Informationen zur Datenschutzerklärung:
Grundlegende Informationen:
Zur Datenschutzerklärung finden sich im Internet viele widersprüchliche Informationen über Anforderungen, zu den Begriffen der "personenbezogenen" oder "nutzungsbezogenen" Daten, sowie zu den Rechtsgrundlagen.
Rechtsgrundlage für die Datenschutzerklärung ist § 13 Telemediengesetz (TMG). Dort ist geregelt: "Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten…".
Soweit sich im Internet Anleitungen zu Datenschutzerklärungen auf § 3 Abs.1 TDDSG (Teledienstedatenschutzgesetz) oder § 12 MDStV (Mediendienstestaatsvertrag) basieren, so ist darauf hinzuweisen, dass beide Vorschriften seit dem 01.03.2007 nicht mehr bestehen und durch das TMG ersetzt wurden.
Weiterhin basieren im Internet viele Gerüchte zu "Abmahnwellen" in Bezug auf fehlerhafte Datenschutzerklärungen. Dies ist ebenfalls unrichtig. Eine wettbewerbsrechtliche Abmahnung erfordert (in diesem Zusammenhang) die Verletzung einer das "Marktverhalten regelnden Norm", gemäß § 4 Nr.11 UWG. Nach herrschender Meinung sind die datenschutzrechtlichen Informationspflichten keine solche Norm und können nicht abgemahnt werden. Zwar gibt es keine Rechtsprechung zum TMG, hinsichtlich des früheren TDDSG wurde dies z.B. durch das LG Essen, Urteil vom 04.05.2003, Az. 44 O 18/03; LG München I, Urteil vom 23.07.2003, Az. 1 HK 1755/03 ausgeurteilt. Hinzukommt, dass jedenfalls bei privaten Internetseiten ohnehin keine Wettbewerbshandlung vorliegt und bei allen Webseiten ein Verstoß gegen die Informationspflicht aus dem TMG nach unserer Ansicht nicht geeignet ist, den Wettbewerb mehr als nur "unerheblich" i.S.v. § 3 UWG zu beeinträchtigen.
Mit einer Abmahnung und insbesondere einer Abmahnwelle ist hinsichtlich der Datenschutzerklärung nicht zu rechnen.
Schon alleine
aus dem Grund, dass Bußgelder verhängt werden könnten, sollte
dennoch eine korrekte Datenschutzerklärung verwendet werden.
Ein kurzes
Eingehen ist noch auf den Begriff der personenbezogenen Daten notwendig:
Personenbezogen
sind Daten, die eindeutig einer Person zugeordnet werden können:
Beispiel:
Ferdinand Meier fährt einen blauen Opel Corsa (personenbezogen)
IP-Adresse
232.124.234.123 ruft am 12.03.2008, 22:23 Uhr die Webseite auf (nicht
personenbezogen)
IP-Adresse
232.124.234.123 verwendet Internet-Explorer 5.0 (nicht personenbezogen)
Ferdinand Meier hat die IP-Adresse 232.123.234.123 am 12.03.2008 um 22.23 Uhr genutzt (personenbezogen).
Dieses Beispiel
enthält noch eine weitere "Kategorie" von Daten. Die "personenbeziehbaren
Daten". Wenn die IP-Adresse bekannt ist, kann - nicht immer und wenn
dann nur mit großen Aufwand - ermittelt werden, welche Person diese
IP-Adresse zu einem bestimmten Zeitpunkt genutzt hat. Die an und für
sich nicht personenbezogene Information einer IP-Adresse, wird durch die
Ermittlung personenbezogen.
Wenn sich der Nutzer einloggt, wird dessen Identität stets erfasst
und es liegen personenbezogene Daten vor.
Wann ist eine Datenschutzerklärung notwendig?
Fall 1: Webseite, die Inhalte zur Verfügung stellt, aber weder den Nutzer identifiziert (z.B. über ein Login-Verfahren) oder Daten des Nutzers erfasst, wie z.B. durch Google-Analytics, Cookies oder andere Verfahren:
Sie benötigen keine Datenschutzerklärung. § 13 TMG verlangt die Information über "personenbezogene Daten". Solche erfassen Sie nicht.
Fall 2: Die Besucher der Webseite müssen sich zwar nicht einloggen, Sie haben aber ein Tool installiert um zu erfassen, wer die Webseite aufruft, mit welchem Computer, Betriebssystem, Browser dies geschieht, u.a.
In diesem Fall erfassen Sie Daten - die zwar keiner Person zugeordnet werden können, aber ggf. zu einem späteren Zeitpunkt zu einer Identifikation des Nutzers führen können.
§ 13
Abs.1 S.2 TMG regelt hierzu: "Bei einem automatisierten Verfahren,
das eine spätere Identifizierung des Nutzers ermöglicht und eine
Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer
zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung
muss für den Nutzer jederzeit abrufbar sein."
Sie benötigen
also eine Datenschutzerklärung, die über die Erhebung dieser Daten
informiert. Ebenso wie beim Impressum und der Widerrufsbelehrung sollte
die Datenschutzerklärung leicht zu finden sein (maximal 2 Klicks von
der Startseite, mit "sprechendem" - d.h. beschreibenden Link).
