+++ Dieser Artikel wurde am 12.Juli 2013 veröffentlicht. Für eine aktualisierte Rechtseinschätzung in Zeiten der DSGVO halten Sie bitte Rücksprache mit Ihrer Rechtsanwältin oder Ihrem Rechtsanwalt +++
Es besteht keine generelle Pflicht auf jeder Webseite Datenschutzhinweise einzubinden. Soweit allerdings Webseitenbetreiber personenbezogener Daten des Nutzers (z.B. Vor- und Nachname, Telefonnummer, Telefaxnummer, E-Mail-Adresse, Anschrift des Internetnutzers) erheben (z.B. Blogs mit Kommentarfunktion, Online-Shops) sind sie verpflichtet über die Erhebung dieser Daten im Rahmen einer sog. "Datenschutzerklärung“ zu informieren. Nicht zu unterschätzen ist auch der Umstand, dass schnell auffindbare Datenschutzhinweise ein Vertrauen beim Nutzer im Hinblick auf seriösen Umgang mit erfassten Daten schafft.
Den Informationspflichten sollte am besten im Rahmen einer eigenen Unterseite mit dem Titel „Datenschutzhinweise“, „Datenschutzerklärung“ oder „Privacy Policy“ nachgekommen werden. Der Link zur Datenschutzerklärung sollte, wie auch das Impressum, einfach erkennbar und schnell erreichbar sein. Es ist zu empfehlen, dass die Datenschutzerklärung von jedem Punkt des Internetangebots aus erreichbar ist. Üblich ist z.B. ein Link in der Navigations- oder Fußleiste (wie beim Impressum). Die Datenschutzhinweise sollten allerdings nicht im Impressum „versteckt“ werden. Wenn sich die Datenschutzerklärung zusammen mit dem Impressum hinter einem Link befinden soll, sollte dieser Link dann entsprechend auch mit „Impressum/Datenschutzerklärung“ bezeichnet werden.
. Die Einholung der erforderlichen Einwilligung ist aber problematisch, da umstritten ist, ob und ggf. in welchem Umfang Betroffene in dieser Weise überhaupt in die Datenverarbeitung einwilligen können. Es besteht somit die Gefahr, dass die abgegebene Einwilligung unwirksam ist. Am besten sollten daher die Einholung der Einwilligungen und die Information durch die Datenschutzerklärung getrennt erfolgen. Es ist zu empfehlen eine Einwilligung immer zumindest durch das Anklicken eines Kästchens einzuholen (sog. Opt-In). Allerdings ist dies oftmals in der praktischen Umsetzung schwer einzuhalten, da nicht immer die Möglichkeit besteht solch ein Kästchen tatsächlich einzubinden.
Gemäß § 13 Abs. 1 TMG muss der Webseitenbetreiber seine Nutzer über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über Übermittlungen ins Ausland in allgemein verständlicher Form unterrichten.
Die konkrete Gestaltung einer Datenschutzerklärung hängt stets davon ab, welche Daten für welche Zwecke im Einzelfall verwendet werden und z.B. welche Social-Media Plugins verwendet werden.
Über folgende Punkte muss der Nutzer zumindest in verständlicher Weise informiert werden:
Tipp: Im Internet gibt es verschiedene Anwälte die Datenschutzerklärungsgeneratoren anbieten. Auch wenn diese unterschiedliche Qualität haben, ist es besser –wenn die Kosten eines Anwalts gespart werden sollen- zumindest solch eine automatisch generierte Datenschutzerklärung in die Webseite einzubinden, als gar keine zu haben.
Die Datenschutzerklärung sollte des Weiteren stets bei neuen Tools, Social-Media-Plugins und technischen und sonstige Neuerungen überprüft und ggfs angepasst werden.
Bei Social-Media Profilen werden in den meisten Fällen die Informationspflichten bereits durch die Datenschutzerklärung der Social-Media-Plattform selbst erfüllt. Nur wenn die Plattform selbst keine Datenschutzerklärung bietet oder im Rahmen des Social-Media Auftritts zusätzliche Daten von den Besuchern erhoben werden (z.B. im Rahmen eines Gewinnspiels), wird eine eigene Datenschutzerklärung notwendig.
Bei fehlenden oder falschen Informationen über die Datenerhebung können die Datenschutzbehörden Bußgelder von bis zu EUR 50.000 verhängen, was bislang aber sehr selten passiert. Des Weiteren wird häufig von den Datenschutzbehörden vor Verhängung eines Bußgeldes die Möglichkeit eingeräumt den Datenschutzverstoß abzustellen (Stellungnahme und Nachbesserung).
Schließlich könnten kostenpflichtige Abmahnungen von Wettbewerbern ausgesprochen werden. Allerdings sehen die meisten Gerichte in einem Datenschutzverstoß allein zunächst keinen Wettbewerbsbezug, weil die Datenschutzbestimmungen die Rechte von Privatpersonen schützen sollen, es sei denn, es gibt eine wirtschaftliche Komponente (z.B. durch den Verkauf der Daten an Dritte oder unerwünschter E-Mail-Werbung). Allerdings wird diese Auffassung der Gerichte von vielen Juristen kritisiert, so dass es durchaus möglich ist, dass die Gerichte dies zukünftig anders bewerten.
Auch Privatpersonen können theoretisch den Webseitenbetreiber verklagen. Dies ist aber äußerst selten und die Streitwerte sind meist sehr gering und daher auch für Anwälte nicht interessant.