Datenschutzhinweise für Webseiten - eine Bauanleitung mit Tipps und Checklisten

Vorab-Hinweis

Der Beitrag unten wurde unter Geltung der Rechtslage vor Einführung der DSGVO 2018 veröffentlicht. Bitte beachten Sie meine aktuellen Beiträge zum Datenschutz bei Webseiten und Marketing unter der DSGVO: 

Datenschutz bei Webseiten und Apps - 10 Themen, die Sie beachten sollten (Checkliste/DSGVO)

Formular/Checkliste zu Erfassung von Webseiteninhalten für Datenschutzerklärungen (Datenschutzhinweise, Privacy Policy)

Direktwerbung datenschutzkonform umsetzen (E-Mail-, Post-, Telefon-Marketing)

Einleitung

Betreiber von Webseiten müssen ihre Besucher darüber informieren, welche Daten sie über die diese erheben und wie sie diese verwenden. So verlangt es § 13 Absatz 1 des Telemediengesetzes.

Für einfache und kleine Webseiten gibt es für solche Datenschutzerklärungen eine Reihe von Mustern, Generatoren und Textbausteinen im Netz. Schwieriger wird es bei Angeboten mit umfangreichen Funktionalitäten (z.B. soziale Netzwerke oder Software as a Service Dienste), bei Online-Diensten, die mit sensiblen Daten umgehen (z.B. Online-Bezahldienste, Partnervermittlungen) oder umfangreichen Internet-Auftritten von Konzernen oder Unternehmensverbünden. Dieser Beitrag gibt allen eine Hilfestellung, die vor der Herausforderung stehen, für solche Angebote ordentliche Datenschutzhinweise zu verfassen.

1) Warum sind Datenschutzhinweise wichtig?

Mit den Datenschutzhinweisen erklärt das Unternehmen seinen Besuchern, Nutzern und Kunden, wie es mit deren Online-Daten umgeht. Es ist das Aushängeschild in Sachen Datenschutz und ein wichtiger Teil der Außendarstellung. Zu einem seriösen Internetauftritt gehören heute deshalb angemessene Datenschutzhinweise.

Bei kleineren Unternehmen wird man es verzeihen, wenn die Hinweise von Dr. Paste & Copy stammen. Steht hinter der Webseite aber ein großer Konzern, ein Unternehmen mit starker Marke oder ein Daten-getriebenes Geschäftsmodell, sollte auf maßgeschneiderte und professionelle Datenschutzhinweise nicht verzichtet werden. Hinzu kommt: Mit unsauber gestalteten Datenschutzhinweisen bieten Unternehmen Angriffsfläche für Konkurrenten, unzufriedene Kunden, verprellte Mitarbeiter, Schlagzeilen-haschende Medien und nicht zuletzt für Aufsichtsbehörden, wie die automatisierte Online-Prüfung von 13.404 Webseiten durch die Bayerische Aufsicht zeigte.

Abgesehen davon stellen fehlende, unrichtige oder unvollständige Datenschutzhinweise eine Ordnungswidrigkeit dar, die mit Bußgeldern bis € 50.000 geahndet werden kann. Ungenaue Datenschutzhinweise können zudem die rechtliche Nutzbarkeit von Datensammlungen beeinträchtigen und so den Unternehmenswert beschädigen oder ganze Geschäftsmodelle in Frage stellen.

Datenschutzhinweise sind ein bisschen wie Beipackzettel von Medikamenten. Kaum jemand liest sie und solange alles gut geht, stellt niemand Fragen. Wenn es aber zu Problemen kommt, wird ganz genau hineingesehen.

2) Was verlangt das Gesetz in Sachen Datenschutzhinweise?

Nach § 13 Absatz 1 des Telemediengesetzes muss ein Webseitenbetreiber den Nutzer unterrichten

• "über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten"
• über die Verarbeitung in Ländern außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums, und das Ganze bitte
• "in allgemein verständlicher Form", und
• "zu Beginn des Nutzungsvorgangs".

