da hierbei jedoch personenbezogenen Daten an Dritte weitergegeben werden, benötigen sie hierfür gemäß Bundesdatenschutzgesetz die Zustimmung der User. Liegt diese nicht vor, drohen ihnen Bußgelder sowie Schadensersatzansprüche der Betroffenen.

Rechtsprechung zu Facebook

Das Landgericht (LG) Düsseldorf hat am 09.03.2016 entschieden: Der auf Webseiten implementierte Like-Button von Facebook verstößt gegen Datenschutzbestimmungen (Az. 12 O 151/15). Das Oberlandesgericht (OLG) Düsseldorf hat die Frage nach der Zulässigkeit des Buttons dem EuGH vorgelegt (Beschluss vom 19.01.2017 – Az. I-20 U 40/16). Hier ist noch keine Entscheidung gefallen.Darüber hinaus haben das Verwaltungsgericht (VG) Schleswig-Holstein (Urteil vom 09.10.2013, Az. 8 A 218/11 sowie Az. 8 A 37/12 und 8 A 14/12) sowie das Oberverwaltungsgericht (OVG) Schleswig-Holstein (Urteil vom 04.09.2014, Az. 4 LB 20/13) festgelegt: Betreiber einer Facebookseite sind datenschutzrechtlich nicht verantwortlich, wenn Facebook personenbezogene Daten der Besucher der Seite verarbeitet. Die Richter verwiesen in ihrem Urteil darauf, dass Betreiber keine Erlaubnis und keine Mittel haben, um die Datenerhebung und -verarbeitung von Facebook zu beeinflussen.

Facebook Connect und Datenschutzerklärung

Facebook Connect – auch als Single Sign On (SSO) bezeichnet – ist ein Verfahren, über das sich User mit ihren Facebook-Zugangsdaten auch bei anderen Online-Diensten anmelden können. Auf diese Weise müssen sie sich nicht immer wieder neu für Webdienste registrieren, sondern können sich dort mit ihrem Facebook-Account einloggen.

Diese Daten übermittelt Facebook beim Single Sign On

Bei Facebook Connect findet ein Datenaustausch zwischen Facebook und dem jeweiligen Online-Dienst statt. Welche Informationen die beiden Unternehmen dabei genau austauschen, hängt von den Privatsphäre-Einstellungen des Users ab. Die vom Nutzer öffentlich gestellten Profilinfos leitet Facebook an den Webdienst weiter. Das können zum Beispiel Name, E-Mail und Freundeslisten sein.Diese Daten speichert der Webdienst und wertet anschließend das Verhalten des Users im eigenen Dienst aus und sendet die neu gewonnenen Informationen zurück an Facebook. Diese Daten wiederum fügt Facebook dem Profil des Nutzers hinzu, um sie für Werbezwecke o. ä. auszuwerten.

Das ist datenschutzrechtlich problematisch an Facebook Connect

Um sich bei einem Online-Dienst anzumelden, darf dieser lediglich Bestandsdaten vom Kunden abfragen. Facebook dürfte dem Dienst daher nur die Daten des Userprofils zukommen lassen, die für den Vertragsschluss und das Anlegen eines Profils zwingend notwendig sind. Das gibt das Telemediengesetz (TMG) vor.Für alle weiteren Informationen, die Online-Dienste von Facebook erhalten, benötigen sowohl Facebook als auch der jeweilige Webdienst die Einwilligung des Nutzers – auch für die im Profil des Nutzers öffentlichen Daten. Diese Zustimmung müssen Unternehmen einholen, bevor Nutzer den Single Sign On durchführen.Darüber hinaus müssen Webdienste in ihrer Datenschutzerklärung aufführen,

  • welche Daten sie über Facebook sammeln,
  • wozu sie diese Daten sammeln,
  • wie sie diese Daten verarbeiten,
  • ob und warum sie diese Daten gegebenenfalls an Dritte (wie z.B. an Facebook) weitergeben,
  • dass sie die Verantwortung übernehmen, die gewonnenen Daten zu schützen.

Es reicht nicht aus Usern mitzuteilen, dass Facebook Connect den Bestimmungen und der Verantwortung von Facebook unterliegt.

Facebook Pixel und Datenschutzerklärung

Facebook Pixel – offiziell als Besucheraktions-Pixel bezeichnet – ist ein Tracking-Plugin, das Unternehmen auf ihrer Webseite einbinden können, um Userverhalten nachzuvollziehen. Auf diese Weise können sie einsehen, welche Kunden über Facebook zu ihnen auf die Seite kommen und welche Aktionen (z. B. Newsletter-Abo oder Produktkauf) sie dort vornehmen. Das Resultat: Werbetreibende können bewerten, ob eine Kampagne auf Facebook den gewünschten Erfolg erzielt.

Das ist an Facebook Pixel datenschutzrechtlich problematisch

Facebook Pixel erhebt keine anonymen oder pseudonymisierten, sondern personenbezogene Daten. Klicken User auf eine Werbeanzeige und landen somit auf der Webseite des Unternehmens, zeichnet Facebook Pixel ein genaues Bild des Verhaltens des Users. Diese Daten gelangen über Facebook zum Unternehmen.Damit handelt es sich um eine Datenübertragung, von der der Nutzer nichts weiß. Um jedoch datenschutzkonform personenbezogene Daten erheben zu dürfen, benötigen Unternehmen die Zustimmung der User. Dafür reicht es nicht aus, einen Hinweis in die eigene Datenschutzerklärung aufzunehmen.

So können Webseitenbetreiber Facebook Pixel datenschutzkonform verwenden

Damit Unternehmen Facebook Pixel legal zum Einsatz bringen, müssen sie Nutzer über die Datennutzung informieren. Dabei müssen sie ihnen deutlich machen, welche User-Daten sie warum an Facebook übersenden. Das müssen User dann aktiv durch einen Opt-In – z. B. durch das Setzen eines Häkchens – bestätigen.Gleichzeitig müssen Unternehmen Usern jedoch auch die Möglichkeit geben, der Datenerhebung zu widersprechen. Das ist über einen Austragelink (Opt-Out) auf der Seite möglich. Der gesamte Vorgang muss in der Datenschutzerklärung des Unternehmens dokumentiert sein.

GetResponse

GetResponse ist eine All-in-One-Plattform für Online-Marketing, die Kunden unter anderem über Kampagnenmanagement, Landingpages sowie E-Commerce- und Design-Tools ihr Unternehmen vermarkten lässt. Die Webseite hat mehr als 350.000 Kunden in 183 Ländern. Das Angebot ist in 27 Sprachen verfügbar.

Warum GetResponse datenschutzrechtlich relevant ist

Webseitenbetreiber, die über GetResponse E-Mail-Kampagnen durchführen, benötigen für die Erhebung der E-Mail-Adressen die Einwilligung der User. Denn: E-Mail-Adressen zählen zu den personenbezogenen Daten, die über die Datenschutz-Grundverordnung (DSGVO) besonders geschützt sind.

GetResponse datenschutzkonform einsetzen

Damit Webseitenbetreiber E-Mail-Kampagnen über GetResponse datenschutzkonform durchführen können, müssen sie diese rechtlichen Pflichten erfüllen:

Empfänger einwilligen lassen

Die DSGVO schreibt vor: Webseitenbetreiber müssen User ausdrücklich fragen, ob sie ihre E-Mail-Adresse erheben, speichern und verarbeiten dürfen. Die bisherige rechtliche Praxis hat dabei gezeigt: Das Double-Opt-In-Verfahren ist geeignet, um die Erlaubnis der Nutzer einzuholen.
Beim Double-Opt-In-Verfahren weisen Unternehmen User zunächst darauf hin, dass sie ihre E-Mail-Adresse erheben und für das Versenden eines Newsletters verwenden. Stimmen User dem zu, schicken Unternehmen ihnen per E-mail eine Bestätigung über die Newsletter-Anmeldung zu. In dieser Mail finden User einen Link, über den sie die Anmeldung noch einmal bestätigen müssen. Erst dann haben Nutzer ihre Einwilligung DSGVO-konform abgegeben.

GetResponse setzt im E-Mail-Registrierungsprozess ein datenschutzrechtlich konformes Double-Opt-In-Verfahren ein. Und: Webseitenbetreiber können über GetResponse manuell neue E-Mail-Kontakte anlegen. Diese erhalten dann eine Mail, die sie die Anmeldung für den Newsletter bestätigen lässt.

Vertrag zur Auftragsverarbeitung abschließen

Nutzen Webseitenbetreiber GetResponse für ihr E-Mail-Marketing, erhält der Anbieter Zugriff auf die Kundendaten des Webseitenbetreibers. Damit dieser Prozess den Vorgaben des § 28 DSGVO entspricht, müssen Webseitenbetreiber mit GetResponse einen Vertrag zur Auftragsverarbeitung abschließen. Dieser bestimmt

  • welche Nutzerdaten sie wie lange speichern wollen,
  • aus welchem Grund und wie sie die Daten verarbeiten wollen und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Webseitenbetreiber können den Vertrag zur Auftragsdatenverarbeitung bei GetResponse nicht in ihrem Account abschließen. Nach aktuellem Stand können sie den Vertrag nur erhalten und abschließen, wenn sie diesen beim Support anfordern.

Datenschutzerklärung anpassen

Webseitenbetreiber müssen gemäß § 13 Abs. 1 DSGVO in ihrer Datenschutzerklärung ausführlich erklären, warum sie für die Nutzung von GetResponse

  • personenbezogene Daten erheben und
  • wie lange sie diese speichern wollen.

Darüber hinaus müssen sie erklären, welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und dass User der Einwilligung in die Datenerhebung jederzeit widersprechen können.

Problem Serverstandort

GetResponse speichert seine Daten nicht auf deutschen Servern oder Servern innerhalb der EU. Das heißt: Die Daten fließen in ein anderes Land ab, so dass Webseitenbetreiber nicht mehr die Anforderungen und Pflichten der DSGVO erfüllen können.

Rechtsprechung zum Versand von Newslettern über GetResponse

Webseitenbetreiber, die keinen Vertrag zur Auftragsverarbeitung abschließen, können gemäß Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes erhalten.

Am 10.02.2011 hat der Bundesgerichtshof entschieden, dass Webseitenbetreiber für die Einholung einer Einwilligung in den E-Mail-Versand das Double-Opt-In-Verfahren verwenden dürfen (Az. I ZR 164/09).
In diesem Kontext hat das Oberlandesgericht (OLG) Düsseldorf festgestellt: Webseitenbetreiber dürfen ihren Kunden im Rahmen des Double-Opt-In-Verfahrens eine E-Mail zuschicken, damit sie die Anmeldung für einen Newsletter bestätigen können (17.03.2016, Az: I-15 U 64/15).

Datenschutzerklärung und Google AdSense

Google AdSense ist ein Dienst, über den Webseitenbetreiber Werbung auf ihren Seiten einblenden können. Unternehmen buchen über Google AdWords diese Werbeplätze, um dann auf diesen Seiten zu erscheinen. Damit Werbeplatz und Webseite zusammenpassen, wertet Google dafür vorher die Interessen und bisher besuchten Seiten von Usern aus. Auf diese Weise finden Nutzer auf den Webseiten thematisch passende oder verwandte Werbeanzeigen, die sie interessieren könnten.

Darum ist Google AdSense datenschutzrechtlich problematisch

Google setzt für AdSense einen Cookie auf die jeweilige Webseite, um die IP-Adresse sowie die individuellen Aktivitäten der User auszulesen und zu speichern. Auf diese Weise kann Google ein personenbezogenes Profil der Nutzer erstellen. Webseitenbetreiber, die Google AdSense nutzen, erhalten von Google dann die entsprechenden Daten, um den Erfolg ihrer Anzeige auszuwerten.Da es sich dabei jedoch um personenbezogene Daten handelt, dürfen sie diese nur mit der Einwilligung der Nutzer erheben. Datenschutzbehörden gehen davon aus, dass Webseitenbetreiber selbst dafür verantwortlich sind, die Zustimmung einzuholen. Haben sie diese nicht, verstoßen sie gegen deutsche Datenschutzbestimmungen.

So können Webseitenbetreiber Google AdSense datenschutzkonform verwenden

Damit Webseitenbetreiber Google AdSense datenschutzkonform verwenden können, müssen sie Nutzer in ihrer Datenschutzerklärung umfassend über die Datenerhebung und die Datenverarbeitung informieren. Dazu müssen sie angeben,

  • dass ihre Webseite Google AdSense nutzt,
  • was Google AdSense mit ihren Daten macht,
  • dass ihre Seite Cookies verwendet,
  • dass ihre Seite ihre IP-Adressen speichert und
  • dass sie diese gewonnenen Daten an Google in die USA weiterleiten.

Darüber hinaus müssen Webseitenbetreiber auf die Datenschutzbestimmungen von Google AdSense hinweisen. Zuletzt müssen sie einen Cookie-Hinweis auf ihrer Webseite einblenden, der über die Speicherung von Cookies auf dem Gerät des Nutzers informiert.Gleichzeitig müssen Webseitenbetreiber Usern ermöglichen, der Datenerhebung zu widersprechen. Dazu sollten sie ebenfalls in den Datenschutzhinweisen aufklären,

  • wie User ihre Cookies im Browser deaktivieren,
  • wie sie in den Google Einstellungen interessenbezogene Werbung deaktivieren und
  • was die Funktion „Do not track“ im Browser bedeutet.

Rechtsprechung zu Google AdSense

Die Rechtslage zu Google AdSense ist bisher nicht eindeutig geklärt. Es gibt – soweit ersichtlich – keine Urteile zur Datenschutzproblematik von Google AdSense selbst. Der Europäische Gerichtshof (EuGH) hat jedoch am 19.10.2016 entschieden, dass IP-Adressen personenbezogene Daten darstellen, wenn es Seitenbetreibern so möglich ist, die hinter der IP-Adresse stehende Person zu identifizieren (C-582/14).

Darüber hinaus hat das Landgericht Berlin am 06.09.2007 entschieden, dass die Speicherung von IP-Adressen ohne Einwilligung der User nicht zulässig nicht (Az. 23 S 3/07). Dem gegenüber steht jedoch die Entscheidung des Amtsgerichts München. Dies hat am 30.09.2008 festgestellt, dass zumindest dynamische IP-Adressen keinen personenbezogenen Daten darstellen, da sie lediglich einen Internetanschluss identifizieren können - nicht aber den Nutzer selbst (Az. 133 C 5677/08).

Google Ads ist ein Werbeprogramm, über das Unternehmen zielgerichtet Werbung schalten können. Dazu können sie in den Netzwerken von Google – wie Google Suche, Google Shopping und Google Maps – sowie auf anderen Webseiten Werbung passend zum Inhalt der jeweiligen Internetseite einblenden lassen. Auf diese Weise erreichen Unternehmen mit einer Anzeige viele potenzielle Kunden im Web.

Google Ads und Datenschutz

Damit Unternehmen den Erfolg ihrer Ads-Kampagne messen können, setzt Google einen Cookie auf ihre Webseite. Dieser liest und speichert die IP-Adresse sowie die Interaktionen der Nutzer, die über die Ads-Anzeige auf die Seite der Unternehmen gekommen sind. Datenschützer gehen davon aus, dass das Zusammenspiel von IP und Seitenaktivität ein personenbezogenes Profil der User erstellen lässt. Das dürfen Unternehmen jedoch nur, wenn sie die Einwilligung der Nutzer haben. Unternehmen sind dabei selbst dafür zuständig, diese Zustimmung einzuholen. Verfügen sie nicht über die Einwilligung und nutzen dennoch Google Ads, verstoßen sie gegen den deutschen Datenschutz.

Google Ads datenschutzkonform einsetzen

Neben der Einwilligung des Users sind Webseitenbetreiber auch dazu angehalten, in ihrer Datenschutzerklärung über den Einsatz von Google Ads zu informieren. Sie müssen dazu im Details darüber aufklären,

  • dass sie Google Ads verwenden,
  • was Google Ads mit ihren Daten macht,
  • dass ihre Seite für den Einsatz von Google Ads Cookies nutzt,
  • dass ihre Webseite dafür IP-Adressen speichert und
  • dass sie die erhobenen Daten an Google in die USA weiterreichen.

Zusätzlich sind Webseitenbetreiber verpflichtet, auf ihrer Webseite einen Cookie-Hinweis einzublenden, der Nutzer über die Speicherung von Cookies informiert. Damit User all diesen Maßnahmen nicht hilflos ausgeliefert sind, müssen sie es ihnen auch ermöglichen, der Datenerhebung und Datenspeicherung zu widersprechen. Ihre Datenschutzerklärung sollte daher ebenfalls zeigen,

  • wie Nutzer ihre Cookies im Browser deaktivieren,
  • wie sie in den Google Einstellungen interessenbezogene Werbung deaktivieren und
  • was die Funktion „Do not track“ im Browser heißt.

Rechtsprechung zu Google Ads

Bisher gibt es keine Rechtsprechung zur Datenschutzkonformität von Google Ads. Der Europäische Gerichtshof (EuGH) hat jedoch am 19.10.2016 festgestellt, dass IP-Adressen personenbezogene Daten darstellen, wenn Webseitenbetreiber über die Mittel verfügen, die hinter der IP-Adresse stehend Person zu identifizieren (C-582/14).Das Landgericht Berlin hat zudem am 06.09.2007 entschieden, dass Webseitenbetreiber IP-Adressen nicht ohne die Zustimmung von Nutzern speichern dürfen (Az. 23 S 3/07). Das Amtsgericht München hat das etwas differenzierter bewertet: Es hat am 30.09.2008 entschieden, dass dynamische IP-Adressen keine personenbezogenen Daten darstellen, da diese nur einen Internetanschluss identifizieren lassen. Sie lassen keinen Nutzer direkt ausmachen (Az. 133 C 5677/08).

Datenchutzerklärung und Google Analytics

Google Analytics ist ein Tool zur Analyse des Nutzerverhaltens auf Webseiten. Webseitenbetreiber sammeln und bewerten darüber Parameter wie Useraktivität und Verweildauer. Auf diese Weise können sie Rückschlüsse auf die Funktionalität ihrer Seite ziehen und diese optimieren.

Das kritisieren Datenschützer bei Google Analytics

Google Analytics sammelt und speichert umfangreiche User-Daten, u. a. auch IP-Adressen. Dabei werden diese, zum Teil personenbezogenen Daten von Deutschland in die USA weitergeleitet. Welche Daten genau Google dabei erhebt und speichert, ist nicht eindeutig. Denn: In den Datenschutzbestimmungen von Google finden sich nur wenige konkrete Aussage dazu, welche Daten es von Webseitenbesuchern überträgt und sammelt.

So können Webseitenbetreiber Google Analytics rechtssicher nutzen

Damit Webseitenbetreiber Google Analytics rechtssicher nutzen können, müssen sie eine Reihe von Maßnahmen vornehmen:

1. Vertrag zur Auftragsdatenverarbeitung abschließen

Webseitenbetreiber müssen mit Google einen Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG abschließen. Dieser regelt, dass und wie Seitenbetreiber ihre Daten an Google weitergeben und wie dies die Daten verarbeitet.

2. IP-Anonymisierung vornehmen

Damit Webseitenbetreiber nicht weiter vollständige IP-Adresse speichern, bietet Google seit kurzem die Funktion „anonymizeIp“ an. Diese verkürzt die IP-Adresse und lässt so keinen konkreten Personenbezug mehr herstellen. Deutsche Datenschützer stufen IP-Adressen als personenbezogene Daten ein, die Webseitenbetreiber jedoch nur der Einwilligung der User erheben dürfen. Verkürzen sie die IP automatisch, dürfte es sich nicht mehr um personenbezogene Daten handeln.

3. Datenschutzerklärung aktualisieren

Webseitenbetreiber müssen ihre Datenschutzerklärung anpassen. Dazu müssen sie

  • Nutzer über die Erhebung, Speicherung und Verarbeitung ihrer Daten durch Google Analytics aufklären,
  • auf die Auftragsdatenverarbeitung mit Google hinweisen,
  • auf die Anonymisierung der IP über Googles „anonymizeIp“ verweisen und
  • User auf die Möglichkeit hinweisen, der Datenerhebung zu widersprechen.

Rechtsprechung zu Google Analytics

Das Landgericht Hamburg hat am 10.03.2016 entschieden: Webseitenbetreiber dürfen Google Analytics nur nutzen, wenn sie in ihrer Datenschutzerklärung ausführlich darüber informieren, dass und wie sie über Analytics User-Daten erheben und speichern (312 O 127/16). Das Gericht hat diesen Beschluss am 09.08.2016 in einem Urteil bestätigt (Az. 406 HKO 120/16) und noch einmal klar gemacht: Klären Webseitenbetreiber nicht über die Datennutzung über Google Analytics auf, erfüllen sie nicht die Anforderungen des deutschen Datenschutzes.

Google Analytics Auftragsdatenverarbeitung

Bei einer Auftragsdatenverarbeitung beauftragt ein Unternehmen einen externen Dienstleister damit, weisungsgebunden personenbezogene Daten zu verarbeiten. Personenbezogene Daten liegen immer dann vor, wenn diese Daten einer bestimmten Person zugeordnet werden können. Das heißt: Können Unternehmen Informationen wie

  • Name und Anschrift,
  • Telefonnummer,
  • E-Mail oder
  • Kontonummer

einer Person zuordnen, handelt es sich um personenbezogene Daten. Für die Praxis bedeutet das: Nutzen Webseitenbetreiber Google Analytics, nimmt Google für sie eine Auftragsdatenverarbeitung vor. Denn: Webseitenbetreiber erheben über Google Analytics mit jedem Besucher zahlreiche Daten zur Aktivität, Verweildauer und dem Profil des Users. Google gibt ihnen dazu verschiedene Tools und Parameter an die Hand, mit deren Hilfe sie die gewonnenen Informationen auswerten und ihre Seite optimieren können. Google handelt daher im Auftrag der Seitenbetreiber, die Informationen für sie weisungsgebunden zu verarbeiten.

Voraussetzungen für eine rechtskonforme Auftragsdatenverarbeitung mit Google

Bei einer Auftragsdatenverarbeitung bleibt die Verantwortung, die Daten der User zu schützen, bei dem beauftragenden Unternehmen. Webseitenbetreiber müssen also dafür sorgen, dass sie bei einem Einsatz von Google Analytics deutsche Datenschutzbestimmungen erfüllen.

Grundlage für eine Auftragsdatenverarbeitung ist ein Vertrag zwischen Webseitenbetreiber und Google, gemäß § 13 Bundesdatenschutzgesetz (BDSG). Dies schreibt derzeit auch vor, welche Inhalte in den Vertrag gehören. Mit dem Start der Datenschutz-Grundverordnung am 25. Mai gibt es dann eine neue gesetzliche Basis, die den Inhalt des Vertrags zur Auftragsdatenverarbeitung bestimmt. Dazu gehört dann u. a.

  • Gegenstand und Dauer der Datenverarbeitung,
  • Art und Zweck der Verarbeitung,
  • die Art der personenbezogenen Daten,
  • die Kategorien betroffener Personen sowie
  • die Pflichten und Rechte der Verantwortlichen.

Seitenbetreiber müssen den Vertrag schriftlich ausfüllen und an Google schicken. Mit Beginn der neuen DSGVO können sie den Vertrag mit weniger Aufwand abschließen. Dann können Webseitenbetreiber den Vertrag in den Google-Analytics-Einstellungen elektronisch bestätigen.
Daneben müssen Webseitenbetreiber die Auftragsdatenverarbeitung in ihre Datenschutzerklärung aufnehmen. Dazu müssen sie User informieren, dass sie mit Google einen Vertrag zur Auftragsdatenverarbeitung geschlossen haben und erklären, was dieser bedeutet.

Das droht Webseitenbetreibern bei Nichtbeachtung dieser Pflichten

Erfüllen Webseitenbetreiber nicht die Anforderungen an eine Auftragsdatenverarbeitung, begehen sie eine Ordnungswidrigkeit. Ihnen droht dann ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Rechtsprechung zur Google Analytics Auftragsdatenverarbeitung

Allein zur Auftragsdatenverarbeitung findet sich bisher noch keine Rechtsprechung. Das Landgericht Hamburg hat am 09.08.2016 jedoch festgestellt, dass Webseitenbetreiber User in ihrer Datenschutzerklärung darüber aufklären müssen, wie, warum und in welchem Umfang sie Daten über Google Analytics erheben und verarbeiten (Az. 406 HKO 120/16).

Das heißt für die Praxis: Webseitenbetreiber müssen Nutzer in vollem Umfang darüber informieren, was mit ihren Daten passiert. Dazu gehört daher auch ein Hinweis auf die Auftragsdatenverarbeitung mit Google.
Und: Erheben Webseitenbetreiber über Google Analytics IP-Adressen, handelt es sich um personenbezogene Daten, wenn sie über die Mittel verfügen, die hinter der IP-Adresse stehenden Personen zu identifizieren. Das hat der Europäische Gerichtshof am 19.10.2016 entschieden (C-582/14). Da Google Analytics auch IP-Adressen ausliest, sammeln Webseitenbetreiber damit personenbezogene Daten, die sie im Vertrag zur Auftragsdatenverarbeitung ansprechen müssen.

Google Analytics Demografische Merkmale

Webseitenbetreiber können über Google Analytics viel über ihre User lernen. Das Tool zeigt ihnen, woher Nutzer kommen, was sie auf der Seite machen und wie lange sie darauf verweilen. Das Feature „Demografische Merkmale“ in Google Analytics geht dabei ins Detail: Seitenbetreiber können darüber auch das Alter, Geschlecht und generelle Interessen der User auslesen, speichern und bewerten.

Datenschutzproblematik bei Google Analytics Demografische Merkmale

Google betreibt ein riesiges Werbenetzwerk: Dazu sammelt und speichert der Konzern User-Daten u. a. aus dem Google-Display-Netzwerk, aus Google Accounts, Google-Suchen und G-Mail-Konten. Daneben kauft Google Daten über Drittanbieter ein. Das Resultat: Das Unternehmen verfügt über einen umfangreichen Datensatz zu Millionen von Internetusern. Auf einen Teil dieser Daten können Webseitenbetreiber dann über das Feature „Demografische Merkmale“ in Google Analytics zugreifen und daraus ein ausführliches Profil ihrer Seitenbesucher erstellen. Auf diese Weise können sie Rückschlüsse auf relevante Fragen ziehen, wie:

  • Kaufen eher Männer oder eher Frauen meine Produkte?
  • Geben ältere User mehr Geld aus?
  • Welche Altersgruppe besucht meine Webseite vorwiegend?

Damit verfügen Webseitenbetreiber über jede Menge personenbezogene Daten zu ihren Besuchern. Damit sie diese Daten verwenden dürfen, müssen sie ihre Datenschutzerklärung entsprechend anpassen. Worauf müssen sie hierbei achten?

Google Analytics Demografische Merkmale rechtssicher verwenden

Webseitenbetreiber sollten User in ihrer Datenschutzerklärung ausführlich darüber aufklären, dass sie die Funktion „Demografische Merkmale“ in Google Analytics verwenden. In diesem Kontext sollten sie erwähnen, dass sie dazu Daten aus dem Google-Display-Netzwerk nutzen. Darüber hinaus ist es notwendig, Usern in der Datenschutzerklärung die Möglichkeit zu geben, der Datenerhebung und -nutzung zu widersprechen.

Rechtsprechung zu Google Analytics

Das Landgericht Hamburg hat am 09.08.2016 festgestellt: Webseitenbetreiber müssen User ausführlich darüber aufklären, wie und warum sie Daten von ihnen über Google Analytics erheben (Az. 406 HKO 120/16). Das heißt für die Praxis: Nutzen Webseitenbetreiber in Google Analytics auch das Feature „Demografische Merkmale“, müssen sie Nutzer hierzu ebenfalls informieren. Kommen sie dieser Pflicht nicht nach, ist die Datenschutzerklärung unvollständig und damit unzulässig.

Google Analytics IP-Anonymisierung und Datenschutzerklärung

Google Analytics ermöglicht es Webseitenbetreibern, zahlreiche Daten zu ihren Besuchern zu sammeln und zu bewerten. Das wiederum lässt sie ihre Seite optimieren. Bisher haben Webseitenbetreiber in diesem Rahmen auch die IP-Adresse von Nutzern abgespeichert und diese an Google in die USA weitergeleitet. Über die neue Funktion „anonymizeIp“ in Google Analytics können sie IPs seit kurzem anonymisieren.

IP-Adressen und Datenschutz

Datenschützer gehen davon aus, dass IP-Adressen als personenbezogene Daten einzustufen sind. Diese dürfen Seitenbetreiber jedoch nur erheben, wenn sie die Zustimmung der User dazu haben. In der Regel liegt diese Einwilligung jedoch nicht vor, da dies einen enormen Zusatzaufwand für die Seitenbetreiber bedeuten würde. Die Erhebung der IP-Adressen widerspricht daher nach Ansicht von Datenschützern deutschen Bestimmungen.

So können Webseitenbetreiber rechtssicher IP-Adressen erheben

Um diese Problematik zu lösen, hat Google vor kurzem die Funktion „anonymizeIp“ bei Google Analytics hinzugefügt. Webseitenbetreiber können jetzt die IP-Adressen ihrer Besucher verkürzen. Die Funktion löscht die letzten 8 Bit der IP-Adresse, so dass diese verkürzt und damit anonymisiert ist. Das heißt in der Praxis: Seitenbetreiber können zwar nach wie vor grob sehen, woher ihre Besucher kommen. Eine genaue regionale Zuordnung ist jedoch nicht mehr möglich.

Um den Datenschutz zu wahren, müssen Seitenbetreiber diesen Vorgang in ihrer Datenschutzerklärung aufführen. Sie müssen darauf verweisen, dass sie die Funktion „anonymizeIp“ verwenden.

Rechtsprechung zu Google Analytics IP-Anonymisierung

Der Europäische Gerichtshof hat am 19.10.2016 festgestellt, dass IP-Adressen personenbezogene Daten darstellen, wenn Seitenbetreiber in der Lage sind, die hinter der IP-Adresse stehende Person zu identifizieren (C-582/14). Am 06.09.2007 hat zudem das Landgericht Berlin entschieden, dass Webseitenbetreiber IP-Adressen nicht ohne die Einwilligung von Usern speichern dürfen (Az. 23 S 3/07).

Die Rechtsprechung zeigt damit: Seitenbetreiber müssen auf die neue Analytics-Funktion „anonymizeIp“ zurückgreifen und die IPs ihrer Nutzer verkürzen, um sich vor Abmahnungen zu schützen.

Google Analytics Remarketing

Google Analytics Remarketing ist ein Feature von Googles Analyse-Tool, das Webseitenbetreiber gezielt Werbung an Nutzer ausspielen lässt, die bereits Interesse durch einen Seitenbesuch gezeigt haben. Auf diese Weise können sie User noch einmal auf ihr Angebote aufmerksam machen. Damit handelt es sich bei Google Analytics Remarketing um ein effektives Marketinginstrument, über das Webseitenbetreiber die Conversion Rate steigern können.

Das ist datenschutzrechtlich problematisch an Google Analytics Remarketing

Google Analytics erhebt und speichert Nutzer-Daten. Webseitenbetreiber erfahren so u. a., welche User mit welcher IP-Adresse welche Seiten aufgerufen haben. Diese Informationen leitet das Tool von Deutschland automatisch an Google in die USA weiter. Welche Daten dabei genau ihren Weg zu Google finden, ist nicht klar. Die Datenschutzbestimmungen von Google geben nur einen kleinen Einblick in den Datentransfer und zeigen nicht eindeutig, welche Informationen Webseitenbetreiber an die Suchmaschine weiterleiten. Auf diese Weise könnten sie personenbezogene Daten an Google schicken, ohne die Zustimmung der User dafür zu haben.

So nutzen Webseitenbetreiber Google Analytics Remarketing rechtssicher

Um Google Analytics Remarketing rechtssicher zu nutzen, sollten Webseitenbetreiber die IP-Adressen der User anonymisieren. Über die bei Google Analytics neu hinzugefügte Funktion „anonymizeIp“ können sie jetzt die letzten Stellen der IPs löschen und so User nicht mehr genau verorten. Seitenbetreiber sollten dann in ihrer Datenschutzerklärung darauf hinweisen, dass sie diese Funktion nutzen und erklären, welchen Zweck sie bedient.

Darüber hinaus sollten sie in ihrer Datenschutzerklärung aufführen,

  • wie sie Google Analytics Remarketing nutzen, um online zu werben,
  • wie Dritte – z. B. Google – die Werbeanzeigen ausspielen,
  • wie Seitenbetreiber und Dritte First-Party Cookies (z. B. Google Analytics) und Third-Party Cookies (z. B. Doubleklick) verwenden, um Werbeanzeigen auf Basis von bisherigen Besuchen auszuspielen,
  • wie Webseitenbesucher die Verwendung von Cookies durch Google deaktivieren können.

Passen Webseitenbetreiber ihre Datenschutzerklärung nicht oder fehlerhaft an, drohen ihnen Bußgelder von bis zu 50.000 Euro.

Rechtsprechung zu Google Analytics Remarketing

Am 10.03.2016 hat das Landgericht Hamburg festgestellt: Seitenbetreiber dürfen Google Analytics nur verwenden, wenn sie in ihrer Datenschutzerklärung darauf hinweisen, wie und warum sie Analytics verwenden und Nutzer-Daten speichern (Az. 312 O 127/16). Diesen Beschluss hat das Gericht wenige Monate später in einem Urteil bestätigt (Urteil vom 09.08.2016 , Az. 406 HKO 120/16). Das heißt für die Praxis: Webseitenbetreiber müssen auch erklären, wie und warum sie Google Analytics Remarketing zum Einsatz bringen.

Google Conversion-Tracking

Kommen Nutzer über eine AdWords-Anzeige auf eine Webseite, setzt Google einen Cookie auf ihren Browser. Dieser Cookie bleibt 30 Tage bestehen. Webseitenbetreiber können so nachvollziehen,

  • über welche Anzeige User auf ihre Seite gekommen sind,
  • welche Seiten sie dort besuchen und
  • ob es zu einer Conversion kommt.

