eRecht24 Datenschutz Generator

Hier erstellen Sie kostenlos, schnell & einfach eine Datenschutzerklärung für Ihre Webseite

Datenschutzhinweis: Ihre Daten werden ausschließlich zur Erzeugung Ihrer Datenschutzerklärung genutzt. Die Daten werden nicht an Dritte weitergegeben.

Google AdWords und Datenschutz

Damit Unternehmen den Erfolg ihrer AdWords-Kampagne messen können, setzt Google einen Cookie auf ihre Webseite. Dieser liest und speichert die IP-Adresse sowie die Interaktionen der Nutzer, die über die AdWords-Anzeige auf die Seite der Unternehmen gekommen sind. Datenschützer gehen davon aus, dass das Zusammenspiel von IP und Seitenaktivität ein personenbezogenes Profil der User erstellen lässt. Das dürfen Unternehmen jedoch nur, wenn sie die Einwilligung der Nutzer haben. Unternehmen sind dabei selbst dafür zuständig, diese Zustimmung einzuholen. Verfügen sie nicht über die Einwilligung und nutzen dennoch Google AdWords, verstoßen sie gegen den deutschen Datenschutz.

Google AdWords datenschutzkonform einsetzen

Neben der Einwilligung des Users sind Webseitenbetreiber auch dazu angehalten, in ihrer Datenschutzerklärung über den Einsatz von Google AdWords zu informieren. Sie müssen dazu im Details darüber aufklären,

• dass sie Google AdWords verwenden,
• was Google AdWords mit ihren Daten macht,
• dass ihre Seite für den Einsatz von Google AdWords Cookies nutzt,
• dass ihre Webseite dafür IP-Adressen speichert und
• dass sie die erhobenen Daten an Google in die USA weiterreichen.

Zusätzlich sind Webseitenbetreiber verpflichtet, auf ihrer Webseite einen Cookie-Hinweis einzublenden, der Nutzer über die Speicherung von Cookies informiert. Damit User all diesen Maßnahmen nicht hilflos ausgeliefert sind, müssen sie es ihnen auch ermöglichen, der Datenerhebung und Datenspeicherung zu widersprechen. Ihre Datenschutzerklärung sollte daher ebenfalls zeigen,

• wie Nutzer ihre Cookies im Browser deaktivieren,
• wie sie in den Google Einstellungen interessenbezogene Werbung deaktivieren und
• was die Funktion „Do not track“ im Browser heißt.

Rechtsprechung zu Google AdWords

Bisher gibt es keine Rechtsprechung zur Datenschutzkonformität von Google AdWords. Der Europäische Gerichtshof (EuGH) hat jedoch am 19.10.2016 festgestellt, dass IP-Adressen personenbezogene Daten darstellen, wenn Webseitenbetreiber über die Mittel verfügen, die hinter der IP-Adresse stehend Person zu identifizieren (C-582/14).Das Landgericht Berlin hat zudem am 06.09.2007 entschieden, dass Webseitenbetreiber IP-Adressen nicht ohne die Zustimmung von Nutzern speichern dürfen (Az. 23 S 3/07). Das Amtsgericht München hat das etwas differenzierter bewertet: Es hat am 30.09.2008 entschieden, dass dynamische IP-Adressen keine personenbezogenen Daten darstellen, da diese nur einen Internetanschluss identifizieren lassen. Sie lassen keinen Nutzer direkt ausmachen (Az. 133 C 5677/08).

21. Datenchutzerklärung und Google Analytics

Google Analytics ist ein Tool zur Analyse des Nutzerverhaltens auf Webseiten. Webseitenbetreiber sammeln und bewerten darüber Parameter wie Useraktivität und Verweildauer. Auf diese Weise können sie Rückschlüsse auf die Funktionalität ihrer Seite ziehen und diese optimieren.

Das kritisieren Datenschützer bei Google Analytics

Google Analytics sammelt und speichert umfangreiche User-Daten, u. a. auch IP-Adressen. Dabei werden diese, zum Teil personenbezogenen Daten von Deutschland in die USA weitergeleitet. Welche Daten genau Google dabei erhebt und speichert, ist nicht eindeutig. Denn: In den Datenschutzbestimmungen von Google finden sich nur wenige konkrete Aussage dazu, welche Daten es von Webseitenbesuchern überträgt und sammelt.

So können Webseitenbetreiber Google Analytics rechtssicher nutzen

Damit Webseitenbetreiber Google Analytics rechtssicher nutzen können, müssen sie eine Reihe von Maßnahmen vornehmen:

1. Vertrag zur Auftragsdatenverarbeitung abschließen

Webseitenbetreiber müssen mit Google einen Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG abschließen. Dieser regelt, dass und wie Seitenbetreiber ihre Daten an Google weitergeben und wie dies die Daten verarbeitet.

2. IP-Anonymisierung vornehmen

Damit Webseitenbetreiber nicht weiter vollständige IP-Adresse speichern, bietet Google seit kurzem die Funktion „anonymizeIp“ an. Diese verkürzt die IP-Adresse und lässt so keinen konkreten Personenbezug mehr herstellen. Deutsche Datenschützer stufen IP-Adressen als personenbezogene Daten ein, die Webseitenbetreiber jedoch nur der Einwilligung der User erheben dürfen. Verkürzen sie die IP automatisch, dürfte es sich nicht mehr um personenbezogene Daten handeln.

3. Datenschutzerklärung aktualisieren

Webseitenbetreiber müssen ihre Datenschutzerklärung anpassen. Dazu müssen sie

• Nutzer über die Erhebung, Speicherung und Verarbeitung ihrer Daten durch Google Analytics aufklären,
• auf die Auftragsdatenverarbeitung mit Google hinweisen,
• auf die Anonymisierung der IP über Googles „anonymizeIp“ verweisen und
• User auf die Möglichkeit hinweisen, der Datenerhebung zu widersprechen.

Rechtsprechung zu Google Analytics

Das Landgericht Hamburg hat am 10.03.2016 entschieden: Webseitenbetreiber dürfen Google Analytics nur nutzen, wenn sie in ihrer Datenschutzerklärung ausführlich darüber informieren, dass und wie sie über Analytics User-Daten erheben und speichern (312 O 127/16). Das Gericht hat diesen Beschluss am 09.08.2016 in einem Urteil bestätigt (Az. 406 HKO 120/16) und noch einmal klar gemacht: Klären Webseitenbetreiber nicht über die Datennutzung über Google Analytics auf, erfüllen sie nicht die Anforderungen des deutschen Datenschutzes.

22. Google Analytics Auftragsdatenverarbeitung

23. Google Analytics Demografische Merkmale

24. Google Analytics IP-Anonymisierung und Datenschutzerklärung

Google Analytics ermöglicht es Webseitenbetreibern, zahlreiche Daten zu ihren Besuchern zu sammeln und zu bewerten. Das wiederum lässt sie ihre Seite optimieren. Bisher haben Webseitenbetreiber in diesem Rahmen auch die IP-Adresse von Nutzern abgespeichert und diese an Google in die USA weitergeleitet. Über die neue Funktion „anonymizeIp“ in Google Analytics können sie IPs seit kurzem anonymisieren.

IP-Adressen und Datenschutz

Datenschützer gehen davon aus, dass IP-Adressen als personenbezogene Daten einzustufen sind. Diese dürfen Seitenbetreiber jedoch nur erheben, wenn sie die Zustimmung der User dazu haben. In der Regel liegt diese Einwilligung jedoch nicht vor, da dies einen enormen Zusatzaufwand für die Seitenbetreiber bedeuten würde. Die Erhebung der IP-Adressen widerspricht daher nach Ansicht von Datenschützern deutschen Bestimmungen.

So können Webseitenbetreiber rechtssicher IP-Adressen erheben

Um diese Problematik zu lösen, hat Google vor kurzem die Funktion „anonymizeIp“ bei Google Analytics hinzugefügt. Webseitenbetreiber können jetzt die IP-Adressen ihrer Besucher verkürzen. Die Funktion löscht die letzten 8 Bit der IP-Adresse, so dass diese verkürzt und damit anonymisiert ist. Das heißt in der Praxis: Seitenbetreiber können zwar nach wie vor grob sehen, woher ihre Besucher kommen. Eine genaue regionale Zuordnung ist jedoch nicht mehr möglich.

Um den Datenschutz zu wahren, müssen Seitenbetreiber diesen Vorgang in ihrer Datenschutzerklärung aufführen. Sie müssen darauf verweisen, dass sie die Funktion „anonymizeIp“ verwenden.

Rechtsprechung zu Google Analytics IP-Anonymisierung

Der Europäische Gerichtshof hat am 19.10.2016 festgestellt, dass IP-Adressen personenbezogene Daten darstellen, wenn Seitenbetreiber in der Lage sind, die hinter der IP-Adresse stehende Person zu identifizieren (C-582/14). Am 06.09.2007 hat zudem das Landgericht Berlin entschieden, dass Webseitenbetreiber IP-Adressen nicht ohne die Einwilligung von Usern speichern dürfen (Az. 23 S 3/07).

Die Rechtsprechung zeigt damit: Seitenbetreiber müssen auf die neue Analytics-Funktion „anonymizeIp“ zurückgreifen und die IPs ihrer Nutzer verkürzen, um sich vor Abmahnungen zu schützen.

25. Google Analytics Remarketing und Datenschutzerklärung

26. Google Conversion-Tracking und Datenschutzerklärung

27. Datenschutzerklärung und Google Maps

Google Maps ist ein Online-Kartendienst, über den Nutzer Straßenkarten sowie Luft- und Satellitenbilder aufrufen können. Gleichzeitig können sie darüber Routen planen und durch die Freigabe ihres Standorts ihre eigene Position ermitteln und Dritten anzeigen. Webseitenbetreiber nutzen Google Maps oftmals, um Usern den Sitz ihres Unternehmens auf der Straßenkarte anzuzeigen.

Darum ist Google Maps datenschutzrechtlich bedenklich

Google erfasst jede Aktivität, die User über Maps vornehmen. Das können bestimmte Orte, berechnete Routen, Geschäfte und Institutionen sein, die sich Nutzer über Maps anschauen. Diese Daten erhebt, speichert und verarbeitet Google.Dazu setzt Google ein so genanntes NID-Cookie. Das geschieht auch, wenn User nicht direkt auf Google Maps unterwegs sind, sondern auf einer Webseite, die Google Maps über eine API eingebunden hat. Auch hier sammelt und verwendet Google alle Daten der Funktionen von Google Maps, auf die User zurückgreifen.

Welche Daten das genau sind, ist nicht eindeutig bestimmbar. Die Datenschutzbestimmungen von Google geben nur einen kleinen Einblick in den Umgang mit User-Daten. Sie zeigen nicht konkret, welche Daten Google über Maps erhebt und verarbeitet. Nutzen User Funktionen wie Google Maps Echtzeit und geben sie somit ihren Live-Standort frei, gehen Datenschützer davon aus, dass Google personenbezogene Daten sammelt. Webseitenbetreiber, die Google Maps auf ihrer Seite eingebunden haben, leiten daher Daten an Google in die USA weiter, ohne die Zustimmung der User dafür zu haben.

Können Webseitenbetreiber Google Maps datenschutzkonform verwenden?

