eRecht24 Datenschutz Generator

Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Webseite

Datenschutzhinweis: Ihre Daten werden ausschließlich zur Erzeugung Ihrer Datenschutzerklärung genutzt. Die Daten werden nicht an Dritte weitergegeben.

Als eRecht24 Premium Nutzer steht Ihnen bereits jetzt ein DSGVO-konformer Datenschutz Generator zur Verfügung.

2. Englischsprachiges Impressum & Datenschutzerklärung für Ihre Website

Wenn Sie für Ihre Website die Datenschutzerklärung, den Disclaimer oder das Impressum in englischer Sprache benötigen, nutzen Sie bitte eRecht24 Premium.

Hier finden Sie neben den englischen Version der Texte unsere Profi-Generatoren mit umfangreicheren Funktionen für professionelle Webseiten.

3. Welche Anwendungen, Tools und Plug-Ins deckt der eRecht24 Datenschutzgenerator ab?

Wir arbeiten seit Jahren daran, unseren Datenschutz-Generator für Sie rechtlich aktuell zu halten und um die aktuellsten Tools und PlugIns zu ergänzen. Aktuell sind in der Profi-Version des Generators folgende Punkte enthalten:

Adobe Typekit Web Fonts eRecht24 Premium

Amazon Partnerprogramm eRecht24 Premium

Anfrage per E-Mail, Telefon oder Telefax

CleverElements eRecht24 Premium

CleverReach eRecht24 Premium

Cookies

Cookies sind kleine Textdateien, die den Browserverlauf und das Userverhalten auf einer Webseite speichern. Das heißt: Jedes Mal, wenn ein User eine Webseite aufruft, merken sich die Cookies, was dieser auf der Seite macht. Die gesammelten Daten landen dann beim Webseitenbetreiber. Dabei unterscheidet man in zwei Arten von Cookies. Session-Cookies löschen sich automatisch selbst, wenn User den Browser schließen. Dauerhafte Cookies dagegen bleiben bestehen, bis User sie selbst löschen.

Funktionen für Webseitenbetreiber und User

In der Praxis nutzen Cookies sowohl Webseitenbetreibern als auch Usern. Webseitenbetreiber erhalten durch Cookies genaue Informationen darüber, wie und wie lange Nutzer ihre Webseiten verwenden. Daraus können sie Schlüsse ziehen, wie sie ihre Seite optimieren können.

User profitieren von Cookies, da sie so die Einstellungen auf Webseiten wiederfinden, die sie bei vorherigen Besuchen vorgenommen haben. Das bedeutet: Sie müssen beispielsweise in Onlineshops nicht immer wieder ihre Kundendaten eingeben oder die Seitensprache einstellen. Darüber hinaus erhalten Nutzer durch Cookies Produktvorschläge, die auf ihrem bisherigen Surf- und Kaufverhalten basieren. Das macht die Internetnutzung insgesamt einfacher.

Cookies und Datenschutzrecht

Cookies erstellen ein anonymes Besucherprofil, das Informationen zum Userverhalten – u.a. zu Browser und IP-Adresse – sammelt. Bei vieler dieser Informationen handelt es sich um personenbezogene Daten. Das heißt: Webseitenbetreiber können diese Daten einer bestimmten Person zuordnen. Sie müssen daher eine umfassende Datenschutzerklärung auf ihrer Webseite zur Verfügung stellen, um die gesetzlichen Anforderungen in Deutschland zu erfüllen.

Cookies und Telemedienrecht

Die Cookie-Richtlinie der EU gibt vor, dass User ausdrücklich in die Nutzung von Cookies einwilligen müssen. Die Bundesrepublik hat diese Richtlinie jedoch nicht umgesetzt. Hierzulande gibt es daher keine unmittelbare Pflicht, Nutzer in die Verwendung von Cookies einwilligen zu lassen. Stattdessen sagt § 15 Abs. 3 Telemediengesetz (TMG): Webseitenbetreiber müssen Nutzer über die Cookie-Nutzung aufklären und auf ihr Widerspruchsrecht hinweisen. In der Praxis können Webseitenbetreiber das mit einem Cookies-Hinweis vornehmen, der einen Link zur Datenschutzerklärung aufweist. Ab dem 25. Mai 2018 löst die EU-Datenschutzgrundverordnung die Cookie-Richtlinie ab.

Rechtsprechung zu Cookies

Wie Webseitenbetreiber konkret über die Nutzung von Cookies aufklären müssen, ist höchstrichterlich noch nicht entschieden. Das Oberlandesgericht (OLG) Frankfurt hat am 17.12.2015 festgestellt, dass es ausreicht, User über das Opt-Out-Verfahren über die Verwendung von Cookies zu informieren. In der Praxis heißt das: Webseitenbetreiber können den Cookies-Hinweis mit einem bereits vorangekreuzten Häkchen versehen, so dass User nur noch auf „OK“ oder „Akzeptieren“ klicken müssen.

Aktuell hat der Bundesgerichtshof (BGH) jedoch dem Europäischen Gerichtshof (EuGH) die Frage vorgelegt, ob diese Vorgehensweise ausreicht. Es kann daher sein, dass der BGH noch entscheidet, dass ein Opt-In verpflichtend ist. Dann müssten Webseitenbetreiber User das Häkchen selbst setzen lassen.

Beschwerderecht bei der zuständigen Aufsichtsbehörde

Datenschutzbeauftragter eRecht24 Premium

Ein Datenschutzbeauftragter ist dafür verantwortlich, dass Behörden und Unternehmen die Vorschriften zum Datenschutz einhalten. Er stellt dabei sicher, dass sie personenbezogene Daten so sammeln, speichern und verarbeiten, dass sie den Vorgaben des Bundesdatenschutzgesetztes (BDSG) und der neuen Datenschutz-Grundverordnung (DSGVO) entsprechen. Der Datenschutzbeauftragte ist damit ein unabhängiges Kontrollorgan.

Aufgaben eines Datenschutzbeauftragten

Gemäß dem BDSG muss ein Datenschutzbeauftragter überprüfen, ob Unternehmen und Behörden die Datenschutzbestimmungen einhalten. Dazu muss er interne Abläufe überwachen und kontrollieren. Stellt er einen Verstoß fest, muss er zusammen mit der Geschäftsführung Maßnahmen evaluieren und bestimmen, um diese Verstöße zu beseitigen. Der Datenschutzbeauftragte kann dabei nicht selbst entscheiden, welche Maßnahmen geeignet sind. Diese Entscheidung muss die Geschäftsleitung allein treffen.

Damit Behörden und Unternehmen erst gar nicht gegen Datenschutzbestimmungen verstoßen, ist der Datenschutzbeauftragte dafür verantwortlich, intern eine Datenschutzorganisation aufzubauen. Diese soll das Personal über Richtlinien und Änderungen informieren. Darüber hinaus schult der Datenschutzbeauftragte das Personal regelmäßig.

Zusätzliche Aufgaben durch die neue DSGVO

Mit dem Start der neuen DSGVO am 25. Mai erhält der Datenschutzbeauftragte neue Aufgaben. Er ist dann nicht mehr nur dafür verantwortlich darauf hinzuwirken, dass Unternehmen und Behörden die Datenschutzvorschriften einhalten. Nach Art. 39 Abs. 1b DSGVO hat er dann auch eine umfassende Überwachungspflicht. Das heißt: Der Datenschutzbeauftragte ist dafür zuständig, alle Maßnahmen, die einen gesetzeskonformen Umgang mit personenbezogenen Daten gemäß der DSGVO betreffen, zu überwachen. Dazu muss er u. a. dafür sorgen, dass Unternehmen und Behörden Zuständigkeiten richtig zuweisen und die beteiligten Mitarbeiter entsprechend schulen.

Wer haftet bei Datenschutzverstößen?

Begehen Unternehmen und Behörden einen Verstoß gegen Datenschutzbestimmungen, haftet in der Regel die Unternehmensführung bzw. die Behördenleitung. Sie sind nach dem BDSG letztendlich dafür verantwortlich, die Vorgaben einzuhalten. Handelt der Datenschutzbeauftragte jedoch fahrlässig oder vorsätzlich, muss sich dieser seinen Fehlern stellen und selbst dafür haften. Mit dem Start der neuen DSGVO trifft Datenschutzbeauftragte eine umfassendere Pflicht, so dass es möglich ist, dass sie fortan öfter selbst für Datenschutzverstöße haften.

Wer benötigt einen Datenschutzbeauftragten?

Öffentliche Stellen wie Ämter und Behörden müssen regelmäßig einen Datenschutzbeauftragten bestellen. Nicht-öffentliche Stellen dagegen müssen einen Datenschutzbeauftragten einholen, wenn 10 oder mehr Personen dauerhaft mit der automatisierten Datenverarbeitung beschäftigt sind. Sie müssen einen Datenschutzbeauftragten erst ab einer Personenstärke von 20 bestellen, wenn sie nichtautomatisiert Daten erheben und verarbeiten. Daneben müssen Adressverlage, Markt- und Meinungsforschungsinstitute, Auskunfteien und Unternehmen, die besonders sensitive Daten erheben, unabhängig vom eingesetzten Personal regelmäßig einen Datenschutzbeauftragten einbestellen.

