Datenschutzhinweise

Warum empfehle ich, Datenschutzinformationen nicht als „Datenschutzerklärung“ zu bezeichnen?

Dieser Beitrag ist zugleich ein Beitrag dazu, warum es niemals eine gute Idee ist, Datenschutzhinweise neben AGB bei einer Registrierung via Checkbox akzeptieren zu lassen. AGB und Datenschutzhinweise sind getrennte Dinge und sollten unbedingt getrennt behandelt werden.

Sehr häufig finden wie z.B. auf Internetseiten die Bezeichnung „Datenschutzerklärung“ für Informationen zum Datenschutz, die als Informationen zum Datenschutz i.S.d. Art. 13 DSGVO dienen sollen.

Ich empfehle meinen Mandantinnen und Datenschutz-Coaching-Mitglieder immer, statt dessen lieber den Begriff „Datenschutzhinweise“ zu verwenden.

Passend dazu ist diese Frage eines Datenschutz-Coaching-Mitglieds:

Ich erinnere mich, dass Du ausdrücklich darauf hingewiesen hastm für den Datenschutzhinweis auf der Internetseite nur diese Begrifflichkeit zu benutzen und nicht den Begriff Datenschutzerklärung.

Kannst Du das bitte noch einmal erklären und begründen?

Meine Antwort

Datenschutzinformationen i.S.d. Art. 13, 14 DSGVO sind einseitige Informationen, die ein Verantwortlicher gegenüber Betroffenen angibt. Diese können sich jederzeit ändern.

Wenn ich jedoch einen Vertrag mit einem Betroffenen habe, kann ich den nicht jederzeit ändern. Änderungen sind dann nur möglich, wenn der Vertrag eine Änderungsklausel vorsieht.

Bei AGB, die z.B. wirksam in ein Vertragsverhältnis einbezogen werden (z.B. bei der Registrierung auf einer Internetseite), werden meist Regelungen zur Änderung der AGB enthalten sein, die z.B. eine Änderung ermöglichen, wenn der Verwender der AGB z.B. 6 Wochen vorher über die Änderungen informiert und ein Widerspruchsrecht gegen die Änderungen einräumt.

Datenschutzhinweise müssen schnell änderbar sein – jeden AGB-Bezug vermeiden

Da Informationen zum Datenschutz teilweise sehr schnell geändert werden müssen, muss immer deutlich sein, dass es sich bei den Datenschutzhinweisen eben nur um „Informationen“ zum Datenschutz handelt.

Jeder Bezug zu AGB oder Umstände, die nahelegen könnten, dass die Datenschutzhinweise als AGB eingestuft werden könnten, sollten unbedingt vermieden werden, damit man nicht in ein „Änderungs-Vorbehalts-Dilemma“ hineingleitet, wie es bei AGB der Fall wäre.

Warum der Begriff der „Datenschutzrichtlinie“ aktuell kritisch ist

Das hat mit einem Urteil des KG Berlin (Urteil vom 27.12.2018, Az.: 23 U 196/13) zu tun, dass sich mit den AGB bzw. der Datenschutzrichtlinie von Apple befasst. Das Urteil ist zum Zeitpunkt der Erstveröffentlichung dieses Beitrages nicht rechtskräftig. Die Beschwerde bzgl. der Nichtzulassung der Revision durch das KG ist momentan beim BGH anhängig (Az.: VIII ZR 25/19).

In den Ausführungen des KG Berlin findet sich folgende Passage (Hervorhebungen von mir):