In der Praxis heißt das: Webseitenbetreiber können über Google Conversion-Tracking überprüfen, wie viele ihrer Webseitenbesucher ein Produkt kaufen, einen Newsletter abonnieren oder sich registrieren. Das wiederum zeigt ihnen, wie viel ihnen die bei Google AdWords geschaltete Anzeige eingebracht hat.

Darum ist Google Conversion-Tracking datenschutzrechtlich problematisch

Der von Google gesetzte Cookie erstellt ein anonymes Profil der Webseitenbesucher, das verschiedene Daten zum Userverhalten und zum User selbst sammelt. Anonymisieren Webseitenbetreiber die IP der Nutzer zudem nicht, verfügen sie auch über Informationen zu ihrer genauen Herkunft. Dabei handelt es sich um personenbezogene Daten. Das bedeutet: Webseitenbetreiber können diese Daten einer bestimmten Person zuordnen. Das dürfen sie jedoch nur unter bestimmten Voraussetzungen.

So können Webseitenbetreiber Google Conversion-Tracking datenschutzkonform nutzen

Damit Webseitenbetreiber Google Conversion-Tracking datenschutzkonform nutzen, müssen sie Nutzer über den Einsatz der Cookies informieren und ihre Zustimmung dafür einholen. Das gibt das Telemediengesetz in § 15 Abs. 3 Telemediengesetz (TMG) vor. Gleichzeitig müssen sie Nutzer auch darauf hinweisen, dass sie den Cookies widersprechen können.

In der Regel kommen Webseitenbetreiber dieser Pflicht nach, indem sie einen Cookie-Hinweis einblenden, sobald User ihre Seite betreten. Dieser verweist dann per Link auf die Datenschutzerklärung. Diese wiederum muss Nutzern erklären, wie Googles Conversion-Tracking – und der damit verbundene Cookie-Einsatz – funktioniert. Webseitenbetreiber müssen hierbei sicherstellen, dass auch Laien den Prozess nachvollziehen können.

Rechtsprechung zu Google Conversion-Tracking

Bisher gibt es kein höchstrichterliches Urteil dazu, wie Webseitenbetreiber User über den Einsatz von Cookies informieren müssen. Bisher hat lediglich das Oberlandesgericht Frankfurt entschieden, dass es ausreicht, Nutzer über den Einsatz von Cookies zu informieren und sie dabei auf ihr Widerspruchsrecht (per Opt-Out) hinzuweisen (Urteil vom 17.12.2015, Az. 6 U 30/15). Das bedeutet: Webseitenbetreiber können den Cookie-Hinweis so einblenden, dass User diesen per Klick akzeptieren können. Das letzte Wort ist hier jedoch noch nicht gesprochen. Denn: Aktuell hat der Bundesgerichtshof dem Europäischen Gerichtshof die Frage vorgelegt, ob diese Vorgehensweise ausreicht, um deutsche Datenschutzbestimmungen zu erfüllen. Eine Entscheidung steht hier noch aus.

Google DoubleClick

Google DoubleClick ist ein Tool für Vermarkter, Werbetreibende und Werbenetzwerke, um personalisierte Werbung an User auszuspielen. DoubleClick ermöglicht es dabei, Anzeigen und Kampagnen zu planen, durchzuführen, zu verwalten und auszuwerten. Dies geschieht auf der Basis von Daten, die Google über Tracking gewinnt. Google DoubleClick ermöglicht es Unternehmen so, ihre Webseite zu monetarisieren.

Darum ist Google DoubleClick datenschutzrechtlich problematisch

Google DoubleClick setzt ein spezielles Cookie-Script ein. Dies zeichnet unter anderem

  • die Zahl von Seitenaufrufen,
  • das Surfverhalten der Nutzer auf der Seite,
  • die IP-Adresse der User,
  • zuvor besuchte Seiten und
  • für die Suche verwendete Keywords

auf. Dabei ist nicht klar, welche dieser Daten bei Google landen. Die Datenschutzbestimmungen von Google gewähren nur einen kleinen Einblick in die Datenübermittlung. Sie verraten nicht eindeutig, welche Informationen der User an Google gehen. Klar ist: Google ordnet die gesammelten Informationen Usern zu. Wenn diese über einen Account bei Google verfügen, verknüpft die Suchmaschine die gewonnenen Daten mit den im Google-Konto verfügbaren Informationen.

Für Webseitenbetreiber heißt das: Verwenden sie Google DoubleClick, erheben sie von Usern personenbezogene Daten, ohne dafür ihre Zustimmung zu haben. Und: Sie leiten diese Daten ohne Erlaubnis der User an Google in die USA weiter. Dort genießen die Daten nicht mehr den Schutz der Datenschutz-Grundverordnung.

Wie können Webseitenbetreiber Google DoubleClick datenschutzkonform verwenden?

DoubleClick erhebt bereits Nutzerdaten, sobald User eine Webseite betreten. Sie müssen daher User über einen Cookie-Hinweis über die Datenerhebung informieren. Darüber hinaus sollten Seitenbetreiber in ihrer Datenschutzerklärung darauf hinweisen,

  • dass und wie sie Google DoubleClick verwenden,
  • wie Dritte – z. B. Google – Werbeanzeigen ausspielen können,
  • wie sie Cookies von DoubleClick verwenden, um Werbeanzeigen auf Basis von bisherigen Visits auszuspielen und
  • wie User den Einsatz von Cookies durch Google deaktivieren können.

Wenn Webseitenbetreiber ihre Datenschutzerklärung nicht anpassen, drohen ihnen Bußgelder von bis zu 50.000 Euro.

Datenschutzerklärung und Google Maps

Google Maps ist ein Online-Kartendienst, über den Nutzer Straßenkarten sowie Luft- und Satellitenbilder aufrufen können. Gleichzeitig können sie darüber Routen planen und durch die Freigabe ihres Standorts ihre eigene Position ermitteln und Dritten anzeigen. Webseitenbetreiber nutzen Google Maps oftmals, um Usern den Sitz ihres Unternehmens auf der Straßenkarte anzuzeigen.

Darum ist Google Maps datenschutzrechtlich bedenklich

Google erfasst jede Aktivität, die User über Maps vornehmen. Das können bestimmte Orte, berechnete Routen, Geschäfte und Institutionen sein, die sich Nutzer über Maps anschauen. Diese Daten erhebt, speichert und verarbeitet Google.Dazu setzt Google ein so genanntes NID-Cookie. Das geschieht auch, wenn User nicht direkt auf Google Maps unterwegs sind, sondern auf einer Webseite, die Google Maps über eine API eingebunden hat. Auch hier sammelt und verwendet Google alle Daten der Funktionen von Google Maps, auf die User zurückgreifen.

Welche Daten das genau sind, ist nicht eindeutig bestimmbar. Die Datenschutzbestimmungen von Google geben nur einen kleinen Einblick in den Umgang mit User-Daten. Sie zeigen nicht konkret, welche Daten Google über Maps erhebt und verarbeitet. Nutzen User Funktionen wie Google Maps Echtzeit und geben sie somit ihren Live-Standort frei, gehen Datenschützer davon aus, dass Google personenbezogene Daten sammelt. Webseitenbetreiber, die Google Maps auf ihrer Seite eingebunden haben, leiten daher Daten an Google in die USA weiter, ohne die Zustimmung der User dafür zu haben.

Können Webseitenbetreiber Google Maps datenschutzkonform verwenden?

Damit Webseitenbetreiber Google Maps rechtssicher in ihre Webseite einbinden können, ist eine Einwilligung der Nutzer zu empfehlen. Die Mindestanforderung ist aber, auf die Nutzung von Google Maps in der Datenschutzerklärung ausführlich hinzuweisen. Sie sollten Usern in der Datenschutzerklärung in möglichst einfacher Sprache erklären, wie, warum und in welchem Umfang sie Daten für die Verwendung von Google Maps erheben und an Google in die USA weiterleiten. Verweist ihre Datenschutzerklärung nicht oder nur unzureichend auf den Einsatz von Google Maps, drohen ihnen Bußgelder von bis zu 50.000 Euro.

Rechtsprechung zur Datenschutzerklärung und Google Maps

Zur Frage "Datenschuterklärung und Google Maps" gibt es bisher – soweit ersichtlich – keine Rechtsprechung. Das Landgericht Hamburg hat jedoch bereits zwei Mal entschieden, dass Webseitenbetreiber Google Analytics nur nutzen dürfen, wenn sie in ihrer Datenschutzerklärung ausführlich darüber informieren. Tun sie das nicht, verstoßen sie gegen deutsches Datenschutzrecht (Urteile vom 10.03.2016 und 09.08.2018, Az. 312 O 127/16 und 406 HKO 120/16.

Diese Urteile könnten analog auf den Einsatz von Google Maps Anwendung finden. Das heißt für die Praxis: Klären Webseitenbetreiber in ihrer Datenschutzerklärung User nicht darüber auf, wie und warum sie Google Maps nutzen, verstoßen sie gegen deutsche Datenschutzbestimmungen.

Google Meet

Google Meet ein Tool innerhalb der G-Suite, über das User online kommunizieren und kollaborieren können. Es richtet sich an Unternehmen. Sie können darüber Videokonferenzen mit bis 100, 150 oder 250 Teilnehmern abhalten (je nach G-Suite-Konto). Daneben können sie Live-Streams für bis zu 100.000 Zuschauer ausstrahlen, Textnachrichten und Dateien verschicken und gemeinsam an Dokumenten, Tabellen, Formularen und Präsentation arbeiten.

Warum ist Google Meet datenschutzrechtlich relevant?

Google Meet erhebt und speichert verschiedene, personenbezogene Daten der Gesprächsteilnehmer. Dazu zählen unter anderem

  • IP-Adressen,
  • E-Mail-Adressen und
  • Gerätenamen.

Daneben greift Google auf die Gesprächsinhalte zurück. Dabei speichert es zum Beispiel gesendete Dateien und Chatverläufe. Welche Daten Google genau speichert, hängt davon ab, wie User Meet nutzen. Bei vielen der erhobenen Daten handelt es sich um personenbezogene Daten. Unternehmen müssen daher besondere Schutzpflichten erfüllen.

Die gesammelten Daten schickt Google an Server in den USA. Dort sind die Daten nicht durch die Datenschutz-Grundverordnung (DSGVO) geschützt. Unternehmen dürfen die Daten von Dritten jedoch nur an Google Meet weitergeben, wenn diese in der EU bleiben oder das Empfängerland einen gleichwertigen Datenschutz wie die DSGVO bietet. Google ist beim Abkommen Privacy Shield registriert. Das bedeutet: Die Daten erhalten in den USA einen ähnlichen Schutz wie durch die DSGVO.

Google Meet datenschutzkonform verwenden

Um Google Meet gemäß den Anforderungen der DSGVO zu verwenden, müssen Unternehmen diese Pflichten erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Leiten Unternehmen personenbezogene Daten von Gesprächsteilnehmern an Google Meet weiter, müssen sie vorher einen Vertrag zur Auftragsverarbeitung mit Google abschließen. Diese Pflicht ergibt sich aus Art. 28 DSGVO. Unternehmen schließen diesen Vertrag bei Meet im Rahmen der allgemeinen Nutzervereinbarungen der G-Suite ab.

Dabei sollten sie darauf achten, der der Vertrag aufführt,

  • welche Nutzerdaten Google speichert,
  • warum und wie lange es diese Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Haben Unternehmen mit Google den Vertrag zur Auftragsverarbeitung geschlossen, müssen sie das in ihrer Datenschutzerklärung angeben. Dabei sollten sie

  • die Anschrift von Google,
  • den Zweck der Verarbeitung der Nutzerdaten,
  • die Rechtsgrundlage der Datenverarbeitung nach der DSGVO,
  • die Speicherdauer der Daten und
  • die Widerspruchsmöglichkeit gegen die Datenerhebung

aufführen.

Datensparsamkeit beachten

Unternehmen sollten bei Google Meet nur die Daten erheben, die sie von ihren Gesprächsteilnehmern tatsächlich benötigen. Nur so können sie den Grundsatz der Datensparsamkeit der DSGVO erfüllen. In der Praxis sollten sie so zum Beispiel Besprechungen nicht aufzeichnen. Wollen Unternehmen eine Besprechung aufnehmen, muss das

  • einem erlaubten Zweck dienen,
  • geeignet sein, diesen Zweck zu erfüllen und
  • erforderlich sein, diesen Zweck zu erreichen.

Und: Sie dürfen die Daten nur so lange aufbewahren, wie sie sie benötigen.

Rechtsprechung zu Google Meet

Bisher ist, soweit ersichtlich, keine Rechtsprechung zu Google Meet verfügbar. Unternehmen sollten jedoch sicherstellen, dass sie mit Google einen Vertrag zur Auftragsverarbeitung geschlossen haben, bevor sie Google Meet zum ersten Mal verwenden.

Denn: Verstöße werden mit einem Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes geahndet. Die Datenschutzbehörde Hamburg sprach am 17.12.2018 ein Bußgeld aus, weil ein Versandunternehmen keinen Vertrag mit einem beauftragten Dienstleister geschlossen hatte. Es musste daher eine Strafe in Höhe von 5.000 Euro zuzüglich 250 Euro Gebühren zahlen.

Google Pay

Google Pay ist ein Bezahldienst des US-amerikanischen Unternehmens Google. Kunden können mit Google Pay sowohl im Einzelhandel an NFC-fähigen Kassenterminals als auch in Apps und Onlineshops ihre Ware bezahlen. Kunden benötigen dafür lediglich ein Android-Smartphone und die Google-Pay-App.

Darum ist Google Pay datenschutzrechtlich relevant

Nutzen Kunden Google Pay für einen Einkauf, erhält Google unter anderem Daten zu

  • Datum und Uhrzeit des Einkaufs,
  • dem Betrag der Transaktion,
  • dem Händlerstandort,
  • der vom Verkäufer bereitgestellten Beschreibung der gekauften Produkte,
  • dem Namen und der Adresse des Verkäufers und
  • dem Namen und der Adresse des Käufers.

Google behält es sich in seiner Datenschutzerklärung zudem vor, gesammelte Daten an Drittanbieter und Tochtergesellschaften weiterzugeben.

Wie können Händler Google Pay datenschutzkonform verwenden?

Händler, die ihren Kunden Google Pay als Zahlungsvariante zur Verfügung stellen, müssen das in ihrer Datenschutzerklärung aufführen. Dabei müssen sie erklären, welche Daten sie zu welchem Zweck an Google übermitteln. Sie sollten sich dabei jedoch an das Gebot der Datensparsamkeit der Datenschutz-Grundverordnung (DSGVO) halten. Dies gibt vor, dass sie nur die Daten an Google weiterleiten dürfen, die Google unbedingt zur Zahlungsabwicklung benötigt. Händler sollten Nutzer in ihrer Datenschutzerklärung zudem darauf hinweisen, dass sie der Verwendung ihrer Daten jederzeit widersprechen können.

Rechtsprechung zu Google Pay

Bisher liegt – soweit ersichtlich – keine Rechtsprechung zu Google Pay vor.

Google reCAPTCHA und Datenschutzerklärung

Google reCAPTCHA ist ein Dienst von Google, mit dem Webseitenbetreiber überprüfen können, ob es sich bei einem User auf ihrer Seite um einen Menschen oder einen Bot handelt. Das soll sicherstellen, dass keine Bots automatisiert auf der Webseite interagieren.

Es gibt verschiedene Varianten von Google reCAPTCHA:

  • No CAPTCHA reCAPTCHA
    User müssen per Klick ein Häkchen in eine Checkbox setzen, die mit „Ich bin kein Roboter“ betitelt ist
  • Image reCAPTCHA
    User sehen 9 Bildausschnitte, von denen einige dieselben Inhalte aufweisen (beispielsweise Straßenschilder). Diese sollen sie markieren.
  • Text reCAPTCHA
    Nutzer müssen einen einblendeten Text in ein Feld eingeben.
  • Invisible reCAPTCHA
    User müssen keine Aktion mehr selbst durchführen. Google überprüft im Hintergrund der Seite selbst, ob es sich bei dem User um einen Menschen oder einen Bot handelt. Dazu verfolgt Google u. a. Cursor-Bewegungen und die IP-Adresse des Nutzers.

Das ist datenschutzrechtlich bedenklich bei Google reCAPTCHA

Während der Überprüfung durch reCAPTCHA nehmen Webseitenbetreiber und damit Google eine Reihe von Daten des Users auf. So sammelt Google reCAPTCHA u. a. Angaben zur

  • Seite, die reCAPTCHA einbindet,
  • IP-Adresse des Nutzers,
  • eingestellten Sprache im Browser,
  • Bildschirm- und Fensterauflösung,
  • Zeitzone und
  • Installation von Browser Plugins.

Darüber hinaus überprüft Google reCAPTCHA auch, ob im Browser des Users bereits ein Cookie angelegt ist. Ist das nicht der Fall, legt Google ein Cookie an. Das heißt für die Praxis: Google erstellt für reCPATCHA einen Fingerabdruck der User, der auch auf anderen Seite wiedererkannt wird. Damit ist es Google möglich, Nutzer seitenübergreifend zu tracken. Das ist selbst dann möglich, wenn die IP-Adresse wechselt oder Nutzer die Cookies löschen.

Google reCAPTCHA rechtssicher verwenden

Webseitenbetreiber, die Google reCAPTCHA verwenden, müssen in ihrer Datenschutzerklärung ausführlich darüber aufklären, wie und warum sie den Dienst einsetzen. Dabei müssen sie aufführen, welche Daten Google für den Einsatz von reCAPTCHA soweit ersichtlich erhebt und speichert. Dazu zählt auch ein Hinweis darauf, dass Google ein Cookie setzt, um User seitenübergreifend tracken zu können. Das gibt das Telemedienrecht vor. Darüber hinaus müssen Webseitenbetreiber auf die Datenschutzbestimmungen von Google reCAPTCHA hinweisen.

Rechtsprechung zu Google reCAPTCHA

Das Oberlandesgericht Frankfurt hat entschieden, dass es ausreicht, wenn Seitenbetreiber Nutzer mittels Opt-Out-Verfahren über den Einsatz von Cookies informieren (Urteil vom 17.12.2015, Az. 6 U 30/15). Blenden sie also einen Cookie-Hinweis ein, der auf die Datenschutzerklärung verweist, die wiederum den Einsatz von Google reCAPTCHA erklärt, und können User diesen per Klick bestätigen, kommen sie ihrer rechtlichen Pflicht nach.

Ob dieses Vorgehen ausreichend ist, klärt derzeit der Europäische Gerichtshof (EuGH). Der Bundesgerichtshof hat diesem die Frage vorgelegt, ob ein einfacher Opt-Out beim Cookie-Hinweis ausreichend ist. Eine Entscheidung steht hier noch aus.

Darüber hinaus hat der EuGH festgestellt, dass IP-Adressen personenbezogene Daten darstellen, wenn Webseitenbetreiber auf diese Weise die hinter der IP-Adresse stehenden Personen identifizieren können (Urteil vom 19.10.2016, Az. C-582/14). Sind Google oder Webseitenbetreiber dazu in der Lage, erheben sie mittels des reCAPTCHAS personenbezogene Daten. Sie benötigen dafür eine Einwilligung der User. Das Landgericht Berlin hat am 06.09.2007 bestätigt, dass Webseitenbetreiber die Zustimmung der User benötigen, um ihre IP-Adressen zu speichern (Az. 23 S 3/07).

Das Amtsgericht München sieht das etwas differenzierter: In seiner Entscheidung vom 30.09.2008 hat das Gericht entschieden, dass dynamische IP-Adressen keine personenbezogenen Daten darstellen, da sie nicht den Nutzer selbst identifizieren lassen, sondern lediglich den Internetanschluss (Az. 133 C 5677/08). Dieser Ansicht nach könnte die Zustimmung der User für die Speicherung von dynamischen IP-Adressen nicht notwendig sein.

Google Web Fonts und Datenschutzerklärung

Google Web Fonts sind von Google zur Verfügung gestellte Schriftarten, die Webseiten einheitlich Text darstellen lassen. Insbesondere Webseitenbetreiber, die Wordpress nutzen, greifen oftmals auf die Fonts von Google zurück.

Darum sind Google Web Fonts datenschutzrechtlich bedenklich

Damit Google die Schriftarten zur Verfügung stellen kann, laden Webseiten mit jedem Seitenbesuch automatisch die Fonts über einen Server von Google aus den USA. Google liest dann im Gegenzug zahlreiche Daten des Webseitenbesuchers aus. Dazu zählen u. a.

  • der Browser,
  • die Webseite, die der User besucht,
  • das Betriebssystem des Nutzers,
  • die Bildschirmauflösung des Nutzers,
  • die IP-Adresse des Nutzers sowie
  • die Spracheinstellungen des Browsers und
  • die Spracheinstellungen des Betriebssystems des Nutzers.

Die IP-Adresse ermöglicht es Google, den Standort des Webseitenbesuchers zu bestimmen. Dabei handelt es sich jedoch um personenbezogene Daten, die Webseitenbetreiber nicht ohne Zustimmung des Users erheben und an Google weiterleiten dürfen.

Im Zusammenspiel mit den anderen erhobenen Daten ermöglichen es Webseitenbetreiber Google zudem, einen Fingerabdruck des Users zu kreieren, der diesen auf allen weiteren Webseiten wiedererkennt. Datenschützer gehen davon aus, dass Google alle abgerufenen User-Daten speichert und für Tracking verwendet.

So können Webseitenbetreiber Google Web Fonts rechtssicher verwenden

Webseitenbetreiber sammeln über Google Web Fonts personenbezogene Daten, die sie in die USA weiterleiten. Das müssen sie Nutzern in einfacher Sprache in ihrer Datenschutzerklärung vermitteln. Gleichzeitig sollten sie User auf die entsprechenden Nutzungsbedingungen und Datenschutzbestimmungen von Google hinweisen. Auf diese Weise können sie sich ein Bild machen, was mit ihren Daten passiert, sobald diese Deutschland verlassen haben.

Mit der neuen Datenschutzgrundverordnung treffen Webseitenbetreiber am 25. Mai 2018 zudem auf eine neue Herausforderung. Webseiten dürfen dann keine Schriftarten mehr wie Google Web Fonts aus dem EU-Ausland laden. Das heißt für die Praxis: Seitenbetreiber dürfen auf keine Schriftarten mehr zurückgreifen, die nicht von einem Server innerhalb der EU geladen werden. Wollen sie dennoch weiter beispielsweise Googles Web Fonts nutzen, benötigen sie dafür eine Einwilligung der User. Diese müssen sie ihnen per aktiver Zustimmung in Form eines Opt-Ins erteilen.

Google+ Plugin und Datenschutzerklärung

Google+ ist ein soziales Netzwerk der Suchmaschine Google. User können auf der Plattform ein eigenes Profil erstellen und sich mit anderen darüber vernetzen und austauschen. Unternehmen nutzen Google+ als Marketingkanal. Sie verbreiten darüber für ihre Zielgruppe relevante Inhalte, um eine möglichst große Zahl an Followern zu erzeugen. Daraus erhoffen sie sich, den Unternehmenswert zu steigern und mehr Produkte zu verkaufen.

Datenschutzprobleme bei Google+

Google+ speichert die Daten, die User bei der Anmeldung im Netzwerk sowie in ihrem Profil bereitstellen. Das sind zum Beispiel

  • Name,
  • Geburtsdatum,
  • E-Mail-Adresse,
  • Telefonnummer und
  • Interessen.

Darüber hinaus zeichnet Google+ sämtliche im Netzwerk vorgenommenen Aktivitäten des Nutzers auf. So erhebt es Daten zu geschriebenen Posts und Kommentaren, zu abgegeben Likes, angeklickten Videos, angesehener Werbung und geteilten Inhalten.

Zudem sammelt Google+ Informationen zum Standort des Users, benutzten Geräten und der IP-Adresse. Über Cookies gelingt es Google so, ein umfangreiches Daten-Profil seiner Nutzer zu erstellen. Da Google sein soziales Netzwerk eng mit seinen anderen Diensten verknüpft, laufen alle User-Daten letztendlich in einem Google-Konto zusammen. Google+ bringt damit die Datenschutzfragen mit, die Google insgesamt aufweist. Das äußert sich auch in der Datenschutzerklärung des Unternehmens. Es existiert keine eigene Datenschutzerklärung für Google+ selbst. Nutzer müssen einen Blick in die allgemeine Datenschutzerklärung von Google werfen, um sich ein Bild der Erhebung und Verwendung ihrer Daten machen zu können.

Google+ erhebt diese Daten, um seinen Dienst bereitzustellen und zu verbessern. Das heißt für die Praxis: User erleben ein personalisiertes Netzwerk, das auf ihre Interessen zugeschnitten ist. Darüber hinaus nutzt Google die Daten, um Nutzern bei Google+ und in anderen Kanälen personalisierte Werbung zuzuspielen.

Google+ datenschutzkonform verwenden

Unternehmen müssen in ihrem Google+ Account über den Datenschutz aufklären. Dazu müssen sie entweder entsprechende Datenschutzhinweise in ihrem Profil unterbringen oder dort einen Link zu den Datenschutzhinweisen auf ihrer eigenen Webseite platzieren. Darüber hinaus muss auch die eigene Datenschutzerklärung auf den Einsatz von Google+ hinweisen. So erklären sie ihren Nutzern, dass die vorgenommenen Ausführungen auch für Google+ gelten.

Daneben bringt das Social Plugin von Google+, das Webseitenbetreiber auf ihrer Seite integrieren können, datenschutzrechtliche Probleme mit sich. Denn: Klicken User auf das Plugin, um beispielsweise einem geteilten Artikel oder einem Unternehmen ein „+1“ – das Pendant zum Facebook-Like – zu verleihen, geben Nutzer damit automatisch ihre Daten an das Netzwerk weiter. Welche Daten das genau sind, macht Google nicht eindeutig klar. Datenschützer gehen jedoch davon aus, dass es hierbei u. a. um personenbezogene Daten handelt. Webseitenbetreiber benötigen jedoch zunächst die Einwilligung der User, bevor sie derartige Informationen erheben und an Dritte weiterleiten. Das gibt das Bundesdatenschutzgesetz vor. Ein Hinweis in der Datenschutzerklärung ist hierbei nicht ausreichend für Webseitenbetreiber. Holen sie die Erlaubnis nicht ein, drohen ihnen Bußgelder und Schadensersatzansprüche der Betroffenen.

Rechtsprechung zu Google+

Am 09.03.2016 hat das Landgericht Düsseldorf entschieden, dass der auf Webseiten implementierte Facebook Like-Button gegen deutsche Datenschutzbestimmungen verstößt (Az. 12 O 151/15). Diese Entscheidung lässt sich analog auf den „+1“-Button von Google+ übertragen, da dieser den gleichen Datentransfer in Gang setzt wie der Like-Button von Facebook. Derzeit hat der Europäische Gerichtshof die Frage vorliegen, ob Social Plugins wie der Like-Button und der „+1“-Button zulässig sind. Hier ist noch keine Entscheidung gefallen.

GoToMeeting

GoToMeeting ist eine Web- bzw. App-basierte Videokonferenz-Software. Unternehmen können darüber Meetings halten, Webinare geben und über Funktionen wie das Teilen des Bildschirms und einen Fernzugriff mit anderen Teilnehmern kollaborieren. Um wichtige Informationen von Besprechungen zu speichern, können sie Meetings aufnehmen und später noch einmal abspiele

Warum ist GoToMeeting datenschutzrechtlich relevant?

GoToMeeting speichert verschiedene Daten der Teilnehmer. Dazu zählen unter anderem

  • IP-Adressen,
  • E-Mails und
  • Namen.

Zudem erhält das Tool vollen Zugriff auf die Gesprächsinhalte. Welche Daten es genau erfasst, hängt davon ab, wie Unternehmen GoToMeeting verwenden. Bei einem großen Teil der Daten handelt es sich jedoch um personenbezogene Daten. Unternehmen müssen daher umfassende Datenschutzpflichten erfüllen.

GoToMeeting verschickt zudem alle gesammelten Daten an Server in den USA. Der Anbieter ist jedoch durch das EU-US-Privacy-Shield registriert. Das heißt: Die Daten genießen dort einen ähnlichen Datenschutz wie hier durch die Datenschutz-Grundverordnung (DSGVO).

GoToMeeting datenschutzkonform einsetzen

Um Go ToMeeting gemäß der DSGVO zu verwenden, müssen Unternehmen diese Pflichten erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Immer dann, wenn Unternehmen personenbezogene Daten erfassen und diese an Dritte weitergeben, müssen sie mit dem Dritten einen Vertrag zur Auftragsverarbeitung abschließen. Das gibt Art. 28 DSGVO vor. Bei GoToMeeting sammeln Unternehmen Daten ihrer Gesprächsteilnehmer. Sie müssen daher mit GoToMeeting einen entsprechenden Vertrag abschließen. Der Anbieter stellt diesen online zum Download zur Verfügung. Unternehmen sollten darauf achten, dass dieser klärt,

  • welche Nutzerdaten GoToMeeting speichert,
  • wie lange es diese Daten speichert,
  • warum es die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen, die mit Go ToMeeting einen Vertrag zur Auftragsverarbeitung abgeschlossen haben, müssen Webseitenbesuchern das in ihrer Datenschutzerklärung mitteilen. Dabei müssen sie aufführen,

warum sie welche Nutzerdaten speichern,

wie lange sie die Daten speichern wollen,

welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und

dass User der Datenerhebung und Datenspeicherung jederzeit widersprechen können.

GoToMeeting datensparsam verwenden

Unternehmen sollten bei der Verwendung von Go ToMeeting den Grundsatz der Datensparsamkeit beachten. Das heißt: Sie sollten die Software so konfigurieren, dass sie möglichst wenige Daten der Teilnehmer erheben und speichern. Dazu sollten sie zum Beispiel Besprechungen nicht aufzeichnen. Zudem sollten sie Funktionen wie den Fernzugriff standardmäßig deaktiviert haben.

Wollen Unternehmen Inhalte aus Besprechungen aufzeichnen, muss das

  • einem erlaubten Zweck dienen,
  • geeignet sein, diesen Zweck zu erfüllen und
  • erforderlich sein, diesen Zweck zu erreichen.

Sie dürfen die Daten zudem nur so lange aufbewahren, wie sie diese tatsächlich benötigen.

Rechtsprechung zu GoToMeeting

Bisher gibt es, soweit ersichtlich, keine Rechtsprechung zum Thema Go ToMeeting und Datenschutz. Unternehmen sollten jedoch sicherstellen, dass sie mit dem Anbieter einen Vertrag zur Auftragsverarbeitung geschlossen haben. Die Datenschutzbehörde Hamburg hat in diesem Kontext bereits ein Bußgeld ausgesprochen.

So musste im Dezember 2018 ein Versandunternehmen ein Bußgeld in Höhe von 5.000 Euro zahlen, da es mit einem beauftragten Dienstleister keinen entsprechenden Vertrag geschlossen hatte.

Hinweis zu Auskunft, Sperrung, Berichtigung und Löschung

Das Bundesdatenschutzgesetz (BDSG) ermöglicht es Bürgern, Auskunft über personenbezogene Daten einzuholen, diese zu berichtigen, zu sperren oder löschen zu lassen. Dieses Recht bezieht sich auf Daten, die öffentliche und nichtöffentliche Stellen in dem ihnen erlaubten gesetzlichen Rahmen eingeholt haben. Grundsätzlich sind Stellen dazu verpflichtet, ihre Datenbestände zu überprüfen. Um Usern jedoch ein Kontrollrecht einzuräumen, hat der Gesetzgeber entsprechende Rechte in das BDSG aufgenommen.

Auskunftsrecht

Wollen User wissen, welche Daten von ihnen gespeichert sind, können sie gemäß §§ 19, 34 BDSG Auskunft darüber verlangen. Sie können dann auch überprüfen, ob ihre erhobenen Daten Fehler aufweisen, veraltet sind oder für falsche Zwecke eingesetzt werden.

Berichtigung, Löschung und Sperrung

§ 20 (für öffentliche Stellen) sowie § 35 BDSG (für nichtöffentliche Stellen) legen fest, wann Bürger einen Anspruch haben, ihre Daten zu berichtigen, löschen oder sperren.

Berichtigung

User können ihre Daten korrigieren lassen, wenn diese eindeutig falsch oder veraltet sind.

Löschung

User können Daten löschen lassen, wenn eine öffentliche oder nichtöffentliche Stelle nicht die Erlaubnis hatte, die Daten zu erheben. Darüber hinaus haben sie auch einen Anspruch darauf, wenn die Daten keinen Zweck mehr erfüllen oder die Speicherfrist für die Daten abgelaufen ist. Nichtöffentliche Stellen – wie z. B. Wirtschaftsunternehmen, Verbände und Vereine – müssen Daten auf Antrag der User löschen, wenn sie besondere personenbezogene Daten erhoben haben, wie politische oder religiöse Ansichten oder die ethnische Herkunft.

Sperrung

Kommt eine Löschung der Daten nicht infrage, können User ihre Daten sperren lassen. Das ist möglich, wenn Aufbewahrungsfristen eine Löschung nicht erlauben oder eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigen würden. Eine Sperrung kommt auch dann infrage, wenn das Löschen der Daten der verantwortlichen Stelle zu viel Aufwand bescheren würde.

Das ändert sich mit der Datenschutzgrundverordnung (DSGVO)

Die DSGVO übernimmt die Rechte des BDSG auf Berichtigung, Löschung und Sperrung von personenbezogenen Daten. Konkret normieren dann folgende Artikel das Kontrollrecht der Bürger:

  • Art. 16 DSGVO: Recht auf Berichtigung von Daten
  • Art. 17 DSGVO: Recht auf Löschung von Daten („Recht auf Vergessenwerden“)
  • Art. 18 DSGVO: Recht auf Einschränkung der Verarbeitung von Daten (entspricht in etwa der „Sperrung“)

Das neue Gesetz bringt Usern damit ähnliche Rechte wie das BDSG. Lediglich die Löschung von Daten hat der Gesetzgeber etwas erweitert: So müssen Verantwortliche, die personenbezogene Daten veröffentlicht haben und für die nun ein Löschantrag vorliegt, weitere Verantwortliche, die diese Daten ebenfalls verarbeitet haben, über die Löschung informieren.