Die zuletzt genannte Anforderung hat umgesetzt, wer auf jeder Seite in der Fußzeile einen Link auf die Datenschutzhinweise setzt. Die Information erfolgt dann zwar nicht "zu Beginn" des Nutzungsvorgangs, weil der Besucher unter Umständen schon Webseiten aufgerufen hat, bevor er überhaupt die Hinweise anklicken konnte. Dennoch wird ein solche Link als ausreichend gesehen.

Mir besonders am Herzen liegen diese vier Wörter des Gesetzes: "in allgemein verständlicher Form". Der durchschnittliche Webseitenbesucher muss es also verstehen. Und der durchschnittliche Webseitenbesucher hat keinen Doktortitel in Rechtswissenschaften und keine Honorarprofessur im Bereich neue Online-Technologien.

Ergänzend müssen Anbieter gemäß § 15 Abs. 3 Telemediengesetz Nutzer darauf hinweisen, dass diese der Bildung von Nutzerprofilen (z.B. dem Webtracking aber) widersprechen können.

Der Nutzer ist schließlich über die Möglichkeit zu informieren, das Online-Angebot anonym oder pseudonym zu nutzen (§ 13 Abs. 6 Telemediengesetz).

3) Datenschutzhinweise und Einwilligungserklärungen

Bevor es an das texten von Datenschutzhinweisen geht, muss man sich den Unterschied zwischen Datenschutzhinweise und Einwilligungserklärungen klar machen.

Hierzu ein kurzer Ausflug zu den Wurzeln des Datenschutzrechts: Für jede Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten bedarf es einer Erlaubnisnorm, die dies gestattet. Findet man keine Erlaubnisnorm, muss die Verarbeitung unterbleiben, außer es liegt eine Einwilligung der Betroffenen vor (im Juristendeutsch: "Verbot mit Erlaubnisvorbehalt", § 4 Absatz 1 Bundesdatenschutzgesetz). Eine Einwilligung soll und darf aber nur eingeholt werden, wenn und soweit keine Erlaubnisnorm vorliegt. Ansonsten würde man dem Nutzer eine Wahlmöglichkeit vortäuschen.

Es muss deshalb zunächst gefragt werden: Gestattet mir das Gesetz nicht ohnehin diese Daten zu sammeln, speichern und zu verwenden? Nur wenn und soweit dies mit "nein" oder "zweifelhaft" beantwortet wird, kann eine Einwilligung eingeholt werden. Finger weg also von der "Einwilligung auf Vorrat". Für eine online eingeholte Einwilligung stellt dann § 13 Absatz 2 und 3 des Telemediengesetzes spezielle Anforderungen: Insbesondere muss diese "bewusst und eindeutig" erteilt werden. Der Nutzer muss hierfür zum Beispiel aktiv ein Häkchen setzen ("Ja, ich bin damit einverstanden, dass ...").

Und nun zurück zu den Datenschutzhinweisen: Datenschutzhinweise sind keine Einwilligungserklärungen. Datenschutzhinweise erläutern dem Nutzer, was mit seinen Daten passiert. Sie sind rein informativ und erzeugen keine Rechtsfolge, oder wie es das Telemediengesetzt ausdrückt, hier wird der Nutzer lediglich "unterrichtet". Der Nutzer erlaubt dem Anbieter nichts. Meistens liest der Nutzer die Datenschutzhinweise gar nicht, sondern lässt sie in den Tiefen der Verzeichnisstruktur links liegen.

Die Datenschutzhinweise sind insofern so etwas wie ein Impressum: reine Information. Eine Einwilligungserklärung ist dagegen quasi der "Bestellen"-Knopf. Wer hier klickt erzeugt eine Rechtsfolge: "Ich erlaube Dir meine Daten auf diese und jene Weise zu nutzen, obwohl das Gesetz es Dir verbietet."