Die vom Kläger beanstandeten Klauseln können ihrem objektiven Wortlaut nach nur als verbindliche Regelung des bestehenden oder anzubahnenden Vertragsverhältnisses verstanden werden. Bereits die Überschrift des Klauselwerks („…Datenschutzrichtlinie“) vermittelt den Eindruck, dass die darin enthaltenen Erklärungen nicht bloße Tatsachenmitteilungen, sondern Rechtsregeln enthalten. Ferner wird im Einleitungssatz der „Richtlinie“ ausdrücklich gesagt, dass diese „regelt“, wie Daten erhoben, verwendet, offengelegt, weitergegeben und gespeichert werden. Dass im weiteren Text der Richtlinie der Gebrauch eines spezifisch rechtlichen Vokabulars strikt vermieden und statt von einem „Dürfen“ stets von einem „Können“ oder schlicht von einem „Tun (Werden)“ gesprochen wird, ändert nichts daran, dass der Leser die Klauseln als Inanspruchnahme von Rechten verstehen muss. Die Vermeidung von Rechtsbegriffen, die auf eine Einräumung von Rechten, auf eine Einwilligung in bestimmte Handlungen oder eine Zustimmung zu bestimmten Verfahrensweisen hindeuten, befördert nicht die Vorstellung, dass die dargestellten Regelungen für den Kunden unverbindlich seien; sie erweckt vielmehr die Fehlvorstellung, dass die Regelungen für den Verbraucher, der Vertragsbeziehungen zu der Beklagten anknüpft, ohne weiteres bindend seien, dass er sich diesem Reglement, ob er will oder nicht, zu fügen habe und es auf seine Meinung zu der beschriebenen Praxis nicht ankomme. Im Einleitungssatz der „Richtlinie“ wird dem Leser nahegelegt, sich mit den Praktiken der Beklagten vertraut zu machen; ihm wird auch gestattet, Fragen zu stellen. Die Möglichkeit, dass der Kunde die Praktiken der Beklagten auch ablehnen könnte, wird vollständig ausgeblendet. Da die Beklagte nicht vorträgt, dass ihre – ausdrücklich so bezeichneten – Allgemeinen Geschäftsbedingungen den klarstellenden Hinweis enthielten, dass sie abschließender Natur seien, erscheinen dem rechtlich nicht vorgebildeten Durchschnittskunden, auf den es ankommt, die Allgemeinen Geschäftsbedingungen der Beklagten und die …Datenschutzrichtlinie als eine Einheit, die er insgesamt akzeptieren muss, wenn er von der Beklagten beliefert werden will (vgl. BGH, Urteil vom 02.07.1987 – III ZR 219/86 Rn. 14 = BGHZ 101, 271).

Keine gute Idee, sondern gefährlich

Wenn Unternehmen ihre Datenschutzhinweise auf ihrer Internetseite als „Datenschutzrichtlinie“ bezeichnen und – schlimmer noch – bei der Registrierung von Nutzern diese „Datenschutzhinweise“ durch eine Checkbox akzeptieren lassen, riskieren sie, dass ihre Datenschutzhinweise als AGB eingestuft werden.

Und das ist wegen der daraus folgenden Konsequenz der Erschwernis, Änderungen an Datenschutzhinweisen vorzunehmen, niemals eine gute Idee.

Datenschutzhinweise sollten daher immer einen rein informatorischen einseitigen Charakter haben. Jeder Hauch von einer zweiseitigen Vereinbarung mit dem Nutzer sollte unterbunden sein.

Daher bitte „Datenschutzhinweise“ und nicht „Datenschutzrichtlinie“ verwenden

Daher sollte die Informationen zum Datenschutz i.S.d. Art. 13 DSGVO deutlich als reine Information gekennzeichnet sein.

Hier bietet sich der Begriff der „Datenschutzhinweise“ an.

Ähnlich unverbindlich wäre aber z.B. auch diese Begriffe:„Datenschutzinformation“, „Informationen zum Datenschutz“, oder „Informationen zur Datenverarbeitung“.

Und warum besser auch nicht Datenschutzerklärung?

Da auch der Begriff der „Datenschutzerklärung“ eher eine Verbindlichkeit darstellen kann, würde ich vorsorglich ebenfalls von diesem Begriff abraten.

Am besten ist m.E. der Begriff der „Datenschutzhinweise“ geeignet.

