Aktuelles aus Recht und Justiz

DSGVO: So machen Sie Ihre Webseite mit Online-Shop abmahnsicher

Checkliste zur Datenschutzgrundverordnung für Ihren Web-Shop: Impressum und Datenschutzerklärung abmahnsicher gestalten! Ab Mai 2018 gilt ein neues Gesetz europaweit und ausnahmslos: Die Datenschutzgrundverordnung.

Checkliste zur Datenschutzgrundverordnung für Ihren Web-Shop: Impressum und Datenschutzerklärung abmahnsicher gestalten! Ab Mai 2018 gilt ein neues Gesetz europaweit und ausnahmslos: Die Datenschutzgrundverordnung. Wie der Namensgebung zu entnehmen ist, enthält diese Regelungen zum Datenschutz.

Dies betrifft damit natürlich Webseiten im allgemeinen, insbesondere aber Online-Shops. Damit Sie als Webseitenbetreiber – vor allem wenn Sie einen Online-Shop führen – nicht in die Abmahnfalle tappen, haben wir für Sie die wichtigsten Stolpersteine gesammelt und geben Tipps für eine rechtssichere Umsetzung.

Auch die selbstständigen Kooperationsanwälte der Deutschen Anwaltshotline geben bei Unklarheiten rund um das Thema DSGVO fundierte Rechtsberatung am Telefon und per E-Mail. So gestalten Sie Ihre Datenschutzerklärung und Ihr Impressum rechtssicher.

Checkliste Datenschutzerklärung und Impressum: Machen Sie Ihre Webseite jetzt abmahnsicher!

Folgende Punkte müssen Sie in Ihrer Datenschutzerklärung beziehungsweise in Ihrem Impressum wie gehabt anführen:

  • Angaben zum Verantwortlichen, also ggf. Firma, auf jeden Fall aber Name und Adresse
  • Kontaktdaten
  • Hinweis zur Online-Streitbeilegung gemäß ODR-Richtlinie

Im Zuge der DSGVO ist bei folgenden Punkten eine Anpassung Ihres Impressums beziehungsweise Ihrer Datenschutzerklärung nötig:

  • Ab 10 Mitarbeitern müssen Sie einen Datenschutzbeauftragten benennen und mindestens dessen E-Mail-Adresse als Kontaktmöglichkeit anführen.
  • Das Widerrufsrecht bei erteilten Einwilligungen muss als gesonderter Punkt aufgeführt werden.

Neben den Anpassungen gelten jedoch auch neue Regelungen, die bisher keine Rolle für das Impressum oder die Datenschutzerklärung spielten, die mit der Datenschutzgrundverordnung aber verpflichtend sind:

  • NEU: Sie müssen angeben, welche Daten zu welchen Zwecken verarbeitet werden.
  • NEU: Sie müssen angeben, welche einzelnen Verarbeitungstätigkeiten durchgeführt werden, beispielsweise was mit gespeicherten E-Mail-Adressen von wem gemacht wird.
  • NEU: Sie müssen angeben, welche Ihre berechtigten Interessen sind, beispielsweise wenn Sie aus wirtschaftlichem Interesse Marketingmaßnahmen mittels Facebook-Pixel oder Google Analytics verwenden.
  • NEU: Sie müssen angeben, was die Rechtsgrundlage Ihrer Datenverarbeitung ist, also den rechtlichen Bezug zur DSGVO herstellen.
  • NEU: Sie müssen angeben, welche Löschfristen personenbezogener Daten gelten.
  • NEU: Sie müssen angeben, welche Datenquellen Sie nutzen, wenn die Daten nicht von Nutzern selbst mitgeteilt werden, beispielsweise bei der Zusammenarbeit mit Zahlungsdiensten oder der Schufa.
  • NEU: Sie müssen Ihre Webseitenbesucher auf deren Nutzerrechte hinsichtlich personenbezogener Daten hinweisen. Dazu zählen:
    • Recht auf Auskunft
    • Recht auf Berichtigung
    • Recht auf Löschung
    • Recht auf Einschränkung der Verarbeitung
    • Recht auf Datenübertragbarkeit
  • NEU: Sie müssen Ihre Nutzer darauf hinweisen, dass sie ein Beschwerderecht bei den zuständigen Aufsichtsbehörden haben, wenn ein Problem hinsichtlich des Datenschutzes vorliegt.

