Die EU-DSGVO regelt die komplette oder auch teilweise automatisierte sowie nichtautomatisierte Verarbeitung von personenbezogenen Daten, die in einem Computer, Tablet o.ä. gespeichert werden (sollen). Was die wenigsten wissen: Diese „Verarbeitung“ findet bereits während des kurzen Besuchs einer Webseite statt. Auch Kleinunternehmen und Freiberufler, die nicht mehr als eine einfache Webseite betreiben oder einen Social Media Account haben, müssen daher wissen, welche Vorkehrungen sie im Sinne der EU-DSGVO treffen müssen.

In jedem Fall notwendig: die Datenschutzerklärung

Als Betreiber einer eigenen Webseite, benötigen Kleinunternehmen und Freiberufler in jedem Fall eine Datenschutzerklärung. Sie informiert die Besucher der Webseite unter anderem über Art, Umfang und Zweck der Datenverarbeitung: Was passiert zum Beispiel während des Besuchs einer Webseite mit der IP-Adresse des Nutzers? Was geschieht mit Name, E-Mailadresse und weiteren personenbezogenen Daten des Nutzers bei einer Kontaktaufnahme? Auf welcher Rechtsgrundlage und zu welchen Zwecken werden die Daten gespeichert? Zum Beispiel zur Anbahnung eines Vertragsverhältnisses (Art. 6 Abs. 1 lit. b) DSGVO)? Oder einfach nur, um auf Anfragen reagieren zu können? Von wem werden die Daten verarbeitet und über welche Dauer werden sie gespeichert? Wie werden diese Daten verarbeitet? Usw.

Die Datenschutzerklärung muss in präziser, transparenter, verständlicher und leicht zugänglicher Form – ähnlich wie das Impressum – für jeden Besucher der Webseite, ohne langes Scrollen und mit maximal zwei Klicks erreichbar sein. Empfehlenswert ist es daher, den Link auf die Datenschutzerklärung in der Kopfzeile der Webseite zu platzieren.

Wer seine Datenschutzerklärung auf der Seite des Impressums unterbringen möchte, muss dies u.a. in der Bezeichnung des Links deutlich machen. Beispiel: „Impressum/Datenschutzerklärung“. Auf der Impressumsseite selbst ist dann wiederum auf die leichte Zugänglichkeit der Datenschutzerklärung zu achten. Der Nutzer muss sie ohne langes Scrollen erreichen.

Bei der Abfassung einer rechtssicheren Datenschutzerklärung können beispielsweise Rechtsanwälte helfen. Eine erste Orientierung, die allerdings rechtlich nicht verbindlich ist, bieten Mustervorlagen, die online beispielsweise über sog. Datenschutz- oder Datenschutzerklärungs-Generatoren erzeugt und heruntergeladen werden können. Nicht zu empfehlen ist jedoch eine ungeprüfte Übernahme der Mustervorlagen.

Hilfestellung bietet auch die Checkliste zur Datenschutzerklärung des Mittelstand 4.0-Kompetenzzentrums Chemnitz.

Persönliche Daten über Kontaktaufnahme per E-Mail erheben

Über die Kontaktaufnahme per E-Mail sendet der Nutzer personenbezogene Daten (E-Mailadresse, Name usw.) an das Unternehmen, das diese Daten wiederum in irgendeiner Art verarbeitet (z.B. (temporär) speichert oder weiterleitet). Wer auf seiner Webseite daher nur seine E-Mailadresse als Kontaktmöglichkeit anbietet, sollte die daraus folgende Verarbeitung der Daten in seiner Datenschutzerklärung beschreiben.

Persönliche Daten über Kontaktformular erheben

Unternehmer und Freiberufler, die auf ihrer Webseite ein Kontaktformular anbieten, müssen den Datenverarbeitungsvorgang, der sich daraus ergibt, ebenfalls in ihrer Datenschutzerklärung erläutern. Sie sollten den Nutzer auf die Datenschutzerklärung hinweisen bzw. eine Bestätigung einholen, bevor er das Kontaktformular „abschickt“.

Eine gesonderte Einwilligungserklärung ist dagegen in der Regel nicht nötig, wenn zum Beispiel ein berechtigtes Interesse des Webseitenbetreibers an der Datenverarbeitung vorliegt (vgl. Art. 6 Abs. 1 lit. f) EU-DSGVO). In diesem Fall muss der Nutzer aber bereits bei der ersten Kontaktaufnahme ausdrücklich darauf hingewiesen werden, dass er gegen die Datenverarbeitung Widerspruch einlegen kann (Art. 21 EU-DSGVO). Dieser Hinweis muss verständlich formuliert und von anderen Informationen getrennt sein.

In jedem Fall gilt: Wer auf seiner Webseite ein Kontaktformular anbietet, muss die darüber eingehenden Daten mittels verschlüsselter Verbindung an seinen Server übertragen: Entweder mit dem „alten“ Standard Secure Sockets Layer (SSL) oder per Transport Layer Security (TLS).

Und: Welche Daten über ein Kontaktformular überhaupt erhoben werden dürfen, regelt ebenfalls die EU-DSGVO (Datenminimierungsgrundsatz). Demnach dürfte wohl die E-Mailadresse des Nutzers oder eine Telefonverbindung ausreichen, um eine Anfrage zu bearbeiten.

Nutzerprofile über Cookies und Log-Files erheben

Besucht ein Nutzer eine Webseite, die mit Cookies arbeitet, wird auf seinem eigenen Computer eine kleine Textdatei automatisch hinterlegt. Beim erneuten Besuch der Webseite wird diese Datei vom Betreiber der Webseite ausgelesen und gibt damit Auskunft über das Nutzerverhalten des Besuchers.