Hinweis zu Auskunft, Löschung und Sperrung

Webseitenbetreiber müssen in ihrer Datenschutzerklärung darauf hinweisen, dass User Auskunft über sie erhobene personenbezogene Daten einholen können. Darüber hinaus müssen sie Nutzer über ihr Recht aufklären, personenbezogene Daten berichtigen, sperren oder löschen lassen zu können – sofern das Gesetz oder ein geschlossener Vertrag dies erlaubt.

Datenschutzerklärung und Hotjar

Hotjar ist ein Analyse-Tool, über das Webseitenbetreiber das Online-Verhalten ihrer User auswerten können. Mögliche Werkzeuge, die die Plattform bietet, sind Heatmaps, User-Umfragen und Funnel-Tracking. Darüber können Webseitenbetreiber zum Beispiel Klicks, Scroll-Höhen und Mausbewegungen der Nutzer offenlegen. Mit den gewonnenen Daten können sie die Funktionalität und Nutzerfreundlichkeit ihrer Webseite verbessern.

Darum ist Hotjar datenschutzrechtlich relevant

Hotjar verwendet Cookies und Tracking-Codes, um Userdaten für Webseitenbetreiber zu erheben. Dabei sammeln die Tracking-Codes unter anderem

  • die IP-Adresse des Endgeräts,
  • den Endgerätetyp,
  • die Größe des Endgerätebildschirms,
  • den geografischen Standort,
  • die verwendete Sprache auf der Webseite,
  • die verweisende Domain und
  • Datum und Zeit des Webseitenbesuchs.

Hotjar gibt selbst an, die IP-Adresse der User anonymisiert zu speichern. Dazu erhebt es nur die ersten 3 Achtbitzeichen der IP, um das Land des Besuchers bestimmen zu können. Die restlichen Zeichen speichert Hotjar nicht. Darüber hinaus gibt Hotjar an, alle gewonnenen Daten auf Servern in Irland abzulegen. Damit befinden sich die Daten in der EU, so dass Webseitenbetreiber die Vorgaben der Datenschutz-Grundverordnung (DSGVO) erfüllen können.

So können Webseitenbetreiber Hotjar rechtssicher nutzen

Damit Webseitenbetreiber Hotjar rechtssicher nutzen können, müssen sie diesen Pflichten nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Nutzen Webseitenbetreiber Hotjar, erhält die Plattform Zugriff auf Userdaten. § 28 DSGVO schreibt dafür vor: Seitenbetreiber müssen einen Vertrag zur Auftragsverarbeitung abschließen. Darin müssen sie bestimmen,

  • welche Nutzerdaten sie wie lange speichern wollen,
  • warum und wie sie die Daten verarbeiten und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Hotjar bietet seinen Kunden die Möglichkeit, ein Data Processing Agreement zu unterzeichnen, das die Verwaltung der Userdaten der Webseitenbetreiber regelt. Ein deutscher Vertrag ist nach aktuellem Stand nicht verfügbar.

Datenschutzerklärung aktualisieren

§ 13 Abs. 1 DSGVO gibt vor: Webseitenbetreiber müssen in ihrer Datenschutzerklärung aufführen, wie sie Userdaten über Hotjar erheben, speichern und verarbeiten. Dazu müssen sie angeben, welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO). Und: Sie müssen Nutzer darauf hinweisen, dass sie jederzeit der Datenerhebung widersprechen können.

Rechtsprechung zu Hotjar

Bisher ist nicht höchstrichterlich geklärt, wie Webseitenbetreiber über die Nutzung von Cookies aufklären müssen. Das Oberlandesgericht (OLG) Frankfurt hat am 17.12.2015 entschieden: Es reicht aus, wenn User per Opt-Out in die Verwendung von Cookies einwilligen. Das bedeutet: Webseitenbetreiber zeigen Nutzern einen Hinweis zu Cookies mit einem bereits vorangekreuzten Häkchen an, so dass sie das nur noch mit einem Klick auf den „OK“-Button bestätigen müssen. Der Bundesgerichtshof hat jedoch dem Europäischen Gerichtshof (EuGH) die Frage vorgelegt, ob diese Vorgehensweise datenschutzrechtlich ausreichend ist. Der EuGH-Generalanwalt kam dabei zu dem Schluss, dass das Opt-Out-Verfahren die Anforderungen an den europäischen Datenschutz nicht erfüllt. Die Entscheidung des EuGH steht noch aus.

Das Landgericht (LG) Hamburg hat am 10.03.2016 in einem Beschluss festgestellt, dass Webseitenbetreiber Google Analytics nur verwenden dürfen, wenn sie in ihrer Datenschutzerklärung erklären, wie sie dabei Nutzerdaten erheben und speichern (312 O 127/16). Am 09.08.2016 hat das Gericht diesen Beschluss in einem Urteil noch einmal bestätigt (Az. 406 HKO 120/16). Es handelt sich bei Hotjar wie bei Google Analytics um ein Analysetool für Webseitenbetreiber. Die Entscheidung des LG Hamburg gilt daher auch für Hotjar.

HubSpot CRM

HubSpot CRM ist ein Tool für das Customer Relationship Management. Unternehmen können darüber bis zu einer Million Kunden und Kontakte verwalten. Dabei visualisiert das Tool Verkäufe in einem Dashboard. Unternehmen können diese nach relevanten Kenngrößen sortieren und nach eigenen Vorgaben vergleichen. Sie können so unter anderem mehr Leads generieren, ihren Vertrieb beschleunigen und das Kundenerlebnis verbessern.

Darum ist HubSpot CRM datenschutzrechtlich relevant

Unternehmen erheben über HubSpot CRM verschiedene Nutzerdaten. Dazu zählen zum Beispiel

  • Kundennamen,
  • Adressen und
  • E-Mail-Adressen.

Zudem speichern sie über das Tool zum Teil auch IP-Adressen, die je nach Einstellung anonymisiert abgelegt werden. Um all diese Daten auszuwerten, können Unternehmen pseudonymisierte Nutzerprofile erstellen. Sie erheben und speichern so personenbezogene Daten. Sie müssen daher besondere datenschutzrechtliche Pflichten erfüllen.

HubSpot CRM datenschutzkonform nutzen

Um HubSpot CRM datenschutzkonform nutzen zu können, müssen Seitenbetreiber diese Anforderungen erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen, die personenbezogene Daten erheben und an Dritte weitergeben, müssen mit diesen einen Vertrag zur Auftragsverarbeitung abschließen. Das schreibt ihnen Artikel 28 Datenschutz-Grundverordnung (DSGVO) vor. Erheben Unternehmen Nutzerdaten über das Tool HubSpot CRM, geben sie diese an einen Dritten weiter. Sie müssen daher mit HubSpot einen Vertrag zur Auftragsverarbeitung abschließen. Dabei sollten sie im Vertrag aufführen,

  • welche Nutzerdaten HubSpot erhält und speichert,
  • wie lange der Anbieter diese speichert,
  • warum er die Daten verarbeitet und speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Erheben Unternehmen über Hubspot CRM personenbezogene Daten, werden diese an den Anbieter in den USA übertragen. Das müssen sie in ihrer Datenschutzerklärung erwähnen. Darüber hinaus sollten sie ihre User auch auf die Datenschutzbestimmungen und Nutzungsbedingungen von HubSpot CRM hinweisen. Nutzer können sich dann selbst informieren, was mit ihren Daten in den USA passiert.

Hinweise auf den Privacy Shield sollten Seitenbetreiber aus ihrer Datenschutzerklärung entfernen. Denn: Der Europäische Gerichtshof (EuGH) hat diesen für unwirksam erklärt. Und: Unternehmen müssen in ihrer Datenschutzerklärung darauf hinweisen, dass sie mit HubSpot CRM einen Vertrag zur Auftragsverarbeitung geschlossen haben. In diesem Kontext sollten sie erklären,

  • warum sie personenbezogene Daten erheben,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass User der Datenerhebung und Datenverarbeitung jederzeit widersprechen können.

Standardvertragsklauseln prüfen

Bisher konnten Unternehmen den Privacy Shield als rechtliche Grundlage verwenden, um Daten von der EU in die USA zu übertragen. Das ist durch die Entscheidung des EuGH nicht mehr möglich. Die DSGVO erlaubt es jedoch nicht, personenbezogene Daten zu verarbeiten und weiterzugeben, wenn in dem Drittland kein angemessenes Datenschutzniveau herrscht. In den USA ist das aktuell nicht der Fall, so die Einschätzung des EuGH. Es ist daher unklar, ob Unternehmen Standardvertragsklauseln nutzen können, um Daten rechtskonform an HubSpot in die USA zu übersenden. Damit ist auch nicht abschließend geklärt, ob Unternehmen HubSpot datenschutzkonform nutzen können.

Rechtsprechung zu HubSpot CRM

Geben Unternehmen personenbezogene Daten an Dritte weiter und schließen sie keinen Vertrag zur Auftragsverarbeitung ab, droht ihnen ein Bußgeld. Das kann laut Gesetz bei bis zu 10 Millionen Euro oder alternativ bei bis zu 2 Prozent des weltweiten Jahresumsatzes liegen. Die Datenschutzbehörde Hamburg sprach am 17.12.2018 ein Bußgeld in Höhe von 5.000 Euro zuzüglich Gebühren von 250 Euro gegen ein Versandunternehmen aus. Dies hatte mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen.

Der EuGH entschied im Juli 2020: Der Privacy Shield ist unwirksam. Er kann nicht als rechtliche Grundlage für Datentransfers zwischen der EU und der USA dienen (Az. C-311/18). Das heißt: Unternehmen in Deutschland können sich nicht mehr auf den Privacy Shield berufen, um personenbezogene Daten an Dritte außerhalb der EU zu versenden.

Datenschutzerklärung und Instagram Plugin

Instagram ist ein Online-Dienst zum Teilen von Fotos und Videos. User können in dem Netzwerk anderen Usern folgen, Bilder und Videos posten sowie Medien von anderen Nutzern liken und kommentieren. Unternehmen verwenden Instagram, um Einblicke in den Firmenalltag zu geben oder neue Produkte zu präsentieren. Sie nutzen das Netzwerk damit als Marketingkanal, um ihre Zielgruppe mit interessanten Inhalten zu bedienen und sie so zu Followern und letztendlich zu Kunden zu machen.

Diese Daten sammelt Instagram

Instagram erhebt und speichert die Daten, die User bei der Anmeldung angeben. Dazu zählen u. a. der Name, der Nutzername und die E-Mail. Darüber hinaus speichert es alle Aktivitäten, die User im Netzwerk vornehmen. Das können Likes, Kommentare, geteilte Videos und Bilder sowie das Abonnieren von anderen Profilen sein. Welche Daten Instagram genau speichert und in welchem Umfang es diese sammelt, gibt das Netzwerk nicht konkret an. Es nutzt die gewonnenen Daten, um Usern personalisierte Vorschläge zum Abonnieren von neuen Profilen zu machen sowie um ihnen passende Werbeanzeigen einzublenden.

Datenschutzprobleme bei Instagram

Instagram leitet personenbezogene Daten an Werbekunden weiter. Das darf das Unternehmen jedoch nur, wenn es dafür eine informierte und freiwillige Einwilligung der Nutzer hat. In anderen Worten: Usern muss klar sein, dass Instagram ihre Daten an jemanden anderes weitergibt. Instagram versucht zwar in seinen Nutzungsbedingungen, diese Zustimmung einzuholen. Diese bleiben jedoch vage formuliert, so dass sich kaum ein Nutzer bewusst sein dürfte, was mit seinen Daten passiert.
Dritte erreichen die personenbezogenen Daten der User über APIs, von Instagram zur Verfügung gestellte Schnittstellen.Viele dieser Schnittstellen hat Instagram jetzt jedoch abgeschaltet. Die restlichen APIs haben nun eine Begrenzung der Zugriffszahlen auf 200 pro Stunde. Damit hat Instagram auf eine Abmahnung der Verbraucherschutzzentrale reagiert.Haben Webseitenbetreiber das Social Plugin von Instagram auf ihrer Seite implementiert, gibt dies automatisch Daten an das Netzwerk weiter, wenn User daraufklicken. Dabei handelt es sich um personenbezogene Daten wie die IP-Adresse der Nutzer, so dass Webseitenbetreiber eine Einwilligung für die Datenweitergabe benötigen. Dabei reicht es nicht aus, wenn sie in ihrer Datenschutzerklärung darauf hinweisen.

Instagram datenschutzkonform nutzen

Unternehmen, die Instagram rechtssicher nutzen wollen, müssen User auf deutsche Datenschutzbestimmungen hinweisen. Das können sie direkt in ihrem Instagram-Profil vornehmen oder dort einen Link zu den eigenen Datenschutzhinweisen auf der Webseite platzieren. In ihrer Datenschutzerklärung müssen sie Nutzer darauf hinweisen, dass und wie sie Instagram nutzen.
Implementieren Webseitenbetreiber das Social Plugin von Instagram, benötigen sie von Nutzern die Zustimmung, ihre Daten bei Klick auf die Bilder oder Videos an Instagram weiterzuleiten.Dies ist in der Praxis jedoch kaum möglich, so dass Seitenbetreiber auf alternative Plugins wie das eRecht Safe Sharing Tool zurückgreifen sollten. Dies lässt Nutzer Instagram-Content liken und teilen, ohne dass sie dabei ihre Daten an das Netzwerk weiterleiten

Rechtsprechung zu Instagram

Das Landgericht (LG) Düsseldorf hat festgestellt: Der auf Webseiten implementierte Like-Button von Facebook erfüllt nicht die Anforderungen an den deutschen Datenschutz (Urteil vom 09.03.2016, Az. 12 O 151/15). Derzeit muss sich der Europäische Gerichtshof mit der Frage auseinandersetzen, ob der Button zulässig ist. Die Entscheidung dazu steht noch aus. Das Urteil des LG Düsseldorf bezog sich zwar konkret nur auf den Facebook Like-Button. Die Entscheidung lässt sich aber auf alle Social Plugins übertragen. Denn: Auch bei Instagram sendet das Plugin ungefragt Nutzerdaten weiter.

Jitsi Meet

Jitsi Meet ist eine browserbasierte Videochat-Anwendung. Nutzer müssen weder das Programm installieren noch sich anmelden, um den Dienst nutzen zu können. Jitsi Meet ermöglicht Videokonferenzen, Bildschirmübertragungen, eine gemeinsame Dokumentenbearbeitung via Etherpad, Chat und Telefoneinwahl. Als Server können Nutzer entweder einen öffentlichen Server wählen oder einen eigenen Server verwenden.

Darum ist Jitsi Meet datenschutzrechtlich relevant

Jitsi Meet speichert keine Nutzerdaten und Inhalte von Videokonferenzen und Chats. Je nachdem, welchen Server Unternehmen für Jitsi verwenden, kann es jedoch sein, dass der Server-Anbieter die IP-Adresse von Teilnehmern erhebt. Insbesondere die Server von Amazon, Google, Cloudflare und Microsoft gelten dabei als datenschutzrechtlich bedenklich. Greifen Unternehmen auf einen dieser Serveranbieter zurück, könnten sie über Jitsi Meet personenbezogene Daten erheben. Sie sind dann verpflichtet, besondere datenschutzrechtliche Pflichten zu erfüllen.

Jitsi Meet datenschutzkonform verwenden

Um Jitsi Meet datenschutzkonform zu verwenden, sollten Nutzer diesen Vorgaben nachkommen:

Datenschutzerklärung anpassen

Unternehmen sollten in ihrer Datenschutzerklärung angeben, dass sie Jitsi Meet verwenden. Nutzen sie dabei einen eigenen Server für die Anwendung und erheben sie Daten ihrer Gesprächsteilnehmer, sollten sie aufführen,

  • warum sie welche Daten sammeln,
  • wie lange sie die Daten speichern wollen,
  • welche Rechtsgrundlage ihnen die Datenverarbeitung nach der DSGVO erlaubt und
  • dass User der Datenerhebung und Datenverarbeitung jederzeit widersprechen können.

IP-Adressen anonymisieren

Je nach Server kann es sein, dass der Anbieter IP-Adressen speichert. Unternehmen sollten diese daher anonymisieren oder das Logging deaktivieren. Auf diese Weise kann der Serveranbieter den Standort der Gesprächsteilnehmer nicht mehr lokalisieren.

Datensparsamkeit beachten

Verwenden Unternehmen für Jitsi Meet einen eigenen Server und erfassen sie darüber Daten ihrer Gesprächsteilnehmer, müssen sie den Grundsatz der Datensparsamkeit beachten. Die Datenschutz-Grundverordnung schreibt vor, dass die Datenerhebung

  • einem erlaubten Zweck dienen muss,
  • geeignet sein muss, diesen Zweck zu erfüllen und
  • erforderlich sein muss, diesen Zweck zu erreichen.

Erhobene Daten dürfen Unternehmen nur so lange speichern, wie sie diese für den angegebenen Zweck benötigen.

Einen Vertrag zur Auftragsverarbeitung müssen Unternehmen nicht abschließen. Denn: Jitsi Meet ist ein frei nutzbarer Dienst, der keine Daten erhebt und verarbeitet. Unternehmen geben daher keine Daten an Dritte weiter.

Rechtsprechung zu Jitsi Meet

Bisher ist, soweit ersichtlich, keine Rechtsprechung zu Jitsi Meet verfügbar.

Datenschutzerklärung und Klarna

Klarna ist ein schwedischer Zahlungsdienstleister im E-Commerce. Das Unternehmen wickelt den Zahlungsverkehr für Shopbetreiber ab. Auf diese Weise müssen diese Risiken für eventuelle Zahlungsausfälle nicht selbst tragen.

Diese Daten verarbeitet Klarna

Damit Klarna den Zahlungsverkehr für Kunden übernehmen kann, erhebt das Unternehmen verschiedene Daten von ihnen. Dazu zählen

  • Name
  • Adresse,
  • Geburtsdatum,
  • Geschlecht,
  • E-Mail-Adresse,
  • Telefonnummer und
  • IP-Adresse.

Darüber hinaus erhält Klarna alle notwendigen Informationen zu der beim Shopbetreiber eingegangenen Bestellung. Dazu zählen zum Beispiel die Anzahl der Artikel, die Artikelnummer und der Rechnungsbetrag.

Klarna datenschutzkonform verwenden

Damit Webseitenbetreiber Klarna datenschutzkonform in ihren Bestellprozess einbinden, müssen sie User in ihrer Datenschutzerklärung darüber aufklären, zu welchem Zweck sie welche Daten an Klarna weitergeben.Darüber hinaus müssen sie Nutzer auch darauf hinweisen, dass sie die Verwendung ihrer personenbezogenen Daten gegenüber Klarna widerrufen können. Die Daten, die Klarna zur Vertragserfüllung – also zur Zahlungsabwicklung – zwingend benötigt – darf Klarna jedoch weiter verarbeiten, nutzen und übermitteln. Zudem müssen Händler ihren Kunden erklären, dass sie bei Klarna jederzeit Auskunft über ihre gespeicherten personenbezogenen Daten einholen können. Dieses Recht gewährt ihnen das Bundesdatenschutzgesetz.

Klick-Tipp und Datenschutzerklärung

Klick-Tipp ist ein E-Mail-Marketing-Tool, über das Webseitenbetreiber Mailkampagnen organisieren und durchführen können.

Darum ist Klick-Tipp datenschutzrechtlich eine Herausforderung

Webseitenbetreiber erheben über Klick-Tipp verschiedene, zum Teil personenbezogene Daten von Usern, um ihre Mailkampagnen zielgerichtet ausspielen zu können. Dabei müssen sie Gesetzesvorgaben aus dem Bundesdatenschutzgesetz (BDSG), dem Telemediengesetz (TMG) und ab dem 25. Mai aus der Datenschutzgrundverordnung (DSGVO) beachten, um nicht abgemahnt zu werden.

So können Webseitenbetreiber Klick-Tipp datenschutzkonform einsetzen

Damit Webseitenbetreiber über Klick-Tipp rechtmäßig E-Mails versenden dürfen, benötigen sie eine Einwilligung der User in den Versand – und damit in die Speicherung und Verwendung ihrer Daten. Denn: Bei Anmeldungen für den Empfang von Newslettern müssen User personenbezogene Daten wie ihre E-Mail angeben. Die Einwilligung gewährt Webseitenbetreibern, dass sie diese Daten erheben und verwenden dürfen. Fehlt diese Einwilligung, ist die E-Mail-Werbung rechtswidrig. Gleichzeitig sollten Seitenbetreiber Nutzer in der Einwilligung auf ihr Widerspruchsrecht hinweisen.Daneben müssen Webseitenbetreiber in ihrer Datenschutzerklärung User über den Newsletter-Versand über Klick-Tipp informieren. Darin müssen sie ausführlich aufklären, welche Daten sie warum erheben und wie sie diese weiterverarbeiten. Bisher gibt das noch das TMG in § 13 Abs. 1 vor.Ab dem 25.Mai übernimmt dann Art. 13 Abs. 1 DSGVO: Das Gesetz schreibt ab diesem Zeitpunkt vor, dass Unternehmen beim Newsletter-Marketing über Anbieter wie Klick-Tipp in der Datenschutzerklärung

  • über den Zweck, für den sie die personenbezogenen Daten verarbeiten wollen, informieren,
  • die Rechtsgrundlage für die Datenverarbeitung – Art. 6 Abs. 1 UAbs. 1 DSGVO – nennen,
  • über die Dauer, wie lange sie die personenbezogenen Daten speichern wollen, informieren und
  • sie auf ihr Recht hinweisen, die Einwilligung jederzeit widerrufen zu können,
    müssen.

Zusätzlich müssen Webseitenbetreiber mit Klick-Tipp einen Vertrag zur Auftragsdatenverarbeitung abschließen. Bisher regelt § 11 BDSG dies, die DSGVO übernimmt jedoch im Mai auch hier. Ein Vertrag zur Auftragsdatenverarbeitung stellt sicher, dass sich E-Mail-Marketing-Tools wie Klick-Tipp beim Versand von Newslettern an die strengen Vorgaben des Datenschutzrechts halten. Der Vertrag muss u. a.

  • den Gegenstand und die Dauer der Datenverarbeitung,
  • die Art und den Zweck der Verarbeitung,
  • die Art der personenbezogenen Daten,
  • die Kategorien der betroffenen Personen und
  • die Pflichten und Rechte der Verantwortlichen

aufführen. Entspricht die Vereinbarung zur Auftragsdatenverarbeitung nicht den Vorgaben der DSGVO, begehen Webseitenbetreiber eine Ordnungswidrigkeit. Ihnen droht dann gemäß Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent ihres weltweiten Umsatzes des vergangenen Geschäftsjahres.Daneben müssen Seitenbetreiber die Auftragsdatenverarbeitung mit Klick-Tipp in ihre Datenschutzerklärung aufnehmen. Sie müssen Nutzer dabei informieren, dass sie mit Klick-Tipp einen Vertrag zur Auftragsdatenverarbeitung abschlossen haben und erklären, was das für sie und ihre Daten bedeutet.

Datenschutzerklärung und Kommentarfunktion

Zahlreiche Webseiten lassen User nicht nur Inhalte lesen, sondern auch kommentieren. Dazu verfügen die Seiten über eine Kommentarfunktion. Damit Nutzer einen Kommentar schreiben dürfen, verlangen Seitenbetreiber von ihnen in der Regel entweder eine Registrierung oder die Angabe ihrer E-Mail-Adresse. Auf einigen Seiten müssen Nutzer zudem ihren Namen nennen.

Darum ist eine Kommentarfunktion datenschutzrechtlich relevant

Verlangen Webseitenbetreiber für das Schreiben eines Kommentars eine Registrierung auf der Seite oder eine E-Mail-Adresse, erheben sie personenbezogene Daten. Oftmals erfassen sie dabei auch die IP-Adresse des Nutzers. Diese Daten dürfen sie jedoch nur abfragen, wenn sie vorher die Zustimmung der User dafür einholen.

Kommentarfunktion auf der Webseite datenschutzkonform einbinden

Wollen Webseitenbetreiber personenbezogene Daten wie Name und E-Mail-Adresse für das Schreiben eines Kommentars erheben, sollten sie per Opt-In die Einwilligung der User dafür einholen. Das bestimmt Art. 6 Abs. 1 lit. a Datenschutzgrundverordnung (DSGVO). Zusätzlich empfiehlt es sich, in der Kommentarfunktion auf den geltenden Datenschutz hinzuweisen. Dieser Hinweis sollte einen Link zur Datenschutzerklärung aufweisen. Darin sollten Seitenbetreiber das Abfragen der personenbezogenen Daten festhalten. Dazu sollten sie genau aufklären,

  • welche Userdaten sie für die Kommentarfunktion erheben,
  • was sie mit den Daten machen,
  • wie lange sie diese speichern und
  • dass sie die Verantwortung übernehmen, die Daten der Nutzer zu schützen.

Webseitenbetreiber müssen zudem darauf achten, dass die von ihnen erhobenen Daten für den Zweck unbedingt notwendig sind. Das gibt die DSGVO vor.

Das heißt für die Praxis: Sie sollten nur die personenbezogenen Informationen erheben, die sie für das Posten des Kommentars unbedingt benötigen. Welche das bei einer Kommentarfunktion sind, entscheidet der Einzelfall. Grundsätzlich reichen dabei jedoch ein Username und gegebenenfalls eine E-Mail-Adresse aus. Insbesondere personenbezogene Daten wie die IP-Adresse sollten Seitenbetreiber daher in der Kommentarfunktion nicht erheben und speichern. Die erhobenen Daten dürfen sie nur in Zusammenhang mit der Kommentarfunktion verwenden. Erfüllen die Daten des Users keinen Zweck mehr, müssen Seitenbetreiber diese löschen.

Damit die personenbezogenen Daten nicht von Dritten mitgelesen oder abgegriffen werden können, müssen Seitenbetreiber die Übertragung zudem verschlüsseln. Das ergibt sich aus § 13 Abs. 7 TMG. Das können sie mithilfe eines anerkannten Verschlüsselungsverfahrens wie TLS vornehmen.

Rechtsprechung zur Kommentarfunktion

Speichern Webseitenbetreiber die IPs von Usern, nehmen sie personenbezogene Daten auf. Das hat der Bundesgerichtshof am 16.05.2017 entschieden (Az. VI ZR 135/13). Da Seitenbetreiber die IP-Adresse nur in den seltensten Fällen wirklich benötigen, sollten sie dem Grundsatz der Datensparsamkeit folgen und die IP bei der Kommentarfunktion nicht erheben.
Darüber hinaus hat das Oberlandesgericht Köln am 11.03.2016 entschieden, dass es ein abmahnfähiger Wettbewerbsverstoß ist, wenn Seitenbetreiber die Datenerhebung über ein Kontaktformular in ihrer Datenschutzerklärung nicht ansprechen (Az. 6 U 121/15). Dieses Urteil könnte analog für die Kommentarfunktion gelten. Verzichten Seitenbetreiber also auf die Erwähnung der Kommentarfunktion in ihrer Datenschutzerklärung, könnte ebenfalls ein Wettbewerbsverstoß vorliegen.

Kommentarfunktion mit Abonnieren von Kommentaren

Auf zahlreichen Webseiten und Blogs können Nutzer Content nicht nur lesen, sondern auch mit Kommentaren versehen. Haben sie einmal einen Kommentar abgegeben, haben sie oftmals Interesse daran, weitere Reaktionen auf das Thema oder zu ihrem eigenen Kommentar zu lesen. Damit sie diese mitbekommen, können sie sich daher auf vielen Webseiten per E-Mail über neue Kommentare benachrichtigen lassen.

Darum ist das Abonnieren von Kommentaren datenschutzrechtlich relevant

Wollen Nutzer über neue Kommentare benachrichtigt werden, müssen sie ihre E-Mail-Adresse angeben. Bei E-Mail-Adressen handelt es sich um personenbezogene Daten. Diese dürfen Seitenbetreiber jedoch nur abfragen, wenn sie dazu die Einwilligung der Nutzer einholen.

Das Abonnieren von Kommentaren datenschutzkonform anbieten

Seitenbetreiber sollten User per Opt-In der Datenerhebung zustimmen lassen. Das rechtfertigt Art. 6 Abs. 1 lit. a Datenschutzgrundverordnung (DSGVO). Zusätzlich sollten sie die Kommentarfunktion mit einem Datenschutzhinweis versehen. Dieser Hinweis sollte dann per Link auf die Datenschutzerklärung führen. Darin sollten sie User aufklären,

  • dass sie die E-Mail-Adresse speichern,
  • wofür sie die E-Mail-Adresse verwenden,
  • wie lange sie diese speichern und
  • dass sie die Verantwortung übernehmen, diese zu schützen.

Neben der E-Mail sollten Webseitenbetreiber keine weiteren personenbezogenen Daten erheben, um dem Gebot der Datensparsamkeit der DSGVO zu genügen. Zudem sollten sie die E-Mail-Adresse nur dazu verwenden, um den Kommentar des Users zu posten und diesen über weitere Kommentare zu informieren. Sie dürfen die E-Mail für keinen weiteren Zweck verwenden.

Damit Dritte die E-Mail-Adresse von Usern nicht mitlesen können, sollten sie den Datentransfer verschlüsseln. Das gibt § 13 Abs. 7 TMG vor. Dazu bietet sich ein anerkanntes Verschlüsselungsverfahren wie TLS an.

Rechtsprechung zur Kommentarfunktion

Das Oberlandesgericht Köln hat am 11.03.2016 entschieden: Informieren Webseitenbetreiber in ihrer Datenschutzerklärung nicht über die Datenerhebung über ein Kontaktformular, begehen sie einen abmahnfähigen Wettbewerbsverstoß (Az. 6 U 121/15). Diese Entscheidung könnte auch für die Kommentarfunktion gelten, da es hier um eine ähnliche Datenerhebung geht. Verzichten Webseitenbetreiber also darauf, das Abonnieren von Kommentaren in ihrer Datenschutzerklärung anzusprechen, könnte ein Wettbewerbsverstoß vorliegen.

Kommentarfunktion mit Angabe der E-Mail-Adresse

Bevor Nutzer die Kommentarfunktion von Webseiten nutzen können, verlangen Seitenbetreiber in der Regel die Angabe von verschiedenen Daten von ihnen. Neben einem Usernamen oder Namen müssen sie dabei oftmals auch ihre E-Mail-Adresse preisgeben.

Darum ist eine Kommentarfunktion mit Angabe der E-Mail-Adresse datenschutzrechtlich relevant
Fragen Webseitenbetreiber für das Schreiben eines Kommentars nach der E-Mail-Adresse der Nutzer, erheben sie personenbezogene Daten. Das dürfen sie jedoch nur, wenn User dazu vorher eingewilligt haben.

Kommentarfunktion mit Angabe der E-Mail-Adresse datenschutzkonform einbinden

Bevor Webseitenbetreiber die E-Mail-Adresse der User erheben und speichern, müssen sie Nutzer um Erlaubnis bitten. Das rechtfertigt Art. 6 Abs. 1 lit. a Datenschutzgrundverordnung (DSGVO). Was genau dann mit ihrer E-Mail passiert, müssen sie darüber hinaus in ihrer Datenschutzerklärung aufführen. Seitenbetreiber sollten Nutzern darin genau erläutern,

  • dass sie die E-Mail-Adresse erheben und speichern,
  • warum sie die E-Mail-Adresse erheben und speichern,
  • wie lange sie diese speichern und
  • dass sie die Verantwortung übernehmen, die E-Mail zu schützen.

Webseitenbetreiber sollten neben der E-Mail-Adresse keine weiteren personenbezogenen Daten erheben. Nur so genügen sie der DSGVO. Diese gibt vor, dass Seitenbetreiber nur die personenbezogenen Informationen sammeln dürfen, die sie unbedingt für den angestrebten Zweck benötigen. Für das Abgeben eines Kommentars sind neben dem Namen oder Usernamen und einer E-Mail keine weiteren Daten notwendig. Diese Daten sollten sie zudem ausschließlich für die Kommentarfunktion nutzen.

Für die Praxis heißt das: Sie dürfen den Namen und die E-Mail nur dafür verwenden, um den Kommentar des Users zu posten. Ist der Kommentar online und haben die personenbezogenen Daten damit ihren Zweck erfüllt, müssen Seitenbetreiber die Daten anschließend löschen.

Um die E-Mail-Adresse der User vor fremden Zugriffen zu schützen, müssen Seitenbetreiber die Datenerhebung in der Kommentarfunktion zudem verschlüsseln. Das ergibt sich aus § 13 Abs. 7 TMG. Sie können dafür auf ein anerkanntes Verschlüsselungssystem wie TLS zurückgreifen.

Rechtsprechung zur Kommentarfunktion

Sprechen Webseitenbetreiber in ihrer Datenschutzerklärung nicht die Datenerhebung über ein Kontaktformular an, begehen sie einen Wettbewerbsverstoß. Das hat das Oberlandesgericht Köln am 11.03.2016 entschieden (Az. 6 U 121/15). Dieses Urteil könnte auch für die Kommentarfunktion auf Webseiten gelten. Verzichten Seitenbetreiber also darauf, die Erhebung der E-Mail-Adresse in der Kommentarfunktion in ihrer Datenschutzerklärung anzusprechen, könnte damit ein Wettbewerbsverstoß vorliegen.

Kommentarfunktion mit Speicherung der IP-Adresse

Die Kommentarfunktion auf Webseiten ermöglicht es Usern, ihre Meinung zu einem bestimmten Artikel oder Thema abzugeben. Damit User einen Kommentar verfassen können, erheben viele Webseitenbetreiber von ihnen in diesem Rahmen nicht nur Daten wie Username, Name und E-Mail-Adresse, sondern oftmals auch ihre IP-Adresse.

Darum ist eine Kommentarfunktion mit Speicherung der IP-Adresse datenschutzrechtlich relevant

Speichern Webseitenbetreiber bei Nutzen der Kommentarfunktion die IP-Adressen der User, erheben sie personenbezogene Daten. Diese dürfen sie jedoch nur erfassen, wenn User dem zugestimmt haben und dies nicht gegen den Grundsatz der Datensparsamkeit verstößt.

