Header graphic for print
Datenschutz News & Trends
Rubrik: Compliance, Datenschutz Allgemein, Datenschutz im Internet, Kundendatenschutz

Website Compliance: Datenschutz auf Unternehmenswebseiten

Internet (iStock_000005558176Small_quadrat)Datenschutzverstöße auf Webseiten von Unternehmen sind immer noch ein aktuelles Thema: Dies zeigt zuletzt auch das jüngste Vorgehen der Verbraucherzentrale NRW, die eine Reihe von Unternehmen wegen der aus ihrer Sicht unzulässigen Verwendung des „Like“-Buttons von Facebook in Anspruch genommen hat.

Unternehmen unterhalten regelmäßig komplexe Webseiten, die einer Vielzahl datenschutzrechtlicher Anforderungen genügen müssen. Werden diese nicht beachtet, drohen Maßnahmen der Aufsichtsbehörden und Abmahnungen durch Wettbewerber oder Verbraucherschutzverbände. Zwar ist in der Rechtsprechung im Einzelfall bisher umstritten, ob Verstöße gegen datenschutzrechtliche Regelungen einen abmahnfähigen Wettbewerbsverstoß darstellen; zur Reduzierung der Abmahngefahr empfiehlt es sich jedoch dringend, die zwingende datenschutzrechtlichen Vorgaben einzuhalten. Dass aktuell ein ernsthaftes Abmahnrisiko besteht, zeigt das angesprochene Vorgehen der Verbraucherzentrale NRW. Nach dem Gesetzesentwurf zur Einführung eines Klagerechts für Verbraucherschutzverbände dürfte zudem zu erwarten sein, dass Verbraucherverbände datenschutzrechtliche Verstöße bald auch ohne Rücksicht auf das Wettbewerbsrecht unmittelbar gegen Unternehmen verfolgen können.

Social-Plugins

Datenschutzrechtlich problematisch ist nach wie vor die Einbindung von Plugins sozialer Netzwerke (Social-Plugins) auf Webseiten, wie z.B. durch Einsatz des „Like“- oder „Gefällt mir“-Buttons von Facebook oder vergleichbare Plugins anderer Anbieter wie z.B. Twitter, Google+, LinkedIn oder Pinterest.

FacebookDies war auch Gegenstand der Abmahnungen der Verbraucherzentrale NRW wegen des Einsatzes des Facebook „Like“-Buttons: Diese stützte sich auf die in Deutschland vorherrschende Rechtsauffassung, nach der die direkte Einbindung von Social-Plugins datenschutzrechtlich unzulässig ist, weil das Plugin bereits bei Aufrufen der Seite, auf der es eingebunden ist, eine Datenverbindung zu dem Betreiber des sozialen Netzwerkes aufbaut, ohne dass der Nutzer über diese Datenerhebung zuvor informiert wird. Webseitenbetreiber, die marketingseitig nicht auf die Funktionalitäten von Social-Plugins verzichten möchten, sollten zur Minimierung der rechtlichen Risiken die Implementierung der sog. „2-Klick-Lösung“ oder vergleichbarer technischer Lösungen in Erwägung ziehen, bei denen der Webseitenbesucher das Plugin und die mit diesem verbundene Datenübertragung erst aktivieren muss, z.B.:

2-click

Nicht vergessen werden darf daneben die Erfüllung der Informationspflicht aus § 13 Telemediengesetz („TMG“): Danach muss der Webseitenbetreiber als Diensteanbieter den Nutzer über die datenschutzrechtlich relevanten Vorgänge auf seiner Webseite informieren. In der bisherigen Praxis hat es sich zur Risikominimierung bewährt, hierzu Klauseln in der Datenschutzerklärung vorzuhalten, die die relevanten Informationen zu Social-Plugins enthalten und daneben auf die Datenschutzerklärungen der jeweiligen Betreiber der sozialen Netzwerke verweisen.

Webformulare

Zusätzlich ist eine einzelfallbezogene Information der Webseitenbesucher im Falle einer Datenerhebung und -verarbeitung bei dem Einsatz von Webformularen erforderlich, die beispielsweise für Kontaktformulare, Gewinnspiele, Newsletterbestellungen oder bei geschlossenen Nutzerbereichen eingesetzt werden, erforderlich. Hier geht es neben der Erfüllung der Pflicht zur Information des Nutzers in der Regel darum, für die Erhebung und Verarbeitung der Daten eine Einwilligung des Nutzers einzuholen, die alle Wirksamkeitserfordernisse des Bundesdatenschutzgesetzes („BDSG“) aufweist. Dies gilt insbesondere, wenn besondere Arten personenbezogener Daten (sog. sensitive Daten) im Sinne von 3 Abs. 9 BDSG betroffen sind, wie etwa Angaben über die Gesundheit des Webseitenbesuchers.

