Webseite und Datenschutzerklärung

Aus gegebenem Anlass haben wir uns intensiver mit datenschutzrechtlichen Aspekten auf Homepages beschäftigt. Hierbei zeigt sich, dass insbesondere standardisierte Fragestellungen wiederholt zu diversen Unsicherheiten führen.

I. Verbot mit Erlaubnisvorbehalt
Wie im gesamten Anwendungsbereich des Datenschutzrechtes verbleibt es auch im diesem Kontext bei dem Dogma:

Die Datenverarbeitung ist nur rechtmäßig, wenn eine Rechtsgrundlage dies erlaubt.

Mithin bedarf auch jede automatisierte Verarbeitung von personenbezogenen Daten neben einer Vielzahl anderer rechtlicher Vorgaben in der Rechtsanwendung bei Webseiten der Beachtung legislativer Besonderheiten.

II. Anbieterkennzeichnung
Die Anbieterkennzeichnung, das sog. Impressum richtet sich nach den Vorgaben des § 5 Abs. 1 Telemediengesetz (TMG). Zu den Telemediendiensten gehören alle elektronischen Informations- und Kommunikationsdienste. Dies sind grundsätzlich alle Internetseiten z. B. Plattformen, Werbeseiten und E-Mail-Dienste.

Folgende inhaltliche Mindestangaben müssen von jeder Unterseite auf der Homepage leicht erreichbar sein und jederzeit zur Verfügung stehen (sogenannte 2-Klicktheorie):
o Name und Anschrift
o Vertretungsberechtigter
o Verantwortlicher im Sinne des Presserechts [fakultativ]
o Kontaktdaten des Datenschutzbeauftragten [es genügt aber datenschutzbeauftragte@MUSTERUNTERNEHMEN.de]
o Kontaktmöglichkeiten, welche eine schnelle elektronische Kommunikation ermöglichen (E-Mail-Adresse und Telefonnummer (bestenfalls einschließlich der Ländervorwahl und bei der Angabe einer Mehrdienstnummer einschließlich der entstehenden Kosten und die Möglichkeit eines Basistarifs))
o Angaben zur zuständigen Aufsichtsbehörde
o soweit vorhanden, die Umsatzsteueridentifikationsnummer
Anbieter journalistisch-redaktionell gestalteter Angebote müssen darüber hinaus einen Verantwortlichen mit Namen und Anschrift benennen (§ 55 RStV). Kennzeichnend für journalistische Angebote sind z. B. die Ausrichtung an Fakten, ein gewisses Maß an Aktualität und eine gewisse Selektivität und Strukturierung, die Ergebnis eines Auswahlprozesses ist. Erfüllt nur ein Teil (etwa eine Rubrik der Website) die Anforderungen des § 55 RStV, gilt die erweiterte Impressumspflicht für das gesamte Telemedium. Es ist also ratsam, bei allen Internetauftritten eine verantwortliche Person im Sinne des Presserechts zu benennen.

III. Datenschutzerklärung
Aus einer Datenschutzerklärung muss der Art, Umfang und Zweck der Datenerhebung, -nutzung und -verarbeitung ersichtlich sein. Dies umfasst beispielsweise auch die Angabe von Datenübermittlungen, insbesondere an Drittländer. Gegebenenfalls sind Aussagen über anonymisierte oder pseudonymisierte Verarbeitung, Widerrufsmöglichkeiten, Verfahrensweisen mit Betroffenenrechten, Speicherungen von Cookies u.a. zu treffen.

Die Datenschutzerklärung muss in allgemein verständlicher Form verfasst und für den Nutzer jederzeit abrufbar sein. Sie muss von jeder Seite leicht zugänglich sein und kann gegebenenfalls durch den Link „Datenschutz“, „Datenschutzerklärung“ oder „Datenschutzinformation“ aufgerufen werden können. Grundsätzlich nicht ausreichend wären daher Bezeichnungen wie „weitere Informationen“ bzw. eine Eingliederung auf der gleichen Seite wie das Impressum.