Auch wenn die meisten Webseiten heutzutage mit Cookies arbeiten, sind sie für den Betrieb einer einfachen Webseite nicht notwendig. Webseitenbetreiber, die Cookies einbinden, sollten daher genau wissen, was sie im Einzelnen damit bezwecken: Soll zum Beispiel ein Nutzerprofil mittels der Cookies erstellt werden („Webtracking“)? Oder handelt es sich nur um technisch erforderliche Cookies, die beispielsweise die Navigation auf der Webseite erleichtern.

Je nachdem, welche Cookies auf der Webseite eingesetzt werden, muss der Webseitenbetreiber die Nutzer darüber nicht nur durch ein „Cookie-Banner“ sowie Details in der Datenschutzerklärung informieren. Darüber hinaus benötigt er auch das Einverständnis der Nutzer, bevor der Cookie auf deren Computer platziert werden darf. Diese Aufforderung zur Einverständniserklärung kann in das „Cookie-Banner“ integriert werden.

Die erforderlichen Informationen über die Cookie-Nutzung sollten insbesondere darüber aufklären, warum die Cookies eingesetzt werden und welchen Zweck sie erfüllen (z.B. Webtracking, technische Erforderlichkeit), um welchen Cookie-Typ es sich handelt und wie die Nutzung unterbunden werden kann (z.B. Widerspruch oder Widerruf der Einwilligung).

Ob die eigene Webseite Cookies benutzt und wenn ja, welche Art von Cookies, sollte in jedem Fall der IT-Dienstleister wissen, der die Webseite „gebaut“ hat. Unternehmer und Freiberufler, die ihre Webseite mit Hilfe von vorgefertigten Modulen im Internet selbst erstellt haben, sollten sich bei dem jeweiligen Anbieter erkundigen, ob in den „Bausätzen“ auch Cookies und Analysetools eingebunden sind und um welche es sich genau handelt. Diese Informationen müssen in der Datenschutzerklärung berücksichtigt werden.

Je nachdem, welcher Cookie-Typ verwendet wird, ergeben sich womöglich weitere rechtliche Rahmenbedingungen. Lassen Sie sich hierzu von spezialisierten Fachanwälten beraten.

Log-Files werden im Unterschied zu Cookies auf jeder Webseite und bei jedem Aufruf erzeugt. Das Betriebssystem erfasst dabei automatisch Informationen des aufrufenden Rechners (Nutzers). Dazu gehören zum Beispiel die IP-Adresse sowie Datum und Uhrzeit des Zugriffs. Diese Informationen werden auf dem Server des Webseitenbetreibers kurzzeitig gespeichert. Die für die Dauer der Sitzung erfolgte Speicherung ist notwendig, um die Webseite auf dem Rechner des Nutzers darzustellen. Die Speicherung der Informationen in Log-Files stellt also u.a. die Funktionsfähigkeit der Webseite sicher.

Auch wenn der Nutzer der Verwendung von Log-Files nicht ausdrücklich zustimmen muss, muss der Webseitenbetreiber in seiner Datenschutzerklärung darüber informieren.

EuGH-Urteil zum „Gefällt mir“-Button von Facebook

In seinem Urteil vom 29. Juli 2019 stellt der Europäische Gerichtshof (EuGH) fest: „Der Betreiber einer Website, in der der ‚Gefällt mir‘-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein. Eine Verantwortung hinsichtlich der Verarbeitung der Daten durch Facebook besteht aber nicht.“

Nach dem Urteil des EuGH ist auch der Webseiten-Betreiber für das rechtskonforme Erheben und Weiterleiten der Benutzerdaten an Facebook verantwortlich. Das bedeutet, dass der Website-Betreiber die Besucher seiner Website schon in seiner Datenschutzerklärung darüber informieren muss, dass entweder schon der Besuch seiner Website oder das Anklicken des "Gefällt mir"-Buttons dazu führt, dass personenbezogene Daten (jedenfalls die IP-Adresse) eingesammelt und an Facebook Irland weitergeleitet werden. Welche technischen Abläufe der Weiterleitung zugrundeliegen, muss der Betreiber der Website zuvor ermitteln, um die Abläufe in der Datenschutzerklärung exakt beschreiben zu können. Ferner muss er sich die Einwilligung der Nutzer zur Weiterleitung der Daten einholen. Dies kann der Website-Betreiber z.B. im Wege eines Einwilligungs-Banners (ähnlich des Cookie-Banners) realisieren. Nähere Informationen zu datenschutzrechtlichen Aspekten im Unternehmensalltag finden sich in der Wissensbox des Kompetenzzentrums Chemnitz.

Persönliche Daten über Social Media erheben

Am 5. Juni 2018 entschied der Europäische Gerichtshof, dass Betreiber von Facebook-Fanpages genauso wie Facebook selbst dafür verantwortlich sind, dass die persönlichen Daten der Nutzer entsprechend der EU-DSGVO verarbeitet werden.

So lange beispielsweise Facebook seine Datenschutzerklärung nicht entsprechend der EU-DSGVO formuliert, kann der Betreiber der Fanpage für diesen Verstoß in Anspruch genommen werden. Die Datenschutzbehörden des Bundes und der Länder haben deshalb am 6. Juni 2018 ausdrücklich darauf hingewiesen, „dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht.“
In welcher Form dies geschehen soll, bleibt jedoch offen. Die derzeitige Situation sorgt gerade deshalb bei vielen Unternehmen für Unsicherheit. Unternehmen, die kein Risiko eingehen möchten, schalten ihre Facebook-Fanpage (übergangsweise) ab. Alternativ müssten sie abwägen, wie groß der Nutzen ihrer Kommunikation über die Facebook-Fanpage im Vergleich zum Risiko eines möglichen Datenschutzverstoßes ist.

Eine ähnliche Abwägung betrifft auch die Kommunikation über WhatsApp. Auch dort werden zum Großteil ungefragt personenbezogene Daten übertragen, ohne dass hierfür eine Rechtsgrundlage existiert. Dies betrifft insbesondere die Übertragung des Kontaktverzeichnisses.

Weitere Informationen finden Sie auch in dem Artikel „Datenschutz (EU-DSGVO) allgemein“ (s.o.).