Abmahnfalle DSGVO vermeiden: Was müssen Sie jetzt tun?

Wenn Sie eine Webseite betreiben, die nicht ausschließlich persönlichen und familiären Zwecken dient, benötigen Sie eine Datenschutzerklärung. Das gilt vor allem dann, wenn die Webseite zum Beispiel als digitale Visitenkarte Ihres Geschäfts fungiert. Dabei ist es unerheblich, ob Sie auch einen Online-Shop betreiben.

Sie müssen Ihre Webseitenbesucher darüber informieren, zu welchem Zweck ihre Daten erhoben und damit auch verarbeitet werden, wie und in welchem Umfang dies stattfindet, ob diese an Dritte weitergegeben werden und wann sie gelöscht werden.

Dies betrifft Sie in der Regel als Betreiber eines Online-Shops. Doch auch, wenn Sie keinen Shop haben, gilt: Sobald Sie personenbezogene Daten erheben, verarbeiten oder weitergeben, beispielsweise durch den Einsatz eines Kontaktformulars, müssen Sie die User wie beschrieben informieren. 

Wichtig ist zudem, dass diese Information vollständig in klarer und verständlicher Weise und in der Sprache Ihrer Webseite vorliegen muss. Bei Mehrsprachigkeit muss die Datenschutzerklärung dann auch in jeder verwendeten Sprache vorliegen. Am sinnvollsten ist es, all diese Hinweise in die Datenschutzerklärung Ihrer Webseite aufzunehmen.

Von den betroffenen Personen, also von Ihren Webseitenbesuchern, müssen Sie im Falle einer Erhebung personenbezogener Daten eine Einwilligung einholen. Diese Einwilligung sollten Sie gegebenenfalls erweitern, zum Beispiel wenn Sie einen Newsletter versenden wollen. Im Rahmen einer Zustimmung zum Newsletterversand sollten Sie neben den Hinweisen zum Datenschutz auch noch zum Beispiel auf mögliches Tracking, den Einsatz externer Dienste oder Widerrufsmöglichkeiten verweisen.

Bei Einwilligungen, die zwischen anderen Klauseln stehen, sollten Sie auf Fettungen, andere Schriftfarben oder sonstige Hervorhebungen zurückgreifen. In der Praxis kommt so etwas häufig vor, wenn Teilnahmebedingungen zu Gewinnspielen die Einwilligung enthalten, die Gewinner zu veröffentlichen.

Beispiel:

1) Teilnahmeberechtigt sind alle natürlichen Personen über 16 Jahre.
[...]
6) Eine Auszahlung des Gegenwertes in bar ist nicht möglich.
7) Die Gewinner erklären sich ausdrücklich damit einverstanden, in pseudonymisierter Form im Rahmen des Gewinnspiels genannt zu werden.
8) Der Versand erfolgt nur innerhalb Deutschlands.
[...]

Einwilligung einholen, aber wie?

Die Einwilligung in die Erhebung und Verarbeitung personenbezogener Daten kommt in der Praxis am häufigsten bei Newsletteranmeldungen und der Nutzung von Kontaktformularen vor. Nutzen Sie beispielsweise Tracking via Google Analytics auf Ihrer Webseite und anonymisieren Sie – wie bisher auch – die IP-Adressen der Nutzer, so benötigen Sie hierfür keine Einwilligung.

Können Ihre Webseitenbesucher jedoch Kontakt über ein Kontaktformular aufnehmen, in welches sie zum Beispiel Name und E-Mail-Adresse eintragen, so ist eine Einwilligung für die weitere Verarbeitung zwingend erforderlich. Sie müssen den Nutzer dann unmissverständlich darauf hinweisen, welche Daten zu welchem Zweck verarbeitet werden, an wen Sie diese möglicherweise weitergeben und wie lange sie gespeichert werden.

