Zum 24.02.2016 ist - von vielen unbemerkt - ein neues Gesetz in Kraft getreten. Eigentlich soll dieses neue Gesetz helfen, Datenschutzverstöße im Netz besser zu verfolgen und Verbraucher vor unseriösen Unternehmen zu schützen. In der Praxis bedeutet es aber: Fast jeder Webseitenbetreiber ohne korrekte Datenschutzerklärung kann ab sofort abgemahnt werden.
Worum geht es in dem neuen Gesetz?
Das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ ist seit dem 24.02.2016 in Kraft. Es soll damit der Verbraucherschutz im Netz verbessert werden und ein effektives Mittel geliefert werden, um gegen unseriöse Unternehmen vorzugehen.
Ab sofort können Verbraucherschutzverbände und Wettbewerbsverbände Verstöße im Bereich Datenschutz abmahnen.
Wer ist von den Neuregelungen betroffen?
Nicht nur Unternehmer oder Online-Shops, sondern jeder Webseitenbetreiber muss nun mit Abmahnungen rechnen, wenn er keine oder eine unvollständige Datenschutzerklärung auf seiner Webseite eingebunden hat.
Was bedeutet „personenbezogene Daten“?
1. Nutzerdaten
Bei personenbezogenen Daten geht es zum einen um die Daten, bei denen jedem klar sein sollte, dass es sich um personenbezogene Daten handelt:
- Name, Vorname
- Adressdaten
- Kontaktdaten wie E-Mail und Telefon
2.Facebook, Google Analytics, IP-Adressen
Die Datenschützer fassen unter den Begriff „personenbezogene Daten“ nicht nur Name oder Anschrift. Auch Daten, die etwa über den Facebook-Like-Button oder Google Analytics übertragen werden, zählen dazu. Ebenso wie die IP-Adressen der Seitenbesucher, die in Server-Logs gespeichert werden.
Die Datenschützer fassen den Begriff "personenbezogene Daten" also sehr weit. In der Praxis bedeutet das aber, dass fast jeder Webseitenbetreiber betroffen ist.
3. Datenverarbeitung und Datenweitergaben
Es muss in einer Datenschutzerklärung aber nicht nur darüber aufgeklärt werden, um welche Daten es geht. Die Seitenbesucher müssen auch darüber informiert werden, was mit diesen Daten geschieht:
- Gibt ein Shopbetreiber die Daten an Banken oder DHL weiter?
- Was passiert mit den Daten aus Anfrageformularen?
- Was ist mit Nutzerdaten, die für eine Bonitätsprüfung weiter gegeben werden?
- An wen werden Daten bei Gewinnspielen oder Werbung weiter gegeben?
Was müssen Seitenbetreiber jetzt tun?
Jeder Seitenbetreiber, der personenbezogene Daten auf seiner Seite verarbeitet, muss ab sofort über eine korrekte und aktuelle Datenschutzerklärung verfügen, die all diese Punkte vollständig abdeckt. Sonst drohen Abmahnungen.
Tipp: Sie können dazu unseren kostenfreien Datenschutz-Generator nutzen:
http://www.e-recht24.de/muster-datenschutzerklaerung.html
Unternehmer und Agenturen finden in unserem Mitgliederbereich eine erweiterte Version des Generators mit Erläuterungen sowie Schulungsvideos zum Thema Impressum & Datenschutz:
https://www.e-recht24.de/mitglieder/
Agenturen können die Tools im Mitgliederbereich nutzen, um eine Datenschutzerklärung für ihre Kunden zu erstellen, zu speichern und zu bearbeiten.
Konnten Verstöße gegen das Datenschutzrecht nicht auch schon vorher abgemahnt werden?
Bisher war umstritten, ob Datenschutzverstöße über das Wettbewerbsrecht abgemahnt werden können.
Das Argument der Abmahner war „Wer sich nicht an das deutsche Datenschutzrecht hält hat einen erheblichen Wettbewerbsvorteil gegenüber den Unternehmen, die die gesetzlichen Vorgaben ernst nehmen“. Die Gerichte waren aber lange Zeit der Auffassung, dass das Datenschutzrecht nicht dem fairen Wettbewerb dient, sondern lediglich dem Schutz der Daten des jeweils betroffenen Nutzers.
In letzter Zeit haben aber viele Gerichte umgeschwenkt. Nun sind auch die Richter der Auffassung, dass Datenschutzverstöße – wie etwa eine fehlende oder unvollständige Datenschutzerklärung – wettbewerbsrechtlich abgemahnt werden können. Verbindlich gerichtlich entschieden war diese Frage aber bisher nicht.