Verzeichnis über alle Verarbeitungstätigkeiten

Das Verarbeitungsverzeichnis dokumentiert u.a. Namen und Kontaktdaten des Webseitenbetreibers und ggf. IT-Dienstleisters, die Zwecke der Datenverarbeitung, die Kategorien der Nutzer und ggf. weiterer betroffener Personen/-gruppen sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 32 Abs. 1 EU-DSGVO (Sicherheit der Verarbeitung) etc.

Die Pflicht zur Erstellung eines sog. „Verzeichnisses über alle Verarbeitungstätigkeiten“ gilt laut EU-DSGVO eigentlich nur für Unternehmen ab 250 Mitarbeitern. Allerdings gibt es Ausnahmen: Unabhängig von der Unternehmensgröße muss ein solches Verzeichnis auch dann geführt werden, wenn die Verarbeitung der Daten

• ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
• nicht nur gelegentlich erfolgt, also vorhersehbar und in regelmäßigen Abständen wiederkehrend oder auch fortlaufend ist. Beispiel: Die Datenverarbeitung im Rahmen der meisten CRM-Systeme (Customer-Relationship-Management-Systeme), bei der Lohnabrechnung und Internet-/E-Mail-Protokollierung. Oder
• besondere Datenkategorien betrifft, zum Beispiel Gesundheitsdaten, genetische oder biometrische Daten (Art. 9 Abs. 1 EU-DSGVO) oder strafrechtliche Verurteilungen und Straftaten (Art. 10 EU-DSGVO)

Die Datenschutzbehörden des Bundes und der Länder gehen jedoch davon aus, dass die Privilegierung für Unternehmen mit weniger als 250 Mitarbeitern, kein Verzeichnis führen zu müssen, in der Praxis nur sehr selten greifen dürfte.

Trotzdem: Auch wenn das Anlegen eines solchen Verzeichnisses für Unternehmen mit weniger als 250 Mitarbeitern sowie für Freiberufler nicht erforderlich ist, lohnt es sich, darüber nachzudenken, ob es nicht doch der Mühe wert ist. Denn letztlich hilft es, die eigenen Datenverarbeitungsvorgänge im Unternehmen besser und auch strukturierter nachzuvollziehen und gegebenenfalls nachzubessern. Dabei ist es zudem eine gute Basis für die Erstellung der Datenschutzerklärung, in der viele der Inhalte aus dem Verzeichnis übertragen werden können.

Als Orientierung kann die Vorlage der Datenschutzbehörden des Bundes und der Länder dienen. Sie besteht aus einem Deckblatt, in dem die Stammdaten des Verantwortlichen eingetragen werden sowie zwei weiteren A4-Seiten, die für jede Verarbeitungstätigkeit ausgefüllt werden.

Weitere Hinweise zur Führung eines Verzeichnisses stellen die Datenschutzbehörden des Bundes und der Länder zur Verfügung.

Jeder Unternehmer, der über seine Webseite, seinen Online-Shop oder andere digitale Angebote personenbezogene Daten seiner Kunden erhebt, muss in einer sog. Datenschutzerklärung u.a. folgende Informationen zur Verfügung stellen:

• die Art der Daten, die erhoben werden
• den Umfang der Daten,
• den Namen und die Kontaktdaten des Verantwortlichen
• gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
• den Zweck der Erhebung,
• die Verarbeitung oder Nutzung der Daten,
• die Rechtsgrundlage,
• die Speicherdauer,
• das Recht auf Auskunft, Berichtigung oder Löschung
• etwaig bestehende Widerrufsrechte.

Wichtig: Nach der EU-Datenschutzgrundverordnung (EU-DSGVO) und dem Bundesdatenschutzgesetz (BDSG) hat der Nutzer gegenüber dem Seitenbetreiber ein Recht auf Auskunft über die betreffenden personenbezogenen Daten. Er hat außerdem ein Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung (Sperrung) sowie das Recht auf Datenübertragbarkeit. Über diese und weitere Rechte muss der Seitenbetreiber die Nutzer in seiner Datenschutzerklärung unterrichten und ihnen aufzeigen, wie sie diese Rechte wahrnehmen können. Er ist darüber hinaus dazu verpflichtet, dem Betroffenen die Ausübung dieser Rechte so leicht wie möglich zu gestalten (Art. 12 Abs. 2 EU-DSGVO).

Alle Informationen werden in der Datenschutzerklärung zusammengefasst und auf der Webseite veröffentlicht.

Grundlage für die genannten Informationspflichten sind u.a. § 13 Abs. 1 Telemediengesetz sowie Art. 13 EU-DSGVO.

Erstellung einer Datenschutzerklärung

Die Datenschutzerklärung muss allgemein verständlich, übersichtlich und ansprechend gestaltet sein. Alle darin enthaltenen Links sind richtig und anklickbar. Die Datenschutzerklärung bezieht sich auf alle Datenverarbeitungsvorgänge, die auf der Webseite stattfinden. Dazu gehören beispielsweise der Newsletterversand, Kontaktformulare, Kommentar-/Bewertungsbereiche, geschützte Mitgliederbereiche usw. Das heißt, alle Bereiche, in denen personenbezogene Daten verarbeitet werden.

Sollten Sie Fragen zur Erstellung einer Datenschutzerklärung haben, wenden Sie sich bitte an eine Rechtsanwältin bzw. einen Rechtsanwalt vor Ort. Die ungeprüfte Übernahme von Mustervorlagen für Datenschutzerklärungen aus dem Internet ist nicht empfehlenswert.

Verfügbarkeit und Verlinkung der Datenschutzerklärung

Die Hinweise zum Datenschutz müssen von den Nutzern jederzeit auf der Internetseite abgerufen werden können, § 13 Abs. 1 S. 3 TMG. Ähnlich wie das Impressum muss die Datenschutzerklärung mit einem sog. sprechenden Link versehen, also klar, verständlich und gut platziert, sein. Die Bezeichnung des Links kann beispielsweise „Datenschutz“ bzw. „Datenschutzerklärung“ lauten und ist von allen Seiten in der Regel über die Fußzeile abrufbar. Es reicht grundsätzlich nicht aus, die Datenschutzerklärung in die AGB einzubinden oder als Unterpunkt im Impressum zu platzieren.

