Abmahnung 2.0 - 20. März 2017

Webseiten sichern

„Wir nehmen den Schutz Ihrer Daten ernst.“ Dieser Satz wird zwar oft geschrieben und mag vielfach auch tat­säch­lich so gemeint sein – er allein hilft aber nicht, Abmah­nungen abzuwenden.

Nach der Impressumspflicht auf Webseiten, die oft genug Gegenstand von Abmahnungen und Erläuterungen dazu gewesen ist, gibt es seit einiger Zeit eine noch nicht ganz so stark beachtete Variante: Die fehlende oder fehlerhafte Daten­schutz­er­klärung kann ebenfalls abgemahnt werden. Auch wenn eine Daten­schutz­er­klä­rung schon länger Pflichtbestandteil einer Webseite ist, konnte man sich in der Vergangenheit fast sicher fühlen, dass die eigene – nicht vorhandene – Daten­schutz­erklärung kein Problem darstellen würde. Denn es gab lange einen Streit unter Juristen, ob die Datenschutzerklärung überhaupt abmahnfähig ist. Wer keine Datenschutzerklärung hatte, konnte sich zumindest auf die Begründung stützen, dass es sich bei der Pflicht zur Erstellung einer Datenschutzerklärung nicht um eine verbraucherschützende Norm handele, wie etwa das Landgericht Frankfurt entschied (Teilurteil vom 16.10.2014 – Az.: 2-03 O 27/14). Und so wurde diese Argumentation quasi als Rückzugsmöglichkeit genutzt, obgleich andere Gerichte – so die Oberlandesgerichte Hamburg und Köln – zu abweichenden Ergebnissen kamen. Nun ist die Unsicherheit beseitigt. Denn am 1. Oktober 2016 ist auch der letzte Teil des Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (VDSDG) in Kraft getreten. Damit ist eindeutig klargestellt, dass die Daten­schutzerklärung ver­brau­cher­schüt­zend ist und eine fehlende oder fehlerhafte Erklärung abmahnfähig ist.

Worum geht es?

Das Telemediengesetz (TMG) fordert in § 13 Abs. 1 auf Webseiten eine Daten­schutz­er­klärung. Das geänderte Unterlassungsklagengesetz stellt nun klar, dass diese Datenschutzerklärung ver­brau­cher­schützend ist und ein Verstoß gegen den § 13 Abs. 1 TMG abgemahnt werden kann. Den Satz „Wir nehmen den Schutz Ihrer Daten ernst“ gefolgt von einigen weiteren Ausführungen hat vermutlich jeder schon einige Male gelesen. Bevor man sich diesen Satz aber auf die eigene Webseite kopiert, sollte die geltende Rechtslage kurz beleuchtet werden. Während mit dem Impressum jedem Webseitennutzer klargemacht werden soll, mit wem er sich gerade einlässt, geht es in der Datenschutzerklärung um die Transparenz, welche Daten vom Nutzer erfasst werden und was damit geschieht. An die Daten­schutz­er­klärung stellt das TMG deshalb einige Anforderungen: Der Nutzer ist zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten außerhalb der EU zu informieren. Zudem muss der Inhalt der Unterrichtung für den Nutzer jederzeit abrufbar sein. Es muss also beschrieben sein, welche Daten warum gespeichert werden und was mit ihnen geschieht. In der Erklärung muss etwa beschrieben sein, ob und welche Daten zum verwendeten Browser gespeichert werden und ob IP-Adressen geloggt oder Cookies gesetzt werden. Kommen Tools von Drittanbietern zum Einsatz, ist zusätzliche Sorgfalt geboten. Insbesondere wenn man eine Tracking-Software wie Google Analytics einsetzt oder Social-Media-Plug-ins wie den Facebook-Like-Button verwendet, werden fast zwangsläufig Daten nicht nur auf den eigenen Servern gespeichert, sondern auch weitergeleitet. Für jeden einzelnen Daten­ver­ar­bei­tungs­schritt muss ein legitimer Grund gegeben sein. Dieser muss vorab feststehen, und die er­ho­be­nen Daten dürfen grundsätzlich nur für den genannten Zweck verwendet werden. Die Daten­schutzerklärung muss all dies nachvollziehbar beschreiben. Die Voraussetzung der Abrufbarkeit führt dazu, dass neben dem Impressum auch die Daten­schutz­er­klärung von jeder Seite der eigenen Webpräsenz aus unmittelbar erreichbar sein muss. Folgt man der Meinung einiger Gerichte, hat die Erklärung sogar mit nur einem Klick erreichbar zu sein – und wäre damit noch stärker privilegiert als das Impressum, für das nach herr­schen­der Meinung zwei Klicks reichen.
Die Pflicht, eine Datenschutzerklärung vorzuhalten, trifft jeden mit eigener Web­seite. Die Ab­mahn­gefahr besteht jedenfalls dann, wenn die Seite in irgendeiner Weise kommerzielle Hinter­gründe hat. Es droht dann die Gefahr einer Abmahnung mit unnötigen Kosten und nicht unerheblichem Aufwand, auf diese Abmahnung zu reagieren. Und dann muss die Daten­schutz­er­klärung ohnehin aufgenommen werden.

Was sollte getan werden?

Es empfiehlt sich daher, die eigene Webseite zu überprüfen. Sie sollte eine inhaltlich den Vor­schriften ent­spre­chende Datenschutzerklärung enthalten, die von jeder Seite aus problemlos erreichbar ist. Wichtig ist, dass die Erklärung den tatsächlichen Gegebenheiten entspricht. Wenn Google Analytics verwendet wird, muss die im Rahmen dieses Tools verwendete Daten­speiche­rung und -übertragung auch beschrieben werden. Wenn Cookies gesetzt werden, muss dies ebenfalls beschrieben werden – und ebenso wie bei Google Analytics auch die Möglichkeit, wie das jeweils durch den Nutzer verhindert werden kann. Eine bestehende Erklärung aus dem Netz abzuschreiben, ist daher neben der dann zusätzlich bestehenden Urheberrechtsproblematik keine gute Idee. Vielmehr ist es er­for­der­lich, die eingesetzte Technik und gegebenenfalls die Folge­prozesse korrekt zu beschreiben. Im Zweifel sollte daher zunächst der Kontakt zum Dienst­leister gesucht werden, der die Webseite betreibt. Vielleicht hat der Dienstleister bereits für eine ähnlich eingerichtete Seite eine passende Erklärung geschrieben. Falls nicht, muss er aber zumindest die notwendigen Informationen zur Verfügung stellen können. Wenn alle erforderlichen Daten vorliegen, können durchaus Vor­la­gen­ge­ne­ra­toren verwendet werden. Aber bitte nicht blind übernehmen! Sollten Sie unsicher sein, hilft Ihnen Ihr Anwalt oder Datenschutzbeauftragter sicherlich gerne weiter.

Foto: Peter Dazeley/Getty Images

Zum Autor

L V
Lutz Voswinkel

DATEV eG, IT-Strategie, IT-Sicherheit & Datenschutz

Weitere Artikel des Autors