Datenschutzerklärung zum Verarbeiten von Kunden- und Vertragsdaten eRecht24 Premium

Eine Datenschutzerklärung zeigt, wie Webseitenbetreiber, Unternehmen und Behörden personenbezogene Daten wie E-Mail-Adresse, Browsertyp und IP-Adresse sammeln, speichern und verarbeiten. Kunden- und Vertragsdaten beinhalten in der Regel sensible Informationen wie Namen, Adresse, Telefonnummer und Kontodaten, so dass es sich hierbei ebenfalls um personenbezogene Daten handelt. Webseitenbetreiber sind daher verpflichtet, diese in der Datenschutzerklärung anzusprechen.

Vorgaben der Datenschutzerklärung für Kunden- und Vertragsdaten

Damit die Datenschutzerklärung den gesetzlichen Bestimmungen entspricht, müssen Webseitenbetreiber darin über den Umgang mit den Kunden- und Vertragsdaten aufklären. Dazu müssen sie aufführen,

• welche Kunden- und Vertragsdaten sie sammeln,
• warum sie diese Informationen sammeln,
• was sie mit diesen Daten machen,
• wie und warum sie diese Daten gegebenenfalls an Dritte weitergeben und
• dass sie die Verantwortung übernehmen, die Daten der Kunden zu schützen.

Das heißt im Umkehrschluss: Unternehmen, Behörden und Webseitenbetreiber dürfen keine Kunden- und Vertragsdaten sammeln und verarbeiten, wenn sie dies nicht in der Datenschutzerklärung ansprechen.

Voraussetzungen für die Verwendung von Kunden- und Vertragsdaten

Damit Unternehmen und Webseitenbetreiber Kunden- und Vertragsdaten erheben dürfen, muss ihnen dies gesetzlich erlaubt sein. Nach dem Gesetz ist die Erhebung von Daten zulässig, wenn sie für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Das heißt für die Praxis: Schließen Unternehmen und Kunden einen Vertrag, dürfen Unternehmen die personenbezogenen Daten erheben, die für den Vertragsschluss und die Vertragserfüllung notwendig sind. Dabei handelt es sich in der Regel um Informationen wie Namen, Anschrift und Kontoverbindung.

Was passiert mit den Kundendaten nach Vertragserfüllung?

Ist der Vertrag zwischen beiden Parteien erfüllt, müssen Unternehmen sicherstellen, dass die Kundendaten vor weiteren Zugriffen geschützt sind. Das bedeutet in Praxis meist, dass sie die Daten löschen müssen.
Wollen Unternehmen die Daten über ihren eigentlichen Zweck hinaus speichern, verwenden oder an Dritte weitergeben, benötigen sie eine eindeutige und freiwillige Einwilligungsklärung der Betroffenen. Diese sollte unzweifelhaft nachweisen, wie Unternehmen die Daten jetzt nutzen bzw. an wen und warum sie diese weitergeben. Auch das sollten Unternehmen in der Datenschutzerklärung festhalten.

Rechtsprechung zur Verarbeitung von Kunden- und Vertragsdaten

Das Landgericht (LG) Hamburg hat am 02.03.2017 entschieden, dass die Verarbeitung von Patientendaten ohne deren Zustimmung einen Verstoß gegen das BDSG darstellt (Az. 327 O 148/16). Auch die Weitergabe von personenbezogenen Daten an Dritte hat die Rechtsprechung behandelt: So entschied das LG Düsseldorf am 20.02.2017, dass personenbezogene Daten nicht ohne Einwilligung an Dritte übergeben werden dürfen (Az. 5 O 400/16).

Datenübermittlung - Dienstleister, die online Verträge schließen (ohne Warenversand) eRecht24 Premium

Dienstleister, die online Verträge schließen, erheben eine Reihe von Informationen zu ihren Kunden. Diese tragen in der Regel persönliche Informationen wie Namen und Adresse in eine Onlinemaske ein, um so den Vertrag mit dem Dienstleister zu schließen. Die Datenverarbeitung, die die Dienstleister dann vornehmen, muss den Datenschutzbestimmungen entsprechen.

Voraussetzungen zur Datenübermittlung

Bevor Dienstleister Daten ihrer Kunden ermitteln, müssen sie sich vorher versichern, dass sie überhaupt dazu berechtigt sind, die Informationen per Datenübermittlung zu erheben und zu speichern. Die Erlaubnis dazu kann ihnen entweder das Gesetz oder eine Einwilligung der betroffenen Person erteilen. Nach dem Gesetz ist die Erhebung von Daten zulässig, wenn sie für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Kunden notwendig ist.

In der Praxis bedeutet das: Schließen Dienstleister und Kunden einen Vertrag, dürfen Dienstleister auch ohne vorherige Einwilligung des Kunden die personenbezogenen Daten abfragen und übermitteln, die notwendig sind, um den Vertrag zustande kommen zu lassen und zu erfüllen. In der Regel sind das Informationen wie Name, Anschrift, E-Mail und Kontoverbindung.

Darüber hinaus müssen Dienstleister für Onlinedienste, über die User personenbezogene Daten übermitteln, ein anerkanntes Verschlüsselungsverfahren implementieren. Das schreibt das Telemediengesetz in § 13 Abs. 7 vor. Das soll sicherstellen, dass Dienstleister die Informationen sicher und ohne Zugriff durch Dritte übermitteln können. Verzichten sie auf diese Schutzmaßnahme, droht ihnen Geldbuße von bis zu 50.000 Euro pro Verstoß.

Pflichten für die Datenschutzerklärung

Die Datenübermittlung stellt einen Unterfall der Datenverarbeitung dar. Das heißt: Dienstleister, die online Verträge schließen, dürfen nur personenbezogene Daten verarbeiten, wenn sie in ihrer Datenschutzerklärung ausdrücklich darüber aufklären,

• welche Daten sie bei der Übermittlung sammeln,
• warum sie diese sammeln,
• was sie mit den Informationen vorhaben,
• wie und warum sie die Daten gegebenenfalls an Dritte weitergeben und
• dass sie Verantwortung übernehmen, die Daten der User zu schützen.

Datenübermittlung - Online-Shops & Händler (mit Warenversand) eRecht24 Premium

Kaufen Verbraucher in einem Onlineshop ein, nehmen Händler während des Bestellprozesses eine Reihe von Daten auf, um den Vertrag mit ihnen zu schließen. Dazu zählen in der Regel Informationen wie Name, E-Mail und Adresse. Shopbetreiber müssen darauf achten, dass sie dabei deutsche Datenschutzbestimmungen erfüllen.

Wann dürfen Händler personenbezogene Daten übermitteln?

Bevor Händler bei einer Online-Bestellung die Daten der Verbraucher ermitteln, müssen sie klären, ob sie dazu überhaupt berechtigt sind. Die Erlaubnis kann ihnen entweder das Gesetz oder die Zustimmung des Konsumenten geben. Das Gesetz erlaubt es Händlern, Daten zu erheben und zu übermitteln, wenn diese für den Abschluss eines Rechtsgeschäfts notwendig sind.

Für die Praxis heißt das: Schließen Händler mit einem Verbraucher einen Kaufvertrag, dürfen sie all die Daten im Bestellprozess abfragen, die sie benötigen, um den Vertrag zustande kommen zu lassen. Neben dem Namen und der E-Mail ist das vor allem auch die Liefer- und Rechnungsadresse, damit sie die Ware auf dem Postweg zustellen können.
Damit Dritte bei der Datenübermittlung keinen Zugriff auf die Kundendaten bekommen, sind Händler zudem dazu verpflichtet, ein anerkanntes Verschlüsselungsverfahren zu nutzen. Im Gesetz gibt das das Telemediengesetz in § 13 Abs. 7 vor. Schützen Shopbetreiber die personenbezogenen Daten während der Übermittlung nicht, drohen ihnen empfindliche Strafen. Pro Verstoß warten hier Geldbußen von bis zu 50.000 Euro.

Verbraucher in der Datenschutzerklärung informieren

Die Datenübermittlung von Händlern stellt eine Art der Datenverarbeitung dar. Das bedeutet: Schließen Online-Händler Verträge mit Verbrauchern, müssen sie in ihrer Datenschutzerklärung darüber aufklären, wie und warum sie die personenbezogenen Daten erheben. Dazu müssen sie informieren,

• welche Daten für die Datenübermittlung erheben,
• warum sie diese erheben,
• wie sie diese Daten verarbeiten,
• wie und warum sie diese gegebenenfalls an Dritte weiterreichen und
• dass sie Verantwortung übernehmen, die Daten der Kunden zu schützen.

Digistore24 eRecht24 Premium

eRecht24 Safe Sharing Tool eRecht24 Premium

Das e-Recht24 Safe Sharing Tool ist ein datenschutzkonformes Plugin, über das User Inhalte von sozialen Netzwerken wie Facebook und Twitter teilen können. Webseitenbetreiber, die das Tool in ihre Webseite integrieren, ermöglichen ihren Usern das Teilen von Content, ohne automatisch Nutzerdaten an die sozialen Netzwerke weiterzugeben. Das Resultat: datenschutzkonforme Shares und Likes.