Das heißt für die Praxis: Webseitenbetreiber dürfen die IP-Adresse bei der Abgabe eines Kommentars nur speichern, wenn sie einen triftigen Grund dafür haben. Dieser kann zum Beispiel vorliegen, wenn sie die IP-Adressen speichern, um die Funktionstüchtigkeit ihrer Webseite zu erhalten oder einen missbräuchlichen Zugriff auf ihre Seite identifizieren wollen. Das ist bei einer Kommentarfunktion jedoch eher selten der Fall. Webseitenbetreiber sollten daher keine IPs erheben und speichern, wenn User einen Kommentar auf ihrer Seite abgeben.

Seitenbetreiber, die auf Wordpress setzen, müssen noch einen Schritt weiter gehen. Denn: Wordpress speichert in der Standardeinstellung die IP-Adressen der Nutzer, wenn diese einen Kommentar schreiben. Das verstößt gegen den Grundsatz der Datensparsamkeit. Sie sollten daher das Plugin „RemoveIP“ installieren, um nicht automatisch die IPs der User zu sammeln und so deutsche Datenschutzbestimmungen zu verletzen.

Rechtsprechung zur Kommentarfunktion mit Speicherung der IP-Adresse

Der Bundesgerichtshof hat am 16.05.2017 entschieden, dass Webseitenbetreiber personenbezogene Daten erheben, wenn sie die IP-Adressen von Nutzern speichern (Az. VI ZR 135/13). Erfüllt das Sammeln der IP-Adressen also keinen eminent wichtigen Zweck für den Seitenbetreiber, verstößt dies gegen das Gesetz.

Datenschutzerklärung und Kontaktformular

Kontaktformular und Datenschutzerklärung

Ein Kontaktformular bietet Usern auf Webseiten die Möglichkeit, auf einfache Weise mit dem Seitenbetreiber in Kontakt zu treten. In der Regel müssen Nutzer dabei ihren Namen und ihre E-Mail-Adresse (also personenbezogene Daten) angeben, um eine Nachricht schreiben zu können bzw. vom Seitenbetreiber auch eine Antwort zu erhalten.

Die DSGVO und das Kontaktformular

Fragen Seitenbetreiber im Kontaktformular Informationen wie den Namen oder die E-Mail-Adresse von Usern ab, erheben sie personenbezogene Daten. Die DSGVO sieht nun vor, dass Kontaktformulare bei denen personenbezogene Daten übertragen werden gesichert werden müssen. Das betrifft zumindest die SSL-Verschlüsselung des Kontaktformulars. Zusätzlich muss der Umgang mit den Nutzerdaten aus dem Kontaktformular in der Datenschutzerklärung auf Ihrer Webseite im Detail erläutert werden.

Kontaktformular datenschutzkonform in die Webseite einbinden:

Damit Seitenbetreiber ein Kontaktformular rechtssicher einbinden, müssen sie verschiedene Vorgaben beachten:

Datensparsamkeitsprinzip

Webseitenbetreiber sollten im Kontaktformular nur die personenbezogenen Daten erheben, die für die Bearbeitung der Anfrage unbedingt nötig sind. In der Regel sind das Name und E-Mail-Adresse des Anfragenden. Diese Felder sollten Seitenbetreiber daher als Pflichtfelder kennzeichnen. Die Telefonnummer dürfte nur in den seltensten Fällen notwendig sein, um die Anfrage zu bearbeiten, diese sollte daher nicht als Pflichtfeld gekennzeichnet sein Es steht Seitenbetreibern frei, weitere Daten im Kontaktformular abzufragen, ohne diese als Pflichtangaben zu markieren. Auf diese Weise können Nutzer selbst entscheiden, ob sie diese Daten freiwillig angeben möchten

Zweckbindungsprinzip

Seitenbetreiber dürfen die personenbezogenen Daten, die sie von Usern erheben, nur für den im Kontaktformular angegebenen Zweck verwenden. Sprich: zur Beantwortung der Anfrage des Users. Ist die Anfrage abgeschlossen, dürfen Seitenbetreiber diese nicht für weitere Zwecke verwenden. Sie müssen die Daten löschen. Sie dürfen diese nur weiter speichern oder verwenden, wenn ihnen das Gesetz dies vorgibt.

Transparenzgebot

Webseitenbetreiber müssen User darüber informieren, wie und in welchem Umfang sie die personenbezogenen Daten erheben. In der Praxis empfiehlt es sich dabei, per Opt-In die Einwilligung der User dafür einzuholen. Zusätzlich sollten sie das Kontaktformular mit einem Datenschutzhinweis versehen, der auf die Datenschutzerklärung verlinkt.

  • Verschlüsselungspflicht

Darüber hinaus müssen Webseitenbetreiber die über das Kontaktformular erhobenen Daten verschlüsselt übersenden. Diese Pflicht gibt das Telemediengesetz in § 13 Abs. 7 vor. Dazu sollten sie ein anerkanntes Verschlüsselungsverfahren wie Transport Layer Security (TLS) verwenden. Kommen Seitenbetreiber dem nicht nach, begehen sie eine Ordnungswidrigkeit. Die DSGVO sieht erhebliche Bußgelder für Datenschutzverstöße vor.

In ihrer Datenschutzerklärung sollten Sie zum Kontaktformular darüber informieren,

  • dass sie über das Kontaktformular personenbezogene Daten erheben,
  • welche Daten genau sie erheben,
  • warum sie diese Daten erheben,
  • was sie mit den Daten machen und
  • wie lange sie die Daten speichern.

Urteile zu Kontaktformularen und Datenschutzerklärung

Erwähnen Webseitentreiber in ihrer Datenschutzerklärung nicht, wie und warum sie über das Kontaktformular personenbezogene Daten erheben, begehen sie einen abmahnbaren Wettbewerbsverstoß. Das hat das Oberlandesgericht Köln am 11.03.2016 entschieden (Az. 6 U 121/15). Das Landgericht Berlin entschied in einem ähnlichen Fall jedoch genau andersherum (Urteil vom 04.02.2015, Az. 52 O 394/15). Ein höchstrichterliches Urteil liegt hierzu bisher nicht vor.

LinkedIn Plugin und Datenschutzerklärung

LinkedIn ist ein Karrierenetzwerk, das Mitglieder geschäftliche Kontakte knüpfen lässt. Dazu können sie Profile anlegen und so nach Stellenausschreibungen, Projekten und Mitarbeitern Ausschau halten.

Diese Daten sammelt und nutzt LinkedIn

LinkedIn sammelt all die Daten, die Nutzer bei der Anmeldung und in ihrem Profil angeben. Dazu gehören unter anderem Name, E-Mail-Adresse, Kontakte, Ausbildung, Profilfoto und Geburtsdatum. Darüber hinaus speichert LinkedIn Daten zu allen Aktivitäten, die User im Netzwerk vornehmen. Dazu zählen u. a. veröffentlichte Beiträge, Gefällt-mir-Angaben und Gruppenmitgliedschaften. LinkedIn lässt Nutzer selbst entscheiden, ob ihre Inhalte dahingehend ausgewertet werden sollen, um ihnen personalisierte Werbung anzuzeigen.

Entscheiden sich Mitglieder dagegen, sehen sie zwar immer noch Werbung, jedoch keine mehr auf sie zugeschnittene Anzeigen. Nach der Übernahme durch Microsoft hat LinkedIn zudem seine Datenschutzerklärung angepasst. Seitdem können externe Dienstleister und Partnerunternehmen auf die Profile der Mitglieder zugreifen. Darüber hinaus analysiert künstliche Intelligenz die Aktivitäten der User, um ihnen so ein individualisiertes Erlebnis bieten zu können.

Datenschutzprobleme bei LinkedIn

Unternehmen, die LinkedIn nutzen, müssen deutsche Datenschutzbestimmungen erfüllen. Dazu müssen sie in ihrem LinkedIn-Profil entsprechende Datenschutzhinweise platzieren oder dort einen Link zu den Datenschutzhinweisen auf ihrer Webseite zur Verfügung stellen. Die Datenschutzerklärung wiederum muss User ausführlich darüber informieren, dass die gemachten Datenschutzhinweise auch für das Netzwerk LinkedIn gelten.

Datenschutzrechtlich problematisch ist die Einbindung des Share-on-LinkedIn- sowie des Follow-Company-Plugins auf der eigenen Webseite. Diese bauen automatisch eine Verbindung zum LinkedIn-Server auf, wenn User daraufklicken. Das verstößt gegen deutsches Datenschutzrecht, da die Plugins auf diese Weise personenbezogene Daten an LinkedIn senden, ohne über die Einwilligung der User zu verfügen. Ein Hinweis in der Datenschutzerklärung dazu reicht nicht aus.

Webseitenbetreiber sollten daher lieber auf alternative Plugins wie das eRecht24 Safe Sharing Tool setzen, das datenschutzkonform LinkedIn-Inhalte teilen lässt.

Rechtsprechung zu LinkedIn

Das Landgericht Düsseldorf hat am 09.03.2016 entschieden, dass der auf Webseiten implementierte Facebook Like-Button gegen deutschen Datenschutzbestimmungen verstößt (Az. 12 O 151/15). Die Entscheidung bezog sich zwar nur auf den Like-Button von Facebook, sie lässt sich jedoch auf jedes andere soziale Netzwerk übertragen. Denn: Der Share- und Follow-Button von LinkedIn setzt den gleichen Datentransfer in Gang wie der Facebook Like-Button. Der Europäische Gerichtshof hat derzeit die Frage vorliegen, ob Social Plugins wie von Facebook, Google+ und LinkedIn zulässig sind. Die Entscheidung dazu steht noch aus.

LinkedIn Insight Tag

Der LinkedIn Insight Tag ist ein JavaScript-Code, den Unternehmen auf ihrer Seite einbinden können. Es handelt sich dabei um ein Tracking-Tool, das LinkedIn-Mitglieder auf einer Webseite erfasst und analysiert. Unternehmen erhalten so Einblicke in ihre Zielgruppe, die Attraktivität ihrer Angebote und die Performance von Anzeigenkampagnen auf LinkedIn.

Darum ist der LinkedIn Insight Tag datenschutzrechtlich relevant

Der LinkedIn Insight Tag setzt einen Cookie in den Browser der User. Darüber erfasst LinkedIn unter anderem Daten wie

  • URL,
  • Referrer-URL
  • Geräteeigenschaften,
  • Browsereigenschaften und
  • IP-Adresse.

LinkedIn anonymisiert die Daten innerhalb von 7 Tagen. Innerhalb von 90 Tagen löscht es die Daten wieder. Seitenbetreiber, die den LinkedIn Insight Tag verwenden, erhalten keine personenbezogenen Daten. Sie erhalten lediglich zusammengefasste Berichte über die Demografie ihrer Zielgruppe und die Performance ihrer Anzeigen. Dabei bekommen Seitenbetreiber Informationen zu Kriterien wie

  • Branche,
  • Jobbezeichnung,
  • Unternehmensgröße,
  • Karrierestufe und
  • Standort

der Webseitenbesucher.

So können Seitenbetreiber den LinkedIn Insight Tag datenschutzkonform nutzen

Um den LinkedIn Insight Tag datenschutzkonform verwenden zu können, müssen Seitenbetreiber diese Anforderungen erfüllen:

Einwilligung der User einholen

Bevor LinkedIn einen Cookie im Browser ablegen darf, müssen Seitenbetreiber die Einwilligung der User dafür einholen. Das schreibt Art. 6 Abs. 1 lit. a der Datenschutz-Grundverordnung (DSGVO) vor. In der Praxis können Seitenbetreiber dafür einen Cookie-Hinweis einblenden. Dieser sollte um die ausdrückliche Einwilligung der Nutzer bitten.

Datenschutzerklärung anpassen

Seitenbetreiber müssen in ihrer Datenschutzerklärung aufführen, dass

  • LinkedIn einen Cookie in ihrem Browser ablegt,
  • welche Daten der Cookie erhebt,
  • warum LinkedIn die Daten erhebt,
  • was es mit den User-Daten macht,
  • wie lange es die Daten aufbewahrt,
  • welche Rechtsgrundlage das erlaubt (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Nutzer der Datenspeicherung jederzeit widersprechen können.

Rechtsprechung zum LinkedIn Insight Tag

Der Europäische Gerichtshof entschied am 01.10.2019: Seitenbetreiber dürfen keine Tracking-Cookies auf ihrer Seite nutzen, ohne vorher eine ausdrückliche Einwilligung der Nutzer eingeholt zu haben (C-637/17). Dabei ist es unerheblich, ob die Cookies personenbezogene oder anonyme Daten erheben.

Der Bundesgerichtshof (BGH) kam zu dem gleichen Schluss. Er entschied am 28.05.2020, dass Webseitenbetreiber eine aktive Einwilligung benötigen, wenn sie Tracking-Cookies setzen wollen. Dabei muss die Einwilligung vom User ausgehen. Eine vorher bereits ausgewählte Checkbox im Cookie-Banner reicht nicht aus (I ZR 7/16).

MailChimp und Datenschutzerklärung

Mailchimp ist ein cloudbasiertes Tool für das Newsletter Management. User können darüber Newsletter planen, erstellen, verschicken und verwalten.

Darum ist Mailchimp datenschutzrechtlich eine Herausforderung

Um Newsletter zu versenden, müssen Webseitenbetreiber zunächst E-Mail-Adressen von Empfängern sammeln. Diese zählen zu den personenbezogenen Daten und gelten daher als besonders schützenswert. Das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG) und ab dem 25. Mai auch die Datenschutz-Grundverordnung (DSGVO) legen Seitenbetreibern daher eine Reihe von Pflichten auf.

Mailchimp datenschutzkonform einsetzen

Um über Mailchimp Newsletter gesetzeskonform zu versenden, benötigen Webseitenbetreiber die Zustimmung der User in den Versand. Das „OK“ erlaubt es ihnen, die E-Mail-Adressen der User zu erheben, zu speichern und für den Newsletter-Versand zu verwenden. Diese Einwilligung erhalten Webseitenbetreiber über einen zweistufigen Prozess: Zunächst müssen Nutzer ihre E-Mail-Adresse angeben und per Opt-In in den Newsletter-Versand einwilligen. Darin sollten sie auch darauf hinweisen, dass User der Nutzung ihrer Daten und damit dem Newsletter-Versand jederzeit wieder widersprechen können. Danach erhalten Nutzer eine E-Mail, die sie bestätigen müssen, um den Versand rechtskräftig zu machen. Dieses Vorgehen nennt sich Double Opt-In. Verschicken Webseitenbetreiber E-Mail-Werbung ohne Zustimmung der User, ist diese rechtswidrig.

Zusätzlich sind Webseitenbetreiber verpflichtet, die Datenerhebung und -verwendung in Form des Newsletter-Versandes über Mailchimp in ihrer Datenschutzerklärung aufzuführen. Sie müssen dabei ausführlich darüber aufklären, welche Daten sie warum erheben und wie sie diese verwenden. Das gibt derzeit noch das TMG in § 13 Abs. 1 vor. Ab dem 25. Mai schreibt dann Art. 13 Abs. 1 DSGVO vor, dass Newsletter-Versender in der Datenschutzerklärung User darüber informieren müssen,

  • wofür sie ihre personenbezogenen Daten verarbeiten,
  • wie lange sie ihre Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
  • dass sie die Einwilligung jederzeit widerrufen können.

Darüber hinaus müssen Seitenbetreiber mit Mailchimp einen Vertrag zur Auftragsdatenverarbeitung abschließen. Das gibt § 11 BDSG vor. Am 25. Mai übernimmt dann auch hier die DSGVO. Der Prozess nennt sich dann „Auftragsverarbeitung“. Der Vertrag dazu muss u. a.

  • den Gegenstand und die Dauer der Datenverarbeitung,
  • Art und Zweck der Datenverarbeitung,
  • die Art der personenbezogenen Daten,
  • die Kategorien der Betroffenen und
  • die Pflichten und Rechte der Verantwortlichen

nennen. Kommen Newsletter-Versender diesen Pflichten nicht nach, drohen ihnen empfindliche Strafen. Gemäß Art. 83 Abs. 4 lit. a DSGVO erwartet sie dann ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent ihres weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Ist der Vertrag zur Auftragsverarbeitung mit Mailchimp geschlossen, müssen Newsletter-Versender dies in ihrer Datenschutzerklärung aufführen. Sie müssen User informieren, dass sie einen Vertrag zur Auftragsverarbeitung mit Mailchimp geschlossen haben und ihnen erklären, was das für sie und ihre personenbezogenen Daten bedeutet.

Rechtsprechung zu MailChimp

Der Bundesgerichtshof (BGH) hat am 10.02.2011 entschieden, dass das Double-Opt-In-Verfahren geeignet ist, um die Einwilligung von Usern in den Empfang von Werbemails einzuholen (Az. I ZR 164/09). Das Oberlandesgericht (OLG) München widersprach der höchstrichterlichen Rechtsprechung am 27.09.2012 jedoch. Es kam zu dem Schluss, dass die Bestätigungsmail im Double-Opt-In-Verfahren bereits eine unzumutbare Belästigung gemäß § 7 Abs. 2 Nr. 2 UWG darstellen kann (Az. 29 U 1682/12).

Das OLG Düsseldorf wiederum kam am 17.03.2016 zu dem Ergebnis, dass die E-Mail an den User notwendig ist, um die Einwilligung per Double-Opt-In zu bestätigen (Az. I-15 U 64/15). Damit schloss sich das Gericht dem BGH an. Webseitenbetreiber, die für ihre Newsletter auf Mailchimp setzen, sollten daher auf das Double-Opt-In-Verfahren setzen.

Mailjet

Mailjet ist ein cloudbasierter E-Mail-Dienstanbieter. Unternehmen können darüber sowohl klassische Marketing-E-Mails wie Newsletter, Ankündigungen und Werbeaktionen als auch Transaktions-E-Mails wie Versandbenachrichtigungen, Passwort-Erinnerungen und Bestellbestätigungen verschicken. Mailjet ermöglicht diese Dienste von einem Konto und einer Plattform aus. Der Anbieter hat 130.000 Kunden.

Darum ist Mailjet datenschutzrechtlich problematisch

Webseitenbetreiber, die Mailjet für ihre E-Mail-Kampagnen nutzen, geben automatisch personenbezogene Daten an den Anbieter weiter. Dieser sammelt dabei

  • E-Mail-Adressen,
  • Kundennamen,
  • Anschriften,
  • Telefonnummern,
  • IP-Adressen und
  • Verbindungs- und Navigationsdaten.

Wenn Webseitenbetreiber es zudem erlauben, erhebt Mailjet auch Daten zu Kundenbestellungen, Reklamationen, Abonnements, Nachrichten innerhalb eines Support-Tickets und dem Schriftverkehr auf der Mailjet-Webseite. Personenbezogene Daten sind besonders schützenswert. Die Datenschutz-Grundverordnung (DSGVO) schreibt daher Webseitenbetreibern besondere Pflichten vor.

Mailjet datenschutzkonform einsetzen

Um nicht gegen die Vorgaben der DSGVO zu verstoßen, müssen Webseitenbetreiber für den Einsatz von Mailjet diese Anforderungen erfüllen:

Double-Opt-In für E-Mail- und SMS-Versand

Damit Webseitenbetreiber die E-Mail von Kunden für das Versenden von Marketing-Mails verwenden dürfen, müssen sie vorher ihre Einwilligung einholen. Dafür hat sich das Double-Opt-In-Verfahren als rechtlich sicher herausgestellt. Dabei erheben Seitenbetreiber zunächst die Mailadresse der Kunden. Sie verweisen in diesem Kontext darauf, dass sie so in den Versand von E-Mails einwilligen. Das können beispielsweise Newsletter oder Angebotsmails sein.

Gleichzeitig erklären Seitenbetreiber auch, dass Kunden die E-Mails jederzeit wieder widerrufen können. Anschließend schicken sie Kunden eine Mail zu, die die Anmeldung für den E-Mail-Dienst aufführt. Kunden müssen die Anmeldung dann noch einmal bestätigen, indem sie auf einen in der Mail eingetragenen Link klicken. Damit haben Seitenbetreiber rechtlich zulässig eine Einwilligung der Kunden in den Mailversand eingeholt.

Neben E-Mails können Seitenbetreiber über Mailjet auch Transaktions-SMS verschicken. Dafür benötigen sie die Telefonnummer der Kunden. Sie können diese über eine abgewandelte Form des Double-Opt-In-Verfahrens erheben. Dafür fragen Seitenbetreiber über eine Online-Maske die Telefonnummer der Kunden ab. Sie erklären in diesem Kontext, wofür sie die Nummer verwenden wollen, wie beispielsweise für das Versenden von Bestellbestätigungen oder von 2-Faktor-Authentifizierungscodes.

Gleichzeitig verweisen sie darauf, dass Kunden diese Einwilligung jederzeit widerrufen können. Um Kunden dies bestätigen zu lassen, sollten Webseitenbetreiber auf ein Opt-In-Verfahren setzen. Das heißt: Sie sollten Kunden in der Online-Maske selbst ein Häkchen setzen lassen, um ihre Einwilligung zu erklären. Danach müssen Seitenbetreiber die Telefonnummer anzeigen, von der sie ihre SMS verschicken möchten. Kunden speichern diese Nummer ein und senden eine SMS mit einem Befehl, wie beispielsweise „Start“, um den Service in Anspruch zu nehmen.

Vertrag zur Auftragsverarbeitung abschließen

Mailjet erhält vollen Zugriff auf die Kundendaten von Webseitenbetreibern. § 28 DSGVO gibt dabei vor: Erhalten Dritte Zugriff auf personenbezogene Daten, müssen Seitenbetreiber mit diesen einen Vertrag zur Auftragsverarbeitung abschließen.

Mailjet bietet Unternehmen dabei auf zwei Wegen die Möglichkeit, einen Vertrag zur Auftragsverarbeitung herunterzuladen. Zum einen können sich Seitenbetreiber diesen per Mail zuschicken lassen. Zum anderen stellt Mailjet auf seiner Webseite ein Formular zur Verfügung, über das sie den Vertrag herunterladen können.

Seitenbetreiber sollten darauf achten, dass der Vertrag klärt,

  • welche Kundendaten Mailjet wie lange speichert,
  • warum und wie Mailjet diese Daten verarbeitet und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Webseitenbetreiber, die keinen Vertrag zur Auftragsverarbeitung mit Mailjet abschließen, riskieren ein Bußgeld. Dies kann bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen. Dieses Strafmaß gibt Art. 83 Abs. 4 lit. a DSGVO vor.

Datenschutzerklärung anpassen

Ist der Vertrag zur Auftragsverarbeitung geschlossen, sollten Unternehmen dies in ihrer Datenschutzerklärung erwähnen. Dabei sollten sie noch einmal erklären, wie Mailjet die Kundendaten nutzt.

Zusätzlich müssen Webseitenbetreiber in ihrer Datenschutzerklärung aufführen, warum sie für Mailjet

  • personenbezogene Daten sammeln,
  • wie lange sie diese speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
  • dass Kunden der Einwilligung in die Datenerhebung jederzeit widersprechen können.

Diese Pflichten gibt § 13 DSGVO vor.

Rechtsprechung zur Verwendung von Mailjet

Der Bundesgerichtshof hat am 10.02.2011 in einer Entscheidung verdeutlicht, dass Webseitenbetreiber das Double-Opt-In-Verfahren nutzen müssen, um die Einwilligung von Kunden in den Versand von E-Mails einzuholen (Az. I ZR 164/09). Das hat das Oberlandesgericht Düsseldorf am 17.03.2016 noch einmal bestätigt. Es entschied, dass Seitenbetreiber Kunden im Rahmen des Double-Opt-In-Verfahrens eine Mail zuschicken dürfen, die sie die Anmeldung für einen E-Mail-Dienst bestätigen lässt (Az: I-15 U 64/15).

Datenschutzerklärung und Matomo (ehemals Piwik)

Matomo ist ein Open-Source Webanalyse-Tool, das Webseitenbetreiber das User-Verhalten auf ihren Seiten untersuchen lässt. Dazu erstellt die Software detaillierte Statistiken u. a. zu benutzten Suchmaschinen, Suchbegriffen, Browsern und zur Herkunft der User. Matomo – ehemals Piwik – gilt als die datenschutzsensiblere Variante von Google Analytics.

So datenschutzkonform ist Matomo

Matomo sammelt und speichert umfangreiche Daten zum Verhalten der Seitenbesucher. Die Vorgänger-Versionen unter dem Namen Piwik sammelten dabei u. a. auch die IP-Adresse und damit personenbezogene Daten der User. Webseitenbetreiber mussten daher stets die IP-Adresse über die Funktion „anynomizeIP“ verkürzen, um deutsche Datenschutzbestimmungen zu erfüllen. Matomo nimmt dies automatisch bereits in den Standardeinstellungen vor. Darüber hinaus benötigen Webseitenbetreiber auch keinen Vertrag zur Auftragsdatenverarbeitung mit Matomo. Denn: Alle gesammelten Daten bleiben auf einem Server von Matomo, so dass Dritte keinen Zugriff darauf erhalten.

So können Webseitenbetreiber Matomo datenschutzkonform nutzen

Webseitenbetreiber müssen in ihrer Datenschutzerklärung angeben, dass sie Matomo nutzen. Dazu sollten sie User aufklären, dass sie über Matomo Daten erheben, speichern und verarbeiten. Darüber hinaus müssen sie Nutzer darauf hinweisen, dass sie dieser Datenerhebung jederzeit widersprechen können. Dazu können Seitenbetreiber User auf eine Opt-Out-Möglichkeit oder die Browser-Funktion „Do not track“ verweisen.

Rechtsprechung zu Matomo

Das Landgericht Frankfurt hat am 18.02.2014 entschieden, dass beim Einsatz von Piwik ein fehlender Hinweis zur Widerspruchsmöglichkeit zur Erhebung der Daten einen Wettbewerbsverstoß darstellt (Az. 3-10 O 86/12). Diese Entscheidung gilt damit auch für Matomo. Webseitenbetreiber sind verpflichtet, auf die Widerspruchsmöglichkeit hinzuweisen.

Microsoft Teams

Microsoft Teams ist eine Arbeitsplattform, über die Unternehmen Besprechungen abhalten, Nachrichten verschicken, Notizen machen und Anhänge versenden können. Der Dienst ist in die Office-365-Suite integriert.

Warum ist Microsoft Teams datenschutzrechtlich relevant?

Microsoft Teams speichert unter anderem

  • den Unternehmensnamen,
  • die Unternehmensanschrift,
  • die E-Mail-Adresse und
  • die Telefonnummer.

Darüber hinaus erfasst die Anwendung gespeicherte Dateien, Unterhaltungsverläufe und die im Planner hinterlegten Informationen. Halten Unternehmen Besprechungen mit Microsoft Teams ab, speichert die Software zum Beispiel die IP-Adressen der Teilnehmer. Bei diesen Daten handelt es sich zum Teil um personenbezogene Daten. Unternehmen müssen daher besondere Datenschutzpflichten erfüllen.

Microsoft ist Teil des Privacy-Shield-Abkommens. Das heißt: Das Unternehmen leitet die Daten aus Microsoft Teams zwar in die USA weiter. Durch das Abkommen genießen sie dort jedoch einen Datenschutz, der dem der Datenschutz-Grundverordnung (DSGVO) entspricht.
Microsoft selbst gibt an, die erhobenen Daten nicht für Werbezwecke zu verwenden. Und: Die Anwendung tracke nicht die Aktivitäten der Teilnehmer in den Meetings. Dennoch warnen Datenschutzexperten davor, dass die Gratis-Version Userdaten an die Werbenetzwerke von Adobe und Google verschicke.

Können Unternehmen Microsoft Teams datenschutzkonform verwenden?

Ob Unternehmen Microsoft Teams derzeit DSGVO-konform verwenden können, ist unklar. Sie sollten aber in jedem Fall diese Pflichten erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Damit Unternehmen die über Microsoft Teams erhobenen Daten mit rechtlicher Grundlage an Microsoft weitergeben, müssen sie einen Vertrag zur Auftragsverarbeitung mit dem Konzern abschließen. Das gibt Art. 28 DSGVO vor. Unternehmen nehmen das automatisch vor, wenn sie Microsofts Online Services Terms (AGB) akzeptieren. Sie müssen daher nicht zusätzlich einen Vertrag abschließen. Sie sollten jedoch überprüfen, ob der Anbieter in seinen AGB aufführt,

  • welche Daten er speichert,
  • wie lange der die Daten speichern will,
  • warum er die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen, die Microsoft Teams auch für die Kommunikation mit Dritten wie Kunden nutzen, sollten das in ihrer Datenschutzerklärung aufführen. Dabei sollten sie angeben,

  • welche Nutzerdaten sie speichern,
  • wie lange sie diese speichern,
  • welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass User der Datenspeicherung jederzeit widersprechen können.

Mit erhobenen Daten datenschutzkonform umgehen

Unternehmen, die Daten aus einer Besprechung oder einem Chat speichern, sollten diese nur dann aufbewahren, wenn das

einem erlaubten Zweck dient,

geeignet ist, diesen Zweck zu erfüllen und

erforderlich ist, diesen Zweck zu erreichen.

Das heißt: Unternehmen können beispielsweise eine Besprechung über Microsoft Teams aufzeichnen, wenn sie konkrete Details des Meetings danach benötigen. Benötigen sie jedoch nur einige wenige Informationen, können Unternehmen diese während der Besprechung per Notiz festhalten. Eine Aufzeichnung ist dann nicht notwendig. Haben Unternehmen einmal Daten gespeichert, dürfen sie diese nur so lange speichern, bis sie den angestrebten Zweck erfüllt haben.

Rechtsprechung zu Microsoft Teams

Zum Thema Microsoft Teams und Datenschutz liegt bisher, soweit ersichtlich, keine Rechtsprechung vor.

Newsletter allgemein

Um User auf dem Laufenden zu halten, können Unternehmen einen Newsletter an sie verschicken. In der Regel versenden sie diesen an die E-Mail-Adresse der User. Alternativ haben sich mittlerweile auch der Facebook Messenger sowie WhatsApp als Newsletter-Kanäle etabliert.

Darum sind Newsletter datenschutzrechtlich relevant

Je nachdem, welche Daten User bei der Anmeldung für einen Newsletter angeben müssen, kann es sich dabei um personenbezogene Daten handeln. E-Mail-Adresse, Facebook-Konto (für den Messenger) und Telefonnummer (SMS oder WhatsApp) stellen personenbezogene Daten dar, die besonders schützenswert sind. Das Gesetz gegen unlauteren Wettbewerb (UWG), das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG) und ab dem 25. Mai die Datenschutz-Grundverordnung (DSGVO) legen Newsletter-Versendern daher verschiedene Pflichten auf.

Newsletter datenschutzkonform versenden

Damit Seitenbetreiber ihren Newsletter an User verschicken dürfen, benötigen sie ihre Einwilligung dafür. Je nach Kanal müssen Seitenbetreiber diese Einwilligung auf unterschiedliche Weise einholen.

Newsletter-Versand über E-Mail

Für den Versand per E-Mail müssen sie über das Double-Opt-In-Verfahren das „OK“ der Nutzer erhalten. Das schreibt § 7 Abs. 2 Nr. 3 UWG vor. Beim Double-Opt-In-Verfahren fragen Seitenbetreiber zunächst die E-Mail-Adresse der User ab. Dabei müssen sie User darauf hinweisen, dass sie ihre Daten für den Newsletter-Versand verwenden und sie dem jederzeit widersprechen können. Nutzer erhalten dann eine Mail über die Anmeldung für den Newsletter. Diese Anmeldung müssen sie dann per Klick noch einmal bestätigen. Damit haben Seitenbetreiber rechtmäßig die Einwilligung der User eingeholt.

Newsletter-Versand über WhatsApp oder SMS

Wollen Webseitenbetreiber ihren Newsletter per WhatsApp oder SMS verschicken, benötigen sie dafür die Telefonnummer der Nutzer. Bisher hat sich das Vorgehen etabliert, dass Seitenbetreiber die Telefonnummer der User in einer Online-Maske abfragen. Sie klären Nutzer dabei per Opt-In darüber auf, dass sie den Newsletter bestellen. Gleichzeitig verweisen sie darauf, dass Nutzer diesen jederzeit wieder abbestellen können. Haben User dem zugestimmt und ihre Nummer eingetragen, wird ihnen die Nummer des Newsletter-Versender angezeigt. Diese Nummer speichern sie ab und schicken an sie eine Nachricht mit einem vorher festgelegten Befehl wie „Start“. Dieser startet den Newsletter-Versand. Damit ähnelt dieser Vorgang dem Double-Opt-In-Verfahren für E-Mail-Newsletter.

Newsletter-Versand über Facebook Messenger

Wollen Seitenbetreiber ihren Newsletter über den Facebook Messenger versenden, müssen User über den Messenger mit ihnen Kontakt aufnehmen. Dafür bieten Unternehmen in der Regel einen Link an, der den Messenger der Nutzer öffnet. Hier können diese dann mit einem vorher definierten Befehl wie „Start“ den Newsletter-Versand aktivieren. Seitenbetreiber sollten auch hier vorher aufklären, dass User auf diese Weise in den Newsletter-Versand einwilligen und dass sie diesen jederzeit wieder abbestellen können – zum Beispiel durch den Befehl „Stop“.

Für alle drei Kanäle gilt: Verschicken Webseitenbetreiber Newsletter ohne die Einwilligung der Nutzer, ist dieser rechtswidrig.

