Die Vorschriften zum Datenschutz ist mittlerweile umfassender denn je. Eine rechtssichere Umsetzung wird zur Herausforderung für jedes Unternehmen. Gemäß den derzeit geltenden Bestimmungen (BDSG, TMG) müssen die Besucher einer Internetseite umfassend, klar und verständlich über den Datenschutz informiert werden. Und auch nach der Datenschutzgrundverordnung (DSGVO) bleiben
diese Pflichten bestehen!
Hintergrund
Egal ob die eigene Homepage, der Onlineshop oder die sozialen Netzwerke: Ein eigener Internetauftritt ist heutzutage ein Muss für jedes Unternehmen.
Die Homepage ist die digitale Visitenkarte eines Unternehmens und bietet zugleich auch die Möglichkeit den Kunden besondere Funktionen zur Verfügung zu stellen.
Aber Achtung: Jedes online Angebot und jede Funktion veranlasst immer auch die Erhebung und Nutzung von personenbezogenen Daten, wozu auch die IP-Adresse zählt!
Kommen noch Analyse- und Werbetools von Drittanbietern hinzu, werden Daten in erheblichem Umfang sogar gesammelt!
Hierbei stellen sich datenschutzrechtlich unterschiedliche Fragen: Müssen Nutzer auf die Datenerhebung hingewiesen werden und wenn ja, wann und wie? Darf eine Datenanalyse über Drittanbieter erfolgen?
Gemäß § 13 TMG müssen Betreiber von online Angeboten eine Datenschutzerklärung bereit halten. Hierbei muss zu Beginn des jeweiligen Nutzungsvorgangs (= Besuch der Internetseite oder des Onlineshops) umfassend über Art, Umfang und über die Zwecke der Datennutzung in klarer und verständlicher Form informiert werden. Das gilt gleichermaßen für den Einsatz von Analysetools und der Weitergabe der Daten an Drittanbieter. Als Analysetools werden häufig Google Analytics, Piwik oder Adobe Analytics
eingesetzt.
Zusätzlich müssen u.a. noch folgende Angaben gemacht und bestimmte Punkte beachtet werden:
- Informationen zur Löschung alter Daten
- Vereinbarung zur Auftragsdatenverarbeitung, wenn Dritte hiermit beauftragt werden
- Anonymisierung von IP-Adressen
-
Angaben zu den kostenfreien Auskunfts- und Widerspruchsrechten
Achtung: Hier sollten gleich auch die Kontaktdaten angegeben werden - u.U Informationen bei der Weitergabe von Daten außerhalb der EU/ EWR
- u.U Angaben zum Einsatz von Cookies
Kann eine Registrierung auch über Facebook Connect oder Google sign in erfolgen, muss auch hierüber in der Datenschutzerklärung informiert werden und
eine Einwilligung der Nutzer eingeholt werden.
Zwar sind durch diese Art der Registrierung keine gesonderte Angabe im Shop erforderlich. Allerdings erlangen Facebook und Co. weitergehende Angaben der Nutzer als
Gegenleistung für die Übermittlung der Daten.
Anmelde- und Kontaktformulare
Werden Anmelde- und/oder Kontaktformulare bereit gestellt, muss der Nutzer zum einen allgemein über den Datenschutz informiert werden. Zugleich muss der Unternehmer aber auch die verschlüsselte Übermittlung der Daten sicher stellen, § 13 Abs. 7 TMG. Verstöße gegen die Pflicht zur verschlüsselten Übermittlung stellen Ordnungswidrigkeiten dar und können mit Bußgeldern geahndet werden.
Praxistipp: Das Bundesamt für Sicherheit der Informationstechnik (BSI) hat hierfür entsprechende Empfehlungen veröffentlicht.
Sonderfall: Onlinebewerbungen
Kann man sich beim Unternehmen direkt über die Homepage online bewerben, muss auch für diesen Fall eine verschlüsselte Übertragung gesichert sein. Das gilt sowohl für die
Bewerbungen an sich, als auch für sämtliche Anlagen!
Rechtsfolgen
Fehlende oder fehlerhafte Datenschutzerklärungen können als Ordnungswidrigkeiten mit Bußgeldern von bis zu 50.000 € geahndet werden.
Zugleich stellen Verstöße einen Wettbewerbsverstoß dar und können kostenpflichtig abgemahnt werden. Das gilt seit Februar 2016 explizit auch für Verbraucherschutzverbände!
Bei Rückfragen stehe ich Ihnen gerne zur Verfügung!
Kommentar schreiben