Homepage nach DSGVO: Eine Einwilligung in die Datenverarbeitung ist nicht immer erforderlich

Datenschutzbelehrung oder Einwilligung

Wenn es um die Datenschutzerklärung geht, herrscht noch immer Unsicherheit bei kleineren und mittleren Unternehmen. Vielen ist unklar, wann eine Einwilligung eingeholt werden muss und wann das nicht notwendig ist. Dabei ist die Datenschutzbelehrung in den meisten Fällen vollkommen ausreichend.

Die Datenschutzgrundverordnung, kurz DSGVO, schreibt eine Belehrung für die Verarbeitung personenbezogener Daten vor. Eine ausdrückliche Einwilligung der Kunden in die Datenverarbeitung ist dagegen oft gar nicht erforderlich und kann sogar schädlich sein. Wir erklären Ihnen, worauf Sie beim Thema Datenschutz und Datensicherheit achten müssen.

Was die DSGVO vorschreibt

In den Artikeln 13 und 14 der DSGVO geht es um die Datenschutzerklärung, die zum Beispiel von einem Betreiber einer Internetseite abgegeben werden muss. Dabei stehen vor allem personenbezogene Daten im Mittelpunkt des Interesses, denn genau diese will die Verordnung ja schützen. Unterschieden wird, ob diese Daten direkt erhoben werden oder aus einer anderen Quelle stammen.

Die EU-Datenschutz-Grundverordnung legt einige wichtige Grundsätze fest:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Die daraus abgeleitete Datenschutzerklärung muss bestimmten Anforderungen genügen.

  • Pflichtangaben: Wer ist Betreiber des Angebots (Adresse, Telefonnummer, E-Mailadresse)
  • Zweckangaben: Wofür werden Daten benötigt und welche Daten werden verarbeitet (Registrierungsdaten, IP-Adresse, Cookies, Zugriffs-URL, Referrer-URLs, Browser, Betriebssystem etc.)  Außerdem muss die Rechtsgrundlage angegeben werden. Beruft man sich auf Artikel 6 Absatz 1 Buchstabe f, muss dies auch begründet werden.
  • Hinweis auf die Rechte der Betroffenen: Es muss eine Aufklärung darüber geben, welche Rechte der Benutzer im Zusammenhang mit der Datenverarbeitung hat. Außerdem braucht es einen Hinweis auf dem Stand der Technik entsprechende organisatorische und technische Vorkehrungen.

Die DSGVO schreibt weiter vor, dass der Verantwortliche dem Benutzer mitteilen muss, was mit den erhobenen Daten geschehen soll. Das gilt übrigens auch für den Fall, dass personenbezogene Daten nicht bei der betroffenen Person erhoben werden (Artikel 14). Diese Mitteilung ist aber, von wenigen Ausnahmen abgesehen, für die meisten Webseiten ausreichend und gilt als entsprechende Belehrung.

Wichtig: Die Datenschutzbelehrung und die Einwilligung in die Datenverwendung sind verschiedene Dinge. Die Datenschutzbelehrung ist immer erforderlich, die Einwilligung nur in bestimmten Fällen. Immer falsch ist es aber, beides zu vermengen.

Was versteht man unter Datenschutzbelehrung?

Man spricht dann von einer Belehrung, wenn eine Person über einen Sachverhalt oder eine Rechtsnorm informiert wird. Die Informationspflicht nach der DSGVO sieht genau eine solche Belehrung über den Datenschutz vor. Der Benutzer muss vom Betreiber ausführlich und ausreichend belehrt werden, was mit seinen Daten geschieht. Diese Datenschutzbelehrung nach den Vorschriften der DSGVO muss aber vom Benutzer nicht ausdrücklich bestätigt werden.

Es reicht natürlich nicht aus, in ein paar knappen Worten darzustellen, welche Daten erhoben und verarbeitet werden. Vielmehr sieht die Datenschutzverordnung nach der EU-Richtlinie vor, dies präzise und transparent zu machen, gleichzeitig aber in einer einfachen und verständlichen Sprache. Diese Belehrung wird meistens als Datenschutzerklärung bezeichnet und muss zum Beispiel auf Webseiten deutlich sichtbar verlinkt sein.

Viele Datenschutz Belehrungsmuster sind frei im Internet verfügbar. Für eine rechtssichere und individuelle Formulierung, die auf Ihr Webangebot zugeschnitten ist, sind diese aber oft nicht ausreichend. Deswegen sollten Sie auf jeden Fall rechtliche Beratung annehmen, wenn Sie sicher sein wollen.