Diese saubere Unterscheidung zwischen Datenschutzhinweisen und Einwilligungserklärung ist die juristische Vorarbeit, wenn für komplexe Online-Dienste Datenschutzhinweise entworfen werden sollen. Leider unterbleibt dies hier und dort. Symptomatisch sind Texte wie "[  ] Ich akzeptiere die Datenschutzhinweise". Zonk! Hier hat jemand den Unterschied nicht verstanden, hatte keine Lust zu prüfen oder wollte auf Nummer sicher gehen. Sicher ist leider nur, dass die Holzhammermethode zur Anwendung kam.

Welche Folgen die Vermengung einer Einwilligung mit Datenschutzhinweisen haben kann, musste im April 2013 auch Apple erfahren: Im Rahmen einer Einwilligung in die Nutzung von Daten für Werbung verwies Apple auf seine Datenschutzrichtlinie. Nach Ansicht des Landgericht Berlins wurde die Datenschutzrichtlinie damit zum Vertragsinhalt und unterliegt so der Kontrolle nach deutschem AGB Recht. In wesentlichen Teilen wurde die viel zu abstrakt gefasste Datenschutzrichtlinie vom Landgericht Berlin kassiert und Apple zur Unterlassung verurteilt.

4) Aufbau und Inhalt von Datenschutzhinweisen

Wie Sie die Datenschutzhinweise gliedern, ist völlig Ihnen überlassen. Es gibt sicherlich viele sinnvolle Ansätze. Manche Anbieter gliedern z.B. ihre Hinweise nach dem Motto: Welche Daten erheben wir? Wie nutzen wir Ihre Daten? An wen geben wir Daten weiter?

Aus meiner Erfahrung hat sich folgender Aufbau bewährt:

• Einleitung: Kurze Erläuterung, worum es in den Datenschutzhinweisen geht
• Allgemeiner Teil: Allgemeine Hinweise und Erläuterungen, z.B. was mit "personenbezogenen Daten" gemeint ist oder ein Hinweis, dass die Webseite grundsätzlich auch anonym genutzt werden kann.
• Besonderer Teil: Erläuterungen zu einzelnen Funktionen und Themen, z.B. Newsletterbestellung oder Registrierung für den Mitgliederbereich.
• Schlussteil: Hier kommt der Rest vom Fest, z.B. Kontaktdaten oder Hinweise zur Änderung der Datenschutzhinweise

Zu den einzelnen Abschnitten folgende Checklisten und Tipps:

a) Einleitung der Datenschutzhinweise

Aller Anfang ist bekanntlich schwer. Hier mein Vorschlag:

"Mit den folgenden Datenschutzhinweisen erläutern wir, die Muster AG, Musterstraße 1, 12345 Musterstadt, welche personenbezogene Daten wir über Sie erheben, wenn Sie uns auf unserer Webseite xy-ag.com besuchen [und dort unsere Online-Dienste nutzen] und wie wir Ihre Daten verwenden."

Ein knapper Satz und schon sind drei zentrale Punkte abgehackt:

• Erläutert, was das Ganze soll
• Verantwortliche Stelle genannt
• Anwendungsbereich festgelegt (nur Online-Daten, nur bestimmte Domains).

Sie können an dieser Stelle auch ergänzen, für welche Teile die Hinweise nicht gelten (z.B. verlinkte Angebote) oder den Online-Dienst konkret bezeichnen ("und unseren web-basierten Badewannen-Miet-Service nutzen").

b) Allgemeiner Teil der Datenschutzhinweise

Erklären Sie nach der Einleitung allgemeine Grundsätze, d.h. alles was keine speziellen Funktionen oder Themen betrifft, z.B.