Von wem ist eine Einwilligung notwendig?

Eine Einwilligung benötigen Sie von Personen ab einem Alter von 16 Jahren, sofern keine besonderen Gründe vorhanden sind. Die Einwilligung muss freiwillig für den konkreten Fall und in informierter Weise – das heißt mit allen Details – unmissverständlich in Form einer Erklärung – der Datenschutzerklärung – oder einer sonstigen eindeutigen Handlung abgegeben sein.

Welche Ausnahmen gibt es?

Es ist genau geregelt, wann eine Datenverarbeitung stattfinden darf. Nicht immer wird hierzu eine Einwilligung des Betroffenen benötigt. Dazu zählen folgende besondere Gründe:

  • In Fällen, in denen die Verarbeitung zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, wird keine Einwilligung benötigt. Betreiben Sie einen Online-Shop, müssen Sie in der Kaufabwicklung unter anderen Name und Adresse zum Versand der Ware abfragen und verarbeiten.
  • In Fällen, in denen die Verarbeitung ist zur Erfüllung einer rechtlichen Pflicht notwendig ist, wird keine Einwilligung benötigt. Als Webshop-Betreiber sind Sie verpflichtet, Rechnungen zehn Jahre lang aufzubewahren, daher benötigen Sie für die Datenverarbeitung keine gesonderte Einwilligung.
  • In Fällen, in denen die Verarbeitung zur Wahrung der berechtigten Interessen des Verarbeitenden erforderlich ist, wird keine Einwilligung benötigt. Berechtigt sind hierbei insbesondere auch wirtschaftliche Interessen. Diese müssen Sie jedoch mit den Interessen der Nutzer am Datenschutz abzuwägen.
  • In Fällen, in denen die Verarbeitung lebenswichtigen Interessen dient – beispielsweise in der Medizin – wird ebenfalls keine Einwilligung benötigt.
  • In Fällen, in denen die Verarbeitung dem öffentlichem Interesse oder in Ausübung öffentlicher Gewalt – also zum Beispiel der Polizei – obliegt, bedarf es ebenso keiner Einwilligung.

Die wichtigsten Fragen zur Einwilligung in die Verarbeitung personenbezogener Daten

  • Wird eine Einwilligung benötigt?
    >> Sofern keine andere Erlaubnis gemäß greift, ja.
  • Wann sind Personen einwilligungsfähig?
    >> Ab einem Alter von 16 Jahren.
  • Ist die Einwilligung freiwillig?
    >> Es dürfen keine Nachteile bei Nicht-Einwilligung entstehen.
  • Erheben Sie auch nur die benötigten Daten?
    >> Sie dürfen die Erfüllung einer vertraglichen Leistung nicht von der Einwilligung abhängig machen, wenn die Einwilligung nicht dafür erforderlich ist.
  • Ist eine Widerrufsbelehrung vorhanden?
    >> Sie müssen Ihre Webseitenbesucher über ihr Widerrufsrecht hinsichtlich der Einwilligung in die Verarbeitung personenbezogener Daten belehren.
  • Ist eine Belehrung über den Zweck der Erhebung und Verarbeitung vorhanden?
    >> Sie müssen Ihre Webseitenbesucher über den Zweck, Art und Umfang der Datenerhebung und -verarbeitung belehren.
  • Ist eine Belehrung über Weitergabe und Löschung der erhobenen Daten vorhanden?
    >> Sie müssen Ihre Webseitenbesucher über die Möglichkeiten der Löschung und Weitergabe der personenbezogenen Daten informieren.
  • Sind die Erklärungen unmissverständlich?
    >> Sie müssen verständliche und schlüssige Formulierungen treffen.
  • Gibt es Nachweise zu den Einwilligungen?
    >> Sie müssen Nachweise über die Einwilligungen Ihrer Webseitenbesucher führen – in Schriftform und elektronisch protokolliert.

Datenschutzgrundverordnung, Telemediengesetz, Bundesdatenschutzgesetz?