Social Plugins und Datenschutz

Klicken Nutzer auf einen eingebundenen Like- oder Share-Button auf einer Webseite, drücken sie nicht nur ihre digitale Meinung aus, sondern geben gleichzeitig Nutzerdaten an die sozialen Netzwerke weiter – häufig ohne ihr Wissen. Da es sich dabei jedoch um personenbezogene Daten handelt, müssten Webseitenbetreiber dafür eigentlich erst die Zustimmung der Nutzer einholen. Diese liegt in der Regel jedoch nicht vor. Denn: Es reicht nicht aus, wenn sie dafür lediglich einen Hinweis in ihre Datenschutzerklärung aufnehmen. Share- und Like-Buttons von Facebook und Co. verstoßen somit gegen deutsche Datenschutzbestimmungen.

Das e-Recht24 Safe Sharing Tool ermöglicht es Usern, Inhalte zu teilen, ohne ihre Daten weiterzugeben. Das macht den Einsatz der Social Plugins für Seitenbetreiber rechtlich zulässig, da sie so nicht mehr gegen den Datenschutz zu verstoßen.

Rechtsprechung zu Social Plugins

Das Landgericht (LG) Düsseldorf hat am 09.03.2016 entschieden, dass die Einbindung von Social Plugins, die ungefragt Nutzerdaten an Facebook übermitteln, nicht erlaubt sind (Az. 12 O 151/15). Das Urteil bezog sich zwar nur auf Facebook. Plugins anderer sozialer Netzwerke wie Google+ und Twitter übertragen jedoch auch personenbezogene Daten, so dass diese ebenfalls unzulässig sind. Seitenbetreibern und Shops, die die Plugins trotzdem nutzen, drohen daher teure wettbewerbsrechtliche Abmahnungen.

etracker eRecht24 Premium

etracker ist ein Webanalyse-Tool, das die Daten von Webseitenbesuchern sammelt und auswertet. Diese Daten helfen Seitenbetreibern dabei, ihre Webseite entsprechend zu optimieren.

So funktioniert etracker

etracker erhebt zu jedem User auf der Webseite Informationen. Es sammelt u. a. Daten dazu,

• wann User die Webseite besuchen,
• wie lange sie die Seite besuchen,
• wie oft Nutzer die Webseite besuchen,
• woher die Nutzer kommen und
• welchen Browsertyp sie verwenden.

Aus diesen gewonnenen Daten können Webseitenbetreiber Nutzerprofile erstellen. Diese machen es ihnen leicht, Usern personalisierte Newsletter oder Werbung zuzuspielen.

etracker und Datenschutz

Verwenden Seitenbetreiber etracker, müssen sie die Nutzerprofile anonymisieren oder pseudonymisieren. Sie dürfen die personenbezogenen Daten keinem Personenprofil zuordnen, da dies § 15 Telemediengesetz (TMG) nicht erlaubt. Darüber hinaus müssen sie etracker in ihrer Datenschutzerklärung ansprechen. Sie müssen darin erklären,

• welche Daten sie über etracker sammeln,
• wozu sie diese Daten sammeln,
• wie sie diese Daten verarbeiten (z. B. zur Erstellung von Nutzerprofilen),
• ob und warum sie diese Daten gegebenenfalls an Dritte weiterreichen und
• dass sie die Verantwortung übernehmen, die über etracker gewonnenen Daten zu schützen.

Damit User nicht wehrlos gegenüber Trackingsoftware wie etracker sind, müssen Webseitenbetreiber Nutzer zudem in ihrer Datenschutzerklärung darauf hinweisen, dass sie dem Tracking widersprechen können. In der Regel nutzen Seitenbetreiber hierfür einen Link, der das Tracking für den jeweiligen Nutzer abschalten lässt.

Rechtsprechung zu etracker

Das Landgericht (LG) Frankfurt am Main hat am 18.02.2014 entschieden: Webseitenbetreiber sind beim Einsatz von pseudonymisiertem Tracking verpflichtet, User darauf hinzuweisen, dass sie der Erhebung und Verwendung ihrer Daten widersprechen können (Az.: 3-10 O 86/12). Klären Webseitenbetreiber Nutzer darüber nicht auf, handelt es sich um einen Wettbewerbsverstoß. Das Urteil bezog sich zwar auf das Online-Statistik-Tool Piwik. Die Verwendung von etracker bringt jedoch die gleichen datenschutzrechtlichen Voraussetzungen mit sich.

Facebook Plugins

Facebook ist ein soziales Netzwerk, das Profile von Privatpersonen und Unternehmen erstellen und miteinander vernetzen lässt. User können Inhalte liken, kommentieren sowie teilen und sich so weltweit austauschen.

Unternehmen nutzen Facebook als Marketingkanal. Sie teilen darüber für ihre Zielgruppe relevante Inhalte, um eine möglichst große Zahl an Followern zu generieren. Das wiederum soll den Verkauf ihrer Produkte ankurbeln und so den Unternehmenswert steigern.

So sammelt und nutzt Facebook Daten

Facebook sammelt eine Vielzahl von Daten seiner Nutzer. Dazu zählen u. a. die Daten, die User selbst im Netzwerk angeben, wie Name, Geburtsdatum und Wohnort. Darüber hinaus speichert das Netzwerk Daten zu allen Aktivitäten, die Nutzer vornehmen. Dazu zählen u. a. Kommentare, Likes, Statusmeldungen, Veranstaltungen und Freunde. Daneben sammelt Facebook Daten zur Art und Weise der Nutzung. So erhebt es Informationen dazu, wann, wie oft und wie lange User im Netzwerk surfen.

Diese Daten nutzt Facebook zum einen, um Usern ein personalisiertes Erlebnis bieten, und zum anderen, um Unternehmen eine Plattform für personalisierte Werbung stellen zu können. Für Analysezwecke gibt das Netzwerk einige seiner Daten zudem an Dritte weiter. In seinen Datenschutzrichtlinien verweist der Konzern jedoch darauf, dass es sich dabei nicht um personenbezogene Daten handelt. Diese würden nur dann an Dritte weitergereicht, wenn eine Einwilligung des jeweiligen Users vorliegt.

Datenschutzprobleme bei Facebook

Unternehmen müssen auch bei Facebook deutsche Datenschutzbestimmungen erfüllen. Das ist möglich, indem sie auf ihrer Facebookseite entsprechende Datenschutzhinweise unterbringen oder dort einen Link zu den Datenschutzhinweisen auf ihrer eigenen Webseite platzieren. Dafür müssen sie gleichzeitig in ihrer Datenschutzerklärung auf die Facebook Page verweisen. Auf diese Weise verdeutlichen sie ihren Nutzern, dass die gemachten Hinweise auch für Facebook gelten.

Darüber hinaus stehen Unternehmen vor einer Reihe von Datenschutzproblemen, die Facebook mitbringt. So gibt das Social Plugin des Netzwerks auf der eigenen Unternehmensseite automatisch Nutzerdaten an Facebook weiter, wenn User daraufklicken. Da es sich dabei um personenbezogene Daten handelt, müssen Unternehmen hierfür zunächst eine Einwilligung der User einholen. Das ist jedoch nicht möglich, indem sie lediglich in ihrer Datenschutzerklärung darauf hinweisen. Sie sollten daher auf der eigenen Webseite zusätzlich auf alternative Plugins wie das eRecht24 Safe Sharing Tool zurückgreifen, um deutsche Datenschutzbestimmungen zu erfüllen.

Daneben ist auch Facebooks Custom Audiences datenschutzrechtlich ein Problem für Unternehmen. Sie können darüber ihre Kundendaten mit Facebook-Nutzern abgleichen, um so personalisierte Werbung zu schalten. Da hierbei jedoch personenbezogenen Daten an Dritte weitergegeben werden, benötigen sie hierfür gemäß Bundesdatenschutzgesetz die Zustimmung der User. Liegt diese nicht vor, drohen ihnen Bußgelder sowie Schadensersatzansprüche der Betroffenen.

Rechtsprechung zu Facebook

Das Landgericht (LG) Düsseldorf hat am 09.03.2016 entschieden: Der auf Webseiten implementierte Like-Button von Facebook verstößt gegen Datenschutzbestimmungen (Az. 12 O 151/15). Das Oberlandesgericht (OLG) Düsseldorf hat die Frage nach der Zulässigkeit des Buttons dem EuGH vorgelegt (Beschluss vom 19.01.2017 – Az. I-20 U 40/16). Hier ist noch keine Entscheidung gefallen.

Darüber hinaus haben das Verwaltungsgericht (VG) Schleswig-Holstein (Urteil vom 09.10.2013, Az. 8 A 218/11 sowie Az. 8 A 37/12 und 8 A 14/12) sowie das Oberverwaltungsgericht (OVG) Schleswig-Holstein (Urteil vom 04.09.2014, Az. 4 LB 20/13) festgelegt: Betreiber einer Facebookseite sind datenschutzrechtlich nicht verantwortlich, wenn Facebook personenbezogene Daten der Besucher der Seite verarbeitet. Die Richter verwiesen in ihrem Urteil darauf, dass Betreiber keine Erlaubnis und keine Mittel haben, um die Datenerhebung und -verarbeitung von Facebook zu beeinflussen.

