Die Datenschutzerklärung – Ärgernis oder Qualitätsmerkmal?

Auf zahllosen E-Commerce- und anderen Online-Plattformen ist sie mittlerweile fast so prominent wie das Impressum: die Datenschutzerklärung.  Weil es sich dabei genau genommen eher um eine Information des Website-Betreibers handelt als um eine „Erklärung“ im wörtlichen Sinne, finden sich die Angaben häufig auch und wohl treffender hinter einem mit „Informationen zum Datenschutz“ oder ähnlich bezeichneten Link.

Allerdings ist die rechtskonforme Gestaltung der Datenschutzerklärung bei weitem nicht so einfach, wie es häufig vermutet wird. Hand aufs Herz: Nicht wenige Betreiber von Online-Shops stellen die Datenschutzinformation aus im Internet verfügbaren (Muster-) Texten mehr oder minder kreativ zusammen. Warum auch nicht? Es liest sich ja alles doch „irgendwie ähnlich“. Leider stimmt diese weit verbreitete Meinung nicht. Denn einer rechtlichen Prüfung halten solche halbherzigen Gestaltungsversuche zumeist nicht Stand.

Alles in Ordnung – oder nicht?

Wer sich nun fragt, ob dies überhaupt schlimm sei, der liegt mit dieser Frage erst einmal gar nicht so verkehrt. Denn in der Vergangenheit waren sich deutsche Gerichte nicht immer einig, ob und wer überhaupt zu der kostenpflichten Abmahnung einer unrichtigen Datenschutzerklärung berechtigt ist. So waren im Jahr 2011 Berliner Gerichte wiederholt der Auffassung, dass eine fehlerhafte Datenschutzinformation nur durch Verbraucher- und Datenschutzbehörden verfolgt werden könne, nicht aber durch Mitbewerber des Webseitenbetreibers (LG Berlin, Beschl. v. 14.03.2011, Az. 91 O 25/11; KG Berlin, Urt. v. 29.04.2011, Az. 5 W 88/11). Anders sah es 2013 das Oberlandesgericht Hamburg (Urt. v. 27.06.2013, Az. 3 U 26/12), als es entschied, dass eine fehlerhafte Datenschutzerklärung auch durch jeden Wettbewerber kostenpflichtig abgemahnt werden könne. Im Oktober 2014 sorgte dann das Landgericht Frankfurt am Main – allerdings in einer wohl eher nicht verallgemeinerungsfähigen Entscheidung – erneut für Verunsicherung, als es hierzu der gegenteiligen Auffassung zuneigte (Teilurt. v. 16.10.2014, Az. 2-03 O 27/14).
Fakt ist, dass eine unrichtige Datenschutzinformation für den Shop-Betreiber unangenehme rechtliche Konsequenzen haben kann. Hier mag man aber auch bedenken, dass die Öffentlichkeit das Thema Datenschutz mit tendenziell zunehmender Aufmerksamkeit verfolgt. Daher fragt es sich, ob eine sorgfältig und korrekt gestaltete Datenschutzerklärung mittlerweile nicht sogar ein Qualitätsmerkmal für einen Online-Shop darstellt.

Kein Hexenwerk: die rechtskonforme Datenschutzerklärung

Wie erstellt man aber nun eine ordentliche Datenschutzerklärung? Nach § 13 TMG (Telemediengesetz) hat der Diensteanbieter die Nutzer seiner Online-Plattform „… zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten … in allgemein verständlicher Form zu unterrichten“.  Kurzum: Er muss verständlich erläutern, welche Personendaten bei der Nutzung der Webseiten erhoben werden und was mit diesen Daten gemacht wird. Dazu gehört für einen Online-Shop beispielsweise – neben Angaben zu der üblichen Datenverarbeitung im Rahmen von Bestellungen – auch die Information über eine etwaige weitergehende Nutzung der Kundendaten, etwa für den Versand von Newslettern.

 

 

Soweit für derartige Datenverwendungen eine vorherige Einwilligung des Nutzers gesetzlich vorgeschrieben ist, muss hierüber in der Datenschutzerklärung ebenso informiert werden wie über die Möglichkeit des Widerrufs einer erteilten Einwilligung. Ganz wichtig ist dabei: Die bloße Information ersetzt nicht das tatsächliche, rechtlich und technisch korrekt zu gestaltende Einholen der Einwilligung! Wie gesagt: Bei der Datenschutzerklärung handelt es sich um eine bloße Information – nicht um eine gestaltende Erklärung.
Ebenso muss der Nutzer erfahren, inwieweit Cookies auf seinem Rechner abgelegt werden und wie er das bei Bedarf unterbinden kann, ebenso, wie lange seine Daten durch den Shop-Betreiber vorgehalten und wann sie gelöscht werden. Auch über jegliche Weitergabe der Personendaten an Dritte muss unbedingt informiert werden. Das betrifft beispielsweise die Nutzung von Plug-ins wie dem „Like-Button“ von Facebook und Tracking- beziehungsweise Webanalyse-Tools wie Google Analytics oder Piwik. Soweit die Daten vor der Weiterleitung anonymisiert oder pseudonymisiert werden, muss auch hierüber informiert werden.