Damit Webseitenbetreiber Google Maps rechtssicher in ihre Webseite einbinden können, ist eine Einwilligung der Nutzer zu empfehlen. Die Mindestanforderung ist aber, auf die Nutzung von Google Maps in der Datenschutzerklärung ausführlich hinzuweisen. Sie sollten Usern in der Datenschutzerklärung in möglichst einfacher Sprache erklären, wie, warum und in welchem Umfang sie Daten für die Verwendung von Google Maps erheben und an Google in die USA weiterleiten. Verweist ihre Datenschutzerklärung nicht oder nur unzureichend auf den Einsatz von Google Maps, drohen ihnen Bußgelder von bis zu 50.000 Euro.

Rechtsprechung zur Datenschutzerklärung und Google Maps

Zur Frage "Datenschuterklärung und Google Maps" gibt es bisher – soweit ersichtlich – keine Rechtsprechung. Das Landgericht Hamburg hat jedoch bereits zwei Mal entschieden, dass Webseitenbetreiber Google Analytics nur nutzen dürfen, wenn sie in ihrer Datenschutzerklärung ausführlich darüber informieren. Tun sie das nicht, verstoßen sie gegen deutsches Datenschutzrecht (Urteile vom 10.03.2016 und 09.08.2018, Az. 312 O 127/16 und 406 HKO 120/16.

Diese Urteile könnten analog auf den Einsatz von Google Maps Anwendung finden. Das heißt für die Praxis: Klären Webseitenbetreiber in ihrer Datenschutzerklärung User nicht darüber auf, wie und warum sie Google Maps nutzen, verstoßen sie gegen deutsche Datenschutzbestimmungen.

28. Google reCAPTCHA und Datenschutzerklärung

Google reCAPTCHA ist ein Dienst von Google, mit dem Webseitenbetreiber überprüfen können, ob es sich bei einem User auf ihrer Seite um einen Menschen oder einen Bot handelt. Das soll sicherstellen, dass keine Bots automatisiert auf der Webseite interagieren.

Es gibt verschiedene Varianten von Google reCAPTCHA:

• No CAPTCHA reCAPTCHA
  User müssen per Klick ein Häkchen in eine Checkbox setzen, die mit „Ich bin kein Roboter“ betitelt ist

• Image reCAPTCHA
  User sehen 9 Bildausschnitte, von denen einige dieselben Inhalte aufweisen (beispielsweise Straßenschilder). Diese sollen sie markieren.

• Text reCAPTCHA
  Nutzer müssen einen einblendeten Text in ein Feld eingeben.

• Invisible reCAPTCHA
  User müssen keine Aktion mehr selbst durchführen. Google überprüft im Hintergrund der Seite selbst, ob es sich bei dem User um einen Menschen oder einen Bot handelt. Dazu verfolgt Google u. a. Cursor-Bewegungen und die IP-Adresse des Nutzers.

Das ist datenschutzrechtlich bedenklich bei Google reCAPTCHA

Während der Überprüfung durch reCAPTCHA nehmen Webseitenbetreiber und damit Google eine Reihe von Daten des Users auf. So sammelt Google reCAPTCHA u. a. Angaben zur

• Seite, die reCAPTCHA einbindet,
• IP-Adresse des Nutzers,
• eingestellten Sprache im Browser,
• Bildschirm- und Fensterauflösung,
• Zeitzone und
• Installation von Browser Plugins.

Darüber hinaus überprüft Google reCAPTCHA auch, ob im Browser des Users bereits ein Cookie angelegt ist. Ist das nicht der Fall, legt Google ein Cookie an. Das heißt für die Praxis: Google erstellt für reCPATCHA einen Fingerabdruck der User, der auch auf anderen Seite wiedererkannt wird. Damit ist es Google möglich, Nutzer seitenübergreifend zu tracken. Das ist selbst dann möglich, wenn die IP-Adresse wechselt oder Nutzer die Cookies löschen.

Google reCAPTCHA rechtssicher verwenden

Webseitenbetreiber, die Google reCAPTCHA verwenden, müssen in ihrer Datenschutzerklärung ausführlich darüber aufklären, wie und warum sie den Dienst einsetzen. Dabei müssen sie aufführen, welche Daten Google für den Einsatz von reCAPTCHA soweit ersichtlich erhebt und speichert. Dazu zählt auch ein Hinweis darauf, dass Google ein Cookie setzt, um User seitenübergreifend tracken zu können. Das gibt das Telemedienrecht vor. Darüber hinaus müssen Webseitenbetreiber auf die Datenschutzbestimmungen von Google reCAPTCHA hinweisen.

Rechtsprechung zu Google reCAPTCHA

Das Oberlandesgericht Frankfurt hat entschieden, dass es ausreicht, wenn Seitenbetreiber Nutzer mittels Opt-Out-Verfahren über den Einsatz von Cookies informieren (Urteil vom 17.12.2015, Az. 6 U 30/15). Blenden sie also einen Cookie-Hinweis ein, der auf die Datenschutzerklärung verweist, die wiederum den Einsatz von Google reCAPTCHA erklärt, und können User diesen per Klick bestätigen, kommen sie ihrer rechtlichen Pflicht nach.

Ob dieses Vorgehen ausreichend ist, klärt derzeit der Europäische Gerichtshof (EuGH). Der Bundesgerichtshof hat diesem die Frage vorgelegt, ob ein einfacher Opt-Out beim Cookie-Hinweis ausreichend ist. Eine Entscheidung steht hier noch aus.

Darüber hinaus hat der EuGH festgestellt, dass IP-Adressen personenbezogene Daten darstellen, wenn Webseitenbetreiber auf diese Weise die hinter der IP-Adresse stehenden Personen identifizieren können (Urteil vom 19.10.2016, Az. C-582/14). Sind Google oder Webseitenbetreiber dazu in der Lage, erheben sie mittels des reCAPTCHAS personenbezogene Daten. Sie benötigen dafür eine Einwilligung der User. Das Landgericht Berlin hat am 06.09.2007 bestätigt, dass Webseitenbetreiber die Zustimmung der User benötigen, um ihre IP-Adressen zu speichern (Az. 23 S 3/07).

Das Amtsgericht München sieht das etwas differenzierter: In seiner Entscheidung vom 30.09.2008 hat das Gericht entschieden, dass dynamische IP-Adressen keine personenbezogenen Daten darstellen, da sie nicht den Nutzer selbst identifizieren lassen, sondern lediglich den Internetanschluss (Az. 133 C 5677/08). Dieser Ansicht nach könnte die Zustimmung der User für die Speicherung von dynamischen IP-Adressen nicht notwendig sein.

29. Google Web Fonts und Datenschutzerklärung

30. Google+ Plugin und Datenschutzerklärung

31. Hinweis zu Auskunft, Sperrung, Berichtigung und Löschung

32. Datenschutzerklärung und Hotjar

33. Datenschutzerklärung und Instagram Plugin

Instagram ist ein Online-Dienst zum Teilen von Fotos und Videos. User können in dem Netzwerk anderen Usern folgen, Bilder und Videos posten sowie Medien von anderen Nutzern liken und kommentieren. Unternehmen verwenden Instagram, um Einblicke in den Firmenalltag zu geben oder neue Produkte zu präsentieren. Sie nutzen das Netzwerk damit als Marketingkanal, um ihre Zielgruppe mit interessanten Inhalten zu bedienen und sie so zu Followern und letztendlich zu Kunden zu machen.

Diese Daten sammelt Instagram

Instagram erhebt und speichert die Daten, die User bei der Anmeldung angeben. Dazu zählen u. a. der Name, der Nutzername und die E-Mail. Darüber hinaus speichert es alle Aktivitäten, die User im Netzwerk vornehmen. Das können Likes, Kommentare, geteilte Videos und Bilder sowie das Abonnieren von anderen Profilen sein. Welche Daten Instagram genau speichert und in welchem Umfang es diese sammelt, gibt das Netzwerk nicht konkret an. Es nutzt die gewonnenen Daten, um Usern personalisierte Vorschläge zum Abonnieren von neuen Profilen zu machen sowie um ihnen passende Werbeanzeigen einzublenden.

Datenschutzprobleme bei Instagram

Instagram leitet personenbezogene Daten an Werbekunden weiter. Das darf das Unternehmen jedoch nur, wenn es dafür eine informierte und freiwillige Einwilligung der Nutzer hat. In anderen Worten: Usern muss klar sein, dass Instagram ihre Daten an jemanden anderes weitergibt. Instagram versucht zwar in seinen Nutzungsbedingungen, diese Zustimmung einzuholen. Diese bleiben jedoch vage formuliert, so dass sich kaum ein Nutzer bewusst sein dürfte, was mit seinen Daten passiert.
Dritte erreichen die personenbezogenen Daten der User über APIs, von Instagram zur Verfügung gestellte Schnittstellen.Viele dieser Schnittstellen hat Instagram jetzt jedoch abgeschaltet. Die restlichen APIs haben nun eine Begrenzung der Zugriffszahlen auf 200 pro Stunde. Damit hat Instagram auf eine Abmahnung der Verbraucherschutzzentrale reagiert.Haben Webseitenbetreiber das Social Plugin von Instagram auf ihrer Seite implementiert, gibt dies automatisch Daten an das Netzwerk weiter, wenn User daraufklicken. Dabei handelt es sich um personenbezogene Daten wie die IP-Adresse der Nutzer, so dass Webseitenbetreiber eine Einwilligung für die Datenweitergabe benötigen. Dabei reicht es nicht aus, wenn sie in ihrer Datenschutzerklärung darauf hinweisen.

Instagram datenschutzkonform nutzen

Unternehmen, die Instagram rechtssicher nutzen wollen, müssen User auf deutsche Datenschutzbestimmungen hinweisen. Das können sie direkt in ihrem Instagram-Profil vornehmen oder dort einen Link zu den eigenen Datenschutzhinweisen auf der Webseite platzieren. In ihrer Datenschutzerklärung müssen sie Nutzer darauf hinweisen, dass und wie sie Instagram nutzen.
Implementieren Webseitenbetreiber das Social Plugin von Instagram, benötigen sie von Nutzern die Zustimmung, ihre Daten bei Klick auf die Bilder oder Videos an Instagram weiterzuleiten.Dies ist in der Praxis jedoch kaum möglich, so dass Seitenbetreiber auf alternative Plugins wie das eRecht Safe Sharing Tool zurückgreifen sollten. Dies lässt Nutzer Instagram-Content liken und teilen, ohne dass sie dabei ihre Daten an das Netzwerk weiterleiten

Rechtsprechung zu Instagram

Das Landgericht (LG) Düsseldorf hat festgestellt: Der auf Webseiten implementierte Like-Button von Facebook erfüllt nicht die Anforderungen an den deutschen Datenschutz (Urteil vom 09.03.2016, Az. 12 O 151/15). Derzeit muss sich der Europäische Gerichtshof mit der Frage auseinandersetzen, ob der Button zulässig ist. Die Entscheidung dazu steht noch aus. Das Urteil des LG Düsseldorf bezog sich zwar konkret nur auf den Facebook Like-Button. Die Entscheidung lässt sich aber auf alle Social Plugins übertragen. Denn: Auch bei Instagram sendet das Plugin ungefragt Nutzerdaten weiter.

34. Datenschutzerklärung und Klarna

Klarna ist ein schwedischer Zahlungsdienstleister im E-Commerce. Das Unternehmen wickelt den Zahlungsverkehr für Shopbetreiber ab. Auf diese Weise müssen diese Risiken für eventuelle Zahlungsausfälle nicht selbst tragen.

Diese Daten verarbeitet Klarna

Damit Klarna den Zahlungsverkehr für Kunden übernehmen kann, erhebt das Unternehmen verschiedene Daten von ihnen. Dazu zählen

• Name
• Adresse,
• Geburtsdatum,
• Geschlecht,
• E-Mail-Adresse,
• Telefonnummer und
• IP-Adresse.