• Definitionen: Erläuterung einzelner Begriffe, z.B. "personenbezogene Daten", ggf. mit Beispielen
• Zweckbindung: Hinweis, wofür die erhobenen Daten grundsätzlich genutzt werden und wofür nicht, z.B. keine Nutzung für Werbung oder Weitergabe an Dritte ohne Einwilligung
• Pseudonyme Nutzung: Erläuterung, dass für die Nutzung des Angebots der Angabe des Klarnamens nicht erforderlich ist, bzw. wo der Name benötigt wird
• Pflichtfelder: Erläuterung, wie Pflichtfelder markiert sind
• Allgemeine Datenempfänger: Hinweis auf externe Dienstleister, z.B. Hoster der Webseite, Newsletter Versender
• Anwendbare Gesetze: Vorallem bei internationalen Konzernen oder mehrsprachigen Webseiten: ggf. Bundesdatenschutzgesetz und Telemediengesetz als anwendbare Datenschutzgesetze nennen.

Nicht vergessen: das Gesetz verlangt eine Angabe, ob Daten in Länder außerhalb der EU oder dem EWR (sog. Drittländer) übermittelt werden. Ist dies nicht der Fall, schreiben Sie es kurz in den Allgemeinen Teil. Wenn eine Übermittlung in Drittländer erfolgt, zum Beispiel weil der Hosting Anbieter dort seinen Sitz hat, kann man das auch gleich im Allgemeinen Teil erwähnen.

c) Besonderer Teil der Datenschutzhinweise

Im Besonderen Teil werden dann die einzelnen Funktionen und Themen behandelt. Dabei sollten einprägsame Zwischenüberschriften oder Fragen den Text untergliedern, damit ein interessierter Nutzer schnell zum relevanten Abschnitt gelangt. Daneben kann es sinnvoll sein, die Hinweise nach unterschiedlichen Nutzergruppen zu untergliedern, z.B. eine Abschnitt speziell für registrierte Benutzer.

Um die relevanten Themen zu identifizieren müssen Sie die Seite gut kennen oder systematisch durchsurfen. Dabei darf ein etwaiger Mitgliederbereich (Login/Userbereich) nicht vergessen werden.

Typische Funktionen sind:

• Kontaktformular
• Newsletter-Bestellung (und ggf. Tracking)
• Kommentierungsfunktion, Gästebuch
• Social Media Plugins, z.B. Facebook Like-Button
• Diskussions-Foren
• ggf. Warenkorb und Bezahl-/Abrechnungsfunktion

Bei Seiten mit Login-/Mitgliederbereich sollte Sie daran denken:

• Registrierungsprozess und erforderliche Angaben benennen
• Darstellen, wofür einzelne Angaben genutzt werden
• Erklären, welche Daten andere Nutzer sehen können (z.B. Sichtbarkeit von Profildaten, E-Mail Adresse, Besuch fremder Profile, Beiträge in Gruppen, Sichtbarkeit über Suchfunktion, etc.)
• Gruppen und Foren erläutern
• Datenverwendung im Zusammenhang mit Nachrichten-/Messaging- und Chatfunktionen darstellen
• Erklären, wie der User sich wieder abmelden und seine Daten löschen kann

Weitere häufig vorkommende Themen sind:

• Webserver Logging
• Webanalyse Tools (Tracking), Nutzungsprofile, Sammeln von Clickstreams
• Reichweitenmessung (z.B. SZM Messverfahren, IVW Zählpixel)
• Einbindung von Inhalten aus Werbenetzwerken (z.B. Google AdSense, DoubleClick)

Bei den einzelnen Funktionen und Themen sollte man jeweils immer überlegen, ob dem Nutzer klar ist:

• Daten: Welche Daten über ihn erhoben werden.
• Zweck: Für welchen Zweck diese verwendet werden.
• Empfänger: An welche Dritte Daten weitergegeben oder für welche Dritte sie sichtbar sind. (z.B. Sichtbarkeit für andere Nutzer der Webseite, Auffindbarkeit über die Google Suche oder Bereitstellung von Daten via API an Drittanbieter)
• Speicherdauer: wie lange Daten verwendet und gespeichert werden

Selbstverständlichkeiten muss man nicht aussprechen. Auch brauchen Sie nicht jedes Datenfeld aufzählen. Daumenregel: Je sensibler die Daten und je weniger der Nutzer die Datenverwendung kennen kann oder mit ihr rechnet, desto eher ist eine Erläuterung in den Datenschutzhinweisen nötig.

