Gemeinsam mit unserem Partner iubenda, bieten wir dir in unserer Artikelreihe Einblicke in die Welt der Paragraphen und Gesetze. Die Hinweise wurden uns von dem online-Datenschutzerklärungs-Generator iubenda zur Verfügung gestellt. Das junge Unternehmen generiert für seine über 30.000 Kunden weltweit vollständig gehostete Datenschutzrichtlinien für Websites und Apps, die ständig je nach aktueller Rechtslage überarbeitet und über die eigenen Server aktuell gehalten werden.

Trotzdem können die genannten Ausführungen natürlich nicht als ausreichende Rechtsberatung für jeden Einzelfall angesehen werden. Die Darstellung sollte jedoch einen angemessenen Überblick über die Grundlagen des Feldes geben.

Datenschutzerklärungen für Webseiten und Apps

Datenschutz-Vorschriften in Europa

Europa hat strenge Datenschutzgesetze, die ihren Ursprung vor allem in der Datenschutzrichtlinie (95/46/EG) und der ePrivacy-Richtlinie (2002/58/EC) haben. Da es sich hierbei um Richtlinien, also Rechtsakte der Europäischen Union handelt, sind alle Mitgliedsstaaten verpflichtet, sich an diese zu halten und zumindest einen gemeinsamen Mindeststandard an Datenschutz zu gewährleisten. In der Umsetzung sind sie jedoch frei.

Ab Mai 2018, mit Inkrafttreten der Datenschutz-Grundverordnung (2016/679/EU), werden die Regeln zur Verarbeitung personenbezogener Daten EU-weit vereinheitlicht werden. Die Verordnung ist verbindlich und in allen Mitgliedsstaaten unmittelbar wirksam. Sie soll neben dem Schutz der personenbezogenen Daten auch den freien Datenverkehr innerhalb der EU gewährleisten.

Die sogenannte „DSGVO“ bringt somit einige Neuerungen. Hier soll es jedoch hauptsächlich um das geltende Recht gehen.

Einzelheiten über die Umsetzung in der deutschen Gesetzgebung

Die wichtigsten Regelungen zum Datenschutz werden in Deutschland im BDSG (Bundesdatenschutzgesetz) und für den Online-Bereich im TMG (Telemediengesetz) festgelegt. Allgemein gilt, dass personenbezogene Daten erhoben und verarbeitet werden dürfen, wenn die betroffene Person ausdrücklich ihre Zustimmung dazu gegeben hat.

Abgesehen davon gibt es noch eine Reihe weiterer Ausnahmen. Für unsere Zwecke ist die relevanteste hier der § 28 BDSG: „Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig“ – wenn diese erforderlich sind, um rechtliche Verpflichtungen oder eine quasi-rechtliche Verpflichtung mit den Daten der betroffenen Person zu erfüllen.

Das bedeutet, dass Sie, wann immer Sie einen Vertrag mit jemandem abschließen, abwickeln oder beenden möchten, alle hierzu notwendigen (und nur diese) personenbezogenen Daten sammeln und verarbeiten dürfen.

Wenn man also plant, personenbezogene Daten von Nutzern zu sammeln, hat man – unabhängig von der gewählten technischen Lösung (z.B. Webseite oder App) – in erster Linie die Auswahl zwischen folgenden Alternativen:
 

1. Ist man berechtigt Daten zu sammeln, um „eine rechtliche Verpflichtung zu schaffen, auszuführen oder zu beenden“, benötigt man nicht die explizite Einwilligung der Dateneigentümer. Man muss sie jedoch genau darüber informieren, welche Daten gesammelt werden und wie mit diesen umgegangen wird. Hier kommt die Datenschutzerklärung ins Spiel. 
    
2. Wenn weder die in 1. genannte, noch eine andere Ausnahme gilt, braucht man die Zustimmung des Dateneigentümers, nachdem man diesen genau über die Art der Datensammlung und deren Zweck informiert hat. Man muss ihm also eine Datenschutzerklärung zur Verfügung stellen und ebenso eine technische Lösung, um eine ausdrückliche Zustimmung der betroffenen Person zu gewährleisten.
    

Wie man eine Datenschutzerklärung schreibt

Eine Datenschutzerklärung sollte präzise, umfassend und vor allem nicht in Juristensprache verfasst sein. Die deutsche Gesetzgebung verlangt ausdrücklich eine einfache und allgemein verständliche Sprache, die auch für Laien gedacht ist.