Nach dem EuGH-Urteil: Was ich meinen Mandanten zu Facebook Fanpages rate

Achtung! Dieser Beitrag ist nicht mehr aktuell und durch das mittlerweile vorliegende Urteil des BVerwG überholt. Ich werde zu gegebener Zeit einen gesonderten Beitrag zu dem Thema veröffentlichen. Seit dem …

Nach dem EuGH-Urteil: Was ich meinen Mandanten zu Facebook Fanpages rate Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Datenschutz-Tipp Nr. 5: Wie Sie eine Datenschutzerklärung schreiben – Anleitung und Muster

Im letzten Tipp haben wir klären können, wann Sie eine Datenschutzerklärung auf Ihrer Internetseite bereitstellen müssen. Und wo Sie die Datenschutzhinweise platzieren sollten, auch dazu haben wir uns etwas erarbeitet. Soweit so gut. Ich denke, Sie werden ggf. Ihre Hausarbeiten jetzt schon im Eifer des vorauseilenden Gehorsams gemacht haben und haben geklärt, was Ihr Webserver dann so standardmäßig von den Besuchern der Internetseite in Protokolldateine („Log-Files“) speichert. Nicht? Kein Problem…wir gehen das gleich noch einmal im Detail gemeinsam durch.

Eine Bitte: nehmen Sie sich ein klein wenig Zeit für den Text. Vielleicht lesen Sie ihn auch 2 Mal – insbesondere den ersten Teil. Danke!

Voraussetzung für die Erstellung von guten Datenschutzhinweisen ist zunächst eine ausreichende Tatsachengrundlage. Daran fehlt es in der Praxis gerne. Viele Unternehmen könnten soviel bessere Datenschutzerklärungen auf ihren Internetseiten haben, wenn die Mitarbeiter besser miteinander kommunizieren würden. So finden wir eher technisch formulierte Datenschutzhinweise, bei denen schnell deutlich wird, dass die Kollegen aus der technischen Abteilung / IT-Abteilung federführend gewesen sind. Und dann finden wir sehr viele Erklärungen, die – mit Verlaub – etwas weichgewaschen wirken. Da waren dann vielleicht die Kollegen aus der PR-Abteilung am Wirken, und das dürfen Sie nicht selten daran bemerken, dass die wesentlichen Detailinformationen (z.B. Technikdetails) erst gar nicht erwähnt werden.

Eine richtig runde Erklärung bekommen Sie nur dann hin, wenn Sie einerseits die erforderlichen technischen Basisinformationen kennen und andererseits in der Lage sind, in verständlicher Sprache die Informationen an den Mann oder die Frau zu bringen.

Sprache, insbesondere deutsche Sprache, verstehbar und verständlich so zu verwenden, dass beim Leser ein Gefühl von guter Informiertheit und besser noch Akzeptanz entsteht, das ist ganz große Kunst oder großes Kino. Natürlich gibt es Kollegen aus der IT-Abteilung, die das ganz hervorragend können; manchmal ist das aber bei Kollegen aus der PR-Abteilung besser aufgehoben. Meine Empfehlung ist auf jeden Fall, dass Sie aus den verschiedenen Disziplinen sich miteinander über das Thema unterhalten. Wenn Sie alle die jeweils anderen Informationen erkennen, verstehen und begreifen können, dann kann aus einer vermeintlich langweiligen Datenschutzerklärung etwas ganz Tolles werden – für Sie und die Leser. Machen Sie es doch einfach besser als die Konkurrenz. Schreiben Sie nicht nur irgendwo ab, sondern machen Sie es ganz neu, anders und individuell. So…dass es bei dem Leser hängen bleibt.

Apropos erkennen, verstehen, begreifen…bei Sprache dürfen Sie gerne die verschiedenen primären Sinne „Sehen“, „Hören“ und „Fühlen“ ansprechen. Denn in der Regel hat jeder Mensch einen Lieblings-Sinn, auf dem er vornehmlich empfänglich ist für Information. Schreiben Sie z.B. nur für einen visuell orientierten Menschen, dann wird dem eher auditiven Menschen möglicherweise etwas langweilig, und er bricht das Lesen einfach ab.

Wenn Sie jetzt denken, dass Ihnen das ganz egal ist, ob jemand die Datenschutzerklärung liest oder nicht, ist das Ihr gutes Recht. Das Gesetz fordert nicht, dass Sie eine tolle Datenschutzerklärung haben müssen. Sie muss lediglich allgemein verständlich sein.