Einwilligungserklärung des Nutzers

Seitenbetreiber, die personenbezogene Daten verarbeiten möchten, müssen sich hierfür die Einwilligung des Nutzers einholen. Ausnahme: Die Daten werden zum Zweck eines (Vor-)Vertrages, einer rechtlichen Verpflichtung oder zur Wahrung überwiegender berechtigter Interessen verarbeitet (vgl. Art. 6 Abs. 1 EU-DSGVO sowie § 15 TMG). In diesen Fällen ist keine Einwilligung erforderlich.

Als Einwilligung gilt jede freiwillig abgegebene Willensbekundung, die der zuvor informierte Nutzer für einen bestimmten Fall bezieht abgibt. Die Einwilligung muss unmissverständlich sein und wird in Form einer grundsätzlich nicht formgebundenen Erklärung, durch das Setzen eines Häkchens oder einer sonstigen eindeutigen bestätigenden Handlung abgegeben. Damit stimmt die betroffene Person zu, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist.

Der Betreiber der Webseite muss in jedem Fall nachweisen können, dass der Nutzer in die Datenverarbeitung eingewilligt hat. Insbesondere für die schriftliche Erklärung, die auch noch andere Sachverhalte betrifft (z.B. AGB), muss auf eine verständliche und leicht zugängliche Form sowie eine klare und einfache Sprache geachtet werde. Die Einwilligungserklärung muss sich von den anderen Sachverhalten klar unterscheiden. Außerdem muss der Nutzer vor Abgabe der Einwilligung darüber informiert werden, dass er seine Einwilligung jederzeit widerrufen kann. Der Widerruf der Einwilligung muss dabei genau so einfach wie die Erteilung der Einwilligung sein.

Nutzung von Cookies

Cookies sind Informationen, die auf dem Computer des Nutzers in einer kleinen Textdatei hinterlegt und bei einem erneuten Besuch einer bestimmten Internetseite von deren Betreiber ausgelesen werden. Online-Shops nutzen regelmäßig Cookies oder vergleichbare Techniken, um beispielsweise den Warenkorb des Nutzers zu speichern und bei einem erneuten Seitenaufruf wieder anzuzeigen. Damit beinhalten Cookies personenbezogene Daten und sind datenschutzrechtlich relevant. Dies gilt selbst dann, wenn die Informationen nicht ohne Weiteres einer spezifischen Person zugeordnet werden können. Stichwort: „Pseudonymisierung“ (Artikel 4 Nr. 5 EU-DSGVO).

Zum Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Webseite, des Online-Shops o.a. können Nutzungsprofile anhand von pseudonymisierten Daten erstellt werden, wenn der Nutzer dem nicht widerspricht (§ 15 Abs. 3 TMG). Der Betreiber der Webseite muss die Nutzer allerdings neben den sonstigen Informationen – u.a. zum Einsatz von Cookies und zum Zweck der Datenverarbeitung – auf ihr Widerspruchsrecht hinweisen.

Die EU-DSGVO selbst regelt den Einsatz von Cookies nicht, da diese in den Anwendungsbereich der geplanten ePrivacy-Verordnung der Europäischen Union fallen. Bis zum Inkrafttreten der ePrivacy-Verordnung gilt allerdings die bisherige Regelung aus dem Telemediengesetz (s.o., Art. 95 EU-DSGVO) oder alternativ (Art. 6 Abs. 1 lit. f) EU-DSGVO („berechtigtes Interesse“). Bitte lassen Sie sich hierzu im Zweifel beraten.

Newsletter-Versand

Der Versand eines Newsletters setzt in der Regel eine vorherige ausdrückliche und eindeutige bestätigende Einwilligung des informierten Nutzers voraus. Da diese Einwilligung vom Seitenbetreiber nachgewiesen werden muss (Art. 7 Abs. 1 EU-DSGVO), ist das sog. Double-Opt-In-Verfahren – in der Regel in Verbindung mit einer elektronischen Protokollierung – erforderlich. Ein einfaches Opt-Out-Verfahren ist dagegen nicht zulässig.

Der Nutzer hat zudem das Recht, die Einwilligung jederzeit zu widerrufen und muss vor Abgabe der Einwilligung über sein Widerrufsrecht informiert werden (Art. 7 Abs. 3 EU-DSGVO). Da der Widerruf genauso einfach wie die Erteilung der Einwilligung sein muss, sollte bei jedem Versand auf die Möglichkeit einer Austragung aus dem Newsletter-Verteiler hingewiesen und ein (anklickbarer) Link zur Abmeldung vom Newsletter in den Newsletter-Mails (Opt-Out) eingebunden werden.

Ausnahme: Elektronisch versandte Werbung ist auch dann ohne ausdrückliche Einwilligung zulässig, wenn

• der Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse (E-Mailadresse o.a.) erhalten hat und
• der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet und
• der Kunde der Verwendung nicht widersprochen hat und
• der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Diese Ausnahme gilt nur dann, wenn alle oben genannten Voraussetzungen vorliegen (§ 7 Abs.3 UWG).

Datenübertragung in Drittstaaten außerhalb der EU

Die Übermittlung von personenbezogenen Daten innerhalb der EU ist unproblematisch. Die Mitgliedstaaten verfügen mit der EU-DSGVO im Vergleich zu anderen Drittländern über ein hohes Datenschutzniveau. Vorsicht ist allerdings geboten, wenn Sie personenbezogene Daten auf Server in Drittländern mit schwächeren Datenschutzbestimmungen übertragen. In diesem Fall müssen Sie sicherstellen, dass das in der EU geltende Schutzniveau für natürliche Personen nicht untergraben wird. Dies gilt insbesondere für die Übertragung von Daten an Cloud-Anbieter, Social-Media-Plattformen und weitere Unternehmen mit Sitz in den USA. Erkundigen Sie sich im Zweifel beispielsweise bei Ihrem Datenschutzbeauftragten, welche Maßnahmen Sie hier ergreifen müssen.