Darüber hinaus erhält Klarna alle notwendigen Informationen zu der beim Shopbetreiber eingegangenen Bestellung. Dazu zählen zum Beispiel die Anzahl der Artikel, die Artikelnummer und der Rechnungsbetrag.

Klarna datenschutzkonform verwenden

Damit Webseitenbetreiber Klarna datenschutzkonform in ihren Bestellprozess einbinden, müssen sie User in ihrer Datenschutzerklärung darüber aufklären, zu welchem Zweck sie welche Daten an Klarna weitergeben.Darüber hinaus müssen sie Nutzer auch darauf hinweisen, dass sie die Verwendung ihrer personenbezogenen Daten gegenüber Klarna widerrufen können. Die Daten, die Klarna zur Vertragserfüllung – also zur Zahlungsabwicklung – zwingend benötigt – darf Klarna jedoch weiter verarbeiten, nutzen und übermitteln. Zudem müssen Händler ihren Kunden erklären, dass sie bei Klarna jederzeit Auskunft über ihre gespeicherten personenbezogenen Daten einholen können. Dieses Recht gewährt ihnen das Bundesdatenschutzgesetz.

35. Klick-Tipp und Datenschutzerklärung

Klick-Tipp ist ein E-Mail-Marketing-Tool, über das Webseitenbetreiber Mailkampagnen organisieren und durchführen können.

Darum ist Klick-Tipp datenschutzrechtlich eine Herausforderung

Webseitenbetreiber erheben über Klick-Tipp verschiedene, zum Teil personenbezogene Daten von Usern, um ihre Mailkampagnen zielgerichtet ausspielen zu können. Dabei müssen sie Gesetzesvorgaben aus dem Bundesdatenschutzgesetz (BDSG), dem Telemediengesetz (TMG) und ab dem 25. Mai aus der Datenschutzgrundverordnung (DSGVO) beachten, um nicht abgemahnt zu werden.

So können Webseitenbetreiber Klick-Tipp datenschutzkonform einsetzen

Damit Webseitenbetreiber über Klick-Tipp rechtmäßig E-Mails versenden dürfen, benötigen sie eine Einwilligung der User in den Versand – und damit in die Speicherung und Verwendung ihrer Daten. Denn: Bei Anmeldungen für den Empfang von Newslettern müssen User personenbezogene Daten wie ihre E-Mail angeben. Die Einwilligung gewährt Webseitenbetreibern, dass sie diese Daten erheben und verwenden dürfen. Fehlt diese Einwilligung, ist die E-Mail-Werbung rechtswidrig. Gleichzeitig sollten Seitenbetreiber Nutzer in der Einwilligung auf ihr Widerspruchsrecht hinweisen.Daneben müssen Webseitenbetreiber in ihrer Datenschutzerklärung User über den Newsletter-Versand über Klick-Tipp informieren. Darin müssen sie ausführlich aufklären, welche Daten sie warum erheben und wie sie diese weiterverarbeiten. Bisher gibt das noch das TMG in § 13 Abs. 1 vor.Ab dem 25.Mai übernimmt dann Art. 13 Abs. 1 DSGVO: Das Gesetz schreibt ab diesem Zeitpunkt vor, dass Unternehmen beim Newsletter-Marketing über Anbieter wie Klick-Tipp in der Datenschutzerklärung

• über den Zweck, für den sie die personenbezogenen Daten verarbeiten wollen, informieren,
• die Rechtsgrundlage für die Datenverarbeitung – Art. 6 Abs. 1 UAbs. 1 DSGVO – nennen,
• über die Dauer, wie lange sie die personenbezogenen Daten speichern wollen, informieren und
• sie auf ihr Recht hinweisen, die Einwilligung jederzeit widerrufen zu können,
  müssen.

Zusätzlich müssen Webseitenbetreiber mit Klick-Tipp einen Vertrag zur Auftragsdatenverarbeitung abschließen. Bisher regelt § 11 BDSG dies, die DSGVO übernimmt jedoch im Mai auch hier. Ein Vertrag zur Auftragsdatenverarbeitung stellt sicher, dass sich E-Mail-Marketing-Tools wie Klick-Tipp beim Versand von Newslettern an die strengen Vorgaben des Datenschutzrechts halten. Der Vertrag muss u. a.

• den Gegenstand und die Dauer der Datenverarbeitung,
• die Art und den Zweck der Verarbeitung,
• die Art der personenbezogenen Daten,
• die Kategorien der betroffenen Personen und
• die Pflichten und Rechte der Verantwortlichen

aufführen. Entspricht die Vereinbarung zur Auftragsdatenverarbeitung nicht den Vorgaben der DSGVO, begehen Webseitenbetreiber eine Ordnungswidrigkeit. Ihnen droht dann gemäß Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent ihres weltweiten Umsatzes des vergangenen Geschäftsjahres.Daneben müssen Seitenbetreiber die Auftragsdatenverarbeitung mit Klick-Tipp in ihre Datenschutzerklärung aufnehmen. Sie müssen Nutzer dabei informieren, dass sie mit Klick-Tipp einen Vertrag zur Auftragsdatenverarbeitung abschlossen haben und erklären, was das für sie und ihre Daten bedeutet.

36. Datenschutzerklärung und Kommentarfunktion

37. Kommentarfunktion mit Abonnieren von Kommentaren

38. Kommentarfunktion mit Angabe der E-Mail-Adresse

39. Kommentarfunktion mit Speicherung der IP-Adresse

40. Datenschutzerklärung und Kontaktformular

Kontaktformular und Datenschutzerklärung

Ein Kontaktformular bietet Usern auf Webseiten die Möglichkeit, auf einfache Weise mit dem Seitenbetreiber in Kontakt zu treten. In der Regel müssen Nutzer dabei ihren Namen und ihre E-Mail-Adresse (also personenbezogene Daten) angeben, um eine Nachricht schreiben zu können bzw. vom Seitenbetreiber auch eine Antwort zu erhalten.

Die DSGVO und das Kontaktformular

Fragen Seitenbetreiber im Kontaktformular Informationen wie den Namen oder die E-Mail-Adresse von Usern ab, erheben sie personenbezogene Daten. Die DSGVO sieht nun vor, dass Kontaktformulare bei denen personenbezogene Daten übertragen werden gesichert werden müssen. Das betrifft zumindest die SSL-Verschlüsselung des Kontaktformulars. Zusätzlich muss der Umgang mit den Nutzerdaten aus dem Kontaktformular in der Datenschutzerklärung auf Ihrer Webseite im Detail erläutert werden.

Kontaktformular datenschutzkonform in die Webseite einbinden:

Damit Seitenbetreiber ein Kontaktformular rechtssicher einbinden, müssen sie verschiedene Vorgaben beachten:

• Datensparsamkeitsprinzip

Webseitenbetreiber sollten im Kontaktformular nur die personenbezogenen Daten erheben, die für die Bearbeitung der Anfrage unbedingt nötig sind. In der Regel sind das Name und E-Mail-Adresse des Anfragenden. Diese Felder sollten Seitenbetreiber daher als Pflichtfelder kennzeichnen. Die Telefonnummer dürfte nur in den seltensten Fällen notwendig sein, um die Anfrage zu bearbeiten, diese sollte daher nicht als Pflichtfeld gekennzeichnet sein Es steht Seitenbetreibern frei, weitere Daten im Kontaktformular abzufragen, ohne diese als Pflichtangaben zu markieren. Auf diese Weise können Nutzer selbst entscheiden, ob sie diese Daten freiwillig angeben möchten

• Zweckbindungsprinzip

Seitenbetreiber dürfen die personenbezogenen Daten, die sie von Usern erheben, nur für den im Kontaktformular angegebenen Zweck verwenden. Sprich: zur Beantwortung der Anfrage des Users. Ist die Anfrage abgeschlossen, dürfen Seitenbetreiber diese nicht für weitere Zwecke verwenden. Sie müssen die Daten löschen. Sie dürfen diese nur weiter speichern oder verwenden, wenn ihnen das Gesetz dies vorgibt.

• Transparenzgebot

Webseitenbetreiber müssen User darüber informieren, wie und in welchem Umfang sie die personenbezogenen Daten erheben. In der Praxis empfiehlt es sich dabei, per Opt-In die Einwilligung der User dafür einzuholen. Zusätzlich sollten sie das Kontaktformular mit einem Datenschutzhinweis versehen, der auf die Datenschutzerklärung verlinkt.

• Verschlüsselungspflicht

Darüber hinaus müssen Webseitenbetreiber die über das Kontaktformular erhobenen Daten verschlüsselt übersenden. Diese Pflicht gibt das Telemediengesetz in § 13 Abs. 7 vor. Dazu sollten sie ein anerkanntes Verschlüsselungsverfahren wie Transport Layer Security (TLS) verwenden. Kommen Seitenbetreiber dem nicht nach, begehen sie eine Ordnungswidrigkeit. Die DSGVO sieht erhebliche Bußgelder für Datenschutzverstöße vor.

In ihrer Datenschutzerklärung sollten Sie zum Kontaktformular darüber informieren,

• dass sie über das Kontaktformular personenbezogene Daten erheben,
• welche Daten genau sie erheben,
• warum sie diese Daten erheben,
• was sie mit den Daten machen und
• wie lange sie die Daten speichern.

Urteile zu Kontaktformularen und Datenschutzerklärung

Erwähnen Webseitentreiber in ihrer Datenschutzerklärung nicht, wie und warum sie über das Kontaktformular personenbezogene Daten erheben, begehen sie einen abmahnbaren Wettbewerbsverstoß. Das hat das Oberlandesgericht Köln am 11.03.2016 entschieden (Az. 6 U 121/15). Das Landgericht Berlin entschied in einem ähnlichen Fall jedoch genau andersherum (Urteil vom 04.02.2015, Az. 52 O 394/15). Ein höchstrichterliches Urteil liegt hierzu bisher nicht vor.

41. LinkedIn Plugin und Datenschutzerklärung

LinkedIn ist ein Karrierenetzwerk, das Mitglieder geschäftliche Kontakte knüpfen lässt. Dazu können sie Profile anlegen und so nach Stellenausschreibungen, Projekten und Mitarbeitern Ausschau halten.

Diese Daten sammelt und nutzt LinkedIn

LinkedIn sammelt all die Daten, die Nutzer bei der Anmeldung und in ihrem Profil angeben. Dazu gehören unter anderem Name, E-Mail-Adresse, Kontakte, Ausbildung, Profilfoto und Geburtsdatum. Darüber hinaus speichert LinkedIn Daten zu allen Aktivitäten, die User im Netzwerk vornehmen. Dazu zählen u. a. veröffentlichte Beiträge, Gefällt-mir-Angaben und Gruppenmitgliedschaften. LinkedIn lässt Nutzer selbst entscheiden, ob ihre Inhalte dahingehend ausgewertet werden sollen, um ihnen personalisierte Werbung anzuzeigen.

Entscheiden sich Mitglieder dagegen, sehen sie zwar immer noch Werbung, jedoch keine mehr auf sie zugeschnittene Anzeigen. Nach der Übernahme durch Microsoft hat LinkedIn zudem seine Datenschutzerklärung angepasst. Seitdem können externe Dienstleister und Partnerunternehmen auf die Profile der Mitglieder zugreifen. Darüber hinaus analysiert künstliche Intelligenz die Aktivitäten der User, um ihnen so ein individualisiertes Erlebnis bieten zu können.

Datenschutzprobleme bei LinkedIn

Unternehmen, die LinkedIn nutzen, müssen deutsche Datenschutzbestimmungen erfüllen. Dazu müssen sie in ihrem LinkedIn-Profil entsprechende Datenschutzhinweise platzieren oder dort einen Link zu den Datenschutzhinweisen auf ihrer Webseite zur Verfügung stellen. Die Datenschutzerklärung wiederum muss User ausführlich darüber informieren, dass die gemachten Datenschutzhinweise auch für das Netzwerk LinkedIn gelten.

Datenschutzrechtlich problematisch ist die Einbindung des Share-on-LinkedIn- sowie des Follow-Company-Plugins auf der eigenen Webseite. Diese bauen automatisch eine Verbindung zum LinkedIn-Server auf, wenn User daraufklicken. Das verstößt gegen deutsches Datenschutzrecht, da die Plugins auf diese Weise personenbezogene Daten an LinkedIn senden, ohne über die Einwilligung der User zu verfügen. Ein Hinweis in der Datenschutzerklärung dazu reicht nicht aus.

Webseitenbetreiber sollten daher lieber auf alternative Plugins wie das eRecht24 Safe Sharing Tool setzen, das datenschutzkonform LinkedIn-Inhalte teilen lässt.

Rechtsprechung zu LinkedIn

Das Landgericht Düsseldorf hat am 09.03.2016 entschieden, dass der auf Webseiten implementierte Facebook Like-Button gegen deutschen Datenschutzbestimmungen verstößt (Az. 12 O 151/15). Die Entscheidung bezog sich zwar nur auf den Like-Button von Facebook, sie lässt sich jedoch auf jedes andere soziale Netzwerk übertragen. Denn: Der Share- und Follow-Button von LinkedIn setzt den gleichen Datentransfer in Gang wie der Facebook Like-Button. Der Europäische Gerichtshof hat derzeit die Frage vorliegen, ob Social Plugins wie von Facebook, Google+ und LinkedIn zulässig sind. Die Entscheidung dazu steht noch aus.

42. MailChimp und Datenschutzerklärung

Mailchimp ist ein cloudbasiertes Tool für das Newsletter Management. User können darüber Newsletter planen, erstellen, verschicken und verwalten.

Darum ist Mailchimp datenschutzrechtlich eine Herausforderung

Um Newsletter zu versenden, müssen Webseitenbetreiber zunächst E-Mail-Adressen von Empfängern sammeln. Diese zählen zu den personenbezogenen Daten und gelten daher als besonders schützenswert. Das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG) und ab dem 25. Mai auch die Datenschutz-Grundverordnung (DSGVO) legen Seitenbetreibern daher eine Reihe von Pflichten auf.

Mailchimp datenschutzkonform einsetzen

Um über Mailchimp Newsletter gesetzeskonform zu versenden, benötigen Webseitenbetreiber die Zustimmung der User in den Versand. Das „OK“ erlaubt es ihnen, die E-Mail-Adressen der User zu erheben, zu speichern und für den Newsletter-Versand zu verwenden. Diese Einwilligung erhalten Webseitenbetreiber über einen zweistufigen Prozess: Zunächst müssen Nutzer ihre E-Mail-Adresse angeben und per Opt-In in den Newsletter-Versand einwilligen. Darin sollten sie auch darauf hinweisen, dass User der Nutzung ihrer Daten und damit dem Newsletter-Versand jederzeit wieder widersprechen können. Danach erhalten Nutzer eine E-Mail, die sie bestätigen müssen, um den Versand rechtskräftig zu machen. Dieses Vorgehen nennt sich Double Opt-In. Verschicken Webseitenbetreiber E-Mail-Werbung ohne Zustimmung der User, ist diese rechtswidrig.

Zusätzlich sind Webseitenbetreiber verpflichtet, die Datenerhebung und -verwendung in Form des Newsletter-Versandes über Mailchimp in ihrer Datenschutzerklärung aufzuführen. Sie müssen dabei ausführlich darüber aufklären, welche Daten sie warum erheben und wie sie diese verwenden. Das gibt derzeit noch das TMG in § 13 Abs. 1 vor. Ab dem 25. Mai schreibt dann Art. 13 Abs. 1 DSGVO vor, dass Newsletter-Versender in der Datenschutzerklärung User darüber informieren müssen,

• wofür sie ihre personenbezogenen Daten verarbeiten,
• wie lange sie ihre Daten speichern wollen,
• welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
• dass sie die Einwilligung jederzeit widerrufen können.

Darüber hinaus müssen Seitenbetreiber mit Mailchimp einen Vertrag zur Auftragsdatenverarbeitung abschließen. Das gibt § 11 BDSG vor. Am 25. Mai übernimmt dann auch hier die DSGVO. Der Prozess nennt sich dann „Auftragsverarbeitung“. Der Vertrag dazu muss u. a.

• den Gegenstand und die Dauer der Datenverarbeitung,
• Art und Zweck der Datenverarbeitung,
• die Art der personenbezogenen Daten,
• die Kategorien der Betroffenen und
• die Pflichten und Rechte der Verantwortlichen

nennen. Kommen Newsletter-Versender diesen Pflichten nicht nach, drohen ihnen empfindliche Strafen. Gemäß Art. 83 Abs. 4 lit. a DSGVO erwartet sie dann ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent ihres weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Ist der Vertrag zur Auftragsverarbeitung mit Mailchimp geschlossen, müssen Newsletter-Versender dies in ihrer Datenschutzerklärung aufführen. Sie müssen User informieren, dass sie einen Vertrag zur Auftragsverarbeitung mit Mailchimp geschlossen haben und ihnen erklären, was das für sie und ihre personenbezogenen Daten bedeutet.

Rechtsprechung zu Mailchimp

Der Bundesgerichtshof (BGH) hat am 10.02.2011 entschieden, dass das Double-Opt-In-Verfahren geeignet ist, um die Einwilligung von Usern in den Empfang von Werbemails einzuholen (Az. I ZR 164/09). Das Oberlandesgericht (OLG) München widersprach der höchstrichterlichen Rechtsprechung am 27.09.2012 jedoch. Es kam zu dem Schluss, dass die Bestätigungsmail im Double-Opt-In-Verfahren bereits eine unzumutbare Belästigung gemäß § 7 Abs. 2 Nr. 2 UWG darstellen kann (Az. 29 U 1682/12).

Das OLG Düsseldorf wiederum kam am 17.03.2016 zu dem Ergebnis, dass die E-Mail an den User notwendig ist, um die Einwilligung per Double-Opt-In zu bestätigen (Az. I-15 U 64/15). Damit schloss sich das Gericht dem BGH an. Webseitenbetreiber, die für ihre Newsletter auf Mailchimp setzen, sollten daher auf das Double-Opt-In-Verfahren setzen.

43. Datenschutzerklärung und Matomo (ehemals Piwik)

Matomo ist ein Open-Source Webanalyse-Tool, das Webseitenbetreiber das User-Verhalten auf ihren Seiten untersuchen lässt. Dazu erstellt die Software detaillierte Statistiken u. a. zu benutzten Suchmaschinen, Suchbegriffen, Browsern und zur Herkunft der User. Matomo – ehemals Piwik – gilt als die datenschutzsensiblere Variante von Google Analytics.

So datenschutzkonform ist Matomo

Matomo sammelt und speichert umfangreiche Daten zum Verhalten der Seitenbesucher. Die Vorgänger-Versionen unter dem Namen Piwik sammelten dabei u. a. auch die IP-Adresse und damit personenbezogene Daten der User. Webseitenbetreiber mussten daher stets die IP-Adresse über die Funktion „anynomizeIP“ verkürzen, um deutsche Datenschutzbestimmungen zu erfüllen. Matomo nimmt dies automatisch bereits in den Standardeinstellungen vor. Darüber hinaus benötigen Webseitenbetreiber auch keinen Vertrag zur Auftragsdatenverarbeitung mit Matomo. Denn: Alle gesammelten Daten bleiben auf einem Server von Matomo, so dass Dritte keinen Zugriff darauf erhalten.

So können Webseitenbetreiber Matomo datenschutzkonform nutzen

Webseitenbetreiber müssen in ihrer Datenschutzerklärung angeben, dass sie Matomo nutzen. Dazu sollten sie User aufklären, dass sie über Matomo Daten erheben, speichern und verarbeiten. Darüber hinaus müssen sie Nutzer darauf hinweisen, dass sie dieser Datenerhebung jederzeit widersprechen können. Dazu können Seitenbetreiber User auf eine Opt-Out-Möglichkeit oder die Browser-Funktion „Do not track“ verweisen.

Rechtsprechung zu Matomo

Das Landgericht Frankfurt hat am 18.02.2014 entschieden, dass beim Einsatz von Piwik ein fehlender Hinweis zur Widerspruchsmöglichkeit zur Erhebung der Daten einen Wettbewerbsverstoß darstellt (Az. 3-10 O 86/12). Diese Entscheidung gilt damit auch für Matomo. Webseitenbetreiber sind verpflichtet, auf die Widerspruchsmöglichkeit hinzuweisen.

44. Datenschutzerklärung und Newsletter allgemein

45. Datenschutzerklärung und Newsletter2Go

46. Nutzerregistrierung und Datenschutzerklärung

47. Paydirekt und Datenschutzerklärung

Paydirekt ist ein Online-Bezahlverfahren der deutschen Banken und Sparkassen. Im Unterschied zu anderen Payment-Diensten ist Paydirekt kein Drittanbieter. Es ist ein zentraler Softwaredienst zur Zahlungsabwicklung im Internet. Damit ist das Bezahlverfahren eine Zusatzfunktion eines Girokontos.

Diese Daten sammelt Paydirekt

Wollen sich Nutzer für Paydirekt registrieren, benötigen sie ein Girokonto mit Online-Banking bei einer der teilnehmenden Banken oder Sparkassen. Die Registrierung verlangt einen Nutzernamen und ein Passwort vom User. Danach können sie das Bezahlverfahren verwenden.
Nutzen User ihren Paydirekt-Account, um Zahlungen abzuwickeln, erhebt das Unternehmen verschiedenen Daten. Dazu gehören u. a.

• die Transaktionsdaten der Überweisung
• Informationen zum Warenkorb, die der Händler mit Paydirekt teilt, und
• die Lieferadresse der Online-Bestellung.

Diese Daten machen es Paydirekt möglich, die Transaktion einem Kunden genau zuzuordnen. Damit handelt es sich um personenbezogene Daten.

Das kritisieren Datenschützer bei Paydirekt

2017 nahmen zahlreiche deutsche Sparkassen eine AGB-Änderung vor, die ihren Kunden automatisch einen Account bei Paydirekt vorregistrierte. Widersprachen Kunden der AGB-Änderung nicht innerhalb von zwei Monaten, legten die Sparkassen die Accounts an. Dazu übertrugen sie die Stammdaten ihrer Kunden an Paydirekt.Dafür hätten die Sparkassen jedoch die Einwilligung ihrer Kunden benötigen können. Die Informierung über die AGB-Änderung zählt hierbei nicht als gültige Zustimmung der Kunden, da sie aus Sicht der Datenschützer nicht die Anforderungen des § 4a Abs. 1 Bundesdatenschutzgesetz (BDSG) erfüllt. Derzeit ermitteln daher die Landesdatenschutzbehörden in Hessen und Thüringen.