Facebook Connect eRecht24 Premium

Facebook Connect – auch als Single Sign On (SSO) bezeichnet – ist ein Verfahren, über das sich User mit ihren Facebook-Zugangsdaten auch bei anderen Online-Diensten anmelden können. Auf diese Weise müssen sie sich nicht immer wieder neu für Webdienste registrieren, sondern können sich dort mit ihrem Facebook-Account einloggen.

Diese Daten übermittelt Facebook beim Single Sign On

Bei Facebook Connect findet ein Datenaustausch zwischen Facebook und dem jeweiligen Online-Dienst statt. Welche Informationen die beiden Unternehmen dabei genau austauschen, hängt von den Privatsphäre-Einstellungen des Users ab. Die vom Nutzer öffentlich gestellten Profilinfos leitet Facebook an den Webdienst weiter. Das können zum Beispiel Name, E-Mail und Freundeslisten sein.

Diese Daten speichert der Webdienst und wertet anschließend das Verhalten des Users im eigenen Dienst aus und sendet die neu gewonnenen Informationen zurück an Facebook. Diese Daten wiederum fügt Facebook dem Profil des Nutzers hinzu, um sie für Werbezwecke o. ä. auszuwerten.

Das ist datenschutzrechtlich problematisch an Facebook Connect

Um sich bei einem Online-Dienst anzumelden, darf dieser lediglich Bestandsdaten vom Kunden abfragen. Facebook dürfte dem Dienst daher nur die Daten des Userprofils zukommen lassen, die für den Vertragsschluss und das Anlegen eines Profils zwingend notwendig sind. Das gibt das Telemediengesetz (TMG) vor.

Für alle weiteren Informationen, die Online-Dienste von Facebook erhalten, benötigen sowohl Facebook als auch der jeweilige Webdienst die Einwilligung des Nutzers – auch für die im Profil des Nutzers öffentlichen Daten. Diese Zustimmung müssen Unternehmen einholen, bevor Nutzer den Single Sign On durchführen.

Darüber hinaus müssen Webdienste in ihrer Datenschutzerklärung aufführen,

• welche Daten sie über Facebook sammeln,
• wozu sie diese Daten sammeln,
• wie sie diese Daten verarbeiten,
• ob und warum sie diese Daten gegebenenfalls an Dritte (wie z.B. an Facebook) weitergeben,
• dass sie die Verantwortung übernehmen, die gewonnenen Daten zu schützen.

Es reicht nicht aus Usern mitzuteilen, dass Facebook Connect den Bestimmungen und der Verantwortung von Facebook unterliegt.

Facebook Pixel eRecht24 Premium

Facebook Pixel – offiziell als Besucheraktions-Pixel bezeichnet – ist ein Tracking-Plugin, das Unternehmen auf ihrer Webseite einbinden können, um Userverhalten nachzuvollziehen. Auf diese Weise können sie einsehen, welche Kunden über Facebook zu ihnen auf die Seite kommen und welche Aktionen (z. B. Newsletter-Abo oder Produktkauf) sie dort vornehmen. Das Resultat: Werbetreibende können bewerten, ob eine Kampagne auf Facebook den gewünschten Erfolg erzielt.

Das ist an Facebook Pixel datenschutzrechtlich problematisch

Facebook Pixel erhebt keine anonymen oder pseudonymisierten, sondern personenbezogene Daten. Klicken User auf eine Werbeanzeige und landen somit auf der Webseite des Unternehmens, zeichnet Facebook Pixel ein genaues Bild des Verhaltens des Users. Diese Daten gelangen über Facebook zum Unternehmen.

Damit handelt es sich um eine Datenübertragung, von der der Nutzer nichts weiß. Um jedoch datenschutzkonform personenbezogene Daten erheben zu dürfen, benötigen Unternehmen die Zustimmung der User. Dafür reicht es nicht aus, einen Hinweis in die eigene Datenschutzerklärung aufzunehmen.

So können Webseitenbetreiber Facebook Pixel datenschutzkonform verwenden

Damit Unternehmen Facebook Pixel legal zum Einsatz bringen, müssen sie Nutzer über die Datennutzung informieren. Dabei müssen sie ihnen deutlich machen, welche User-Daten sie warum an Facebook übersenden. Das müssen User dann aktiv durch einen Opt-In – z. B. durch das Setzen eines Häkchens – bestätigen.

Gleichzeitig müssen Unternehmen Usern jedoch auch die Möglichkeit geben, der Datenerhebung zu widersprechen. Das ist über einen Austragelink (Opt-Out) auf der Seite möglich. Der gesamte Vorgang muss in der Datenschutzerklärung des Unternehmens dokumentiert sein.

GetResponse eRecht24 Premium

Google AdSense eRecht24 Premium

Google AdSense ist ein Dienst, über den Webseitenbetreiber Werbung auf ihren Seiten einblenden können. Unternehmen buchen über Google AdWords diese Werbeplätze, um dann auf diesen Seiten zu erscheinen. Damit Werbeplatz und Webseite zusammenpassen, wertet Google dafür vorher die Interessen und bisher besuchten Seiten von Usern aus. Auf diese Weise finden Nutzer auf den Webseiten thematisch passende oder verwandte Werbeanzeigen, die sie interessieren könnten.

Darum ist Google AdSense datenschutzrechtlich problematisch

Google setzt für AdSense einen Cookie auf die jeweilige Webseite, um die IP-Adresse sowie die individuellen Aktivitäten der User auszulesen und zu speichern. Auf diese Weise kann Google ein personenbezogenes Profil der Nutzer erstellen. Webseitenbetreiber, die Google AdSense nutzen, erhalten von Google dann die entsprechenden Daten, um den Erfolg ihrer Anzeige auszuwerten.

Da es sich dabei jedoch um personenbezogene Daten handelt, dürfen sie diese nur mit der Einwilligung der Nutzer erheben. Datenschutzbehörden gehen davon aus, dass Webseitenbetreiber selbst dafür verantwortlich sind, die Zustimmung einzuholen. Haben sie diese nicht, verstoßen sie gegen deutsche Datenschutzbestimmungen.

So können Webseitenbetreiber Google AdSense datenschutzkonform verwenden

Damit Webseitenbetreiber Google AdSense datenschutzkonform verwenden können, müssen sie Nutzer in ihrer Datenschutzerklärung umfassend über die Datenerhebung und die Datenverarbeitung informieren. Dazu müssen sie angeben,

• dass ihre Webseite Google AdSense nutzt,
• was Google AdSense mit ihren Daten macht,
• dass ihre Seite Cookies verwendet,
• dass ihre Seite ihre IP-Adressen speichert und
• dass sie diese gewonnenen Daten an Google in die USA weiterleiten.

Darüber hinaus müssen Webseitenbetreiber auf die Datenschutzbestimmungen von Google AdSense hinweisen. Zuletzt müssen sie einen Cookie-Hinweis auf ihrer Webseite einblenden, der über die Speicherung von Cookies auf dem Gerät des Nutzers informiert.

Gleichzeitig müssen Webseitenbetreiber Usern ermöglichen, der Datenerhebung zu widersprechen. Dazu sollten sie ebenfalls in den Datenschutzhinweisen aufklären,

• wie User ihre Cookies im Browser deaktivieren,
• wie sie in den Google Einstellungen interessenbezogene Werbung deaktivieren und
• was die Funktion „Do not track“ im Browser bedeutet.

Rechtsprechung zu Google AdSense

Die Rechtslage zu Google AdSense ist bisher nicht eindeutig geklärt. Es gibt – soweit ersichtlich – keine Urteile zur Datenschutzproblematik von Google AdSense selbst. Der Europäische Gerichtshof (EuGH) hat jedoch am 19.10.2016 entschieden, dass IP-Adressen personenbezogene Daten darstellen, wenn es Seitenbetreibern so möglich ist, die hinter der IP-Adresse stehende Person zu identifizieren (C-582/14).

Darüber hinaus hat das Landgericht Berlin am 06.09.2007 entschieden, dass die Speicherung von IP-Adressen ohne Einwilligung der User nicht zulässig nicht (Az. 23 S 3/07). Dem gegenüber steht jedoch die Entscheidung des Amtsgerichts München. Dies hat am 30.09.2008 festgestellt, dass zumindest dynamische IP-Adressen keinen personenbezogenen Daten darstellen, da sie lediglich einen Internetanschluss identifizieren können - nicht aber den Nutzer selbst (Az. 133 C 5677/08).

Google AdWords eRecht24 Premium

Google AdWords ist ein Werbeprogramm, über das Unternehmen zielgerichtet Werbung schalten können. Dazu können sie in den Netzwerken von Google – wie Google Suche, Google Shopping und Google Maps – sowie auf anderen Webseiten Werbung passend zum Inhalt der jeweiligen Internetseite einblenden lassen. Auf diese Weise erreichen Unternehmen mit einer Anzeige viele potenzielle Kunden im Web.

Google AdWords und Datenschutz

Damit Unternehmen den Erfolg ihrer AdWords-Kampagne messen können, setzt Google einen Cookie auf ihre Webseite. Dieser liest und speichert die IP-Adresse sowie die Interaktionen der Nutzer, die über die AdWords-Anzeige auf die Seite der Unternehmen gekommen sind. Datenschützer gehen davon aus, dass das Zusammenspiel von IP und Seitenaktivität ein personenbezogenes Profil der User erstellen lässt. Das dürfen Unternehmen jedoch nur, wenn sie die Einwilligung der Nutzer haben. Unternehmen sind dabei selbst dafür zuständig, diese Zustimmung einzuholen. Verfügen sie nicht über die Einwilligung und nutzen dennoch Google AdWords, verstoßen sie gegen den deutschen Datenschutz.

