Das Einhalten datenschutzrechtliche Vorgaben im Internet ist nicht nur wegen der erheblichen Bußgelder von großer Bedeutung. § 43 Bundesdatenschutzgesetz etwa sieht Geldbußen bis zu 300.000 Euro vor. Vor allem die zahlreichen Datenskandale der vergangenen Jahre, der große Datenhunger von Unternehmen wie facebook oder Google sowie die mit dem Bereich des Tracking von Nutzerdaten zusammenhängenden Fragen haben dazu geführt, dass das Thema Datenschutz von Nutzern und Unternehmern zwischenzeitlich ernst genommen wird.
Was bringt der Datenschutz?
Der Erfolg eines Unternehmens, das online personenbezogene Daten verarbeitet und nutzt, hängt stark vom Vertrauen der Nutzer in die Seriosität des Anbieters und der Transparenz des Angebotes ab. Es setzt sich bei immer mehr Unternehmen, die im Internet tätig sind die Erkenntnis durch, dass eine vollständige Umsetzung der gesetzlichen Vorgaben eine vertrauensbildende Maßnahme gegenüber dem Kunde darstellt. Hierdurch kann der Erfolg oder Misserfolg eines Unternehmens wesentlich mit beeinflusst werden.
Die Unsicherheit der Kunden ist in diesem Bereich besonders hoch. Kann der Kunde nicht nachvollziehen, welche Daten für welche Zwecke gespeichert oder übermittelt werden, nimmt er im Zweifel die Dienstleistungen nicht in Anspruch oder wechselt den Anbieter. Man sollte daher die Einhaltung datenschutzrechtlicher Vorgaben nicht als notwendiges Übel, sondern als vertrauensbildende und kostengünstige Marketingmaßnahme begreifen.
Fragen des Datenschutzrechts im Internet sind jedoch sehr komplex. Die geltenden Gesetze hinken der tatsächlichen Entwicklung im Netz stets um Jahre hinterher. Zudem gibt es in fast keinem Rechtsbereich eine so große Diskrepanz zwischen der Gesetzeslage und der praktischen Umsetzung und Kontrolle. Es soll hier zunächst ein kurzer Einstieg in die Problematik gegeben werden.
Die verschiedenen Datenschutzgesetze
Bundesdatenschutzgesetz (BDSG)
Anzeige
Als wichtigstes Gesetz regelt das Bundesdatenschutzgesetz (BDSG) die Voraussetzungen der Datenerhebung, Weitergabe und Verarbeitung.
Das BDSG gilt sowohl für Unternehmen als auch für Behörden. Es regelt alle Bereiche des Datenschutzes von der Erhebung, Speicherung und Verarbeitung bis hin zur Weitergabe von Daten etwa zu Zwecken der Werbung. Das Bundesdatenschutzgesetz gilt zudem für alle Bereiche der Datenverarbeitung, agel ob diese online oder offline erfolgt.
Telemediengesetz
Nachdem das Teledienstegesetz und der Mediendienstestaatsvertrag nicht mehr in Kraft sind, gilt hier das Telemediengesetz (TMG) als wichtigste gesetzliche Vorschrift.
Das Telemediengesetz regelt für die Tele- und Mediendienste, also spezifisch für die Internetbranche, verschiedene Bereiche. Neben Haftungsfragen sind dies in den §§ 11 – 15a TMG insbesondere fragen des Datenschutzes.
Pflichten für Webseitenbetreiber
Aus diesen Bestimmungen ergeben sich die unterschiedlichsten Pflichten für Onlineshops, Webseitenbetreiber oder Blogger. Beispiele hierfür sind etwa:
- die Impressumspflicht
- die Pflicht zur Unterrichtung der Nutzer bezüglich der Datenspeicherung (Datenschutzerklärung)
- die Voraussetzung der Einwilligung des Nutzers in die Verarbeitung und Übertragung seiner Daten
- Auskunftspflicht gegenüber Betroffenen bezüglich der gespeicherten Daten
- die Pflicht für bestimmte Unternehmen zur Bestellung eines betrieblichen Datenschutzbeauftragten.