Nun steht ausdrücklich im Gesetz, dass ein Datenschutzverstoß auch abgemahnt werden kann.
Wichtig ist deshalb:
Jeder Seitenbetreiber benötigt ab sofort eine korrekte und aktuelle Datenschutzerklärung.
Neben dem Generator für Datenschutz und Impressum finden Seitenbetreiber im eRecht24-Mitgliederbereich zahlreiche Tools, die beim korrekten Umgang mit Impressum, Datenschutz, Mailmarketing oder Bildrechten helfen:
https://www.e-recht24.de/mitglieder/
Klicken Sie einfach auf das Formularfeld und kopieren Sie sich den Link heraus.
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
Ja, das ist eine datenschutzrechtliche Norm, hat also nichts mit Shops, Unternehmer oder so zu tun. Wenn es um personenbezogene Daten geht benötigen Sie eine Datenschutzerklärung.
http://seiten.e-recht24.de/datenschutz/
Kleine Nachfrage - warum ist Piwik aus dem Datenschutzgenerator raus geflogen?
... mich würde interessieren, ob es vorher eine offizielle Ankuendigung, dieses Gesetzes bzw. vor dem in Kraft treten dieses Gesetzes, gab?
Wenn ja - WO? Auch auf dieser Plattform?
Ich bekomme nun auf dieses Thema, sehr oft die Antwort:
"Davon hab ich bis jetzt noch nie gehoert, warum kommt so etwas sooo kurzfristig und gibt es eine Uebergangsfrist /-zeit fuer den Seitenbetreiber?"
Vielen Dank fuer eine Antwort im Vorraus!
... braucht man fuer die beiden folgenden Dienste keine Datenschutzerklärung?
Vk - vk.com
Reddit - reddit.com
Vielen Dank noch einmal fuer eine Antwort im Vorraus!
http://www.e-recht24.de/muster-datenschutzerklaerung.html
Was ist in folgendem/Ihrem Vermerk damit gemeint, man kann diese Erklärung NICHT verwenden wenn ...
Zitat: "... oder persönliche Daten (Name, E-Mail-Adresse) abfragen können Sie diese Erklärung nicht nutzen."
Name und E-Mail wird doch schon bei jedem normalen Kontaktformular verwendet! Es existiert in Ihrem Generator auch die Option: "Datenschutzerklärung für Kontaktformular"!
Vielen Dank noch einmal fuer eine Antwort im Vorraus!
Ich bin Webprogrammierer und statte seit geraumer Zeit schon die Webseiten meiner Kunden selbstverständlich mit einer Datenschutzerklärung aus, schön in eigener Datei usw. Nach Datenschutz- und Telemediengesetz ist das ja auch schon länger so vorgeschrieben.
Auch wenn man darüber diskutieren kann, was da alles rein gehört, finde ich den grundlegenden Sinn einer Datenschutzerklärung in Ordnung. Gehört in jede seriöse Website.
Was ich aber in keinster Weise nachvollziehen kann, ist die wettbewerbsrechtliche Relevanz einer Datenschutzerklärung. Warum erschleicht sich ein Anbieter einen Wettbewerbsvorteil, wenn er auf diese verzichtet? Ist nicht genau das Gegenteil der Fall? Eine fehlende Datenschutzerklärung macht einen unseriösen Eindruck und verschafft eher Wettbewerbsnachteile.
Da Verbraucherschutz- und Wettbewerbsvereine (oder nennen wir das Kind beim Namen: „Abmahnvereine“) in der Regel auf Verstöße gegen das Wettbewerbsrecht abmahnen (und nicht auf Datenschutz- oder Telemediengesetz), wird ihnen mit diesem neuen Gesetz Tür und Tor für eine neue Abmahnwelle mit all ihren Konsequenzen geöffnet.
Hat nicht unsere Regierung schon länger versprochen, etwas gegen den Abmahnwahn zu tun? Mit diesem Gesetz erreicht sie genau das Gegenteil. Zusammen mit der Art und Weise, wie dieses Gesetzt eingeführt wurde, nämlich still und leise, wird man den Verdacht nicht los, dahinter steckt Methode.
Zur Datenschutzerklärung selber habe ich ein paar Fragen:
Betr. Cookies:
Wenn ich eine Website erstelle, die keine Cookies verwendet, dort aber einen Drittanbieterdienst (oft ist das GoogleMaps) einbinde, der dann fleißig Cookies setzt, muss ich dann in meiner Datenschutzerklärung den Abschnitt über Cookies einfügen? Die Cookies werden ja nicht von meiner Website, für die ich verantwortlich bin gesetzt, sondern von einem Drittanbieter, bei dem ich nicht mal genau weiß, welche Funktion seine Cookies überhaupt haben.