Zumindest benötigen Sie aber keine Einwilligung des Nutzers. Allerdings gibt es Stimmen, die davon ausgehen, dass selbst für diese Konstellation eine Einwilligung des Nutzers notwendig ist, weil z.B. Google über die Kombination eines Google-Kontos und der Erfassung einer Webseite über Google-Analytics eine direkte Zuordnung und persönliche Identifizierung vornehmen könnte. Da Google aber zumindest selbst erklärt, dies nicht zu tun, muss nach unserer Ansicht auch keine Einwilligung des Nutzers erfolgen.
Fall 3:
Die Besucher Ihrer Webseite loggen sich ein, oder Sie betreiben einen
Onlineshop und erfassen zu diesem Zweck Name und Adresse des Nutzers (schon
um die Ware liefern zu können).
In diesem Fall
erfassen Sie persönliche Daten des Nutzers. Der Nutzer ist hierüber
zu informieren, § 13 Abs.1 S.1 TMG.
Zu prüfen ist noch, ob Sie auch eine explizite Einwilligung des Nutzers benötigen.
§ 14
Abs.1 TMG regelt hierzu: "Der Diensteanbieter darf personenbezogene
Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung,
inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses
zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien
erforderlich sind (Bestandsdaten)."
Die Daten, die Sie benötigen um einen Vertrag zu erfüllen, dürfen Sie erheben, auch ohne explizite Einwilligung. Alles andere wäre auch widersprüchlich. Stellen Sie sich vor, Sie sollen den Kunden Ihres Onlineshops beliefern, dieser hat Ihnen aber keine Einwilligung in die Erfassung der Adresse gegeben.
Fall 4: Sie erfassen wie in Fall 3 personenbezogene Daten. Zusätzlich möchten Sie die Personenbezogenen Daten verwenden, um den Nutzer gelegentlich über "interessante Angebote" zu informieren, oder um dessen Adresse an einen Adresshändler zu verkaufen.
In diesem Fall geht der Nutzungszweck über das hinaus, was Sie zur Erfüllung des Vertrages benötigen. Die weitere Nutzung der Daten ist nur zulässig, wenn der Nutzer explizit zugestimmt hat.
Eine Verwendung der Daten ohne eine ausreichende Zustimmung des Nutzers ist nach unserer Ansicht wettbewerbswidrig und kann abgemahnt werden, weil in diesem Fall erheblich in die Rechte des Nutzers eingegriffen wird und die Einwilligung des Nutzers insoweit auch das Marktverhalten regelt.
Die Anforderungen an eine wirksame Einwilligung zur Datenverarbeitung sind hoch. Diese muss klar, eindeutig und einfach zu verstehen sein, den Nutzer auch warnen (Warnfunktion) und es muss klar sein, in was genau der Nutzer einwilligen soll. Die meisten Einwilligungserklärung im Internet erfüllen diese Anforderungen nicht.
Beispielshaft aufgeführt sind Einwilligungen, bei denen ein "Ich bin einverstanden" Text bereits mit einem vor-angekreuzten Häkchen versehen ist unwirksam, ebenso wie versteckte oder unklare oder auffordernde Einwilligungen wie z.B.: "Sicher möchten auch Sie von unseren Partnern und Dritten über interessante Angebote informiert werden".
Umwirksam ist z.B.
Eine Formularklausel in dem Kundenkartenvertrag, mit der sich der Karteninhaber damit einverstanden erklärt, dass seine Angaben für statistische Zwecke verwendet werden, ist unvereinbar mit dem Gebot des § 4a Abs. 1 S. 4 BDSG i.V.m. § 4 Abs. 1 BDSG und deshalb unwirksam (LG Berlin, 29.05.2002, Az: 26 O 4/02).
Enthalten die Allgemeinen Geschäftsbedingungen eines Teledienstleisters eine Klausel, wonach der Verwender quasi ermächtigt wird, die ihm übermittelten personenbezogenen Daten nach eigenem Ermessen unbeschränkt an Dritte weiterzugeben, bedarf diese Verarbeitung und Nutzung der Daten der eindeutigen und bewußten Einwilligung des Betroffenen gemäß § 4a BGSG (LG Dortmund, 23.02.2007, Az: 8 O 194/06). Ein Ankreuzfeld bei der Internetanmeldung "Ich bin damit einverstanden, dass meine Daten zur Erbringung von Dienstleistungen an Dritte weitergegeben werden" ist nicht eindeutig und deshalb unwirksam.
Folgende Klauseln
in den AGB eines Anbieters von Mobilfunkdiensten halten einer Kontrolle
nach Maßgabe des § 9 bzw. des § 11 Nr. 15 AGBG nicht stand:
"Ich bestätige und anerkenne die mir ausgehändigten Allgemeinen
Geschäftsbedingungen und die gültige Preisliste von T-Mobile.
Ich willige ein, dass die oben angegebenen Daten für Zwecke der Werbung,
Kundenberatung oder Marktforschung verarbeitet und genutzt werden (ggf.
streichen)" (OLG Köln, 11.01.2002, Az: 6 U 125/01).
Weiter zu: Auszug aus dem Telemediengesetz (TMG)
zurück Version: 0804042211