Erklären Sie Ihren Nutzern, wenn dieser Wahl- oder Einstellungsmöglichkeiten in Bezug auf die oben genannten Punkte hat. Werden Nutzerprofile gebildet (z.B. Tracking mittels Google Analytics, Piwik, etc.) muss der Nutzer kraft Gesetzes die Möglichkeit haben, dem zu widersprechen. Ein entsprechenden Link zur Ausübung des Widerspruchsrecht darf bei den Angaben zum Tracking nicht fehlen. 

Bei den erhobenen Daten ist neben den vom User selbst eingegebenen Primär-Daten (z.B. Name, E-Mail Adresse, Anschrift, bestellte Produkte, Kommentare) vorallem an systemseitig erfasste sekundäre Nutzungsdaten (z.B. aufgerufene Webseiten, Zeitpunkt der An- und Abmeldung)  zu denken. Erläutern Sie auch, wenn Informationen aus sonstigen Quellen  einbezogen oder verknüpft werden (z.B. komplementäre Apps oder Daten aus Twitter Streams oder  Facebook, Xing oder LinkedIn Profilen).

Um diese Themen richtig darzustellen, müssen Sie in Erfahrung bringen, welche Techniken eingesetzt werden. Hierzu sollten Sie sich mit den technischen Entwicklern und inhaltich verantwortlichen der Webseite zusammensetzen. So können Sie nach Datenverarbeitungen fragen, die von außen nicht oder nur durch Profis erkennbar sind. Dies betrifft vorallem das Erfassen von Nutzungsdaten und die Erstellung von Nutzungsprofilen einschließlich dem Newsletter Tracking. Typische Themen sind die Verwendung und der Einsatz von:

• Webserver Logging (Logfiles)
• Webanalyse Tools (Piwik, Google Analytics, etc.)
• Browser Fingerprints
• Cookies oder ähnliche Techniken zur Client-seitigen Datenspeicherung wie  Flash-Cookies bzw. LSO (Local Shared Objects) oder HTML5 Client-Side Storage
• 1-Pixel-Bilder, Web-Beacons, Clear GIFs oder ähnliche Techniken
• Newsletter Tracking

Ich empfehle, in der Regel einzelne Techniken nicht abstrakt in einem Abschnitt zu erläutern, sondern thematisch bei dem jeweiligen Thema, z.B. beim Tracking. Wieso? Der Nutzer denkt eher aus der Sicht der Funktionalitäten und nicht an Web-Techniken. Cookies wird allerdings häufig ein eigner Abschnitt gewidmet. Wichtige Angaben sind dabei, was im Cookie gespeichert wird, wofür die Daten genutzt werden, wie lange die Lebensdauer des Cookies ist und ob Drittanbieter diesen auslesen können.

Je nach Dienst bieten sich ggf. ergänzende Ausführungen über den Schutz von personenbezogenen Daten über Minderjährige an.

d) Schlussbestimmungen der Datenschutzhinweise

Im Schlussteil können folgende Aspekte abgehandelt werden:

• Datensicherheit: Hinweise zur Datensicherheit (z.B. SSL-verschlüsselte Verbindungen, Sicherer Umgang mit Passwörtern, verbleibende Sicherheitsrisiken etc.)
• Betroffenenrechte: Erläuterung der Rechte von Betroffenen (z.B. auf Auskunft) und wie diese ausgeübt werden können (z.B. Möglichkeit, Daten online einzusehen oder zu korrigieren).
• Kontaktdaten: Kontaktdaten des Ansprechpartners für Datenschutzfragen (Datenschutzbeauftragter)
• Änderungen: Hinweise über zukünftige Änderungen der Datenschutzhinweise und Stand (Datum/Version) der vorliegenden Version