Datenaustausch mit anderen Webseiten

Die Nutzung von externen Web-Services, wie zum Beispiel des Facebook-Like-Buttons, auf der eigenen Webseite, ist datenschutzrechtlich problematisch. Sind solche Plugins auf der Webseite eingebunden, stellt der Browser meist unbemerkt eine Verbindung mit dem fremden Server, z.B. Facebook, her, so dass dort der Nutzer identifiziert sowie sein Nutzerverhalten analysiert werden können. Mit anderen Worten: personenbezogene Daten, wie z.B. die dynamische IP-Adresse des Nutzers, werden in der Regel unbemerkt an einen Dritten weitergeleitet.

Mit Einführung der EU-DSGVO ist die bisher angewandte sog. Zwei-Klick Lösung hier nicht mehr empfehlenswert. da diese voraussetzen würde, dass der Webseitenbetreiber selbst umfassend über die Datenverarbeitungsvorgänge bei den Social-Media-Anbietern aufklärt, bevor er eine wirksame Einwilligungserklärung einholen könnte. Stattdessen sollte die sog. Shariff Lösung eingesetzt werden. Sie erlaubt ebenfalls eine unmittelbare Kommunikation mit dem fremden Server. Durch Klicken auf den Shariff Button nimmt der Nutzer allerdings selbst aktiv die Kommunikation beispielsweise zu Facebook auf und überträgt damit eigenständig personenbezogene Daten an das Social-Media-Netzwerk.

Ermöglichung anonymer Nutzung oder unter Pseudonym

Seitenbetreiber müssen die Nutzung von Online-Services – damit ist nicht der Vertragsabschluss im Online-Handel gemeint – und ihre Bezahlung anonym oder unter Pseudonym ermöglichen, soweit dies technisch möglich und zumutbar ist. Sie müssen die Nutzer über diese Möglichkeit informieren (§ 13 Abs. 6 TMG). Die Erhebung personenbezogener Daten, die für die Vertragsabwicklung benötigt werden, ist damit in der Regel nicht betroffen.

Datenerhebung zur Bonitätsprüfungen

Wenn personenbezogene Daten zu Bonitätsauskünften bei Wirtschaftsauskunfteien werden, muss die Datenschutzerklärung darüber aufklären. Sie muss unter anderem den Namen und die Anschrift des Unternehmens, an das die Daten weitergeleitet werden, enthalten. Eine ausdrückliche Einwilligung des Nutzers ist nicht notwendig. Dies gilt allerdings nur, wenn der Online-Shop-Betreiber ein berechtigtes Interesse an dieser Art von Datenverarbeitung nachweisen kann. Beispiel: beim Kauf auf Rechnung muss er durch die Lieferung in Vorleistung gehen. Dieses „berechtigte Interesse“ muss dem Nutzer mitgeteilt werden. (Art. 13 Abs. 1 lit. d EU-DSGVO). In allen anderen Fällen ist die Datenverarbeitung in der Regel nur zulässig, wenn der Nutzer zuvor eingewilligt hat.

Der Datenschutzbeauftragte

Unternehmen können entweder einen Datenschutzbeauftragten einstellen oder einen externen Dienstleister beauftragen.

Sowohl der Verantwortliche, also jeder, der über den Umgang mit personenbezogenen Daten entscheidet, als auch sog. Auftragsverarbeiter (Dienstleister, die im Auftrag eines Verantwortlichen personenbezogene Daten verarbeiten) müssen einen Datenschutzbeauftragten bestellen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt sind (Bundesratsbeschluss).

Unabhängig von der Zahl der Mitarbeiter müssen Unternehmen auch dann einen Datenschutzbeauftragten benennen, wenn sie bei der Verarbeitung von Daten zu einer Datenschutzfolgenabschätzung nach Art. 35 EU-DSGVO verpflichtet sind oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten (§ 38 Abs. 1 S. 2 BDSG).

Einen weiteren Grund für die Bestellung eines Datenschutzbeauftragten sieht die EU-DSGVO (Art. 37 Abs. 1 lit. b), c)) vor. Davon betroffen sind Unternehmen, deren Kerntätigkeit in der Verarbeitung besonders sensibler Daten liegt. Dazu gehören beispielsweise genetische, biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung (Artikel 9 EU-DSGVO) oder personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 10 EU-DSGVO).

Generell gilt: Dem Nutzer, dessen personenbezogene Daten verarbeitet werden, müssen die Kontaktdaten des Datenschutzbeauftragten im Rahmen der Datenschutzerklärung mitgeteilt werden (Art. 13 Abs. 1 lit. b) EU-DSGVO). Außerdem müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und der Aufsichtsbehörde mitgeteilt werden (Art. 37 Abs. 7 EU-DSGVO).

Einsatz von Webtracking-Tools

Webtracking-Tools wie zum Beispiel Piwik, Google Analytics, WP Statistics, Clicky werden eingesetzt, um die Daten von Webseiten-Besuchern zu sammeln und zu analysieren und so ein Nutzerprofil zu erstellen. Daraus geht beispielsweise hervor, wie häufig und für welche Zeitspanne sich der Nutzer auf der Webseite bewegt und aus welchem Land er kommt. Es handelt sich um eine automatisierte Verarbeitung personenbezogener Daten, um bestimmte Aspekte, wie persönliche Vorlieben oder Interessen zu identifizieren, zu bewerten, oder vorherzusagen (sog. Profiling, Art. 4 Nr. 4 EU-DSGVO). Hier gelten dieselben Regelungen wie bei der Verwendung von Cookies (s.o.).