Google AdWords datenschutzkonform einsetzen

Neben der Einwilligung des Users sind Webseitenbetreiber auch dazu angehalten, in ihrer Datenschutzerklärung über den Einsatz von Google AdWords zu informieren. Sie müssen dazu im Details darüber aufklären,

• dass sie Google AdWords verwenden,
• was Google AdWords mit ihren Daten macht,
• dass ihre Seite für den Einsatz von Google AdWords Cookies nutzt,
• dass ihre Webseite dafür IP-Adressen speichert und
• dass sie die erhobenen Daten an Google in die USA weiterreichen.

Zusätzlich sind Webseitenbetreiber verpflichtet, auf ihrer Webseite einen Cookie-Hinweis einzublenden, der Nutzer über die Speicherung von Cookies informiert. Damit User all diesen Maßnahmen nicht hilflos ausgeliefert sind, müssen sie es ihnen auch ermöglichen, der Datenerhebung und Datenspeicherung zu widersprechen. Ihre Datenschutzerklärung sollte daher ebenfalls zeigen,

• wie Nutzer ihre Cookies im Browser deaktivieren,
• wie sie in den Google Einstellungen interessenbezogene Werbung deaktivieren und
• was die Funktion „Do not track“ im Browser heißt.

Rechtsprechung zu Google AdWords

Bisher gibt es keine Rechtsprechung zur Datenschutzkonformität von Google AdWords. Der Europäische Gerichtshof (EuGH) hat jedoch am 19.10.2016 festgestellt, dass IP-Adressen personenbezogene Daten darstellen, wenn Webseitenbetreiber über die Mittel verfügen, die hinter der IP-Adresse stehend Person zu identifizieren (C-582/14).

Das Landgericht Berlin hat zudem am 06.09.2007 entschieden, dass Webseitenbetreiber IP-Adressen nicht ohne die Zustimmung von Nutzern speichern dürfen (Az. 23 S 3/07). Das Amtsgericht München hat das etwas differenzierter bewertet: Es hat am 30.09.2008 entschieden, dass dynamische IP-Adressen keine personenbezogenen Daten darstellen, da diese nur einen Internetanschluss identifizieren lassen. Sie lassen keinen Nutzer direkt ausmachen (Az. 133 C 5677/08).

Google Analytics eRecht24 Premium

Google Analytics Auftragsdatenverarbeitung eRecht24 Premium

Google Analytics Demografische Merkmale eRecht24 Premium

Google Analytics IP-Anonymisierung eRecht24 Premium

Google Analytics Remarketing eRecht24 Premium

Google Conversion-Tracking eRecht24 Premium

Google Maps

Google reCAPTCHA

Google Web Fonts

Google+ Plugin

Hinweis zu Auskunft, Sperrung, Berichtigung und Löschung

Hotjar eRecht24 Premium

Instagram Plugin

Instagram ist ein Online-Dienst zum Teilen von Fotos und Videos. User können in dem Netzwerk anderen Usern folgen, Bilder und Videos posten sowie Medien von anderen Nutzern liken und kommentieren. Unternehmen verwenden Instagram, um Einblicke in den Firmenalltag zu geben oder neue Produkte zu präsentieren. Sie nutzen das Netzwerk damit als Marketingkanal, um ihre Zielgruppe mit interessanten Inhalten zu bedienen und sie so zu Followern und letztendlich zu Kunden zu machen.

Diese Daten sammelt Instagram

Instagram erhebt und speichert die Daten, die User bei der Anmeldung angeben. Dazu zählen u. a. der Name, der Nutzername und die E-Mail. Darüber hinaus speichert es alle Aktivitäten, die User im Netzwerk vornehmen. Das können Likes, Kommentare, geteilte Videos und Bilder sowie das Abonnieren von anderen Profilen sein. Welche Daten Instagram genau speichert und in welchem Umfang es diese sammelt, gibt das Netzwerk nicht konkret an. Es nutzt die gewonnenen Daten, um Usern personalisierte Vorschläge zum Abonnieren von neuen Profilen zu machen sowie um ihnen passende Werbeanzeigen einzublenden.

Datenschutzprobleme bei Instagram

Instagram leitet personenbezogene Daten an Werbekunden weiter. Das darf das Unternehmen jedoch nur, wenn es dafür eine informierte und freiwillige Einwilligung der Nutzer hat. In anderen Worten: Usern muss klar sein, dass Instagram ihre Daten an jemanden anderes weitergibt. Instagram versucht zwar in seinen Nutzungsbedingungen, diese Zustimmung einzuholen. Diese bleiben jedoch vage formuliert, so dass sich kaum ein Nutzer bewusst sein dürfte, was mit seinen Daten passiert.
Dritte erreichen die personenbezogenen Daten der User über APIs, von Instagram zur Verfügung gestellte Schnittstellen.

Viele dieser Schnittstellen hat Instagram jetzt jedoch abgeschaltet. Die restlichen APIs haben nun eine Begrenzung der Zugriffszahlen auf 200 pro Stunde. Damit hat Instagram auf eine Abmahnung der Verbraucherschutzzentrale reagiert.

Haben Webseitenbetreiber das Social Plugin von Instagram auf ihrer Seite implementiert, gibt dies automatisch Daten an das Netzwerk weiter, wenn User daraufklicken. Dabei handelt es sich um personenbezogene Daten wie die IP-Adresse der Nutzer, so dass Webseitenbetreiber eine Einwilligung für die Datenweitergabe benötigen. Dabei reicht es nicht aus, wenn sie in ihrer Datenschutzerklärung darauf hinweisen.

Instagram datenschutzkonform nutzen

Unternehmen, die Instagram rechtssicher nutzen wollen, müssen User auf deutsche Datenschutzbestimmungen hinweisen. Das können sie direkt in ihrem Instagram-Profil vornehmen oder dort einen Link zu den eigenen Datenschutzhinweisen auf der Webseite platzieren. In ihrer Datenschutzerklärung müssen sie Nutzer darauf hinweisen, dass und wie sie Instagram nutzen.
Implementieren Webseitenbetreiber das Social Plugin von Instagram, benötigen sie von Nutzern die Zustimmung, ihre Daten bei Klick auf die Bilder oder Videos an Instagram weiterzuleiten.

Dies ist in der Praxis jedoch kaum möglich, so dass Seitenbetreiber auf alternative Plugins wie das eRecht Safe Sharing Tool zurückgreifen sollten. Dies lässt Nutzer Instagram-Content liken und teilen, ohne dass sie dabei ihre Daten an das Netzwerk weiterleiten

Rechtsprechung zu Instagram

Das Landgericht (LG) Düsseldorf hat festgestellt: Der auf Webseiten implementierte Like-Button von Facebook erfüllt nicht die Anforderungen an den deutschen Datenschutz (Urteil vom 09.03.2016, Az. 12 O 151/15). Derzeit muss sich der Europäische Gerichtshof mit der Frage auseinandersetzen, ob der Button zulässig ist. Die Entscheidung dazu steht noch aus. Das Urteil des LG Düsseldorf bezog sich zwar konkret nur auf den Facebook Like-Button. Die Entscheidung lässt sich aber auf alle Social Plugins übertragen. Denn: Auch bei Instagram sendet das Plugin ungefragt Nutzerdaten weiter.

Klarna eRecht24 Premium

Klarna ist ein schwedischer Zahlungsdienstleister im E-Commerce. Das Unternehmen wickelt den Zahlungsverkehr für Shopbetreiber ab. Auf diese Weise müssen diese Risiken für eventuelle Zahlungsausfälle nicht selbst tragen.

Diese Daten verarbeitet Klarna

Damit Klarna den Zahlungsverkehr für Kunden übernehmen kann, erhebt das Unternehmen verschiedene Daten von ihnen. Dazu zählen

• Name
• Adresse,
• Geburtsdatum,
• Geschlecht,
• E-Mail-Adresse,
• Telefonnummer und
• IP-Adresse.

Darüber hinaus erhält Klarna alle notwendigen Informationen zu der beim Shopbetreiber eingegangenen Bestellung. Dazu zählen zum Beispiel die Anzahl der Artikel, die Artikelnummer und der Rechnungsbetrag.

Klarna datenschutzkonform verwenden

Damit Webseitenbetreiber Klarna datenschutzkonform in ihren Bestellprozess einbinden, müssen sie User in ihrer Datenschutzerklärung darüber aufklären, zu welchem Zweck sie welche Daten an Klarna weitergeben.

Darüber hinaus müssen sie Nutzer auch darauf hinweisen, dass sie die Verwendung ihrer personenbezogenen Daten gegenüber Klarna widerrufen können. Die Daten, die Klarna zur Vertragserfüllung – also zur Zahlungsabwicklung – zwingend benötigt – darf Klarna jedoch weiter verarbeiten, nutzen und übermitteln. Zudem müssen Händler ihren Kunden erklären, dass sie bei Klarna jederzeit Auskunft über ihre gespeicherten personenbezogenen Daten einholen können. Dieses Recht gewährt ihnen das Bundesdatenschutzgesetz.