Paydirekt datenschutzkonform verwenden

Wollen Onlineshops Paydirekt als Zahlungsdienst datenschutzkonform anbieten, müssen sie Nutzer in ihrer Datenschutzerklärung ausführlich darüber informieren. Dazu müssen sie angeben, welche Daten (z. B. Zahlungsbetrag, Lieferadresse etc.) sie zu welchem Zweck an Paydirekt übermitteln.Shopbetreiber sollten User zudem darauf hinweisen, dass sie der Verwendung ihrer Daten jederzeit widersprechen können. Sie dürfen jedoch die Daten, die Paydirekt für die Zahlungsabwicklung zwingend benötigt, weiter an das Unternehmen übergeben.

48. PayPal und Datenschutzerklärung

PayPal ist ein Online-Bezahldienst, über den User Geld empfangen und senden können. Sie verbinden dazu ihr Girokonto oder ihre Kreditkarte mit PayPal. Der Paymentdienst gehört zu den am meisten genutzten Verfahren im Online-Handel.

Diese Daten sammelt PayPal

Wollen sich User bei PayPal anmelden, müssen sie dafür ein bestehendes Konto mit PayPal verbinden. Um ihren Account einzurichten, müssen sie Herkunftsland, Vor- und Nachname, E-Mail-Adresse sowie Passwort angeben.

Das kritisieren Datenschützer bei PayPal

PayPals Datenschutzerklärung umfasst derzeit 26 Seiten. Wollen Verbraucher diese lesen, benötigen sie dafür im Schnitt 24 Minuten. Verbraucherschützer bewerten diese daher als formal unverständlich. Darüber hinaus greift der Zahlungsdienstleister auf Formulierungen wie „gegebenenfalls“, „möglicherweise“ und „unter bestimmten Umständen“ zurück, so dass User nicht eindeutig erkennen können, wie PayPal ihre Daten tatsächlich verarbeitet.Aus der Datenschutzerklärung geht zudem hervor, dass sich PayPal das Recht einräumt, Nutzerdaten an mehrere hundert Drittunternehmen weiterzugeben. Das darf PayPal jedoch nur, wenn es dafür die Einwilligung der User für den konkreten Fall besitzt. Diese „Blanko-Einwilligung“ ist daher keine wirksame Rechtsgrundlage für die Weitergabe der Daten an Dritte.
Weiterhin gewährt PayPals Datenschutzerklärung Usern weder ein Widerrufs- noch ein Widerspruchsrecht gegen die Verarbeitung ihrer Daten.

Gesetzeskonforme Datenschutzerklärung mit Beginn der DSGVO?

Ab dem 25. Mai setzt PayPal auf eine neue Datenschutzerklärung. Diese ist dann nur noch 11 Seiten lang und damit deutlich übersichtlicher als die aktuelle. Darin fehlt dann die Liste der Drittunternehmen, an die PayPal derzeit noch Userdaten weitergibt. Hier ist daher offen, ob PayPal mit Beginn der DSGVO keine Daten mehr an diese weiterreicht. Laut der neuen Datenschutzerklärung nimmt PayPal das nur noch vor, wenn es eine konkrete Zustimmung der User dafür hat. Die ab dem 25. Mai geltende Erklärung gewährt Usern dann auch ein Widerspruchsrecht gegen die Datenverarbeitung, so wie es Art. 21 DSGVO vorschreibt.

PayPal datenschutzkonform verwenden

Wollen Shopbetreiber PayPal in ihrem Checkout datenschutzkonform verwenden, müssen sie User über den Einsatz von PayPal in ihrer Datenschutzerklärung informieren. Sie sind dabei verpflichtet Nutzern zu erklären, welche Daten sie zu welchem Zweck an PayPal weiterleiten. Daneben sollten sie sie auch darauf hinweisen, dass User der Verwendung ihrer Daten jederzeit widersprechen können. Das gilt jedoch nicht für die Daten, die PayPal zwingend benötigt, um Zahlungen abzuwickeln. Diese Daten dürfen Shopbetreiber weiter an PayPal übermitteln.

49. Datenschutzerklärung und Pinterest Plugin

Pinterest ist ein soziales Netzwerk für das Teilen von Bildern. Nutzer können in dem Netzwerk Bilder an virtuelle Pinnwände heften, teilen, liken und kommentieren. Unternehmen verwenden Pinterest als Marketingkanal, um Produkte zu promoten und ihre Zielgruppe mit für sie relevanten Inhalten zu bedienen.

Diese Daten sammelt Pinterest

Wollen sich Nutzer bei Pinterest anmelden, müssen ihre E-Mail-Adresse angeben sowie ein Passwort generieren. Melden sie sich über den Single Sign On für Facebook an, erhält Pinterest zudem Zugriff auf weitere Informationen wie E-Mail, Freundeslisten und Interessen (abhängig von den Privatsphäre-Einstellungen). Einmal im Netzwerk registriert, erhebt Pinterest Daten zu allen Aktivitäten, die User vornehmen. Das können u. a. erstellte Pinnwände, Likes und Kommentare sein. Kaufen Nutzer etwas über Pinterest, erfasst das Netzwerk Daten zu den Zahlungsinformationen, den Kontaktdaten (wie z. B. Anschrift und Telefonnummer) und alle Informationen zu dem Kauf selbst. Darüber hinaus speichert das Unternehmen auch Daten zum verwendeten Browser, Endgerät und zur IP-Adresse.Pinterest gibt selbst an, die gesammelten Daten zu verwenden, um Usern den Dienst bereitzustellen und ihnen relevante und interessante Inhalte anzuzeigen. Dazu zählt auch das Einblenden von personalisierter Werbung.

Diese Datenschutzprobleme bringt Pinterest mit

Wie auch Facebook und Instagram übermittelt Pinterest über Schnittstellen Userdaten an Werbekunden, damit diese Nutzern Anzeigen einblenden können. Das ist dem Unternehmen jedoch nur erlaubt, wenn es für den konkreten Fall die Zustimmung der User dafür einholt. Dem kommt Pinterest jedoch nicht nach.Klicken User auf einer Webseite auf das Social Plugin von Pinterest, geben sie automatisch ihre Daten an das Netzwerk weiter. Dazu zählt dann u. a. ihre IP-Adresse, die zu den personenbezogenen Daten gehört.

So können Webseitenbetreiber Pinterest datenschutzkonform nutzen

Wollen Webseitenbetreiber Pinterest nutzen, müssen sie Nutzer in ihrer Datenschutzerklärung darauf hinweisen. Darüber hinaus gilt: Nutzen sie das Social Plugin von Pinterest, müssen sie die Zustimmung der Nutzer einholen, ihre Daten bei Klick auf die Bilder an das Unternehmen weiterzuleiten zu dürfen. Das ist derzeit praktisch jedoch nicht zu lösen. Alternative Plugins wie das eRecht Safe Sharing Tool helfen dabei, die Daten der User zu schützen.

Rechtsprechung zu Pinterest

Am 09.03.2016 hat das Landgericht Düsseldorf entschieden, dass der auf Webseiten implementierte Facebook-Like-Button gegen deutsche Datenschutzbestimmungen verstößt (Az. 12 O 151/15). Aktuell prüft der Europäische Gerichtshof (EuGH), ob der Button rechtlich zulässig ist. Dabei ist noch keine Entscheidung gefallen. Kommt der EuGH zu dem Schluss, dass der Like-Button nicht datenschutzkonform ist, dürfte das auch Auswirkungen auf die Zulässigkeit des Pinterest-Buttons haben. Denn: Dieser gibt ebenso wie der Like-Button von Facebook ungefragt Daten an Pinterest weiter, sobald User daraufklicken.

50. Datenschutzerklärung und Rapidmail

Rapidmail ist eine Online-Software für professionelles E-Mail-Marketing. Nutzer können darüber Newsletter und Mail-Kampagnen planen, erstellen und versenden. Derzeit greifen über 80.000 Nutzer auf das Tool zurück.

Rapidmail und Datenschutz

Webseitenbetreiber nutzen Rapidmail, um Usern Newsletter zukommen zu lassen. Dafür erheben und speichern sie ihre E-Mail-Adresse. Diese zählt zu den personenbezogenen Daten und ist daher besonders schützenswert. Seitenbetreiber müssen daher eine Reihe von Pflichten erfüllen, um nicht gegen deutsche Gesetze zu verstoßen. Unter anderem schreiben ihnen dabei das Bundesdatenschutzgesetz (BDSG), das Gesetz gegen unlauteren Wettbewerb (UWG), das Telemediengesetz (TMG) und ab dem 25. Mail auch die Datenschutz-Grundverordnung (DSGVO) verschiedene Regeln vor.

So bringen Seitenbetreiber Rapidmail datenschutzkonform zum Einsatz

Bevor Webseitenbetreiber Newsletter über Rapidmail verschicken können, benötigen sie die Einwilligung der User in den Versand des Newsletters.

Double-Opt-In für E-Mail- und SMS-Newsletter

Für das Versenden des Newsletters per E-Mail müssen sich Webseitenbetreiber die Zustimmung in einem zweistufigen Verfahren abholen. Dabei fragen sie zunächst die E-Mail der Nutzer ab und lassen sie in diesem Kontext in den Newsletter-Versand einwilligen. Gleichzeitig sollten sie User darauf hinweisen, dass sie den Newsletter jederzeit wieder abbestellen können. Sie erhalten dann eine E-Mail, die ihnen das Sign-Up für den Newsletter anzeigt. User müssen diese Mail per Klick auf einen Link bestätigen, um so den Versand zu starten. Dieses Vorgehen ist als Double-Opt-In bekannt.Daneben können Seitenbetreiber ihren Newsletter bei Rapidmail auch per SMS verschicken. Hierfür benötigen sie die Telefonnummer der Nutzer sowie die Einwilligung in den Versand des Newsletters an ihre Nummer. Das Double-Opt-In-Verfahren aus dem E-Mail-Marketing können Seitenbetreiber hier in abgewandelter Form nutzen. Dazu können sie die Telefonnummer der Interessenten über eine Online-Maske abfragen und sie darüber aufklären, dass sie mit Eintragen ihrer Nummer den Newsletter abonnieren. Ein Hinweis, dass sie diesen jederzeit wieder abbestellen können, darf auch hier nicht fehlen. User sollten diese Hinweise per Opt-In bestätigen können. Im nächsten Schritt zeigt die Online-Maske dann die Telefonnummer des Newsletter-Versenders an. Nutzern speichern diese ab und senden eine SMS mit einem Befehl wie „Start“, der den Newsletter aktiviert.

Rapidmail in Datenschutzerklärung aufführen

Neben Double-Opt-In für E-Mail und SMS müssen Webseitenbetreiber in ihrer Datenschutzerklärung angeben, dass und wie sie Rapidmail für den Newsletter-Versand nutzen. Sie müssen darüber informieren, warum und welche User-Daten sie dabei erheben und verwenden. Im Gesetz gibt ihnen das § 13 Abs. 1 TMG vor. Die DSGVO, die hier ab dem 25. Mai übernimmt, schreibt dann in Art. 13 vor, dass Seitenbetreiber in ihrer Datenschutzerklärung anführen müssen,

• wofür sie die personenbezogenen Daten, die sie für den Newsletter-Versand über Rapidmail sammeln und speichern, verwenden,
• wie lange sie die personenbezogenen Daten speichern,
• welches Gesetz ihnen die Datenerhebung und -verwendung erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
• dass sie der Zustimmung zur Datenverwendung jederzeit widersprechen können.