Datenschutzerklärung aktualisieren

Darüber hinaus müssen Seitenbetreiber in ihrer Datenschutzerklärung über die Datenerhebung und die Datenverwendung für den Newsletter-Versand informieren. Sie müssen dabei gemäß § 13 Abs. 1 TMG konkret aufführen, warum sie die Daten sammeln und wie sie diese verwenden. Ab dem 25. Mai gibt dann Art. 13 Abs. 1 DSGVO vor, dass sie in ihrer Datenschutzerklärung darauf hinweisen müssen,

  • wofür sie die personenbezogenen Daten (E-Mail, Facebook-Konto oder Telefonnummer) erheben und verarbeiten,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
  • dass sie die Einwilligung jederzeit widerrufen können.
  • Vertrag zur Auftragsverarbeitung abschließen

Nutzen Webseitenbetreiber zudem eine Software wie MailChimp oder Klick-Tipp, um ihren Newsletter zu versenden, müssen sie mit dem jeweiligen Anbieter einen Vertrag zur Auftragsverarbeitung abschließen. Bisher schreibt das noch § 11 BDSG vor, ab dem 25. Mai gibt dann die DSGVO die gesetzliche Pflicht vor. Der Vertrag zur Auftragsverarbeitung muss dabei u. a.

  • den Gegenstand und die Dauer der Datenverarbeitung,
  • Art und Zweck der Datenverarbeitung,
  • die Art der personenbezogenen Daten,
  • die Kategorien der Betroffenen und
  • die Pflichten und Rechte der Verantwortlichen

aufführen. Kommen Seitenbetreiber diesen gesetzlichen Regelungen nicht nach, kann es teuer werden. Art. 83 Abs. 4 lit. a DSGVO spricht von einem Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Den Vertrag zur Auftragsverarbeitung müssen Seitenbetreiber zudem in ihrer Datenschutzerklärung ansprechen. Sie müssen Nutzer darüber aufklären, dass sie einen Vertrag mit einem Anbieter für Newsletter-Marketing abgeschlossen haben und erklären, wie dieser ihre Daten verwendet.

Rechtsprechung zum Versand von Newslettern

Dass das Double-Opt-In-Verfahren geeignet ist, um sich die Einwilligung vor Usern in den Empfang von E-Mail-Newslettern einzuholen, hat der Bundesgerichtshof am 10.02.2011 festgestellt (Az. I ZR 164/09). Das hat das Oberlandesgericht Düsseldorf in einem Urteil bestätigt. Es kam am 17.03.2016 zu dem Schluss, dass Seitenbetreiber Usern nach Abonnieren des Newsletters stets eine Mail zukommen lassen müssen, damit diese die Anmeldung für den Newsletter bestätigen können.

Newsletter2Go

Newsletter2Go ist ein E-Mail-Marketing-Anbieter, der E-Mail-Kampagnen planen, erstellen und durchführen lässt.

Darum ist Newsletter2Go datenschutzrechtlich relevant

Um Usern über Newsletter2Go Newsletter zukommen zu lassen, benötigen Seitenbetreiber die E-Mail-Adresse der User. Diese gehört zu den personenbezogenen Daten, die deutsche Gesetze besonders schützen. Das Telemediengesetz (TMG), das Bundesdatenschutzgesetz (BDSG), das Gesetz gegen unlauteren Wettbewerb (UWG) und ab dem 25. Mai die Datenschutz-Grundverordnung (DSGVO) schreiben Webseitenbetreibern dabei verschiedene Pflichten vor.

Newsletter2Go datenschutzkonform versenden

Um Newsletter über Newsletter2Go rechtmäßig zu verschicken, benötigen Webseitenbetreiber die Zustimmung der User in den Versand.

Newsletter-Versand über E-Mail

Um die Zustimmung in einen E-Mail-Newsletter von Usern zu erhalten, hat sich das Double-Opt-In-Verfahren etabliert. Dies erfüllt die Vorgaben von § 7 Abs. 2 Nr. 3 UWG. Das Verfahren funktioniert über einen zweistufigen Prozess. Webseitenbetreiber fragen dabei zunächst die E-Mail-Adresse der User ab und lassen sie per Opt-In in den Newsletter-Versand einwilligen. Sie weisen Nutzer darauf hin, dass sie damit der Nutzung ihrer Daten zustimmen und sie den Newsletter jederzeit wieder abbestellen können. Danach erhalten User eine E-Mail, die ihnen die Anmeldung für den Newsletter anzeigt. Diese Mail müssen sie per Klick auf einen Link bestätigen. Auf diese Weise machen sie den Newsletter-Versand rechtlich zulässig. Newsletter2Go stellt diesen Anmeldeprozess mit entsprechenden Online-Masken standardmäßig zur Verfügung.

Newsletter-Versand über SMS

Newsletter2Go bietet seinen Kunden auch an, Newsletter über SMS an User zu verschicken. Das erfordert die Telefonnummer sowie die Einwilligung der User. Um beides zu erhalten, sollten sich Seitenbetreiber an dem Double-Opt-In-Verfahren orientieren. Dazu können sie die Telefonnummer der User über eine Online-Maske abfragen und sie dabei informieren, dass sie so den Newsletter abonnieren. Gleichzeitig sollten sie auch darauf hinweisen, dass Nutzer den Newsletter jederzeit wieder abbestellen können. Haben Nutzer ihre Telefonnummer eingetragen und dem Versand per Opt-In zugestimmt, wird ihnen in der Regel in einem nächsten Schritt die Telefonnummer des Newsletter-Versenders angezeigt. Diese speichern Nutzer ab und sende an die Nummer eine SMS mit einem vorher definierten Befehl wie „Start“. Auf diese Weise aktivieren sie den Newsletter-Versand.

Datenschutzerklärung anpassen

Webseitenbetreiber sind verpflichtet, in ihrer Datenschutzerklärung anzugeben, warum und welche Daten sie wie für den Newsletter-Versand mit Newsletter2Go verwenden. Das schreibt ihnen § 13 Abs. 1 TMG vor. Am 25. Mai übernimmt hier die DSGVO. § 13 Abs. 1 DSGVO schreibt dann vor, dass Seitenbetreiber User darauf hinweisen müssen,

  • wofür sie die personenbezogenen Daten, die sie für den Newsletter-Versand über Newsletter2Go erheben, verwenden,
  • wie lange sie diese Daten speichern,
  • welche Rechtsgrundlage ihnen die Datenerhebung und Datenverwendung erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
  • dass sie der Einwilligung zur Datenerhebung und -verwendung jederzeit widersprechen können.
    Vertrag zur Auftragsverarbeitung abschließen

Seitenbetreiber müssen einen Vertrag zur Auftragsverarbeitung mit Newsletter2Go abschließen. Das gibt § 11 BDSG vor. Ab dem 25. Mai übernimmt auch hier die DSGVO. Der Vertrag zur Auftragsverarbeitung mit Newsletter2Go muss dann unter anderem erklären,

  • welche Daten Seitenbetreiber wie lange speichern und verarbeiten,
  • warum und wie sie die Daten verarbeiten und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Den Vertrag können Webseitenbetreiber online in ihrem Newsletter2Go-Account abschließen. Kommen sie dieser Pflicht nicht nach, drohen kostspielige Strafen. Nach Art. 83 Abs. 4 lit. a DSGVO kommt auf Seitenbetreiber dabei ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent ihres weltweiten Jahresumsatzes zu.

Ist der Vertrag zur Auftragsverarbeitung mit Newsletter2Go geschlossen, müssen Seitenbetreiber ihre Datenschutzerklärung anpassen. Sie müssen Nutzer darin aufklären, dass sie einen Vertrag mit Newsletter2Go zur Auftragsverarbeitung geschlossen haben. Dabei müssen sie auch erklären, wie Newsletter2Go ihre Daten verwendet.

Rechtsprechung zum Versand von Newslettern über Newsletter2Go

Newsletter-Versender müssen bei einem Versand per E-Mail das Double-Opt-In-Verfahren nutzen. Das hat der Bundesgerichtshof am 10.02.2011 geklärt (Az. I ZR 164/09). Damit müssen auch Seitenbetreiber für das Versenden von E-Mails über Newsletter2Go diesen zweistufigen Prozess einhalten. Das Oberlandesgericht (OLG) Düsseldorf hat in diesem Kontext festgestellt, dass Newsletter-Versender Usern nach Eintragen ihrer E-Mail-Adresse eine Mail zukommen lassen müssen, damit diese das Abonnieren des Newsletters bestätigen. Das OLG hat so noch einmal die Rechtmäßigkeit des Double-Opt-In-Verfahrens betont.

Nutzerregistrierung

Um sich im Web für Dienste oder Portale anzumelden, müssen User in der Regel eine Nutzerregistrierung vornehmen. Das kann in der Praxis die Anmeldung für einen Onlineshop, ein Forum oder ein Dienstleistungsportal sein.

Darum ist eine Nutzerregistrierung datenschutzrechtlich relevant

Bei einer Nutzerregistrierung müssen User verschiedene Daten angeben. Damit Seitenbetreiber ein Konto für Nutzer anlegen können, benötigen sie in jedem Fall ihre E-Mail-Adresse. Diese dient dazu, Nutzern die Registrierung zu bestätigen. Daneben fragen Seitenbetreiber oftmals auch andere Daten wie den Namen, die Anschrift und die Telefonnummer ab, um ein Nutzerkonto anzulegen. Dabei handelt es sich um personenbezogene Daten, die per Gesetz besonders geschützt sind. Daher dürfen Seitenbetreiber diese nur erheben, wenn sie dafür die Zustimmung der User haben.

Nutzerregistrierung datenschutzkonform anbieten

Damit Webseitenbetreiber eine Nutzerregistrierung den deutschen Datenschutzgesetzen entsprechend anbieten, müssen sie eine Reihe von Vorgaben beachten.

Einwilligung einholen

Im Rahmen der Abfrage der personenbezogenen Daten wie E-Mail-Adresse und Namen müssen sie User per Opt-In in die Datenerhebung und -verwendung zustimmen lassen. Art. 6 Abs. 1 lit. a Datenschutz-Grundverordnung (DSGVO) rechtfertigt das. In diesem Kontext sollten sie auch einen Link zur Datenschutzerklärung zur Verfügung stellen. Diese sollte Nutzer aufklären,

  • dass sie ihre personenbezogenen Daten speichern,
  • wofür sie diese verwenden,
  • wie lange sie diese speichern und
  • dass sie die Verantwortung übernehmen, ihre personenbezogenen Daten zu schützen.

Um sicher zu gehen, dass sich User wirklich für die Nutzerregistrierung entschieden haben, stehen Seitenbetreibern zwei Möglichkeiten zur Verfügung. Zum einen können sie der angegebenen E-Mail-Adresse eine Bestätigungsmail zukommen lassen. Diese weist User daraufhin, dass sie einen Account bei der entsprechenden Webseite eröffnet haben.

Zum anderen – und das ist die rechtlich sichere Variante – senden Seitenbetreiber Usern eine Mail zu, die sie die Nutzerregistrierung per Linkklick bestätigen lässt. Dieses Double-Opt-In lässt Seitenbetreiber sicher gehen, dass sich User tatsächlich registrieren wollten. Alternativ können sie User bei der Anmeldung darauf hinweisen, dass sie keine Bestätigungsmail mehr erhalten und das Kundenkonto nach Eingabe ihrer Daten automatisch angelegt ist.

Datensparsamkeit beachten

Die DSGVO gibt vor, dass Seitenbetreiber nur die Daten erheben sollten, die sie für den angestrebten Zweck benötigen. Weitere Daten, die nicht für eine Nutzerregistrierung notwendig sind, sollten sie daher nicht abfragen. Damit genügen sie der Anforderung der Datensparsamkeit.

Datentransfer verschlüsseln

Um die Daten der User zu schützen, sollten Webseitenbetreiber den Datentransfer – also das Übermitteln von E-Mail-Adressen, Namen und Anschrift an die internen Server – verschlüsseln. Diese Pflicht gibt ihnen § 13 Abs. 7 Telemediengesetz vor. Um diesen Anforderungen gerecht zu werden, bietet sich ein anerkanntes Verschlüsselungsverfahren wie TLS an.

Rechtsprechung zur Nutzerregistrierung

Das Amtsgericht Pankow-Weißensee hat am 16.12.2014 entschieden, dass Anmeldebestätigungen, die User nach einer Nutzerregistrierung per Mail erhalten, abmahnbar sind (Az. 101 C 1005/14). Das bedeutet für Seitenbetreiber: Sie sollten auf Nummer sicher gehen und auch bei Nutzerregistrierungen das Double-Opt-In-Verfahren verwenden und User so die Anmeldung noch einmal bestätigen lassen.

OneDrive

OneDrive ist ein Cloud-Speicher von Microsoft. Unternehmen können über den Dienst Dateien online ablegen und bearbeiten. Oftmals nutzen Unternehmen OneDrive in Kombination mit Microsoft Office. Sie erstellen dabei im Cloud-Speicher beispielsweise Dokumente und teilen und bearbeiten diese mit anderen Personen. Wie bei jeder Cloud sind alle online abgelegten Dateien jederzeit und ortsunabhängig zugänglich.

Warum ist OneDrive datenschutzrechtlich relevant?

Speichern Unternehmen Kundendaten in OneDrive, kann Microsoft diese einsehen. Denn: Microsoft scannt gespeicherte Daten, um eigenen Angaben zufolge Schadcode zu identifizieren. Und: Es scannt Dateien, um Auflagen des US-Gesetzgebers zu erfüllen. Das erklärt der Konzern in den Nutzungsbedingungen. Microsoft kann daher – je nach Art der Daten – auf personenbezogene Daten zugreifen. Die Server, auf denen die Daten bei OneDrive liegen, befinden sich in den USA. Damit geben Unternehmen ihre Kundendaten an einen Dritten außerhalb der EU weiter. Sie müssen daher besondere datenschutzrechtliche Pflichten erfüllen.

Wie können Seitenbetreiber OneDrive datenschutzkonform verwenden?

Um bei der Verwendung von OneDrive die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einzuhalten, müssen Unternehmen diesen Pflichten nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Artikel 28 DSGVO schreibt vor: Geben Unternehmen personenbezogene Daten an einen Dritten weiter, müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung schließen. Nutzen Unternehmen also OneDrive, um personenbezogene Kundendaten abzulegen, müssen sie mit Microsoft einen derartigen Vertrag eingehen. Darin sollten sie erklären,

  • welche personenbezogenen Daten sie an Microsoft weitergeben,
  • wie lange Microsoft diese Daten speichert,
  • warum Microsoft diese Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Verarbeiten und speichern Unternehmen über OneDrive personenbezogene Daten, geben sie diese an Microsoft und damit an einen Dritten weiter. Darauf müssen sie in ihrer Datenschutzerklärung hinweisen. In diesem Kontext sollten sie erwähnen, dass sie für die Datenweitergabe mit Microsoft einen Vertrag zur Auftragsverarbeitung geschlossen haben. Dabei sollten sie angeben,

  • warum sie über OneDrive personenbezogene Daten erheben,
  • wie lange sie die personenbezogenen Daten speichern,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass User der Datenerhebung und -speicherung jederzeit widersprechen können.

Um Nutzern einen tieferen Einblick in die Verarbeitung ihrer Daten zu geben, sollten Unternehmen in ihrer Datenschutzerklärung auch auf die Datenschutzbestimmungen und Nutzungsbestimmungen von Microsoft aufmerksam machen. Nutzer können dann selbst überprüfen, was Microsoft mit ihren Daten macht.

Einen Hinweis auf den Privacy Shield sollten Unternehmen aus ihrer Datenschutzerklärung entfernen. Denn: Der Europäische Gerichtshof (EuGH) erklärte diesen kürzlich für unwirksam, um darüber Daten in ein Drittland außerhalb der EU zu versenden.

Standardvertragsklauseln prüfen

Microsoft übermittelt Daten aus OneDrive auf Basis von Standardvertragsklauseln in die USA. Deutsche Unternehmen dürfen eine Datenweitergabe über Standardvertragsklauseln jedoch nur vornehmen, wenn in dem Zielland ein ähnliches Datenschutzniveau herrscht. In den USA gibt es derzeit kein Datenschutzniveau, das dem der DSGVO entspricht. Es ist daher unklar, inwiefern Unternehmen auf der Basis von Standardvertragsklauseln Daten über OneDrive in die USA übersenden dürfen.

Rechtsprechung zu OneDrive

Im Juli 2020 entschied der EuGH: Der Privacy Shield eignet sich nicht als rechtliche Basis, um personenbezogene Daten in die USA zu verschicken. Denn: Dort kommen Überwachungsprogramme zum Einsatz, die nicht auf das zwingend erforderliche Maß beschränkt sind. Zudem haben europäische User keine Klagemöglichkeit, wenn US-amerikanische Firmen oder Behörden ihre Daten missbrauchen sollten (Az. C-311/18).

Die Datenschutzbehörde Hamburg belegte im Dezember 2018 ein Versandunternehmen mit einer Strafe von 5250 Euro. Der Grund: Das Unternehmen hatte mit einem beauftragten Dienstleister, der Zugriff auf personenbezogene Daten erhielt, keinen Vertrag zur Auftragsverarbeitung geschlossen. Grundsätzlich ist bei einem derartigen Verstoß ein Bußgeld von bis zu 10 Millionen Euro oder alternativ bis zu 2 Prozent des Jahresumsatzes möglich.

Datenschutzerklärung und OpenStreetMaps

OpenStreetMap ist eine quelloffene Karte, die Webseitenbetreiber auf ihrer Webseite einbinden können, um beispielsweise ihren Unternehmensstandort anzuzeigen. User können über die Anwendung die Karte aufrufen und so zum Beispiel Routen planen.

Darum ist OpenStreetMap datenschutzrechtlich bedenklich

Webseitenbetreiber binden OpenStreetMap über ein iframe bzw. durch den Abruf der Kartenbilder vom Server des Anbieters ein. Auf diese Weise erhebt die Map automatisch Daten zum User, unter anderem die IP-Adresse. Dabei handelt es sich um personenbezogene Daten, für dessen Erhebung Seitenbetreiber die Erlaubnis der User benötigen.

Können Webseitenbetreiber OpenStreetMap datenschutzkonform verwenden?

Um OpenStreetMap gemäß der deutschen Datenschutzanforderungen auf einer Webseite einzubinden, sollten Webseitenbetreiber eine Einwilligung der User zur Erhebung ihrer personenbezogenen Daten einholen. Daneben sollten sie in ihrer Datenschutzerklärung darauf hinweisen, warum und in welchem Umfang sie Daten für die Verwendung von OpenStreetMap sammeln und welche Daten sie dabei an den Kartenanbieter weiterleiten. Webseitenbetreiber, die User nicht ausführlich darüber aufklären, verstoßen gegen die DSGVO. Es droht ihnen ein Bußgeld von bis zu 50.000 Euro.

Rechtsprechung zur Datenschutzerklärung und OpenStreetMap

Bisher gibt es keine Rechtsprechung zum Thema Datenschutzerklärung und OpenStreetMap. Da Webseiten durch die Einbindung der Karten jedoch personenbezogene Daten an den Dienst versenden, stehen sie in der Pflicht, Nutzer in ihrer Datenschutzerklärung darüber aufzuklären. Dazu hat das Landgericht Hamburg sowohl am 10.03.2016 als auch am 09.08.2018 entschieden, dass Webseitenbetreiber nur Analysedienste wie Google Analytics – die ebenfalls personenbezogene Daten erheben und speichern – verwenden dürfen, wenn sie in ihrer Datenschutzerklärung darüber informieren (Az. 312 O 127/16 und 406 HKO 120/16).

Diese Urteile könnten analog auf den Einsatz von OpenStreetMap Anwendung finden. Das bedeutet: Informieren Webseitenbetreiber in ihrer Datenschutzerklärung Nutzer nicht darüber, wie, warum und in welchem Umfang sie Daten erheben und an OpenStreetMap versenden, erfüllen sie nicht die Voraussetzungen des deutschen Datenschutzes.

Paydirekt und Datenschutzerklärung

Paydirekt ist ein Online-Bezahlverfahren der deutschen Banken und Sparkassen. Im Unterschied zu anderen Payment-Diensten ist Paydirekt kein Drittanbieter. Es ist ein zentraler Softwaredienst zur Zahlungsabwicklung im Internet. Damit ist das Bezahlverfahren eine Zusatzfunktion eines Girokontos.

Diese Daten sammelt Paydirekt

Wollen sich Nutzer für Paydirekt registrieren, benötigen sie ein Girokonto mit Online-Banking bei einer der teilnehmenden Banken oder Sparkassen. Die Registrierung verlangt einen Nutzernamen und ein Passwort vom User. Danach können sie das Bezahlverfahren verwenden.
Nutzen User ihren Paydirekt-Account, um Zahlungen abzuwickeln, erhebt das Unternehmen verschiedenen Daten. Dazu gehören u. a.

  • die Transaktionsdaten der Überweisung
  • Informationen zum Warenkorb, die der Händler mit Paydirekt teilt, und
  • die Lieferadresse der Online-Bestellung.

Diese Daten machen es Paydirekt möglich, die Transaktion einem Kunden genau zuzuordnen. Damit handelt es sich um personenbezogene Daten.

Das kritisieren Datenschützer bei Paydirekt

2017 nahmen zahlreiche deutsche Sparkassen eine AGB-Änderung vor, die ihren Kunden automatisch einen Account bei Paydirekt vorregistrierte. Widersprachen Kunden der AGB-Änderung nicht innerhalb von zwei Monaten, legten die Sparkassen die Accounts an. Dazu übertrugen sie die Stammdaten ihrer Kunden an Paydirekt.Dafür hätten die Sparkassen jedoch die Einwilligung ihrer Kunden benötigen können. Die Informierung über die AGB-Änderung zählt hierbei nicht als gültige Zustimmung der Kunden, da sie aus Sicht der Datenschützer nicht die Anforderungen des § 4a Abs. 1 Bundesdatenschutzgesetz (BDSG) erfüllt. Derzeit ermitteln daher die Landesdatenschutzbehörden in Hessen und Thüringen.

Paydirekt datenschutzkonform verwenden

Wollen Onlineshops Paydirekt als Zahlungsdienst datenschutzkonform anbieten, müssen sie Nutzer in ihrer Datenschutzerklärung ausführlich darüber informieren. Dazu müssen sie angeben, welche Daten (z. B. Zahlungsbetrag, Lieferadresse etc.) sie zu welchem Zweck an Paydirekt übermitteln.Shopbetreiber sollten User zudem darauf hinweisen, dass sie der Verwendung ihrer Daten jederzeit widersprechen können. Sie dürfen jedoch die Daten, die Paydirekt für die Zahlungsabwicklung zwingend benötigt, weiter an das Unternehmen übergeben.

PayPal und Datenschutzerklärung

PayPal ist ein Online-Bezahldienst, über den User Geld empfangen und senden können. Sie verbinden dazu ihr Girokonto oder ihre Kreditkarte mit PayPal. Der Paymentdienst gehört zu den am meisten genutzten Verfahren im Online-Handel.

Diese Daten sammelt PayPal

Wollen sich User bei PayPal anmelden, müssen sie dafür ein bestehendes Konto mit PayPal verbinden. Um ihren Account einzurichten, müssen sie Herkunftsland, Vor- und Nachname, E-Mail-Adresse sowie Passwort angeben.

Das kritisieren Datenschützer bei PayPal

PayPals Datenschutzerklärung umfasst derzeit 26 Seiten. Wollen Verbraucher diese lesen, benötigen sie dafür im Schnitt 24 Minuten. Verbraucherschützer bewerten diese daher als formal unverständlich. Darüber hinaus greift der Zahlungsdienstleister auf Formulierungen wie „gegebenenfalls“, „möglicherweise“ und „unter bestimmten Umständen“ zurück, so dass User nicht eindeutig erkennen können, wie PayPal ihre Daten tatsächlich verarbeitet.Aus der Datenschutzerklärung geht zudem hervor, dass sich PayPal das Recht einräumt, Nutzerdaten an mehrere hundert Drittunternehmen weiterzugeben. Das darf PayPal jedoch nur, wenn es dafür die Einwilligung der User für den konkreten Fall besitzt. Diese „Blanko-Einwilligung“ ist daher keine wirksame Rechtsgrundlage für die Weitergabe der Daten an Dritte.
Weiterhin gewährt PayPals Datenschutzerklärung Usern weder ein Widerrufs- noch ein Widerspruchsrecht gegen die Verarbeitung ihrer Daten.

Gesetzeskonforme Datenschutzerklärung mit Beginn der DSGVO?

Ab dem 25. Mai setzt PayPal auf eine neue Datenschutzerklärung. Diese ist dann nur noch 11 Seiten lang und damit deutlich übersichtlicher als die aktuelle. Darin fehlt dann die Liste der Drittunternehmen, an die PayPal derzeit noch Userdaten weitergibt. Hier ist daher offen, ob PayPal mit Beginn der DSGVO keine Daten mehr an diese weiterreicht. Laut der neuen Datenschutzerklärung nimmt PayPal das nur noch vor, wenn es eine konkrete Zustimmung der User dafür hat. Die ab dem 25. Mai geltende Erklärung gewährt Usern dann auch ein Widerspruchsrecht gegen die Datenverarbeitung, so wie es Art. 21 DSGVO vorschreibt.

PayPal datenschutzkonform verwenden

Wollen Shopbetreiber PayPal in ihrem Checkout datenschutzkonform verwenden, müssen sie User über den Einsatz von PayPal in ihrer Datenschutzerklärung informieren. Sie sind dabei verpflichtet Nutzern zu erklären, welche Daten sie zu welchem Zweck an PayPal weiterleiten. Daneben sollten sie sie auch darauf hinweisen, dass User der Verwendung ihrer Daten jederzeit widersprechen können. Das gilt jedoch nicht für die Daten, die PayPal zwingend benötigt, um Zahlungen abzuwickeln. Diese Daten dürfen Shopbetreiber weiter an PayPal übermitteln.

Datenschutzerklärung und Pinterest Plugin

Pinterest ist ein soziales Netzwerk für das Teilen von Bildern. Nutzer können in dem Netzwerk Bilder an virtuelle Pinnwände heften, teilen, liken und kommentieren. Unternehmen verwenden Pinterest als Marketingkanal, um Produkte zu promoten und ihre Zielgruppe mit für sie relevanten Inhalten zu bedienen.

Diese Daten sammelt Pinterest

Wollen sich Nutzer bei Pinterest anmelden, müssen ihre E-Mail-Adresse angeben sowie ein Passwort generieren. Melden sie sich über den Single Sign On für Facebook an, erhält Pinterest zudem Zugriff auf weitere Informationen wie E-Mail, Freundeslisten und Interessen (abhängig von den Privatsphäre-Einstellungen). Einmal im Netzwerk registriert, erhebt Pinterest Daten zu allen Aktivitäten, die User vornehmen. Das können u. a. erstellte Pinnwände, Likes und Kommentare sein. Kaufen Nutzer etwas über Pinterest, erfasst das Netzwerk Daten zu den Zahlungsinformationen, den Kontaktdaten (wie z. B. Anschrift und Telefonnummer) und alle Informationen zu dem Kauf selbst. Darüber hinaus speichert das Unternehmen auch Daten zum verwendeten Browser, Endgerät und zur IP-Adresse.Pinterest gibt selbst an, die gesammelten Daten zu verwenden, um Usern den Dienst bereitzustellen und ihnen relevante und interessante Inhalte anzuzeigen. Dazu zählt auch das Einblenden von personalisierter Werbung.

Diese Datenschutzprobleme bringt Pinterest mit

Wie auch Facebook und Instagram übermittelt Pinterest über Schnittstellen Userdaten an Werbekunden, damit diese Nutzern Anzeigen einblenden können. Das ist dem Unternehmen jedoch nur erlaubt, wenn es für den konkreten Fall die Zustimmung der User dafür einholt. Dem kommt Pinterest jedoch nicht nach.Klicken User auf einer Webseite auf das Social Plugin von Pinterest, geben sie automatisch ihre Daten an das Netzwerk weiter. Dazu zählt dann u. a. ihre IP-Adresse, die zu den personenbezogenen Daten gehört.

So können Webseitenbetreiber Pinterest datenschutzkonform nutzen

Wollen Webseitenbetreiber Pinterest nutzen, müssen sie Nutzer in ihrer Datenschutzerklärung darauf hinweisen. Darüber hinaus gilt: Nutzen sie das Social Plugin von Pinterest, müssen sie die Zustimmung der Nutzer einholen, ihre Daten bei Klick auf die Bilder an das Unternehmen weiterzuleiten zu dürfen. Das ist derzeit praktisch jedoch nicht zu lösen. Alternative Plugins wie das eRecht Safe Sharing Tool helfen dabei, die Daten der User zu schützen.

Rechtsprechung zu Pinterest

Am 09.03.2016 hat das Landgericht Düsseldorf entschieden, dass der auf Webseiten implementierte Facebook-Like-Button gegen deutsche Datenschutzbestimmungen verstößt (Az. 12 O 151/15). Aktuell prüft der Europäische Gerichtshof (EuGH), ob der Button rechtlich zulässig ist. Dabei ist noch keine Entscheidung gefallen. Kommt der EuGH zu dem Schluss, dass der Like-Button nicht datenschutzkonform ist, dürfte das auch Auswirkungen auf die Zulässigkeit des Pinterest-Buttons haben. Denn: Dieser gibt ebenso wie der Like-Button von Facebook ungefragt Daten an Pinterest weiter, sobald User daraufklicken.

ProvenExpert

ProvenExpert ist ein deutscher Online-Service, über den Unternehmen Feedback ihrer Kunden und Geschäftspartner einholen können. ProvenExpert bietet dazu branchenspezifische Umfragevorlagen an, die Bewertungen generieren. Unternehmen erhalten so wichtige Einblicke in die Kundenzufriedenheit und decken ungenutzte Potenziale auf. Gleichzeitig erzeugt ProvenExpert aus den gesammelten Bewertungen ein Siegel, das sie auf ihrer Webseite einbinden können.

Warum ist ProvenExpert datenschutzrechtlich relevant?

Unternehmen erheben Daten ihrer Webseitenbesucher, sobald diese eine Seite mit einem ProvenExpert-Plugin besuchen. ProvenExpert stellt dann eine Verbindung zu seinem Server her und speichert Daten dazu, welche Seiten User auf der Webseite besucht haben.

Geben User eine Bewertung über ProvenExpert ab, erfasst und speichert der Anbieter ihre E-Mail-Adresse und technische Daten wie ihre IP-Adresse und Informationen über den verwendeten Webbrowser. Unternehmen geben auf diese Weise personenbezogene Daten an ProvenExpert weiter. Sie müssen dafür besondere datenschutzrechtliche Pflichten erfüllen.

ProvenExpert datenschutzkonform nutzen

Um ProvenExpert datenschutzkonform zu verwenden, müssen Unternehmen ihre Datenschutzerklärung anpassen. Sie sollten Nutzer darin darauf hinweisen, dass sie über ProvenExpert personenbezogene Daten erheben und an den Anbieter weitergeben. Dabei sollten sie erklären,

  • warum sie personenbezogene Daten über ProvenExpert erheben,
  • wie lange sie die Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass User der Datenerhebung und -speicherung jederzeit widersprechen können.

Darüber hinaus sollten sie Nutzer auf die Datenschutz- und Nutzungsbestimmungen von ProvenExpert verweisen. User können dann selbst überprüfen, warum und wie der Anbieter ihre Daten verarbeitet.

Rechtsprechung zu ProvenExpert

Bisher liegt, soweit ersichtlich, keine Rechtsprechung zu ProvenExpert vor.

Datenschutzerklärung und Rapidmail

Rapidmail ist eine Online-Software für professionelles E-Mail-Marketing. Nutzer können darüber Newsletter und Mail-Kampagnen planen, erstellen und versenden. Derzeit greifen über 80.000 Nutzer auf das Tool zurück.

Rapidmail und Datenschutz

Webseitenbetreiber nutzen Rapidmail, um Usern Newsletter zukommen zu lassen. Dafür erheben und speichern sie ihre E-Mail-Adresse. Diese zählt zu den personenbezogenen Daten und ist daher besonders schützenswert. Seitenbetreiber müssen daher eine Reihe von Pflichten erfüllen, um nicht gegen deutsche Gesetze zu verstoßen. Unter anderem schreiben ihnen dabei das Bundesdatenschutzgesetz (BDSG), das Gesetz gegen unlauteren Wettbewerb (UWG), das Telemediengesetz (TMG) und ab dem 25. Mail auch die Datenschutz-Grundverordnung (DSGVO) verschiedene Regeln vor.

So bringen Seitenbetreiber Rapidmail datenschutzkonform zum Einsatz

Bevor Webseitenbetreiber Newsletter über Rapidmail verschicken können, benötigen sie die Einwilligung der User in den Versand des Newsletters.

Double-Opt-In für E-Mail- und SMS-Newsletter

Für das Versenden des Newsletters per E-Mail müssen sich Webseitenbetreiber die Zustimmung in einem zweistufigen Verfahren abholen. Dabei fragen sie zunächst die E-Mail der Nutzer ab und lassen sie in diesem Kontext in den Newsletter-Versand einwilligen. Gleichzeitig sollten sie User darauf hinweisen, dass sie den Newsletter jederzeit wieder abbestellen können. Sie erhalten dann eine E-Mail, die ihnen das Sign-Up für den Newsletter anzeigt. User müssen diese Mail per Klick auf einen Link bestätigen, um so den Versand zu starten. Dieses Vorgehen ist als Double-Opt-In bekannt.Daneben können Seitenbetreiber ihren Newsletter bei Rapidmail auch per SMS verschicken. Hierfür benötigen sie die Telefonnummer der Nutzer sowie die Einwilligung in den Versand des Newsletters an ihre Nummer. Das Double-Opt-In-Verfahren aus dem E-Mail-Marketing können Seitenbetreiber hier in abgewandelter Form nutzen. Dazu können sie die Telefonnummer der Interessenten über eine Online-Maske abfragen und sie darüber aufklären, dass sie mit Eintragen ihrer Nummer den Newsletter abonnieren. Ein Hinweis, dass sie diesen jederzeit wieder abbestellen können, darf auch hier nicht fehlen. User sollten diese Hinweise per Opt-In bestätigen können. Im nächsten Schritt zeigt die Online-Maske dann die Telefonnummer des Newsletter-Versenders an. Nutzern speichern diese ab und senden eine SMS mit einem Befehl wie „Start“, der den Newsletter aktiviert.

