Praxis & Tipps | FAQ

Joerg Heidrich

Datenschutz auf Websites

Antworten auf die häufigsten Fragen

Datenschutzerklärung

Brauche ich als Website-Betreiber eine Datenschutzerklärung?

In aller Regel ja, zumindest, wenn Sie sich im Anwendungsbereich des Telemediengesetzes (TMG) bewegen. Das betrifft praktisch jede Website, die sich nicht auf eine rein private Darstellung beschränkt, also etwa Bilder der eigenen Katzen für Freunde und Verwandte anbietet. Wer jedoch dauerhaft eine Website für die Öffentlichkeit betreibt, ist nach Paragraf 13 TMG verpflichtet, den User „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten“.

Die Datenschutzerklärung muss jederzeit abrufbar sein. Idealerweise enthält jede Unterseite einen Link dorthin, ähnlich wie beim Impressum. Der Name sollte selbsterklärend sein, wobei auch deutschsprachige Seiten häufig den englischen Begriff „Privacy Policy“ verwenden.

Personenbezogene Daten

Welche Informationen fallen in den Bereich des Datenschutzes?

Das Bundesdatenschutzgesetz (BDSG) definiert „personenbezogene Daten“ in Paragraf 3 als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Hierzu gehören etwa Angaben wie Namen, Adressen, Geburtsdaten oder auch genetische Informationen. Dies gilt außerdem für Daten, über die ein Mensch erst mit Zusatzinformationen bestimmbar ist, etwa das Autokennzeichen oder die Kontonummer. Bei E-Mail-Adressen kommt es auf den Einzelfall an: vorname.nachname@domain.de ist eindeutig personenbezogen, info@unternehmen.de ist es nicht. Angaben, mit denen keine Einzelperson identifiziert werden kann, fallen folglich nicht in den Bereich des Datenschutzes, etwa Lieferlisten, Zeichnungen oder Code.

IP-Adressen

Ich habe gehört, dass auch IP-Adressen geschützt sind. Ist das richtig?

Nach herrschender Meinung unter den Juristen und insbesondere nach Ansicht der Datenschutzaufsichtsbehörden fallen auch IP-Adressen in den Bereich des Datenschutzes. Denn zusammen mit dem Zeitpunkt des Zugriffs lässt sich der Anschlussinhaber des Internetzugangs identifizieren. Allerdings braucht man hierfür die Mithilfe des Internet-Providers oder auch weitere Angaben wie Foren- oder Social-Media-Zugangsdaten.

Wer die IP-Adresse speichern und verarbeiten will, braucht dafür die Einwilligung der Betroffenen oder alternativ eine gesetzliche Grundlage, die dies erlaubt. So kann beispielsweise erlaubt sein, IP-Adressen bei Foren-Postings zu speichern. Voraussetzung ist allerdings, dass die User dieser Nutzung vorab im Rahmen der Anmeldung zustimmen. In jedem Fall muss ein Website-Betreiber seine Nutzer über den Umgang mit diesen Daten in der Datenschutzerklärung aufklären.

Logfiles

Wenn IP-Adressen datenschutzrechtlich geschützt sind, darf ein Webserver diese dann überhaupt in Logfiles schreiben?

Ob und wie lange IP-Adressen im Rahmen von Logfiles protokolliert werden dürfen, ist unter Juristen und Datenschützern seit vielen Jahren umstritten. Die Ansichten gehen dabei von „gar nicht“ bis hin zu einer kurzfristigen Speicherung von sieben oder vierzehn Tagen zu Zwecken der IT-Sicherheit. Um derartige Streitigkeiten zu vermeiden, ist es sinnvoll, IP-Adressen anonymisiert zu speichern. Dies kann dadurch geschehen, dass man die letzten Ziffern der IP-Adresse durch Nullen ersetzt. Die so veränderten Daten sind noch für alle Zwecke der IT-Sicherheit nutzbar, sie haben jedoch ihren Personenbezug verloren.

Cookie-Hinweise

Immer häufiger sehe ich auf Websites Meldungen, dass sie Cookies verwenden. Muss ich ebenfalls einen solchen Hinweis einbauen?

Cookies sind dann rechtlich relevant, wenn sie personenbezogene Daten enthalten, also etwa die IP-Adresse oder auch Anmeldedaten von Usern. In diesem Fall muss die Website Informationen über das Cookie und dessen Nutzung bereithalten, idealerweise im Rahmen der Datenschutzerklärung. Was man darüber hinaus noch unternehmen muss, um derartige Cookies nutzen zu dürfen, ist umstritten. Eine Anleitung enthält beispielsweise die Website meine-cookies.org, ein gemeinsames Angebot der im Bundesverband Digitale Wirtschaft (BVDW) organisierten Online-Vermarkter. Danach muss ein Seitenanbieter den Besucher vorab über die beabsichtigte Nutzung der personenbezogenen Daten unterrichten und eine bewusste und eindeutig erteilte Zustimmung einholen. Es ist allerdings offensichtlich, dass sich in der Praxis kaum jemand an diese Vorgaben des eigenen Verbands hält. Als absolutes Minimum sollte ein Website-Betreiber in der Datenschutzerklärung über die verwendeten Cookies informieren.

Sonstige Angaben

Was sollte eine Datenschutzerklärung sonst noch enthalten?