Betr. Server-Logdateien:
Bei meinem Webhoster ist mir ein Zugriff auf die Logdateien nicht möglich. Ich habe extra dazu beim Support nachgefragt. Mir wurde gesagt, dass ein kundenseitiger Zugriff auf Logdateien nicht vorgesehen sei. Ich habe daher keine Möglichkeit, an diese Daten heranzukommen, geschweige denn, sie zu verwerten, und auch keine Möglichkeit, auf die Art und Weise der Speicherung Einfluss zu nehmen. Damit liegt das Ganze doch auch außerhalb meine Verantwortung. Muß ich jetzt trotzdem die Textpassage über die Server-Logdateien mit einfügen? Ich kann doch nur eine Datenschutzerklärung zu etwas machen, für das ich die Verantwortung trage und nicht zu Vorgehensweisen meines Webhosters.
Noch ein Vorschlag:
Es wäre vielleicht angebracht, in den Datenschutzerklärungs-Generator noch einen Punkt zu Drittanbietern einzubauen (beispielsweise solche Sachen, die man iframe-mäßig einbindet). Neben den Cookies ergibt sich ja da auch noch das Problem, dass Daten der Seitenbesucher auch an diese Drittanbieter gesendet werden. Vielleicht sollte man darauf hinweisen. Ich habe so etwas woanders schon gesehen.
Das Ganze ist jetzt leider etwas länglich geworden, aber ich glaube, vor allem die Sache mit den Server-Logdateien betrifft viele Websitebetreiber, die keinen eigenen Server betreiben, sondern auf Webspace hosten.
Für Ihre Antworten im Voraus vielen Dank.
Wir werden das Thema Tracking, IP-Adressen, Provider und Auftragsdatenverarbeitung demnächst in einen eigenen Beitrag darstellen.
mit freundlichen Grüßen
RalfN
P.S.: Danke für den tollen Service!
Ja, weil man das kaum für alle Varianten von server logs hinbekommt, es gibt zu viele:
IP Adressen gespeichert ja
IP Adressen gespeichert
nein Kunde kann IP Adressen der Besucher abrufen ja
Kunde kann IP Adressen der Besucher abrufen nein
usw.
plus die verschiedenen Varianten. Das ist nicht so leicht umzusetzen, wenn am Ende dann ein Dokument stehen soll das korrekt ist.
Und die Nutzer entscheiden lassen ist an diesen Punkten auch nicht so leicht, da geschätzt 80% aller Nutzer dazu gar nichts sagen können udn dann gar keine Datenschutzerklärung hätten, wenn wir sie zwingen würden sich zwischen diesen Varianten zu entscheiden.
Viele meiner Kunden haben ein Webhostingpaket der großen Anbieter. Ob und welche Daten dort erhoben und gespeichert werden, ist ihnen nicht transparent. In der Regel haben sie auch keinen Zugriff darauf. Haften sie auch für diese Daten (insbesondere IP-Adressen)?
Wir werden das Thema Tracking, IP-Adressen, Provider und Auftragsdatenverarbeitung demnächst in einen eigenen Beitrag darstellen.
ich habe eine kostenlose Künstlerdarstellung auf dem Kulturserver mit eigener Adresse... http://stephjans.kulturserver-nds.de/ Brauche ich dafür nun auch eine extra Datenschutzerklärungsseite? Obwohl ich da gar nichts verarbeite?
Freundliche Grüße, Stephanie Jans
ich finde Gesetze zum Schutz der Bürger gut. Allerdings sollten diese, wenn möglich, überschaubar bleiben. Beim Internet habe ich da meine Zweifel, ob es wirklich noch um den Schutz der Bürger geht. Wenn ich heute noch einmal vor der Entscheidung stehen würde, eine private Webseite zu erstellen, würde ich eher zu nein tendieren. Aber wie es nun einmal so ist, die Geister die man rief, die wird man nicht mehr los!
Mein Dank gilt jedenfalls Herrn Siebert, sonst hätte ich mein Projekt schon beendet.
Mit freundlichen Grüßen
Peter Ebert
ich finde es sehr schön, dass Sie uns die entsprechenden Texte zum Datenschutz zur Verfügung stellen. Eine Frage, weil es sich dann von mir auf der Homepage leichte einbinden lässt: ist die Reihenfolge von Cookies über Server log etc verbindlich? Ich möchte die Piwik-Erfassung wegen des optouts nämlich gern an das Ende stellen.
Und ist eine Trennung für Impressum und Datenschutz auf zwei Seiten zwingend?
Vielen Dank
Ja, Sie sollten Datenschutz und Impressum trennen.