Der genaue Inhalt der Datenschutzerklärung ist abhängig von der Art der erhobenen und verarbeiteten personenbezogene Daten und von der Art und Weise, wie sie verarbeitet werden: Wer sammelt sie? Werden sie an Dritte übertragen? Werden sie gespeichert und wenn ja, wie lange?

Hier sind einige Elemente, die eine Datenschutzerklärung enthalten sollte:

• Wer ist der Eigentümer der Website/der App?
• Welche Daten werden erfasst? Wie werden diese Daten gesammelt?
• Für welche Zwecke werden die Daten gesammelt? Analyse? E-Mail-Marketing?
• Welche Drittparteien werden Zugang zu den Informationen haben? Wird irgendeine Drittpartei Daten über Widgets (z.B. social buttons) und Integrationen (z.B. Facebook connect) sammeln?
• Welche Rechte haben Nutzer? Können sie verlangen die Daten, die man über sie hat, zu sehen? Können sie verlangen ihre Daten zu berichtigen, zu löschen oder zu blockieren? Beschreibung des Verfahrens, Nutzer und Besucher über wesentliche Änderungen der Datenschutzerklärung zu benachrichtigen Datum des Inkrafttretens der Datenschutzerklärung 

Veröffentlichung der Datenschutzerklärungen

Wie zuvor erwähnt, müssen die Datenschutzerklärungen in einer einfachen und unkomplizierten Sprache verfasst werden.

Die Datenschutzerklärungen sollten in die gleiche Sprache übersetzt werden, in die auch die Webseite/App übersetzt wird. Allerdings bedeutet dies nicht, dass bei einer Webseite in Deutschland alles in deutscher Sprache sein muss. Es ist grundsätzlich in Ordnung, eine Webseite auf Englisch zu haben. Was man nicht tun kann, ist eine Website in deutscher Sprache zu haben, aber Datenschutzerklärungen nur in englischer Sprache. In diesem Fall könnten Nutzer in die Irre geführt werden.

Außerdem sollte man auch:
 

• einen klaren und deutlich sichtbaren Link oder Button mit der Aufschrift „Datenschutzerklärungen", „Hinweise zum Datenschutz" oder einer ähnlichen Aufschrift auf der Homepage veröffentlichen, der direkt zur Datenschutzerklärung führt
• die Datenschutzerklärung von überall auf der Website zugänglich machen (z.B. in der Fußzeile/Footer)
• einen klaren und deutlichen Link zur Datenschutzerklärung an der Stelle anzeigen, an der personenbezogene Informationen gesammelt werden und diesen bspw. mit folgendem Hinweis versehen: "Wir sammeln auf dieser Seite personenbezogene Daten. Um mehr über die Verwendung der Daten zu erfahren, klicken Sie hier.“
• Beim Veröffentlichen einer mobilen App sollte man in der Regel die Datenschutzerklärung auf dem gleichen Niveau wie andere Menüpunkte, wie z.B. „Einstellungen", „Über uns", „Datenschutz" verlinken. Darüber hinaus sollte die Datenschutzerklärung auch vor dem eigentlichen Download auf der App-Store-Seite zugänglich sein. Die deutschen Datenschützer haben eine Orientierungshilfe zu den Apps publiziert.

Man denke daran: Eine „Datenschutzerklärung" beinhaltet keine „Einwilligung".

All dies gilt auch für Fälle, in denen man keine ausdrückliche Zustimmung des Eigentümers der Daten erhalten muss. Wenn aber das Letztere der Fall ist - und dies gilt vor allem für E-Mail-Marketing - müssen die Nutzer informiert und deren Zustimmung in einer Weise eingeholt werden, die schließlich durch Beweise belegt werden kann.

iubenda kann bei diesem Prozess unterstützend helfen, die Datenschutzerklärung zu erstellen und sie aktuell zu halten. iubendas Webseite ist derzeit nur auf Englisch verfügbar (die deutsche Webseite kommt Ende des Jahres). Die Datenschutzerklärungen und alle weiteren Rechtstexte werden aber selbstverständlich auf Deutsch und in vielen weiteren Sprachen generiert.

Dieser Artikel wurde von iubenda zur Verfügung gestellt. iubenda hilft weltweit über 30.000 Kunden ihre Datenschutzerklärungen, sowie andere rechtliche Dokumente für ihre Webseiten, soziale Medien und mobilen Apps zu erstellen.