Trotzdem erlaube ich mir einen – gänzlich unjuristischen – Tipp.In einer Datenschutz-Broschüre von mir hieß es einmal:

„If you go the extra mile, you will find, that the extra mile is seldom crowded.“

Denken Sie doch einfach daran, dass Sie auch in den kleinen Dingen Möglichkeiten haben, sich von den anderen Mitbewerbern positiv abzusetzen. Ich verspreche Ihnen, dass die Leser das bemerken werden, wenn auch nur unbewusst. Die wollen nicht das 125te Mal den Satz „Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen…blablablabla…“ hören. Das können Sie besser.

Wichtig für eine gute Ansprache und Sprache ist natürlich, sich vorzustellen, wer die Erklärung klassischerweise wohl liest. Stellen Sie sich vor dem Verfassen des Textes einfach den typischen Besucher der Internetseite vor, den Sie gerne mit einer guten Erklärung positiv überraschen und beeindrucken wollen. Wenn Sie z.B. eine jugendliche Zielgruppe ansprechen, können Sie meiner Meinung nach am besten eine saloppe Sprache und Gelassenheit bei den Formulierungen an den Tag legen. Cool zu sein heißt nicht gleichzeitig unverbindlich oder nicht ernstnehmbar zu sein. Entscheidend ist, dass der Inhalt des Textes konsistent und konsequent beim Empfänger aufgenommen wird.

Wenn Sie sich über den Stil im Klaren sind, können Sie loslegen.

1. Aufgabe:
Besorgen Sie sich von der IT-Abteilung Informationen zu folgenden Themen:

  • Welche Daten speichert der Web-Server von Besuchern (bzw. Endgeräten von Besuchern) der Internetseite?
  • Wie lange werden die Daten gespeichert
  • Wofür werden die Daten verwendet?
  • Kommen Cookies zum Einsatz?
  • Wenn sog. persistente Cookies zum Einsatz kommen…wie lange ist die Lebensdauer des Cookies
  • Kommt ein Webtracking zum Einsatz? Wenn ja, welches Produkt wird eingesetzt?

Es würde den jetzt den Rahmen sprengen, hier alle Varianten von Webtracking zu berücksichtigen. Hier werden Sie selbst die besten Formulierungen finden können. Wir werden uns daher in der folgenden Mustererklärung an einem Beispiel orientieren, bei dem ein Webtracking-Tool zum Einsatz kommt, das auf eigenen Webservern betrieben wird und keine IP-Adressen speichert.

Fangen wir also an: Damit der Leser weiß, was der Text bzw. die Datenschutzerklärung soll (und nicht soll), macht es Sinn, kurz zu erläutern, warum Sie das tun und welche Informationen erteilt werden. Fangen Sie also an mit einer Begrüßung oder Einleitung:

Als Anbieter dieser Internetseiten sind wir gesetzlich verpflichtet, Sie über Zweck, Umfang und Art der der Erhebung und Verwendung Ihrer personenbezogenen Daten zu informieren. Damit Sie ein gutes Gefühl dafür bekommen, auf welche Art und Weise wir Daten erheben, verarbeiten und nutzen, möchten wir einen Überblick über Datenverarbeitung geben. Bei weiteren Fragen dürfen Sie sich selbstverständlich jederzeit gerne an uns wenden.

Sie sollten dann kurz darstellen, welche Daten denn überhaupt von Ihnen im Falle eines Besuchs erhoben werden. Dadurch wird dann auch gleich deutlich, dass Sie besser nachgedacht haben als viele Mitbewerber, die auf ihren Internetseiten seit Jahren davon ausgehen, dass eine Datenerhebung nur vorliegt, wenn der Nutzer selbst Daten eingibt (z.B. in ein Kontaktformular). Diesen Erkenntnisvorteil sollten Sie nicht unterschätzen 😉
Hier dürfen Sie dann die Informationen darstellen, die Sie von technischen Kollegen bekommen haben, die den Web-Server administrieren. Sie könnten also z.B. schreiben:

Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Beim Besuch unserer Internetseite werden Daten erhoben, verarbeitet und genutzt, bei denen ein Personenbezug möglicherweise nicht immer ausgeschlossen werden kann. Damit die Seiten in Ihrem Browser dargestellt werden können, muss die IP-Adresse erhoben und gespeichert werden. In der Regel wird eine IP-Adresse derzeit durch Ihren Provider dynamisch vergeben. Diese Adresse wechselt meist regelmäßig, so dass wir selbst aus der IP-Adresse keinen Personenbezug herstellen können. In Einzelfällen (z.B. bei sog. statischen IP-Adressen) wäre jedoch in Einzelfällen ggf. die Herstellung eines Personenbezuges theoretisch denkbar. Als Anbieter haben wir jedoch kein Interesse an der Herstellung eines Personenbezuges und werden diesen auch grundsätzlich nicht vornehmen. Im einzelnen wird über jeden Abruf durch Ihr Endgerät (PC, Mobilfunktelefon etc.) folgender Datensatz gespeichert:

  • IP-Adresse des aufrufenden Endgeräts,
  • Betriebssystem des aufrufenden Endgeräts,
  • Browser Version des aufrufenden Endgeräts,
  • Name der abgerufenen Datei,
  • Datum und Uhrzeit des Abrufs,
  • übertragene Datenmenge,
  • Verweisende URL

Die gespeicherten Daten werden nur zu statistischen Zwecken und nicht zur Herstellung eines konkreten Personenbezuges ausgewertet. Die Daten werden ferner genutzt, um die Fehlerbeseitigung zu ermöglichen.

IP-Adressen werden unverzüglich, spätestens nach 72 Stunden gelöscht. Mit Löschung der IP-Adressen ist uns keinerlei Personenbezug mehr aus diesen Daten möglich.

Wichtiger Hinweis: Grundsätzlich dürfen Sie gar keine IP-Adressen über das Ende des Besuchs des jeweiligen Nutzers hinaus speichern. Auch nicht pauschal für „Sicherheitszwecke“ wie man z.T. liest.

Wir Juristen streiten noch darüber, ob eine zeitweise Speicherung der IP-Adressen zur Missbrauchsbekämpfung (z.B. bei Hacking-/Cracking-Angriffen oder sog. Denial-of-Service-Attacken) in entsprechender Anwendung von § 100 des Telekommunikationsgesetzes (TKG) zulässig ist. Das LG Berlin hat dies in seinem Urteil vom 31.01.2013 (Az.: 57 S 87/08) konkret verneint. Das ist aber ein ziemlich komplexes Thema, mit dem ich Sie nicht belästigen möchte. Sie dürfen aber erfahren, dass sehr viele Aufsichtsbehörden durchaus damit leben können, wenn Sie IP-Adressen erst nach 72 Stunden löschen. Länger sollte es aber in der Regel nicht sein. Das ist eine Zeitspanne, die ausreicht, um einen wesentlichen Teil der Angriffe bekämpfen bzw. in Zukunft besser abwehren zu können.

Noch besser ist es natürlich, wenn Sie gar nicht erst IP-Adressen speichern oder diese anonymisieren, indem sie z.B. mindestens das letzte Oktett wegkürzen.

Nachdem wir über die wesentlichen technischen Datenverarbeitungen des Webservers informiert haben, müssen wir dann in jedem Fall noch über Cookies informieren, sofern diese zum Einsatz kommen. Hier steckt der Teufel häufig im Detail. Ganz wichtig ist jedoch ein juristisches Erfordernis: Da Cookies in der Regel (z.B. beim Webtracking) dazu dienen, Nutzungsprofile zu erstellen, muss dem Besucher der Website ein Widerspruchsrecht nach § 15 Abs. 3 TMG eingeräumt werden.

In der Praxis informieren zwar viele Unternehmen über Cookies und das die gar nicht schlimm sind (was häufig stimmt), es fehlt aber ganz häufig an einem korrekten Hinweis, den das Gesetz erfordert. Sie können ungefähr so über die Verwendung von Cookies informieren:

Diese Internetseite verwendet Cookies. Cookies sind kleine Textinformationen, die über Ihren Browser im Endgerät als Datei gespeichert werden. Cookies erlauben Nutzerinteraktionen und ermöglichen weitere Funktionen beim Besuch der Internetseiten.