In eine Datenschutzerklärung gehören vor allem Angaben dazu, welche personenbezogenen Daten der Seitenbetreiber zu welchem Zweck erhebt und verarbeitet. Werden Daten an Dritte weitergegeben, erfordert das einen gesonderten Hinweis. Schließlich muss man dem Besucher eine Kontaktadresse mit einem Ansprechpartner nennen, über den er die über ihn gespeicherten Daten jederzeit löschen oder sperren lassen kann.

Datenschutzbeauftragter

Wann brauche ich einen Datenschutzbeauftragten und muss ich diesen in meiner Privacy Policy benennen?

Die Pflicht, einen Datenschutzbeauftragten zu bestellen, ergibt sich aus Paragraf 4f des BDSG. Dazu verpflichtet sind Unternehmen, bei denen mehr als neun Personen ständig oder mindestens zwanzig Personen „in der Regel“ mit der Verarbeitung personenbezogener Daten beschäftigt sind. Die ausgewählte Person muss für diese Aufgabe persönlich sowie fachlich geeignet sein. Mitglieder der Geschäftsführung sind nicht erlaubt, wohl aber externe Personen wie ein qualifizierter Anwalt. Auch wenn es nicht zwingend erforderlich ist, empfiehlt es sich, den Datenschutzbeauftragten im Impressum oder in der Datenschutzerklärung anzugeben.

Google Analytics

Was muss ich bei der Nutzung von Google Analytics beachten?

Aus datenschutzrechtlicher Sicht ist Google Analytics grundsätzlich als problematisch einzuordnen. Das Tool führt unter anderem Daten zum Surfverhalten zu Benutzerprofilen zusammen. Brisant ist aber vor allem die Übertragung von IP-Adressen als personenbezogenen Daten in die USA. Dies ist nur eingeschränkt zulässig, da dort ein weitaus niedrigerer Schutz für solche Informationen besteht. Allerdings hat der Datenschutzbeauftragte Hamburgs 2011 mit Google eine Vereinbarung geschlossen, damit man Analytics rechtskonform nutzen kann. Kernpunkt ist dabei die Kürzung der IP-Adresse um den letzten Zahlenbereich, sodass der Personenbezug verloren geht. Zudem muss man eine Vereinbarung zur Auftragsdatenverarbeitung mit Google abschließen und die Datenschutzerklärung entsprechend anpassen. Folgt man diesen Vorgaben, so ermöglicht dies einen datenschutzkonformen Einsatz von Google Analytics.

Social-Media-Buttons

Welchen Sinn haben eigentlich die c’t-Projekte „2 Klicks“ und „Shariff“ für die Einbindung von Social-Media-Buttons?

Damit Besucher Inhalte einer Website ohne Umwege in sozialen Netzwerken teilen können, verwenden die Betreiber gerne Buttons oder Widgets. Facebook, Twitter und Co. stellen fertige Codeschnipsel bereit, die man einfach in den Quelltext einfügt. Das hat für die Besucher jedoch einen unschönen Nebeneffekt. Schon beim Laden einer Seite sendet der Browser ohne Wissen und Zustimmung des Betroffenen persönliche Daten wie die IP-Adresse oder ganze Cookies an die sozialen Dienste. Shariff ist eine Weiterentwicklung der 2-Klick-Lösung und bieten Webentwicklern eine alternative Methode, um Social-Media-Buttons datenschutzkonform einzubinden. Der Quellcode steht als Open Source auf Github zur Verfügung.

Rechtliche Konsequenzen

Kann ich für Fehler oder fehlende Hinweise in meiner Datenschutzerklärung abgemahnt werden?

Das ist zwischen den Gerichten in Deutschland umstritten. Es gibt eine Reihe von Entscheidungen, die dies verneinen. Anders sieht das allerdings das Oberlandesgericht (OLG) Hamburg in einer Entscheidung aus 2013 (Az. 3 U 26/12). Danach ist eine Erhebung von personenbezogenen Daten ohne eine ausreichende Datenschutzerklärung wettbewerbswidrig und kann kostenpflichtig abgemahnt werden. Das Bundesdatenschutzgesetz habe auch die Aufgabe, „im Interesse der Marktteilnehmer das Marktverhalten zu regeln“, so das OLG. Es bleibt abzuwarten, ob auch andere Gerichte dieser Argumentation folgen. Aufgrund des fliegenden Gerichtsstands kann man überall dort verklagt werden, wo das Internet „bestimmungsgemäß abrufbar ist“ – also jederzeit auch in Hamburg. Daher sollten Website-Betreiber eine korrekte Datenschutzerklärung formulieren und vorhalten. (wre@ct.de)

Artikel kostenlos herunterladen

weiterführende Links

Infos zum Artikel

Kapitel
  1. Datenschutzerklärung
  2. Personenbezogene Daten
  3. IP-Adressen
  4. Logfiles
  5. Cookie-Hinweise
  6. Sonstige Angaben
  7. Datenschutzbeauftragter
  8. Google Analytics
  9. Social-Media-Buttons
  10. Rechtliche Konsequenzen
0Kommentare
Kommentieren
Kommentar verfassen
Anzeige

Anzeige

weiterführende Links
  1. Zu diesem Artikel hat die Redaktion noch folgendes zusammengestellt:

    Links (5)

Anzeige