Rapidmail in Datenschutzerklärung aufführen

Neben Double-Opt-In für E-Mail und SMS müssen Webseitenbetreiber in ihrer Datenschutzerklärung angeben, dass und wie sie Rapidmail für den Newsletter-Versand nutzen. Sie müssen darüber informieren, warum und welche User-Daten sie dabei erheben und verwenden. Im Gesetz gibt ihnen das § 13 Abs. 1 TMG vor. Die DSGVO, die hier ab dem 25. Mai übernimmt, schreibt dann in Art. 13 vor, dass Seitenbetreiber in ihrer Datenschutzerklärung anführen müssen,

  • wofür sie die personenbezogenen Daten, die sie für den Newsletter-Versand über Rapidmail sammeln und speichern, verwenden,
  • wie lange sie die personenbezogenen Daten speichern,
  • welches Gesetz ihnen die Datenerhebung und -verwendung erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
  • dass sie der Zustimmung zur Datenverwendung jederzeit widersprechen können.

Vertrag zur Auftragsverarbeitung abschließen

Damit Webseitenbetreiber die Daten der User datenschutzkonform verarbeiten, müssen sie mit Rapidmail einen Vertrag zur Auftragsverarbeitung abschließen. Im Gesetz schreibt das § 11 BDSG vor. Die DSGVO gibt ab dem 25. Mai im Detail vor, dass ein Vertrag mit Rapidmail vor allem darüber informieren muss,

  • welche Daten Seitenbetreiber wie lange speichern und verarbeiten,
  • warum sie diese Daten verarbeiten und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Rapidmail ermöglicht es Newsletter-Versendern, den Vertrag zur Auftragsverarbeitung elektronisch in ihrem Account abzuschließen. Ist der Vertrag geschlossen, müssen Seitenbetreiber in ihrer Datenschutzerklärung über die Verwendung von Rapidmail informieren. Sie müssen User darauf hinweisen, dass sie einen Vertrag zur Auftragsverarbeitung mit Rapidmail geschlossen haben. In diesem Rahmen müssen sie ihnen auch erklären, wie Rapidmail ihre Daten nutzt.

Rechtsprechung zum Versand von Newslettern über Rapidmail

Webseitenbetreiber, die bei der Einholung der User-Einwilligung nicht auf Double-Opt-In setzen, laufen Gefahr abgemahnt zu werden. Der Bundesgerichtshof hat am 10.02.2011 geklärt, dass das Double-Opt-In-Verfahren dazu geeignet ist, die Zustimmung der User in einen Newsletter-Versand einzuholen (Az. I ZR 164/09).

Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit findet sich in Artikel 20 der Datenschutz-Grundverordnung (DSGVO). Es gibt Verbrauchern das Recht, sich ihre personenbezogenen Daten, die sie einem Unternehmen zur Verfügung gestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format ausstellen zu lassen.

Welchen Zweck hat das Recht auf Datenübertragbarkeit?

Zum einen soll das Recht auf Datenübertragbarkeit sicherstellen, dass Verbraucher Anbieter im Internet ohne Aufwand wechseln können. Voraussetzung dafür ist, dass sie ihre Daten problemlos übertragen können. Vor der DSGVO hat der sogenannte „Lock-In-Effekt“ dafür gesorgt, dass Verbraucher ihren Anbieter nicht gewechselt haben, da ein Wechsel für sie zu aufwendig war.

Zum anderen soll das Recht auf Datenübertragbarkeit das Grundrecht auf informationelle Selbstbestimmung umsetzen. Dies gibt vor, dass Verbraucher selbst darüber bestimmen sollen, wie ihre personenbezogenen Daten verwendet werden. Rücken Unternehmen Kundendaten nicht heraus, ist das Recht auf informationelle Selbstbestimmung verletzt.

Welche Voraussetzungen müssen für das Recht auf Datenübertragbarkeit erfüllt sein?

Damit Verbraucher das Recht auf Datenübertragbarkeit wahrnehmen können, müssen

  • personenbezogene Daten im Sinne von Art. 4 I DSGVO betroffen sein,Verbraucher ihre Daten den Verantwortlichen bereitgestellt haben,
  • die Verantwortlichen die Daten aufgrund einer Einwilligung oder eines berechtigten Interesses verarbeitet haben und
  • die Verantwortlichen die Daten über ein automatisiertes Verfahren verarbeitet haben.

In der Praxis liegen diese Voraussetzungen bei klassischen Anbietern wie von Newslettern, Social-Media-Netzwerken und Business-Plattformen vor. Denn: User willigen bereits beim Anmeldeprozess in die Datenverarbeitung ein.

Welche Anbieter sind von dem Recht betroffen?

Das Recht auf Datenübertragbarkeit betrifft zum Beispiel

  • soziale Netzwerke,
  • Anbieter von Fitnesstrackern,
  • Suchmaschinen,
  • Businessportale,
  • Onlineshops und
  • Banken.

Wann liegt kein Recht auf Datenübertragbarkeit vor?

  • Betroffene haben kein Recht auf Datenübertragbarkeit, wenn
  • der Verantwortliche die personenbezogenen Daten nur genutzt hat, um öffentliche Aufgaben wahrzunehmen (Art. 20 III S.2 DSGVO),
  • die Datenverarbeitung die Rechte und Freiheiten anderer Personen betrifft (Art. 20 IV DSGVO) oder
  • der Anbieter die Daten technisch nicht zu einem anderen Anbieter übertragen kann.

Für die Praxis heißt das: Wollen Verbraucher ihre Daten übertragen lassen, verletzen sie dabei aber beispielsweise die Rechte anderer Personen, wie zum Beispiel, wenn die Datenübertragung geistiges Eigentum verletzt oder durch die Übertragung auch personenbezogene Daten anderer Nutzer übermittelt werden, könnte kein Recht auf die Übertragung bestehen. Das kann zum Beispiel bei der Datenübertragung von Netzwerkprofilen oder E-Mail-Verkehr sein. Denn: Auf diese Weise erhalten Verbraucher und der neue Anbieter Daten von anderen Nutzern.

Ob dann kein Recht auf Datenübertragbarkeit besteht, ist jedoch vom Einzelfall abhängig. Die Tendenz geht dahin, dass Anbieter häufig dennoch die Datenübertragung vornehmen müssen.

Wie können Unternehmen das Recht auf Datenübertragbarkeit umsetzen?

Unternehmen können das Recht der Verbraucher auf Datenübertragbarkeit umsetzen, indem sie ihnen die Daten über ein geeignetes Medium zukommen lassen. Das kann zum Beispiel per

  • Download aus einer Cloud,
  • USB-Stick,
  • Barcode,
  • E-Mail,
  • Office-Dokument oder
  • PDF

sein. In jedem Fall müssen sie die Daten so ausstellen, dass sie auf verschiedenen Systemen abrufbar sind. Wollen Verbraucher, dass ihre Daten direkt an einen neuen Anbieter gehen, müssen die Verantwortlichen diesem Wunsch nachkommen.

Haben Verbraucher einen schriftlichen oder mündlichen Antrag zur Übertragung ihrer personenbezogenen Daten gestellt, haben Unternehmen und Behörden einen Monat Zeit, ihrer Pflicht nachzukommen. Das schreibt Art. 12 III DSGVO vor. Sie dürfen sich dafür bis zu 3 Monate Zeit nehmen, wenn sie besonders viele Anfragen zur Datenübertragung erhalten und es sich daher um eine komplexe Aufgabe handelt. Sie dürfen für die Datenübertragung keine Kosten in Rechnung stellen.

Lehnen Unternehmen einen Antrag zur Datenübertragung ab, müssen sie das begründen. Das kann zum Beispiel sein, wenn der Antragsteller seine Identität nicht ausreichend nachweist. Lehnen sie einen Antrag ab, missachten sie so jedoch die Rechte und Freiheiten des Verbrauchers, droht ihnen ein Bußgeld durch die zuständige Aufsichtsbehörde. Diese kann Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes des Unternehmens verhängen.

Worauf sollten Verbraucher beim Recht auf Datenübertragbarkeit achten?

Lassen Verbraucher ihre Daten von einem Anbieter zu einem anderen übertragen, sollten sie gleichzeitig ihre Daten beim alten Anbieter löschen lassen. Denn: Ansonsten bestehen diese dort weiter. Das führt zu einer Vervielfältigung der Daten. Das steht dem Prinzip der Datensparsamkeit entgegen.

Recht auf Einschränkung der Verarbeitung

Das Recht auf Einschränkung der Verarbeitung ist in Artikel 18 der Datenschutz-Grundverordnung (DSGVO) geregelt. Es gibt Betroffenen das Recht, ihre Daten statt löschen nur eingeschränkt verarbeiten zu lassen. Das heißt: Die Verantwortlichen dürfen dann personenbezogene Daten wie Namen, Anschrift und E-Mail nur noch bedingt verarbeiten. Das ist vor allem sinnvoll und praktikabel, wenn die Löschung von Daten nicht möglich ist oder die Betroffenen ein Interesse an einer milderen Lösung haben.

Einschränkung als Alternative zur Löschung von DatenArtikel 18 DSGVO ist ausschließlich ein Recht der Betroffenen. Entscheiden sie sich dafür, ihre Daten nicht löschen, sondern nur noch eingeschränkt verarbeiten zu lassen, müssen die Verantwortlichen diesem Wunsch nachkommen. Betroffene sollten dabei abwägen, ob sie ihre personenbezogenen Daten alle unwiderruflich löschen lassen wollen. Artikel 18 soll Verbrauchern daher eine weniger radikale Alternative zur Löschung bieten.

Voraussetzungen für die Einschränkung der Datenverarbeitung

Damit Betroffene die Verarbeitung ihrer Daten einschränken können,

  • müssen sie bestreiten, dass ihre personenbezogenen Daten richtig sind,
  • muss die Verarbeitung unrechtmäßig sein und Betroffene statt einer Löschung eine Einschränkung fordern,
  • der Verantwortliche die personenbezogenen Daten nicht mehr für eine Verarbeitung, aber für die Ausübung von Rechtsansprüchen benötigt oder
  • Betroffene einer Verarbeitung ihrer Daten widersprochen haben, solange noch nicht sicher ist, ob der Verantwortliche berechtigte Gründe hat, die das Interesse der Betroffenen überwiegen.

So können Betroffene die Datenverarbeitung einschränken

Liegt eine der genannten Voraussetzungen vor, müssen Betroffene zunächst fordern, dass der Verantwortliche ihre Daten löscht. Dass muss nicht ausdrücklich per Schreiben erfolgen, sondern kann sich auch aus einer Handlung erschließen.

Wollen Betroffene ein milderes Mittel wählen, können sie ihre Daten eingeschränkt verarbeiten lassen, wenn der Zweck, für den die Daten erhoben wurden, schon erfüllt ist. Das ist zum Beispiel sinnvoll, wenn Betroffene damit rechnen, dass sie die Daten bei den Verantwortlichen doch noch einmal benötigen könnten.

Wann können Verbraucher ihre Daten nicht löschen lassen?

Haben Betroffene der Verarbeitung ihrer Daten widersprochen, um keine Direktwerbung mehr zu erhalten, können sie ihre Daten nicht löschen lassen. Denn: Die Verantwortlichen benötigen die Daten weiterhin, um zum Beispiel sicherzustellen, dass sie nicht erneut Werbung an diese Daten verschicken. Das können sie beispielsweise vornehmen, indem sie die E-Mail-Adresse des Betroffenen auf eine Blacklist setzen. Betroffene können dann eine Einschränkung der Verarbeitung ihrer Daten verlangen.

Rechtsprechung zu Recht auf Einschränkung der Verarbeitung

Das Verwaltungsgericht Stade hat am 09.10.2018 in einem Beschluss bestimmt: Betroffene können eine Einschränkung der Verarbeitung ihrer Daten nur verlangen, wenn sie die bestehenden Daten hinreichend bestreiten und Nachweise für die korrekten Daten liefern (1 B 1918/18).

Server-Log-Dateien

Server-Log-Dateien protokollieren die Aktivitäten von Usern auf Webseiten. Sie speichern dabei Informationen wie das Datum und die Uhrzeit des Webseitenbesuchs, den Browsertyp, das Betriebssystem und die IP-Adresse des Users. Serverbetreiber erheben diese Daten in den Server-Log-Dateien, um

  • ihre Dienste bereitzustellen,
  • den Datenschutz zu kontrollieren und
  • Angriffe zu erkennen und sich davor zu schützen.

Das gewährt ihnen § 31 Bundesdatenschutzgesetz (BDSG).

Server-Log-Dateien datenschutzkonform verwenden

Da Server-Logfiles u. a. personenbezogene Daten erheben, wie zum Beispiel die IP-Adresse, müssen Webseitenbetreiber Maßnahmen ergreifen, um den Datenschutz zu wahren. Sie dürfen die Log-Dateien daher nicht nutzen, um das Verhalten ihrer Webseitenbesucher zu analysieren. Zudem dürfen sie die gesammelten Daten auch nicht mit anderen Daten in Verbindung setzen. Wollen Webseitenbetreiber die erhobenen Daten schützen, können sie die IP-Adressen der User anonymisiert in den Logfiles speichern lassen.

Darüber hinaus dürfen Seitenbetreiber die Protokolldateien nur so lange speichern, wie sie sie für den vorgesehenen Zweck benötigen. Sie sind daher verpflichtet, vor der Aufnahme der User-Daten festzulegen, wann sie die Daten wieder löschen wollen. Das Gesetz gibt dazu keine Fristen vor. Wie lange Webseitenbetreiber die Logfiles aufbewahren, hängt daher immer vom angestrebten Zweck der Daten ab. In der Regel sollten sie diese jedoch spätestens nach 6 Monaten löschen. Erlauben gesetzliche Anforderungen eine längere Speicherung, können sie die Files ausnahmsweise darüber hinaus aufbewahren.

Webseitenbetreiber müssen User zudem darüber aufklären, dass sie Server-Log-Dateien anlegen. Das können sie in ihrer Datenschutzerklärung vornehmen.

Rechtsprechung zu Server-Log-Dateien

Der Europäische Gerichtshof (EuGH) hat am 19.10.2016 entschieden, dass es sich bei IP-Adressen um personenbezogene Daten handelt, wenn Seitenbetreiber über die rechtlichen Mittel verfügen, die hinter der IP stehenden Personen zu identifizieren. Dazu sind sie grundsätzlich in der Lage.

Das heißt für die Praxis: Webseitenbetreiber dürfen die IP-Adressen über die Server-Log-Dateien nur erheben, wenn sie dafür eine gesetzliche Erlaubnis oder die Einwilligung der User besitzen. § 15 Abs. 1 Telemediengesetz stellt eine solche gesetzliche Erlaubnis dar. Danach ist die Erhebung von Daten zulässig, wenn Webseitenbetreiber die Daten der Nutzer verwenden, um ihnen die Inanspruchnahme von Telemedien – und damit den Webseitenbesuch – zu ermöglichen. Nach dem Webseitenbesuch müssen sie die Daten in der Regel jedoch wieder löschen. Ansonsten bewahren sie ohne rechtliche Grundlage personenbezogene Daten auf. Das verstößt gegen den deutschen Datenschutz.

Skype for Business

Skype for Business ist eine US-amerikanische Anwendung von Microsoft. Sie ermöglicht es Unternehmen, per IP-Telefonie, Videokonferenz und Real-Time-Collaboration zu kommunizieren. Daneben können Unternehmen über die Software Nachrichten und Dateien verschicken.

Darum ist Skype for Business datenschutzrechtlich relevant

Skype for Business speichert die Profildaten von Unternehmen, wenn sie einen Account anlegen.

Dabei speichert es Details wie

  • den Unternehmensnamen,
  • den Unternehmenssitz,
  • die E-Mail-Adresse und die
  • Telefonnummer.

Darüber hinaus erhebt Skype for Business die Daten der Telefon- und Videokonferenz-Teilnehmer. Dazu zählen unter anderem Usernamen, IP-Adressen und E-Mail-Adressen. Daneben speichert Skype Gesprächsinhalte, eingegebene Nachrichten und versendete Dateien. Welche Daten die Anwendung genau erhebt, hängt von der konkreten Nutzung ab. Grundsätzlich erhält Microsoft jedoch einen umfassenden Einblick in den Datenverkehr zwischen den Gesprächsteilnehmern. Dabei handelt es sich zum Teil um personenbezogene Daten. Unternehmen haben daher besondere Datenschutzpflichten.

Zudem sendet Skype alle gesammelten Daten an Server, die in den USA stehen. Damit dabei der Datenschutz der Datenschutz-Grundverordnung (DSGVO) gewahrt bleibt, müssen US-amerikanische Anbieter beim Privacy Shield registriert sein. Dieser stellt einen Datenschutz wie die DSGVO bereit. Skype for Business ist Teil des Privacy-Shield- Abkommens.

Skype for Business datenschutzkonform verwenden

Damit Unternehmen Skype for Business datenschutzkonform verwenden, müssen sie diese Anforderungen erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Bevor Unternehmen personenbezogene Daten von Gesprächsteilnehmern an Skype weitergeben, müssen sie mit dem Anbieter einen Vertrag zur Auftragsverarbeitung abschließen. Diese Pflicht schreibt Art. 28 DSGVO vor. Unternehmen können diesen bei Skype online abrufen. Sie sollten darauf achten, dass der Vertrag aufführt

  • welche Daten Skype speichert,
  • wie lange es diese Daten speichern will,
  • warum Skype die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen, die mit Skype for Business einen Vertrag zur Auftragsverarbeitung geschlossen haben, müssen das in ihrer Datenschutzerklärung angeben. Dabei müssen sie erklären,

  • warum sie welche Nutzerdaten sammeln und speichern,
  • wie lange sie die Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass User der Datenerhebung und Datenspeicherung jederzeit widersprechen können.

Datenschutzfreundliche Einstellungen wählen

Damit Unternehmen Skype for Business datenschutzkonform verwenden, sollten sie die Einstellungen der Anwendung so konfigurieren, dass diese möglichst wenige Daten der Gesprächsteilnehmer sammelt. Dazu sollten sie beispielsweise das Verhalten der Gesprächsteilnehmer nur dann tracken (wie z. B. über Klicks an bestimmten Stellen oder die Aufzeichnung des Gesprächs), wenn dies

  • einem erlaubten Zweck dient (nicht der Überwachung),
  • geeignet ist, diesen Zweck zu erfüllen und
  • erforderlich ist, diesen Zweck zu erfüllen.

Die Aufzeichnung eines Gesprächs kann zum Beispiel dann datenschutzrechtlich konform sein, wenn Unternehmen die genauen Inhalte später noch einmal benötigen. Nicht notwendig und datenschutzkonform ist eine Aufzeichnung beispielsweise, wenn Unternehmen nur einzelne Inhalte eines Gesprächs noch einmal benötigen. Denn: Sie könnten diese während des Gesprächs notieren. Speichern Unternehmen Daten aus einem Call oder einer Konferenz ab, dürfen sie diese nur so lange aufbewahren, wie sie diese auch tatsächlich brauchen. Das heißt: Sie sollten die Daten möglichst schnell wieder löschen.

Rechtsprechung zu Skype for Business

Unternehmen, die mit Skype keinen Vertrag zur Auftragsverarbeitung abschließen, droht ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes. Die Datenschutzbehörde Hamburg sprach daher im Dezember 2018 ein Bußgeld gegen ein Versandunternehmen aus. Dies hatte mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen. Es musste daher eine Strafe von 5.000 Euro zahlen.

Social-Media-Plugins mit Shariff

Social-Media-Plugins sind kleine Schaltflächen wie der Facebook-Like-Button, über den User Inhalte einer Webseite liken und teilen können. Das Einfügen der Plugins ermöglicht es Webseitenbetreibern, die Reichweite ihres Contents und damit ihrer Marke zu erhöhen. Shariff ist ein von Heise und c’t entwickeltes Open-Source-Programm, das verhindert, dass die Plugins der sozialen Netzwerke personenbezogene Daten der Webseitenbesucher sammeln können, ohne dass diese auf das Plugin geklickt haben.

Das ist an Social-Media-Buttons datenschutzrechtlich bedenklich

Verwenden Webseitenbetreiber Social-Media-Buttons auf ihrer Seite, sammeln die eingebundenen Netzwerke personenbezogene Daten wie die IP-Adresse der User. Das ist auch der Fall, ohne

  • dass User auf das Plugin klicken,
  • bei dem entsprechenden sozialen Netzwerk eingeloggt sind oder
  • einen Account bei dem Netzwerk haben.

Die sozialen Netzwerke sammeln dabei die Daten der User, ohne die vorherige Zustimmung dafür von ihnen eingeholt zu haben. Das Telemediengesetz schreibt jedoch vor, dass Unternehmen dem nachkommen müssen.

Das ermöglicht Shariff

Shariff tritt in Form von HTML-Links auf, die Seitenbetreiber individuell gestalten können. Das Programm ermöglicht es, dass die sozialen Netzwerke erst dann personenbezogene Daten der User erheben können, wenn diese auch tatsächlich auf das Plugin geklickt haben.

Social-Media-Plugins mit Shariff datenschutzkonform einbinden

Ob das Programm Shariff Social-Media-Plugins datenschutzkonform auf einer Webseite einbinden lässt, ist bisher nicht eindeutig geklärt. Webseitenbetreiber sollten in jedem Fall in ihrer Datenschutzerklärung User darauf hinweisen, wie die Social-Media-Plugins im Zusammenspiel mit Shariff funktionieren. Rechtlich noch zu klären ist, ob Webseitenbetreiber eine Erlaubnis der User einholen zu müssen, um bei Klick auf das Social-Media-Plugin ihre Daten an das jeweilige Netzwerk weiterleiten zu dürfen.

Unternehmen, die auf der sicheren Seite stehen wollen, sollten kein Social-Media-Plugin verwenden, bis auch der datenschutzkonforme Einsatz von Shariff geklärt ist. Stattdessen können sie von ihrer Webseite auf ihre Facebook-Fan-Page verlinken. Auf diese Weise findet keine Übertragung von Nutzerdaten statt.

Rechtsprechung zu Social-Media-Plugins mit Shariff

Das Landgericht Düsseldorf hat am 09.03.2016 entschieden: Webseitenbetreiber dürfen auf ihrer Seite keinen Facebook-Like-Button verwenden, wenn dieser bereits Daten sammelt, ohne dass User daraufgeklickt haben (Az.: 12 O 151/15). In der nächsthöheren Instanz erhielt das Oberlandesgericht Düsseldorf den Fall, das dafür den Europäischen Gerichtshof (EuGH) anrief. Dieser hat am 29.07.2019 festgestellt: Webseitenbetreiber müssen User darauf hinweisen, dass die Social-Media-Plugins personenbezogene Daten sammeln, ohne dass User daraufklicken (Az. C-40/17).

Das Oberlandesgericht Düsseldorf muss jetzt noch entscheiden, ob Webseitenbetreiber zusätzlich eine Einwilligung der User dafür einholen müssen. Ob Webseitenbetreiber auch beim Einsatz von Shariff, das erst per Klick auf die Social-Media-Plugins Daten an die Netzwerke weiterleitet, User darauf hinweisen und eventuell ihre Einwilligung dafür einholen müssen, ist rechtlich bisher nicht geklärt.

Sofortüberweisung

Sofortüberweisung ist ein Online-Zahlungssystem, mit dem User im Web bargeldlos bezahlen können. Dazu geben sie ihre Zugangsdaten für ihr Girobankkonto in eine Online-Maske von Sofortüberweisung ein und können dann per TAN Zahlungen anweisen. Sofortüberweisung prüft darauf den Kontostand des Users und führt die Überweisung an den Händler aus. Dieser erhält dann eine Transaktionsbestätigung. Der Geldtransfer läuft dabei ausschließlich zwischen der Bank des Nutzers und Sofortüberweisung ab.

Darum ist Sofortüberweisung datenschutzrechtlich relevant

User geben bei jeder Transaktion sensible Daten ihres Girokontos an. Sofortüberweisung erhält so Zugriff u. a. auf Informationen wie

  • PIN,
  • TAN,
  • Kontodeckung,
  • Umsätze und
  • den Kreditrahmen des Dispokredits.

Sofortüberweisung nimmt diese Abfrage der Daten automatisch vor, ohne dass User davon erfahren. Das Unternehmen selbst gibt an, diese Daten nicht zu speichern und nicht an Händler weiterzuleiten.

Das kritisieren Datenschützer an Sofortüberweisung

Datenschützer verweisen darauf, dass sich Verbraucher bewusst sein sollten, welch sensible Daten sie in die Online-Maske von Sofortüberweisung eintragen. Denn: Theoretisch besteht hier jederzeit die Gefahr eines Hackerangriffs und damit einer Entwendung der User-Daten. Daneben kritisieren Datenschützer, dass durch die Angabe der empfindlichen Bankzugangsdaten auf anderen Seiten als der zuständigen Bank selbst die Hemmschwelle zur Weitergabe dieser Daten sinkt.

Sofortüberweisung datenschutzkonform verwenden

Um Sofortüberweisung datenschutzkonform in den Zahlungsprozess einzubinden, müssen Seitenbetreiber Nutzer in ihrer Datenschutzerklärung darauf hinweisen, dass sie Sofortüberweisung verwenden sowie welche Daten sie warum an den Zahlungsdienstleister weitergeben. Hierbei müssen sie Usern auch erklären, dass sie der Verwendung ihrer personenbezogenen Daten gegenüber Sofortüberweisung widersprechen können. Das gilt jedoch nicht für die Daten, die Sofortüberweisung zwingend benötigt, um den Geldtransfer durchzuführen.

Darüber hinaus müssen Webseitenbetreiber ihren Usern erklären, dass sie gegenüber Sofortüberweisung einen Anspruch darauf haben, Auskunft über ihre gespeicherten personenbezogenen Daten einzuholen. Das schreibt das Bundesdatenschutzgesetz vor.

SoundCloud und Datenschutzerklärung

Soundcloud ist ein Online-Musikportal zum Hören und Teilen von Musik. Nutzer können auf der Plattform Songs streamen, hochladen und teilen sowie Interpreten folgen. Sie ist gleichzeitig eine Werbe- und Kooperationsplattform für Musiker.

Diese Daten erhebt Soundcloud

Wollen sich Nutzer bei Soundcloud registrieren, müssen sie ihre E-Mail-Adresse und ihr Geburtsdatum angeben sowie ein Passwort generieren. Daneben können sich User per Single-Sign-On über Facebook oder Google im Netzwerk anmelden. Dabei erhält Soundcloud Zugriff auf weitere Informationen der Nutzer, wie zum Beispiel Freundeslisten, Interessen und weitere Kontaktdaten wie die Telefonnummer.

Einmal im Netzwerk angemeldet, speichert die Plattform alle Aktivitäten der User, die sie dort vornehmen. Soundcloud merkt sich dann, welche Tracks sie spielen, welchen Interpreten sie folgen und welche Songs sie uploaden. Zudem erhebt das Unternehmen Daten zum verwendeten Endgerät, Browser und zur IP-Adresse des Nutzers. Kaufen User ein Abonnement, müssen sie ihren richtigen Namen, eine Rechnungsanschrift und Zahlungsdaten angeben.

Darum ist Soundcloud datenschutzrechtlich relevant

Soundcloud nutzt die Daten der User, um ihnen individualisierte Werbung anzuzeigen. Dafür reicht die Plattform keine personenbezogenen Daten an die Werbetreibenden weiter, wie sie selbst angibt. Um trotzdem individuelle Anzeigen ausspielen zu können, geben Werbetreibende über Kriterien – wie zum Beispiel Wohnort, Follower und Altersgruppe – eine bestimmte Empfängergruppe für eine spezifische Werbekampagne an. Soundcloud ordnet diese Kriterien den Daten seiner User zu und zeigt ihnen dann die Werbung an.

Darüber hinaus nutzt Soundcloud Google Analytics und das Google Website-Optimierungstool. Das heißt: Die Plattform leitet Daten zum Verhalten seiner User an Google in die USA, um diese auswerten zu lassen. Soundcloud gibt an, dass Google dabei stets nur verkürzte IP-Adressen der User erhält und so ihren Standort nicht bestimmen kann.

User geben ihre Daten zudem automatisch an Soundcloud weiter, wenn sie auf einer anderen Webseite auf eine Audiodatei von Soundcloud klicken. Dafür benötigen Webseitenbetreiber die Einwilligung der User.

Soundcloud datenschutzkonform verwenden

Implementieren Webseitenbetreiber Audioclips von Soundcloud auf ihrer Webseite, benötigen sie die Zustimmung der Nutzer, ihre Daten bei Klick auf den Play-Button an Soundcloud weiterzuleiten. Darüber hinaus müssen sie die Verwendung von Soudcloud in ihrer Datenschutzerklärung angeben. Dabei müssen sie Nutzer informieren, welche Daten sie warum an die Plattform weiterleiten.

Rechtsprechung zu Soundcloud

Derzeit muss sich der Europäische Gerichtshof (EuGH) mit der Frage beschäftigen, ob der Facebook-Like-Button rechtlich zulässig ist. Das Landgericht Düsseldorf hatte zuvor entschieden, dass der Like-Button die Anforderungen an den deutschen Datenschutz nicht erfüllt, da dieser ungefragt Nutzerdaten weiterleitet (Urteil vom 09.03.2016, Az. 12 O 151/15). Kommt auch der EuGH zu diesem Schluss könnte, könnte das Auswirkungen auf alle Plugins wie den Like Button haben. Davon könnte dann auch der auf Webseiten implementierte Player von Soundcloud betroffen sein. 

Spotify und Datenschutzerklärung

Spotify ist ein Musikstreaming-Dienst, über den Nutzer Songs hören, Playlisten erstellen und diese mit anderen teilen. Interpreten können über Spotify ihre Titel vertreiben und so Umsätze generieren. Mit über 160 Millionen Usern aus mehr als 60 Ländern ist Spotify derzeit der größte Musik-Streaming-Anbieter der Welt.

Diese Daten erhebt Spotify

Um Spotify nutzen zu können, müssen sich User bei dem Dienst anmelden. Dazu müssen sie folgende Daten angeben:

  • Name
  • Benutzername
  • Geburtsdatum
  • Geschlecht
  • E-Mail

Darüber hinaus müssen sie ein Passwort generieren. Wollen Nutzer einen werbefreien Account haben, müssen sie weitere Informationen wie

  • Adresse
  • Land und
  • Zahlungsdaten
  • hinterlegen.

Einmal im Netzwerk angemeldet, sammelt Spotify zahlreiche Daten zum Verhalten der User im Netzwerk. Dazu zählen u. a.:

  • abgespielte Songs
  • angelegte Wiedergabelisten
  • Interaktion mit anderen Usern
  • genutzte Produkte und Dienstleistungen
  • Sprache
  • Touch-Screen-Daten
  • Daten aus Cookies
  • Browsertyp
  • Betriebssystem
  • IP-Adresse
  • genutztes Endgerät
  • Daten aus den Bewegungssensoren

Spotify selbst spricht von zwei Kategorien von Daten:

  1. Die Daten, die User unbedingt angeben müssen, um den Dienst nutzen zu können. Spotify holt sich die Einwilligung zur Speicherung und Verwendung dieser Daten mit seinen Datenschutzbestimmungen, denen Nutzer zustimmen müssen.
  2. Die Daten, die Spotify darüber hinaus erhebt und verwendet, um verbesserte Erlebnisse und weitere Features anbieten zu können. Um welche Daten es sich dabei genau handelt, ist nicht eindeutig. Denn: Spotify verwendet schwammige Formulierungen „Daten wie…“ oder „Darunter auch…“.

Darum ist Spotify datenschutzrechtlich relevant

Spotify gibt auf verschiedene Art und Weise Daten an Dritte weiter. Dabei räumt sich das Unternehmen das Recht ein, User-Daten an nicht näher benannte Drittfirmen weiterzuleiten. Dabei handelt es sich unter anderem um Werbepartner, Rechteinhaber aus der Musikindustrie und Zahlungsdienstleister weiter. Spotify leitet diese Daten jedoch nur in anonymisierter Form weiter.
Darüber hinaus wertet der Dienst standardmäßig Daten dazu aus, wie User Musik über Spotify hören. Dazu zählen u. a. auch Daten des Beschleunigungssensors. Das heißt: Spotify weiß, ob Nutzer den Dienst beim Liegen auf der Couch oder beim Joggen nutzen. Daneben erhebt Spotify stets Daten zum Standort des Users.

Melden sich Nutzer über Facebook bei Spotify an, erhält der Dienst zudem Daten zum Facebook-Profil und den darin veröffentlichten Daten wie Freundeslisten, Profilbilder und weitere Kontaktinformationen. Gleichzeitig teilt Spotify Facebook einige Daten von Usern mit, die der Dienst selbst erhoben hat.

User, die nicht bei Spotify registriert sind, jedoch auf einen auf einer externen Webseite implementierten Spotify-Song klicken (Play-Button), senden zudem automatisch Daten an Spotify weiter.

Spotify datenschutzkonform verwenden

Wollen Webseitenbetreiber Spotify datenschutzkonform auf ihrer Webseite einbinden, müssen sie User darüber informieren, dass sie ihre Daten automatisch an das Unternehmen weiterleiten, sobald sie auf „Play“ klicken. Daneben müssen sie auch in ihrer Datenschutzerklärung darauf hinweisen, dass sie Spotify auf ihrer Seite nutzen. Dabei müssen sie erklären, welche Daten sie warum an Spotify weiterreichen.

Rechtsprechung zu Spotify

Der Europäische Gerichtshof klärt derzeit, ob der Facebook Like-Button deutschen Datenschutzbestimmungen entspricht. Sollte das Gericht zu dem Ergebnis kommen, dass der Button deutsche Gesetze verletzt, könnte dies auch Auswirkungen auf das Implementieren von Spotify-Songs oder Playlisten auf Webseiten haben. Denn: Diese geben wie der Facebook Like Button Nutzerdaten weiter, ohne User vorher um Erlaubnis zu bitten.

Stripe

Stripe ist ein Online-Bezahldienst, über den Webseitenbetreiber User im Netz Waren und Dienstleistungen bargeldlos bezahlen lassen können. Um das Zahlungssystem nutzen zu können, müssen User ihre Bankdaten – in der Regel in Form ihrer Kreditkartendaten oder Girokontodaten – hinterlegen. Stripe bietet seinen Service in 25 Ländern an.

