Datenschutz

Fehlerhafte Datenschutzerklärung. Warum viele Webseiten abgemahnt werden könnten

Ich bin viel im Internet unterwegs und besuche täglich die verschiedensten Webseiten.
Berufsbedingt achte ich dabei nicht nur auf das Design der jeweiligen Seiten, sondern auch darauf, welche Formen der Interaktivität die Seite dem Nutzer bietet.

Dabei fällt mir immer wieder auf, dass viele Webseitenbetreiber Social-Media-Funktionen, Newslettereintragungen oder auch einfache Kontaktformulare anbieten, aber nirgends oder nur über Umwege darauf hinweisen, was mit den Daten des Nutzers eigentlich passiert.
Auch auf die Nutzung des Dienstes Google Analytics wird von einigen Betreibern nur fehlerhaft oder gar nicht hingewiesen.

Natürlich hat nicht jeder Selbständige oder Freiberufler die Zeit, sich permanent um die Pflege seiner Webseite zu kümmern oder über aktuelle Datenschutzbestimmungen zu informieren.
Viele haben bei der Erstellung wahrscheinlich auf einen Impressumsgenerator zurückgegriffen, der eine passende Datenschutzerklärung automatisch zum Impressum generiert hat.

Im Laufe der Zeit wurden dann vielleicht erst die Newsletteranmeldung oder das Verfolgen von Benutzerdaten mit Hilfe von Google Analytics in die Seite integriert und dabei die Aktualisierung der Datenschutzerklärung schlicht vergessen.

Das kann im schlimmsten Fall aber ziemlich teuer werden.

Daher eine kurze Übersicht über den Sinn einer Datenschutzerklärung, und wie Newsletter, Social-Media und Google Analytics datenschutzkonform in Deutschland eingesetzt werden dürfen.

Hinweis: Da ich kein Anwalt bin, sind dies nur meine persönlichen Erfahrungen und keine Rechtsberatung. Bei speziellen Fragen wenden Sie sich bitte an einen Anwalt Ihres Vertrauens.

Schlösser

Datenschutzerklärung.

Foto von Rubén Bagüés via Unsplash

Warum eigentlich eine Datenschutzerklärung?

Eine Datenschutzerklärung hat den Sinn Nutzern zu erläutern, welche Daten von ihnen erhoben werden, wie diese weiterverwendet werden und wie Nutzer dagegen Einspruch einlegen können.
Nach § 13 Absatz 1, Satz 1 TMG, müssen Nutzer eines Telemediums, dazu gehören unter anderem auch Webseiten, zu Beginn des Nutzungsvorgangs über Zweck, Art und Umfang der Erhebung und Verwendung bezogener Daten unterrichtet werden.
Nach einem Urteil des Oberlandesgericht Hamburg vom 27. Juni 2013 (Az. 3 u 26/12) ist eine
Datenschutzerklärung allerdings auch dann abmahnfähig, wenn sie nicht als separater Punkt auf der Webseite aufgeführt ist.

Der Nutzer muss den Inhalt also zu jeder Zeit und von jeder Seite aus mit einem Klick erreichen können.

Viele Webseitenbetreiber haben in der Vergangenheit Ihre Datenschutzerklärung als einzelne Passage im Impressum ergänzt.
Die Frage ist hierbei: reicht das aus?

Theoretisch ja, wenn der Link zum Impressum einen gut sichtbaren Hinweis enthält, dass die Datenschutzerklärung dort enthalten ist.

Meine persönliche Empfehlung ist aber die Einrichtung einer separaten Seite, um eventuellen Abmahnungen vorzubeugen.

“„Das Recht auf informationelle Selbstbestimmung heißt ja nur,
dass die Bürger informiert werden müssen, wer wann was von ihnen speichert.“” – Brigitte Zypries

Smartphone Twitter

Newsletter & Social Media.

Foto von freestocks.org via Unsplash

Newsletter

Falls sich der Nutzer auf Ihrer Webseite für einen Newsletter anmelden kann, ist immer eine gesonderte Einwilligung des Nutzers erforderlich. Der Nutzer muss aktiv einen Anmelde-Button klicken.
Außerdem müssen Nutzer auf die ungefähren Inhalte des Newsletters hingewiesen werden. Sollten außer der E-Mail-Adresse noch andere Daten für die Anmeldung nötig sein, sollten Sie den Nutzer hinweisen, wozu dies dient. Auch die Möglichkeit, sich über einen Link vom Newsletter abzumelden, sollte in der Datenschutzerklärung hinterlegt werden.

Auch das Anmeldeverfahren für den Newsletter muss zu Nachweiszwecken mittels eines Double-Opt-In-Verfahrens erfolgen und protokolliert werden.

Der Nutzer muss also nach der Eingabe seiner E-Mail-Adresse und Anmeldung noch eine E-Mail erhalten, bei der er noch einmal bestätigen muss, dass er sich wirklich für diesen Newsletter angemeldet hat.

Newslettersysteme wie z.B. CleverReach bieten dies automatisch an.

Social Media

Um Nutzern die Möglichkeit zu geben ihre Inhalte in sozialen Netzwerken zu teilen, setzen viele Webseitenbetreiber Buttons, Plugins oder von den Netzwerken zur Verfügung gestellten Code ein, der direkt in den eigenen Quelltext eingefügt werden kann. Dabei sendet der Browser allerdings Daten wie die IP-Adresse oder Cookies der Nutzer an die sozialen Netzwerke, ohne das dieser etwas davon mitbekommt.