Impressumspflicht
Die Pflicht, den Anbieter einer Website im Impressum zu kennzeichnen, hat aufgrund zahlreicher Abmahnungen in der jüngsten Zeit zu Unsicherheiten im Netz geführt. Interessant dabei war, dass sogar Rechtsanwälte betroffen waren, die auf ihrer Kanzlei-Website wohl die ein oder andere Angabe im Impressum vergessen hatten und daraufhin von Kollegen abgemahnt wurden.
Voraussetzung für eine Kennzeichnungs- oder Impressumspflicht nach § 5 TMG ist zunächst ein "geschäftsmäßiges Betreiben" des Internetangebotes. Es muss sich also um ein Angebot handeln, das einer nachhaltigen und auf Dauer angelegten Tätigkeit dient. Eine Gewinnerzielungsabsicht ist für eine Geschäftsmäßigkeit nicht erforderlich, auch nichtkommerzielle Angebote können dieser Kennzeichnungspflicht unterliegen.
Ein vollständiges Impressum auf einer Website sollte folgende Angaben enthalten:
- Name und Anschrift
- bei juristischen Personen der oder die jeweils Vertretungsberechtigter
- Kontaktdaten
- Register/Registernummer
- Umsatzsteueridentifikationsnummer
- Zusätzliche Regelungen für bestimmte Berufe
Webseitenbetreiber und Webmaster haben die Möglichkeit, unseren kostenfreien Impressums-Generator zu nutzen und so teuren Abmahnungen vorzubeugen.
Zusätzliche Informationen zu den rechtlichen Pflichten im Zusammenhang mit der Planung und Erstellung der eigenen Website erhalten Sie in dem neuen eRecht24-Praxisleitfaden "Die rechtssichere Website".
Einwilligung des Nutzers in die Datenspeicherung
Es reicht im Falle von Tele- und Mediendiensten nicht aus, dem Kunden die Möglichkeit des Widerspruchs bezüglich der Verarbeitung seiner Daten einzuräumen, wie dies beispielsweise im Bundesdatenschutzgesetz vorgesehen ist. Der Nutzer muss vielmehr in die Verwendung seiner Daten immer dann ausdrücklich einwilligen, wenn die jeweils einschlägigen Gesetze die Verarbeitung nicht gestatten. Dies ist vor allem zu beachten bei der Übermittlung der Daten an Dritte zu Werbezwecken.
Die pauschale Einwilligung eines Nutzers in den allgemeinen Geschäftsbedingungen reicht jedoch für eine wirksame Einwilligung nicht aus, die Einwilligung muss deutlich hervorgehoben sein. Auch Sätze wie "Wir beachten die datenschutzrechtlichen Vorgaben" genügen in keiner Weise den gesetzlichen Vorgaben.
Problematisch sind in diesem Zusammenhang natürlich auch die Internationalen Bezüge. Bei der Übermittlung von Daten in Länder außerhalb der EU gibt es dann Schwierigkeiten, wenn diese Länder nicht über ein Datenschutzniveau verfügen, dass dem in Europa entspricht. Dieses angemessene Schutzniveau wurde zum Beispiel weder für die USA noch für Japan bestätigt.
Betrieblicher Datenschutzbeauftragter
Um die Einhaltung der komplizierten Datenschutzregeln zu gewährleisten, hat der Gesetzgeber für Unternehmen, die personenbezogene Daten verarbeiten, die Pflicht statuiert, einen betrieblichen Datenschutzbeauftragten zu bestellen.
Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen sind nach §§ 4g, 4f BDSG verpflichtet, die Einhaltung datenschutzrechtlicher Vorgaben sicherzustellen. Unternehmen, in denen mindestens 9 Arbeitnehmer mit der automatisierten Datenverarbeitung befasst sind oder Unternehmen, in denen 20 Personen personenbezogene Daten auf andere Art und Weise erheben, verarbeiten oder nutzen, haben schriftlich einen Beauftragten für Datenschutz zu bestellen.
Unabhängig von der Mitarbeiteranzahl ist ein betrieblicher Datenschutzbeauftragter in Unternehmen zu bestellen, die personenbezogene Daten geschäftsmäßig zum
Zweck der Übermittlung erheben, verarbeiten oder nutzen. Diese Pflicht gilt beispielsweise für Dienste, die Im Internet Bonitätsdaten von Unternehmen sammeln und übermitteln, für Auskunfteien sowie für Marktforschungs- und Meinungsforschungsunternehmen.
persönliche Voraussetzungen
Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Die erforderliche Fachkunde umfasst sowohl das Kenntnisse hinsichtlich des Datenschutzrechts sowie Kenntnisse bezüglich von Verfahren und Techniken der automatisierten Datenverarbeitung.
Darüber hinaus sollten Personen nicht zu betrieblichen Datenschutzbeauftragten berufen werden, die in dieser Funktion in Interessenkonflikte geraten würden, die über das unvermeintliche Maß hinausgehen. Unvereinbar wäre es z.B., den Inhaber, Mitglieder des Vorstandes, den Geschäftsführer oder sonstige gesetzliche oder verfassungsmäßig berufene Vertretungsorgane zum Datenschutzbeauftragten zu bestellen, da diese sich nicht wirksam selbst kontrollieren können.
Aufgaben des Datenschutzbeauftragten
Die Aufgaben eines betrieblichen Datenschutzbeauftragten umfassen schwerpunktmäßig:
- die Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben, insbesondere
des Bundesdatenschutzgesetzes - die ordnungsgemäße Anwendung der Datenverarbeitungs-Software, Risikoanalyse im Unternehmen
- die Entwicklung hausinterner Datenschutzrichtlinien und einer Datenschutz-Policy für Ihre Website
- die Bearbeitung datenschutzrechtlicher Beschwerden und Auskunftsersuchen von Nutzern
- die Schulung der bei der Datenverarbeitung tätigen Personen sowie die Durchführung von Vorabkontrollen vor Beginn der
Verarbeitung bei besonders sensiblen Daten - die Verpflichtung der Mitarbeiter auf den Datenschutz
- die Kontaktpflege mit der zuständigen Aufsichtsbehörde
Bestellung eines betrieblichen Datenschutzbeauftragten
Viele Unternehmen der IT-Branche sind sich dieser Pflicht zur Bestellung eines Datenschutzbeauftragten nicht bewusst. Wie bereits dargestellt, ist die Einhaltung datenschutzrechtlicher Vorgaben jedoch aus mehreren Gründe für ein Unternehmen notwendig. Bei Verstößen droht zum einen eine kostenpflichtige Abmahnungen durch die Konkurrenz. Die zuständigen Aufsichtsbehörden können bei Verstößen Bußgelder in Höhe von bis zu 300.000 Euro festlegen. Zum anderen sind die Nutzer gerade im Internet sehr sensibilisiert, wenn es um die Verarbeitung ihrer persönlichen Daten geht. Kein IT-Unternehmen kann es sich erlauben, in diesem Zusammenhang negative Schlagzeilen zu produzieren.
Der betriebliche Datenschutzbeauftragte muss kein Angestellter Ihres Unternehmens sein. In vielen Fällen wird im Unternehmen kein Mitarbeiter vorhanden sein, der die komplizierte Materie des Datenschutzrechts in allen Auswirkungen überblicken kann.
Wenn Sie beabsichtigen, einen betrieblichen Datenschutzbeauftragten zu bestellen oder diese Funktion auszulagern, können Sie sich mit mir in Verbindung setzten. Ich übernehme diese Funktion gerne für Ihr Unternehmen. Daneben berate ich Sie im Rahmen meiner Tätigkeit als Rechtsanwalt bei allen weiteren Fragen um den Datenschutz in Ihrem Unternehmen.