Wenn Einwilligungserklärungen online eingeholt werden, muss der Text der Einwilligung kraft Gesetzes für den Nutzer jederzeit abrufbar sein. Eine Möglichkeit ist, den Text auf der Webseite zum Abruf bereit zu halten. Sie können diese beim jeweiligen Thema im besonderen Teil einbinden (z.B. Text für Werbe-Einwilligung im Abschnitt zur Newsletterbestellung). Alternativ erläutern Sie im Schlussteil, wo Einwilligungen abrufbar sind.

5) Struktur

Im empfehle als Titel und Linktext "Datenschutzhinweise". Die Datenschutzhinweise würde ich nicht mit dem Impressum auf eine Seite zusammenpacken. Auch sollten die Datenschutzhinweise nicht mit den AGB bzw. Nutzungsbedingungen Ihres Online-Angebotes vermengt werden.

Einzelne Hinweise sollten unter Umständen auch außerhalb der Datenschutzhinweise kontextbezogen wiederholt werden. So können Sie dem Nutzer beim Upload-Feld für das Profilbild erläutern, wer das Bild sehen können wird.

Bei sehr umfassenden Web-Angeboten, die z.B. unterschiedliche Dienste und Domains umfassen, kann es sinnvoll sein, die Datenschutzhinweise in mehrere Dokumente aufzuteilen. In die "Allgemeinen Hinweise" schreiben Sie Erläuterungen, die für alle Dienste und Seiten gleichermaßen gelten. In den "Besonderen Hinweisen" erklären Sie die für den jeweiligen Dienst spezifischen Aspekte.

Datenschutzhinweise unterliegen wie auch das Webangebot Veränderungen. Sie sollten deshalb neben der aktuellen Fassung auch die Altfassungen samt Gültigkeitszeitraum dokumentieren und zum Abruf bereithalten.

Konzernen, die im Rahmen ihrer Compliance oder Corporate Responsibility Aktivitäten auf ihr Datenschutzprogramm aufmerksam machen wollen, empfehle ich: Trennen Sie die Datenschutzhinweise der Webseite von Ihren sonstigen Ausführungen zum Datenschutz. Das eine ist eine gesetzliche Anforderung, das andere Marketing.

Wenn Sie Ihren Datenschutzhinweisen noch ein Krönchen verpassen wollen, fassen Sie die aus Ihrer Sicht wichtigsten fünf bis acht Aspekte stichpunktartig zusammen, und stellen Sie dies ganz an den Seitenanfang mit einer Überschrift in der Art "Das Wichtigste im Überblick". Ich persönlich finde das äußert charmant. Schon auf der ersten Blick wird erkennbar: hier hat sich jemand Mühe gemacht und Datenschutz ist für das Unternehmen mehr als lästige Pflichtaufgabe. Datenschutzhinweise müssen übrigens nicht im Juristendeutsch verfasst sein. Im Gegenteil. Auch durch "Fragen und Antworten" Seiten zum Datenschutz (FAQs) können Nutzer in verständlicher Weise informiert werden.

6) "Die Datenkrake GmbH & Co KG nimmt den Schutz Ihrer personenbezogenen Daten sehr ernst." 

Zu guter letzt: Wenn Sie viel Energie in anständige Datenschutzhinweise gesteckt haben, verschandeln Sie diese nicht mit einem Einleitungssatz der Kategorie "Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst" (ca. 1.390.000 Google-Treffer). Der Satz ist genauso verdächtig wie die Produktbeschreibung "leckere und knusprige Pizza" im Discounter-Prospekt.

Sie haben Fragen, Anregungen oder benötigen Unterstützung? Kontaktieren Sie mich gerne.