Bereits Anfang 2016 wurde vom europäischen Parlament beschlossen, eine Datenschutz-Grundverordnung zu verabschieden. Dabei wurde eine Übergangsfrist von zwei Jahren festgelegt, die sich nun dem Ende neigt. Am 25. Mai 2018 tritt also die neue Datenschutz-Grundverordnung bindend in Kraft. Für Sie als Webseitenbetreiber gibt es dann einige neue Regelungen zu beachten.Was ist die Datenschutzgrundverordnung DSGVO überhaupt?

Als europäische Verordnung, die in den EU-Staaten direkt anwendbar ist, gilt die Datenschutzgrundverordnung als EU-Recht vor nationalem Recht. Das bedeutet, dass das Telemediengesetz (TMG) an den Stellen nicht mehr gültig ist, an denen sich Regelungen in der DSGVO finden. Dennoch wird das TMG wohl zunächst die Lücke füllen müssen, die das Fehlen der EU-weiten ePrivacy-Verordnung hinterlässt.

In dieser Verordnung sollen dann vor allem gesetzliche Regelungen zum E-Mail-Marketing einfließen. Ebenso wird aktuell aber auch eine Pflicht zum Einholen des Einverständnisses von Webseitenbesuchern für die Nutzung bestimmter Cookies verhandelt. Darunter fallen vor allem Tracking- und Targeting-Cookies oder vergleichbare Verfahren zum Fingerprinting. Außerdem soll der Grundsatz „privacy by default“ dort festgelegt werden. Das heißt, dass in der Standardeinstellung bei Datenschutzeinstellung stets die strengsten Einstellungen gelten.

Durch sogenannte Öffnungsklauseln in der DSGVO werden jedoch auch weiterhin nationale Regelungen erlaubt sein. Darunter fallen zum Beispiel der Beschäftigtendatenschutz und Richtlinien für Datenschutzbeauftragte. Diese werden sich dann im Bundesdatenschutzgesetz finden.

Wann tritt das Gesetz in Kraft?

Zum Stichtag des 25. Mai 2018 wird die neue Datenschutzgrundverordnung ihre Wirkung entfalten, denn in Kraft getreten ist sie bereits. Ab dem 25.05.2018 jedoch gibt es keine Übergangsfrist mehr und dementsprechend auch keine Milderungsgründe für Unternehmen, die dann gegen die DSGVO verstoßen. Daher sollten Sie bereits jetzt alle notwendigen Vorkehrungen treffen.

Wen betrifft es?

Die Datenschutzgrundverordnung gilt für Sie als Webseitenbetreiber, dessen Seite nicht ausnahmslos privat ist und sich somit nicht nur an Freunde und Verwandte richtet – denn dann benötigen Sie eine Datenschutzerklärung. Sind Sie also Webseitenbetreiber, sollten Sie umgehend alle notwendigen Schritte einleiten, um die Regelungen der Datenschutzgrundverordnung umzusetzen - insbesondere dann, wenn Sie gleichzeitig einen Online-Shop betreiben.

Was sind personenbezogene Daten?

Daten sind laut § 4 Nr. 1 DSGVO dann personenbezogen, wenn Sie bereits theoretisch dazu geeignet sind, eine Person zu identifizieren. Daraus ergibt sich für den Datenschutz Ihrer Webseite, dass schon ein Werbe-Cookie – auch ein pseudonymisiertes! – mit den darin enthaltenen Daten personenbezogen ist, da der Webseitenbesucher identifizierbar ist. Auch die IP-Adresse selbst gilt laut Gesetz zu den personenbezogenen Daten.

Die in der DSGVO verwendete Formulierung „[…] identifiziert werden kann […]“ ist juristisch gesehen in einem sehr weiten Feld zu verstehen. So muss zum Beispiel auch eine theoretisch mögliche Identifizierung einzelner Webseitenbesucher durch Dritte betrachtet werden, wenn diese vernünftig erfolgen kann. Ein häufiges Beispiel aus der Praxis ist eine gerichtliche Anordnung, anhand derer die IP-Adresse durch den Netzprovider dem Internetnutzer zugeordnet werden kann.

Wann sind Daten anonym?