Im Übrigen benötigt jede Web-Tracking-Software eine eigene Datenschutzkonformitätsprüfung, die vor allem dann sorgfältig durchgeführt werden sollte, wenn Sie Aufträge zur Datenverarbeitung an Dienstleister außerhalb der Europäischen Union erteilen. Ihr Datenschutzbeauftragter berät Sie dazu.

Vollständiger Name des Anbieters, des Vertretungsberechtigten und der Rechtsform

Neben dem Namen und der Anschrift des Anbieters sind bei juristischen Personen und sonstigen Körperschaften (z.B. GmbH, UG) zusätzlich auch die Rechtsform und der Vertretungsberechtigte (z.B. Geschäftsführer der GmbH) vollständig zu nennen. Vornamen dürfen nicht abgekürzt werden. Es ist auf die korrekte Bezeichnung des Vertretungsberechtigten zu achten.

Anschrift, Kontaktaufnahme und Kommunikation

Das Impressum muss die Anschrift der Niederlassung des Anbieters sowie Angaben enthalten, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit dem Anbieter ermöglichen (Telefon, E-Mail). Die Anschrift muss vollständig sein. Die Nennung eines Postfachs reicht nicht aus. Nach bisheriger Rechtsprechung muss auf eine Anfrage über ein Kontaktformular oder per E-Mail innerhalb von max. 60 Minuten geantwortet werden. Ist dies gegeben, ist die Angabe einer Telefonnummer bislang nicht zwingend notwendig.

Hierbei sind zwei Besonderheiten zu beachten:

• Dienstleistungserbringer sollten stets eine Telefonnummer angeben, um ihrer Pflicht aus der Verordnung über Informationspflichten für Dienstleistungserbringer (kurz: DL-InfoV) zu erfüllen
• Mit Inkrafttreten des Gesetzes zur Umsetzung der Verbraucherrechterichtlinie besteht die Pflicht zur Angabe einer Telefonnummer bei Fernabsatzverträgen. Diese kann leicht in die Anbieterkennzeichnung aufgenommen werden.

Registergericht und Registernummer (sofern das Unternehmen im Handelsregister o.a. eingetragen ist)

Ist der Anbieter im Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister eingetragen, müssen das Registergericht und die Registernummer angegeben werden.

Umsatzsteuer- und Wirtschafts-Identifikationsnummer, falls vorhanden

Soweit für den Seitenbetreiber eine Umsatzsteuer-Identifikationsnummer oder eine Wirtschafts-Identifikationsnummer vom Bundeszentralamt für Steuern vergeben wurde, müssen diese in der Anbieterkennzeichnung angegeben werden. Im Gegensatz hierzu sollten Sie die vom zuständigen Finanzamt vergebene Steuernummer nicht angegeben, ebenso wenig Ihre Bankdaten, um unberechtigte Lastschriften zu verhindern.

Name und Anschrift des inhaltlich Verantwortlichen, falls journalistisch-redaktionelle Inhalte vorgehalten werden

Bei journalistisch-redaktionellen Angeboten sind Name und Anschrift eines hierfür Verantwortlichen zu nennen. Derartige Angebote sind sämtliche Inhalte, die über reine Werbetexte hinausgehen: z.B. Blogs, News.

Zuständige Aufsichtsbehörde, falls es sich um eine zulassungspflichtige Tätigkeit handelt

Soweit die Internetseite im Rahmen einer Tätigkeit angeboten wird, die einer behördlichen Zulassung bedarf, sind Angaben zur zuständigen Aufsichtsbehörde zu machen. Einer behördlichen Zulassung bedürfen z.B. Gaststätten, Inkassobüros und Taxiunternehmen. Zur Aufsichtsbehörde müssen Anschrift und Kontaktdaten der Aufsichtsbehörde in der Anbieterkennzeichnung genannt sein.

Eine Liste erlaubnispflichtiger Tätigkeiten finden Sie z.B. hier:
IHK Berlin

Kammer, Berufsbezeichnung und berufsständische Regelungen

Bei besonders reglementierten Berufen, deren Aufnahme oder Ausübung rechtlich an ein Diplom, eine staatliche Prüfung oder andere Bildungsnachweise gebunden sind (z.B. Ärzte, Apotheker, Therapeuten, Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Architekten, Ingenieure), sind zusätzliche Angaben notwendig: Hinzuweisen ist auf die zuständige Kammer, die Berufsbezeichnung, ggf. der Staat, in dem die Berufsbezeichnung verliehen wurde, und die betreffenden berufsständischen Regelungen oder wenigstens ein Link dorthin.

Stamm- oder Grundkapital bei juristischen Personen, wenn noch nicht vollständig eingezahlt

Angaben zu Stamm- oder Grundkapital müssen nur gemacht werden, soweit nicht alle in Geld zu leistenden Einlagen bereits eingezahlt sind. Dabei sind der Gesamtbetrag der Einlagen sowie der noch ausstehende Teil anzugeben.

Berufshaftpflichtversicherung

Dienstleister, die eine gesonderte Berufshaftpflichtversicherung abgeschlossen haben, müssen nach DL-InfoV den Namen und die Anschrift ihrer Berufshaftpflichtversicherung sowie den räumlichen Geltungsbereich der Versicherung angeben. Reine Firmenhaftpflichtversicherungen fallen nicht unter diese Regelung. Dabei sollten Sie stets prüfen, ob die angebotene Dienstleistung überhaupt in den Anwendungsbereich der DL-InfoV fällt. So gibt es z.B. Ausnahmen für Ärzte und private Sicherheitsdienste.

Erkennbarkeit und Erreichbarkeit der Anbieterkennzeichnung

Die Anbieterkennzeichnung muss leicht auffindbar und ständig verfügbar sein. Sie sollte unter einer selbsterklärenden Bezeichnung wie z.B. "Anbieterkennzeichnung", "Impressum" oder "Kontakt" verlinkt werden und von jeder Unterseite aus mit maximal zwei Klicks aufrufbar sein. Auch ist darauf zu achten, dass sie nicht nur bei aktiviertem Java-Script sichtbar oder im Flash-Format hinterlegt ist. Manche Browser können derartige Inhalte nicht korrekt darstellen.