Vertrag zur Auftragsverarbeitung abschließen

Damit Webseitenbetreiber die Daten der User datenschutzkonform verarbeiten, müssen sie mit Rapidmail einen Vertrag zur Auftragsverarbeitung abschließen. Im Gesetz schreibt das § 11 BDSG vor. Die DSGVO gibt ab dem 25. Mai im Detail vor, dass ein Vertrag mit Rapidmail vor allem darüber informieren muss,

• welche Daten Seitenbetreiber wie lange speichern und verarbeiten,
• warum sie diese Daten verarbeiten und
• welche Rechte und Pflichten die Verantwortlichen haben.

Rapidmail ermöglicht es Newsletter-Versendern, den Vertrag zur Auftragsverarbeitung elektronisch in ihrem Account abzuschließen. Ist der Vertrag geschlossen, müssen Seitenbetreiber in ihrer Datenschutzerklärung über die Verwendung von Rapidmail informieren. Sie müssen User darauf hinweisen, dass sie einen Vertrag zur Auftragsverarbeitung mit Rapidmail geschlossen haben. In diesem Rahmen müssen sie ihnen auch erklären, wie Rapidmail ihre Daten nutzt.

Rechtsprechung zum Versand von Newslettern über Rapidmail

Webseitenbetreiber, die bei der Einholung der User-Einwilligung nicht auf Double-Opt-In setzen, laufen Gefahr abgemahnt zu werden. Der Bundesgerichtshof hat am 10.02.2011 geklärt, dass das Double-Opt-In-Verfahren dazu geeignet ist, die Zustimmung der User in einen Newsletter-Versand einzuholen (Az. I ZR 164/09).

51. Recht auf Datenübertragbarkeit

52. Recht auf Einschränkung der Verarbeitung

53. Datenschutzerklärung und Server-Log-Dateien

54. Social-Media-Plugins mit Shariff

55. Datenschutzerklärunng und Sofortüberweisung

56. SoundCloud und Datenschutzerklärung

57. Spotify und Datenschutzerklärung

58. Datenschutzerklärung und SSL-Verschlüsselung der Webseite

SSL steht für die Abkürzung „Secure Sockets Layer“ und ist ein Verschlüsselungsverfahren, um Daten im Internet vertraulich zu übertragen. Eine SSL-Verschlüsselung soll so dafür sorgen, dass Dritte die Daten nicht auslesen oder manipulieren können. Darüber hinaus stellt das Verfahren die Identität einer Webseite sicher. In der Praxis ist die SSL-Verschlüsselung mittlerweile größtenteils von der neueren und sicheren Transport Layer Security Standard (TLS) ersetzt worden.

Darum ist die SSL-Verschlüsselung datenschutzrechtlich relevant

Fragen Seitenbetreiber personenbezogene Daten wie Namen und E-Mail-Adresse von Usern ab, müssen sie diese entsprechend verschlüsseln, um den Datenschutz zu wahren. Das kann zum Beispiel der Fall sein bei:

• Newsletter-Anmeldungen und Downloads
• Kontaktformularen
• Bestellformularen
• Login-Daten

Eine SSL-Verschlüsselung gewährt diesen Schutz, indem sie die Daten während der Übertragung vor Zugriffen und dem Missbrauch durch Dritte schützt. Bis vor kurzem ergab sich diese Pflicht noch aus § 13 Abs. 7 TMG. Seit dem 25. Mai hat hier die Datenschutz-Grundverordnung (DSGVO) übernommen.

Jetzt schreibt Art. 32 Abs. 1 DSGVO dies vor. Danach müssen Seitenbetreiber unter Berücksichtigung des Stands der Technik und den Implementierungskosten geeignete technische und organisatorische Maßnahmen ergreifen, um die Daten der Nutzer zu schützen. Art. 32 Art. 1 lit. a) nennt dafür ausdrücklich eine Verschlüsselung personenbezogener Daten. Daneben empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik eine SSL- oder TLS-Verschlüsselung, um personenbezogene Daten im Web sicher zu übertragen.

So können Webseitenbetreiber ihre Seite sicher verschlüsseln

Um personenbezogene Daten sicher zu übertragen, stehen Seitenbetreibern verschiedene Verschlüsselungsverfahren zur Auswahl. Zu den drei gängigsten Varianten zählen dabei:

DV-Zertifikat: Das DV-Zertifikat bestätigt die Domain einer Seite und bildet damit die einfachste Vertrauensstufe. Da Seitenbetreiber dies nur durch eine E-Mai validieren lassen müssen, ist das Zertifikat in wenigen Minuten in die Seite eingebunden. Nutzer sehen dann im Browser neben der URL ein kleines Schloss, das ihnen eine sichere Verbindung anzeigt.

OV-Zertifikat: Das OV Zertifikat bestätigt nicht nur den Inhaber der Domain, sondern auch das Unternehmen, das hinter der Seite steht. Auf diese Weise bietet dieses Zertifikat einen höheren Validierungsgrad als das DV-Zertifikat. Onlineshops und andere Portale, die Login-Daten von Nutzern abfragen, greifen in der Regel auf diese Art der Verifizierung zurück. Sie dauert einige Tage Bearbeitungszeit, bis sie verfügbar ist.

EV-Zertifikat: Das EV-Zertifikat prüft, ob und wie Unternehmen registriert sind. Damit bietet es die umfangreichste Validierung an. Sind Unternehmen zertifiziert, sehen User in der Adresszeile den Namen des Unternehmens in Grün. Auf diese Art der Zertifizierung greifen in der Regel Unternehmen aus dem Finanzsektor zurück.

Darüber hinaus sollten Webseitenbetreiber die Verschlüsselung in ihrer Datenschutzerklärung ansprechen. Dazu sollten sie Usern erklären, warum sie die Seite verschlüsseln und welche Maßnahmen sie dafür ergreifen.

59. Datenschutzerklärung und Tumblr Plugin

Tumblr ist eine Blogging-Plattform, auf der User Bilder, Texte, Links, Videos und Audiodateien veröffentlichen können. Darüber hinaus können Nutzer Einträge von anderen Nutzern als Favoriten markieren, ihnen folgen oder ihre Inhalte auf dem eigenen Dashboard teilen.

Darum ist Tumblr datenschutzrechtlich relevant

Wollen sich Nutzer bei Tumblr registrieren, müssen sie ihre E-Mail-Adresse angeben, ein Passwort generieren und einen Usernamen aussuchen. Einmal für die Plattform registriert, sammelt Tumblr Daten zu allen Aktivitäten, die sie in dem Netzwerk vornehmen. Das können selbst erstellte Inhalte, das Markieren von Favoriten oder das Veröffentlichen von fremden Inhalten auf dem eigenen Dashboard sein. Tumblr nutzt diese Daten, um ihnen personalisierte Inhalte und Werbung anbieten zu können. Daneben erhebt und speichert die Plattform unter anderem Daten zum verwendeten Browser, Endgerät und zur IP-Adresse von Usern.Besuchen Nutzer einen Blog im Tumblr-Netzwerk, kann es sein, dass dieser mehr Daten von ihnen erhebt als Tumblr. Diese Daten kann der Blog an Dritte weiterleiten, zu denen Tumblr keine Beziehungen unterhält.

Diese Datenschutzprobleme bringt Tumblr mit

Tumblr gibt Nutzerdaten an Werbekunden weiter, damit diese auf der Plattform Anzeigen ausspielen können. Das darf das Unternehmen jedoch nur, wenn es dafür die konkrete Erlaubnis der User hat. Dieser Pflicht kommt Tumblr nicht nach.Darüber hinaus können Webseitenbetreiber einen Share Button von Tumblr auf ihrer Seite einbinden. Dieser ermöglicht es Usern, mit einem Klick Webseiteninhalte über ihren Tumblr-Account zu teilen. Durch den Klick auf das Plugin erhält Tumblr jedoch personenbezogene Daten wie die IP-Adresse der Nutzer. Dafür benötigen Webseitenbetreiber eine Einwilligung. Diese können sie nicht einholen, indem sie lediglich in ihrer Datenschutzerklärung darauf hinweisen.

So können Seitenbetreiber Tumblr datenschutzkonform nutzen

Seitenbetreiber, die Tumblr rechtssicher nutzen wollen, müssen User in ihrer Datenschutzerklärung darauf hinweisen. Binden sie zudem den Share Button von Tumblr auf ihrer Seite ein, müssen sie die Zustimmung der User einholen, bei Klick auf den Button ihre Daten an das Portal weiterzuleiten. Das ist in der Praxis aktuell jedoch nicht möglich.

Rechtsprechung zu Tumblr

Der auf Webseiten integrierte Facebook-Like-Button verstößt gegen deutsche Datenschutzbestimmungen. Das hat das Landgericht Düsseldorf am 09.03.2016 entschieden (Az. 12 O 151/15). Derzeit hat sich der Europäische Gerichtshof (EuGH) der Frage angenommen, wie es um die rechtliche Zulässigkeit des Buttons steht. Sollte auch der EuGH zu dem Ergebnis kommen, dass der Button nicht datenschutzkonform ist, könnte das alle weiteren Social Plugins auf Webseiten betreffen. Damit könnte dann auch der Share-Button von Tumblr gegen deutsche Gesetze verstoßen.

60. Datenschutzerklärung und Twitter Plugin

Twitter ist ein Microblogging-Dienst, über den Nutzer SMS-ähnliche Textnachrichten mit einer Länge von bis zu 140 Zeichen veröffentlichen können. Private User, Politiker und Unternehmen verwenden die Plattform, um ihre Gedanken und Meinungen online zu stellen. Twitter hat weltweit 336 Millionen monatlich aktive Nutzer.

Darum ist Twitter datenschutzrechtlich bedenklich

User, die sich bei Twitter anmelden wollen, müssen einen Usernamen und eine E-Mail-Adresse oder Telefonnummer angeben. Diese personenbezogenen Daten schickt das Netzwerk automatisch an seinen Hauptsitz in den USA und/oder an den europäischen Nebensitz in Irland. Nach der Registrierung zeichnet Twitter dann jede Aktivität, die User im Netzwerk vornehmen, auf. Das können Tweets, Kommentare, Likes und Interaktionen mit anderen Nutzern sein.Darüber hinaus sammelt Twitter Daten zum verwendeten Browser, Endgerät und zur IP-Adresse. Der Microblogging-Dienst speichert diese Informationen für mindestens zehn Tage. Twitter nutzt die gewonnenen Daten, um Usern maßgeschneiderte Feed-Vorschläge zu machen und personalisierte Werbung zu schalten.Am 18. Juni 2017 hat der Dienst neue Datenschutzregeln eingeführt. Nutzer haben seitdem mehr Kontrolle über ihre Daten. Sie können nun selbst entscheiden, ob geschaltete Werbung auf sie zugeschnitten sein soll. Zudem können sie seitdem frei wählen, ob der Dienst ihren Standort auswerten und zu Werbezwecken verwenden darf. Datenschützer kritisieren jedoch, dass Nutzer der Erhebung ihrer Daten nicht widersprechen können.

