Die eigene Webseite wird für immer mehr Unternehmen zur zentralen Präsentationsplattform für potentielle Kunden, neue Mitarbeit und die betriebliche Öffentlichkeitsarbeit. Bei der Gestaltung der Website haben Unternehmen jedoch einige rechtliche „Fallstricke“ zu beachten. Von besonderer Brisanz ist die Datenschutzerklärung, gerade wenn die Homepage den Einsatz von Cookies und/oder Analysetools wie zum Beispiel Google Analytics vorsieht. Die wichtigsten Regeln, die es bei der Erstellung der Datenschutzerklärung zu beachten gibt, möchten wir Ihnen im Folgenden vorstellen.

Zweck der Datenschutzerklärung

Zweck der Datenschutzerklärung ist es, den Nutzer umfassend über die Erhebung von Daten durch den Websitebetreiber, die Verwendung dieser Daten und die Widerspruchsmöglichkeiten in Bezug auf Erhebung und Verwendung seiner Daten aufzuklären. Der Websitebetreiber muss dem Nutzer also in möglichst verständlicher Weise erläutern, welche Daten beim Besuch der Website erhoben werden, ob und gegebenenfalls für wie lange sie gespeichert und wofür sie verwendet werden.
Das Datenschutzrecht ist ein Beratungsschwerpunkt von GKD RECHTSANWÄLTE
Das Datenschutzrecht ist ein Beratungsschwerpunkt von GKD RECHTSANWÄLTE

Implementierung der Datenschutzerklärung auf der Website

Damit der Websitebetreiber seinen Informationspflichten gerecht wird, muss die Datenschutzerklärung für den Nutzer leicht erkennbar sein. Für eine größtmögliche Rechtssicherheit bei der Platzierung der Datenschutzerklärung, sollte die Erklärung von jeder Seite und Unterseite der Website ohne Scrollen erreichbar sein und als solche erkenntlich gemacht werden. Der Link oder Reiter sollte mit der Bezeichnungen Datenschutz oder Datenschutzerklärung versehen sein.

Datenschutzerklärung in mehreren Sprachen

Wenn die Webseite den Nutzern in mehreren Sprachen zur Verfügung gestellt wird, empfiehlt es sich auch die Datenschutzerklärung in der jeweiligen Sprachfassung bereit zu stellen. Jedenfalls für die deutsche Sprachfassung der Homepage sollte eine deutsche Datenschutzerklärung verfügbar sein.

Datenschutzerklärung und Cookies

Falls auf der Website Cookies verwendet werden, muss auch dies dem Nutzer mitgeteilt werden. Auch hier ist es von besonderer Bedeutung den Nutzer über Art und Umfang der Nutzung von Cookies sowie über seine Widerspruchsmöglichkeiten zu informieren. Von besonderer Relevanz ist dabei die Richtlinie EG/ 2009/136, auch „Cookie-Richtlinie“ genannt. Ob die aktuelle Gesetzeslage in Deutschland die
Richtlinie bereits hinreichend umsetzt, ist noch sehr umstritten. Das gilt insbesondere in Hinblick auf die Frage, ob eine Opt-Out-Möglichkeit (also eine Widerspruchsmöglichkeit) ausreichend ist oder ob es eines Opt-In (also einer vorherigen Einwilligung) des Nutzers bedarf. Websitebetreiber, die sich rechtlich auch für die Zukunft absichern wollen, sollten bereits jetzt über die Implementierung von Opt-In Verfahren nachdenken, um für eine Gesetzesänderung gewappnet zu sein. Von besonderer Relevanz könnte hier die voraussichtlich am 25. Mai 2018 zusammen mit der Datenschutzgrundverordnung in Kraft tretende „E-Privacy Verordnung“ sein. Im Gegensatz zur bereits bestehenden Richtlinie ist die „E-Privacy Verordnung“ direkt anwendbar und verlangt keiner Umsetzung durch den nationalen Gesetzgeber. Eine finale Fassung der E-Privacy Verordnung liegt zum aktuellen Zeitpunkt noch nicht vor. Die aktuellen Entwürfe lassen jedoch darauf schließen, dass das Opt-In-Verfahren zukünftig zur Standardvoraussetzung für die datenschutzrechtskonforme Nutzung von Cookies wird.

Datenschutzerklärung und Google Analytics

Besonderheiten sind auch bei der Nutzung von Google Analytics zu beachten. Insbesondere die folgenden vier Anforderungen an die datenschutzkonforme Nutzung möchten wir hervorheben:
  1. Der Webseitebetreiber muss mit Google Inc. einen Vertrag zur Auftragsdatenverarbeitung abschließen. Google stellt einen entsprechenden Vertrag auf seiner Website unter: https://www.google.com/analytics/terms/de.pdf zur Verfügung.
  2. Der Trackingcode muss um die Funktion „_anonymizeIp()“ erweitert werden.Diese Funktion gibt Google den Auftrag die erhobenen IP-Adressen zu kürzen. Informationen zu den Details der technischen Umsetzung können der Website von Google entnommen werden: https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization
  3. Der Websitebetreiber muss den Nutzer in der Datenschutzerklärung umfassend über die Verwendung und den Umfang der Verwendung aufklären. Dies sollte immer in einem eigenen Absatz/Paragraphen der Datenschutzerklärung erfolgen. Falls Daten außerhalb der EU verarbeitet werden, muss hierauf unbedingt gesondert hingewiesen werden. Weiter muss der Nutzer über seine Möglichkeiten aufgeklärt werden, wie er der Verwendung von Google Analytics widersprechen und die Nutzung verhindern kann. Hierfür ist dem Nutzer ein Link zu einem Add-On bereitzustellen, dass bei Installation die Verwendung von Google Analytics unterbindet. Dafür kann der folgende Link verwendet werden: http://tools.google.com/dlpage/gaoptout?hl=de
  4. Wenn die Homepage auch über mobile Endgeräte (insb. Smartphones) abgerufen werden soll, ist dem Nutzer noch eine weitere technische Widerspruchsmöglichkeit an die Hand zu geben, da oben erwähntes Add-On mit den Browsern der meisten Smartphones nicht kompatibel ist. Hierfür ist dem Nutzer ein sogenanntes Opt-Out-Cookie bereitzustellen. Dieses Cookie muss dem Nutzer ebenfalls in der Datenschutzerklärung verfügbar gemacht werden. Hierzu ist jedoch etwas mehr Programmieraufwand nötig, den Google auf seiner Website jedoch sehr anschaulich beschreibt: https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable.

Hinweise zur Datenschutzerklärung

Auch bei der datenschutzkonformen Nutzung von Google Analytics gilt es die aktuellen Entwicklungen im Europarecht im Auge zu behalten. So sind im Rahmen der kommenden E-Privacy-Verordnung und der Datenschutzgrundverordnung neue Anforderungen an die datenschutzkonforme Nutzung von Analysetools zu erwarten. Die Einhaltung der kommenden datenschutzrechtlichen Neuerungen sollte von Websitebetreibern beachtet werden. Bei einem Verstoß gegen die Datenschutzgrundverordnung können nach Art. 84 Abs. 6 DS-GVO Bußgelder in Höhe von bis zu 4 % des Jahresumsatzes fällig werden.  

Weiterführende Informationen zur Datenschutzerklärung:

Sie haben Fragen?

Gerne beraten wir Sie bei datenschutzrechtlichen Fragen, sowie bei der Umsetzung der kommenden Vorgaben durch die DS-GVO.
andreas witt Dr. Andreas Witt, LL.M. berät bei allen Fragen zur Datenschutzerklärung