Darum ist Stripe datenschutzrechtlich relevant

Nutzer geben bei jeder Transaktion, die sie auf einer Webseite über Stripe tätigen, ihre Bankdaten an. Stripe erhält so Zugriff auf Informationen wie

  • Vor- und Nachnamen,
  • Adresse,
  • E-Mail-Adresse,
  • IP-Adresse,
  • Telefonnummer,
  • Kreditkartenummer,
  • Kontodeckung,
  • Umsätze und
  • Kreditrahmen des Dispokredits.

Es handelt sich dabei teilweise um personenbezogene Daten. Diese Daten sind besonders schützenswert. Webseitenbetreiber müssen daher verschiedene, von der Datenschutz-Grundverordnung (DSGVO) vorgeschriebene Pflicht erfüllen.

Stripe datenschutzkonform verwenden

Um Stripe datenschutzkonform in den Zahlungsprozess einzubinden, müssen Webseitenbetreiber diesen Pflichten nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Stripe erhält vollen Zugriff auf die Kundendaten von Webseitenbetreibern. In so einem Fall verpflichtet Art. 28 DSGVO Seitenbetreiber dazu, mit Stripe einen Vertrag zur Auftragsverarbeitung abzuschließen. Stripe stellt diesen derzeit nur in englischer Fassung, als Data Processing Addendum, zur Verfügung.

Webseitenbetreiber sollten sichergehen, dass der Vertrag anspricht,

  • welche Kundendaten Stripe speichert,
  • wie lange Stripe diese Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Haben Unternehmen den Vertrag zur Auftragsverarbeitung geschlossen, müssen sie das in ihre Datenschutzerklärung aufnehmen. Dabei sollten sie ihren Usern erklären,

  • warum Stripe personenbezogene Daten erhält,
  • wie lange Stripe diese speichert,
  • wie Stripe die Daten verwendet,
  • welche Rechtsgrundlage das erlaubt und
  • dass Nutzer der Einwilligung in die Datenerhebung jederzeit widersprechen können.

Diese Pflichten schreibt Art. 13 DSGVO vor.

Rechtsprechung zur Verwendung von Stripe

Schließen Webseitenbetreiber keinen Vertrag zur Auftragsverarbeitung, droht ihnen ein Bußgeld. Das musste auch ein Versandunternehmen feststellen, das mit einem beauftragten Dienstleister keinen entsprechenden Vertrag geschlossen hatte. Die Datenschutzbehörde Hamburg sprach daher am 17.12.2018 ein Bußgeld in Höhe von 5.000 Euro zuzüglich Gebühren in Höhe von 250 Euro aus. Grundsätzlich gibt Art. 83 Abs. 4 lit. a DSGVO vor: Bußgelder können bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen.

Datenschutzerklärung und SSL-Verschlüsselung der Webseite

SSL steht für die Abkürzung „Secure Sockets Layer“ und ist ein Verschlüsselungsverfahren, um Daten im Internet vertraulich zu übertragen. Eine SSL-Verschlüsselung soll so dafür sorgen, dass Dritte die Daten nicht auslesen oder manipulieren können. Darüber hinaus stellt das Verfahren die Identität einer Webseite sicher. In der Praxis ist die SSL-Verschlüsselung mittlerweile größtenteils von der neueren und sicheren Transport Layer Security Standard (TLS) ersetzt worden.

Darum ist die SSL-Verschlüsselung datenschutzrechtlich relevant

Fragen Seitenbetreiber personenbezogene Daten wie Namen und E-Mail-Adresse von Usern ab, müssen sie diese entsprechend verschlüsseln, um den Datenschutz zu wahren. Das kann zum Beispiel der Fall sein bei:

  • Newsletter-Anmeldungen und Downloads
  • Kontaktformularen
  • Bestellformularen
  • Login-Daten

Eine SSL-Verschlüsselung gewährt diesen Schutz, indem sie die Daten während der Übertragung vor Zugriffen und dem Missbrauch durch Dritte schützt. Bis vor kurzem ergab sich diese Pflicht noch aus § 13 Abs. 7 TMG. Seit dem 25. Mai hat hier die Datenschutz-Grundverordnung (DSGVO) übernommen.

Jetzt schreibt Art. 32 Abs. 1 DSGVO dies vor. Danach müssen Seitenbetreiber unter Berücksichtigung des Stands der Technik und den Implementierungskosten geeignete technische und organisatorische Maßnahmen ergreifen, um die Daten der Nutzer zu schützen. Art. 32 Art. 1 lit. a) nennt dafür ausdrücklich eine Verschlüsselung personenbezogener Daten. Daneben empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik eine SSL- oder TLS-Verschlüsselung, um personenbezogene Daten im Web sicher zu übertragen.

So können Webseitenbetreiber ihre Seite sicher verschlüsseln

Um personenbezogene Daten sicher zu übertragen, stehen Seitenbetreibern verschiedene Verschlüsselungsverfahren zur Auswahl. Zu den drei gängigsten Varianten zählen dabei:

DV-Zertifikat: Das DV-Zertifikat bestätigt die Domain einer Seite und bildet damit die einfachste Vertrauensstufe. Da Seitenbetreiber dies nur durch eine E-Mai validieren lassen müssen, ist das Zertifikat in wenigen Minuten in die Seite eingebunden. Nutzer sehen dann im Browser neben der URL ein kleines Schloss, das ihnen eine sichere Verbindung anzeigt.

OV-Zertifikat: Das OV Zertifikat bestätigt nicht nur den Inhaber der Domain, sondern auch das Unternehmen, das hinter der Seite steht. Auf diese Weise bietet dieses Zertifikat einen höheren Validierungsgrad als das DV-Zertifikat. Onlineshops und andere Portale, die Login-Daten von Nutzern abfragen, greifen in der Regel auf diese Art der Verifizierung zurück. Sie dauert einige Tage Bearbeitungszeit, bis sie verfügbar ist.

EV-Zertifikat: Das EV-Zertifikat prüft, ob und wie Unternehmen registriert sind. Damit bietet es die umfangreichste Validierung an. Sind Unternehmen zertifiziert, sehen User in der Adresszeile den Namen des Unternehmens in Grün. Auf diese Art der Zertifizierung greifen in der Regel Unternehmen aus dem Finanzsektor zurück.

Darüber hinaus sollten Webseitenbetreiber die Verschlüsselung in ihrer Datenschutzerklärung ansprechen. Dazu sollten sie Usern erklären, warum sie die Seite verschlüsseln und welche Maßnahmen sie dafür ergreifen.

TeamViewer

TeamViewer ist eine Fernwartungssoftware, mit der User Screens teilen, Audio- und Videokonferenzen abhalten und Dateien austauschen können. Die zentrale Funktion des Produkts ist der Fernzugriff auf einen anderen Computer. Unternehmen können so bei Kunden beispielsweise Probleme auf dem PC beheben oder Präsentationen vorführen.

Warum ist TeamViewer datenschutzrechtlich relevant?

Unternehmen, die bei TeamViewer einen Account anlegen, beispielsweise für eine kostenpflichtige Lizenz, müssen unter anderem Daten angeben wie

  • Name,
  • Adresse,
  • E-Mail-Adresse,
  • Name des Unternehmens,
  • Telefonnummer,
  • Land,
  • gewählte Bezahlmethode und
  • Steuer-ID.

Die Plattform führt die erhobenen Daten zusammen und erstellt über Profiling-Maßnahmen ein umfangreiches User-Profil. Dies soll dabei helfen, Kunden möglichst passende Produkte anbieten zu können. TeamViewer selbst gibt an, sich dabei so weit wie möglich auf pseudonymisierte Daten zu stützen.

TeamViewer datenschutzkonform verwenden

Um TeamViewer datenschutzkonform einzusetzen, müssen Unternehmen die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einhalten. Dazu müssen sie diesen Pflichten nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Ob Unternehmen einen Vertrag zur Auftragsverarbeitung abschließen müssen, kommt darauf an, wie sie das Tool verwenden. In der Regel erheben sie dabei jedoch zahlreiche personenbezogene Daten, die auch TeamViewer speichert. Unternehmen sollten daher sichergehen und einen Vertrag zur Auftragsverarbeitung abschließen. TeamViewer stellt seinen Kunden diesen zur Verfügung. Unternehmen, die eine individuelle Datenverarbeitungsvereinbarung benötigen, erhalten eine geeignete unterschriebene Vorlage.

Bei dem Vertrag sollten Unternehmen sicherstellen, dass sie festhalten,

  • welche Userdaten TeamViewer sammelt und speichert,
  • wie lange es diese Daten speichert,
  • warum es diese Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen müssen in ihrer Datenschutzerklärung angeben, dass sie mit TeamViewer einen Vertrag zur Auftragsverarbeitung geschlossen haben. Dabei sollten sie erwähnen,

  • warum und welche Userdaten sie speichern,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage das erlaubt (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Nutzer der Datenerhebung und -speicherung jederzeit widersprechen können.

Rechtsprechung zur Verwendung von TeamViewer

Bisher liegt, soweit ersichtlich, keine Rechtsprechung zum Einsatz von TeamViewer vor. Unternehmen, die jedoch keinen Vertrag zur Auftragsverarbeitung abschließen, droht ein Bußgeld. Dies kann bei bis zu 10 Millionen Euro oder bei bis zu 2 Prozent des weltweiten Jahresumsatzes liegen. Am 17.12.2018 sprach die Datenschutzbehörde Hamburg ein Bußgeld in Höhe von gut 5.000 Euro gegen einen Versandunternehmen aus. Dies hatte mit einem beauftragten Dienstleister keine Auftragsverarbeitungsvereinbarung geschlossen.

Datenschutzerklärung und Tumblr Plugin

Tumblr ist eine Blogging-Plattform, auf der User Bilder, Texte, Links, Videos und Audiodateien veröffentlichen können. Darüber hinaus können Nutzer Einträge von anderen Nutzern als Favoriten markieren, ihnen folgen oder ihre Inhalte auf dem eigenen Dashboard teilen.

Darum ist Tumblr datenschutzrechtlich relevant

Wollen sich Nutzer bei Tumblr registrieren, müssen sie ihre E-Mail-Adresse angeben, ein Passwort generieren und einen Usernamen aussuchen. Einmal für die Plattform registriert, sammelt Tumblr Daten zu allen Aktivitäten, die sie in dem Netzwerk vornehmen. Das können selbst erstellte Inhalte, das Markieren von Favoriten oder das Veröffentlichen von fremden Inhalten auf dem eigenen Dashboard sein. Tumblr nutzt diese Daten, um ihnen personalisierte Inhalte und Werbung anbieten zu können. Daneben erhebt und speichert die Plattform unter anderem Daten zum verwendeten Browser, Endgerät und zur IP-Adresse von Usern.Besuchen Nutzer einen Blog im Tumblr-Netzwerk, kann es sein, dass dieser mehr Daten von ihnen erhebt als Tumblr. Diese Daten kann der Blog an Dritte weiterleiten, zu denen Tumblr keine Beziehungen unterhält.

Diese Datenschutzprobleme bringt Tumblr mit

Tumblr gibt Nutzerdaten an Werbekunden weiter, damit diese auf der Plattform Anzeigen ausspielen können. Das darf das Unternehmen jedoch nur, wenn es dafür die konkrete Erlaubnis der User hat. Dieser Pflicht kommt Tumblr nicht nach.Darüber hinaus können Webseitenbetreiber einen Share Button von Tumblr auf ihrer Seite einbinden. Dieser ermöglicht es Usern, mit einem Klick Webseiteninhalte über ihren Tumblr-Account zu teilen. Durch den Klick auf das Plugin erhält Tumblr jedoch personenbezogene Daten wie die IP-Adresse der Nutzer. Dafür benötigen Webseitenbetreiber eine Einwilligung. Diese können sie nicht einholen, indem sie lediglich in ihrer Datenschutzerklärung darauf hinweisen.

So können Seitenbetreiber Tumblr datenschutzkonform nutzen

Seitenbetreiber, die Tumblr rechtssicher nutzen wollen, müssen User in ihrer Datenschutzerklärung darauf hinweisen. Binden sie zudem den Share Button von Tumblr auf ihrer Seite ein, müssen sie die Zustimmung der User einholen, bei Klick auf den Button ihre Daten an das Portal weiterzuleiten. Das ist in der Praxis aktuell jedoch nicht möglich.

Rechtsprechung zu Tumblr

Der auf Webseiten integrierte Facebook-Like-Button verstößt gegen deutsche Datenschutzbestimmungen. Das hat das Landgericht Düsseldorf am 09.03.2016 entschieden (Az. 12 O 151/15). Derzeit hat sich der Europäische Gerichtshof (EuGH) der Frage angenommen, wie es um die rechtliche Zulässigkeit des Buttons steht. Sollte auch der EuGH zu dem Ergebnis kommen, dass der Button nicht datenschutzkonform ist, könnte das alle weiteren Social Plugins auf Webseiten betreffen. Damit könnte dann auch der Share-Button von Tumblr gegen deutsche Gesetze verstoßen.

Datenschutzerklärung und Twitter Plugin

Twitter ist ein Microblogging-Dienst, über den Nutzer SMS-ähnliche Textnachrichten mit einer Länge von bis zu 140 Zeichen veröffentlichen können. Private User, Politiker und Unternehmen verwenden die Plattform, um ihre Gedanken und Meinungen online zu stellen. Twitter hat weltweit 336 Millionen monatlich aktive Nutzer.

Darum ist Twitter datenschutzrechtlich bedenklich

User, die sich bei Twitter anmelden wollen, müssen einen Usernamen und eine E-Mail-Adresse oder Telefonnummer angeben. Diese personenbezogenen Daten schickt das Netzwerk automatisch an seinen Hauptsitz in den USA und/oder an den europäischen Nebensitz in Irland. Nach der Registrierung zeichnet Twitter dann jede Aktivität, die User im Netzwerk vornehmen, auf. Das können Tweets, Kommentare, Likes und Interaktionen mit anderen Nutzern sein.Darüber hinaus sammelt Twitter Daten zum verwendeten Browser, Endgerät und zur IP-Adresse. Der Microblogging-Dienst speichert diese Informationen für mindestens zehn Tage. Twitter nutzt die gewonnenen Daten, um Usern maßgeschneiderte Feed-Vorschläge zu machen und personalisierte Werbung zu schalten.Am 18. Juni 2017 hat der Dienst neue Datenschutzregeln eingeführt. Nutzer haben seitdem mehr Kontrolle über ihre Daten. Sie können nun selbst entscheiden, ob geschaltete Werbung auf sie zugeschnitten sein soll. Zudem können sie seitdem frei wählen, ob der Dienst ihren Standort auswerten und zu Werbezwecken verwenden darf. Datenschützer kritisieren jedoch, dass Nutzer der Erhebung ihrer Daten nicht widersprechen können.

So können Seitenbetreiber Twitter datenschutzkonform nutzen

Webseitenbetreiber, die das Social Plugin von Twitter auf ihrer Seite implementiert haben, verstoßen aktuell gegen deutsche Datenschutzbestimmungen. Denn: Das Plugin erhebt personenbezogene Daten, sobald User darauf klicken. Dafür müssen sie weder bei Twitter angemeldet noch registriert sein. Webseitenbetreiber benötigen jedoch erst die ausdrückliche Zustimmung der Nutzer, bevor sie personenbezogene Daten an Dritte weiterleiten. Diese Zustimmung können sie nicht einholen, indem sie schlichtweg in ihrer Datenschutzerklärung darauf hinweisen.Webseitenbetreiber sollten daher auf alternative Plugins wie das eRecht Safe Sharing Tool setzen, um User vor einer ungewollten Datenweitergabe und sich selbst vor einem Datenschutzverstoß zu schützen.

Rechtsprechung zu Twitter

Das Landgericht (LG) Düsseldorf hat am 09.03.2016 entschieden, dass der auf Webseiten implementierte Facebook-Like-Button gegen den deutschen Datenschutz verstößt (Az. 12 O 151/15). Diese Entscheidung lässt sich auf alle weiteren Social Plugins, die ungefragt Userdaten erheben und weiterleiten, übertragen. Damit ist der Tweet-Button nach aktueller Rechtslage zumindest rechtlich fragwürdig.Für Klarheit wird bald der Europäische Gerichtshof sorgen. Dieser beschäftigt sich derzeit mit der Zulässigkeit des Facebook-Like-Buttons. Sollte das Gericht zu dem gleichen Schluss wie das LG Düsseldorf kommen, dürften alle Social Plugins gegen deutsche Datenschutzbestimmungen verstoßen.

Usercentrics Consent Management Platform

Usercentrics ist ein Consent Management Tool, über das Unternehmen die Zustimmung ihrer Nutzer in die Datenverarbeitung plattformübergreifend einholen, verwalten und dokumentieren können. In der Regel binden Unternehmen dafür ein Pop-up-Fenster auf ihrer Webseite ein, das nach der Datenerhebung fragt. Usercentrics ermöglicht es dabei, die Erlaubnis für verschiedene Verarbeitungszwecke, wie zum Beispiel für das Setzen von Tracking Cookies, einzuholen und so die Vorgaben der Datenschutz-Grundverordnung (DSGVO) sowie der bald anstehenden e-Privacy-Verordnung zu erfüllen.

Warum ist Usercentrics datenschutzrechtlich relevant?

Um die Präferenzen der User bezüglich der Datenerhebung abzuspeichern, sammelt Usercentrics unter anderem Daten

  • zum Logfile
  • zum verwendeten Browser und
  • zur Einwilligung (ja oder nein, Zeitstempel, Datenumfang, Datenattribute, ControllerID, ProzessorID und EinwilligungID).

Unternehmen müssen daher verschiedene Pflichten erfüllen, um den Datenschutz zu wahren.

Usercentrics datenschutzkonform verwenden

Um Usercentrics datenschutzkonform zu verwenden, müssen Webseitenbetreiber in ihrer Datenschutzerklärung aufführen,

  • warum sie die oben genannten Daten erheben,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Kunden die Datenerhebung durch eine entsprechende Einstellung im Browser verhindern können.

Daneben müssen Webseitenbetreiber mit Usercentrics einen Vertrag zur Auftragsverarbeitung abschließen. Denn: Usercentrics erhält Zugriff auf Kundendaten der Webseitenbetreiber. Für so einen Fall schreibt Art. 28 DSGVO vor: Erhalten Dritte Zugriff auf personenbezogene Daten, müssen Seitenbetreiber mit diesen einen Vertrag zur Auftragsverarbeitung abschließen.

Webseitenbetreiber erhalten von Usercentrics auf Anfrage einen entsprechenden Vertrag. Sie sollten darauf achten, dass der Vertrag klärt,

  • welche Kundendaten Usercentrics wie lange speichert,
  • warum und wie Usercentrics diese Daten verarbeitet und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Kommen Unternehmen dieser Pflicht nicht nach, riskieren sie ein Bußgeld. Das kann bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen. Dieses Strafmaß gibt Art. 83 Abs. 4 lit. a DSGVO vor.

Rechtsprechung zur Verwendung von Usercentrics

Am 17.12.2018 sprach die Datenschutzbehörde Hamburg ein Bußgeld aus. Ein Versandunternehmen hatte mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen. Die Folge: Das Unternehmen musste eine Strafe in Höhe von 5250 Euro zahlen.

Verantwortliche Stelle für Datenverarbeitung

Die verantwortliche Stelle für Datenverarbeitung gibt an, welche Person oder Personen darüber entscheiden, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden. Dabei kann es sich um natürliche oder juristische Personen handeln.

Darum ist die verantwortliche Stelle für Datenverarbeitung datenschutzrechtlich relevant

Erheben Webseitenbetreiber personenbezogene Daten von Usern, müssen sie die Informationspflicht erfüllen, User darüber aufzuklären, welche Daten sie warum sammeln und verarbeiten. Dabei müssen sie auch klären, wer die verantwortliche Stelle ist, die die Erhebung und Verarbeitung verantwortet. Das schreibt Artikel 13 bzw. Artikel 14 der Datenschutz-Grundverordnung (DSGVO) vor.

So können Webseitenbetreiber die verantwortliche Stelle für Datenverarbeitung datenschutzkonform nennen

Webseitenbetreiber sollten im Rahmen ihrer Datenschutzerklärung auf die verantwortliche Stelle für Datenverarbeitung hinweisen. Dabei sollten sie diese Punkte nennen:

  • Name der Person oder des Unternehmens, die/das für die Datenverarbeitung verantwortlich ist
  • Anschrift des Verantwortlichen
  • Telefonnummer des Verantwortlichen
  • E-Mail des Verantwortlichen

Abschließend sollten Seitenbetreiber noch einmal genau erklären, wer die verantwortliche Stelle für die Verarbeitung der Daten generell sein kann. Dazu können sie eine ähnliche Formulierung wie diese verwenden:„Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen o. Ä.) entscheidet.“

Verarbeitung von Kunden- und Vertragsdaten

Schließen Nutzer online einen Vertrag, müssen Onlineshops und Dienstleistungsanbieter dafür in der Regel eine Reihe von personenbezogenen Daten abfragen, um die Leistung erfüllen zu können. Dazu zählen unter anderem sensible Daten wie Name, Adresse, Telefonnummer, E-Mail-Adresse und Kontoverbindung.

Voraussetzungen für die Verarbeitung von Kunden- und Vertragsdaten

Damit Unternehmen Kunden- und Vertragsdaten erheben dürfen, muss ihnen dies entweder gesetzlich erlaubt sein oder Kunden müssen in die Verarbeitung ausdrücklich einwilligt haben. Unternehmen dürfen die Daten per Gesetz erheben und verarbeiten, wenn sie diese zum Abschluss (z. B. Bestellbestätigung per E-Mail) oder zur Erfüllung eines Vertrags (z. B. Paketzustellung) benötigen. Das gewährt Artikel 6 der Datenschutz-Grundverordnung (DSGVO).

Rechte, die Kunden bei der Verarbeitung ihrer Daten haben

Während der Verarbeitung ihrer Daten gewährt die DSGVO Kunden bestimmte Rechte, denen Betreiber einer Webseite und Unternehmen nachkommen müssen. Dazu zählen:
Auskunftsrecht: Kunden haben das Recht, Auskunft darüber zu erhalten, welche Daten warum und in welchem Umfang gespeichert wurden. Unternehmen sollten also stets den Überblick behalten, welche Daten sie erhoben haben.

Widerspruchsrecht: Kunden haben das Recht, der Verarbeitung ihrer Daten zu widersprechen. Für den Abschluss oder die Erfüllung eines Vertrags könnte das jedoch bedeuten, dass Unternehmen dem dann nicht mehr nachkommen können.

Löschung von Kundendaten: Ist der Vertrag zwischen beiden Parteien erfüllt, müssen Unternehmen sicherstellen, dass die Kundendaten vor Zugriffen durch Dritte geschützt sind. Für die Praxis heißt das in der Regel, dass Kunden ein Recht darauf haben, dass Unternehmen ihre Daten löschen. Wollen sie die Daten über den eigentlichen Zweck hinaus speichern, verwenden oder an Dritte weitergeben, benötigen sie von den Kunden eine ausdrückliche Einwilligungserklärung.

Herausgabe von Daten: Kunden haben das Recht, dass Unternehmen ihnen ihre Daten jederzeit zur Verfügung stellen.

Verarbeitung von Kunden- und Vertragsdaten in Datenschutzerklärung nennen

Darüber hinaus müssen Unternehmen in ihrer Datenschutzerklärung darüber aufklären, wie sie mit den erhobenen Kunden- und Vertragsdaten umgehen. In diesem Rahmen müssen sie nennen,

  • welche Kunden- und Vertragsdaten sie erheben,
  • warum sie diese erheben,
  • was sie mit den Daten machen,
  • wie und warum sie diese gegebenenfalls an Dritte weiterreichen und
  • dass sie die Verantwortung übernehmen, die Daten der Kunden zu schützen.

Rechtsprechung zur Verarbeitung von Kunden- und Vertragsdaten

Das Landgericht Düsseldorf hat am 20.02.2017 entschieden, dass personenbezogene Daten nicht ohne Einwilligung an Dritte weitergegeben werden dürfen (Az. 5 O 400/16).

Verschlüsselter Zahlungsverkehr

Damit Online-Händler und Dienstleistungsanbieter Verträge mit Kunden schließen können, müssen sie in der Regel im Rahmen des Bestellprozesses ihre Kontodaten abfragen. Bei Zahlungsinformationen wie Namen und Kontonummer handelt es sich um personenbezogene Daten, die Unternehmen schützen müssen. Sie sollten daher ein Verschlüsselungsverfahren nutzen, das diese Daten vor einem Zugriff durch Dritte schützt.

Das sagt das Gesetz zur Verschlüsselung vom Zahlungsverkehr

Die Pflicht zur Verschlüsselung von personenbezogenen Daten und damit auch von Zahlungsinformationen ergab sich bis vor kurzem aus § 13 Abs. 7 TMG. Seit dem 25. Mai schreibt die Datenschutz-Grundverordnung (DSGVO) in Artikel 32 Abs. 1 vor, dass Seitenbetreiber unter Berücksichtigung des Stands der Technik und den dafür entstehenden Kosten geeignete Maßnahmen vornehmen müssen, um die Daten der User zu schützen. Artikel 32 Art. 1 lit. a) wird hier konkret und nennt eine Verschlüsselung von personenbezogenen Daten.

So können Webseitenbetreiber ihren Zahlungsverkehr sicher verschlüsseln

Unternehmen, die den Zahlungsverkehr auf ihrer Webseite verschlüsseln wollen, greifen in der Regel auf eine SSL- oder TLS-Verschlüsselung zurück. Diese schützen Namen und Kontodaten so, dass Dritte diese während der Übertragung nicht auslesen, manipulieren oder missbrauchen können. Dafür können Seitenbetreiber verschiedene Zertifikate erwerben. Diese Zertifikate zählen dabei zu den gängigen Varianten:

DV-Zertifikat: Das DV-Zertifikat bildet die einfachste Vertrauensstufe. Diese können Seitenbetreiber lediglich mit einer E-Mail erhalten und so innerhalb von wenigen Minuten in ihre Seite einbinden. Das Zertifikat bestätigt die Domain einer Seite. User können die Zertifizierung am kleinen Schloss neben der URL erkennen.

OV-Zertifikat: Das OV-Zertifikat weist einen höheren Validierungsgrad als das DV-Zertifikat auf, indem es nicht nur die Domain, sondern auch das Unternehmen, das hinter der Seite steht, bestätigt. Online-Händler und Dienstleistungsanbieter, die auf ihrer Seite sensible Daten wie Namen, Adresse und Zahlungsinformationen abfragen, greifen auf dieses Zertifikat zurück.

EV-Zertifikat: Ist eine Webseite über das EV-Zertifikat validiert, sehen User in der Adresszeile den Namen des Unternehmens in Grün. Es handelt sich dabei um die umfangreichste Validierung. Insbesondere Unternehmen aus der Finanz-Branche setzen auf dieses Zertifikat.

Verschlüsselung in Datenschutzerklärung aufführen

Unternehmen sollten die Verschlüsselung ihrer Seite und des Zahlungsverkehrs in ihrer Datenschutzerklärung ansprechen. Sie sollten User darüber informieren, dass sie aus Sicherheitsgründen vertrauliche Inhalte über SSL oder TSL verschlüsseln und die Daten so vor einem Zugriff schützen. Dabei können sie ihnen auch erklären, wie Nutzer die Verschlüsselung erkennen können.

Vimeo und Datenschutzerklärung

Vimeo ist ein Online-Video-Portal, auf dem User Videos hochlanden und anschauen können. Darüber hinaus können sie Videos anderer User kommentieren und bewerten. Das Portal hat ca. 170 Millionen Mitglieder.

Darum ist Vimeo datenschutzrechtlich bedenklich

Für eine Registrierung bei Vimeo müssen User ihren Vor- und Nachnamen sowie ihre E-Mail-Adresse angeben. Daneben müssen sie ein Passwort generieren. Alternativ können sich Nutzer auch per Single Sign On über Facebook oder Google im Netzwerk anmelden. Vimeo erhält dann Zugriff auf die Daten des gewählten Kontos. Melden sich User beispielsweise über Facebook bei Vimeo an, erhält das Video-Portal je nach Privatsphäre-Einstellungen Zugriff auf Informationen wie E-Mail, Freundeslisten und Interessen.

Sind Nutzer angemeldet, erfasst Vimeo alle Aktionen, die sie auf der Seite vornehmen. Das können unter anderem angeschaute Videos, erstellte Playlists und Kommentare sein. Darüber hinaus speichert das Netzwerk alle weiteren Informationen, die Nutzer in ihrem Profil hinterlegen. Entscheiden sie sich zudem für ein kostenpflichtiges Abonnement, müssen User auch ihre Bankverbindung angeben. Weiterhin erhebt Vimeo Daten zum verwendeten Browser, zum Endgerät und zur IP-Adresse.

Vimeo verwendet die gewonnenen Daten, um den Dienst bestmöglich und auf den User zugeschnitten anbieten zu können. Dafür gibt das Unternehmen einige Userdaten an Dritte („Authorized Service Providers“ und „Business-Partner“) weiter.

So können Unternehmen Vimeo-Videos datenschutzkonform auf ihrer Seite einbinden

Wollen Unternehmen Vimeo-Videos per Einbettungscode auf ihrer Webseite einbinden, müssen sie dafür sorgen, dass Vimeo dabei nicht automatisch die Daten der Webseitenbesucher ausliest. Denn: Das Einbetten von Vimeo-Videos setzt automatisch Cookies im Browser der User und speichert so ihr Verhalten auf der Seite. Webseitenbetreiber sollten daher auf Plugins zurückgreifen, die Vimeo erst dann Daten erfassen lassen, wenn User auf das Video geklickt und der Datenerfassung zugestimmt haben. Plugins lassen eine Zwei-Klick-Lösung auf der Seite implementieren, so dass User vor Abspielen des Videos einen Hinweis sehen, der sie darüber aufklärt, dass das Video bei Klick auf Play personenbezogene Daten wie die IP-Adresse an Vimeo sendet.

Daneben müssen Webseitenbetreiber User in ihrer Datenschutzerklärung darauf hinweisen, dass und wie sie Vimeo-Videos auf ihrer Seite verwenden. In diesem Rahmen sollten sie Nutzer hier auch noch einmal informieren, dass Vimeo durch das Anschauen der Videos personenbezogene Daten von ihnen erhält.

Rechtsprechung zu Vimeo

Aktuell entscheidet der Europäische Gerichtshof darüber, ob der auf Webseiten implementierte Facebook-Like-Button gegen deutsche Datenschutzbestimmungen verstößt. Sollte das Gericht zu dem Schluss kommen, dass dem so ist, könnte das auch Auswirkungen auf die Zulässigkeit auf das Einbinden von Vimeo-Videos haben. Denn: Vimeo sammelt wie Facebook auf externen Webseiten personenbezogene Daten von Usern ein, ohne dass diese ihnen dafür die Erlaubnis erteilen.

Webinaris

Webinaris ist eine Softwarelösung für automatisierte Webinare. Unternehmen, die Webinare anbieten, müssen diese nicht mehr live vor ihren Usern halten, sondern können die Videos bei Webinaris hinterlegen und dann automatisiert abspielen lassen. Webinaris hat auf diese Weise weltweit bereits knapp 1.000.000 Webinare für über 21.000.000 Teilnehmer abgespielt.

Warum ist Webinaris datenschutzrechtlich relevant?

Webinaris erhält einen umfassenden Einblick in den Datenverkehr zwischen seinen Kunden und deren Webinar-Teilnehmern. Dabei sammelt Webinaris unter anderem diese Teilnehmer-Daten:

  • E-Mail-Adresse
  • Namen
  • Browser- und Systemdaten
  • IP-Adresse
  • Sprache
  • Zeitzone
  • Daten, die Teilnehmer im Chat bereitstellen

Webinaris erhebt auf diese Weise personenbezogene Daten. Unternehmen, die die Dienste von Webinaris in Anspruch nehmen, müssen daher verschiedenen datenschutzrechtlichen Anforderungen nachkommen.

Webinaris datenschutzkonform nutzen

Um Webinaris im Einklang mit der Datenschutz-Grundverordnung (DSGVO) zu nutzen, müssen Unternehmen diese Pflichten erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen, die personenbezogene Kundendaten an Dritte weitergeben, müssen mit diesen gemäß Art. 28 DSGVO einen Vertrag zur Auftragsverarbeitung abschließen. Webinaris stellt seinen Kunden diesen Vertrag im internen Bereich zur Verfügung. Sie sollten dabei darauf achten, dass der Vertrag aufführt,

  • welche Kundendaten Webinaris sammelt und speichert,
  • warum es diese Daten erhebt und verarbeitet,
  • wie lange es diese Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen, die Webinaris nutzen, müssen in ihrer Datenschutzerklärung erwähnen, dass sie mit dem Anbieter einen Vertrag zur Auftragsverarbeitung geschlossen haben. Dabei sollten sie auch erklären,

  • warum sie Daten an Webinaris weitergeben,
  • wie lange Webinaris diese Daten speichert,
  • wie Webinaris die Daten verarbeitet,
  • welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Nutzer der Einwilligung in die Datenerhebung jederzeit widersprechen können.

Rechtsprechung zur Verwendung von Webinaris

Die Datenschutzbehörde Hamburg hat gegen ein Versandunternehmen, das mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung abgeschlossen hatte, ein Bußgeld ausgesprochen. Dabei legte die Behörde am 17.12.2018 ein Bußgeld von 5.250 Euro fest. Grundsätzlich droht Unternehmen bei diesem Verstoß ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent ihres weltweiten Jahresumsatzes.

WhatsApp

WhatsApp ist ein Instant-Messaging-Dienst. User können darüber Textnachrichten, Fotos, Videos und Sprachnachrichten verschicken. Darüber hinaus können sie Standortinformationen, Dokumente, Links und Kontaktdaten teilen. WhatsApp verfügt weltweit über mehr als 2 Milliarden Nutzer. Das Unternehmen gehört zum Mutterkonzern Facebook.