So können Seitenbetreiber Twitter datenschutzkonform nutzen

Webseitenbetreiber, die das Social Plugin von Twitter auf ihrer Seite implementiert haben, verstoßen aktuell gegen deutsche Datenschutzbestimmungen. Denn: Das Plugin erhebt personenbezogene Daten, sobald User darauf klicken. Dafür müssen sie weder bei Twitter angemeldet noch registriert sein. Webseitenbetreiber benötigen jedoch erst die ausdrückliche Zustimmung der Nutzer, bevor sie personenbezogene Daten an Dritte weiterleiten. Diese Zustimmung können sie nicht einholen, indem sie schlichtweg in ihrer Datenschutzerklärung darauf hinweisen.Webseitenbetreiber sollten daher auf alternative Plugins wie das eRecht Safe Sharing Tool setzen, um User vor einer ungewollten Datenweitergabe und sich selbst vor einem Datenschutzverstoß zu schützen.

Rechtsprechung zu Twitter

Das Landgericht (LG) Düsseldorf hat am 09.03.2016 entschieden, dass der auf Webseiten implementierte Facebook-Like-Button gegen den deutschen Datenschutz verstößt (Az. 12 O 151/15). Diese Entscheidung lässt sich auf alle weiteren Social Plugins, die ungefragt Userdaten erheben und weiterleiten, übertragen. Damit ist der Tweet-Button nach aktueller Rechtslage zumindest rechtlich fragwürdig.Für Klarheit wird bald der Europäische Gerichtshof sorgen. Dieser beschäftigt sich derzeit mit der Zulässigkeit des Facebook-Like-Buttons. Sollte das Gericht zu dem gleichen Schluss wie das LG Düsseldorf kommen, dürften alle Social Plugins gegen deutsche Datenschutzbestimmungen verstoßen.

61. Verantwortliche Stelle für Datenverarbeitung

Die verantwortliche Stelle für Datenverarbeitung gibt an, welche Person oder Personen darüber entscheiden, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden. Dabei kann es sich um natürliche oder juristische Personen handeln.Darum ist die verantwortliche Stelle für Datenverarbeitung datenschutzrechtlich relevant
Erheben Webseitenbetreiber personenbezogene Daten von Usern, müssen sie die Informationspflicht erfüllen, User darüber aufzuklären, welche Daten sie warum sammeln und verarbeiten. Dabei müssen sie auch klären, wer die verantwortliche Stelle ist, die die Erhebung und Verarbeitung verantwortet. Das schreibt Artikel 13 bzw. Artikel 14 der Datenschutz-Grundverordnung (DSGVO) vor.

So können Webseitenbetreiber die verantwortliche Stelle für Datenverarbeitung datenschutzkonform nennen

Webseitenbetreiber sollten im Rahmen ihrer Datenschutzerklärung auf die verantwortliche Stelle für Datenverarbeitung hinweisen. Dabei sollten sie diese Punkte nennen:

• Name der Person oder des Unternehmens, die/das für die Datenverarbeitung verantwortlich ist
• Anschrift des Verantwortlichen
• Telefonnummer des Verantwortlichen
• E-Mail des Verantwortlichen

Abschließend sollten Seitenbetreiber noch einmal genau erklären, wer die verantwortliche Stelle für die Verarbeitung der Daten generell sein kann. Dazu können sie eine ähnliche Formulierung wie diese verwenden:„Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen o. Ä.) entscheidet.“

62. Verarbeitung von Kunden- und Vertragsdaten

Schließen Nutzer online einen Vertrag, müssen Onlineshops und Dienstleistungsanbieter dafür in der Regel eine Reihe von personenbezogenen Daten abfragen, um die Leistung erfüllen zu können. Dazu zählen unter anderem sensible Daten wie Name, Adresse, Telefonnummer, E-Mail-Adresse und Kontoverbindung.

Voraussetzungen für die Verarbeitung von Kunden- und Vertragsdaten

Damit Unternehmen Kunden- und Vertragsdaten erheben dürfen, muss ihnen dies entweder gesetzlich erlaubt sein oder Kunden müssen in die Verarbeitung ausdrücklich einwilligt haben. Unternehmen dürfen die Daten per Gesetz erheben und verarbeiten, wenn sie diese zum Abschluss (z. B. Bestellbestätigung per E-Mail) oder zur Erfüllung eines Vertrags (z. B. Paketzustellung) benötigen. Das gewährt Artikel 6 der Datenschutz-Grundverordnung (DSGVO).

Rechte, die Kunden bei der Verarbeitung ihrer Daten haben

Während der Verarbeitung ihrer Daten gewährt die DSGVO Kunden bestimmte Rechte, denen Betreiber einer Webseite und Unternehmen nachkommen müssen. Dazu zählen:
Auskunftsrecht: Kunden haben das Recht, Auskunft darüber zu erhalten, welche Daten warum und in welchem Umfang gespeichert wurden. Unternehmen sollten also stets den Überblick behalten, welche Daten sie erhoben haben.

Widerspruchsrecht: Kunden haben das Recht, der Verarbeitung ihrer Daten zu widersprechen. Für den Abschluss oder die Erfüllung eines Vertrags könnte das jedoch bedeuten, dass Unternehmen dem dann nicht mehr nachkommen können.

Löschung von Kundendaten: Ist der Vertrag zwischen beiden Parteien erfüllt, müssen Unternehmen sicherstellen, dass die Kundendaten vor Zugriffen durch Dritte geschützt sind. Für die Praxis heißt das in der Regel, dass Kunden ein Recht darauf haben, dass Unternehmen ihre Daten löschen. Wollen sie die Daten über den eigentlichen Zweck hinaus speichern, verwenden oder an Dritte weitergeben, benötigen sie von den Kunden eine ausdrückliche Einwilligungserklärung.

Herausgabe von Daten: Kunden haben das Recht, dass Unternehmen ihnen ihre Daten jederzeit zur Verfügung stellen.

Verarbeitung von Kunden- und Vertragsdaten in Datenschutzerklärung nennen

Darüber hinaus müssen Unternehmen in ihrer Datenschutzerklärung darüber aufklären, wie sie mit den erhobenen Kunden- und Vertragsdaten umgehen. In diesem Rahmen müssen sie nennen,

• welche Kunden- und Vertragsdaten sie erheben,
• warum sie diese erheben,
• was sie mit den Daten machen,
• wie und warum sie diese gegebenenfalls an Dritte weiterreichen und
• dass sie die Verantwortung übernehmen, die Daten der Kunden zu schützen.

Rechtsprechung zur Verarbeitung von Kunden- und Vertragsdaten

Das Landgericht Düsseldorf hat am 20.02.2017 entschieden, dass personenbezogene Daten nicht ohne Einwilligung an Dritte weitergegeben werden dürfen (Az. 5 O 400/16).

63. Verschlüsselter Zahlungsverkehr

64. Vimeo und Datenschutzerklärung

Vimeo ist ein Online-Video-Portal, auf dem User Videos hochlanden und anschauen können. Darüber hinaus können sie Videos anderer User kommentieren und bewerten. Das Portal hat ca. 170 Millionen Mitglieder.

Darum ist Vimeo datenschutzrechtlich bedenklich

Für eine Registrierung bei Vimeo müssen User ihren Vor- und Nachnamen sowie ihre E-Mail-Adresse angeben. Daneben müssen sie ein Passwort generieren. Alternativ können sich Nutzer auch per Single Sign On über Facebook oder Google im Netzwerk anmelden. Vimeo erhält dann Zugriff auf die Daten des gewählten Kontos. Melden sich User beispielsweise über Facebook bei Vimeo an, erhält das Video-Portal je nach Privatsphäre-Einstellungen Zugriff auf Informationen wie E-Mail, Freundeslisten und Interessen.

Sind Nutzer angemeldet, erfasst Vimeo alle Aktionen, die sie auf der Seite vornehmen. Das können unter anderem angeschaute Videos, erstellte Playlists und Kommentare sein. Darüber hinaus speichert das Netzwerk alle weiteren Informationen, die Nutzer in ihrem Profil hinterlegen. Entscheiden sie sich zudem für ein kostenpflichtiges Abonnement, müssen User auch ihre Bankverbindung angeben. Weiterhin erhebt Vimeo Daten zum verwendeten Browser, zum Endgerät und zur IP-Adresse.

Vimeo verwendet die gewonnenen Daten, um den Dienst bestmöglich und auf den User zugeschnitten anbieten zu können. Dafür gibt das Unternehmen einige Userdaten an Dritte („Authorized Service Providers“ und „Business-Partner“) weiter.

So können Unternehmen Vimeo-Videos datenschutzkonform auf ihrer Seite einbinden

Wollen Unternehmen Vimeo-Videos per Einbettungscode auf ihrer Webseite einbinden, müssen sie dafür sorgen, dass Vimeo dabei nicht automatisch die Daten der Webseitenbesucher ausliest. Denn: Das Einbetten von Vimeo-Videos setzt automatisch Cookies im Browser der User und speichert so ihr Verhalten auf der Seite. Webseitenbetreiber sollten daher auf Plugins zurückgreifen, die Vimeo erst dann Daten erfassen lassen, wenn User auf das Video geklickt und der Datenerfassung zugestimmt haben. Plugins lassen eine Zwei-Klick-Lösung auf der Seite implementieren, so dass User vor Abspielen des Videos einen Hinweis sehen, der sie darüber aufklärt, dass das Video bei Klick auf Play personenbezogene Daten wie die IP-Adresse an Vimeo sendet.

Daneben müssen Webseitenbetreiber User in ihrer Datenschutzerklärung darauf hinweisen, dass und wie sie Vimeo-Videos auf ihrer Seite verwenden. In diesem Rahmen sollten sie Nutzer hier auch noch einmal informieren, dass Vimeo durch das Anschauen der Videos personenbezogene Daten von ihnen erhält.

Rechtsprechung zu Vimeo

Aktuell entscheidet der Europäische Gerichtshof darüber, ob der auf Webseiten implementierte Facebook-Like-Button gegen deutsche Datenschutzbestimmungen verstößt. Sollte das Gericht zu dem Schluss kommen, dass dem so ist, könnte das auch Auswirkungen auf die Zulässigkeit auf das Einbinden von Vimeo-Videos haben. Denn: Vimeo sammelt wie Facebook auf externen Webseiten personenbezogene Daten von Usern ein, ohne dass diese ihnen dafür die Erlaubnis erteilen.

65. Widerruf der Einwilligung zur Datenverarbeitung

66. Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO)

67. Datenschutzerklärung und Widerspruch gegen Werbe-E-Mails

68. Datenschutzerklärung und WordPress Stats

WordPress Stats – kurz für WordPress Statistics - ist ein Plugin für das bekannte Content Management System WordPress. Es lässt Webseitenbetreiber Daten zum Verhalten von Usern auf ihrer Seite sammeln. Die Zahlen zeigen ihnen unter anderem, über welche Links User auf ihrer Seite landen und welche Seiten sie besuchen. Auf diese Weise können Betreiber Rückschlüsse auf den Content und die Funktionalität ihrer Seite ziehen und diese optimieren.

Darum ist WordPress Stats datenschutzrechtlich bedenklich

WordPress Stats läuft zwar lokal auf dem Server der Webseite, so dass keine Daten über den Browser des Users zum Statistik-Tool gesendet werden, es erhebt jedoch unter anderem personenbezogene Daten wie die IP-Adresse. Das dürfen Seitenbetreiber jedoch nur, wenn sie dafür die Erlaubnis der User haben.

So können Webseitenbetreiber WordPress Stats datenschutzkonform nutzen

Damit Webseitenbetreiber WordPress Stats datenschutzkonform zum Einsatz bringen, müssen sie die Erhebung der IP-Adresse der User anonymisieren. Dafür sollten sie einen entsprechenden Befehl in der Datei funktions.php ergänzen. Dieser verkürzt die IP-Adressen so, dass Webseitenbetreiber keinen Personenbezug mehr herstellen können.

