„Wir nehmen den Schutz Ihrer Daten ernst.“ Dieser Satz wird zwar oft geschrieben und mag vielfach auch tatsächlich so gemeint sein – er allein hilft aber nicht, Abmahnungen abzuwenden.
Nach der Impressumspflicht auf Webseiten, die oft genug Gegenstand von Abmahnungen und Erläuterungen dazu gewesen ist, gibt es seit einiger Zeit eine noch nicht ganz so stark beachtete Variante: Die fehlende oder fehlerhafte Datenschutzerklärung kann ebenfalls abgemahnt werden. Auch wenn eine Datenschutzerklärung schon länger Pflichtbestandteil einer Webseite ist, konnte man sich in der Vergangenheit fast sicher fühlen, dass die eigene – nicht vorhandene – Datenschutzerklärung kein Problem darstellen würde. Denn es gab lange einen Streit unter Juristen, ob die Datenschutzerklärung überhaupt abmahnfähig ist. Wer keine Datenschutzerklärung hatte, konnte sich zumindest auf die Begründung stützen, dass es sich bei der Pflicht zur Erstellung einer Datenschutzerklärung nicht um eine verbraucherschützende Norm handele, wie etwa das Landgericht Frankfurt entschied (Teilurteil vom 16.10.2014 – Az.: 2-03 O 27/14). Und so wurde diese Argumentation quasi als Rückzugsmöglichkeit genutzt, obgleich andere Gerichte – so die Oberlandesgerichte Hamburg und Köln – zu abweichenden Ergebnissen kamen. Nun ist die Unsicherheit beseitigt. Denn am 1. Oktober 2016 ist auch der letzte Teil des Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (VDSDG) in Kraft getreten. Damit ist eindeutig klargestellt, dass die Datenschutzerklärung verbraucherschützend ist und eine fehlende oder fehlerhafte Erklärung abmahnfähig ist.
Worum geht es?
Das Telemediengesetz (TMG) fordert in § 13 Abs. 1 auf Webseiten eine Datenschutzerklärung. Das geänderte Unterlassungsklagengesetz stellt nun klar, dass diese Datenschutzerklärung verbraucherschützend ist und ein Verstoß gegen den § 13 Abs. 1 TMG abgemahnt werden kann. Den Satz „Wir nehmen den Schutz Ihrer Daten ernst“ gefolgt von einigen weiteren Ausführungen hat vermutlich jeder schon einige Male gelesen. Bevor man sich diesen Satz aber auf die eigene Webseite kopiert, sollte die geltende Rechtslage kurz beleuchtet werden. Während mit dem Impressum jedem Webseitennutzer klargemacht werden soll, mit wem er sich gerade einlässt, geht es in der Datenschutzerklärung um die Transparenz, welche Daten vom Nutzer erfasst werden und was damit geschieht. An die Datenschutzerklärung stellt das TMG deshalb einige Anforderungen: Der Nutzer ist zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten außerhalb der EU zu informieren. Zudem muss der Inhalt der Unterrichtung für den Nutzer jederzeit abrufbar sein. Es muss also beschrieben sein, welche Daten warum gespeichert werden und was mit ihnen geschieht. In der Erklärung muss etwa beschrieben sein, ob und welche Daten zum verwendeten Browser gespeichert werden und ob IP-Adressen geloggt oder Cookies gesetzt werden. Kommen Tools von Drittanbietern zum Einsatz, ist zusätzliche Sorgfalt geboten. Insbesondere wenn man eine Tracking-Software wie Google Analytics einsetzt oder Social-Media-Plug-ins wie den Facebook-Like-Button verwendet, werden fast zwangsläufig Daten nicht nur auf den eigenen Servern gespeichert, sondern auch weitergeleitet. Für jeden einzelnen Datenverarbeitungsschritt muss ein legitimer Grund gegeben sein. Dieser muss vorab feststehen, und die erhobenen Daten dürfen grundsätzlich nur für den genannten Zweck verwendet werden. Die Datenschutzerklärung muss all dies nachvollziehbar beschreiben. Die Voraussetzung der Abrufbarkeit führt dazu, dass neben dem Impressum auch die Datenschutzerklärung von jeder Seite der eigenen Webpräsenz aus unmittelbar erreichbar sein muss. Folgt man der Meinung einiger Gerichte, hat die Erklärung sogar mit nur einem Klick erreichbar zu sein – und wäre damit noch stärker privilegiert als das Impressum, für das nach herrschender Meinung zwei Klicks reichen.
Die Pflicht, eine Datenschutzerklärung vorzuhalten, trifft jeden mit eigener Webseite. Die Abmahngefahr besteht jedenfalls dann, wenn die Seite in irgendeiner Weise kommerzielle Hintergründe hat. Es droht dann die Gefahr einer Abmahnung mit unnötigen Kosten und nicht unerheblichem Aufwand, auf diese Abmahnung zu reagieren. Und dann muss die Datenschutzerklärung ohnehin aufgenommen werden.
Was sollte getan werden?
Es empfiehlt sich daher, die eigene Webseite zu überprüfen. Sie sollte eine inhaltlich den Vorschriften entsprechende Datenschutzerklärung enthalten, die von jeder Seite aus problemlos erreichbar ist. Wichtig ist, dass die Erklärung den tatsächlichen Gegebenheiten entspricht. Wenn Google Analytics verwendet wird, muss die im Rahmen dieses Tools verwendete Datenspeicherung und -übertragung auch beschrieben werden. Wenn Cookies gesetzt werden, muss dies ebenfalls beschrieben werden – und ebenso wie bei Google Analytics auch die Möglichkeit, wie das jeweils durch den Nutzer verhindert werden kann. Eine bestehende Erklärung aus dem Netz abzuschreiben, ist daher neben der dann zusätzlich bestehenden Urheberrechtsproblematik keine gute Idee. Vielmehr ist es erforderlich, die eingesetzte Technik und gegebenenfalls die Folgeprozesse korrekt zu beschreiben. Im Zweifel sollte daher zunächst der Kontakt zum Dienstleister gesucht werden, der die Webseite betreibt. Vielleicht hat der Dienstleister bereits für eine ähnlich eingerichtete Seite eine passende Erklärung geschrieben. Falls nicht, muss er aber zumindest die notwendigen Informationen zur Verfügung stellen können. Wenn alle erforderlichen Daten vorliegen, können durchaus Vorlagengeneratoren verwendet werden. Aber bitte nicht blind übernehmen! Sollten Sie unsicher sein, hilft Ihnen Ihr Anwalt oder Datenschutzbeauftragter sicherlich gerne weiter.
Foto: Peter Dazeley/Getty Images