Klick-Tipp eRecht24 Premium

Klick-Tipp ist ein E-Mail-Marketing-Tool, über das Webseitenbetreiber Mailkampagnen organisieren und durchführen können.

Darum ist Klick-Tipp datenschutzrechtlich eine Herausforderung

Webseitenbetreiber erheben über Klick-Tipp verschiedene, zum Teil personenbezogene Daten von Usern, um ihre Mailkampagnen zielgerichtet ausspielen zu können. Dabei müssen sie Gesetzesvorgaben aus dem Bundesdatenschutzgesetz (BDSG), dem Telemediengesetz (TMG) und ab dem 25. Mai aus der Datenschutzgrundverordnung (DSGVO) beachten, um nicht abgemahnt zu werden.

So können Webseitenbetreiber Klick-Tipp datenschutzkonform einsetzen

Damit Webseitenbetreiber über Klick-Tipp rechtmäßig E-Mails versenden dürfen, benötigen sie eine Einwilligung der User in den Versand – und damit in die Speicherung und Verwendung ihrer Daten. Denn: Bei Anmeldungen für den Empfang von Newslettern müssen User personenbezogene Daten wie ihre E-Mail angeben. Die Einwilligung gewährt Webseitenbetreibern, dass sie diese Daten erheben und verwenden dürfen. Fehlt diese Einwilligung, ist die E-Mail-Werbung rechtswidrig. Gleichzeitig sollten Seitenbetreiber Nutzer in der Einwilligung auf ihr Widerspruchsrecht hinweisen.

Daneben müssen Webseitenbetreiber in ihrer Datenschutzerklärung User über den Newsletter-Versand über Klick-Tipp informieren. Darin müssen sie ausführlich aufklären, welche Daten sie warum erheben und wie sie diese weiterverarbeiten. Bisher gibt das noch das TMG in § 13 Abs. 1 vor.

Ab dem 25.Mai übernimmt dann Art. 13 Abs. 1 DSGVO: Das Gesetz schreibt ab diesem Zeitpunkt vor, dass Unternehmen beim Newsletter-Marketing über Anbieter wie Klick-Tipp in der Datenschutzerklärung

• über den Zweck, für den sie die personenbezogenen Daten verarbeiten wollen, informieren,
• die Rechtsgrundlage für die Datenverarbeitung – Art. 6 Abs. 1 UAbs. 1 DSGVO – nennen,
• über die Dauer, wie lange sie die personenbezogenen Daten speichern wollen, informieren und
• sie auf ihr Recht hinweisen, die Einwilligung jederzeit widerrufen zu können,
  müssen.

Zusätzlich müssen Webseitenbetreiber mit Klick-Tipp einen Vertrag zur Auftragsdatenverarbeitung abschließen. Bisher regelt § 11 BDSG dies, die DSGVO übernimmt jedoch im Mai auch hier. Ein Vertrag zur Auftragsdatenverarbeitung stellt sicher, dass sich E-Mail-Marketing-Tools wie Klick-Tipp beim Versand von Newslettern an die strengen Vorgaben des Datenschutzrechts halten. Der Vertrag muss u. a.

• den Gegenstand und die Dauer der Datenverarbeitung,
• die Art und den Zweck der Verarbeitung,
• die Art der personenbezogenen Daten,
• die Kategorien der betroffenen Personen und
• die Pflichten und Rechte der Verantwortlichen

aufführen. Entspricht die Vereinbarung zur Auftragsdatenverarbeitung nicht den Vorgaben der DSGVO, begehen Webseitenbetreiber eine Ordnungswidrigkeit. Ihnen droht dann gemäß Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent ihres weltweiten Umsatzes des vergangenen Geschäftsjahres.

Daneben müssen Seitenbetreiber die Auftragsdatenverarbeitung mit Klick-Tipp in ihre Datenschutzerklärung aufnehmen. Sie müssen Nutzer dabei informieren, dass sie mit Klick-Tipp einen Vertrag zur Auftragsdatenverarbeitung abschlossen haben und erklären, was das für sie und ihre Daten bedeutet.

Kommentarfunktion

Kommentarfunktion mit Abonnieren von Kommentaren

Kommentarfunktion mit Angabe der E-Mail-Adresse

Kommentarfunktion mit Speicherung der IP-Adresse

Kontaktformular

LinkedIn Plugin eRecht24 Premium

MailChimp eRecht24 Premium

Matomo (ehemals Piwik)

Newsletter allgemein

Newsletter2Go eRecht24 Premium

Nutzerregistrierung eRecht24 Premium

Paydirekt eRecht24 Premium

Paydirekt ist ein Online-Bezahlverfahren der deutschen Banken und Sparkassen. Im Unterschied zu anderen Payment-Diensten ist Paydirekt kein Drittanbieter. Es ist ein zentraler Softwaredienst zur Zahlungsabwicklung im Internet. Damit ist das Bezahlverfahren eine Zusatzfunktion eines Girokontos.

Diese Daten sammelt Paydirekt

Wollen sich Nutzer für Paydirekt registrieren, benötigen sie ein Girokonto mit Online-Banking bei einer der teilnehmenden Banken oder Sparkassen. Die Registrierung verlangt einen Nutzernamen und ein Passwort vom User. Danach können sie das Bezahlverfahren verwenden.
Nutzen User ihren Paydirekt-Account, um Zahlungen abzuwickeln, erhebt das Unternehmen verschiedenen Daten. Dazu gehören u. a.

• die Transaktionsdaten der Überweisung
• Informationen zum Warenkorb, die der Händler mit Paydirekt teilt, und
• die Lieferadresse der Online-Bestellung.

Diese Daten machen es Paydirekt möglich, die Transaktion einem Kunden genau zuzuordnen. Damit handelt es sich um personenbezogene Daten.

Das kritisieren Datenschützer bei Paydirekt

2017 nahmen zahlreiche deutsche Sparkassen eine AGB-Änderung vor, die ihren Kunden automatisch einen Account bei Paydirekt vorregistrierte. Widersprachen Kunden der AGB-Änderung nicht innerhalb von zwei Monaten, legten die Sparkassen die Accounts an. Dazu übertrugen sie die Stammdaten ihrer Kunden an Paydirekt.

Dafür hätten die Sparkassen jedoch die Einwilligung ihrer Kunden benötigen können. Die Informierung über die AGB-Änderung zählt hierbei nicht als gültige Zustimmung der Kunden, da sie aus Sicht der Datenschützer nicht die Anforderungen des § 4a Abs. 1 Bundesdatenschutzgesetz (BDSG) erfüllt. Derzeit ermitteln daher die Landesdatenschutzbehörden in Hessen und Thüringen.

Paydirekt datenschutzkonform verwenden

Wollen Onlineshops Paydirekt als Zahlungsdienst datenschutzkonform anbieten, müssen sie Nutzer in ihrer Datenschutzerklärung ausführlich darüber informieren. Dazu müssen sie angeben, welche Daten (z. B. Zahlungsbetrag, Lieferadresse etc.) sie zu welchem Zweck an Paydirekt übermitteln.

Shopbetreiber sollten User zudem darauf hinweisen, dass sie der Verwendung ihrer Daten jederzeit widersprechen können. Sie dürfen jedoch die Daten, die Paydirekt für die Zahlungsabwicklung zwingend benötigt, weiter an das Unternehmen übergeben.

PayPal eRecht24 Premium

PayPal ist ein Online-Bezahldienst, über den User Geld empfangen und senden können. Sie verbinden dazu ihr Girokonto oder ihre Kreditkarte mit PayPal. Der Paymentdienst gehört zu den am meisten genutzten Verfahren im Online-Handel.

Diese Daten sammelt PayPal

Wollen sich User bei PayPal anmelden, müssen sie dafür ein bestehendes Konto mit PayPal verbinden. Um ihren Account einzurichten, müssen sie Herkunftsland, Vor- und Nachname, E-Mail-Adresse sowie Passwort angeben.

Das kritisieren Datenschützer bei PayPal

PayPals Datenschutzerklärung umfasst derzeit 26 Seiten. Wollen Verbraucher diese lesen, benötigen sie dafür im Schnitt 24 Minuten. Verbraucherschützer bewerten diese daher als formal unverständlich. Darüber hinaus greift der Zahlungsdienstleister auf Formulierungen wie „gegebenenfalls“, „möglicherweise“ und „unter bestimmten Umständen“ zurück, so dass User nicht eindeutig erkennen können, wie PayPal ihre Daten tatsächlich verarbeitet.

Aus der Datenschutzerklärung geht zudem hervor, dass sich PayPal das Recht einräumt, Nutzerdaten an mehrere hundert Drittunternehmen weiterzugeben. Das darf PayPal jedoch nur, wenn es dafür die Einwilligung der User für den konkreten Fall besitzt. Diese „Blanko-Einwilligung“ ist daher keine wirksame Rechtsgrundlage für die Weitergabe der Daten an Dritte.
Weiterhin gewährt PayPals Datenschutzerklärung Usern weder ein Widerrufs- noch ein Widerspruchsrecht gegen die Verarbeitung ihrer Daten.