Noch mehr Text den niemanden wirklich interessiert und hauptsächlich den Juristen mehr Umsatz verspricht. Irgendwelche Standard Texte von einem Anwalt beeinflussen noch keine internen Prozesse.
Da gebe ich dir vollkommen Recht.
Bei vielen Unternehmen ist überhaupt kein Bewusstsein vorhanden für die Brisanz des Themas Datenschutz.
Und das sowohl für die Daten der eigenen Mitarbeiter, als auch für die von Kunden.
1. Analysieren der internene Prozesse
2. Darauf abgestimmte Datenschutzerklärung erstellen
3. ggf. einen Anwalt prüfen lassen
Und selbstverständlich interessiert das jemanden. Die Angst der Kunden um die eigenen Daten ist ein wesentlicher Punkt beim Online Shopping.
Möchte man mit der Angst von rechtschaffenden Leuten stolze 25 EUR im Monat für eine Mitgliedschaft rausschinden?
Es gibt im übrigen auch kostenlose Generatoren auch für Shop Betreiber.
1. Wir haben deutlich darauf hingewiesen, dass nach diesen Neuregelungen Verbraucherschutzverbände und Wettbewerbsverbände abmahnen können.
2. Im Gegensatz zu Ihrer Aussage können auch "erfolglose RAs" abmahnen, da die Gerichte sagen, Datenschutzverstöße sind wettbewerbsrechtlich abmahnfähig.
3. Trotzdem ist Ihre Aussage nciht richtig, da Rechtsanwälte – egal ob erfolgreich oder nicht – nicht im eigenen Namen abmahnen, sondern immer von einem - erfolgreichen oder erfolglosen - Mandanten damit beauftragt werden.
4. Das Datenschutzpaket für Unternehmerseiten kostet 7 Euro/ Monat:
http://seiten.e-recht24.de/widerruf/
5. Wir bieten Seitenbetreibern- ich glaube seit mehr als 10 Jahren - diverse kostenfreie Generatoren an:
http://www.e-recht24.de/impressum-generator.html
Aber Sie haben natürlich Recht, wir sollten besser aufhören, mit Berichten über Gesetzesänderungen die „rechtschaffenden Leute“ zu erschrecken... .
Wenn Webmaster das mitloggen der IP Adressen in jeder Form unterbinden müssen, sehe ich das jeweilige Webprojekt langfristig in Gefahr. Angriffe auf Webseiten können kaum noch identifiziert bzw. geblockt werden. Wie blocke ich eine IP, wenn ich sie nicht habe?
Schwachstellen können unbehelligt ausgespäht werden. Wie geht man juristisch dagegen vor, wenn die eigene Webseite sogar gehackt wurde? In diesem Fall ist man auf jegliche Daten angewiesen und könnte den Vorgang zum Teil nachvollziehen und zur Anzeige bringen.
Ist ein Teil der Webseite oder gar der ganze Server in fremder Hand, sehe ich in diesem Moment den Datenschutz für den Besucher ausdrücklich gefährdet.
Als Webseitenbetreiber habe ich die Pflicht meine Besucher davor zu schützen!
Zu einem Sicherheitskonzept gehört es, IP Adressen im Server Log zu loggen und zumindest Error 4xx (Client-Fehler) im Adminbereich zur regelmäßigen Kontrolle bereit zu stellen.
Darüber sollte ein Nutzer natürlich informiert werden. Punkte dafür sehe ich in der Qualitätssicherung des Webprojektes und der kontinuierliche Schutz des Webseitenbesuchers.
Die Leidtragenden der aktuellen Gesetzeslage sind die Bürger, deren Dauerhafter Schutz nicht gewährleistet werden kann und die orientierungslosen Webseitenbetreiber.
Die Gewinner sind Abmahner, Anwälte und Organisationen, die diese Situation ausnutzen, da eine 100%ige Umsetzung gar nicht realisierbar bzw. nicht mehr Wettbewerbsfähig ist.
Hiermit möchte ich gern zum nachdenken anregen.
Wir werden das Thema Tracking, IP-Adressen, Provider und Auftragsdatenverarbeitung demnächst in einen eigenen Beitrag darstellen.
http://www.e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html
ich habe heute mal die Behördenseiten aufgesucht, (Gerichte, Städte, usw) und nach den Datenschutzerklärungen gesucht. Leider bin ich nicht fündig geworden. Haben Behörden es nicht nötig.???
dann schauen Sie mal auf das Justizportal des OLG Hamburg, dort werden Sie den Datenschutzlink nicht finden. Ich habe extra gegoogelt und nur ein immerhin fast vollständiges Impressum gefunden, trotz eingehender Suche.