Aufgrund meiner Tätigkeit als Rechtsreferendar beim Datenschutzbeauftragten in Berlin, Bereich IT-Unternehmen, bin ich mit den Anforderungen der zuständigen Aufsichtsbehörde vertraut.
Tracking im Internet
Zu der Frage, was im Zusammenhang mit Tracking, Analysetools und Webcontrolling datenschutzrechtlich erlaubt ist, finden Sie einen gesonderten Beitrag auf unseren Seiten:
Tracking, Analysetools und Webcontrolling: Was ist datenschutzrechtlich erlaubt?
Autor: Rechtsanwalt Sören Siebert
www.Kanzlei-Siebert.de
Beliebte Beiträge zu aktuellen Themen:
- Für Onliner - Tipps bei Abmahnung Filesharing, Abmahnung Waldorf und zum Thema Vorfälligkeitsentschädigung
- Für Shopbetreiber - Alle Informationen zu AGB Online Shop, eBay AGB, Amazon AGB, AGB für Dawanda und andere Online Verkaufsplattformen
- Für Webseitenbetreiber - Die wichtigsten Informationen zum Widerrufsrecht, der Impressumspflicht, der Datenschutzerklärung, der Markenanmeldung und der Markenrecherche
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
Ich kommentiere in einem Internet-Blog. Dort wird meine IP-Adresse sowie meine E-Mail-Adresse gespeichert. Wie lange dürfen diese Daten gespeichert werden?
Über eine Antwort würde ich mich sehr freuen.
Mit freundlichen Grüßen
danke für den Artikel, jedoch ist es Pflicht eine Datenschutzerklärung oder einen Datenschutzbeauftrgen in der Seite einzutragen?
Und wenn es Pflicht ist, ab wann ist es Pflicht?
Danke!
https://www.e-recht24.de/muster-datenschutzerklaerung.html
Was den Datenschutzbeauftragten angeht siehe oben im Artikel unter "Betrieblicher Datenschutzbeauftragter".
Kurze Frage:
ich habe eine eigene Webseite, auf der ist ein Formular, da können sich Leute, die mit mir Kontakt aufnehmen wollen mit Name, Anschrift usw. eintragen und dann auf den Button "Formular absenden" klicken.
Bisher habe ich an meiner Seite seit Einführung des neuen Bundesdatenschutzgesetzes NICHTS verändert.........muss ich reagieren und wenn ja....WIE????????????
MFG
Was ist mit selbst erstellten Fehlerseiten? ich habe meine Seite vom Netz genommen, da Sie überarbeitet werden soll. Für diesen Zeitraum wird die Seite 503 Service Temporarily Unavailable angezeigt. Auf dieser sowie auf allen anderen Fehler-Webseiten stehen meine Kontaktdaten, so wie sie auch auf meiner Papier-Visitenkarte und in meinem E-Mail Fuß auch. (Fa., Adresse, Tel. Fax. Mail, Geschäftsführer, Registereintrag, Ust-IdNr, Inhaltlich verantwortliche Person), unser Tätigkeitsfeld und die ab-Preise für Domains und Hosting.
Müssen diese Seiten auch eine Datenschutzerklärung haben?
Ich hab nun alles bei Ihnen soweit durchgelesen und komme trotzdem nicht weiter...
Ich betreibe lediglich eine Fb Seite für mein Unternehmen.Kein Verkäuf oä. Nur Infos zum tgl Geschehen.Mal mit Bildern und Namen der Kunden.
Desweiteren sende ich die monatliche Rechnung per E-Mail an meine Kunden.
Gefühlt nach dem lesen ihrer Seite benötige ich keine.Bin ich da richtig?
Herzlichen Dank für Ihre Antwort!
Lg