Gesetzeskonforme Datenschutzerklärung mit Beginn der DSGVO?

Ab dem 25. Mai setzt PayPal auf eine neue Datenschutzerklärung. Diese ist dann nur noch 11 Seiten lang und damit deutlich übersichtlicher als die aktuelle. Darin fehlt dann die Liste der Drittunternehmen, an die PayPal derzeit noch Userdaten weitergibt. Hier ist daher offen, ob PayPal mit Beginn der DSGVO keine Daten mehr an diese weiterreicht. Laut der neuen Datenschutzerklärung nimmt PayPal das nur noch vor, wenn es eine konkrete Zustimmung der User dafür hat. Die ab dem 25. Mai geltende Erklärung gewährt Usern dann auch ein Widerspruchsrecht gegen die Datenverarbeitung, so wie es Art. 21 DSGVO vorschreibt.

PayPal datenschutzkonform verwenden

Wollen Shopbetreiber PayPal in ihrem Checkout datenschutzkonform verwenden, müssen sie User über den Einsatz von PayPal in ihrer Datenschutzerklärung informieren. Sie sind dabei verpflichtet Nutzern zu erklären, welche Daten sie zu welchem Zweck an PayPal weiterleiten. Daneben sollten sie sie auch darauf hinweisen, dass User der Verwendung ihrer Daten jederzeit widersprechen können. Das gilt jedoch nicht für die Daten, die PayPal zwingend benötigt, um Zahlungen abzuwickeln. Diese Daten dürfen Shopbetreiber weiter an PayPal übermitteln.

Pinterest Plugin

Pinterest ist ein soziales Netzwerk für das Teilen von Bildern. Nutzer können in dem Netzwerk Bilder an virtuelle Pinnwände heften, teilen, liken und kommentieren. Unternehmen verwenden Pinterest als Marketingkanal, um Produkte zu promoten und ihre Zielgruppe mit für sie relevanten Inhalten zu bedienen.

Diese Daten sammelt Pinterest

Wollen sich Nutzer bei Pinterest anmelden, müssen ihre E-Mail-Adresse angeben sowie ein Passwort generieren. Melden sie sich über den Single Sign On für Facebook an, erhält Pinterest zudem Zugriff auf weitere Informationen wie E-Mail, Freundeslisten und Interessen (abhängig von den Privatsphäre-Einstellungen). Einmal im Netzwerk registriert, erhebt Pinterest Daten zu allen Aktivitäten, die User vornehmen. Das können u. a. erstellte Pinnwände, Likes und Kommentare sein. Kaufen Nutzer etwas über Pinterest, erfasst das Netzwerk Daten zu den Zahlungsinformationen, den Kontaktdaten (wie z. B. Anschrift und Telefonnummer) und alle Informationen zu dem Kauf selbst. Darüber hinaus speichert das Unternehmen auch Daten zum verwendeten Browser, Endgerät und zur IP-Adresse.

Pinterest gibt selbst an, die gesammelten Daten zu verwenden, um Usern den Dienst bereitzustellen und ihnen relevante und interessante Inhalte anzuzeigen. Dazu zählt auch das Einblenden von personalisierter Werbung.

Diese Datenschutzprobleme bringt Pinterest mit

Wie auch Facebook und Instagram übermittelt Pinterest über Schnittstellen Userdaten an Werbekunden, damit diese Nutzern Anzeigen einblenden können. Das ist dem Unternehmen jedoch nur erlaubt, wenn es für den konkreten Fall die Zustimmung der User dafür einholt. Dem kommt Pinterest jedoch nicht nach.

Klicken User auf einer Webseite auf das Social Plugin von Pinterest, geben sie automatisch ihre Daten an das Netzwerk weiter. Dazu zählt dann u. a. ihre IP-Adresse, die zu den personenbezogenen Daten gehört.

So können Webseitenbetreiber Pinterest datenschutzkonform nutzen

Wollen Webseitenbetreiber Pinterest nutzen, müssen sie Nutzer in ihrer Datenschutzerklärung darauf hinweisen. Darüber hinaus gilt: Nutzen sie das Social Plugin von Pinterest, müssen sie die Zustimmung der Nutzer einholen, ihre Daten bei Klick auf die Bilder an das Unternehmen weiterzuleiten zu dürfen. Das ist derzeit praktisch jedoch nicht zu lösen. Alternative Plugins wie das eRecht Safe Sharing Tool helfen dabei, die Daten der User zu schützen.

Rechtsprechung zu Pinterest

Am 09.03.2016 hat das Landgericht Düsseldorf entschieden, dass der auf Webseiten implementierte Facebook-Like-Button gegen deutsche Datenschutzbestimmungen verstößt (Az. 12 O 151/15). Aktuell prüft der Europäische Gerichtshof (EuGH), ob der Button rechtlich zulässig ist. Dabei ist noch keine Entscheidung gefallen. Kommt der EuGH zu dem Schluss, dass der Like-Button nicht datenschutzkonform ist, dürfte das auch Auswirkungen auf die Zulässigkeit des Pinterest-Buttons haben. Denn: Dieser gibt ebenso wie der Like-Button von Facebook ungefragt Daten an Pinterest weiter, sobald User daraufklicken.

Rapidmail eRecht24 Premium

Rapidmail ist eine Online-Software für professionelles E-Mail-Marketing. Nutzer können darüber Newsletter und Mail-Kampagnen planen, erstellen und versenden. Derzeit greifen über 80.000 Nutzer auf das Tool zurück.

Rapidmail und Datenschutz

Webseitenbetreiber nutzen Rapidmail, um Usern Newsletter zukommen zu lassen. Dafür erheben und speichern sie ihre E-Mail-Adresse. Diese zählt zu den personenbezogenen Daten und ist daher besonders schützenswert. Seitenbetreiber müssen daher eine Reihe von Pflichten erfüllen, um nicht gegen deutsche Gesetze zu verstoßen. Unter anderem schreiben ihnen dabei das Bundesdatenschutzgesetz (BDSG), das Gesetz gegen unlauteren Wettbewerb (UWG), das Telemediengesetz (TMG) und ab dem 25. Mail auch die Datenschutz-Grundverordnung (DSGVO) verschiedene Regeln vor.

So bringen Seitenbetreiber Rapidmail datenschutzkonform zum Einsatz

Bevor Webseitenbetreiber Newsletter über Rapidmail verschicken können, benötigen sie die Einwilligung der User in den Versand des Newsletters.

Double-Opt-In für E-Mail- und SMS-Newsletter

Für das Versenden des Newsletters per E-Mail müssen sich Webseitenbetreiber die Zustimmung in einem zweistufigen Verfahren abholen. Dabei fragen sie zunächst die E-Mail der Nutzer ab und lassen sie in diesem Kontext in den Newsletter-Versand einwilligen. Gleichzeitig sollten sie User darauf hinweisen, dass sie den Newsletter jederzeit wieder abbestellen können. Sie erhalten dann eine E-Mail, die ihnen das Sign-Up für den Newsletter anzeigt. User müssen diese Mail per Klick auf einen Link bestätigen, um so den Versand zu starten. Dieses Vorgehen ist als Double-Opt-In bekannt.

Daneben können Seitenbetreiber ihren Newsletter bei Rapidmail auch per SMS verschicken. Hierfür benötigen sie die Telefonnummer der Nutzer sowie die Einwilligung in den Versand des Newsletters an ihre Nummer. Das Double-Opt-In-Verfahren aus dem E-Mail-Marketing können Seitenbetreiber hier in abgewandelter Form nutzen. Dazu können sie die Telefonnummer der Interessenten über eine Online-Maske abfragen und sie darüber aufklären, dass sie mit Eintragen ihrer Nummer den Newsletter abonnieren. Ein Hinweis, dass sie diesen jederzeit wieder abbestellen können, darf auch hier nicht fehlen. User sollten diese Hinweise per Opt-In bestätigen können. Im nächsten Schritt zeigt die Online-Maske dann die Telefonnummer des Newsletter-Versenders an. Nutzern speichern diese ab und senden eine SMS mit einem Befehl wie „Start“, der den Newsletter aktiviert.

Rapidmail in Datenschutzerklärung aufführen

Neben Double-Opt-In für E-Mail und SMS müssen Webseitenbetreiber in ihrer Datenschutzerklärung angeben, dass und wie sie Rapidmail für den Newsletter-Versand nutzen. Sie müssen darüber informieren, warum und welche User-Daten sie dabei erheben und verwenden. Im Gesetz gibt ihnen das § 13 Abs. 1 TMG vor. Die DSGVO, die hier ab dem 25. Mai übernimmt, schreibt dann in Art. 13 vor, dass Seitenbetreiber in ihrer Datenschutzerklärung anführen müssen,

• wofür sie die personenbezogenen Daten, die sie für den Newsletter-Versand über Rapidmail sammeln und speichern, verwenden,
• wie lange sie die personenbezogenen Daten speichern,
• welches Gesetz ihnen die Datenerhebung und -verwendung erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
• dass sie der Zustimmung zur Datenverwendung jederzeit widersprechen können.