Darüber hinaus sollten Seitenbetreiber in ihrer Datenschutzerklärung darauf hinweisen, dass sie über WordPress Stats Userdaten erheben, speichern und verarbeiten. In diesem Kontext sollten sie auch die Anonymisierung der IP-Adressen ansprechen. Gleichzeitig sollten sie User auf die Möglichkeit hinweisen, dass sie der Datenerhebung widersprechen können.

Seitenbetreiber müssen keinen Vertrag zur Auftragsverarbeitung abschließen, da WordPress lokal auf dem eigenen Server läuft und es keine Skripte einbindet.

Rechtsprechung zu WordPress Stats

Das Landgericht Hamburg hat am 10.03.2016 in einem Beschluss festgestellt: Webseitenbetreiber dürfen Google Analytics nur verwenden, wenn sie Nutzer in ihrer Datenschutzerklärung darüber aufklären, dass sie Statistiken zu ihrem Verhalten erheben (312 O 127/16). Das Gericht hat dies in einem Urteil am 09.08.2016 noch einmal bestätigt (Az. 406 HKO 120/16). Diese Entscheidung könnte auch für den Einsatz von WordPress Stats gelten. Denn: Das Plugin sammelt wie Google Analytics Daten zum Verhalten der User. Webseitenbetreiber sollten daher in jedem Fall den Einsatz von WordPress Stats in ihrer Datenschutzerklärung ansprechen.

69. Datenschutzerklärung und Xing Plugin

Xing ist eine Karriere-Plattform, auf der Mitglieder geschäftliche Kontakte knüpfen können. Dazu können sie ein Profil anlegen, nach Jobs oder Mitarbeitern Ausschau halten, Posts veröffentlichen sowie mit anderen Mitgliedern in Kontakt treten. Das Netzwerk hat ca. 13 Millionen Mitglieder.

Diese Daten sammelt und nutzt Xing

Nutzer, die sich bei Xing registrieren, tragen in ihrem Profil sensible Daten wie

• Name,
• E-Mail-Adresse,
• Geburtsdatum,
• geschäftliche Kontakte,
• beruflichen Status und
• Ausbildung ein.

Schließen Nutzer bei Xing eine Premium-Mitgliedschaft ab, erhält das Netzwerk zudem Zugriff auf ihre Kontodaten. Darüber hinaus speichert Xing veröffentlichte Posts, Gruppenmitgliedschaften, Likes und alle weiteren Aktivitäten, die Nutzer im Netzwerk vornehmen. Es nutzt diese Daten laut seiner Datenschutzerklärung ausschließlich dafür, die Dienste anzubieten. Dabei soll es eigenen Angaben nach keine personenbezogenen Daten an Dritte zu Werbe- oder Marketingzwecken weitergeben.

Datenschutzprobleme bei Xing

Damit User und Unternehmen Xing datenschutzkonform verwenden, müssen sie in ihrem Profil entsprechende Datenschutzhinweise platzieren oder dort einen Link zu den Datenschutzhinweisen auf ihrer Webseite setzen. Darüber hinaus müssen Unternehmen in ihrer Datenschutzerklärung darüber aufklären, dass die vorgenommenen Datenschutzhinweise auch für Xing gelten.

Zudem stellt das Einbinden des Xing Share Buttons auf der Webseite Unternehmen vor eine datenschutzrechtliche Herausforderung. Der Button ermöglicht es, Webseiteninhalte mit wenigen Klicks auf Xing zu posten.

Besuchen User eine Webseite, die den Xing Share Button implementiert hat, baut dieser automatisch eine Verbindung zu Xing auf. Das Netzwerk kann dann personenbezogene Daten wie die IP-Adresse des Webseitenbesuchers auslesen und speichern, ohne dass User hierfür ihre Einwilligung erteilt haben. Es reicht für Webseitenbetreiber dabei nicht aus, in ihrer Datenschutzerklärung über den Datentransfer zu unterrichten. Xing selbst gibt dazu an, dass es keine personenbezogenen Daten speichert.

Rechtsprechung zu Xing

Aktuell steht der Facebook-Like-Button im Visier des Europäischen Gerichtshofs (EuGH). Zuvor hatte das Landgericht Düsseldorf entschieden, dass der Button gegen deutsche Datenschutzbestimmungen verstößt (Az. 12 O 151/15, 09.03.2016). Kommt auch der EuGH zu diesem Ergebnis, könnte das auch Auswirkungen auf den Xing Share Button haben. Denn: Dieser erhebt wie der Facebook-Like-Button personenbezogene Daten und sendet diese an Dritte, ohne dass User hierfür ihre Erlaubnis gegeben haben.

70. Datenschutzerklärung und YouTube

YouTube ist eine Online-Video-Plattform, auf der Nutzer Videos hochladen und anschauen können. Sie können Videos bewerten, in Playlisten speichern und kommentieren. Das Portal hat über eine Milliarde User.

Darum ist YouTube datenschutzrechtlich bedenklich

Wollen sich Nutzer bei YouTube registrieren, müssen sie ihren Namen und ihre E-Mail-Adresse angeben sowie ein Passwort für den Login festlegen. Nutzen User den Single Sign On über Facebook oder Google, erhält YouTube zudem weitere Daten zum User. Abhängig vom jeweiligen Netzwerk und den dort vorgenommenen Privatsphäre-Einstellungen können das zum Beispiel Fotos, Interessen und Freunde des Nutzers sein.

Werden User nach Registrierung bei YouTube aktiv, zeichnet die Plattform alle vorgenommenen Aktionen auf. Damit speichert YouTube beispielsweise Daten zu angeklickten Videos, erstellten Playlisten sowie abgegebenen Bewertungen und Kommentaren. Darüber hinaus erhebt die Plattform Angaben zum verwendeten Endgerät, zur IP-Adresse und zum Browser des Users.

YouTube nutzt die Daten, um Usern ein personalisiertes Erlebnis auf der Plattform bieten zu können. Dazu verwendet es die Daten zum Beispiel, um Nutzern relevante und interessante Inhalte anzuzeigen. Dazu zählt auch das Einspielen personalisierter Werbeclips und Anzeigen. Das wird YouTube jedoch erst möglich, indem es Nutzerdaten an Werbekunden übermittelt. Diese lassen YouTube dann ihre Werbung für die jeweilige Zielgruppe ausspielen. YouTube darf personenbezogene Daten jedoch nur an Dritte weitergeben, wenn es für jeden konkreten Fall die Erlaubnis der User hat. Darüber verfügt das Netzwerk nicht.

So können Webseitenbetreiber YouTube-Videos datenschutzkonform auf ihrer Seite einbinden

Binden Seitenbetreiber YouTube-Content auf ihrer Webseite ein, erfasst das Video-Portal automatisch Daten zu den Webseitenbesuchern. Das ist möglich, da YouTube durch das Einbetten der URL automatisch einen Cookie im Browser der Nutzer setzt. Dieser speichert das Verhalten der User und gibt dies an YouTube weiter.

Webseitenbetreiber sollten daher auf Plugins setzen, die verhindern, dass YouTube Daten von Usern sammelt, noch bevor diese das Video auf der Seite anklicken. Plugins ermöglichen es hierbei, dass Nutzer zunächst zustimmen müssen, dass YouTube bei Abspielen des Videos ihre personenbezogenen Daten erfasst. Dies geschieht über einen Hinweis, dem sie aktiv per Klick zustimmen müssen.

Zudem müssen Seitenbetreiber in ihrer Datenschutzerklärung angeben, dass sie YouTube-Videos auf ihrer Seite eingebunden haben. Dabei sollten sie ihren Usern erklären, welche Daten YouTube sammelt, sobald sie die Seite besuchen bzw. das Video starten.

Rechtsprechung zu YouTube

Der Europäische Gerichtshof beschäftigt sich derzeit mit der Frage, ob der Facebook-Like-Button dem deutschen Datenschutz gerecht wird. Sollte das Gericht zu dem Ergebnis gelangen, dass der Button nicht die Anforderungen deutscher Datenschutzbestimmungen erfüllt, könnte das auch Folgen für das Implementieren von YouTube-Videos auf Webseiten haben. Denn: YouTube und Plattformen wie Facebook arbeiten auf externen Webseiten mit der gleichen Vorgehensweise: Sie erheben über Cookies personenbezogene Daten, ohne dass User davon erfahren.

71. Zendesk und Datenschutzerklärung

72. Englische Übersetzung der Datenschutzerklärung

---

Interessante Artikel für alle Webseitenbetreiber

• Alles über das neue Widerrufsrecht, die Impressumspflicht und die Datenschutzerklärung
• Die besten Artikel zum Thema Markenanmeldung und Markenrecherche für das Internet
• Alles zu den Themen AGB Onlineshop, eBay AGB, Amazon AGB und AGB für Dawanda
• Unser Ratgeber für alle Verkaufsplattformen und zur Verpackungsverordnung
• Hilfreiche Informationen zur Vorfälligkeitsentschädigung

---

Mehr rechtliche Fragen und Antworten im eRecht24 Forum zum Internetrecht:

Themen:

• Forum Internetrecht
  Alle rechtlichen Fragen des Internet von Usern beantwortet.
• Forum Domainrecht
  Tipps rund um die Domainanmeldung, Domaingrabbing, Marken und Domains und mehr.
• Forum Onlineshops, E-Commerce, Onlineshopping
  Rechtsinfos rund um das Betreiben eines Onlineshops und das sichere Einkaufen im Netz,
• Forum Verantwortlichkeit für Inhalte
  Rechtliche Belange von User generated Content, Texte wie Testberichte, Kommentare & Meinungen, Bilder, Videos...
• Forum Linkhaftung, Verlinkung fremder Inhalte
  Worauf darf ich verlinken und worauf nicht?
• Forum Filesharing, Downloads & Tauschbörsen
  Up- und Download von urheberrechtlich geschützten Texten, Bildern, Software, Filmen und Musik
• Forum Onlineauktionen, eBay, MyHammer & Co.
  Rechtsfragen zum Thema Er- und Versteigern von Waren und Dienstleistungen
• Forum Strafrecht und Internet
  Hausdurchsuchung, Gerichtsverfahren und Co.
• Forum Urheberrecht
  Wie schütze ich meine Rechte als Urheber? Was ist überhaupt schutzwürdig?
• Forum Internationales Privatrecht
  Der Server in den USA, Der eBay Verkäufer auf Teneriffa, so bekommen Sie Recht

Themenspecial Abmahnung

 

Wettbewerbsrechtliche Abmahnung und Abmahnungen wegen Filesharing werden von spezialisierten Kanzleien zehntausendfach ausgesprochen. Wir zeigen Ihnen, was Sie wissen müssen und wie Sie richtig reagieren.

Informieren Sie sich auf unserem Portal rund um alle Fragen zu Abmahnungen https://www.abmahnung-internet.de/

Wir haben auch auf eRecht24 umfassende Informationen zum Thema u.a. im Beitrag Filesharing-Abmahnungen, so reagieren Sie richtig zusammengestellt. Die häufigsten Abmahnungen wg. Tauschbörsennutzung sind Filesharing Abmahnungen der Kanzlei Waldorf Frommer. Lesen Sie in den jeweiligen Beiträgen, wie Sie bei einer Abmahnung der genannten Kanzlei richtig reagieren.

Neu: Spezial Verkehrsrecht Online

• Rote Ampel überfahren, so wehren Sie sich erfolgreich
• Geschwindigkeitsueberschreitung, Fahrverbot muss nicht sein