Daten sind nur dann anonym, wenn keine Rückschlüsse auf einzelne Personen gezogen werden können. Ein Beispiel hierfür sind Statistiken über Ihre Webseitenbesucher. Wichtig: Durch das Konsolidieren – also das Zusammenführen – von Daten können diese zu personenbezogenen Daten werden!

Welchen Prinzipien folgt die DSGVO?

Die folgenden Prinzipien des Datenschutzes bleiben auch in der DSGVO erhalten. Ferner erfahren sie eine besondere Hervorhebung. Kommt es zu unklaren Fällen und müssen diese interpretiert werden, so werden diese Grundprinzipien bei der Auslegung herangezogen.

  • Rechtmäßigkeit: Die Datenverarbeitung muss mit dem Gesetz in Einklang stehen.
  • Transparenz: Es wird eine vollständige und verständliche Datenschutzerklärung benötigt, die es Betroffenen ermöglicht, die Verarbeitung personenbezogener Daten nachzuvollziehen.
  • Verbot mit Erlaubnisvorbehalt: Grundsätzlich ist jede Verarbeitung personenbezogener Daten verboten, sofern das Gesetz es nicht explizit erlaubt.
  • Zweckbindung: Die Verarbeitung der Daten muss unmittelbar zu dem Zeck erfolgen, zu dem sie auch erhoben wurden. Eine nachträgliche Zweckänderung ist nur dann möglich, wenn diese mit dem ursprünglichen Zweck vereinbar ist.
  • Datenminimierung: Daten dürfen nicht auf Vorrat erhoben werden, es gilt die Verarbeitung personenbezogener Daten auf das nötige Maß zu beschränken.
  • Integrität und Vertraulichkeit Wer Daten erhebt und verarbeitet muss diese sowohl durch technische als auch durch organisatorische Maßnahmen vor unbefugter Verarbeitung, Veränderung, Verlust oder Zerstörung schützen.

Welche Spezialregeln gibt es?

Im Rahmen der Datenschutzgrundverordnung sollten Sie genau darauf achten, ob es Spezialregeln gibt, die auf Ihre Webseite zutreffen. Gesonderte Regelungen hält die DSGVO bereit für:

  • Minderjährige (s. Art. 8 DSGVO)
  • Besonders sensible Daten wie bspw. Ethnie, Sexualität, Gesundheit oder politische Ansichten (s. Art. 9 DSGVO)
  • Zweckänderung Datenerhebung, bzw. -nutzung wie bspw. bei der Anwendung von Big Data oder im Marketing (s. Art. 6 Abs. 4 DSGVO)
  • Automatisierte Entscheidungen wie bspw. über Bewerber (s. Art. 22 DSGVO)

Auch im Bundesdatenschutz und dem Gesetz gegen unlauteren Wettbewerb greifen Spezialregeln:

  • Video-Überwachung im öffentlichen Raum (s. § 4 BDSG-Neu)
  • Beschäftigtendatenschutz (s. § 26 BDSG-Neu)
  • E-Mail-Marketing, wie bspw. bei der ausdrücklichen Einwilligung (s. § 7 Abs. 3 UWG)

Welche Konsequenzen hat die Nichteinhaltung?

Halten Sie die Regelungen der DSGVO nicht ein, drohen Ihnen hohe Bußgelder. Der Rahmen, in denen sich die Behörden dann bewegen können, reicht bis zu einer Summe von 20 Millionen Euro, beziehungsweise bis zu vier Prozent des jährlichen Jahresumsatzes weltweit. Die Höhe ist abschreckend, da gerade große Unternehmen besonders auf den Datenschutz achten sollen. Doch auch als kleinerer Webseitenbetreiber können Strafen empfindlich ausfallen. Sollte es zu einzelnen Punkten Unklarheiten geben, empfiehlt sich eine kurze Beratung durch einen Rechtsanwalt, beispielsweise per E-Mail.

 

Homeoffice für Anwälte

Werden Sie selbstständiger Kooperationsanwalt der Deutschen Anwaltshotline AG:

  • Krisensicherer Umsatz
  • Rechtsberatung per Telefon
  • Homeoffice