So analysieren wir z.B. über Cookies, welche Seiten Nutzer besonders häufig aufgerufen werden, nach welchen Suchbegriffen gesucht wurden usw. („Webtrackting“) Sie können die Analyse des Nutzungsverhaltens und den Gebrauch von Cookies unterbinden, wenn Sie in Ihrem Browser das Setzen von Cookies durch diese Domain (hier den Namen der Internetdomain eintragen) blockieren, indem Sie z.B. eine Ausnahme im Browser einrichten (so z.B. im Browser Firefox). Bitte sehen Sie bitte ggf. in der Programmhilfe nach, wie Sie das in Ihrem Browser einrichten können. Natürlich können Sie auch anlassbezogen im Einzelfall oder periodisch Cookies in Ihrem Browser löschen, um z.B. eine Analyse Ihres Nutzungsverhaltens zu unterbinden oder einzuschränken.

Denken Sie auch daran, dass Sie ggf. erweiterte Hinweispflichten zu Cookies in bestimmten EU-Mitgliedsstaaten haben, die die E-Privacy-Richtlinie der EU umgesetzt bzw. streng umgesetzt haben. Ebenso können Sie durch Nutzungsbedingungen von z.B. Google bei der Verwendung bestimmter Services vertraglich verpflichtet sein, auf Cookies über ein „Cookie Informations-Layer“ o.ä. in besonderer Weise hinzuweisen.

Wenn Sie darüber hinaus noch bestimmte Datenerhebungen auf Ihren Internetseiten ermöglichen, dann sollten Sie individuelle Hinweise zu den erhobenen Datenfeldern machen und darüber aufklären, ob und wann eine Weitergabe dieser Daten an Dritte erfolgt.

Wann Sie ggf. eine elektronische Einwilligung des Nutzers brauchen und wie Sie das praktisch umsetzen, damit werden wir uns in einem späteren Tipp beschäftigen.

Schreiben Sie aber bitte niemals so oder ähnlich: Mit dem Besuch der Internetseite willigen Sie in die beschriebene Art der Datenverarbeitung ein.

So eine Form der stillschweigenden Einwilligung gibt es in dieser Form im Datenschutzrecht nicht! Also lassen Sie solche Hinweise, sie sind höchst unprofessionell.

Was könnte noch in der Datenschutzerklärung stehen? Z.B. der Umgang mit Newslettern oder E-Mails. Zu E-Mails könnten Sie z.B. schreiben:

Wenn Sie uns eine E-Mail senden, wird diese von uns bis zur Erledigung Ihrer Anfrage bzw. bis zum Ablauf etwaiger gesetzlicher Aufbewahrungspflichten gespeichert. Wir tragen Sorge dafür, dass die Daten vor der unberechtigten Kenntnisnahme Dritter gesichert aufbewahrt werden.

Beachten Sie jedoch bitte, dass unverschlüsselte E-Mails, die über das Internet versendet werden, nicht hinreichend vor der unbefugten Kenntnisnahme durch Dritte geschützt sind. Sie können uns alternativ über unser gesichertes Kontaktformular (SSL-Standard) eine Nachricht zukommen lassen.

Der letzte Satz macht natürlich nur Sinn, wenn sie ein entsprechend gesichertes Kontaktformular anbieten. Bei der Verwendung von Kontaktformularen sollten Sie im Hinblick auf Datenschutzhinweise generell vorsichtig sein und hier immer konkret auf Zweck, Art und Umfang der Verarbeitung personenbezogener Daten hinweisen (vgl. OLG Köln, Urteil vom 11.03.2016, Az.: 6 U 121/15)

Ich hoffe, Sie sehen jetzt etwas klarer. Wenn Sie Interesse und Lust haben, eine komplette Datenschutzerklärung noch einmal zu lesen, dann probieren Sie es doch einmal mit meiner eigenen: http://www.datenschutz-guru.de/datenschutzhinweise/

Und denken Sie daran. Je individueller Sie es machen, umso besser. Seien Sie kreativ. In diesem Sinne…

Letzte Aktualisierung | letzter Aktualisierungscheck: 29.05.2016