Keine rechtlich problematischen Hinweise (Disclaimer) auf der Webseite bzgl. Abmahnungen, Haftung für Links etc.

Rechtliche Hinweise (Disclaimer) auf der Webseite, die möglicherweise einen generellen Haftungsausschluss für bestimmte Fälle oder auch die Nutzung angebotener Links formulieren, sind in der Regel de facto rechtlich wirkungslos.

Insbesondere für Betreiber von Online-Shops gilt die Impressumspflicht des Telemediengesetzes sowie die EU-Datenschutzgrundverordnung (EU-DSGVO) (siehe Artikel oben). Informieren Sie sich hierzu zum Beispiel bei Ihrer Industrie- und Handelskammer. Erkundigen Sie sich auch, welche weiteren gesetzlichen Vorschriften Sie anwenden müssen. Dazu gehören zum Beispiel Regelungen aus dem Bürgerlichen Gesetzbuch, dem Wettbewerbsrecht, dem Markenrecht u.a. Übrigens gelten diese Regelungen unter Umständen auch, wenn Sie zum Beispiel "nur" über eBay handeln. Dann nämlich, wenn sie regelmäßig eine größere Zahl von Waren verkaufen und damit zum Gewerbetreibenden werden.

Angabe von Zahlungsmitteln und Lieferbeschränkungen

Online-Händler müssen dem Verbraucher gegenüber vor Vertragsschluss mitteilen, ob Lieferbeschränkungen bestehen und welche Zahlungsmittel akzeptiert werden. Dies kann z.B. in den Allgemeinen Geschäftsbedingungen (AGB) erfolgen. Dabei darf die Nutzung eines bestimmten Zahlungsmittels nicht zu zusätzlichen Kosten für den Verbraucher führen, die über die Kosten des Online-Händlers durch die Nutzung dieses Zahlungsmittels hinausgehen. Andere zusätzliche Kosten, die über die vertragliche Gegenleistung hinausgehen, bedürfen einer ausdrücklichen Zustimmung des Verbrauchers. Das bedeutet, der Verbraucher muss das Häkchen in der dafür vorgesehenen Checkbox selbst setzen, bevor der Bestellvorgang fortgesetzt werden kann.

Übersendung der AGB in Textform

Die AGB müssen den Verbrauchern übersandt werden: z.B. in der Bestellbestätigungs-E-Mail als PDF-Datei oder im E-Mail-Text.

Angabe eines Liefertermins

Der Bestellprozess muss eine „Angabe zum Liefertermin“ enthalten.

Aufklärung über Gewährleistungsrechte

Der Verbraucher muss darüber aufgeklärt werden, ob für die bestellten Waren gesetzliche Gewährleistungsrechte bestehen, z.B. auf einer allgemeinen Info-Seite im Online-Shop.

Aufklärung über Kundendienst und Garantiebedingungen

Wird ein Kundendienst bereitgestellt, müssen die Kundendienstbedingungen und -leistungen bzw. die Garantiebedingungen im Vorhinein mitgeteilt werden.

Verkauf von digitalen Inhalten (Downloads/Streams)

Beim Verkauf digitaler Inhalte muss dem Verbraucher deren Funktionsweise vor Vertragsschluss klar und deutlich erläutert werden. Dazu gehören auch Beschränkungen der Interoperabilität und die Kompatibilität digitaler Inhalte mit Hardware und Software, soweit diese dem Online-Händler bekannt sind oder bekannt sein müssen. Zudem muss darüber aufgeklärt werden, dass beim Verkauf digitaler Inhalte kein Widerrufsrecht besteht bzw. dieses mit Beginn des Downloads erlischt.

Die Button-Lösung zeigt dem Verbraucher klar und deutlich, dass seine Bestellung mit Kosten verbunden ist. Dies geschieht, indem er beim Bestellvorgang eine Schaltfläche (Button) anklicken muss, die eine Bezeichnung trägt, wie zum Beispiel: "Kostenpflichtig bestellen", "Kaufen", "Zahlungspflichtigen Vertrag abschließen". Außerdem muss er vor der Bestellung klar, verständlich und hervorgehoben die folgenden Informationen vorfinden:

• die wesentlichen Eigenschaften der Ware oder Dienstleistung
• den Gesamtpreis inklusive aller Steuern und Abgaben, zusätzlich anfallender Fracht-, Liefer- oder Zustellkosten sowie aller sonstigen Kosten
• gegebenenfalls zusätzlich anfallende Liefer- und Versandkosten sowie einen Hinweis auf mögliche weitere Steuern oder Kosten, die nicht über den Unternehmer abgeführt oder von ihm in Rechnung gestellt werden
• gegebenenfalls die Mindestdauer der Verpflichtungen, die der Verbraucher mit dem Vertrag eingeht
• bei unbefristeten Verträgen oder Abonnement-Vertrag den Gesamtpreis mit Darstellung der anfallenden Kosten pro Abrechnungszeitraum oder bei Festbeträgen die monatlichen Gesamtkosten
• ggf. Laufzeit des Vertrages oder Bedingungen der Kündigung bei unbefristeten oder sich automatisch verlängernden Verträgen

Der Verbraucher hat die Möglichkeit, einen Kauf rückgängig zu machen: zu widerrufen.

Die Widerrufsfrist beträgt in ganz Europa - bei einer ordnungsgemäßen Widerrufsbelehrung - einheitlich 14 Tage. Sie beginnt mit dem Vertragsschluss bzw. bei Lieferung von Waren mit Erhalt der letzten Teillieferung. Bei einer fehlerhaften Widerrufsbelehrung verlängert sich die Widerrufsfrist auf maximal zwölf Monate und 14 Tage nach Fristbeginn.