Vertrag zur Auftragsverarbeitung abschließen

Damit Webseitenbetreiber die Daten der User datenschutzkonform verarbeiten, müssen sie mit Rapidmail einen Vertrag zur Auftragsverarbeitung abschließen. Im Gesetz schreibt das § 11 BDSG vor. Die DSGVO gibt ab dem 25. Mai im Detail vor, dass ein Vertrag mit Rapidmail vor allem darüber informieren muss,

• welche Daten Seitenbetreiber wie lange speichern und verarbeiten,
• warum sie diese Daten verarbeiten und
• welche Rechte und Pflichten die Verantwortlichen haben.

Rapidmail ermöglicht es Newsletter-Versendern, den Vertrag zur Auftragsverarbeitung elektronisch in ihrem Account abzuschließen. Ist der Vertrag geschlossen, müssen Seitenbetreiber in ihrer Datenschutzerklärung über die Verwendung von Rapidmail informieren. Sie müssen User darauf hinweisen, dass sie einen Vertrag zur Auftragsverarbeitung mit Rapidmail geschlossen haben. In diesem Rahmen müssen sie ihnen auch erklären, wie Rapidmail ihre Daten nutzt.

Rechtsprechung zum Versand von Newslettern über Rapidmail

Webseitenbetreiber, die bei der Einholung der User-Einwilligung nicht auf Double-Opt-In setzen, laufen Gefahr abgemahnt zu werden. Der Bundesgerichtshof hat am 10.02.2011 geklärt, dass das Double-Opt-In-Verfahren dazu geeignet ist, die Zustimmung der User in einen Newsletter-Versand einzuholen (Az. I ZR 164/09).

Recht auf Datenübertragbarkeit

Recht auf Einschränkung der Verarbeitung

Server-Log-Dateien

Social-Media-Plugins mit Shariff

Sofortüberweisung eRecht24 Premium

SoundCloud

Spotify

SSL-Verschlüsselung der Webseite

Tumblr Plugin

Twitter Plugin

Verantwortliche Stelle für Datenverarbeitung eRecht24 Premium

Verarbeitung von Kunden- und Vertragsdaten eRecht24 Premium

Verschlüsselter Zahlungsverkehr eRecht24 Premium

Vimeo

Widerruf der Einwilligung zur Datenverarbeitung

Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO)

Widerspruch gegen Werbe-E-Mails

WordPress Stats eRecht24 Premium

Xing Plugin eRecht24 Premium

YouTube

YouTube ist eine Online-Video-Plattform, auf der Nutzer Videos hochladen und anschauen können. Sie können Videos bewerten, in Playlisten speichern und kommentieren. Das Portal hat über eine Milliarde User.

Darum ist YouTube datenschutzrechtlich bedenklich

Wollen sich Nutzer bei YouTube registrieren, müssen sie ihren Namen und ihre E-Mail-Adresse angeben sowie ein Passwort für den Login festlegen. Nutzen User den Single Sign On über Facebook oder Google, erhält YouTube zudem weitere Daten zum User. Abhängig vom jeweiligen Netzwerk und den dort vorgenommenen Privatsphäre-Einstellungen können das zum Beispiel Fotos, Interessen und Freunde des Nutzers sein.

Werden User nach Registrierung bei YouTube aktiv, zeichnet die Plattform alle vorgenommenen Aktionen auf. Damit speichert YouTube beispielsweise Daten zu angeklickten Videos, erstellten Playlisten sowie abgegebenen Bewertungen und Kommentaren. Darüber hinaus erhebt die Plattform Angaben zum verwendeten Endgerät, zur IP-Adresse und zum Browser des Users.

YouTube nutzt die Daten, um Usern ein personalisiertes Erlebnis auf der Plattform bieten zu können. Dazu verwendet es die Daten zum Beispiel, um Nutzern relevante und interessante Inhalte anzuzeigen. Dazu zählt auch das Einspielen personalisierter Werbeclips und Anzeigen. Das wird YouTube jedoch erst möglich, indem es Nutzerdaten an Werbekunden übermittelt. Diese lassen YouTube dann ihre Werbung für die jeweilige Zielgruppe ausspielen. YouTube darf personenbezogene Daten jedoch nur an Dritte weitergeben, wenn es für jeden konkreten Fall die Erlaubnis der User hat. Darüber verfügt das Netzwerk nicht.

So können Webseitenbetreiber YouTube-Videos datenschutzkonform auf ihrer Seite einbinden

Binden Seitenbetreiber YouTube-Content auf ihrer Webseite ein, erfasst das Video-Portal automatisch Daten zu den Webseitenbesuchern. Das ist möglich, da YouTube durch das Einbetten der URL automatisch einen Cookie im Browser der Nutzer setzt. Dieser speichert das Verhalten der User und gibt dies an YouTube weiter.

Webseitenbetreiber sollten daher auf Plugins setzen, die verhindern, dass YouTube Daten von Usern sammelt, noch bevor diese das Video auf der Seite anklicken. Plugins ermöglichen es hierbei, dass Nutzer zunächst zustimmen müssen, dass YouTube bei Abspielen des Videos ihre personenbezogenen Daten erfasst. Dies geschieht über einen Hinweis, dem sie aktiv per Klick zustimmen müssen.

Zudem müssen Seitenbetreiber in ihrer Datenschutzerklärung angeben, dass sie YouTube-Videos auf ihrer Seite eingebunden haben. Dabei sollten sie ihren Usern erklären, welche Daten YouTube sammelt, sobald sie die Seite besuchen bzw. das Video starten.

Rechtsprechung zu YouTube

Der Europäische Gerichtshof beschäftigt sich derzeit mit der Frage, ob der Facebook-Like-Button dem deutschen Datenschutz gerecht wird. Sollte das Gericht zu dem Ergebnis gelangen, dass der Button nicht die Anforderungen deutscher Datenschutzbestimmungen erfüllt, könnte das auch Folgen für das Implementieren von YouTube-Videos auf Webseiten haben. Denn: YouTube und Plattformen wie Facebook arbeiten auf externen Webseiten mit der gleichen Vorgehensweise: Sie erheben über Cookies personenbezogene Daten, ohne dass User davon erfahren.

Zendesk eRecht24 Premium

Englische Übersetzung der Datenschutzerklärung eRecht24 Premium

 

---

Interessante Artikel für alle Webseitenbetreiber

• Alles über das neue Widerrufsrecht, die Impressumspflicht und die Datenschutzerklärung
• Die besten Artikel zum Thema Markenanmeldung und Markenrecherche für das Internet
• Alles zu den Themen AGB Onlineshop, eBay AGB, Amazon AGB und AGB für Dawanda
• Unser Ratgeber für alle Verkaufsplattformen und zur Verpackungsverordnung
• Hilfreiche Informationen zur Vorfälligkeitsentschädigung

---

Mehr rechtliche Fragen und Antworten im eRecht24 Forum zum Internetrecht:

Themen:

• Forum Internetrecht
  Alle rechtlichen Fragen des Internet von Usern beantwortet.
• Forum Domainrecht
  Tipps rund um die Domainanmeldung, Domaingrabbing, Marken und Domains und mehr.
• Forum Onlineshops, E-Commerce, Onlineshopping
  Rechtsinfos rund um das Betreiben eines Onlineshops und das sichere Einkaufen im Netz,
• Forum Verantwortlichkeit für Inhalte
  Rechtliche Belange von User generated Content, Texte wie Testberichte, Kommentare & Meinungen, Bilder, Videos...
• Forum Linkhaftung, Verlinkung fremder Inhalte
  Worauf darf ich verlinken und worauf nicht?
• Forum Filesharing, Downloads & Tauschbörsen
  Up- und Download von urheberrechtlich geschützten Texten, Bildern, Software, Filmen und Musik
• Forum Onlineauktionen, eBay, MyHammer & Co.
  Rechtsfragen zum Thema Er- und Versteigern von Waren und Dienstleistungen
• Forum Strafrecht und Internet
  Hausdurchsuchung, Gerichtsverfahren und Co.
• Forum Urheberrecht
  Wie schütze ich meine Rechte als Urheber? Was ist überhaupt schutzwürdig?
• Forum Internationales Privatrecht
  Der Server in den USA, Der eBay Verkäufer auf Teneriffa, so bekommen Sie Recht

Themenspecial Abmahnung

Wettbewerbsrechtliche Abmahnung und Abmahnungen wegen Filesharing werden von spezialisierten Kanzleien zehntausendfach ausgesprochen. Wir zeigen Ihnen, was Sie wissen müssen und wie Sie richtig reagieren.

Informieren Sie sich auf unserem Portal rund um alle Fragen zu Abmahnungen https://www.abmahnung-internet.de/

Wir haben auch auf eRecht24 umfassende Informationen zum Thema u.a. im Beitrag Filesharing-Abmahnungen, so reagieren Sie richtig zusammengestellt. Die häufigsten Abmahnungen wg. Tauschbörsennutzung sind Filesharing Abmahnungen der Kanzlei Waldorf Frommer. Lesen Sie in den jeweiligen Beiträgen, wie Sie bei einer Abmahnung der genannten Kanzlei richtig reagieren.

Neu: Spezial Verkehrsrecht Online

• Rote Ampel überfahren, so wehren Sie sich erfolgreich
• Geschwindigkeitsueberschreitung, Fahrverbot muss nicht sein