Spätestens im Zug der DS-GVO haben sich auch die Anforderungen an die Transparenz der Datenverarbeitung erheblich verschärft. Mithin sind zwingend die Vorgaben nach Art. 13 DS-GVO zu beachten.

Gemäß Art. 13 DS-GVO muss der Verantwortliche den betroffenen Personen, die die Homepage nutzen, zum Zeitpunkt der Erhebung Folgendes mitteilen:
o Namen und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
o Kontaktdaten des Datenschutzbeauftragten
o Verarbeitungszwecke sowie Rechtsgrundlage für die Verarbeitung
o gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und gegebenenfalls die Absicht, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission (im Falle von Übermittlungen gemäß Art. 46 oder Art. 47 EU oder Art. 49 Abs. 1 Nr. 2 ein Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.) [sofern die Homepage durch einen Dienstleister betrieben wird, zählt dieser auch als Empfänger und muss hier benannt werden].
o Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer
o Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
o Bestehen eines Rechts, eine Einwilligung jederzeit zu widerrufen, wenn die Verarbeitung auf der erteilten Einwilligung der betroffenen Person beruht, ohne dass dabei die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird,
o Bestehen eines Beschwerderechts bei einer Datenschutz-Aufsichtsbehörde

Welche Informationen konkret bereitgestellt werden müssen, hängt vom (funktionalen) Umfang der Homepage und der Datenverarbeitung (Blogs, Onlinekontaktmaske, Einbindung von sozialen Medien) ab. Daneben finden möglicherweise statistische Auswertungen über die Nutzung der Homepage statt. In all diesen Fällen werden in der Regel personenbezogene Daten der betroffenen Personen verarbeitet. Sammeln Websites hingegen nur aggregierte Daten über ihre Besucher, z. B. für Statistiken über Seitenabrufe (z.B. session cookies), oder nur anonymisierte Daten in Form von auf Domain-Ebene reduzierten IP-Adressen, stellt dies keine Verarbeitung personenbezogener Daten dar.

IV. Veröffentlichung von personenbezogen Daten auf der Home Page
Personenbezogene Daten im Internet können ohne jede Zweckbindung weltweit abgerufen, gespeichert, dupliziert und verändert werden, ohne dass die Betroffenen hierauf noch Einfluss nehmen könnten.

Im Hinblick darauf bedarf es sofern personenbezogen Daten verarbeitet werden, grundsätzlich des Vorliegens entsprechender Einwilligungserklärungen der Betroffenen.

Wird von den Beteiligten darüberhinausgehend eine Veröffentlichung personenbezogener Daten (insbesondere Lichtbilder zum Beispiel von Veranstaltungen) gewünscht, muss eine schriftliche Einwilligung eingeholt werden. Zu beachten ist, dass eine Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen muss, dass es von den anderen Sachverhalten klar zu unterscheiden ist und eine Einwilligung jederzeit widerruflich ist. Insoweit ist es notwendig konkrete und nicht nur abstrahierte Einwilligungserklärungen zu verwenden (unter Benennung der zu verarbeitenden Daten, des Verarbeitungszweckes, der Weitergabe an Dritte und Ausführungen zu den Betroffenenrechten wie Auskunft, Berichtigung und Löschung).

V. Weitere Informationen
Weitere Informationen finden Sie auch unter
https://www.datarea.de/webtracking/ (Was ist Webtracking)
https://www.datarea.de/dsk-positionspapier-tracking-mechanismen-erfordern-vorherige-einwilligung/ (Einwilligung bei Webtracking)
https://www.datarea.de/datenschutzrechtliche-besonderheiten-bei-newslettern/ (Newsletter)
https://www.datarea.de/eugh-entscheidung-zu-facebook-fanpages-hat-weitreichende-folgen/ (Nutzung von Facebook)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in