Cookies

Vor dem Hintergrund der sogenannten e-Privacy-Richtlinie der EU unterliegt auch der Einsatz von Cookies besonderen datenschutzrechtlichen Anforderungen. Diese Richtlinie verlangt die Zustimmung des Internetnutzers, bevor Cookies auf dem von ihm verwendeten Gerät gespeichert werden. Die Zustimmung muss dabei „vollinformiert“ sein, verlangt also einen entsprechenden prominenten Hinweis auf die Verwendung von Cookies. Die Artikel-29-Datenschutzgruppe hat hierzu im Rahmen ihres „Cookie Sweeps“ kürzlich festgestellt, dass auf den meisten Webseiten eine ausreichende Information und Zustimmung des Nutzers nicht gewährleistet ist. Um eine wirksame Zustimmung eines Webseitenbesuchers zu erlangen, empfiehlt sich je nach Gestaltung der Webseite der Einsatz von Bannern, die auf den Einsatz von Cookies hinweisen, oder von Pop-Up-Fenster, in denen der Besucher aktiv dem Einsatz von Cookies durch Anklicken eines Buttons zustimmen muss. Daneben ist darauf zu achten, den Nutzer in der Datenschutzerklärung zutreffend und vollständig über die einzelnen eingesetzten Cookies (z.B. Art, Einsatzzweck, Empfänger der Daten) zu informieren.

Analyse-Tools

Datenschutzrechtliche Einschränkungen sind schließlich beim Einsatz von Analyse-Tools wie etwa Google Analytics, Piwik, etracker oder Webtrekk zu berücksichtigen, die zur umfassenden Auswertung des Verhaltens von Webseitenbesuchern eine Vielzahl von Daten erfassen. So ist darauf zu achten, dass die IP-Adresse des Webseitenbesuchers durch eine automatische Kürzung anonymisiert wird und eine Möglichkeit für diesen vorgesehen ist, der Datenerhebung durch das Tool zu widersprechen (sog. Opt-Out-Lösung), wie etwa das Landgericht Frankfurt a.M. für das Tool „Piwik“ ausdrücklich festgestellt hat. Dass Unternehmen diese Vorgaben oftmals nicht fehlerfrei umsetzen, zeigte exemplarisch eine Untersuchung der baden-württembergischen Datenschutzbehörde im Jahr 2014, die Mängel bei rund 65% der untersuchten Unternehmenswebseiten feststellte.

Bookmarking- und Targeting-Tools

Vorsicht ist auch bei dem Einsatz von Bookmarking-Dienste und Targeting-Tools wie z.B. AddThis oder Share This Hier empfiehlt es sich, in der Datenschutzerklärung auf die Datenerhebung durch den Anbieter des Tools sowie auf die Widerspruchsmöglichkeit des Webseitenbesuchers durch Setzen eines Opt-Out-Cookies hinzuweisen.

Mobile Webseiten und Apps

Es versteht sich schließlich von selbst, dass auch Webseiten-Versionen für mobile Endgeräte (Smartphones, Tablets) sowie Apps die datenschutzrechtlichen Anforderungen erfüllen und entsprechend angepasste Datenschutzhinweise vorhalten müssen. Insbesondere datenschutzrechtliche Verstöße bei Apps geraten immer mehr in den Fokus der Datenschutzbehörden. So hat etwa der Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes NRW Ende 2014 ein „Prüflabor“ eingerichtet, mit dem der datenschutzkonforme Betrieb von Apps überprüft werden soll (siehe den Tätigkeitsbericht des LDI NRW vom 13. Mai 2015, S. 36 ff.). Das Bayerische Landesamt für Datenschutzaufsicht stellte jüngst zudem speziell bei Apps für Kinder häufige Verstöße gegen das Datenschutzrecht fest.

Impressum

In telemedienrechtlicher Hinsicht ist schließlich zu beachten, dass die Angaben zur Anbieterkennzeichnung aus § 5 TMG (sog. Impressum) vollständig und aktuell unter einem separaten Link vorgehalten werden. Gerade Verstöße gegen diese Impressumspflicht sind höchst abmahnträchtig und beschäftigen auch immer wieder die Gerichte (zu jüngeren Entscheidungen siehe unseren TMT-Newsletter aus März 2015, S. 10).

Praxistipp

Es bleibt festzuhalten, dass ein datenschutzrechtskonformer Betrieb einer Webseite sowohl eine sorgfältige Abstimmung der Webseiteninhalte als auch eine einzelfallbezogene Erstellung der rechtlich erforderlichen Texte wie insbesondere der Datenschutzerklärung erfordert. Unternehmen sollten zudem regelmäßig überprüfen, ob ihre Webseite mit den aktuellen rechtlichen Anforderungen im Einklang steht. Im Falle von Änderungen in den technischen Funktionalitäten der Webseite sollte zudem stets sichergestellt werden, ob diese eine Änderung der Datenschutzerklärung oder etwa das Einholen einer Einwilligung erforderlich machen. So kann letztlich nicht nur ein rechtliches Risiko vermieden, sondern auch wertvolles Vertrauen der Webseitenbesucher gewonnen werden.