Um die Datenschutzbelehrung der DSGVO entsprechend konform zu gestalten, gilt:

  • Es muss eine präzise und transparente Formulierung vorhanden sein. Diese sollte man aber dennoch am besten von einem Fachanwalt prüfen lassen. Denn was in der Umgangssprache vielleicht ausreicht, braucht in der juristischen Sichtweise noch eine Erläuterung.
  • Einfache und verständliche Sprache: Der Benutzer muss auch ohne rechtliche Kenntnisse in der Lage sein, den Text zu verstehen. Zu viele Fachwörter und lange Sätze sollten vermieden werden.
  • Die Datenschutzbelehrung muss gut sichtbar verlinkt werden und von jeder Webseite aus erreichbar sein.
  • Der Verantwortliche muss die Verlinkung deutlich als Datenschutzerklärung oder Datenschutzbelehrung

Personenbezogenen Daten und deren Verarbeitung

Wenn von personenbezogenen Daten gesprochen wird, dann ist damit vor allem eine Identifizierbarkeit gemeint. Die kann direkt oder indirekt möglich sein. Eine indirekte Identifizierung kann zum Beispiel über eine ID-Nummer, aber auch sogenannte Metadaten wie Geschlecht, kulturelle Zugehörigkeit, wirtschaftliches Umfeld oder ähnliches geschehen. Es ist dabei übrigens unerheblich, woher eine Person kommt. Entscheidend ist, ob die Erhebung von Daten im Rechtsraum der EU geschieht.

Direkt identifizierbare Informationen sind:

  • Name
  • Adresse
  • Telefonnummer
  • Kreditkarten- und Bankdaten
  • Autokennzeichen
  • Personalausweisnummer
  • Online-Daten wie IP-Adresse oder Standortdaten
  • Zugehörigkeit zu einer Organisation
  • Registrierungsdaten

Nach der DSGVO versteht man unter Verarbeitung einen Vorgang, bei dem personenbezogenen Daten benutzt werden: Sie können zum Beispiel erfasst, geordnet, gespeichert und verwendet werden. Auch die Löschung und Vernichtung von Daten gehört dazu. Diese Verarbeitung muss angemessen durchgeführt werden und dem Zweck entsprechend. Die Gesetzgeber fordern die Verantwortlichen auch auf, die Daten nur so lange wie unbedingt notwendig zu speichern. Damit soll der Datensammelwut ein Riegel vorgeschrieben werden, aber auch dem unerlaubten Datenhandel.

Rechtmäßigkeit der Datenverarbeitung: Wann ist die Datenschutzbelehrung ausreichend?

In Art. 6 der Datenschutzgrundverordnung wird die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten besprochen. Dabei wird festgelegt, unter welchen Bedingungen die Daten überhaupt verarbeitet werden dürfen. Besonders wichtig sind hier die Buchstaben a und f im Absatz 1:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.”

In den meisten Fällen kann sich eine Internetseite auf den Artikel 6 Absatz 1 Buchstabe f berufen, denn die Benutzung der Webseite und die damit verbundene Verarbeitung von Daten liegt im berechtigten Interesse des Verantwortlichen. Das Interesse muss lediglich begründet und auf der Webseite mitgeteilt werden. Sobald eine Vertragsbeziehung begründet wird, also z.B. bei einem Kauf im Onlineshop, ist die Datenverarbeitung sowieso zulässig, soweit sie mit dem Vertrag zusammenhängt.

! Eine Datenschutzbelehrung ist dann ausreichend, wenn die Verarbeitung von personenbezogenen Daten durch ein Gesetz gestattet ist.

Wann benötigt man eine Einwilligung zur Datenverarbeitung?

Wenn die Speicherung, die Nutzung und die Verarbeitung personenbezogener Daten nicht schon durch die DSGVO selbst zugelassen wird, darf sie nur mit Einwilligung des Betroffenen geschehen. Die entsprechende Einwilligungserklärung muss eindeutig erkennbar sein und muss den Zweck erläutern, aber auch die Rechte des Betroffenen auf Löschung, Auskunft und Widerspruch aufführen. Fehlt eine solche Einwilligung des Betroffenen und die Daten werden dennoch erhoben, handelt es sich um einen Verstoß. Dieser kann empfindliche Bußgelder nach sich ziehen – zumal die Bundesländer den Datenschutz als weitere Einnahmequelle entdeckt haben.