Pflicht zur Verfügungstellung des einheitlichen EU-Widerrufsformulars

Online-Shop-Betreiber müssen den Verbrauchern ein gesetzlich vorgegebenes Widerrufsformular zur Verfügung stellen. Verbraucher müssen den Widerruf ausdrücklich und eindeutig erklären. Auch ein telefonischer Widerruf ist möglich. Daher sieht das Musterwiderrufsformular ausdrücklich die Aufnahme einer Telefonnummer des Online-Shop-Betreibers vor. Weitere Informationen dazu bietet zum Beispiel die IHK Saarland.

Unverzügliche Bestätigung des Widerrufs

Der Online-Shop-Betreiber muss dem Verbraucher den Zugang des Widerrufs unverzüglich auf "einem dauerhaften Datenträger" (z.B. per E-Mail) bestätigen.

Rücksendefrist von 14 Tagen ab Widerruf

Die Ware muss ohne unnötige Verzögerung und spätestens binnen 14 Tagen ab dem Widerruf zurückgesendet werden.

Ausnahmen vom Widerrufsrecht (Auswahl)

• Verkauf von nicht vorgefertigten oder individuell angepassten Waren oder verderblichen Gütern
• Lieferung von Zeitungen, Zeitschriften oder Illustrierten außerhalb des Rahmens von Abonnement-Verträgen
• Wett- und Lotteriedienstleistungen
• Verkauf von Ton- und Videoaufnahmen
• Computersoftware in einer versiegelten Verpackung, wenn die Versiegelung nach der Lieferung entfernt wurde
• Lieferung versiegelter Waren, die aus Gründen des Gesundheitsschutzes oder der Hygiene nicht zur Rückgabe geeignet sind, wenn ihre Versiegelung nach der Lieferung entfernt wurde
• Lieferung von Waren, wenn diese nach der Lieferung auf Grund ihrer Beschaffenheit untrennbar mit anderen Gütern vermischt wurden
• Lieferung alkoholischer Getränke, deren Preis bei Vertragsschluss vereinbart wurde, die aber frühestens 30 Tage nach Vertragsschluss geliefert werden können und deren aktueller Wert von Schwankungen auf dem Markt abhängt, auf die der Unternehmer keinen Einfluss hat

Eine gesetzliche Kennzeichnungspflicht gilt z.B. für Textilien, Lebensmittel, Kosmetik oder auch Elektrogeräte. Bei Kosmetik oder Lebensmitteln kann die Verpflichtung zur Angabe des Mindesthaltbarkeitsdatums gegeben sein. Außerdem müssen Bestandteile und Zutaten angegeben werden.

Es hat sich bewährt, die oben genannten Pflichtinformationen in die Allgemeinen Geschäftsbedingungen (AGB) aufzunehmen. Im Rahmen des Vertragsabschlusses setzt der Kunden ein Häkchen in einer “Checkbox“ und bestätigt damit, dass er die AGB gelesen hat. Die AGB müssen auch im Rahmen der Bestellabwicklung in Textform per E-Mail übersandt werden. Alternativ können sie der Ware ausgedruckt beigelegt werden.

AGB müssen den Anforderungen des Bürgerlichen Gesetzbuchs (BGB § 305) entsprechen. Von daher ist es sinnvoll, sie von einem Anwalt prüfen zu lassen. Auf keinen Fall sollten AGB von Anbietern anderer Online-Shops kopiert werden. Selbst bei großen Shop-Betreibern sind diese nicht zwangsläufig richtig. Darüber hinaus kann es durch die Kopie zu einem Verstoß gegen das Urheberrecht kommen.

Hinweis auf Schlichtungsstelle

Unternehmen müssen auf ihren Webseiten und in ihren Allgemeinen Geschäftsbedingungen (AGB) ihre Kunden darüber informieren, ob und ggf. über welche Schlichtungsstelle sie am Schlichtungsverfahren teilnehmen. Grundlage ist das Verbraucherstreitbeilegungsgesetz. Die Informationspflichten gelten auch dann, wenn das Unternehmen nicht am Schlichtungsverfahren teilnimmt. Bei einer Verletzung drohen kostspielige Abmahnungen. Bitte wenden Sie sich für weitere Informationen an Ihre Industrie- und Handelskammer oder Handwerkskammer.

Artikel und Produkte sind in der Regel mit Text und Bild beschrieben. Wer fremde Inhalte von anderen Webseiten oder Prospekten, wie z.B. Produktabbildungen oder Artikelbeschreibungen, ohne Genehmigung übernimmt, verstößt ganz klar gegen das Urheberrecht. Das gilt auch für Produktfotos, die der Hersteller auf seiner Internetseite veröffentlicht und von dem der Onlinehändler seine Waren bezieht.

Fehlerhafte oder unvollständige Preisangaben werden häufig abgemahnt. Wichtig ist daher, den Preis inklusive aller Preisbestandteile zu nennen, d.h. auch inklusive der Umsatzsteuer. Außerdem muss darauf hingewiesen werden, welche weiteren Preisbestandteile noch hinzukommen. Bewährt ist der Hinweis: “inkl. MwSt. zuzüglich Versandkosten”, wobei der Begriff “Versandkosten” dann auf eine Versandkostentabelle verlinken sollte. Zusätzlich muss bei Waren, die nach Gewicht, Volumen, Länge oder Fläche angeboten werden, auch der sogenannte "Grundpreis" genannt werden. Grundpreis ist z.B. der Preis pro 1 Kilogramm oder 1 Liter.

Sofern die Ware, die der Kunde gekauft hat, auf dem Transportweg verloren geht oder beschädigt wird, trägt der Online-Händler das Risiko. Im Zweifelsfall muss der Händler „in den sauren Apfel“ beißen und dem Kunden nochmals die Ware zusenden. Dieses Risiko kann auch nicht zum Beispiel in den Allgemeinen Geschäftsbedingungen auf den Kunden abgewälzt werden. Eine solche Regelung wäre unwirksam.