Datenschutzerklärung
ein Websitebetreiber ein oder mehrere der beschriebenen Datenverarbeitungsszenarien auf seiner Website einsetzt, ist die Erklärung hierauf entsprechend anzupassen. Dabei sind Art, Umfang, Zweck, Dauer und Widerrufsmöglichkeiten der jeweiligen Datenverarbeitung im konkreten Einzelfall anzugeben.
1. Newsletter-Tracking
Setzt die Website ein Newsletter-Tracking ein, so ist auf die damit einhergehende Datenverarbeitung gesondert einzugehen. Eine Rechtfertigungsnorm für die Datenverarbeitung wird in Art. 6 Abs. 1 lit. f DSGVO zu finden sein.
Stand Mai 2018
1
2. Blog mit Kommentarfunktion
Beim Betrieb eines Blogs mit Kommentarfunktion werden zusätzliche personenbezogene Daten (Beispiel: Pseudonyme) gespeichert. Dabei muss auch auf eine Möglichkeit, Kommentare zu abonnieren, eingegangen werden. Das Kommentieren sollte nur nach Einholung einer Einwilligung zur Verarbeitung der personenbezogenen Daten möglich sein. In diesem Fall ist eine Rechtfertigung nach Art. 6 Abs. 1 lit. a DSGVO möglich.
3. Verarbeitung besonderer Kategorien personenbezogener Daten, Art. 9 DSGVO
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person sind grundsätzlich untersagt. Art. 9 Abs. 2 DSGVO enthält jedoch einen Ausnahmekatalog. Sollten Websitebetreiber Daten dieser Art auf ihrer Website verarbeiten, so ist vorweg eine Prüfung vorzunehmen. Die entsprechende Erlaubnisnorm ist dann in der Datenschutzerklärung zu nennen.
4. E-Commerce
Bietet der Websitebetreiber den Nutzern eine Plattform für den Abschluss von Verträgen (z.B. Kauf- oder Dienstverträge), so werden auch im Rahmen des Vertragsschlusses in aller Regel personenbezogene Daten des Vertragspartners erhoben. Auf diese Datenverarbeitung hat der Websitebetreiber gesondert und detailliert hinzuweisen. Soweit die Verarbeitung der Daten für den Abschluss des Vertrages erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Erlaubnisnorm für die Datenverarbeitung.
5. Weitergabe personenbezogener Daten an Dritte
Eine Vielzahl von Websites nutzt Erweiterungen von Drittanbietern. Oftmals werden bei solchen Implementierungen personenbezogene Daten an die Drittanbieter weitergegeben oder automatisiert übermittelt. Art, Umfang, Zweck und Dauer dieser Verarbeitung von personenbezogenen Daten können dabei im Einzelfall unterschiedlich ausgestaltet sein. Eine umfassende Auflistung aller Situationen, in denen personenbezogene Daten an Dritte weitergegeben werden, würde den Rahmen dieser Musterdatenschutzerklärung sprengen. Der Websitebetreiber hat daher im Einzelfall zu prüfen, welche Dienste von Drittanbietern er auf seiner Website in Anspruch nimmt und ob dabei eine Weitergabe von personenbezogenen Daten erfolgt. Entsprechend hat er diese Datenverarbeitung in der Datenschutzerklärung nach den Vorgaben (A.II.) aufzunehmen.
Stand Mai 2018
2
Beispiele für die Weitergabe von personenbezogenen Daten an Dritte können sein:
a) Weitergabe an Dienstleister
Insbesondere im Rahmen von Vertragsschlüssen über die Website werden personenbezogene Daten oftmals an Dienstleister (z.B. Zulieferer) weitergegeben. Dienstleister können jedoch auch alleine im Interesse des Websitebetreibers tätig werden (z.B. technischer Service).
b) Bezahldienste und Payment-Verfahren
Einen Sonderfall der Weitergabe an Dienstleister stellt die Weitergabe der Daten an Bezahldienste dar.
c) Third-Party-Cookies
Die Einbindung von eigenen Cookies ist Teil der Musterdatenschutzerklärung (B.V.). Oftmals werden darüber hinaus auch Cookies von Drittanbietern eingesetzt. Diese sind detailliert zu beschreiben. Die Nutzer sind auf die Verwendung von Third-Party-Cookies beim Aufruf der Website hinzuweisen. Eine Verhinderungsmöglichkeit zur Speicherung dieser Cookies findet sich in den Einstellungen des Browsers. Rechtsgrundlage für die Verwendung von Third- Party-Cookies ist Art. 6 Abs. 1 lit. f DSGVO. Es muss dann jedoch auch im Einzelfall ein berechtigtes Interesse für den Einsatz des Cookies angeführt werden.
d) Einsatz von Social-Media-Plugins
Beim Einsatz von Social-Media-Plugins werden personenbezogene Daten der Nutzer an die Anbieter sozialer Netzwerke weitergeleitet. Nach bisheriger Rechtslage war es empfehlenswert, derlei Plugins nur im Rahmen einer „Zwei-Klick-Lösung“ zu nutzen. Demnach wurden die Daten erst nach vorheriger Einwilligung des Nutzers übermittelt. Auch nach Einführung der DSGVO ist dieser Weg gangbar und wohl rechtssicher. Rechtsgrundlage für die Verarbeitung der Daten nach einer Einwilligung des Nutzers ist Art. 6 Abs. 1 lit. a DSGVO.
e) Websiteanalysedienste
Websiteanalysedienste (z.B. Google Analytics oder Adobe Analytics) zur Effizienzsteigerung der eigenen Website, die von Drittanbietern betrieben werden, erfordern die Weitergabe von Daten über die Websitebesucher an die Drittanbieter. Eine Einwilligung der Nutzer wird dabei in aller Regel nicht eingeholt. Denkbar ist eine Rechtfertigung über Art. 6 Abs. 1 lit. f DSGVO, wenn ein berechtigtes Interesse des Websitebetreibers vorgebracht werden kann. Um die Interessen der Nutzer am Schutz ihrer personenbezogenen Daten zu schützen, ist
Stand Mai 2018
3
jedoch eine Pseudonymisierung der Daten ratsam. In diesem Fall wird wohl nichts gegen den Einsatz der Analysedienste und die damit verbundene Weitergabe der pseudonymisierten Daten sprechen. Der genaue Einsatz ist in der Datenschutzerklärung zu dokumentieren.
f) Anzeigen- und Marketing-Dienste
Wird auf der Website Werbung geschaltet, so geschieht dies in der Regel unter Einbeziehung von Drittanbietern (z.B. Google AdSense oder AdWords). Meist findet dabei eine Weitergabe von personenbezogenen Daten der Nutzer in Form der IP-Adresse an die Vermittler statt. Ist die Werbung zur Finanzierung der Website erforderlich, so erscheint eine Rechtfertigung nach Art. 6 Abs. 1 lit. f DSGVO möglich.