Einer Einwilligung bedarf insbesondere das Setzen von Cookies, die nicht technisch erforderlich sind. Wer also z.B. Google Analytics oder andere Programme einsetzen will, darf das nur mit ausdrücklicher Einwilligung des Nutzers erfolgen.

Wenn es einer Einwilligung bedarf, muss der Verantwortliche auch jeder Zeit in der Lage sein, diese nachweisen zu können. Eine Einwilligung kann schriftlich vorgenommen werden, muss es aber nach Art. 7 DSGVO nicht. Theoretisch reicht auch eine mündliche Einwilligung, was aber im Onlinebereich eher schwer durchzuführen und auch nachzuweisen ist.  Als Nachweis kann zum Beispiel vom Benutzer ein Haken in einem Online-Formular gesetzt werden, mit dem er seine Einwilligung zu einem bestimmten Zweck gibt.

Achtung: Der Haken muss vom Benutzer aktiv gesetzt werden (Opt-In), er darf nicht als Standard vorhanden sein und bei Nicht-Einwilligung entfernt werden müssen (Opt-Out). Noch sicherer ist der Double-Opt-In, bei dem zusätzlich eine E-Mail versendet wird, die bestätigt werden muss. Damit hat der Verantwortliche auch einen Nachweis mit einem Zeitstempel.

Einige Beispiele für den notwendigen Datenschutz personenbezogener Daten:

  • Wird der Speicherzeitraum von Daten vom Anbieter über ein normales Maß hinaus benötigt, wird meistens eine Einwilligung des Benutzers erforderlich.
  • Bei Kindern muss es eine Einwilligung durch die Eltern geben, wenn diese unter 16 Jahre alt sind.
  • Wenn der Anbieter eines Onlineshops personenbezogene Daten für Werbezwecke verwenden will, braucht es eine Einwilligung. Denn diese Verwendung ist nicht direkt mit der Leistung der Warenlieferung verbunden.
  • Auch Cookies fallen in den Bereich, in dem eine ausdrückliche Zustimmung notwendig ist.

Die technische Umsetzung der Einwilligung ist dabei entscheidend: Eine Einwilligung sollte auf der Webseite nur dort verlangt werden, wo sie notwendig ist. Bei Cookies wird das über ein Pop-Up oder einen Layer erreicht. Außerdem muss explizit dargestellt werden, wofür genau die Einwilligung eingeholt wird. Einen Zustimmungshaken für jede Art von Verwendung zu setzen, kann juristisch Probleme nach sich ziehen, denn es fehlt damit der eindeutige Zwecknachweis und die Webseite kann unter Umständen nicht mehr den Anforderungen der DSGVO genügen. Eine Blanko-Einwilligung gibt es in der DSGVO nicht.

In der Praxis kann man zum Beispiel den Erhalt eines Newsletters durch ein Double-Opt-In bestätigen lassen. Hierbei braucht es aber die ausführliche Formulierung wie “Ja, ich möchte diesen Newsletter erhalten”.  Wenn es Bereiche Ihrer Webseite gibt, die eine Einwilligung benötigen, dann muss es auch die Möglichkeit geben diese widerrufen zu können, zum Beispiel durch Angabe einer E-Mailadresse.

! Eine Einwilligung in die Verarbeitung personenbezogener Daten ist nur dann notwendig, wenn sie nicht bereits durch ein Gesetz oder die in der DSGVO beschriebenen Bedingungen der Datenverarbeitung erlaubt ist.

Fazit

Für Unternehmer ist es wichtig, den Unterschied zwischen der in der DSGVO vorgeschriebenen Datenschutzbelehrung und der Einwilligung in die Datenverarbeitung zu kennen. Fordern Sie Einwilligungen immer nur dort ein, wo sie notwendig sind und formulieren Sie Belehrungen entsprechend den Vorgaben der Datenschutzgrundverordnung. Suchen Sie professionelle Unterstützung bei diesen Formulierungen und lassen Sie sich beraten.

Bei weiteren Fragen zum Datenschutz im Unternehmen stehen wir Ihnen gerne zur Verfügung. Wir setzen die Anforderungen der DSGVO individuell und rechtssicher für Ihr Unternehmen um.