Daher sollte also neben dem Hinweis in der Datenschutzerklärung zusätzlich eine sogenannte 2-Klick-Lösung angeboten werden, bei der der Nutzer noch einmal bestätigen muss, das er wirklich einen Link in einem sozialen Netzwerk teilen möchte.

Eine Alternative zu dieser 2-Klick-Lösung ist Shariff (Link).

Hier wird der Kontakt zwischen sozialem Netzwerk und Nutzererst dann hergestellt, wenn dieser aktiv auf einen Teilen-Button klickt. Ist der Nutzer bereits bei einem sozialen Netzwerk angemeldet, erfolgt dies bei Facebook und Google+ ohne ein weiteres Fenster. Bei Twitter erscheint ein Popup-Fenster, in dem man den Text des Tweets noch bearbeiten kann.

Überwachungskameras

Tracking mit Google Analytics.

Foto von Matthew Wiebe via Unsplash

Hinweise zur Verwendung von Verwendung von Google Analytics

Sollten Sie für die Auswertung Ihrer Webseite den kostenlosen Dienst Google Analytics verwenden, gelten auch hier bestimmte Richtlinien.
Um den Dienst überhaupt datenschutzkonform in Deutschland einsetzen zu dürfen, bedarf es im vornherein eines speziellen Vertrags zur Auftragsdatenverarbeitung, welcher zwischen dem Webseitenbetreiber und Google geschlossen werden muss.

Dieser Vertrag kann direkt bei Google heruntergeladen (Link), ausgedruckt, vom Webseitenbetreiber unterschrieben und inklusive Rückumschlag an Google in Irland gesendet werden.
In den meisten Fällen kommt dieser dann innerhalb von 2 Wochen unterschrieben zurück.
Dass vorfrankierten des Rückumschlags ist aus meinen bisherigen Erfahrungen nicht notwendig.

Als nächster Schritt muss der Nutzer in der der Datenschutzerklärung über die Datenerhebung durch Google Analytics informiert (ein Muster finden Sie z.B. unter http://rechtsanwalt-schwenke.de/google-analytics-datenschutz-muster-faq/) und die Möglichkeit gegeben werden dieser zu widersprechen.

Dies sollte einerseits über das von Google angebotene Analytics Add-on für PC-Nutzer und über einen Opt-Out-Cookie für mobile Nutzer eingebunden werden.
Dieser Opt-Out-Cookie ermöglicht es dem Nutzer, durch einen einfachen Klick vom Tracking ausgeschlossen zu werden.

Außerdem sollte unbedingt daran gedacht werden, die Funktion zur Maskierung von IP-Adressen („anonymizeIP“) zu nutzen. Dies ist eine Erweiterung des Google Analytics-Codes, die es ermöglicht, IP-Adressen zu kürzen und somit zu anonymisieren.

Für WordPress-Nutzer lässt sich dies sehr einfach durch 2 Erweiterungen einrichten.

Einerseits durch das Google Analytics Plugin von MonsterInsights (Link) welche die einfache Verknüpfung mit dem Google Analytics Konto und die Anonymisierung der IP-Adressen ermöglicht.
Andererseits das Google Analytics Opt-Out von WP Buddy (Link), welches den Opt-Out Cookie per Shortcut bereitstellt.

Falls bereits Daten erhoben wurden, bevor der Vertrag mit Google geschlossen wurde, sollte das bisherige Konto unbedingt gelöscht und ein neues Konto erstellt werden.

überprüfen

Datenschutz-
erklärung überprüfen.

Foto von Helloquence via StockSnap

Was könnte bei einer fehlerhaften Datenschutzerklärung passieren?

Nachdem die bayerische Datenschutzbehörde bereits eine automatisierte Software eingesetzt hat, die Webseiten auf die korrekte Implementierung von Google Analytics überprüft, wird jetzt auf verschiedenen Webseiten berichtet, dass Datenschutzbehörden der einzelnen Bundesländer Fragebögen an Webseitenbetreiber versenden. Darin werden diese gefragt, ob Google Analytics eingesetzt, der Nutzer hierüber informiert und auf seine Widerspruchsmöglichkeiten hingewiesen wird. Bei unvollständiger oder gar Nichtbeantwortung der Fragen kann im schlimmsten Fall mit Ordnungsgeldern bis zu 50.000€ geahndet werden.

Auch Privatpersonen oder Verbraucherschutzzentralen können Webseitenbetreiber abmahnen, insbesondere wenn Datenschutzhinweise und die nötige Opt-Out-Möglichkeit (für Desktop-PC´s und Mobilgeräte) fehlen.

Webseitenbetreiber sollten also bei Verwendung von Google Analytics unbedingt Ihre Datenschutzerklärung und die Implementierung von Google Analytics auf Ihrer Webseite überprüfen und gegeben falls anpassen.
Falls bereits Daten erhoben wurden, bevor der Vertrag mit Google geschlossen wurde, sollte das bisherige Konto unbedingt gelöscht und ein neues Konto erstellt werden.


Da es, gerade im Bereich Datenschutz, häufig Änderungen und neue Urteile gibt, ist es für Webseitenbetreiber empfehlenswert sich auf Seiten wie https://www.e-recht24.de über dieses Thema zu informieren und bei Fragen einen entsprechend spezialisierten Anwalt zu kontaktieren um eventuelle Abmahnungen zu vermeiden.

dsc_8185

Gunnar Hagemeister

Ich bin seit über 10 Jahren selbständig und unterstütze andere Selbständige bei den Themen Web und Online-Marketing.
In meinem Blog teile ich das, was ich weißt, mit Menschen, die es wissen wollen.
In meiner Freizeit bin ich begeisterter Hobbyfotograf und Vater.