Warum ist WhatsApp datenschutzrechtlich relevant?

WhatsApp speichert die Daten, die User mit der App teilen. Das sind zum Beispiel

  • Nachrichten,
  • Fotos,
  • Videos,
  • Telefonnummern,
  • Standortdaten und
  • hinterlegte Profilbilder.

Fotos und Videos werden bei WhatsApp eigenen Angaben zufolge jedoch nur zwischengespeichert. Dann entfernt WhatsApp diese. Nachrichten speichert die App nur, bis der Empfänger sie erhalten hat. Danach löscht sie diese. Wird eine Nachricht von innerhalb 30 Tagen nicht zugestellt, löscht WhatsApp diese ebenfalls. Die App speichert zudem Rechnungsdaten.

Darüber hinaus erhebt und verarbeitet die App Metadaten. Dazu zählen unter anderem

  • Geräteinformationen,
  • die Art und Häufigkeit der App-Nutzung und
  • wann wer Nachrichten an wen verschickt.

In seinen AGB gibt WhatsApp an, erhobene Daten an den Mutterkonzern Facebook weiterzugeben. Daneben hält es sich offen, Daten mit externen Unternehmen, Dienstleistern und Partnern zu teilen.
Für die Praxis heißt das: Nutzen Unternehmen WhatsApp und kommunizieren sie darüber mit ihren Kunden oder Mitarbeitern, erheben sie personenbezogene Daten und geben diese an Dritte weiter. Unternehmen müssen daher besondere datenschutzrechtliche Pflichten erfüllen.

WhatsApp datenschutzkonform verwenden

Es ist rechtlich fraglich, ob Unternehmen WhatsApp datenschutzkonform verwenden können. Sie sollten jedoch in jedem Fall diese Anforderungen erfüllen:

Einwilligung der Kontakte einholen

Bevor Unternehmen mit ihren Kunden oder Mitarbeitern über WhatsApp kommunizieren, müssen sie von all ihren hinterlegten Kontakten die Erlaubnis einholen, ihre Telefonnummer erheben zu dürfen. Zudem benötigen sie die Einwilligung, diese und weitere Daten mit WhatsApp teilen zu dürfen. Denn: WhatsApp greift auf alle im Smartphone hinterlegten Kontakte zurück.

Vertrag zur Auftragsverarbeitung abschließen

Verwenden Unternehmen WhatsApp, leiten sie personenbezogene Daten an den Konzern und damit an einen Dritten weiter. Artikel 28 der Datenschutz-Grundverordnung (DSGVO) schreibt dafür vor: Sie müssen einen Vertrag zur Auftragsverarbeitung abschließen. Unternehmen sollten darauf achten, dass sie in dem Vertrag aufführen,

  • welche Daten WhatsApp speichert,
  • warum und wie lange es diese Daten speichert und
  • welche Rechte und Pflichten die Verantwortliche haben.

Unternehmen haben bei WhatsApp nicht die volle Kontrolle über die Weitergabe ihrer Daten. Um die Privatsphäre von Kunden und Mitarbeitern zu schützen, empfiehlt es sich daher, ein alternatives Kommunikationsmittel zu verwenden.

Datenschutzerklärung anpassen

Unternehmen müssen in ihrer Datenschutzerklärung erwähnen, dass sie mit WhatsApp einen Vertrag zur Auftragsverarbeitung geschlossen haben. Darin müssen sie aufführen, wie WhatsApp die Nutzerdaten verwendet. Sie müssen auch erklären, warum sie für den Einsatz von WhatsApp

  • personenbezogene Daten erheben,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
  • dass User die Einwilligung in die Datenerhebung jederzeit widerrufen können.

Rechtsprechung zu WhatsApp

Seit 2018 prüft die irische Datenschutzbehörde IPC, ob WhatsApp die Informationspflichten aus Art. 12 - 14 DSVO verletzt hat. Dabei steht vor allem die Frage im Zentrum, ob WhatsApp unzureichend über die Weitergabe von Userdaten an Facebook informiert. Das IPC hat mittlerweile einen Beschlussentwurf vorgelegt. WhatsApp kann dazu Stellung nehmen. Danach erhalten die zuständigen Aufsichtsbehörden der Mitgliedsstaaten den Entwurf. Sie können diesem zustimmen oder dagegen Einspruch einlegen.

Widerruf der Einwilligung zur Datenverarbeitung

User, die in die Verarbeitung ihrer personenbezogenen Daten eingewilligt haben, können diese Einwilligung widerrufen. Dieses Recht schreibt ihnen Artikel 7, Absatz 3 der Datenschutz-Grundverordnung (DSGVO) zu.

Widerruf der Einwilligung in der Praxis

Nutzer müssen beispielsweise in die Verarbeitung ihrer Daten einwilligen, wenn sie einen Newsletter bestellen wollen. Diese Erlaubnis können sie jedoch widerrufen, wenn sie keine weiteren E-Mails mehr erhalten wollen.

Wie können Verbraucher ihre Einwilligung widerrufen?

Verbraucher können ihre Einwilligung nach Artikel 7 Abs. 1 DSGVO widerrufen, wenn sie vorher eine Einwilligung nach Artikel 6 Abs. 1 DSGVO erteilt haben. Die Verantwortlichen müssen Usern dabei den Widerruf genauso einfach machen wie die Erteilung der Einwilligung. Das heißt: Sie dürfen beispielsweise nicht einen einzelnen Ansprechpartner bestimmen, an den sich Nutzer wenden müssen, um ihren Widerruf auszusprechen.

In der Praxis müssen also wenige Klicks eine Einwilligung widerrufen lassen. Bei der Abbestellung eines Newsletters kann das beispielsweise ein Unsubscribe-Link am Ende jeder Mail sein. User sollten ihre Datenverarbeitung hierüber mit einem oder zwei Klicks widerrufen können. Das schreibt das Simplizitätsgebot vor.

Wann können Betroffene ihre Einwilligung nicht widerrufen?

Verbraucher haben kein Recht, ihre Einwilligung zu widerrufen, wenn die Datenverarbeitung erforderlich ist, um beispielsweise einen Vertrag zu erfüllen oder vorvertragliche Maßnahmen durchzuführen. Für die Praxis heißt das: Betroffene können die Verarbeitung ihrer Daten nicht widerrufen, wenn sie in einem Onlineshop ein Produkt bestellen. Denn: Ohne personenbezogene Daten wie die Adresse des Kunden kann ein Shop einen bestellten Artikel nicht liefern und damit den Vertrag nicht erfüllen.

Diese Pflichten haben Seitenbetreiber

Seitenbetreiber müssen bereits bei einer Einwilligung in die Verarbeitung personenbezogener Daten darauf hinweisen, dass User diese Einwilligung jederzeit widerrufen können. Widerruft ein User seine Einwilligung, dürfen Unternehmen die personenbezogenen Daten nicht mehr verwenden. Ein Widerruf wirkt zudem erst für die Zukunft. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.

Wenn sich Seitenbetreiber nicht an die rechtlichen Vorgaben zur Einwilligung oder zum Widerruf der Verarbeitung personenbezogener Daten halten, droht ihnen eine Geldbuße von bis zu 20 Millionen Euro oder von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Das gibt Art. 83 Abs. 5a) DSGVO vor.

Rechtsprechung zum Widerruf der Einwilligung zur Datenverarbeitung

Soweit ersichtlich, liegt bisher keine Rechtsprechung zum Widerruf der Einwilligung zur Datenverarbeitung vor. Das Kammergericht Berlin hat jedoch am 31.01.2017 ein Urteil zum Widerspruch der Datenverarbeitung gefällt: Wenn User mit mehreren E-Mail-Adressen im Bestandskundenverteiler eines Händlers registriert sind, müssen sie bei einem Widerspruch alle Adressen nennen, für die sie keine Mails mehr bekommen wollen (Az. 5 U 63/17).

Und: Das Oberlandesgericht München kam in einem Fall der E-Mail-Werbung gegenüber Bestandskunden einer Partnerbörse am 15.02.2018 zu dem Ergebnis: Der Hinweis „Um diese Mail nicht mehr zu erhalten, klicken Sie hier“ ist verständlich und ausreichend, um Empfänger auf ihre Widerspruchsmöglichkeit hinzuweisen (Az. 29 U 2799/17).

Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO)

Nutzer, die in die Erhebung und Verarbeitung ihrer Daten eingewilligt haben, können dieser widersprechen. Dabei gibt Artikel 21 der Datenschutz-Grundverordnung (DSGVO) vor, dass sie aus Gründen ihrer besonderen Situation einen Widerspruch einlegen können, wenn die Datenverarbeitung gemäß Artikel 6 Abs. 1 lit. e oder f DSGVO erfolgt ist. Und: User können jederzeit der Datenerhebung oder -verarbeitung widersprechen, wenn Unternehmen mit den personenbezogenen Daten Direktwerbung betreiben wollen.

Welche Datenerhebung beschreibt Artikel 6 Abs. 1 lit. e und f DSGVO?

Artikel 6 Abs. 1 lit. e DSGVO gibt vor, dass personenbezogene Daten verarbeitet werden dürfen, wenn eine Aufgabe erfüllt werden muss, die im öffentlichen Interesse liegt oder in der Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. In der Praxis kann das zum Beispiel eine Berichterstattung der Presse über eine Person von öffentlichem Interesse, wie der Bundeskanzlerin, sein.

Artikel 6 Abs. 1 lit. f DSGVO gibt vor, dass Verantwortliche personenbezogene Daten erheben und verarbeiten dürfen, wenn sie damit ihre berechtigten Interessen wahren. Das gilt nur, solange nicht die Interessen oder Grundrechte der betroffenen Person überwiegen. In der Praxis kann das zum Beispiel die Videoüberwachung eines Firmengeländes sein. Hier überwiegt das Interesse der Firma, ihr Areal abzusichern, das Interesse des Betroffenen, nicht gefilmt zu werden.

Pflichten der Seitenbetreiber bei einem Widerspruch

Seitenbetreiber müssen in ihrer Datenschutzerklärung darauf hinweisen, wann User ein Widerspruchsrecht haben. Haben User der Datenerhebung oder -verarbeitung widersprochen und überwiegt ihr Interesse das der Verantwortlichen, dürfen diese die personenbezogenen Daten nicht mehr verarbeiten. Das schreibt Artikel 21 Abs. 1 DSGVO vor.

Wollen User, dass ihre personenbezogenen Daten nicht mehr für Direktwerbung – also vor allem für schriftliche Werbung in Form von Post oder Prospekten – verwendet werden, müssen die Verantwortlichen dem nachkommen. Dabei muss keine Abwägung der Interessen stattfinden. Es handelt es sich dann um einen Widerspruch nach Art. 21 Abs. 2 DSGVO.

Beschwerderecht der Betroffenen

Kommen Verantwortliche ihren Pflichten aus Art. 21 DSGVO nicht nach, zum Beispiel, weil ein Unternehmen trotz Widerspruch weiter personenbezogene Daten für Direktwerbung verwendet, können sich Betroffene bei der zuständigen Aufsichtsbehörde beschweren.

Strafen bei einem Verstoß

Kommen Verantwortliche ihren Pflichten aus Artikel 21 DSGVO nicht nach, drohen ihnen Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Das gibt Art. 83 Abs. 5a) DSGVO vor.
Rechtsprechung zum Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO).

Das Landgericht Frankfurt am Main hat am 28.02.2019 entschieden: Versendet ein Unternehmen trotz Werbewiderspruch Briefwerbung an einen Verbraucher, begeht es einen Wettbewerbsverstoß (Az. 2-03 O 337/18). Dabei kann sich das Unternehmen nicht damit rechtfertigen, dass der Briefversand aus Versehen durch einen menschlichen Fehler passiert ist. Denn: Bei einer personalisierten Briefwerbung gelten gesteigerte Sorgfaltspflichten.

Datenschutzerklärung und Widerspruch gegen Werbe-E-Mails

Werbe-E-Mails gehören für Seitenbetreiber zum Standard-Repertoire im Online-Marketing. Dabei holen sie sich zunächst die Einwilligung der User ein, ihnen werbliche Mails zuschicken zu dürfen, um sie dann mit Newslettern zu versorgen. Dieser Erlaubnis können Verbraucher jedoch widersprechen, wenn sie keine weiteren E-Mails mehr wünschen. Dieses Recht spricht ihnen Art. 7 Abs. 3 DSGVO zu.

Diese Pflichten haben Seitenbetreiber

Seitenbetreiber müssen Verbraucher auf ihr Widerspruchsrecht hinweisen, bevor diese ihre Einwilligung in den Versand von Werbe-E-Mails abgeben. Wollen Nutzer von ihrem Widerspruch Gebrauch machen, müssen Seitenbetreiber das „Simplizitätsgebot“ einhalten. Das heißt: Sie müssen Usern den Widerspruch genauso einfach machen wie die Erteilung der Einwilligung. Sie dürfen daher beispielsweise nicht einen einzelnen Ansprechpartner bestimmen, an den sich User wenden müssen, wenn sie keine Werbe-E-Mails mehr bekommen wollen.

In der Praxis reicht es dabei in der Regel aus, wenn Seitenbetreiber am Ende jeder Mail einen „Unsubscribe-Link“ einfügen, über den User mit einem Klick den Mailversand abbestellen können. Haben Verbraucher ihre Widerspruchsmöglichkeit genutzt, dürfen Seitenbetreiber ihre personenbezogenen Daten nicht mehr verwenden. Damit bezieht sich der Widerspruch nicht nur auf das Zusenden von Werbe-E-Mails, sondern auf die gesamte Verarbeitung ihrer Daten.

Das droht Webseitenbetreibern bei einem Verstoß

Halten sich Seitenbetreiber nicht an die rechtlichen Vorgaben zur Einwilligung oder zum Widerspruch von personenbezogenen Daten, drohen ihnen Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Das schreibt Art. 83 Abs. 5a) DSGVO vor.

Rechtsprechung zum Widerspruch von Werbe-E-Mails

Das Oberlandegericht München hat im Rahmen eines Falls zu E-Mail-Werbung gegenüber Bestandskunden einer Partnerbörse am 15.02.2018 entschieden, dass der Hinweis „Um diese Mail nicht mehr zu erhalten, klicken Sie hier“ verständlich und ausreichend ist, um Empfänger auf ihre Widerspruchsmöglichkeit hinzuweisen (Az. 29 U 2799/17).

Darüber hinaus hat das Kammergericht Berlin am 31.01.2017 festgestellt, dass User, die mit mehreren E-Mail-Adressen im Bestandskundenverteiler eines Händlers registriert sind, bei einem Widerspruch alle Adressen nennen müssen, wenn sie über keine der Adressen mehr Mails bekommen wollen (Az. 5 U 63/17).

Datenschutzerklärung und WordPress Stats

WordPress Stats – kurz für WordPress Statistics - ist ein Plugin für das bekannte Content Management System WordPress. Es lässt Webseitenbetreiber Daten zum Verhalten von Usern auf ihrer Seite sammeln. Die Zahlen zeigen ihnen unter anderem, über welche Links User auf ihrer Seite landen und welche Seiten sie besuchen. Auf diese Weise können Betreiber Rückschlüsse auf den Content und die Funktionalität ihrer Seite ziehen und diese optimieren.

Darum ist WordPress Stats datenschutzrechtlich bedenklich

WordPress Stats läuft zwar lokal auf dem Server der Webseite, so dass keine Daten über den Browser des Users zum Statistik-Tool gesendet werden, es erhebt jedoch unter anderem personenbezogene Daten wie die IP-Adresse. Das dürfen Seitenbetreiber jedoch nur, wenn sie dafür die Erlaubnis der User haben.

So können Webseitenbetreiber WordPress Stats datenschutzkonform nutzen

Damit Webseitenbetreiber WordPress Stats datenschutzkonform zum Einsatz bringen, müssen sie die Erhebung der IP-Adresse der User anonymisieren. Dafür sollten sie einen entsprechenden Befehl in der Datei funktions.php ergänzen. Dieser verkürzt die IP-Adressen so, dass Webseitenbetreiber keinen Personenbezug mehr herstellen können.

Darüber hinaus sollten Seitenbetreiber in ihrer Datenschutzerklärung darauf hinweisen, dass sie über WordPress Stats Userdaten erheben, speichern und verarbeiten. In diesem Kontext sollten sie auch die Anonymisierung der IP-Adressen ansprechen. Gleichzeitig sollten sie User auf die Möglichkeit hinweisen, dass sie der Datenerhebung widersprechen können.

Seitenbetreiber müssen keinen Vertrag zur Auftragsverarbeitung abschließen, da WordPress lokal auf dem eigenen Server läuft und es keine Skripte einbindet.

Rechtsprechung zu WordPress Stats

Das Landgericht Hamburg hat am 10.03.2016 in einem Beschluss festgestellt: Webseitenbetreiber dürfen Google Analytics nur verwenden, wenn sie Nutzer in ihrer Datenschutzerklärung darüber aufklären, dass sie Statistiken zu ihrem Verhalten erheben (312 O 127/16). Das Gericht hat dies in einem Urteil am 09.08.2016 noch einmal bestätigt (Az. 406 HKO 120/16). Diese Entscheidung könnte auch für den Einsatz von WordPress Stats gelten. Denn: Das Plugin sammelt wie Google Analytics Daten zum Verhalten der User. Webseitenbetreiber sollten daher in jedem Fall den Einsatz von WordPress Stats in ihrer Datenschutzerklärung ansprechen.

Datenschutzerklärung und Xing Plugin

Xing ist eine Karriere-Plattform, auf der Mitglieder geschäftliche Kontakte knüpfen können. Dazu können sie ein Profil anlegen, nach Jobs oder Mitarbeitern Ausschau halten, Posts veröffentlichen sowie mit anderen Mitgliedern in Kontakt treten. Das Netzwerk hat ca. 13 Millionen Mitglieder.

Diese Daten sammelt und nutzt Xing

Nutzer, die sich bei Xing registrieren, tragen in ihrem Profil sensible Daten wie

  • Name,
  • E-Mail-Adresse,
  • Geburtsdatum,
  • geschäftliche Kontakte,
  • beruflichen Status und
  • Ausbildung ein.

Schließen Nutzer bei Xing eine Premium-Mitgliedschaft ab, erhält das Netzwerk zudem Zugriff auf ihre Kontodaten. Darüber hinaus speichert Xing veröffentlichte Posts, Gruppenmitgliedschaften, Likes und alle weiteren Aktivitäten, die Nutzer im Netzwerk vornehmen. Es nutzt diese Daten laut seiner Datenschutzerklärung ausschließlich dafür, die Dienste anzubieten. Dabei soll es eigenen Angaben nach keine personenbezogenen Daten an Dritte zu Werbe- oder Marketingzwecken weitergeben.

Datenschutzprobleme bei Xing

Damit User und Unternehmen Xing datenschutzkonform verwenden, müssen sie in ihrem Profil entsprechende Datenschutzhinweise platzieren oder dort einen Link zu den Datenschutzhinweisen auf ihrer Webseite setzen. Darüber hinaus müssen Unternehmen in ihrer Datenschutzerklärung darüber aufklären, dass die vorgenommenen Datenschutzhinweise auch für Xing gelten.

Zudem stellt das Einbinden des Xing Share Buttons auf der Webseite Unternehmen vor eine datenschutzrechtliche Herausforderung. Der Button ermöglicht es, Webseiteninhalte mit wenigen Klicks auf Xing zu posten.

Besuchen User eine Webseite, die den Xing Share Button implementiert hat, baut dieser automatisch eine Verbindung zu Xing auf. Das Netzwerk kann dann personenbezogene Daten wie die IP-Adresse des Webseitenbesuchers auslesen und speichern, ohne dass User hierfür ihre Einwilligung erteilt haben. Es reicht für Webseitenbetreiber dabei nicht aus, in ihrer Datenschutzerklärung über den Datentransfer zu unterrichten. Xing selbst gibt dazu an, dass es keine personenbezogenen Daten speichert.

Rechtsprechung zu Xing

Aktuell steht der Facebook-Like-Button im Visier des Europäischen Gerichtshofs (EuGH). Zuvor hatte das Landgericht Düsseldorf entschieden, dass der Button gegen deutsche Datenschutzbestimmungen verstößt (Az. 12 O 151/15, 09.03.2016). Kommt auch der EuGH zu diesem Ergebnis, könnte das auch Auswirkungen auf den Xing Share Button haben. Denn: Dieser erhebt wie der Facebook-Like-Button personenbezogene Daten und sendet diese an Dritte, ohne dass User hierfür ihre Erlaubnis gegeben haben.

Datenschutzerklärung und YouTube

YouTube ist eine Online-Video-Plattform, auf der Nutzer Videos hochladen und anschauen können. Sie können Videos bewerten, in Playlisten speichern und kommentieren. Das Portal hat über eine Milliarde User.

Darum ist YouTube datenschutzrechtlich bedenklich

Wollen sich Nutzer bei YouTube registrieren, müssen sie ihren Namen und ihre E-Mail-Adresse angeben sowie ein Passwort für den Login festlegen. Nutzen User den Single Sign On über Facebook oder Google, erhält YouTube zudem weitere Daten zum User. Abhängig vom jeweiligen Netzwerk und den dort vorgenommenen Privatsphäre-Einstellungen können das zum Beispiel Fotos, Interessen und Freunde des Nutzers sein.

Werden User nach Registrierung bei YouTube aktiv, zeichnet die Plattform alle vorgenommenen Aktionen auf. Damit speichert YouTube beispielsweise Daten zu angeklickten Videos, erstellten Playlisten sowie abgegebenen Bewertungen und Kommentaren. Darüber hinaus erhebt die Plattform Angaben zum verwendeten Endgerät, zur IP-Adresse und zum Browser des Users.

YouTube nutzt die Daten, um Usern ein personalisiertes Erlebnis auf der Plattform bieten zu können. Dazu verwendet es die Daten zum Beispiel, um Nutzern relevante und interessante Inhalte anzuzeigen. Dazu zählt auch das Einspielen personalisierter Werbeclips und Anzeigen. Das wird YouTube jedoch erst möglich, indem es Nutzerdaten an Werbekunden übermittelt. Diese lassen YouTube dann ihre Werbung für die jeweilige Zielgruppe ausspielen. YouTube darf personenbezogene Daten jedoch nur an Dritte weitergeben, wenn es für jeden konkreten Fall die Erlaubnis der User hat. Darüber verfügt das Netzwerk nicht.

So können Webseitenbetreiber YouTube-Videos datenschutzkonform auf ihrer Seite einbinden

Binden Seitenbetreiber YouTube-Content auf ihrer Webseite ein, erfasst das Video-Portal automatisch Daten zu den Webseitenbesuchern. Das ist möglich, da YouTube durch das Einbetten der URL automatisch einen Cookie im Browser der Nutzer setzt. Dieser speichert das Verhalten der User und gibt dies an YouTube weiter.

Webseitenbetreiber sollten daher auf Plugins setzen, die verhindern, dass YouTube Daten von Usern sammelt, noch bevor diese das Video auf der Seite anklicken. Plugins ermöglichen es hierbei, dass Nutzer zunächst zustimmen müssen, dass YouTube bei Abspielen des Videos ihre personenbezogenen Daten erfasst. Dies geschieht über einen Hinweis, dem sie aktiv per Klick zustimmen müssen.

Zudem müssen Seitenbetreiber in ihrer Datenschutzerklärung angeben, dass sie YouTube-Videos auf ihrer Seite eingebunden haben. Dabei sollten sie ihren Usern erklären, welche Daten YouTube sammelt, sobald sie die Seite besuchen bzw. das Video starten.

Rechtsprechung zu YouTube

Der Europäische Gerichtshof beschäftigt sich derzeit mit der Frage, ob der Facebook-Like-Button dem deutschen Datenschutz gerecht wird. Sollte das Gericht zu dem Ergebnis gelangen, dass der Button nicht die Anforderungen deutscher Datenschutzbestimmungen erfüllt, könnte das auch Folgen für das Implementieren von YouTube-Videos auf Webseiten haben. Denn: YouTube und Plattformen wie Facebook arbeiten auf externen Webseiten mit der gleichen Vorgehensweise: Sie erheben über Cookies personenbezogene Daten, ohne dass User davon erfahren.

Zendesk

Zendesk ist eine cloudbasierte Kundensupport-Plattform, über die Webeseitenbetreiber die Kundeninteraktion aus allen Kanälen wie Telefon, E-Mail, Chat und Social Media bündeln können. Das Unternehmen hat 145.000 Kunden in 160 Ländern und beschäftigt über 500 Mitarbeiter.

Warum ist Zendesk datenschutzrechtlich relevant?

Seitenbetreiber vertrauen Zendesk zahlreiche personenbezogene Daten ihrer Kunden, wie Namen, E-Mail-Adresse und Telefon, an. Diese Daten sind besonders schützenswert. Die Datenschutz-Grundverordnung (DSGVO) gibt daher verschiedene Pflichten vor.

Wie können Unternehmen Zendesk datenschutzkonform nutzen?

Um Zendesk datenschutzkonform verwenden zu können, müssen Seitenbetreiber diese Pflichten erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Gemäß der DSGVO ist Zendesk ein externer Auftragsverarbeiter. Denn: Webseitenbetreiber geben ihre Kundendaten an Zendesk weiter, damit sie ihren Kundenservice verbessern können. Sie müssen mit Zendesk daher einen Vertrag zur Auftragsverarbeitung abschließen. Das schreibt ihnen § 28 DSGVO vor. In dem Vertrag müssen sie festlegen,

  • welche Daten Zendesk wie lange speichern darf,
  • warum und wie Zendesk die Daten verarbeiten darf und
  • welche Rechte und Pflichten beide Parteien haben.

Schließen Seitenbetreiber keinen Vertrag zur Auftragsverarbeitung mit Zendesk, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes. Das sagt Art. 83 Abs. 4 lit. a DSGVO.

Datenschutzerklärung anpassen

Um User darüber zu informieren, wie sie mit Zendesk zusammenarbeiten, müssen Seitenbetreiber in ihrer Datenschutzerklärung aufführen,

  • dass sie mit Zendesk einen Vertrag zur Auftragsverarbeitung geschlossen haben,
  • welche personenbezogenen Daten sie an Zendesk weitergeben,
  • warum sie diese an Zendesk weitergeben,
  • wie Zendesk diese Daten nutzt und
  • dass User der Datenweitergabe und -verwendung widersprechen können.

Diese Pflichten schreibt § 13 Abs. 1 DSGVO vor.

Aufbewahrungsort der Kundendaten bei Zendesk anpassen

Zendesk speichert die von Seitenbetreibern zur Verfügung gestellten Kundendaten auf Servern, die außerhalb der EU liegen. Um dem Datenschutz der DSGVO zu genügen, müssen sie daher den Aufbewahrungsort der Daten ändern. Zendesk bietet dazu die Möglichkeit, die Zusatzleistung „Standort des verwendeten Rechenzentrums“ („Data Center Location Add-on“) in Anspruch zu nehmen. Seitenbetreiber können dann die Region selbst auswählen, wo Zendesk ihre Kundendaten speichern soll. Sie sollten sich dann für einen Standort innerhalb der EU entscheiden. Auf diese Weise unterliegt die Datenspeicherung den Vorgaben der DSGVO.

Rechtsprechung zu Zendesk

Am 17.12.2018 erließ die Datenschutzbehörde Hamburg einen Bußgeldescheid gegen das kleine Versandunternehmen Kolibri Image. Dies hatte mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen. Denn: Der Dienstleister selbst stellte keinen Vertrag zur Verfügung. Und: Kolibri Image sah sich nicht dazu verpflichtet, selbst einen Vertrag aufzusetzen. Die Datenschutzbehörde belegte das Unternehmen daher mit einer Strafe von 5000 Euro zuzüglich 250 Euro Gebühren. 

Zoom

Zoom ist eine US-amerikanische Plattform für Video- und Audiokonferenzen. Das zentrale Produkt des Unternehmens ist „Zoom Meetings“, mit dem User Online-Videokonferenzen abhalten können. Zudem erlaubt ein Chat, Textnachrichten und Dateien auszutauschen. Daneben verfügt Zoom mit „Zoom Phone“ über eine virtuelle Telefonanlage sowie mit „Zoom Video Webinars“ über ein Tool für Videokonferenzen mit bis zu 100 Sprechern und bis zu 10.000 Zuschauern. Zoom hat derzeit über 200 Millionen tägliche Nutzer.

Warum ist Zoom datenschutzrechtlich relevant?

Zoom speichert die Daten seiner registrierten Kunden. Dazu zählen unter anderem

  • Name,
  • Benutzername,
  • E-Mail,
  • Telefonnummer,
  • Name des Kontoinhabers,
  • Rechnungsadresse und
  • Zahlungsmethode.

Von Usern, die an Video- und Audiokonferenzen über Zoom teilnehmen, erfasst die Plattform zum Beispiel

  • Benutzerdaten,
  • IP-Adresse,
  • E-Mail-Adresse,
  • Betriebssystem,
  • Geräteinformationen,
  • Chat-Nachrichten und
  • gesendete Dateien.

Zoom speichert Calls und Videoübertragungen, wenn Unternehmen dies vorher beauftragen. Ist das der Fall, informiert Zoom die Teilnehmer darüber. Diese können das Meeting verlassen, wenn sie das nicht möchten.

Unternehmen dürfen die Daten ihrer Gesprächspartner, also ihrer Mitarbeiter oder Kunden, nur dann an Zoom weitergeben, wenn die Daten dabei in der EU bleiben oder das Empfängerland einen gleichwertigen Datenschutz wie die Datenschutz-Grundverordnung (DSGVO) bietet. Bei deutschen Unternehmen leitet Zoom den Datenverkehr ausschließlich über Rechenzentren in Europa.

Zoom selbst gibt an, erhobene personenbezogene Daten nicht zu verkaufen oder für Werbezwecke zu nutzen. Der Bundesdatenschutzbeauftragte Ulrich Kerber warnte trotzdem im Mai 2020 davor, Zoom zu verwenden. Der Dienst sei nicht Ende-zu-Ende verschlüsselt. Er rate daher von dieser Kommunikationsform ab, wenn personenbezogene Daten im Spiel sind.

Zoom datenschutzkonform nutzen

Um Zoom gemäß den Anforderungen der DSGVO zu verwenden, müssen Unternehmen diesen Pflichten nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Geben Unternehmen personenbezogene Daten der Teilnehmer von Konferenzen an Zoom weiter, müssen sie vorher einen Vertrag zur Auftragsverarbeitung abschließen. Das schreibt Art. 28 DSGVO vor. Zoom erhebt automatisch die Daten aller Gesprächsteilnehmer. Unternehmen müssen daher mit Zoom einen entsprechenden Vertrag eingehen. Das passiert bei Zoom seit April 2020 automatisch, wenn sie einen Account erstellen.

Ob so auch bereits bestehende Kunden den Vertrag zur Auftragsverarbeitung geschlossen haben, ist unklar. Zoom hatte in seinen vorherigen AGB jedoch eine Änderungsklausel. Unternehmen können daher davon ausgehen, dass jetzt auch für Altkunden die neuen AGB gelten – und so auch ein wirksamer Vertrag zur Auftragsverarbeitung besteht. Sollte das nicht der Fall sein, können Kunden bei Zoom individuell einen entsprechenden Vertrag vereinbaren.

Unternehmen sollten bei dem Vertrag darauf achten, dass dieser erwähnt,

  • welche Userdaten Zoom speichert,
  • wie lange Zoom diese Daten speichert,
  • warum Zoom die Daten erhebt und aufbewahrt und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen, die mit Zoom einen Vertrag zur Auftragsverarbeitung geschlossen haben, müssen das in ihrer Datenschutzerklärung aufführen. Dabei sollten sie verdeutlichen,

warum sie welche Userdaten erheben und speichern,

wie lange sie die Daten speichern wollen,

welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und

dass Nutzer der Datenerhebung jederzeit widersprechen können.

Datenschutzfreundliche Einstellungen wählen

Unternehmen sollten für ihre Videokonferenzen zudem Einstellungen wählen, die den Datenschutz und die Privatsphäre der Teilnehmer schützen. Wollen sie beispielsweise die Aufmerksamkeit der Teilnehmer tracken oder eine Konferenz aufzeichnen, sollte das

  • einem erlaubten Zweck dienen,
  • geeignet sein, diesen Zweck zu erfüllen und
  • erforderlich sein, diesen Zweck zu erfüllen.

Zudem sollten sie Schutzmaßnahmen ergreifen, soweit das möglich ist. Darüber hinaus müssen Unternehmen darauf achten, dass sie bei Zoom-Calls und -Konferenzen möglichst wenige Daten erheben und diese möglichst kurzfristig wieder löschen. Das kann zum Beispiel bei der Aufzeichnung von Video-Calls oder Chatverläufen notwendig sein. 

Rechtsprechung zur Verwendung von Zoom

Unternehmen, die keinen Vertrag zur Auftragsverarbeitung abschließen, müssen mit einem Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes rechnen. Die Datenschutzbehörde Hamburg sprach am 17.12.2018 ein Bußgeld gegen ein Versandunternehmen aus. Dies musste 5.000 Euro zuzüglich Gebühren in Höhe von 250 Euro zahlen. Es hatte mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen.


Interessante Artikel für alle Webseitenbetreiber

Themenspecial Abmahnung

 Wettbewerbsrechtliche Abmahnung und Abmahnungen wegen Filesharing werden von spezialisierten Kanzleien zehntausendfach ausgesprochen. Wir zeigen Ihnen, was Sie wissen müssen und wie Sie richtig reagieren.

Informieren Sie sich auf unserem Portal rund um alle Fragen zu Abmahnungen https://www.abmahnung-internet.de/

Wir haben auch auf eRecht24 umfassende Informationen zum Thema u.a. im Beitrag Filesharing-Abmahnungen, so reagieren Sie richtig zusammengestellt. Die häufigsten Abmahnungen wg. Tauschbörsennutzung sind Filesharing Abmahnungen der Kanzlei Waldorf Frommer. Lesen Sie in den jeweiligen Beiträgen, wie Sie bei einer Abmahnung der genannten Kanzlei richtig reagieren.

Neu: Spezial Verkehrsrecht Online

eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support