 Tipps

Insgesamt kommt es für die Gestaltung der Datenschutzinformationen maßgeblich auf die Details der Datenverwendung an. Daher gibt es nicht „die“ Datenschutzerklärung. Sondern jede Datenschutzerklärung sollte unbedingt für den jeweiligen Online-Shop „maßgeschneidert“ sein. Einige allgemeine Hinweise lassen sich aber geben:

 

  • -Identifizieren Sie zunächst sorgfältig und vollständig alle datenschutzrechtlich relevanten Vorgänge der Datenerhebung und -verwendung im Zusammenhang mit Ihrem Online-Shop. Relevant ist dabei alles rund um Personendaten.
  • Die hier relevanten Datenvorgänge zu ermitteln, ist bisweilen weniger trivial, als es zunächst scheint. Beziehen Sie daher den betrieblichen Datenschutzbeauftragten ebenso mit ein wie die Personen, die die technische Funktionsweise der Plattform gut kennen. Ermitteln Sie unbedingt auch, inwieweit etwaig die Personendaten in Ihrem Unternehmen über die bloße Bestellabwicklung hinaus verwendet werden – etwa für den Versand von E-Mail-Werbung oder für die Erstellung von Nutzeranalysen.
  • -Prüfen Sie hiernach im Zweifel, ob alle identifizierten Datenerhebungen und -verwendungen tatsächlich rechtskonform erfolgen. Andernfalls laufen Sie Gefahr, innerhalb Ihrer Datenschutzerklärung Rechtsverstöße zuzugestehen. Natürlich sollten Sie festgestellte Datenschutzmängel umgehend korrigieren.
  • -Formulieren Sie die Datenschutzerklärung so ausführlich wie nötig und so knapp wie möglich – in jedem Fall aber verständlich. Und zwar so, dass sich auch dem „juristischen Laien“ erschließt, was mit seinen persönlichen Daten passiert.
  • -Orientieren Sie sich, soweit möglich, an den durch die Aufsichtsbehörden empfohlenen oder zumindest anerkannten Mustertexten. Solche gibt es beispielsweise zu Google Analytics. Beachten Sie in diesem Zusammenhang auch die etwaigen weiteren Hinweise der für Ihr Unternehmen zuständigen Aufsichtsbehörde über die Verwendung von datenerhebenden Plug-ins und Tools.
  • -Falls Sie die Datenschutzerklärung bis hierher ohne juristischen Beistand erarbeitet haben, so geben Sie sich einen Ruck und lassen Sie die Erklärung durch einen im Datenschutzrecht versierten Juristen prüfen. Schneller geht es häufig, wenn die Formulierungen direkt durch juristisch versierte Hand erarbeitet werden.
  • -Hinterlegen Sie die Datenschutzerklärung auf Ihren Webseiten hinter einem aussagekräftigen Link (zum Beispiel „Datenschutzinformation“). Idealerweise sollte der Link ähnlich populär platziert und damit leicht auffindbar sein wie das allgegenwärtige Webseiten-Impressum. Keineswegs ausreichend ist das Platzieren der Datenschutzinformationen in den AGB.
  • -Überprüfen Sie die Datenschutzerklärung bei allen datenrelevanten Änderungen Ihres Online-Shops im Übrigen von Zeit zu Zeit. Die datenschutzrechtlichen Anforderungen sind stetig im Fluss. Nehmen Sie daher bei Bedarf Aktualisierungen vor, um nicht doch wieder angreifbar zu werden.

Und schließlich: Gestalten Sie die Datenschutzerklärung mindestens so gut wie Ihre Mitbewerber – oder besser! Umso weniger sind Sie angreifbar und umso mehr bereichern Sie Ihren Online-Shop um ein weiteres Qualitätsmerkmal.

 

Autor: Jan Schneider, Fachanwalt für IT-Recht und Partner bei SKW Schwarz Rechtsanwälte, berät Unternehmen seit nahezu 15 Jahren zu allen IT- und datenschutzrechtlichen Fragen.

(jm)

0
RSS Feed

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags