Kostenlose Datenschutzerklärung nach DSGVO jetzt erstellen

(3916 Bewertungen, 4.32 von 5)

Hier erstellen Sie kostenlos, schnell & einfach eine Datenschutzerklärung für Ihre Webseite

Seit 25. Mai 2018 gilt die neue DSGVO! Haben Sie Ihre Websites DSGVO-konform angepasst?
Ein Generator, nicht bloß Muster oder Vorlage: Egal, ob Unternehmer, Webdesigner oder Agentur. Erstellen Sie noch schnell und einfach DSGVO-konforme Datenschutzerklärungen
mit dem eRecht24 Premium Datenschutzgenerator und sichern Sie sich und Ihre Kunden gegen Abmahnungen ab.

Jetzt DSGVO-konforme Datenschutzerklärung erzeugen

Ihre Vorteile:

  • in 3 Minuten zur rechtssicheren Datenschutzerklärung
  • für alle Webseiten und Unternehmensformen geeignet
  • kostenlos und anonym
  • ein individueller Generator, keine allgemeinen Muster oder Vorlagen

Bereits über 1,9 Millionen Nutzer seit 2013:

  • "Sehr praktisch! Ich nutze es immer wieder für die Webseiten meiner Kunden. Danke, für dieses tolle kostenlose Tool!"
  • "Respekt! e-recht24.de weiß, was Webmaster brauchen."
  • "Sehr übersichtlich, gute Lesbarkeit und ein ausgezeichneter Service. Danke dafür!"

Datenschutzhinweis: Ihre Daten werden ausschließlich zur Erzeugung Ihrer Datenschutzerklärung genutzt. Die Daten werden nicht an Dritte weitergegeben.


Das Wichtigste zur DSGVO-konformen Datenschutzerklärung für Webseiten

Für eine Website ist eine Datenschutzerklärung ein absolutes Muss. Ansonsten drohen DSGVO Geldbußen, Abmahnungen und Schadensersatzforderungen. Sanktionen sind auch bei fehlerhaften und unvollständigen Datenschutzerklärungen möglich. Gehen Sie hier deshalb sehr gewissenhaft vor. Doch was sind eigentlich die wichtigsten rechtlichen Inhalte einer Datenschutzerklärung? Sollten Sie für die Datenschutzerklärung eine Vorlage nutzen? Oder ist für eine Datenschutzerklärung ein Generator besser?

 

Inhaltsverzeichnis

Datenschutzerklärung auf Webseiten

Der Datenschutz-Generator und die DSGVO

 

Wer ist im Internet zu einer Datenschutzerklärung verpflichtet?

Die DSGVO schreibt vor, dass Sie als Webseitenbetreiber die Besucher umfassend informieren. Erheben, übermitteln, verarbeiten oder nutzen Sie personenbezogene Daten, müssen sie eine Datenschutzerklärung erstellen.

Exkurs: Was sind personenbezogene Daten?

Bei personenbezogenen Daten ordnet ein Webseitenbetreiber einer Person Daten zu. Typische personenbezogene Daten sind IP- und E-Mail-Adresse, Standortdaten, Name und Alter.

Eine Datenschutzerklärung muss (fast) jede Internetseite haben. Heutzutage verarbeiten nahezu alle Webseitenbetreiber personenbezogene Daten. Nutzen Sie einen Homepage-Baukasten, setzen die Anbieter sehr oft Tracking-Tools und Plug-ins ein. Bei einem externen Hosting erstellt der Hoster auch Server-Logfiles.Bei deutschen und europäischen Webseiten ist eine Datenschutzerklärung zwingend notwendig.

Bei ausländischen Webseiten ist eine Datenschutzerklärung nur erforderlich, wenn sich der Webseitenbetreiber mit seinen Dienstleistungen und Produkten an EU-Bürger richtet oder eine Niederlassung in der EU hat. Eine Datenschutzerklärung ist bei jedem Onlineshop nötig. Nutzen Sie Wordpress, müssen Sie hier eine spezielle Datenschutzerklärung für Wordpress verwenden.

Datenschutzerklärung: Was sind die wichtigsten Inhalte?

Eine Datenschutzerklärung unterrichtet Webseitenbesucher über die Verarbeitung personenbezogener Daten. Sie als Webseitenbetreiber müssen die Erklärung in einer einfachen und verständlichen Sprache abfassen. Der genaue Inhalt richtet sich danach, wie genau Sie mit den personenbezogenen Daten der Nutzer umgehen. Es gibt einige Punkte, die jede Datenschutzerklärung enthält. Der Rest richtet sich danach, welche Tools Sie einsetzen.

Benennen Sie in der Datenschutzerklärung die Person, die für die Datenverarbeitung verantwortlich ist. Haben Sie einen internen oder externen Datenschutzbeauftragten, müssen Sie auch diesen aufführen. Machen Sie deutlich, zu welchem Zweck und auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt.

Geben Sie als Seitenbetreiber an, wie lange Sie die personenbezogenen Daten der Nutzer speichern. Informieren Sie die Betroffenen über die Rechte, die ihnen nach der DSGVO zustehen. Setzen Sie als Seitenbetreiber auf der Internetseite Profiling ein, müssen sie die Nutzer darüber aufklären, was genau sie hier machen. Die meisten Webseitenbetreiber sammeln Daten und erstellen hierüber Nutzerprofile. Damit optimieren sie den Verkaufsprozess.

Datenschutzerklärung und Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist dafür verantwortlich, dass Behörden und Unternehmen die Vorschriften zum Datenschutz einhalten. Er stellt dabei sicher, dass sie personenbezogene Daten so sammeln, speichern und verarbeiten, dass sie den Vorgaben des Bundesdatenschutzgesetztes (BDSG) und der neuen Datenschutz-Grundverordnung (DSGVO) entsprechen. Der Datenschutzbeauftragte ist damit ein unabhängiges Kontrollorgan.

Aufgaben eines Datenschutzbeauftragten

Gemäß dem BDSG muss ein Datenschutzbeauftragter überprüfen, ob Unternehmen und Behörden die Datenschutzbestimmungen einhalten. Dazu muss er interne Abläufe überwachen und kontrollieren. Stellt er einen Verstoß fest, muss er zusammen mit der Geschäftsführung Maßnahmen evaluieren und bestimmen, um diese Verstöße zu beseitigen. Der Datenschutzbeauftragte kann dabei nicht selbst entscheiden, welche Maßnahmen geeignet sind. Diese Entscheidung muss die Geschäftsleitung allein treffen.Damit Behörden und Unternehmen erst gar nicht gegen Datenschutzbestimmungen verstoßen, ist der Datenschutzbeauftragte dafür verantwortlich, intern eine Datenschutzorganisation aufzubauen. Diese soll das Personal über Richtlinien und Änderungen informieren. Darüber hinaus schult der Datenschutzbeauftragte das Personal regelmäßig.

Zusätzliche Aufgaben durch die DSGVO

Mit dem Start der neuen DSGVO am 25. Mai erhält der Datenschutzbeauftragte neue Aufgaben. Er ist dann nicht mehr nur dafür verantwortlich darauf hinzuwirken, dass Unternehmen und Behörden die Datenschutzvorschriften einhalten. Nach Art. 39 Abs. 1b DSGVO hat er dann auch eine umfassende Überwachungspflicht. Das heißt: Der Datenschutzbeauftragte ist dafür zuständig, alle Maßnahmen, die einen gesetzeskonformen Umgang mit personenbezogenen Daten gemäß der DSGVO betreffen, zu überwachen. Dazu muss er u. a. dafür sorgen, dass Unternehmen und Behörden Zuständigkeiten richtig zuweisen und die beteiligten Mitarbeiter entsprechend schulen.

Wer haftet bei Datenschutzverstößen?

Begehen Unternehmen und Behörden einen Verstoß gegen Datenschutzbestimmungen, haftet in der Regel die Unternehmensführung bzw. die Behördenleitung. Sie sind nach dem BDSG letztendlich dafür verantwortlich, die Vorgaben einzuhalten. Handelt der Datenschutzbeauftragte jedoch fahrlässig oder vorsätzlich, muss sich dieser seinen Fehlern stellen und selbst dafür haften. Mit dem Start der neuen DSGVO trifft Datenschutzbeauftragte eine umfassendere Pflicht, so dass es möglich ist, dass sie fortan öfter selbst für Datenschutzverstöße haften.

Wer benötigt einen Datenschutzbeauftragten?

Öffentliche Stellen wie Ämter und Behörden müssen regelmäßig einen Datenschutzbeauftragten bestellen. Nicht-öffentliche Stellen dagegen müssen einen Datenschutzbeauftragten einholen, wenn 10 oder mehr Personen dauerhaft mit der automatisierten Datenverarbeitung beschäftigt sind. Sie müssen einen Datenschutzbeauftragten erst ab einer Personenstärke von 20 bestellen, wenn sie nichtautomatisiert Daten erheben und verarbeiten. Daneben müssen Adressverlage, Markt- und Meinungsforschungsinstitute, Auskunfteien und Unternehmen, die besonders sensitive Daten erheben, unabhängig vom eingesetzten Personal regelmäßig einen Datenschutzbeauftragten einbestellen.

Der Datenschutz-Generator und die DSGVO

Jeder Webseitenbetreiber - aber vor allem Webdesigner und Agenturen - müssen sich um das Thema "Datenschutz" kümmern. Ein "Herummogeln" um diese Frage ist nicht mehr möglich.

Vor allem, weil die im Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) zu zahlreichen rechtlichen Änderungen im Bereich Datenschutz geführt hat. Vor allem die stetige Abmahngefahr und die hohen Bußgelder von bis zu 20 Millionen Euro haben das Thema zu einem der wichtigsten Themen für Seitenbetreiber, Wedesigner und Online Shops werden lassen. Alle Datenschutzerklärungen auf Webseiten mussten bzw. müssen nun DSGVO-konform neu erstellt werden.

Als eRecht24 Premium Nutzer steht Ihnen dafür ein umfangreicher DSGVO-konformer Datenschutz Generator zur Verfügung.

Sören Siebert
Sören SiebertRechtsanwalt

Datenschutzerklärung erstellen: Generator vs. Muster & Vorlagen?

Im Gegensatz zu vielen Muster Datenschutzerklärungen oder bloßen Vorlagen für eine Datenschutzerklärung können Sie mit unserem Datenschutz-Generator die Datenschutzerklärung für Ihre Webseite direkt und individuell erstellen.

Muster oder Vorlagen für Datenschutzerklärungen sind immer statisch. Sie können dort allenfalls einige Passagen löschen. Oft ist auch gar nicht klar, welchen Stand diese Muster oder Vorlagen haben. Eine aktuelle und konkret zu Ihrer Webseite passende Datenschutzerklärung können Sie so aber nicht erzeugen.

Ein echter Generator hat den Vorteil, dass Sie schnell und einfach die Tools und Datenverarbeitungsvorgänge anklicken können, die für Sie relevant sind. Am Ende erhalten Sie dann eine Datenschutzerklärung mit den Inhalten, die Sie wirklich benötigen. Als pdf und als html Quellcode.

Welche Anwendungen, Tools & Plug-Ins deckt der eRecht24 Datenschutzgenerator ab?

Wir arbeiten seit Jahren daran, unseren Datenschutz-Generator für Sie rechtlich aktuell zu halten und um die aktuellsten Tools und PlugIns zu ergänzen. Aktuell sind in der Profi-Version des Generators folgende Punkte enthalten:

Datenschutzerklärung auf Englisch für Ihre Website

Deutsche Seitenbetreiber, die ihre Webseite in deutscher Sprache zur Verfügung stellen, müssen auch ihre Datenschutzerklärung auf Deutsch führen. In einigen Fällen benötigen sie jedoch eine englische Übersetzung ihrer Datenschutzerklärung. 

Dann benötigen Webseitenbetreiber eine englische Übersetzung der Datenschutzerklärung:

Verschiedene Faktoren auf einer Webseite können darauf hindeuten, dass Seitenbetreiber eine englische Übersetzung ihrer Datenschutzerklärung benötigen:

  1. Ist die Webseite neben deutscher auch in englischer Sprache verfügbar, zum Beispiel weil Seitenbetreiber eine internationale Zielgruppe erreichen wollen, ist auch eine englische Variante der Datenschutzerklärung notwendig.

  2. Führen Webseitenbetreiber auf ihrer Seite eine Telefonnummer mit internationaler Vorwahl, sollten sie die Datenschutzerklärung ins Englische übersetzen.

  3. Liefern Webseitenbetreiber ihre Ware auch ins englischsprachige Ausland, sollten sie ihre Datenschutzerklärung ins Englische übersetzen.

Denn: Webseitenbetreiber erheben personenbezogene Daten ihrer Kunden noch immer in Deutschland und damit in der EU. Auf diese Weise sind sie durch die DSGVO verpflichtet, Kunden bei der Erhebung ihrer Daten auf die Datenschutzerklärung hinweisen. Damit diese die Erklärung dann auch lesen können, muss sie sie auch in englischer Sprache zur Verfügung stehen.

Wenn Sie für Ihre Website die Datenschutzerklärung, den Disclaimer oder das Impressum in englischer Sprache benötigen, nutzen Sie bitte eRecht24 Premium. Hier finden Sie neben den englischen Version der Texte unsere Profi-Generatoren mit umfangreicheren Funktionen für professionelle Webseiten.

 


 

Was deckt der Datenschutzgenerator ab: Anwendungen im Detail

Klick-Tipp und Datenschutzerklärung

Klick-Tipp ist ein E-Mail-Marketing-Tool, über das Webseitenbetreiber Mailkampagnen organisieren und durchführen können.

Darum ist Klick-Tipp datenschutzrechtlich eine Herausforderung

Webseitenbetreiber erheben über Klick-Tipp verschiedene, zum Teil personenbezogene Daten von Usern, um ihre Mailkampagnen zielgerichtet ausspielen zu können. Dabei müssen sie Gesetzesvorgaben aus dem Bundesdatenschutzgesetz (BDSG), dem Telemediengesetz (TMG) und ab dem 25. Mai aus der Datenschutzgrundverordnung (DSGVO) beachten, um nicht abgemahnt zu werden.

So können Webseitenbetreiber Klick-Tipp datenschutzkonform einsetzen

Damit Webseitenbetreiber über Klick-Tipp rechtmäßig E-Mails versenden dürfen, benötigen sie eine Einwilligung der User in den Versand – und damit in die Speicherung und Verwendung ihrer Daten. Denn: Bei Anmeldungen für den Empfang von Newslettern müssen User personenbezogene Daten wie ihre E-Mail angeben. Die Einwilligung gewährt Webseitenbetreibern, dass sie diese Daten erheben und verwenden dürfen. Fehlt diese Einwilligung, ist die E-Mail-Werbung rechtswidrig. Gleichzeitig sollten Seitenbetreiber Nutzer in der Einwilligung auf ihr Widerspruchsrecht hinweisen.Daneben müssen Webseitenbetreiber in ihrer Datenschutzerklärung User über den Newsletter-Versand über Klick-Tipp informieren. Darin müssen sie ausführlich aufklären, welche Daten sie warum erheben und wie sie diese weiterverarbeiten. Bisher gibt das noch das TMG in § 13 Abs. 1 vor.Ab dem 25.Mai übernimmt dann Art. 13 Abs. 1 DSGVO: Das Gesetz schreibt ab diesem Zeitpunkt vor, dass Unternehmen beim Newsletter-Marketing über Anbieter wie Klick-Tipp in der Datenschutzerklärung

  • über den Zweck, für den sie die personenbezogenen Daten verarbeiten wollen, informieren,
  • die Rechtsgrundlage für die Datenverarbeitung – Art. 6 Abs. 1 UAbs. 1 DSGVO – nennen,
  • über die Dauer, wie lange sie die personenbezogenen Daten speichern wollen, informieren und
  • sie auf ihr Recht hinweisen, die Einwilligung jederzeit widerrufen zu können,
    müssen.

Zusätzlich müssen Webseitenbetreiber mit Klick-Tipp einen Vertrag zur Auftragsdatenverarbeitung abschließen. Bisher regelt § 11 BDSG dies, die DSGVO übernimmt jedoch im Mai auch hier. Ein Vertrag zur Auftragsdatenverarbeitung stellt sicher, dass sich E-Mail-Marketing-Tools wie Klick-Tipp beim Versand von Newslettern an die strengen Vorgaben des Datenschutzrechts halten. Der Vertrag muss u. a.

  • den Gegenstand und die Dauer der Datenverarbeitung,
  • die Art und den Zweck der Verarbeitung,
  • die Art der personenbezogenen Daten,
  • die Kategorien der betroffenen Personen und
  • die Pflichten und Rechte der Verantwortlichen

aufführen. Entspricht die Vereinbarung zur Auftragsdatenverarbeitung nicht den Vorgaben der DSGVO, begehen Webseitenbetreiber eine Ordnungswidrigkeit. Ihnen droht dann gemäß Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent ihres weltweiten Umsatzes des vergangenen Geschäftsjahres.Daneben müssen Seitenbetreiber die Auftragsdatenverarbeitung mit Klick-Tipp in ihre Datenschutzerklärung aufnehmen. Sie müssen Nutzer dabei informieren, dass sie mit Klick-Tipp einen Vertrag zur Auftragsdatenverarbeitung abschlossen haben und erklären, was das für sie und ihre Daten bedeutet.

Datenschutzerklärung und Kommentarfunktion

Zahlreiche Webseiten lassen User nicht nur Inhalte lesen, sondern auch kommentieren. Dazu verfügen die Seiten über eine Kommentarfunktion. Damit Nutzer einen Kommentar schreiben dürfen, verlangen Seitenbetreiber von ihnen in der Regel entweder eine Registrierung oder die Angabe ihrer E-Mail-Adresse. Auf einigen Seiten müssen Nutzer zudem ihren Namen nennen.

Darum ist eine Kommentarfunktion datenschutzrechtlich relevant

Verlangen Webseitenbetreiber für das Schreiben eines Kommentars eine Registrierung auf der Seite oder eine E-Mail-Adresse, erheben sie personenbezogene Daten. Oftmals erfassen sie dabei auch die IP-Adresse des Nutzers. Diese Daten dürfen sie jedoch nur abfragen, wenn sie vorher die Zustimmung der User dafür einholen.

Kommentarfunktion auf der Webseite datenschutzkonform einbinden

Wollen Webseitenbetreiber personenbezogene Daten wie Name und E-Mail-Adresse für das Schreiben eines Kommentars erheben, sollten sie per Opt-In die Einwilligung der User dafür einholen. Das bestimmt Art. 6 Abs. 1 lit. a Datenschutzgrundverordnung (DSGVO). Zusätzlich empfiehlt es sich, in der Kommentarfunktion auf den geltenden Datenschutz hinzuweisen. Dieser Hinweis sollte einen Link zur Datenschutzerklärung aufweisen. Darin sollten Seitenbetreiber das Abfragen der personenbezogenen Daten festhalten. Dazu sollten sie genau aufklären,

  • welche Userdaten sie für die Kommentarfunktion erheben,
  • was sie mit den Daten machen,
  • wie lange sie diese speichern und
  • dass sie die Verantwortung übernehmen, die Daten der Nutzer zu schützen.

Webseitenbetreiber müssen zudem darauf achten, dass die von ihnen erhobenen Daten für den Zweck unbedingt notwendig sind. Das gibt die DSGVO vor.

Das heißt für die Praxis: Sie sollten nur die personenbezogenen Informationen erheben, die sie für das Posten des Kommentars unbedingt benötigen. Welche das bei einer Kommentarfunktion sind, entscheidet der Einzelfall. Grundsätzlich reichen dabei jedoch ein Username und gegebenenfalls eine E-Mail-Adresse aus. Insbesondere personenbezogene Daten wie die IP-Adresse sollten Seitenbetreiber daher in der Kommentarfunktion nicht erheben und speichern. Die erhobenen Daten dürfen sie nur in Zusammenhang mit der Kommentarfunktion verwenden. Erfüllen die Daten des Users keinen Zweck mehr, müssen Seitenbetreiber diese löschen.

Damit die personenbezogenen Daten nicht von Dritten mitgelesen oder abgegriffen werden können, müssen Seitenbetreiber die Übertragung zudem verschlüsseln. Das ergibt sich aus § 13 Abs. 7 TMG. Das können sie mithilfe eines anerkannten Verschlüsselungsverfahrens wie TLS vornehmen.

Rechtsprechung zur Kommentarfunktion

Speichern Webseitenbetreiber die IPs von Usern, nehmen sie personenbezogene Daten auf. Das hat der Bundesgerichtshof am 16.05.2017 entschieden (Az. VI ZR 135/13). Da Seitenbetreiber die IP-Adresse nur in den seltensten Fällen wirklich benötigen, sollten sie dem Grundsatz der Datensparsamkeit folgen und die IP bei der Kommentarfunktion nicht erheben.
Darüber hinaus hat das Oberlandesgericht Köln am 11.03.2016 entschieden, dass es ein abmahnfähiger Wettbewerbsverstoß ist, wenn Seitenbetreiber die Datenerhebung über ein Kontaktformular in ihrer Datenschutzerklärung nicht ansprechen (Az. 6 U 121/15). Dieses Urteil könnte analog für die Kommentarfunktion gelten. Verzichten Seitenbetreiber also auf die Erwähnung der Kommentarfunktion in ihrer Datenschutzerklärung, könnte ebenfalls ein Wettbewerbsverstoß vorliegen.

Kommentarfunktion mit Abonnieren von Kommentaren

Auf zahlreichen Webseiten und Blogs können Nutzer Content nicht nur lesen, sondern auch mit Kommentaren versehen. Haben sie einmal einen Kommentar abgegeben, haben sie oftmals Interesse daran, weitere Reaktionen auf das Thema oder zu ihrem eigenen Kommentar zu lesen. Damit sie diese mitbekommen, können sie sich daher auf vielen Webseiten per E-Mail über neue Kommentare benachrichtigen lassen.

Darum ist das Abonnieren von Kommentaren datenschutzrechtlich relevant

Wollen Nutzer über neue Kommentare benachrichtigt werden, müssen sie ihre E-Mail-Adresse angeben. Bei E-Mail-Adressen handelt es sich um personenbezogene Daten. Diese dürfen Seitenbetreiber jedoch nur abfragen, wenn sie dazu die Einwilligung der Nutzer einholen.

Das Abonnieren von Kommentaren datenschutzkonform anbieten

Seitenbetreiber sollten User per Opt-In der Datenerhebung zustimmen lassen. Das rechtfertigt Art. 6 Abs. 1 lit. a Datenschutzgrundverordnung (DSGVO). Zusätzlich sollten sie die Kommentarfunktion mit einem Datenschutzhinweis versehen. Dieser Hinweis sollte dann per Link auf die Datenschutzerklärung führen. Darin sollten sie User aufklären,

  • dass sie die E-Mail-Adresse speichern,
  • wofür sie die E-Mail-Adresse verwenden,
  • wie lange sie diese speichern und
  • dass sie die Verantwortung übernehmen, diese zu schützen.

Neben der E-Mail sollten Webseitenbetreiber keine weiteren personenbezogenen Daten erheben, um dem Gebot der Datensparsamkeit der DSGVO zu genügen. Zudem sollten sie die E-Mail-Adresse nur dazu verwenden, um den Kommentar des Users zu posten und diesen über weitere Kommentare zu informieren. Sie dürfen die E-Mail für keinen weiteren Zweck verwenden.

Damit Dritte die E-Mail-Adresse von Usern nicht mitlesen können, sollten sie den Datentransfer verschlüsseln. Das gibt § 13 Abs. 7 TMG vor. Dazu bietet sich ein anerkanntes Verschlüsselungsverfahren wie TLS an.

Rechtsprechung zur Kommentarfunktion

Das Oberlandesgericht Köln hat am 11.03.2016 entschieden: Informieren Webseitenbetreiber in ihrer Datenschutzerklärung nicht über die Datenerhebung über ein Kontaktformular, begehen sie einen abmahnfähigen Wettbewerbsverstoß (Az. 6 U 121/15). Diese Entscheidung könnte auch für die Kommentarfunktion gelten, da es hier um eine ähnliche Datenerhebung geht. Verzichten Webseitenbetreiber also darauf, das Abonnieren von Kommentaren in ihrer Datenschutzerklärung anzusprechen, könnte ein Wettbewerbsverstoß vorliegen.

Kommentarfunktion mit Angabe der E-Mail-Adresse

Bevor Nutzer die Kommentarfunktion von Webseiten nutzen können, verlangen Seitenbetreiber in der Regel die Angabe von verschiedenen Daten von ihnen. Neben einem Usernamen oder Namen müssen sie dabei oftmals auch ihre E-Mail-Adresse preisgeben.

Darum ist eine Kommentarfunktion mit Angabe der E-Mail-Adresse datenschutzrechtlich relevant
Fragen Webseitenbetreiber für das Schreiben eines Kommentars nach der E-Mail-Adresse der Nutzer, erheben sie personenbezogene Daten. Das dürfen sie jedoch nur, wenn User dazu vorher eingewilligt haben.

Kommentarfunktion mit Angabe der E-Mail-Adresse datenschutzkonform einbinden

Bevor Webseitenbetreiber die E-Mail-Adresse der User erheben und speichern, müssen sie Nutzer um Erlaubnis bitten. Das rechtfertigt Art. 6 Abs. 1 lit. a Datenschutzgrundverordnung (DSGVO). Was genau dann mit ihrer E-Mail passiert, müssen sie darüber hinaus in ihrer Datenschutzerklärung aufführen. Seitenbetreiber sollten Nutzern darin genau erläutern,

  • dass sie die E-Mail-Adresse erheben und speichern,
  • warum sie die E-Mail-Adresse erheben und speichern,
  • wie lange sie diese speichern und
  • dass sie die Verantwortung übernehmen, die E-Mail zu schützen.

Webseitenbetreiber sollten neben der E-Mail-Adresse keine weiteren personenbezogenen Daten erheben. Nur so genügen sie der DSGVO. Diese gibt vor, dass Seitenbetreiber nur die personenbezogenen Informationen sammeln dürfen, die sie unbedingt für den angestrebten Zweck benötigen. Für das Abgeben eines Kommentars sind neben dem Namen oder Usernamen und einer E-Mail keine weiteren Daten notwendig. Diese Daten sollten sie zudem ausschließlich für die Kommentarfunktion nutzen.

Für die Praxis heißt das: Sie dürfen den Namen und die E-Mail nur dafür verwenden, um den Kommentar des Users zu posten. Ist der Kommentar online und haben die personenbezogenen Daten damit ihren Zweck erfüllt, müssen Seitenbetreiber die Daten anschließend löschen.

Um die E-Mail-Adresse der User vor fremden Zugriffen zu schützen, müssen Seitenbetreiber die Datenerhebung in der Kommentarfunktion zudem verschlüsseln. Das ergibt sich aus § 13 Abs. 7 TMG. Sie können dafür auf ein anerkanntes Verschlüsselungssystem wie TLS zurückgreifen.

Rechtsprechung zur Kommentarfunktion

Sprechen Webseitenbetreiber in ihrer Datenschutzerklärung nicht die Datenerhebung über ein Kontaktformular an, begehen sie einen Wettbewerbsverstoß. Das hat das Oberlandesgericht Köln am 11.03.2016 entschieden (Az. 6 U 121/15). Dieses Urteil könnte auch für die Kommentarfunktion auf Webseiten gelten. Verzichten Seitenbetreiber also darauf, die Erhebung der E-Mail-Adresse in der Kommentarfunktion in ihrer Datenschutzerklärung anzusprechen, könnte damit ein Wettbewerbsverstoß vorliegen.

Kommentarfunktion mit Speicherung der IP-Adresse

Die Kommentarfunktion auf Webseiten ermöglicht es Usern, ihre Meinung zu einem bestimmten Artikel oder Thema abzugeben. Damit User einen Kommentar verfassen können, erheben viele Webseitenbetreiber von ihnen in diesem Rahmen nicht nur Daten wie Username, Name und E-Mail-Adresse, sondern oftmals auch ihre IP-Adresse.

Darum ist eine Kommentarfunktion mit Speicherung der IP-Adresse datenschutzrechtlich relevant

Speichern Webseitenbetreiber bei Nutzen der Kommentarfunktion die IP-Adressen der User, erheben sie personenbezogene Daten. Diese dürfen sie jedoch nur erfassen, wenn User dem zugestimmt haben und dies nicht gegen den Grundsatz der Datensparsamkeit verstößt.

Das heißt für die Praxis: Webseitenbetreiber dürfen die IP-Adresse bei der Abgabe eines Kommentars nur speichern, wenn sie einen triftigen Grund dafür haben. Dieser kann zum Beispiel vorliegen, wenn sie die IP-Adressen speichern, um die Funktionstüchtigkeit ihrer Webseite zu erhalten oder einen missbräuchlichen Zugriff auf ihre Seite identifizieren wollen. Das ist bei einer Kommentarfunktion jedoch eher selten der Fall. Webseitenbetreiber sollten daher keine IPs erheben und speichern, wenn User einen Kommentar auf ihrer Seite abgeben.

Seitenbetreiber, die auf Wordpress setzen, müssen noch einen Schritt weiter gehen. Denn: Wordpress speichert in der Standardeinstellung die IP-Adressen der Nutzer, wenn diese einen Kommentar schreiben. Das verstößt gegen den Grundsatz der Datensparsamkeit. Sie sollten daher das Plugin „RemoveIP“ installieren, um nicht automatisch die IPs der User zu sammeln und so deutsche Datenschutzbestimmungen zu verletzen.

Rechtsprechung zur Kommentarfunktion mit Speicherung der IP-Adresse

Der Bundesgerichtshof hat am 16.05.2017 entschieden, dass Webseitenbetreiber personenbezogene Daten erheben, wenn sie die IP-Adressen von Nutzern speichern (Az. VI ZR 135/13). Erfüllt das Sammeln der IP-Adressen also keinen eminent wichtigen Zweck für den Seitenbetreiber, verstößt dies gegen das Gesetz.

Datenschutzerklärung und Kontaktformular

Kontaktformular und Datenschutzerklärung

Ein Kontaktformular bietet Usern auf Webseiten die Möglichkeit, auf einfache Weise mit dem Seitenbetreiber in Kontakt zu treten. In der Regel müssen Nutzer dabei ihren Namen und ihre E-Mail-Adresse (also personenbezogene Daten) angeben, um eine Nachricht schreiben zu können bzw. vom Seitenbetreiber auch eine Antwort zu erhalten.

Die DSGVO und das Kontaktformular

Fragen Seitenbetreiber im Kontaktformular Informationen wie den Namen oder die E-Mail-Adresse von Usern ab, erheben sie personenbezogene Daten. Die DSGVO sieht nun vor, dass Kontaktformulare bei denen personenbezogene Daten übertragen werden gesichert werden müssen. Das betrifft zumindest die SSL-Verschlüsselung des Kontaktformulars. Zusätzlich muss der Umgang mit den Nutzerdaten aus dem Kontaktformular in der Datenschutzerklärung auf Ihrer Webseite im Detail erläutert werden.

Kontaktformular datenschutzkonform in die Webseite einbinden:

Damit Seitenbetreiber ein Kontaktformular rechtssicher einbinden, müssen sie verschiedene Vorgaben beachten:

Datensparsamkeitsprinzip

Webseitenbetreiber sollten im Kontaktformular nur die personenbezogenen Daten erheben, die für die Bearbeitung der Anfrage unbedingt nötig sind. In der Regel sind das Name und E-Mail-Adresse des Anfragenden. Diese Felder sollten Seitenbetreiber daher als Pflichtfelder kennzeichnen. Die Telefonnummer dürfte nur in den seltensten Fällen notwendig sein, um die Anfrage zu bearbeiten, diese sollte daher nicht als Pflichtfeld gekennzeichnet sein Es steht Seitenbetreibern frei, weitere Daten im Kontaktformular abzufragen, ohne diese als Pflichtangaben zu markieren. Auf diese Weise können Nutzer selbst entscheiden, ob sie diese Daten freiwillig angeben möchten

Zweckbindungsprinzip

Seitenbetreiber dürfen die personenbezogenen Daten, die sie von Usern erheben, nur für den im Kontaktformular angegebenen Zweck verwenden. Sprich: zur Beantwortung der Anfrage des Users. Ist die Anfrage abgeschlossen, dürfen Seitenbetreiber diese nicht für weitere Zwecke verwenden. Sie müssen die Daten löschen. Sie dürfen diese nur weiter speichern oder verwenden, wenn ihnen das Gesetz dies vorgibt.

Transparenzgebot

Webseitenbetreiber müssen User darüber informieren, wie und in welchem Umfang sie die personenbezogenen Daten erheben. In der Praxis empfiehlt es sich dabei, per Opt-In die Einwilligung der User dafür einzuholen. Zusätzlich sollten sie das Kontaktformular mit einem Datenschutzhinweis versehen, der auf die Datenschutzerklärung verlinkt.

  • Verschlüsselungspflicht

Darüber hinaus müssen Webseitenbetreiber die über das Kontaktformular erhobenen Daten verschlüsselt übersenden. Diese Pflicht gibt das Telemediengesetz in § 13 Abs. 7 vor. Dazu sollten sie ein anerkanntes Verschlüsselungsverfahren wie Transport Layer Security (TLS) verwenden. Kommen Seitenbetreiber dem nicht nach, begehen sie eine Ordnungswidrigkeit. Die DSGVO sieht erhebliche Bußgelder für Datenschutzverstöße vor.

In ihrer Datenschutzerklärung sollten Sie zum Kontaktformular darüber informieren,

  • dass sie über das Kontaktformular personenbezogene Daten erheben,
  • welche Daten genau sie erheben,
  • warum sie diese Daten erheben,
  • was sie mit den Daten machen und
  • wie lange sie die Daten speichern.

Urteile zu Kontaktformularen und Datenschutzerklärung

Erwähnen Webseitentreiber in ihrer Datenschutzerklärung nicht, wie und warum sie über das Kontaktformular personenbezogene Daten erheben, begehen sie einen abmahnbaren Wettbewerbsverstoß. Das hat das Oberlandesgericht Köln am 11.03.2016 entschieden (Az. 6 U 121/15). Das Landgericht Berlin entschied in einem ähnlichen Fall jedoch genau andersherum (Urteil vom 04.02.2015, Az. 52 O 394/15). Ein höchstrichterliches Urteil liegt hierzu bisher nicht vor.

LinkedIn Plugin und Datenschutzerklärung

LinkedIn ist ein Karrierenetzwerk, das Mitglieder geschäftliche Kontakte knüpfen lässt. Dazu können sie Profile anlegen und so nach Stellenausschreibungen, Projekten und Mitarbeitern Ausschau halten.

Diese Daten sammelt und nutzt LinkedIn

LinkedIn sammelt all die Daten, die Nutzer bei der Anmeldung und in ihrem Profil angeben. Dazu gehören unter anderem Name, E-Mail-Adresse, Kontakte, Ausbildung, Profilfoto und Geburtsdatum. Darüber hinaus speichert LinkedIn Daten zu allen Aktivitäten, die User im Netzwerk vornehmen. Dazu zählen u. a. veröffentlichte Beiträge, Gefällt-mir-Angaben und Gruppenmitgliedschaften. LinkedIn lässt Nutzer selbst entscheiden, ob ihre Inhalte dahingehend ausgewertet werden sollen, um ihnen personalisierte Werbung anzuzeigen.

Entscheiden sich Mitglieder dagegen, sehen sie zwar immer noch Werbung, jedoch keine mehr auf sie zugeschnittene Anzeigen. Nach der Übernahme durch Microsoft hat LinkedIn zudem seine Datenschutzerklärung angepasst. Seitdem können externe Dienstleister und Partnerunternehmen auf die Profile der Mitglieder zugreifen. Darüber hinaus analysiert künstliche Intelligenz die Aktivitäten der User, um ihnen so ein individualisiertes Erlebnis bieten zu können.

Datenschutzprobleme bei LinkedIn

Unternehmen, die LinkedIn nutzen, müssen deutsche Datenschutzbestimmungen erfüllen. Dazu müssen sie in ihrem LinkedIn-Profil entsprechende Datenschutzhinweise platzieren oder dort einen Link zu den Datenschutzhinweisen auf ihrer Webseite zur Verfügung stellen. Die Datenschutzerklärung wiederum muss User ausführlich darüber informieren, dass die gemachten Datenschutzhinweise auch für das Netzwerk LinkedIn gelten.

Datenschutzrechtlich problematisch ist die Einbindung des Share-on-LinkedIn- sowie des Follow-Company-Plugins auf der eigenen Webseite. Diese bauen automatisch eine Verbindung zum LinkedIn-Server auf, wenn User daraufklicken. Das verstößt gegen deutsches Datenschutzrecht, da die Plugins auf diese Weise personenbezogene Daten an LinkedIn senden, ohne über die Einwilligung der User zu verfügen. Ein Hinweis in der Datenschutzerklärung dazu reicht nicht aus.

Webseitenbetreiber sollten daher lieber auf alternative Plugins wie das eRecht24 Safe Sharing Tool setzen, das datenschutzkonform LinkedIn-Inhalte teilen lässt.

Rechtsprechung zu LinkedIn

Das Landgericht Düsseldorf hat am 09.03.2016 entschieden, dass der auf Webseiten implementierte Facebook Like-Button gegen deutschen Datenschutzbestimmungen verstößt (Az. 12 O 151/15). Die Entscheidung bezog sich zwar nur auf den Like-Button von Facebook, sie lässt sich jedoch auf jedes andere soziale Netzwerk übertragen. Denn: Der Share- und Follow-Button von LinkedIn setzt den gleichen Datentransfer in Gang wie der Facebook Like-Button. Der Europäische Gerichtshof hat derzeit die Frage vorliegen, ob Social Plugins wie von Facebook, Google+ und LinkedIn zulässig sind. Die Entscheidung dazu steht noch aus.

LinkedIn Insight Tag

Der LinkedIn Insight Tag ist ein JavaScript-Code, den Unternehmen auf ihrer Seite einbinden können. Es handelt sich dabei um ein Tracking-Tool, das LinkedIn-Mitglieder auf einer Webseite erfasst und analysiert. Unternehmen erhalten so Einblicke in ihre Zielgruppe, die Attraktivität ihrer Angebote und die Performance von Anzeigenkampagnen auf LinkedIn.

Darum ist der LinkedIn Insight Tag datenschutzrechtlich relevant

Der LinkedIn Insight Tag setzt einen Cookie in den Browser der User. Darüber erfasst LinkedIn unter anderem Daten wie

  • URL,
  • Referrer-URL
  • Geräteeigenschaften,
  • Browsereigenschaften und
  • IP-Adresse.

LinkedIn anonymisiert die Daten innerhalb von 7 Tagen. Innerhalb von 90 Tagen löscht es die Daten wieder. Seitenbetreiber, die den LinkedIn Insight Tag verwenden, erhalten keine personenbezogenen Daten. Sie erhalten lediglich zusammengefasste Berichte über die Demografie ihrer Zielgruppe und die Performance ihrer Anzeigen. Dabei bekommen Seitenbetreiber Informationen zu Kriterien wie

  • Branche,
  • Jobbezeichnung,
  • Unternehmensgröße,
  • Karrierestufe und
  • Standort

der Webseitenbesucher.

So können Seitenbetreiber den LinkedIn Insight Tag datenschutzkonform nutzen

Um den LinkedIn Insight Tag datenschutzkonform verwenden zu können, müssen Seitenbetreiber diese Anforderungen erfüllen:

Einwilligung der User einholen

Bevor LinkedIn einen Cookie im Browser ablegen darf, müssen Seitenbetreiber die Einwilligung der User dafür einholen. Das schreibt Art. 6 Abs. 1 lit. a der Datenschutz-Grundverordnung (DSGVO) vor. In der Praxis können Seitenbetreiber dafür einen Cookie-Hinweis einblenden. Dieser sollte um die ausdrückliche Einwilligung der Nutzer bitten.

Datenschutzerklärung anpassen

Seitenbetreiber müssen in ihrer Datenschutzerklärung aufführen, dass

  • LinkedIn einen Cookie in ihrem Browser ablegt,
  • welche Daten der Cookie erhebt,
  • warum LinkedIn die Daten erhebt,
  • was es mit den User-Daten macht,
  • wie lange es die Daten aufbewahrt,
  • welche Rechtsgrundlage das erlaubt (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Nutzer der Datenspeicherung jederzeit widersprechen können.

Rechtsprechung zum LinkedIn Insight Tag

Der Europäische Gerichtshof entschied am 01.10.2019: Seitenbetreiber dürfen keine Tracking-Cookies auf ihrer Seite nutzen, ohne vorher eine ausdrückliche Einwilligung der Nutzer eingeholt zu haben (C-637/17). Dabei ist es unerheblich, ob die Cookies personenbezogene oder anonyme Daten erheben.

Der Bundesgerichtshof (BGH) kam zu dem gleichen Schluss. Er entschied am 28.05.2020, dass Webseitenbetreiber eine aktive Einwilligung benötigen, wenn sie Tracking-Cookies setzen wollen. Dabei muss die Einwilligung vom User ausgehen. Eine vorher bereits ausgewählte Checkbox im Cookie-Banner reicht nicht aus (I ZR 7/16).

MailChimp und Datenschutzerklärung

Mailchimp ist ein cloudbasiertes Tool für das Newsletter Management. User können darüber Newsletter planen, erstellen, verschicken und verwalten.

Darum ist Mailchimp datenschutzrechtlich eine Herausforderung

Um Newsletter zu versenden, müssen Webseitenbetreiber zunächst E-Mail-Adressen von Empfängern sammeln. Diese zählen zu den personenbezogenen Daten und gelten daher als besonders schützenswert. Das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG) und ab dem 25. Mai auch die Datenschutz-Grundverordnung (DSGVO) legen Seitenbetreibern daher eine Reihe von Pflichten auf.

Mailchimp datenschutzkonform einsetzen

Um über Mailchimp Newsletter gesetzeskonform zu versenden, benötigen Webseitenbetreiber die Zustimmung der User in den Versand. Das „OK“ erlaubt es ihnen, die E-Mail-Adressen der User zu erheben, zu speichern und für den Newsletter-Versand zu verwenden. Diese Einwilligung erhalten Webseitenbetreiber über einen zweistufigen Prozess: Zunächst müssen Nutzer ihre E-Mail-Adresse angeben und per Opt-In in den Newsletter-Versand einwilligen. Darin sollten sie auch darauf hinweisen, dass User der Nutzung ihrer Daten und damit dem Newsletter-Versand jederzeit wieder widersprechen können. Danach erhalten Nutzer eine E-Mail, die sie bestätigen müssen, um den Versand rechtskräftig zu machen. Dieses Vorgehen nennt sich Double Opt-In. Verschicken Webseitenbetreiber E-Mail-Werbung ohne Zustimmung der User, ist diese rechtswidrig.

Zusätzlich sind Webseitenbetreiber verpflichtet, die Datenerhebung und -verwendung in Form des Newsletter-Versandes über Mailchimp in ihrer Datenschutzerklärung aufzuführen. Sie müssen dabei ausführlich darüber aufklären, welche Daten sie warum erheben und wie sie diese verwenden. Das gibt derzeit noch das TMG in § 13 Abs. 1 vor. Ab dem 25. Mai schreibt dann Art. 13 Abs. 1 DSGVO vor, dass Newsletter-Versender in der Datenschutzerklärung User darüber informieren müssen,

  • wofür sie ihre personenbezogenen Daten verarbeiten,
  • wie lange sie ihre Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
  • dass sie die Einwilligung jederzeit widerrufen können.

Darüber hinaus müssen Seitenbetreiber mit Mailchimp einen Vertrag zur Auftragsdatenverarbeitung abschließen. Das gibt § 11 BDSG vor. Am 25. Mai übernimmt dann auch hier die DSGVO. Der Prozess nennt sich dann „Auftragsverarbeitung“. Der Vertrag dazu muss u. a.

  • den Gegenstand und die Dauer der Datenverarbeitung,
  • Art und Zweck der Datenverarbeitung,
  • die Art der personenbezogenen Daten,
  • die Kategorien der Betroffenen und
  • die Pflichten und Rechte der Verantwortlichen

nennen. Kommen Newsletter-Versender diesen Pflichten nicht nach, drohen ihnen empfindliche Strafen. Gemäß Art. 83 Abs. 4 lit. a DSGVO erwartet sie dann ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent ihres weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Ist der Vertrag zur Auftragsverarbeitung mit Mailchimp geschlossen, müssen Newsletter-Versender dies in ihrer Datenschutzerklärung aufführen. Sie müssen User informieren, dass sie einen Vertrag zur Auftragsverarbeitung mit Mailchimp geschlossen haben und ihnen erklären, was das für sie und ihre personenbezogenen Daten bedeutet.

Rechtsprechung zu MailChimp

Der Bundesgerichtshof (BGH) hat am 10.02.2011 entschieden, dass das Double-Opt-In-Verfahren geeignet ist, um die Einwilligung von Usern in den Empfang von Werbemails einzuholen (Az. I ZR 164/09). Das Oberlandesgericht (OLG) München widersprach der höchstrichterlichen Rechtsprechung am 27.09.2012 jedoch. Es kam zu dem Schluss, dass die Bestätigungsmail im Double-Opt-In-Verfahren bereits eine unzumutbare Belästigung gemäß § 7 Abs. 2 Nr. 2 UWG darstellen kann (Az. 29 U 1682/12).

Das OLG Düsseldorf wiederum kam am 17.03.2016 zu dem Ergebnis, dass die E-Mail an den User notwendig ist, um die Einwilligung per Double-Opt-In zu bestätigen (Az. I-15 U 64/15). Damit schloss sich das Gericht dem BGH an. Webseitenbetreiber, die für ihre Newsletter auf Mailchimp setzen, sollten daher auf das Double-Opt-In-Verfahren setzen.

MailerLite

MailerLite ist ein E-Mail-Dienst aus Litauen. Unternehmen können darüber E-Mail-Kampagnen gestalten, verschicken und auswerten. Dafür bietet die Software verschiedene Kampagnen-Vorlagen, eine integrierte Bildbearbeitung und einen Workflow-Editor. Im kostenlosen Tarif können Unternehmen Mails an bis zu 1.000 Newsletter-Empfänger versenden.

Warum ist MailerLite datenschutzrechtlich relevant?

Unternehmen, die MailerLite für ihre E-Mail-Kampagnen nutzen, erheben User-Daten wie

  • E-Mail-Adressen,
  • gegebenenfalls Namen,
  • IP-Adressen und
  • Informationen zur Öffnungs- und Klickrate der verschickten E-Mails.
  • Sie geben diese Daten an MailerLite weiter. Dabei handelt es sich zum Teil um personenbezogene Daten. Die Datenschutz-Grundverordnung (DSGVO) gibt Unternehmen dafür besondere datenschutzrechtliche Pflichten vor.

So können Seitenbetreiber MailerLite datenschutzkonform verwenden

Um MailerLite gemäß der DSGVO zu verwenden, müssen Unternehmen diese Vorgaben erfüllen:

Double-Opt-In für E-Mail-Versand

Bevor Unternehmen E-Mails an User verschicken, benötigen sie von ihnen eine Einwilligung in den Versand. Sie können diese per Double-Opt-In-Verfahren einholen. Das Verfahren hat sich als rechtssicher bewährt.

Unternehmen erheben dabei zunächst die Mailadresse der User. In diesem Kontext verweisen sie darauf, dass Nutzer damit die Zusendung von E-Mails erlauben. Daneben müssen Unternehmen erklären, dass User ihre Einwilligung in den Versand jederzeit widerrufen können.

Haben sich Kunden einmal für den Mailversand angemeldet, lassen ihnen Unternehmen eine erste Mail zukommen. Sie fordern User darin auf, die Anmeldung noch einmal zu bestätigen. In der Regel können Kunden das über einen Klick auf einen Link in der Mail vornehmen. Unternehmen haben dann rechtlich zulässig die Einwilligung in den Mailversand eingeholt.

Vertrag zur Auftragsverarbeitung abschließen

Seitenbetreiber, die MailerLite verwenden, geben die darüber erhobenen Daten an den Mailanbieter weiter. § 28 DSGVO schreibt dafür vor: Erhalten Dritte Zugriff auf personenbezogene Daten, müssen Seitenbetreiber mit diesem einen Vertrag zur Auftragsverarbeitung eingehen. MailerLite stellt diesen online zur Verfügung.

Unternehmen sollten in dem Vertrag erklären,

  • welche Userdaten MailerLite speichert,
  • wie lange der Mailanbieter die Daten speichert,
  • warum er die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Seitenbetreiber müssen in ihrer Datenschutzerklärung aufführen, dass sie mit MailerLite einen Vertrag zur Auftragsverarbeitung geschlossen haben. Dabei sollten sie erläutern,

  • warum sie über MailerLite personenbezogene Daten sammeln,
  • wie lange sie die Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. f DSGVO) und
  • dass Nutzer ihrer Einwilligung in die Datenerhebung und damit in den E-Mail-Versand jederzeit widersprechen können.

Rechtsprechung zu MailerLite

Im Februar 2011 entschied der Bundesgerichtshof, dass Seitenbetreiber das Double-Opt-In-Verfahren verwenden müssen, um die Einwilligung von Usern in den E-Mail-Versand einzuholen (Az. I ZR 164/09). Im März 2016 bestätigte das Oberlandesgericht Düsseldorf diese Entscheidung. Dabei kam es zu dem Schluss, dass Unternehmen ihren Kunden im Rahmen des Double-Opt-In-Verfahrens eine Mail zukommen lassen dürfen, die sie die Anmeldung in den Mailversand noch einmal bestätigen lässt (Az: I-15 U 64/15).

Seitenbetreiber müssen mit Dritten, die Zugriff auf erhobene personenbezogene Daten erhalten, einen Vertrag zur Auftragsverarbeitung schließen. Ansonsten riskieren sie ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent ihres weltweiten Jahresumsatzes. Das gibt Art. 83 Abs. 4 lit. a DSGVO vor. Die Datenschutzbehörde Hamburg sprach in diesem Kontext ein Bußgeld in Höhe von 5.000 Euro gegen ein Versandunternehmen aus. Dies hatte mit einem beauftragten Dienstleister, der Zugriff auf personenbezogene Daten hatte, keinen Vertrag zur Auftragsverarbeitung geschlossen.

Mailjet

Mailjet ist ein cloudbasierter E-Mail-Dienstanbieter. Unternehmen können darüber sowohl klassische Marketing-E-Mails wie Newsletter, Ankündigungen und Werbeaktionen als auch Transaktions-E-Mails wie Versandbenachrichtigungen, Passwort-Erinnerungen und Bestellbestätigungen verschicken. Mailjet ermöglicht diese Dienste von einem Konto und einer Plattform aus. Der Anbieter hat 130.000 Kunden.

Darum ist Mailjet datenschutzrechtlich problematisch

Webseitenbetreiber, die Mailjet für ihre E-Mail-Kampagnen nutzen, geben automatisch personenbezogene Daten an den Anbieter weiter. Dieser sammelt dabei

  • E-Mail-Adressen,
  • Kundennamen,
  • Anschriften,
  • Telefonnummern,
  • IP-Adressen und
  • Verbindungs- und Navigationsdaten.

Wenn Webseitenbetreiber es zudem erlauben, erhebt Mailjet auch Daten zu Kundenbestellungen, Reklamationen, Abonnements, Nachrichten innerhalb eines Support-Tickets und dem Schriftverkehr auf der Mailjet-Webseite. Personenbezogene Daten sind besonders schützenswert. Die Datenschutz-Grundverordnung (DSGVO) schreibt daher Webseitenbetreibern besondere Pflichten vor.

Mailjet datenschutzkonform einsetzen

Um nicht gegen die Vorgaben der DSGVO zu verstoßen, müssen Webseitenbetreiber für den Einsatz von Mailjet diese Anforderungen erfüllen:

Double-Opt-In für E-Mail- und SMS-Versand

Damit Webseitenbetreiber die E-Mail von Kunden für das Versenden von Marketing-Mails verwenden dürfen, müssen sie vorher ihre Einwilligung einholen. Dafür hat sich das Double-Opt-In-Verfahren als rechtlich sicher herausgestellt. Dabei erheben Seitenbetreiber zunächst die Mailadresse der Kunden. Sie verweisen in diesem Kontext darauf, dass sie so in den Versand von E-Mails einwilligen. Das können beispielsweise Newsletter oder Angebotsmails sein.

Gleichzeitig erklären Seitenbetreiber auch, dass Kunden die E-Mails jederzeit wieder widerrufen können. Anschließend schicken sie Kunden eine Mail zu, die die Anmeldung für den E-Mail-Dienst aufführt. Kunden müssen die Anmeldung dann noch einmal bestätigen, indem sie auf einen in der Mail eingetragenen Link klicken. Damit haben Seitenbetreiber rechtlich zulässig eine Einwilligung der Kunden in den Mailversand eingeholt.

Neben E-Mails können Seitenbetreiber über Mailjet auch Transaktions-SMS verschicken. Dafür benötigen sie die Telefonnummer der Kunden. Sie können diese über eine abgewandelte Form des Double-Opt-In-Verfahrens erheben. Dafür fragen Seitenbetreiber über eine Online-Maske die Telefonnummer der Kunden ab. Sie erklären in diesem Kontext, wofür sie die Nummer verwenden wollen, wie beispielsweise für das Versenden von Bestellbestätigungen oder von 2-Faktor-Authentifizierungscodes.

Gleichzeitig verweisen sie darauf, dass Kunden diese Einwilligung jederzeit widerrufen können. Um Kunden dies bestätigen zu lassen, sollten Webseitenbetreiber auf ein Opt-In-Verfahren setzen. Das heißt: Sie sollten Kunden in der Online-Maske selbst ein Häkchen setzen lassen, um ihre Einwilligung zu erklären. Danach müssen Seitenbetreiber die Telefonnummer anzeigen, von der sie ihre SMS verschicken möchten. Kunden speichern diese Nummer ein und senden eine SMS mit einem Befehl, wie beispielsweise „Start“, um den Service in Anspruch zu nehmen.

Vertrag zur Auftragsverarbeitung abschließen

Mailjet erhält vollen Zugriff auf die Kundendaten von Webseitenbetreibern. § 28 DSGVO gibt dabei vor: Erhalten Dritte Zugriff auf personenbezogene Daten, müssen Seitenbetreiber mit diesen einen Vertrag zur Auftragsverarbeitung abschließen.

Mailjet bietet Unternehmen dabei auf zwei Wegen die Möglichkeit, einen Vertrag zur Auftragsverarbeitung herunterzuladen. Zum einen können sich Seitenbetreiber diesen per Mail zuschicken lassen. Zum anderen stellt Mailjet auf seiner Webseite ein Formular zur Verfügung, über das sie den Vertrag herunterladen können.

Seitenbetreiber sollten darauf achten, dass der Vertrag klärt,

  • welche Kundendaten Mailjet wie lange speichert,
  • warum und wie Mailjet diese Daten verarbeitet und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Webseitenbetreiber, die keinen Vertrag zur Auftragsverarbeitung mit Mailjet abschließen, riskieren ein Bußgeld. Dies kann bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen. Dieses Strafmaß gibt Art. 83 Abs. 4 lit. a DSGVO vor.

Datenschutzerklärung anpassen

Ist der Vertrag zur Auftragsverarbeitung geschlossen, sollten Unternehmen dies in ihrer Datenschutzerklärung erwähnen. Dabei sollten sie noch einmal erklären, wie Mailjet die Kundendaten nutzt.

Zusätzlich müssen Webseitenbetreiber in ihrer Datenschutzerklärung aufführen, warum sie für Mailjet

  • personenbezogene Daten sammeln,
  • wie lange sie diese speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
  • dass Kunden der Einwilligung in die Datenerhebung jederzeit widersprechen können.

Diese Pflichten gibt § 13 DSGVO vor.

Rechtsprechung zur Verwendung von Mailjet

Der Bundesgerichtshof hat am 10.02.2011 in einer Entscheidung verdeutlicht, dass Webseitenbetreiber das Double-Opt-In-Verfahren nutzen müssen, um die Einwilligung von Kunden in den Versand von E-Mails einzuholen (Az. I ZR 164/09). Das hat das Oberlandesgericht Düsseldorf am 17.03.2016 noch einmal bestätigt. Es entschied, dass Seitenbetreiber Kunden im Rahmen des Double-Opt-In-Verfahrens eine Mail zuschicken dürfen, die sie die Anmeldung für einen E-Mail-Dienst bestätigen lässt (Az: I-15 U 64/15).

MailPoet

MailPoet ist ein Newsletter-Plugin für WordPress. Unternehmen können darüber direkt aus WordPress heraus E-Mails an ihre Kunden und Abonnenten verschicken.

Warum ist MailPoet datenschutzrechtlich relevant?

MailPoet erhebt Userdaten wie

  • E-Mail,
  • gegebenenfalls Namen,
  • IP-Adresse,
  • Informationen zum Browser und
  • Informationen zur Öffnungs- und Klickrate versendeter Mails.

Dabei handelt es sich zum Teil um personenbezogene Daten. Seitenbetreiber müssen daher besondere datenschutzrechtliche Pflichten beachten.

MailPoet datenschutzkonform verwenden

Damit Unternehmen MailPoet gemäß den Vorgaben der Datenschutz-Grundverordnung (DSGVO) verwenden, müssen sie diese Pflichten erfüllen:

User-Einwilligung einholen

Bevor Seitenbetreiber MailPoet nutzen, um darüber E-Mails an Kunden zu verschicken, benötigen sie ihre Einwilligung dafür. Diese müssen sie per Double-Opt-In-Verfahren einholen. Dafür müssen sie bei der Abfrage der E-Mail darauf hinweisen, dass Nutzer ihre Einwilligung in den E-Mail-Versand per Opt-In bestätigen müssen. Gleichzeitig müssen sie Nutzer darüber aufklären, dass sie ihre Einwilligung jederzeit widerrufen können.

Sind Unternehmen dem nachgekommen, können sie Usern eine erste Mail zuschicken. Diese darf jedoch zunächst nur darüber aufklären, dass sich User für einen Newsletter angemeldet haben. Und: Dass sie die Anmeldung noch einmal per Klick auf einen Link bestätigen müssen. Klicken User auf diesen Link, haben Unternehmen rechtskräftig ihre Einwilligung in den Mailversand eingeholt.

Vertrag zur Auftragsverarbeitung abschließen?

Grundsätzlich benötigen Seitenbetreiber bei MailPoet keinen Vertrag zur Auftragsverarbeitung (AV-Vertrag). Denn: Sie können den gesamten Newsletter-Service auf ihrem eigenen Server unter WordPress hosten.

Erst, wenn sie eine umfangreichere Newsletter-Liste verwenden, kann es sein, dass sie auf einen externen, auf den Mailversand ausgelegten Server wechseln müssen. Dann müssen sie einen AV-Vertrag abschließen.

Datenschutzerklärung anpassen

Unternehmen erheben über MailPoet personenbezogene Daten. Das müssen sie in ihrer Datenschutzerklärung aufführen. Dabei sollten sie erwähnen,

  • warum sie personenbezogene Daten über MailPoet erheben,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt und
  • dass User der Datenerhebung und Datenspeicherung jederzeit widersprechen können.

Rechtsprechung zu MailPoet

Unternehmen müssen das Double-Opt-In-Verfahren nutzen, um eine Einwilligung von Nutzern in einen Newsletter-Versand einzuholen. Das legte der Bundesgerichtshof am 10.02.2011 in einem Urteil fest (Az. I ZR 164/09). Das Oberlandesgericht Düsseldorf hat diese Entscheidung bestätigt. Dabei entschied es im März 2016, dass Seitenbetreiber beim Double-Opt-In-Verfahren Nutzern eine Mail zuschicken dürfen, die die Anmeldung in einen Newsletter-Versand bestätigt (Az. I-15 U 64/15).

Manychat

Manychat ist ein Tool, mit dem Unternehmen Chatbots für den Facebook Messenger erstellen können. Die Chatbots können unter anderem auf Nachrichten von Facebook-Usern antworten, Gespräche mit Nutzern beginnen, Newsletter versenden und Zahlungsfunktionen anbieten. Zudem können Unternehmen Manychat mit weiterer Software wie Shopify, Google Sheets und Mailchimp verbinden.

Warum Manychat datenschutzrechtlich relevant ist

Unternehmen legen bei Manychat selbst fest, welche Daten sie von Usern während der Kommunikation erheben wollen. Dabei können sie bei der Konfiguration beispielsweise festlegen, dass der Chatbot von jedem Kunden

  • Namen,
  • E-Mail-Adresse,
  • Telefonnummer und
  • IP-Adresse

einholt. Bei diesen Daten handelt es sich um personenbezogene Daten. Die Datenschutz-Grundverordnung (DSGVO) schützt diese besonders. Unternehmen müssen daher sicherstellen, dass sie verschiedene datenschutzrechtliche Pflichten erfüllen, wenn sie Manychat verwenden.

Wie können Unternehmen Manychat datenschutzkonform verwenden?

Die DSGVO schreibt Unternehmen diese Pflichten vor, wenn sie über Manychat einen Chatbot für den Facebook Messenger einrichten:

Einwilligung in Datenerhebung einholen

Wollen Unternehmen über ihren Chatbot personenbezogene Daten erheben und speichern, benötigen sie vorab eine Einwilligung der User dafür. Sie können diese einholen, indem sie Nutzer per Opt-In der Datenerhebung zustimmen lassen. Dabei sollten sie erwähnen, welche Daten sie verarbeiten wollen. Und: Sie sollten einen Datenschutzhinweis bereitstellen, der Nutzer im Detail über die Datenerhebung und -speicherung aufklärt.

Einwilligung für Werbung einholen

Unternehmen können über einen Chatbot nicht nur Fragen von Facebook-Usern beantworten. Sie können auch aktiv Werbung ausspielen. Dafür benötigen sie jedoch die Erlaubnis der Nutzer. Unternehmen sollten diese vorab einholen. Dabei sollten sie konkret aufführen, für welche Werbung User ihr Einverständnis geben. Wollen sie beispielweise regelmäßig Werbung für eine bestimmte Produktereihe machen, sollten sie diese in der Einwilligung namentlich nennen. Sie dürfen User über den Chatbot dann nur für diese Produktreihe kontaktieren.

Cookie-Banner anpassen

Der Facebook Messenger speichert Cookies in den Browsern der User. Cookies erheben personenbezogene Daten. Dafür benötigen Unternehmen die Erlaubnis der Nutzer. Rechtlich sicher können sie diese über einen Cookie-Hinweis einholen. Dabei müssen sie sicherstellen, dass User in die Cookies per Opt-In einwilligen.

Vertrag zur Auftragsverarbeitung schließen

Manychat ist für Unternehmen ein Auftragsverarbeiter. Denn: Sie geben automatisch Nutzerdaten an den hinter dem Tool stehenden Anbieter weiter. Das bedeutet: Unternehmen müssen mit Manychat einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Dieser verpflichtet Manychat dazu, die Daten gemäß den Vorgaben der DSGVO zu verarbeiten. Unternehmen sollten dabei prüfen, ob der AV-Vertrag darauf hinweist,

  • welche Userdaten Manychat erhält,
  • warum die Software die Daten erhält,
  • wie lange sie die Daten speichern will und
  • welche Rechte und Pflichten beide Seiten haben.

Datenschutzerklärung aktualisieren

Jedes Mal, wenn Unternehmen personenbezogene Daten erheben, müssen sie User in ihrer Datenschutzerklärung darauf hinweisen. Das gilt auch für die Verwendung von Manychat. Dabei sollten sie Nutzer mit einfach verständlichen Formulierungen erklären,

  • welche Userdaten sie an Manychat weitergeben,
  • warum sie die Daten an den Anbieter weitergeben,
  • was Manychat mit den Daten macht,
  • dass sie einen AV-Vertrag mit Manychat geschlossen haben und
  • dass Nutzer der Datenerhebung und -weitergabe jederzeit widersprechen können.

Grundsatz der Datensparsamkeit beachten

Die DSGVO gibt in ihrem Grundsatz der Datensparsamkeit vor: Unternehmen dürfen nur so viele Daten erheben, wie sie tatsächlich zur Erfüllung des angestrebten Zweckes benötigen.

Datenauskunft gewähren

Die DSGVO gibt Usern das Recht, ihre erhobenen Daten einzusehen. Verlangen User das, müssen Unternehmen ihnen die Daten – beispielsweise als Download – zur Verfügung stellen.

Nutzerdaten regelmäßig löschen

Damit Unternehmen nicht große Mengen an Userdaten anhäufen, gibt die DSGVO vor, dass sie die Daten in regelmäßigen Abständen löschen müssen. Grundsätzlich dürfen sie Nutzerdaten nur so lange behalten, wie sie diese tatsächlich benötigen. Kunden können den Löschprozess beschleunigen, indem sie von Unternehmen verlangen, ihre personenbezogenen Daten zu löschen. Dieses Recht auf Vergessenwerden gewährt ihnen die DSGVO.

Rechtsprechung zu Manychat

Der Bundesgerichtshof entschied im Mai 2020: Wollen Unternehmen Tracking-Cookies nutzen, benötigen sie dafür eine Erlaubnis der User. Diese können sie nur per Opt-In einholen. Die Checkbox darf dabei nicht vorangekreuzt sein (I ZR 7/16). Bereits zuvor hatte der Europäische Gerichtshof im Oktober 2019 festgestellt: Unternehmen dürfen nur dann Userdaten über Cookies erheben, wenn sie dafür eine Erlaubnis der Nutzer haben. Dabei ist es unerheblich, ob es sich um personenbezogene oder anonyme Daten handelt (C-637/17).

Versäumen es Unternehmen, einen AV-Vertrag mit Manychat zu schließen, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent ihres weltweiten Jahresumsatzes. Diese Strafe gibt Art. 83 Abs. 4 lit. a DSGVO vor. Die Datenschutzbehörde Hamburg verhängte daher im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro zuzüglich Gebühren gegen das deutsche Versandunternehmen Kolibri Image. Dies sah sich nicht verantwortlich, selbst einen AV-Vertrag für die Zusammenarbeit mit einem spanischen Dienstleister aufzusetzen.

Datenschutzerklärung und Matomo (ehemals Piwik)

Matomo ist ein Open-Source Webanalyse-Tool, das Webseitenbetreiber das User-Verhalten auf ihren Seiten untersuchen lässt. Dazu erstellt die Software detaillierte Statistiken u. a. zu benutzten Suchmaschinen, Suchbegriffen, Browsern und zur Herkunft der User. Matomo – ehemals Piwik – gilt als die datenschutzsensiblere Variante von Google Analytics.

So datenschutzkonform ist Matomo

Matomo sammelt und speichert umfangreiche Daten zum Verhalten der Seitenbesucher. Die Vorgänger-Versionen unter dem Namen Piwik sammelten dabei u. a. auch die IP-Adresse und damit personenbezogene Daten der User. Webseitenbetreiber mussten daher stets die IP-Adresse über die Funktion „anynomizeIP“ verkürzen, um deutsche Datenschutzbestimmungen zu erfüllen. Matomo nimmt dies automatisch bereits in den Standardeinstellungen vor. Darüber hinaus benötigen Webseitenbetreiber auch keinen Vertrag zur Auftragsdatenverarbeitung mit Matomo. Denn: Alle gesammelten Daten bleiben auf einem Server von Matomo, so dass Dritte keinen Zugriff darauf erhalten.

So können Webseitenbetreiber Matomo datenschutzkonform nutzen

Webseitenbetreiber müssen in ihrer Datenschutzerklärung angeben, dass sie Matomo nutzen. Dazu sollten sie User aufklären, dass sie über Matomo Daten erheben, speichern und verarbeiten. Darüber hinaus müssen sie Nutzer darauf hinweisen, dass sie dieser Datenerhebung jederzeit widersprechen können. Dazu können Seitenbetreiber User auf eine Opt-Out-Möglichkeit oder die Browser-Funktion „Do not track“ verweisen.

Rechtsprechung zu Matomo

Das Landgericht Frankfurt hat am 18.02.2014 entschieden, dass beim Einsatz von Piwik ein fehlender Hinweis zur Widerspruchsmöglichkeit zur Erhebung der Daten einen Wettbewerbsverstoß darstellt (Az. 3-10 O 86/12). Diese Entscheidung gilt damit auch für Matomo. Webseitenbetreiber sind verpflichtet, auf die Widerspruchsmöglichkeit hinzuweisen.

Mautic

Mautic ist ein Marketing Automation Tool. Unternehmen können dies für ihr E-Mail-Marketing, Lead Management und Social Media Management sowie zur Erstellung von Landingpages nutzen. Mautic ist eine Open Source Plattform. Sie verfügt über rund 200.000 Nutzer.

Warum ist Mautic datenschutzrechtlich relevant?

Je nachdem, wie Seitenbetreiber Mautic verwenden, erheben sie verschiedene Daten ihrer Webseitenbesucher. Das können beispielsweise

  • E-Mail-Adressen,
  • Namen,
  • Persönliche Interessen oder
  • IP-Adressen sein.

Erheben Seitenbetreiber über Mautic personenbezogene Daten wie die gerade genannten, müssen sie auf die Vorgaben der Datenschutz-Grundverordnung (DSGVO) achten.

Mautic datenschutzkonform verwenden

Verwenden Seitenbetreiber Mautic, müssen sie diese datenschutzrechtlichen Pflichten erfüllen:

Double-Opt-In für E-Mail-Versand verwenden

Das Double-Opt-In-Verfahren soll User vor einem Missbrauch ihrer Daten schützen. Dafür gibt es vor, dass Unternehmen nur dann E-Mails an Nutzer verschicken dürfen, wenn sie über ihre Einwilligung verfügen. Diese können sie in zwei Schritten einholen:

  1. Unternehmen erheben die E-Mail-Adresse der User und verweisen sie per Opt-In darauf, dass sie so in die Zusendung von E-Mails einwilligen.
  2. Unternehmen verschicken an die E-Mail-Adresse eine Bestätigung, dass sich User für einen Mail-Service angemeldet haben. User müssen die Mail per Klick auf einen entsprechenden Link bestätigen. Diese erste Mail darf noch keine werblichen Inhalte aufweisen. Sie muss deutlich machen, dass es nur darum geht, die Anmeldung für den Newsletter zu bestätigen. Kommen Nutzer dem nach, haben Unternehmen eine rechtssichere Einwilligung für den Versand von E-Mails eingeholt.

Double-Opt-In für SMS-Versand verwenden

Mautic ermöglicht es Seitenbetreibern, einen SMS-Versand in ihr Direktmarketing zu integrieren. Unternehmen benötigen auch dafür die Erlaubnis der Nutzer. Sie erhalten diese in Anlehnung an das Double-Opt-In-Verfahren in zwei Schritten:

  1. Seitenbetreiber erheben die Telefonnummer der User, beispielsweise über eine Online-Maske auf ihrer Webseite. Dabei verweisen sie darauf, dass Nutzer auf diese Weise einwilligen, SMS an ihre Telefonnummer zu erhalten. Sie müssen das per Opt-In bestätigen.
  2. Seitenbetreiber zeigen Nutzern eine Telefonnummer an, von der sie ihren SMS-Newsletter an sie verschicken möchten. User müssen an diese Nummer einen vorgegebenen Befehl versenden, der den Start des SMS-Versands auslöst. Erhalten Seitenbetreiber diesen Startbefehl, verfügen sie über eine rechtssichere Einwilligung in den SMS-Versand.

IP-Adressen anonymisieren

Mautic erlaubt es Seitenbetreibern, beispielsweise ihre Webseite und ihr E-Mail-Marketing zu tracken. Dabei erheben sie unter anderem die IP-Adresse der Nutzer. Sie benötigen diese für ein funktionierendes Tracking jedoch nur in anonymisierter Form. Seitenbetreiber sollten daher die IP-Adressen standardmäßig anonymisieren.

Nutzerdaten regelmäßig löschen

Unternehmen sammeln mit Mautic personenbezogene Daten. Die DSGVO gibt vor, dass sie diese nur so lange behalten dürfen, bis sie damit den angestrebten Zweck erfüllt haben. Unternehmen müssen daher in regelmäßigen Abständen ihre Datenbanken bereinigen. Haben sich beispielsweise User von einem Newsletter-Versand abgemeldet, müssen Unternehmen ihre Daten in einem angemessenen Zeitraum, wie z. B. innerhalb von 30 Tagen, löschen.

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen können Mautic auf eigenen Servern hosten. Hosten sie das Tool jedoch extern, müssen sie mit dem Anbieter einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Denn: Laut DSGVO müssen Unternehmen mit Dritten einen AV-Vertrag eingehen, wenn sie an diese personenbezogene Daten weitergeben. Der Vertrag muss dabei klarstellen,

  • welche Userdaten der Anbieter erhält,
  • warum er diese erhält,
  • wie lange er die Daten speichern will und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Seitenbetreiber müssen in ihrer Datenschutzerklärung darauf hinweisen, dass sie über Mautic personenbezogene Daten erheben. Dabei sollten sie aufführen, wie lange sie die Daten speichern wollen und welche Rechtsgrundlage ihnen das erlaubt (Art. 6 DSGVO). Sie sollten Nutzern zudem erklären, dass sie der Datenspeicherung jederzeit widersprechen können. In diesem Kontext sollten Seitenbetreiber auch erwähnen, dass sie mit dem Hoster für das Marketing Tool Mautic einen AV-Vertrag geschlossen haben.

Rechtsprechung zu Mautic

Dass ein fehlender AV-Vertrag ein Bußgeld kosten kann, zeigte die Datenschutzbehörde Hamburg im Dezember 2018. Sie belegte das Versandunternehmen Kolibri Image mit einer Strafe von 5.000 Euro. Denn: Dies hatte mit dem beauftragten Dienstleister Packlink keinen AV-Vertrag geschlossen.

Der Bundesgerichtshof hat das Double-Opt-In-Verfahren als rechtssicher bestätigt. Es entschied im Februar 2011, dass Seitenbetreiber auf diese Weise die Einwilligung von Nutzern in einen E-Mail-Versand einholen können (Az. I ZR 164/09). Das sah auch das Oberlandesgericht Düsseldorf so. Dies bestätigte im März 2016, dass Unternehmen ihren Kunden im Rahmen von Double-Opt-In eine Mail zuschicken dürfen, die sie die Anmeldung für einen Newsletter-Versand bestätigen lässt (Az. I-15 U 64/15).

Microsoft Clarity

Microsoft Clarity ist ein Tool, mit dem Unternehmen die Usability ihrer Webseite überprüfen können. Dazu zeichnet Microsoft Clarity ausgewählte Sitzungen von Nutzern auf. Unternehmen können die Sitzungen dann auswerten. Das Tool liefert dafür Messwerte, die auf eventuelle Probleme bei der Usability hinweisen.

Warum ist Microsoft Clarity datenschutzrechtlich relevant?

Microsoft Clarity sammelt Nutzerdaten wie beispielsweise

  • Zugriffszeiten,
  • IP-Adressen und
  • Maus- und Scrollbewegungen.

Dabei handelt es sich zum Teil um personenbezogene Daten. Unternehmen müssen daher Verpflichtungen aus der Datenschutz-Grundverordnung (DSGVO) beachten.

Microsoft Clarity DSGVO-konform verwenden

Um Microsoft Clarity datenschutzkonform einzusetzen, müssen Unternehmen diese Vorgaben beachten:

Eingabefelder in Microsoft Clarity maskieren

Microsoft Clarity gibt selbst an, sensible Daten zu maskieren, bevor es diese an Microsoft weiterleitet. Das erkennen unternehmen daran, dass in den Screen-Recordings Texte auf der Webseite samt der Eingaben in Formularen durch ein „X“ ersetzt sind. Um sicherzugehen, dass das Tool tatsächlich alle Daten anonymisiert, sollten Unternehmen zusätzlich HTML-Elemente auf der Webseite, die Daten von Nutzern erfassen, per Attribut maskieren. Dazu müssen sie lediglich das Attribut data-clarity-mask="true" in einen beliebigen Tag einfügen.

Cookie-Einwilligung einholen

Um User wiederzuerkennen, setzt Microsoft Clarity einen Cookie. Dieser bleibt ein Jahr lang gespeichert. Unternehmen müssen daher in ihrem Cookie Consent Banner darauf hinweisen und die Einwilligung in den Cookie einholen.

Vertrag zur Auftragsverarbeitung abschließen

Nutzen Unternehmen Microsoft Clarity, geben sie automatisch Nutzerdaten an Microsoft weiter. Zwar anonymisiert die Software einen Teil der Daten. Microsoft erhält aber nach wie vor Daten zum Userverhalten. Damit ist der Anbieter ein Auftragsverarbeiter. Unternehmen müssen mit diesem daher einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Dieser sollte festhalten,

  • welche Nutzerdaten Microsoft Clarity erhält und speichert,
  • wie lange es die Daten speichert,
  • warum Microsoft Clarity die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen müssen Nutzern in ihrer Datenschutzerklärung die Verwendung von Microsoft Clarity erklären. Dabei sollten sie in einer einfach verständlichen Sprache darauf hinweisen,

  • warum sie über Microsoft Clarity Daten sammeln,
  • welche Daten siesammeln,
  • wie lange sie die Daten speichern,
  • welche Rechtsgrundlage ihnen das erlaubt,
  • dass sie mit Microsoft Clarity einen AV-Vertrag abgeschlossen haben und
  • dass User der Datenverarbeitung jederzeit widersprechen können.

Damit sich Nutzer zu der Datenerhebung durch Microsoft Clarity weiter informieren können, sollten Unternehmen auf die Datenschutzbestimmungen und Nutzungsbedingungen der Software verweisen.

Rechtsprechung zu Microsoft Clarity

Unternehmen müssen mit Microsoft Clarity einen AV-Vertrag abschließen, bevor sie die Software verwenden. Ansonsten droht ihnen ein Bußgeld. Nach Art. 83 Abs. 4 lit. a DSGVO kann dies bei bis zu 10 Millionen Euro oder 2 Prozent ihres weltweiten Jahresumsatzes liegen. Ein Versandunternehmen musste daher im Dezember 2018 eine Strafe in Höhe von 5.000 Euro zahlen. Es hatte einen spanischen Dienstleister beauftragt, ohne mit diesem einen AV-Vertrag zu schließen.

Microsoft Teams

Microsoft Teams ist eine Arbeitsplattform, über die Unternehmen Besprechungen abhalten, Nachrichten verschicken, Notizen machen und Anhänge versenden können. Der Dienst ist in die Office-365-Suite integriert.

Warum ist Microsoft Teams datenschutzrechtlich relevant?

Microsoft Teams speichert unter anderem

  • den Unternehmensnamen,
  • die Unternehmensanschrift,
  • die E-Mail-Adresse und
  • die Telefonnummer.

Darüber hinaus erfasst die Anwendung gespeicherte Dateien, Unterhaltungsverläufe und die im Planner hinterlegten Informationen. Halten Unternehmen Besprechungen mit Microsoft Teams ab, speichert die Software zum Beispiel die IP-Adressen der Teilnehmer. Bei diesen Daten handelt es sich zum Teil um personenbezogene Daten. Unternehmen müssen daher besondere Datenschutzpflichten erfüllen.

Microsoft ist Teil des Privacy-Shield-Abkommens. Das heißt: Das Unternehmen leitet die Daten aus Microsoft Teams zwar in die USA weiter. Durch das Abkommen genießen sie dort jedoch einen Datenschutz, der dem der Datenschutz-Grundverordnung (DSGVO) entspricht.
Microsoft selbst gibt an, die erhobenen Daten nicht für Werbezwecke zu verwenden. Und: Die Anwendung tracke nicht die Aktivitäten der Teilnehmer in den Meetings. Dennoch warnen Datenschutzexperten davor, dass die Gratis-Version Userdaten an die Werbenetzwerke von Adobe und Google verschicke.

Können Unternehmen Microsoft Teams datenschutzkonform verwenden?

Ob Unternehmen Microsoft Teams derzeit DSGVO-konform verwenden können, ist unklar. Sie sollten aber in jedem Fall diese Pflichten erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Damit Unternehmen die über Microsoft Teams erhobenen Daten mit rechtlicher Grundlage an Microsoft weitergeben, müssen sie einen Vertrag zur Auftragsverarbeitung mit dem Konzern abschließen. Das gibt Art. 28 DSGVO vor. Unternehmen nehmen das automatisch vor, wenn sie Microsofts Online Services Terms (AGB) akzeptieren. Sie müssen daher nicht zusätzlich einen Vertrag abschließen. Sie sollten jedoch überprüfen, ob der Anbieter in seinen AGB aufführt,

  • welche Daten er speichert,
  • wie lange der die Daten speichern will,
  • warum er die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen, die Microsoft Teams auch für die Kommunikation mit Dritten wie Kunden nutzen, sollten das in ihrer Datenschutzerklärung aufführen. Dabei sollten sie angeben,

  • welche Nutzerdaten sie speichern,
  • wie lange sie diese speichern,
  • welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass User der Datenspeicherung jederzeit widersprechen können.

Mit erhobenen Daten datenschutzkonform umgehen

Unternehmen, die Daten aus einer Besprechung oder einem Chat speichern, sollten diese nur dann aufbewahren, wenn das

einem erlaubten Zweck dient,

geeignet ist, diesen Zweck zu erfüllen und

erforderlich ist, diesen Zweck zu erreichen.

Das heißt: Unternehmen können beispielsweise eine Besprechung über Microsoft Teams aufzeichnen, wenn sie konkrete Details des Meetings danach benötigen. Benötigen sie jedoch nur einige wenige Informationen, können Unternehmen diese während der Besprechung per Notiz festhalten. Eine Aufzeichnung ist dann nicht notwendig. Haben Unternehmen einmal Daten gespeichert, dürfen sie diese nur so lange speichern, bis sie den angestrebten Zweck erfüllt haben.

Rechtsprechung zu Microsoft Teams

Zum Thema Microsoft Teams und Datenschutz liegt bisher, soweit ersichtlich, keine Rechtsprechung vor.

Mollie

Mollie ist ein Payment-Dienstleister, über den Händler die Zahlungen ihrer Kunden abwickeln lassen können. Mollie wurde 2004 in den Niederlanden gegründet. Heute nutzen rund 100.000 Unternehmen in Europa den Anbieter, um ihren Zahlungsverkehr zu organisieren.

Warum ist Mollie datenschutzrechtlich relevant?

Bezahlen Kunden ihre Ware in einem Onlineshop über Mollie, erheben Händler auf diese Weise die eingegebenen Zahlungsdaten wie

  • Name,
  • Adresse,
  • Kontonummer,
  • Betrag der Transaktion sowie
  • Datum und Uhrzeit des Einkaufs.

Sie geben diese Daten an Mollie weiter. Dafür müssen sie bestimmte Vorgaben der Datenschutz-Grundverordnung (DSGVO) beachten.

Mollie datenschutzkonform einsetzen

Damit Händler Mollie gemäß der DSGVO verwenden, müssen sie diese Pflichten erfüllen:

Datenschutzerklärung anpassen

Händler müssen in ihrer Datenschutzerklärung aufführen, dass sie Mollie zur Abwicklung von Zahlungen verwenden. Dabei sollten sie darauf hinweisen, welche Daten sie zu welchem Zweck erheben, verarbeiten und an Mollie weitergeben.

Datensparsamkeit beachten

Händler sollten im Payment-Prozess nur die Kundendaten abfragen, die sie unbedingt benötigen, um ihre Zahlung über Mollie abwickeln zu können. Das schreibt das Gebot der Datensparsamkeit der DSGVO vor.

Möglichkeit zum Datenwiderspruch erwähnen

Händler müssen ihre Kunden darauf hinweisen, dass sie der Verwendung ihrer Daten jederzeit widersprechen können. Das gilt jedoch nicht für die Daten, die Händler und Mollie zwingend benötigen, um eine Zahlung abzuwickeln und damit den Kaufvertrag zu erfüllen.

Rechtsprechung zu Mollie

Bisher liegt – soweit ersichtlich – keine Rechtsprechung zu Mollie vor.

MyFonts

MyFonts stellt lizensierte Schriftarten zur Verfügung, die Unternehmen auf ihrer Webseite einbinden können. MyFonts verfügt über mehr als 100.000 Einzelfonts. Damit ist der Anbieter einer der größten Schriften-Webshops der Welt. Er führt unter anderem Schriften namhafter Schrifthersteller sowie von unabhängigen Schriftgestaltern.

Warum ist MyFonts datenschutzrechtlich relevant?

MyFonts verpflichtet seine Kunden dazu, ein Page-View-Tracking durchzuführen. Unternehmen müssen dazu die Aufrufe ihrer Webseite zählen und diese an den MyFonts-Server weiterleiten. Dabei erfährt MyFonts unter anderem auch die IP-Adresse und technische Daten des Endgeräts der Webseitenbesucher.

Dabei handelt es sich zum Teil um personenbezogene Daten. Um diese erheben, speichern und weitergeben zu dürfen, müssen Seitenbetreiber verschiedene Pflichten der Datenschutz-Grundverordnung (DSGVO) beachten.

MyFonts datenschutzkonform verwenden

Um MyFonts datenschutzkonform zu verwenden, müssen Unternehmen diesen Anforderungen nachkommen:

Vertrag zur Auftragsverarbeitung schließen

Geben Seitenbetreiber personenbezogene Daten an Dritte weiter, müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Das schreibt Artikel 28 DSGVO vor. Bei MyFonts geben Seitenbetreiber unter anderem die IP-Adresse an den Anbieter weiter. Sie müssen daher mit diesem daher einen AV-Vertrag aufsetzen, der erklärt,

  • welche Userdaten MyFonts speichert,
  • wie lange der Anbieter diese Daten speichert,
  • warum er die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen erheben personenbezogene Daten, wenn sie eine von MyFonts angebotene Schriftart auf ihrer Webseite verwenden. Sie geben diese Daten an den Anbieter in den USA weiter. Das müssen sie in ihrer Datenschutzerklärung angeben. Dabei sollten sie Nutzer auch auf die Datenschutzbestimmungen und Nutzungsbestimmungen von MyFonts verweisen. User können sich dann selbst ein Bild machen, was mit ihren Daten in den USA passiert.

Darüber hinaus müssen Seitenbetreiber in ihrer Datenschutzerklärung anführen, dass sie mit MyFonts einen Vertrag zur Auftragsverarbeitung geschlossen haben. In diesem Kontext sollten sie erwähnen,

  • warum sie personenbezogene Daten erheben,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage das erlaubt (Art. 6 Abs. 1 DSGVO) und
  • dass Nutzer der Datenverarbeitung jederzeit widersprechen können.

Seitenbetreiber sollten zudem jeden Hinweis auf den Privacy Shield aus ihrer Datenschutzerklärung herausnehmen. Denn: Der Europäische Gerichtshof (EuGH) hat diesen für unwirksam erklärt.

Standardvertragsklauseln prüfen

Unternehmen können personenbezogene Daten aktuell nur rechtssicher in die USA versenden, wenn sie das auf Basis gültiger Standardvertragsklauseln vornehmen. Der EuGH gibt dafür vor, dass in dem Zielland ein ähnliches Datenschutzniveau wie in der EU herrschen muss. In den USA ist das derzeit nicht der Fall, so das Ergebnis des EuGH. Es ist daher aktuell unklar, ob Unternehmen rechtssicher personenbezogene Daten an MyFonts weiterleiten können.

Rechtsprechung zu MyFonts

Am 16.07.2020 kam der EuGH zu dem Schluss: Der Privacy Shield, der bisher als rechtliche Grundlage für Datentransfers zwischen den USA und der EU gedient hat, ist unwirksam (Az. C-311/18). Das heißt für Unternehmen: Sie können sich nicht mehr auf den Privacy Shield berufen, wenn sie personenbezogene Daten in die USA versenden wollen. Auf welcher rechtlichen Basis das derzeit möglich ist, ist unklar.

Unternehmen, die keinen AV-Vertrag schließen, wenn sie personenbezogene Daten an einen Dritten weitergeben, müssen mit einem Bußgeld rechnen. Das kann bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen. Ein Versandunternehmen musste bereits ein Bußgeld in Höhe von 5.000 Euro bezahlen. Der Grund: Das Unternehmen hatte es versäumt, mit einem beauftragten Dienstleister, der Zugriff auf personenbezogene Daten erhalten hatte, einen Vertrag zur Auftragsverarbeitung zu schließen.

Newsletter allgemein

Um User auf dem Laufenden zu halten, können Unternehmen einen Newsletter an sie verschicken. In der Regel versenden sie diesen an die E-Mail-Adresse der User. Alternativ haben sich mittlerweile auch der Facebook Messenger sowie WhatsApp als Newsletter-Kanäle etabliert.

Darum sind Newsletter datenschutzrechtlich relevant

Je nachdem, welche Daten User bei der Anmeldung für einen Newsletter angeben müssen, kann es sich dabei um personenbezogene Daten handeln. E-Mail-Adresse, Facebook-Konto (für den Messenger) und Telefonnummer (SMS oder WhatsApp) stellen personenbezogene Daten dar, die besonders schützenswert sind. Das Gesetz gegen unlauteren Wettbewerb (UWG), das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG) und ab dem 25. Mai die Datenschutz-Grundverordnung (DSGVO) legen Newsletter-Versendern daher verschiedene Pflichten auf.

Newsletter datenschutzkonform versenden

Damit Seitenbetreiber ihren Newsletter an User verschicken dürfen, benötigen sie ihre Einwilligung dafür. Je nach Kanal müssen Seitenbetreiber diese Einwilligung auf unterschiedliche Weise einholen.

Newsletter-Versand über E-Mail

Für den Versand per E-Mail müssen sie über das Double-Opt-In-Verfahren das „OK“ der Nutzer erhalten. Das schreibt § 7 Abs. 2 Nr. 3 UWG vor. Beim Double-Opt-In-Verfahren fragen Seitenbetreiber zunächst die E-Mail-Adresse der User ab. Dabei müssen sie User darauf hinweisen, dass sie ihre Daten für den Newsletter-Versand verwenden und sie dem jederzeit widersprechen können. Nutzer erhalten dann eine Mail über die Anmeldung für den Newsletter. Diese Anmeldung müssen sie dann per Klick noch einmal bestätigen. Damit haben Seitenbetreiber rechtmäßig die Einwilligung der User eingeholt.

Newsletter-Versand über WhatsApp oder SMS

Wollen Webseitenbetreiber ihren Newsletter per WhatsApp oder SMS verschicken, benötigen sie dafür die Telefonnummer der Nutzer. Bisher hat sich das Vorgehen etabliert, dass Seitenbetreiber die Telefonnummer der User in einer Online-Maske abfragen. Sie klären Nutzer dabei per Opt-In darüber auf, dass sie den Newsletter bestellen. Gleichzeitig verweisen sie darauf, dass Nutzer diesen jederzeit wieder abbestellen können. Haben User dem zugestimmt und ihre Nummer eingetragen, wird ihnen die Nummer des Newsletter-Versender angezeigt. Diese Nummer speichern sie ab und schicken an sie eine Nachricht mit einem vorher festgelegten Befehl wie „Start“. Dieser startet den Newsletter-Versand. Damit ähnelt dieser Vorgang dem Double-Opt-In-Verfahren für E-Mail-Newsletter.

Newsletter-Versand über Facebook Messenger

Wollen Seitenbetreiber ihren Newsletter über den Facebook Messenger versenden, müssen User über den Messenger mit ihnen Kontakt aufnehmen. Dafür bieten Unternehmen in der Regel einen Link an, der den Messenger der Nutzer öffnet. Hier können diese dann mit einem vorher definierten Befehl wie „Start“ den Newsletter-Versand aktivieren. Seitenbetreiber sollten auch hier vorher aufklären, dass User auf diese Weise in den Newsletter-Versand einwilligen und dass sie diesen jederzeit wieder abbestellen können – zum Beispiel durch den Befehl „Stop“.

Für alle drei Kanäle gilt: Verschicken Webseitenbetreiber Newsletter ohne die Einwilligung der Nutzer, ist dieser rechtswidrig.

Datenschutzerklärung aktualisieren

Darüber hinaus müssen Seitenbetreiber in ihrer Datenschutzerklärung über die Datenerhebung und die Datenverwendung für den Newsletter-Versand informieren. Sie müssen dabei gemäß § 13 Abs. 1 TMG konkret aufführen, warum sie die Daten sammeln und wie sie diese verwenden. Ab dem 25. Mai gibt dann Art. 13 Abs. 1 DSGVO vor, dass sie in ihrer Datenschutzerklärung darauf hinweisen müssen,

  • wofür sie die personenbezogenen Daten (E-Mail, Facebook-Konto oder Telefonnummer) erheben und verarbeiten,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
  • dass sie die Einwilligung jederzeit widerrufen können.
  • Vertrag zur Auftragsverarbeitung abschließen

Nutzen Webseitenbetreiber zudem eine Software wie MailChimp oder Klick-Tipp, um ihren Newsletter zu versenden, müssen sie mit dem jeweiligen Anbieter einen Vertrag zur Auftragsverarbeitung abschließen. Bisher schreibt das noch § 11 BDSG vor, ab dem 25. Mai gibt dann die DSGVO die gesetzliche Pflicht vor. Der Vertrag zur Auftragsverarbeitung muss dabei u. a.

  • den Gegenstand und die Dauer der Datenverarbeitung,
  • Art und Zweck der Datenverarbeitung,
  • die Art der personenbezogenen Daten,
  • die Kategorien der Betroffenen und
  • die Pflichten und Rechte der Verantwortlichen

aufführen. Kommen Seitenbetreiber diesen gesetzlichen Regelungen nicht nach, kann es teuer werden. Art. 83 Abs. 4 lit. a DSGVO spricht von einem Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Den Vertrag zur Auftragsverarbeitung müssen Seitenbetreiber zudem in ihrer Datenschutzerklärung ansprechen. Sie müssen Nutzer darüber aufklären, dass sie einen Vertrag mit einem Anbieter für Newsletter-Marketing abgeschlossen haben und erklären, wie dieser ihre Daten verwendet.

Rechtsprechung zum Versand von Newslettern

Dass das Double-Opt-In-Verfahren geeignet ist, um sich die Einwilligung vor Usern in den Empfang von E-Mail-Newslettern einzuholen, hat der Bundesgerichtshof am 10.02.2011 festgestellt (Az. I ZR 164/09). Das hat das Oberlandesgericht Düsseldorf in einem Urteil bestätigt. Es kam am 17.03.2016 zu dem Schluss, dass Seitenbetreiber Usern nach Abonnieren des Newsletters stets eine Mail zukommen lassen müssen, damit diese die Anmeldung für den Newsletter bestätigen können.

Newsletter2Go

Newsletter2Go ist ein E-Mail-Marketing-Anbieter, der E-Mail-Kampagnen planen, erstellen und durchführen lässt.

Darum ist Newsletter2Go datenschutzrechtlich relevant

Um Usern über Newsletter2Go Newsletter zukommen zu lassen, benötigen Seitenbetreiber die E-Mail-Adresse der User. Diese gehört zu den personenbezogenen Daten, die deutsche Gesetze besonders schützen. Das Telemediengesetz (TMG), das Bundesdatenschutzgesetz (BDSG), das Gesetz gegen unlauteren Wettbewerb (UWG) und ab dem 25. Mai die Datenschutz-Grundverordnung (DSGVO) schreiben Webseitenbetreibern dabei verschiedene Pflichten vor.

Newsletter2Go datenschutzkonform versenden

Um Newsletter über Newsletter2Go rechtmäßig zu verschicken, benötigen Webseitenbetreiber die Zustimmung der User in den Versand.

Newsletter-Versand über E-Mail

Um die Zustimmung in einen E-Mail-Newsletter von Usern zu erhalten, hat sich das Double-Opt-In-Verfahren etabliert. Dies erfüllt die Vorgaben von § 7 Abs. 2 Nr. 3 UWG. Das Verfahren funktioniert über einen zweistufigen Prozess. Webseitenbetreiber fragen dabei zunächst die E-Mail-Adresse der User ab und lassen sie per Opt-In in den Newsletter-Versand einwilligen. Sie weisen Nutzer darauf hin, dass sie damit der Nutzung ihrer Daten zustimmen und sie den Newsletter jederzeit wieder abbestellen können. Danach erhalten User eine E-Mail, die ihnen die Anmeldung für den Newsletter anzeigt. Diese Mail müssen sie per Klick auf einen Link bestätigen. Auf diese Weise machen sie den Newsletter-Versand rechtlich zulässig. Newsletter2Go stellt diesen Anmeldeprozess mit entsprechenden Online-Masken standardmäßig zur Verfügung.

Newsletter-Versand über SMS

Newsletter2Go bietet seinen Kunden auch an, Newsletter über SMS an User zu verschicken. Das erfordert die Telefonnummer sowie die Einwilligung der User. Um beides zu erhalten, sollten sich Seitenbetreiber an dem Double-Opt-In-Verfahren orientieren. Dazu können sie die Telefonnummer der User über eine Online-Maske abfragen und sie dabei informieren, dass sie so den Newsletter abonnieren. Gleichzeitig sollten sie auch darauf hinweisen, dass Nutzer den Newsletter jederzeit wieder abbestellen können. Haben Nutzer ihre Telefonnummer eingetragen und dem Versand per Opt-In zugestimmt, wird ihnen in der Regel in einem nächsten Schritt die Telefonnummer des Newsletter-Versenders angezeigt. Diese speichern Nutzer ab und sende an die Nummer eine SMS mit einem vorher definierten Befehl wie „Start“. Auf diese Weise aktivieren sie den Newsletter-Versand.

Datenschutzerklärung anpassen

Webseitenbetreiber sind verpflichtet, in ihrer Datenschutzerklärung anzugeben, warum und welche Daten sie wie für den Newsletter-Versand mit Newsletter2Go verwenden. Das schreibt ihnen § 13 Abs. 1 TMG vor. Am 25. Mai übernimmt hier die DSGVO. § 13 Abs. 1 DSGVO schreibt dann vor, dass Seitenbetreiber User darauf hinweisen müssen,

  • wofür sie die personenbezogenen Daten, die sie für den Newsletter-Versand über Newsletter2Go erheben, verwenden,
  • wie lange sie diese Daten speichern,
  • welche Rechtsgrundlage ihnen die Datenerhebung und Datenverwendung erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
  • dass sie der Einwilligung zur Datenerhebung und -verwendung jederzeit widersprechen können.
    Vertrag zur Auftragsverarbeitung abschließen

Seitenbetreiber müssen einen Vertrag zur Auftragsverarbeitung mit Newsletter2Go abschließen. Das gibt § 11 BDSG vor. Ab dem 25. Mai übernimmt auch hier die DSGVO. Der Vertrag zur Auftragsverarbeitung mit Newsletter2Go muss dann unter anderem erklären,

  • welche Daten Seitenbetreiber wie lange speichern und verarbeiten,
  • warum und wie sie die Daten verarbeiten und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Den Vertrag können Webseitenbetreiber online in ihrem Newsletter2Go-Account abschließen. Kommen sie dieser Pflicht nicht nach, drohen kostspielige Strafen. Nach Art. 83 Abs. 4 lit. a DSGVO kommt auf Seitenbetreiber dabei ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent ihres weltweiten Jahresumsatzes zu.

Ist der Vertrag zur Auftragsverarbeitung mit Newsletter2Go geschlossen, müssen Seitenbetreiber ihre Datenschutzerklärung anpassen. Sie müssen Nutzer darin aufklären, dass sie einen Vertrag mit Newsletter2Go zur Auftragsverarbeitung geschlossen haben. Dabei müssen sie auch erklären, wie Newsletter2Go ihre Daten verwendet.

Rechtsprechung zum Versand von Newslettern über Newsletter2Go

Newsletter-Versender müssen bei einem Versand per E-Mail das Double-Opt-In-Verfahren nutzen. Das hat der Bundesgerichtshof am 10.02.2011 geklärt (Az. I ZR 164/09). Damit müssen auch Seitenbetreiber für das Versenden von E-Mails über Newsletter2Go diesen zweistufigen Prozess einhalten. Das Oberlandesgericht (OLG) Düsseldorf hat in diesem Kontext festgestellt, dass Newsletter-Versender Usern nach Eintragen ihrer E-Mail-Adresse eine Mail zukommen lassen müssen, damit diese das Abonnieren des Newsletters bestätigen. Das OLG hat so noch einmal die Rechtmäßigkeit des Double-Opt-In-Verfahrens betont.

Nutzerregistrierung

Um sich im Web für Dienste oder Portale anzumelden, müssen User in der Regel eine Nutzerregistrierung vornehmen. Das kann in der Praxis die Anmeldung für einen Onlineshop, ein Forum oder ein Dienstleistungsportal sein.

Darum ist eine Nutzerregistrierung datenschutzrechtlich relevant

Bei einer Nutzerregistrierung müssen User verschiedene Daten angeben. Damit Seitenbetreiber ein Konto für Nutzer anlegen können, benötigen sie in jedem Fall ihre E-Mail-Adresse. Diese dient dazu, Nutzern die Registrierung zu bestätigen. Daneben fragen Seitenbetreiber oftmals auch andere Daten wie den Namen, die Anschrift und die Telefonnummer ab, um ein Nutzerkonto anzulegen. Dabei handelt es sich um personenbezogene Daten, die per Gesetz besonders geschützt sind. Daher dürfen Seitenbetreiber diese nur erheben, wenn sie dafür die Zustimmung der User haben.

Nutzerregistrierung datenschutzkonform anbieten

Damit Webseitenbetreiber eine Nutzerregistrierung den deutschen Datenschutzgesetzen entsprechend anbieten, müssen sie eine Reihe von Vorgaben beachten.

Einwilligung einholen

Im Rahmen der Abfrage der personenbezogenen Daten wie E-Mail-Adresse und Namen müssen sie User per Opt-In in die Datenerhebung und -verwendung zustimmen lassen. Art. 6 Abs. 1 lit. a Datenschutz-Grundverordnung (DSGVO) rechtfertigt das. In diesem Kontext sollten sie auch einen Link zur Datenschutzerklärung zur Verfügung stellen. Diese sollte Nutzer aufklären,

  • dass sie ihre personenbezogenen Daten speichern,
  • wofür sie diese verwenden,
  • wie lange sie diese speichern und
  • dass sie die Verantwortung übernehmen, ihre personenbezogenen Daten zu schützen.

Um sicher zu gehen, dass sich User wirklich für die Nutzerregistrierung entschieden haben, stehen Seitenbetreibern zwei Möglichkeiten zur Verfügung. Zum einen können sie der angegebenen E-Mail-Adresse eine Bestätigungsmail zukommen lassen. Diese weist User daraufhin, dass sie einen Account bei der entsprechenden Webseite eröffnet haben.

Zum anderen – und das ist die rechtlich sichere Variante – senden Seitenbetreiber Usern eine Mail zu, die sie die Nutzerregistrierung per Linkklick bestätigen lässt. Dieses Double-Opt-In lässt Seitenbetreiber sicher gehen, dass sich User tatsächlich registrieren wollten. Alternativ können sie User bei der Anmeldung darauf hinweisen, dass sie keine Bestätigungsmail mehr erhalten und das Kundenkonto nach Eingabe ihrer Daten automatisch angelegt ist.

Datensparsamkeit beachten

Die DSGVO gibt vor, dass Seitenbetreiber nur die Daten erheben sollten, die sie für den angestrebten Zweck benötigen. Weitere Daten, die nicht für eine Nutzerregistrierung notwendig sind, sollten sie daher nicht abfragen. Damit genügen sie der Anforderung der Datensparsamkeit.

Datentransfer verschlüsseln

Um die Daten der User zu schützen, sollten Webseitenbetreiber den Datentransfer – also das Übermitteln von E-Mail-Adressen, Namen und Anschrift an die internen Server – verschlüsseln. Diese Pflicht gibt ihnen § 13 Abs. 7 Telemediengesetz vor. Um diesen Anforderungen gerecht zu werden, bietet sich ein anerkanntes Verschlüsselungsverfahren wie TLS an.

Rechtsprechung zur Nutzerregistrierung

Das Amtsgericht Pankow-Weißensee hat am 16.12.2014 entschieden, dass Anmeldebestätigungen, die User nach einer Nutzerregistrierung per Mail erhalten, abmahnbar sind (Az. 101 C 1005/14). Das bedeutet für Seitenbetreiber: Sie sollten auf Nummer sicher gehen und auch bei Nutzerregistrierungen das Double-Opt-In-Verfahren verwenden und User so die Anmeldung noch einmal bestätigen lassen.

OMQ Chatbot

Mit dem OMQ Chatbot können Unternehmen automatisiert Kundenanfragen beantworten. Hinter dem Chatbot steht eine selbstlernende KI. Auf diese Weise kann die Software mit der Zeit mehr und mehr Anfragen allein beantworten. Kommt sie einmal nicht weiter, verbindet sie Kunden mit einem Mitarbeiter. OMQ Chatbot ist für Webseiten, WhatsApp, Telegram und den Facebook Messenger verfügbar. Zu den Kunden des Angebots zählen unter anderem Galeria Kaufhof, Axel Springer und Globetrotter.

Warum der OMQ Chatbot datenschutzrechtlich relevant ist

Wollen Kunden den OMQ Chatbot nutzen, müssen sie in der Regel ihren Namen sowie ihre E-Mail-Adresse oder Telefonnummer angeben. Zudem kann es sein, dass Kunden ein Anliegen haben, bei dem sie im Chat mit dem Bot Daten wie ihre Anschrift nennen.

OMQ verschlüsselt diese Daten jedoch, bevor der Chatbot sie in seinem System ablegt. Das bedeutet: Der Chatbot kann aus dem Gespräch mit Kunden lernen, ohne ihre personenbezogenen Daten zu erheben. Unternehmen, die den Chatbot verwenden, können jedoch auf die eingegebenen Daten zugreifen, um Kunden zuordnen zu können. Dabei müssen sie verschiedene Pflichten der Datenschutz-Grundverordnung (DSGVO) beachten.

Wie können Seitenbetreiber den OMQ Chatbot datenschutzkonform nutzen?

Um den OMQ Chatbot datenschutzkonform einzusetzen, müssen Unternehmen diese Anforderungen erfüllen:

Einwilligung in Datenerhebung einholen

Um personenbezogene Daten von Kunden über den OMQ Chatbot zu erheben, benötigen Unternehmen vorab ihre Einwilligung dafür. Sie können diese zu Beginn des Gesprächs einholen. Dabei sollten sie auch einen Link zu den Datenschutzbestimmungen bereitstellen. Auf diese Weise können sich Nutzer zu der Datenerhebung und -verarbeitung selbst weiter informieren.

Datenschutzerklärung anpassen

Sammeln Unternehmen personenbezogene Daten, müssen sie Nutzer in ihrer Datenschutzerklärung darauf hinweisen. Sie sollten dabei in einer verständlichen Sprache erklären,

  • dass sie über den Chatbot personenbezogene Daten erheben,
  • um welche Daten es sich dabei handelt und
  • dass OMQ Inhalte der Gespräche – ohne personenbezogene Daten – speichert und verarbeitet.

Dabei sollten Unternehmen auch erwähnen, warum OMQ die Daten speichert und wie der Anbieter diese nutzt. Zu guter Letzt sollten sie darauf hinweisen, dass User der Datenerhebung und Datenweitergabe jederzeit widersprechen können. Sie können den Chatbot dann jedoch nicht verwenden.

Möglichst wenige Daten erheben

Die DSGVO gibt den Grundsatz der Datensparsamkeit vor. Das bedeutet: Unternehmen dürfen von Nutzern nur die Daten erheben, die sie unbedingt benötigen, um den von ihnen angestrebten Zweck zu erfüllen. Beim OMQ Chatbot können das zum Beispiel Name und E-Mail sein, um User einem Anliegen (z. B. einer Bestellung) zuordnen zu können.

Datenauskunft gewähren

Die DSGVO gibt Nutzern das Recht, alle über den Chatbot erhobenen Daten über sie einsehen zu dürfen. Verlangen User also eine Datenauskunft, müssen Unternehmen dieser nachkommen. Sie können die Daten dann beispielsweise als Download zur Verfügung stellen.

Userdaten regelmäßig löschen

Unternehmen dürfen Nutzerdaten, die sie über den OMQ Chatbot erheben, nur so lange behalten, wie sie diese tatsächlich benötigen. Das heißt: Ist ein Anliegen abgeschlossen, müssen sie auch die über den Chatbot generierten Daten löschen. Darüber hinaus müssen sie die Daten von Nutzern löschen, wenn diese das verlangen.

Rechtsprechung zu OMQ Chatbot

Derzeit liegt – soweit ersichtlich – keine Rechtsprechung zum OMQ Chatbot vor.

OneDrive

OneDrive ist ein Cloud-Speicher von Microsoft. Unternehmen können über den Dienst Dateien online ablegen und bearbeiten. Oftmals nutzen Unternehmen OneDrive in Kombination mit Microsoft Office. Sie erstellen dabei im Cloud-Speicher beispielsweise Dokumente und teilen und bearbeiten diese mit anderen Personen. Wie bei jeder Cloud sind alle online abgelegten Dateien jederzeit und ortsunabhängig zugänglich.

Warum ist OneDrive datenschutzrechtlich relevant?

Speichern Unternehmen Kundendaten in OneDrive, kann Microsoft diese einsehen. Denn: Microsoft scannt gespeicherte Daten, um eigenen Angaben zufolge Schadcode zu identifizieren. Und: Es scannt Dateien, um Auflagen des US-Gesetzgebers zu erfüllen. Das erklärt der Konzern in den Nutzungsbedingungen. Microsoft kann daher – je nach Art der Daten – auf personenbezogene Daten zugreifen. Die Server, auf denen die Daten bei OneDrive liegen, befinden sich in den USA. Damit geben Unternehmen ihre Kundendaten an einen Dritten außerhalb der EU weiter. Sie müssen daher besondere datenschutzrechtliche Pflichten erfüllen.

Wie können Seitenbetreiber OneDrive datenschutzkonform verwenden?

Um bei der Verwendung von OneDrive die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einzuhalten, müssen Unternehmen diesen Pflichten nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Artikel 28 DSGVO schreibt vor: Geben Unternehmen personenbezogene Daten an einen Dritten weiter, müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung schließen. Nutzen Unternehmen also OneDrive, um personenbezogene Kundendaten abzulegen, müssen sie mit Microsoft einen derartigen Vertrag eingehen. Darin sollten sie erklären,

  • welche personenbezogenen Daten sie an Microsoft weitergeben,
  • wie lange Microsoft diese Daten speichert,
  • warum Microsoft diese Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Verarbeiten und speichern Unternehmen über OneDrive personenbezogene Daten, geben sie diese an Microsoft und damit an einen Dritten weiter. Darauf müssen sie in ihrer Datenschutzerklärung hinweisen. In diesem Kontext sollten sie erwähnen, dass sie für die Datenweitergabe mit Microsoft einen Vertrag zur Auftragsverarbeitung geschlossen haben. Dabei sollten sie angeben,

  • warum sie über OneDrive personenbezogene Daten erheben,
  • wie lange sie die personenbezogenen Daten speichern,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass User der Datenerhebung und -speicherung jederzeit widersprechen können.

Um Nutzern einen tieferen Einblick in die Verarbeitung ihrer Daten zu geben, sollten Unternehmen in ihrer Datenschutzerklärung auch auf die Datenschutzbestimmungen und Nutzungsbestimmungen von Microsoft aufmerksam machen. Nutzer können dann selbst überprüfen, was Microsoft mit ihren Daten macht.

Einen Hinweis auf den Privacy Shield sollten Unternehmen aus ihrer Datenschutzerklärung entfernen. Denn: Der Europäische Gerichtshof (EuGH) erklärte diesen kürzlich für unwirksam, um darüber Daten in ein Drittland außerhalb der EU zu versenden.

Standardvertragsklauseln prüfen

Microsoft übermittelt Daten aus OneDrive auf Basis von Standardvertragsklauseln in die USA. Deutsche Unternehmen dürfen eine Datenweitergabe über Standardvertragsklauseln jedoch nur vornehmen, wenn in dem Zielland ein ähnliches Datenschutzniveau herrscht. In den USA gibt es derzeit kein Datenschutzniveau, das dem der DSGVO entspricht. Es ist daher unklar, inwiefern Unternehmen auf der Basis von Standardvertragsklauseln Daten über OneDrive in die USA übersenden dürfen.

Rechtsprechung zu OneDrive

Im Juli 2020 entschied der EuGH: Der Privacy Shield eignet sich nicht als rechtliche Basis, um personenbezogene Daten in die USA zu verschicken. Denn: Dort kommen Überwachungsprogramme zum Einsatz, die nicht auf das zwingend erforderliche Maß beschränkt sind. Zudem haben europäische User keine Klagemöglichkeit, wenn US-amerikanische Firmen oder Behörden ihre Daten missbrauchen sollten (Az. C-311/18).

Die Datenschutzbehörde Hamburg belegte im Dezember 2018 ein Versandunternehmen mit einer Strafe von 5250 Euro. Der Grund: Das Unternehmen hatte mit einem beauftragten Dienstleister, der Zugriff auf personenbezogene Daten erhielt, keinen Vertrag zur Auftragsverarbeitung geschlossen. Grundsätzlich ist bei einem derartigen Verstoß ein Bußgeld von bis zu 10 Millionen Euro oder alternativ bis zu 2 Prozent des Jahresumsatzes möglich.

Datenschutzerklärung und OpenStreetMaps

OpenStreetMap ist eine quelloffene Karte, die Webseitenbetreiber auf ihrer Webseite einbinden können, um beispielsweise ihren Unternehmensstandort anzuzeigen. User können über die Anwendung die Karte aufrufen und so zum Beispiel Routen planen.

Darum ist OpenStreetMap datenschutzrechtlich bedenklich

Webseitenbetreiber binden OpenStreetMap über ein iframe bzw. durch den Abruf der Kartenbilder vom Server des Anbieters ein. Auf diese Weise erhebt die Map automatisch Daten zum User, unter anderem die IP-Adresse. Dabei handelt es sich um personenbezogene Daten, für dessen Erhebung Seitenbetreiber die Erlaubnis der User benötigen.

Können Webseitenbetreiber OpenStreetMap datenschutzkonform verwenden?

Um OpenStreetMap gemäß der deutschen Datenschutzanforderungen auf einer Webseite einzubinden, sollten Webseitenbetreiber eine Einwilligung der User zur Erhebung ihrer personenbezogenen Daten einholen. Daneben sollten sie in ihrer Datenschutzerklärung darauf hinweisen, warum und in welchem Umfang sie Daten für die Verwendung von OpenStreetMap sammeln und welche Daten sie dabei an den Kartenanbieter weiterleiten. Webseitenbetreiber, die User nicht ausführlich darüber aufklären, verstoßen gegen die DSGVO. Es droht ihnen ein Bußgeld von bis zu 50.000 Euro.

Rechtsprechung zur Datenschutzerklärung und OpenStreetMap

Bisher gibt es keine Rechtsprechung zum Thema Datenschutzerklärung und OpenStreetMap. Da Webseiten durch die Einbindung der Karten jedoch personenbezogene Daten an den Dienst versenden, stehen sie in der Pflicht, Nutzer in ihrer Datenschutzerklärung darüber aufzuklären. Dazu hat das Landgericht Hamburg sowohl am 10.03.2016 als auch am 09.08.2018 entschieden, dass Webseitenbetreiber nur Analysedienste wie Google Analytics – die ebenfalls personenbezogene Daten erheben und speichern – verwenden dürfen, wenn sie in ihrer Datenschutzerklärung darüber informieren (Az. 312 O 127/16 und 406 HKO 120/16).

Diese Urteile könnten analog auf den Einsatz von OpenStreetMap Anwendung finden. Das bedeutet: Informieren Webseitenbetreiber in ihrer Datenschutzerklärung Nutzer nicht darüber, wie, warum und in welchem Umfang sie Daten erheben und an OpenStreetMap versenden, erfüllen sie nicht die Voraussetzungen des deutschen Datenschutzes.

Osano Cookie Consent

Osano Cookie Consent ist ein Cookie Consent Management Tool für alle CMS- und Shopsysteme.Osano sorgt dafür, dass eine Webseite erst dann Cookies speichert, wenn User ihre Erlaubnis dafür erteilt haben. Auf diese Weise können Seitenbetreiber die Vorgaben der Datenschutz-Grundverordnung (DSGVO) erfüllen. 750.000 Unternehmen nutzen das Cookie Consent Tool. Dazu zählen unter anderem Bosch, DHL, Miele, Bayer und SAP.

Warum ist Osano Cookie Consent datenschutzrechtlich relevant?

Betreten User eine Webseite, die das Cookie Consent Tool verwendet, stellt die Seite eine Verbindung zu den Servern von Osano her. Auf diese Weise holt Osano die Einwilligung der User zur Cookie-Nutzung ein. Danach speichert das Tool einen Cookie im Browser der Nutzer, um die erteilte Einwilligung zuordnen zu können. Dieser enthält zum Beispiel Daten wie

  • den verwendeten Browser der User und
  • Details zur Einwilligung wie den Zeitstempel, die ControllerID und die ProzessorID.

Diese Daten sind durch de DSGVO besonders geschützt. Unternehmen müssen daher verschiedene datenschutzrechtliche Pflichten beachten, wenn sie den Osano Cookie Consent auf ihrer Webseite einbinden.

Osano Cookie Consent datenschutzkonform verwenden

Um den Osano Cookie Consent DSGVO-konform zu verwenden, müssen Seitenbetreiber diese Pflichten erfüllen:

Vertrag zur Auftragsverarbeitung schließen 

Artikel 28 DSGVO schreibt vor: Unternehmen müssen mit Osano einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Denn: Osano erhält als Dritter Zugriff auf die Daten der Webseitenbesucher. Der Vertrag muss darauf hinweisen,

  • welche Userdaten Osano erhält und speichert,
  • warum Osano die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Schließen Seitenbetreiber keinen AV-Vertrag mit Osano, droht ihnen ein Bußgeld. Artikel 83 Abs. 4 lit. DSGVO ermöglicht dabei eine Strafe von bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Datenschutzerklärung anpassen 

Seitenbetreiber erfassen mit Osano Userdaten und geben diese an den Anbieter weiter. Das müssen sie in ihrer Datenschutzerklärung erwähnen. Dabei sollten sie festhalten, 

  • warum sie über das Osano Cookie Consent Tool Daten erheben,
  • wie lange sie die Daten speichern,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Webseitenbesucher das Setzen der Cookies durch eine Einstellung im Browser verhindern können.

Rechtsprechung zu Osano Cookie Consent 

Die Datenschutzbehörde Hamburg sprach am 17.12.2018 ein Bußgeld gegen ein Versandunternehmen aus. Dies hatte es versäumt, mit einem spanischen Dienstleister einen AV-Vertrag zu schließen. Es musste daher eine Strafe in Höhe von 5250 Euro zahlen.

Paydirekt und Datenschutzerklärung

Paydirekt ist ein Online-Bezahlverfahren der deutschen Banken und Sparkassen. Im Unterschied zu anderen Payment-Diensten ist Paydirekt kein Drittanbieter. Es ist ein zentraler Softwaredienst zur Zahlungsabwicklung im Internet. Damit ist das Bezahlverfahren eine Zusatzfunktion eines Girokontos.

Diese Daten sammelt Paydirekt

Wollen sich Nutzer für Paydirekt registrieren, benötigen sie ein Girokonto mit Online-Banking bei einer der teilnehmenden Banken oder Sparkassen. Die Registrierung verlangt einen Nutzernamen und ein Passwort vom User. Danach können sie das Bezahlverfahren verwenden.
Nutzen User ihren Paydirekt-Account, um Zahlungen abzuwickeln, erhebt das Unternehmen verschiedenen Daten. Dazu gehören u. a.

  • die Transaktionsdaten der Überweisung
  • Informationen zum Warenkorb, die der Händler mit Paydirekt teilt, und
  • die Lieferadresse der Online-Bestellung.

Diese Daten machen es Paydirekt möglich, die Transaktion einem Kunden genau zuzuordnen. Damit handelt es sich um personenbezogene Daten.

Das kritisieren Datenschützer bei Paydirekt

2017 nahmen zahlreiche deutsche Sparkassen eine AGB-Änderung vor, die ihren Kunden automatisch einen Account bei Paydirekt vorregistrierte. Widersprachen Kunden der AGB-Änderung nicht innerhalb von zwei Monaten, legten die Sparkassen die Accounts an. Dazu übertrugen sie die Stammdaten ihrer Kunden an Paydirekt.Dafür hätten die Sparkassen jedoch die Einwilligung ihrer Kunden benötigen können. Die Informierung über die AGB-Änderung zählt hierbei nicht als gültige Zustimmung der Kunden, da sie aus Sicht der Datenschützer nicht die Anforderungen des § 4a Abs. 1 Bundesdatenschutzgesetz (BDSG) erfüllt. Derzeit ermitteln daher die Landesdatenschutzbehörden in Hessen und Thüringen.

Paydirekt datenschutzkonform verwenden

Wollen Onlineshops Paydirekt als Zahlungsdienst datenschutzkonform anbieten, müssen sie Nutzer in ihrer Datenschutzerklärung ausführlich darüber informieren. Dazu müssen sie angeben, welche Daten (z. B. Zahlungsbetrag, Lieferadresse etc.) sie zu welchem Zweck an Paydirekt übermitteln.Shopbetreiber sollten User zudem darauf hinweisen, dass sie der Verwendung ihrer Daten jederzeit widersprechen können. Sie dürfen jedoch die Daten, die Paydirekt für die Zahlungsabwicklung zwingend benötigt, weiter an das Unternehmen übergeben.

Payone

Payone bietet bargeldlose Zahlungslösungen an. Unternehmen können von dem Dienstleister beispielsweise Zahlungen per PayPal, Lastschrift und Überweisung abwickeln lassen. Neben nationalen und internationalen Zahlungsmethoden übernimmt Payone auch das Risikomanagement sowie das Debitoren- und Forderungsmanagement für Unternehmen. Der Anbieter verfügt in der DACH-Region über rund 400.000 Kunden. Dazu zählen unter anderem Notebooksbilliger.de, Zalando, Sony Music und Hallhuber.

Warum ist Payone datenschutzrechtlich relevant?

Unternehmen, die Payone für die Abwicklung ihres Zahlungsverkehrs verwenden, erhalten von dem Anbieter personenbezogene Daten ihrer Kunden. Dazu zählen

  • Name,
  • Anschrift,
  • Kontonummer,
  • Bankleitzahl,
  • Kreditkartennummer,
  • Rechnungsbetrag und
  • Transaktionsnummer.

Die Datenschutz-Grundverordnung (DSGVO) schützt personenbezogene Daten besonders. Unternehmen müssen daher verschiedenen datenschutzrechtlichen Pflichten nachkommen.

Payone DSGVO-konform verwenden

Unternehmen können Payone so DSGVO-konform verwenden:

Vertrag zur Auftragsverarbeitung schließen

Payone erhält vollen Zugriff auf die Zahlungsdetails von Kunden und gibt diese an das verkaufende Unternehmen weiter. Art. 28 DSGVO gibt dafür vor: Unternehmen müssen mit Payone einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Dieser muss aufführen,

  • welche Nutzerdaten die Parteien speichern,
  • warum sie diese speichern,
  • wie lange sie die Daten speichern wollen und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen müssen in ihrer Datenschutzerklärung darauf hinweisen, dass sie Payone zur Abwicklung ihrer Zahlungen beauftragt haben. Dabei sollten sie erwähnen, dass sie dafür einen AV-Vertrag mit Payone geschlossen haben. Sie sollten konkret erklären,

  • warum sie zur Zahlungsabwicklung personenbezogene Daten erheben,
  • wie lange sie diese speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 DSGVO) und
  • dass User der Datenspeicherung jederzeit widersprechen können.

Rechtsprechung zu Payone

Unternehmen, die mit Dritten personenbezogene Daten teilen, müssen mit diesen einen AV-Vertrag eingehen. Ansonsten droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent ihres weltweiten Jahresumsatzes. Im Dezember 2018 musste das Versandunternehmen Kolibri Image ein Bußgeld von 5.000 Euro bezahlen. Die Datenschutzbehörde Hamburg war zu dem Schluss gekommen, dass es das Versandunternehmen versäumt hatte, mit einem beauftragten spanischen Dienstleister einen AV-Vertrag zu schließen.

PayPal und Datenschutzerklärung

PayPal ist ein Online-Bezahldienst, über den User Geld empfangen und senden können. Sie verbinden dazu ihr Girokonto oder ihre Kreditkarte mit PayPal. Der Paymentdienst gehört zu den am meisten genutzten Verfahren im Online-Handel.

Diese Daten sammelt PayPal

Wollen sich User bei PayPal anmelden, müssen sie dafür ein bestehendes Konto mit PayPal verbinden. Um ihren Account einzurichten, müssen sie Herkunftsland, Vor- und Nachname, E-Mail-Adresse sowie Passwort angeben.

Das kritisieren Datenschützer bei PayPal

PayPals Datenschutzerklärung umfasst derzeit 26 Seiten. Wollen Verbraucher diese lesen, benötigen sie dafür im Schnitt 24 Minuten. Verbraucherschützer bewerten diese daher als formal unverständlich. Darüber hinaus greift der Zahlungsdienstleister auf Formulierungen wie „gegebenenfalls“, „möglicherweise“ und „unter bestimmten Umständen“ zurück, so dass User nicht eindeutig erkennen können, wie PayPal ihre Daten tatsächlich verarbeitet.Aus der Datenschutzerklärung geht zudem hervor, dass sich PayPal das Recht einräumt, Nutzerdaten an mehrere hundert Drittunternehmen weiterzugeben. Das darf PayPal jedoch nur, wenn es dafür die Einwilligung der User für den konkreten Fall besitzt. Diese „Blanko-Einwilligung“ ist daher keine wirksame Rechtsgrundlage für die Weitergabe der Daten an Dritte.
Weiterhin gewährt PayPals Datenschutzerklärung Usern weder ein Widerrufs- noch ein Widerspruchsrecht gegen die Verarbeitung ihrer Daten.

Gesetzeskonforme Datenschutzerklärung mit Beginn der DSGVO?

Ab dem 25. Mai setzt PayPal auf eine neue Datenschutzerklärung. Diese ist dann nur noch 11 Seiten lang und damit deutlich übersichtlicher als die aktuelle. Darin fehlt dann die Liste der Drittunternehmen, an die PayPal derzeit noch Userdaten weitergibt. Hier ist daher offen, ob PayPal mit Beginn der DSGVO keine Daten mehr an diese weiterreicht. Laut der neuen Datenschutzerklärung nimmt PayPal das nur noch vor, wenn es eine konkrete Zustimmung der User dafür hat. Die ab dem 25. Mai geltende Erklärung gewährt Usern dann auch ein Widerspruchsrecht gegen die Datenverarbeitung, so wie es Art. 21 DSGVO vorschreibt.

PayPal datenschutzkonform verwenden

Wollen Shopbetreiber PayPal in ihrem Checkout datenschutzkonform verwenden, müssen sie User über den Einsatz von PayPal in ihrer Datenschutzerklärung informieren. Sie sind dabei verpflichtet Nutzern zu erklären, welche Daten sie zu welchem Zweck an PayPal weiterleiten. Daneben sollten sie sie auch darauf hinweisen, dass User der Verwendung ihrer Daten jederzeit widersprechen können. Das gilt jedoch nicht für die Daten, die PayPal zwingend benötigt, um Zahlungen abzuwickeln. Diese Daten dürfen Shopbetreiber weiter an PayPal übermitteln.

Datenschutzerklärung und Pinterest Plugin

Pinterest ist ein soziales Netzwerk für das Teilen von Bildern. Nutzer können in dem Netzwerk Bilder an virtuelle Pinnwände heften, teilen, liken und kommentieren. Unternehmen verwenden Pinterest als Marketingkanal, um Produkte zu promoten und ihre Zielgruppe mit für sie relevanten Inhalten zu bedienen.

Diese Daten sammelt Pinterest

Wollen sich Nutzer bei Pinterest anmelden, müssen ihre E-Mail-Adresse angeben sowie ein Passwort generieren. Melden sie sich über den Single Sign On für Facebook an, erhält Pinterest zudem Zugriff auf weitere Informationen wie E-Mail, Freundeslisten und Interessen (abhängig von den Privatsphäre-Einstellungen). Einmal im Netzwerk registriert, erhebt Pinterest Daten zu allen Aktivitäten, die User vornehmen. Das können u. a. erstellte Pinnwände, Likes und Kommentare sein. Kaufen Nutzer etwas über Pinterest, erfasst das Netzwerk Daten zu den Zahlungsinformationen, den Kontaktdaten (wie z. B. Anschrift und Telefonnummer) und alle Informationen zu dem Kauf selbst. Darüber hinaus speichert das Unternehmen auch Daten zum verwendeten Browser, Endgerät und zur IP-Adresse.Pinterest gibt selbst an, die gesammelten Daten zu verwenden, um Usern den Dienst bereitzustellen und ihnen relevante und interessante Inhalte anzuzeigen. Dazu zählt auch das Einblenden von personalisierter Werbung.

Diese Datenschutzprobleme bringt Pinterest mit

Wie auch Facebook und Instagram übermittelt Pinterest über Schnittstellen Userdaten an Werbekunden, damit diese Nutzern Anzeigen einblenden können. Das ist dem Unternehmen jedoch nur erlaubt, wenn es für den konkreten Fall die Zustimmung der User dafür einholt. Dem kommt Pinterest jedoch nicht nach.Klicken User auf einer Webseite auf das Social Plugin von Pinterest, geben sie automatisch ihre Daten an das Netzwerk weiter. Dazu zählt dann u. a. ihre IP-Adresse, die zu den personenbezogenen Daten gehört.

So können Webseitenbetreiber Pinterest datenschutzkonform nutzen

Wollen Webseitenbetreiber Pinterest nutzen, müssen sie Nutzer in ihrer Datenschutzerklärung darauf hinweisen. Darüber hinaus gilt: Nutzen sie das Social Plugin von Pinterest, müssen sie die Zustimmung der Nutzer einholen, ihre Daten bei Klick auf die Bilder an das Unternehmen weiterzuleiten zu dürfen. Das ist derzeit praktisch jedoch nicht zu lösen. Alternative Plugins wie das eRecht Safe Sharing Tool helfen dabei, die Daten der User zu schützen.

Rechtsprechung zu Pinterest

Am 09.03.2016 hat das Landgericht Düsseldorf entschieden, dass der auf Webseiten implementierte Facebook-Like-Button gegen deutsche Datenschutzbestimmungen verstößt (Az. 12 O 151/15). Aktuell prüft der Europäische Gerichtshof (EuGH), ob der Button rechtlich zulässig ist. Dabei ist noch keine Entscheidung gefallen. Kommt der EuGH zu dem Schluss, dass der Like-Button nicht datenschutzkonform ist, dürfte das auch Auswirkungen auf die Zulässigkeit des Pinterest-Buttons haben. Denn: Dieser gibt ebenso wie der Like-Button von Facebook ungefragt Daten an Pinterest weiter, sobald User daraufklicken.

Pinterest Tag

Das Pinterest Tag ist ein Code-Schnipsel, den Unternehmen in ihre Webseite integrieren können, um Aktionen von Usern nachzuverfolgen. Dabei platzieren Unternehmen auf jeder Seite ihrer Webseite einen „Base Code“. Dieser ist die Grundlage für das Tracking. Zusätzlich bauen sie einen „Event Code“ auf den Seiten ein, auf denen sie bestimmte Conversions erfassen wollen. Auf diese Weise können sie sicherstellen, dass ihre Pinterest-Ads nur den Nutzern angezeigt werden, die auch ein Interesse an ihrem Angebot haben. Und: Sie können nachvollziehen, welche Aktionen User auf ihrer Webseite vornehmen, nachdem diese auf eine Pinterest-Anzeige geklickt haben. Unternehmen können die Erkenntnisse zum Beispiel nutzen, um eine Kampagnen-Performance zu messen, Zielgruppen für ihr Targeting aufzubauen, Remarketing-Kampagnen durchzuführen und Conversions zu optimieren.

Warum ist das Pinterest Tag datenschutzrechtlich relevant?

Rufen nutzen eine Seite mit einem Pinterest Tag auf, stellt ihr Browser eine direkte Verbindung zu den Servern von Pinterest her. Das Pinterest Tag übermittelt dann Userdaten wie beispielsweise

  • Geräteinformationen,
  • das verwendete Betriebssystem,
  • die IP-Adresse und
  • das Verhalten auf der entsprechenden Webseite

an das Netzwerk in den USA weiter. Dabei kann es sich um personenbezogene Daten handeln. Diese sind durch die Datenschutz-Grundverordnung (DSGVO) besonders geschützt. Unternehmen müssen daher besondere datenschutzrechtliche Pflichten beachten.

Pinterest Tag datenschutzkonform nutzen

Um das Pinterest Tag DSGVO-konform zu verwenden, sollten Unternehmen diese datenschutzrechtlichen Vorgaben erfüllen:

Datenschutzerklärung anpassen

Unternehmen müssen in ihrer Datenschutzerklärung aufführen, dass sie über das Pinterest Tag personenbezogene Daten verarbeiten und an Pinterest weitergeben. Dabei sollten sie klarstellen,

  • warum sie über das Pinterest Tag Daten erheben,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. f DSGVO) und
  • dass User der Datenerhebung und Datenspeicherung jederzeit widersprechen können.

Darüber hinaus sollten Unternehmen in diesem Kontext auf die Nutzungs- und Datenschutzbedingungen von Pinterest hinweisen. Auf diese Weise können sich User selbst ein Bild machen, was mit ihren Daten bei Pinterest passiert.

Hinweise auf den Privacy Shield müssen Business-Inhaber aus ihrer Datenschutzerklärung entfernen. Der Europäische Gerichtshof (EuGH) hat diesen im Sommer 2020 für unwirksam erklärt, um darüber Daten in die USA zu verschicken.

Standardvertragsklauseln prüfen

Seitdem der EuGH den Privacy Shield für unwirksam erklärt hat, nutzt Pinterest Standardvertragsklauseln, um Userdaten rechtssicher zu versenden. Unternehmen geben daher die über das Pinterest Tag erhobenen Daten auf Grundlage von EU-Standardvertragsklauseln weiter. Sie sollten diese überprüfen. Denn: Die Standardvertragsklauseln reichen für einen rechtssicheren Datentransfer nur dann aus, wenn in dem Zielland ein ausreichendes Datenschutzniveau herrscht. Die USA erreicht dieses Datenschutzniveau derzeit nicht. Für Seitenbetreiber ist daher derzeit unklar, ob sie auf Basis von Standardvertragsklauseln Daten an Pinterest weitergeben dürfen.

Cookie-Banner anpassen

Sobald User eine Webseite mit einem Pinterest Tag besuchen, setzt Pinterest Cookies in ihren Browser. Dafür benötigen Seitenbetreiber eine Erlaubnis der Nutzer. Diese können sie über einen Cookie-Hinweis auf ihrer Seite einholen. User müssen den Hinweis per Opt-In bestätigen können.

Rechtsprechung zum Pinterest Tag

Unternehmen dürfen nur Tracking-Cookies auf ihrer Seite einsetzen, wenn sie vorher eine Einwilligung der User dafür eingeholt haben. Das gilt nicht nur für das Sammeln von personenbezogenen Daten, sondern auch für die Erhebung von anonymen Daten. Das entschied der EuGH im Oktober 2019 (C-637/17). Zu diesem Ergebnis kam auch der Bundesgerichtshof im Mai 2020. Dabei bestätigte er, dass Unternehmen die Erlaubnis der User nur per Opt-In rechtssicher einholen können (I ZR 7/16).

Der Privacy Shield eignet sich nicht, um rechtssicher Daten in die USA zu verschicken. Das stellte der EuGH im Sommer 2020 fest. Die Richter führten das vor allem auf das niedrigere Datenschutzniveau in dem Land zurück. Denn: Die Überwachungsprogramme dort sind nicht auf das zwingend erforderliche Maß beschränkt. Zudem können User aus Europa US-amerikanische Behörden oder Unternehmen nicht verklagen, sollten diese ihre Daten missbrauchen.

Postwerbung

Unternehmen nutzen Postwerbung, um neue Kunden zu gewinnen oder Bestandskunden zu neuen Käufen zu motivieren. Die häufigste Form der Postwerbung ist die Direktwerbung. Diese ist auch als "Direct Mailing" bekannt. Dabei sammeln Unternehmen Adressen von potenziellen Kunden und stellen ihnen schriftlich Werbung zu.

Warum ist Postwerbung datenschutzrechtlich relevant?

Verschicken Unternehmen Postwerbung an Verbraucher, erheben und verarbeiten sie dafür personenbezogene Daten. Dabei handelt es sich in der Regel um Adressdaten, wie Name und Anschrift.

Personenbezogene Daten sind durch die Datenschutz-Grundverordnung (DSGVO) besonders geschützt. Unternehmen müssen daher verschiedene datenschutzrechtliche Pflichten erfüllen.

Postwerbung datenschutzkonform versenden

Damit Unternehmen Verbrauchern datenschutzkonform Postwerbung zuschicken, müssen sie diese Anforderungen erfüllen:

Einwilligung einholen

Artikel 6 Abs. 1 DSGVO gibt vor, wann Werbung rechtkonform ist. Das ist zum Beispiel der Fall, wenn Unternehmen vorher eine Einwilligung der Verbraucher in die Werbung eingeholt haben. Postwerbung ohne Einwilligung kann erlaubt sein, wenn diese einem berechtigten Interesse des Werbetreibenden dient und die Interessen des Verbrauchers dies nicht überwiegen. Das gibt Art. 6 Abs. 1 lit. f DSGVO vor. Die Datenverarbeitung zum Zwecke der Direktwerbung kann ein berechtigtes Interesse darstellen. Konkret ist das vom Einzelfall abhängig.

Für Bestandskunden, die bereits in Postwerbung eingewilligt haben, benötigen Unternehmen keine erneute Einwilligung – sofern die Werbung eigene ähnliche Dienstleistungen oder Produkte anspricht. Dabei muss sich die Ähnlichkeit auf bereits vom Kunden gekauften Waren oder Dienstleistungen beziehen. Und: Die Werbung muss dem Bedarf des Kunden entsprechen.

Informationspflichten berücksichtigen

Unternehmen müssen bei ihrer Postwerbung eine für die Datenerhebung verantwortliche Person und die Adress-Quelle angeben. Zudem müssen sie darauf hinweisen, dass Verbraucher der Zusendung der Werbung widersprechen können. Dabei sollten sie auch erwähnen, dass das Widerspruchsrecht auch die Weitergabe der Adressdaten umfasst.

Handelt es sich um Werbung für Angebote Dritter, muss das eindeutig aus dem Schreiben hervorgehen. Dabei muss die Werbung auch die Identität und Anschrift des Dritten nennen.

Vertrag zur Auftragsverarbeitung abschließen

Geben Unternehmen Adressdaten an einen Dritten weiter, beispielsweise, weil dieser die Werbung versendet, müssen sie einen Vertrag zur Auftragsverarbeitung mit diesem schließen. Das gibt Art. 28 DSGVO vor. Unternehmen müssen darauf achten, dass der Vertrag klärt,

  • welche Daten der Dritte speichert,
  • wie lange er diese Daten speichert,
  • warum er die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Rechtsprechung zu Postwerbung

Unternehmen dürfen ihre Postwerbung nicht irreführend kennzeichnen. So dürfen sie beispielsweise nicht „vertraulich“ auf den Briefumschlag schreiben. Verbraucher werden dann in ihrer Entscheidung, die Werbung zur Kenntnis zu nehmen, beeinflusst, da sie ihnen aufgedrängt wird. Trotzdem darf sich der Werbecharakter der Postwerbung erst nach dem Öffnen des Umschlags ergeben. Dabei ist es ausreichend, wenn Verbraucher nach dem Öffnen des Briefes den Werbecharakter sofort erkennen. Das entschied das Landgericht Braunschweig am 19.03.2015 (21 O 726/14).

ProvenExpert

ProvenExpert ist ein deutscher Online-Service, über den Unternehmen Feedback ihrer Kunden und Geschäftspartner einholen können. ProvenExpert bietet dazu branchenspezifische Umfragevorlagen an, die Bewertungen generieren. Unternehmen erhalten so wichtige Einblicke in die Kundenzufriedenheit und decken ungenutzte Potenziale auf. Gleichzeitig erzeugt ProvenExpert aus den gesammelten Bewertungen ein Siegel, das sie auf ihrer Webseite einbinden können.

Warum ist ProvenExpert datenschutzrechtlich relevant?

Unternehmen erheben Daten ihrer Webseitenbesucher, sobald diese eine Seite mit einem ProvenExpert-Plugin besuchen. ProvenExpert stellt dann eine Verbindung zu seinem Server her und speichert Daten dazu, welche Seiten User auf der Webseite besucht haben.

Geben User eine Bewertung über ProvenExpert ab, erfasst und speichert der Anbieter ihre E-Mail-Adresse und technische Daten wie ihre IP-Adresse und Informationen über den verwendeten Webbrowser. Unternehmen geben auf diese Weise personenbezogene Daten an ProvenExpert weiter. Sie müssen dafür besondere datenschutzrechtliche Pflichten erfüllen.

ProvenExpert datenschutzkonform nutzen

Um ProvenExpert datenschutzkonform zu verwenden, müssen Unternehmen ihre Datenschutzerklärung anpassen. Sie sollten Nutzer darin darauf hinweisen, dass sie über ProvenExpert personenbezogene Daten erheben und an den Anbieter weitergeben. Dabei sollten sie erklären,

  • warum sie personenbezogene Daten über ProvenExpert erheben,
  • wie lange sie die Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass User der Datenerhebung und -speicherung jederzeit widersprechen können.

Darüber hinaus sollten sie Nutzer auf die Datenschutz- und Nutzungsbestimmungen von ProvenExpert verweisen. User können dann selbst überprüfen, warum und wie der Anbieter ihre Daten verarbeitet.

Rechtsprechung zu ProvenExpert

Bisher liegt, soweit ersichtlich, keine Rechtsprechung zu ProvenExpert vor.

Quentn

Quentn ist ein CRM-System mit Fokus auf Marketing Automation und Data Driven Marketing. Unternehmen können darüber ihre Marketing-Prozesse intuitiv automatisieren und verwalten. Das System umfasst unter anderem Software für E-Mail-Kampagnen und Kundenkommunikation.

Warum ist Quentn datenschutzrechtlich relevant?

Je nachdem, wie Unternehmen Quentn nutzen, erheben sie darüber verschiedene User-Daten wie

  • E-Mail-Adressen,
  • Namen und
  • IP-Adressen.

Dabei handelt es sich um personenbezogene Daten. Die Datenschutz-Grundverordnung (DSGVO) schreibt dafür besondere datenschutzrechtliche Pflichten vor.

So können Seitenbetreiber Quentn datenschutzkonform verwenden

Um Quentn gemäß der DSGVO zu verwenden, müssen Seitenbetreiber auf diese Punkte achten:

Double-Opt-In für E-Mail-Versand

Unternehmen können Quentn zum Beispiel für das Versenden von Newslettern verwenden. Sie dürfen jedoch erst E-Mails an User verschicken, wenn diese in den Versand eingewilligt haben. Dafür hat sich das Double-Opt-In-Verfahren bewährt. Unternehmen erheben dabei zunächst die E-Mail-Adresse der Nutzer. Sie verweisen dabei darauf, dass Nutzer so in den Versand von Mails einwilligen.Und: Seitenbetreiber müssen in diesem Kontext erwähnen, dass User ihre Erlaubnis in den Mail-Versand jederzeit zurückziehen können.

Haben sich Nutzer für den Mail-Versand registriert, schicken Unternehmen ihnen eine erste Mail zu. Diese dient lediglich dazu, die Empfänger aufzufordern, den Mail-Versand zu bestätigen. In der Regel stellen ihnen Unternehmen dafür in der Mail einen Link zur Verfügung. Klicken User auf den Link, haben Unternehmen rechtmäßig ihre Einwilligung in den Mailversand eingeholt.

Double-Opt-In für SMS-Versand

Neben E-Mails können Unternehmen über Quentn SMS an ihre User verschicken. Sie können auch hier eine Form des Double-Opt-In-Verfahrens nutzen, um die Einwilligung der Nutzer in einen SMS-Versand einzuholen. Dafür müssen Seitenbetreiber in einem ersten Schritt die Telefonnummer der User abfragen. In der Regel können sie das über eine Online-Maske auf ihrer Webseite vornehmen. Dabei sollten sie erklären, wofür sie die Telefonnummer nutzen wollen. Und: Sie sollten festhalten, dass Kunden ihre Erlaubnis für die Verwendung ihrer Telefonnummer jederzeit zurückziehen können. Um die Einwilligung zu bestätigen, müssen Unternehmen Kunden in der Online-Maske per Opt-In ein Häkchen setzen lassen.

In einem zweiten Schritt müssen Unternehmen Usern die Telefonnummer anzeigen, von der sie ihre SMS versenden wollen. User speichern die Nummer und versenden an diese eine SMS mit einem vorher festgelegten Befehl wie „Start“. Sie aktivieren so den SMS-Versand.

Vertrag zur Auftragsverarbeitung abschließen

Art. 28 DSGVO schreibt vor: Immer dann, wenn Unternehmen einen externen Dienstleister beauftragen, der weisungsgebunden personenbezogene Daten verarbeitet, müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung schließen. Bei Quentn finden Unternehmen den Vertrag in ihrem Konto unter „Verträge“. Sie sollten in dem Vertrag erklären,

  • welche Nutzerdaten Quentn speichert,
  • warum es diese Daten speichert,
  • wie lange es diese Daten speichert undwelche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen müssen ihre Datenschutzerklärung anpassen, indem sie darin auf die Verwendung von Quentn verweisen. Dabei sollten sie erwähnen, dass sie mit dem Anbieter einen Vertrag zur Auftragsverarbeitung eingegangen sind. In diesem Kontext sollten sie ihren Webseitenbesuchern auch erklären,

  • warum Quentn personenbezogene Daten sammelt,
  • wie lange der Anbieter diese speichert,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. f DSGVO) und
  • dass Webseitenbesucher ihrer Einwilligung in die Datenerhebung jederzeit widersprechen können.

Rechtsprechung zu Quentn

Der Bundesgerichtshof entschied im Februar 2011: Seitenbetreiber müssen das Double-Opt-In-Verfahren nutzen, um die Erlaubnis von Nutzern in einen E-Mail-Versand einzuholen (Az. I ZR 164/09). Diese Entscheidung bestätigte das Oberlandesgericht Düsseldorf im März 2016. Es betonte in diesem Kontext auch, dass Unternehmen ihren Kunden im Rahmen des Double-Opt-In-Verfahrens eine Mail zuschicken dürfen, die sie die Anmeldung für den Mailversand bestätigen lässt (Az. I-15 U 64/15).

Beauftragen Unternehmen einen externen Dienstleister, der Zugriff auf personenbezogene Daten erhält, müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung schließen. Unternehmen, die dies versäumen, müssen mit einem Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent ihres weltweiten Jahresumsatzes rechnen. Die Datenschutzbehörde Hamburg sprach bereits ein Bußgeld gegen ein Versandunternehmen aus. Dies musste 5.000 Euro zuzüglich Gebühren zahlen, da es mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen hatte.

Datenschutzerklärung und Rapidmail

Rapidmail ist eine Online-Software für professionelles E-Mail-Marketing. Nutzer können darüber Newsletter und Mail-Kampagnen planen, erstellen und versenden. Derzeit greifen über 80.000 Nutzer auf das Tool zurück.

Rapidmail und Datenschutz

Webseitenbetreiber nutzen Rapidmail, um Usern Newsletter zukommen zu lassen. Dafür erheben und speichern sie ihre E-Mail-Adresse. Diese zählt zu den personenbezogenen Daten und ist daher besonders schützenswert. Seitenbetreiber müssen daher eine Reihe von Pflichten erfüllen, um nicht gegen deutsche Gesetze zu verstoßen. Unter anderem schreiben ihnen dabei das Bundesdatenschutzgesetz (BDSG), das Gesetz gegen unlauteren Wettbewerb (UWG), das Telemediengesetz (TMG) und ab dem 25. Mail auch die Datenschutz-Grundverordnung (DSGVO) verschiedene Regeln vor.

So bringen Seitenbetreiber Rapidmail datenschutzkonform zum Einsatz

Bevor Webseitenbetreiber Newsletter über Rapidmail verschicken können, benötigen sie die Einwilligung der User in den Versand des Newsletters.

Double-Opt-In für E-Mail- und SMS-Newsletter

Für das Versenden des Newsletters per E-Mail müssen sich Webseitenbetreiber die Zustimmung in einem zweistufigen Verfahren abholen. Dabei fragen sie zunächst die E-Mail der Nutzer ab und lassen sie in diesem Kontext in den Newsletter-Versand einwilligen. Gleichzeitig sollten sie User darauf hinweisen, dass sie den Newsletter jederzeit wieder abbestellen können. Sie erhalten dann eine E-Mail, die ihnen das Sign-Up für den Newsletter anzeigt. User müssen diese Mail per Klick auf einen Link bestätigen, um so den Versand zu starten. Dieses Vorgehen ist als Double-Opt-In bekannt.Daneben können Seitenbetreiber ihren Newsletter bei Rapidmail auch per SMS verschicken. Hierfür benötigen sie die Telefonnummer der Nutzer sowie die Einwilligung in den Versand des Newsletters an ihre Nummer. Das Double-Opt-In-Verfahren aus dem E-Mail-Marketing können Seitenbetreiber hier in abgewandelter Form nutzen. Dazu können sie die Telefonnummer der Interessenten über eine Online-Maske abfragen und sie darüber aufklären, dass sie mit Eintragen ihrer Nummer den Newsletter abonnieren. Ein Hinweis, dass sie diesen jederzeit wieder abbestellen können, darf auch hier nicht fehlen. User sollten diese Hinweise per Opt-In bestätigen können. Im nächsten Schritt zeigt die Online-Maske dann die Telefonnummer des Newsletter-Versenders an. Nutzern speichern diese ab und senden eine SMS mit einem Befehl wie „Start“, der den Newsletter aktiviert.

Rapidmail in Datenschutzerklärung aufführen

Neben Double-Opt-In für E-Mail und SMS müssen Webseitenbetreiber in ihrer Datenschutzerklärung angeben, dass und wie sie Rapidmail für den Newsletter-Versand nutzen. Sie müssen darüber informieren, warum und welche User-Daten sie dabei erheben und verwenden. Im Gesetz gibt ihnen das § 13 Abs. 1 TMG vor. Die DSGVO, die hier ab dem 25. Mai übernimmt, schreibt dann in Art. 13 vor, dass Seitenbetreiber in ihrer Datenschutzerklärung anführen müssen,

  • wofür sie die personenbezogenen Daten, die sie für den Newsletter-Versand über Rapidmail sammeln und speichern, verwenden,
  • wie lange sie die personenbezogenen Daten speichern,
  • welches Gesetz ihnen die Datenerhebung und -verwendung erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
  • dass sie der Zustimmung zur Datenverwendung jederzeit widersprechen können.

Vertrag zur Auftragsverarbeitung abschließen

Damit Webseitenbetreiber die Daten der User datenschutzkonform verarbeiten, müssen sie mit Rapidmail einen Vertrag zur Auftragsverarbeitung abschließen. Im Gesetz schreibt das § 11 BDSG vor. Die DSGVO gibt ab dem 25. Mai im Detail vor, dass ein Vertrag mit Rapidmail vor allem darüber informieren muss,

  • welche Daten Seitenbetreiber wie lange speichern und verarbeiten,
  • warum sie diese Daten verarbeiten und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Rapidmail ermöglicht es Newsletter-Versendern, den Vertrag zur Auftragsverarbeitung elektronisch in ihrem Account abzuschließen. Ist der Vertrag geschlossen, müssen Seitenbetreiber in ihrer Datenschutzerklärung über die Verwendung von Rapidmail informieren. Sie müssen User darauf hinweisen, dass sie einen Vertrag zur Auftragsverarbeitung mit Rapidmail geschlossen haben. In diesem Rahmen müssen sie ihnen auch erklären, wie Rapidmail ihre Daten nutzt.

Rechtsprechung zum Versand von Newslettern über Rapidmail

Webseitenbetreiber, die bei der Einholung der User-Einwilligung nicht auf Double-Opt-In setzen, laufen Gefahr abgemahnt zu werden. Der Bundesgerichtshof hat am 10.02.2011 geklärt, dass das Double-Opt-In-Verfahren dazu geeignet ist, die Zustimmung der User in einen Newsletter-Versand einzuholen (Az. I ZR 164/09).

Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit findet sich in Artikel 20 der Datenschutz-Grundverordnung (DSGVO). Es gibt Verbrauchern das Recht, sich ihre personenbezogenen Daten, die sie einem Unternehmen zur Verfügung gestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format ausstellen zu lassen.

Welchen Zweck hat das Recht auf Datenübertragbarkeit?

Zum einen soll das Recht auf Datenübertragbarkeit sicherstellen, dass Verbraucher Anbieter im Internet ohne Aufwand wechseln können. Voraussetzung dafür ist, dass sie ihre Daten problemlos übertragen können. Vor der DSGVO hat der sogenannte „Lock-In-Effekt“ dafür gesorgt, dass Verbraucher ihren Anbieter nicht gewechselt haben, da ein Wechsel für sie zu aufwendig war.

Zum anderen soll das Recht auf Datenübertragbarkeit das Grundrecht auf informationelle Selbstbestimmung umsetzen. Dies gibt vor, dass Verbraucher selbst darüber bestimmen sollen, wie ihre personenbezogenen Daten verwendet werden. Rücken Unternehmen Kundendaten nicht heraus, ist das Recht auf informationelle Selbstbestimmung verletzt.

Welche Voraussetzungen müssen für das Recht auf Datenübertragbarkeit erfüllt sein?

Damit Verbraucher das Recht auf Datenübertragbarkeit wahrnehmen können, müssen

  • personenbezogene Daten im Sinne von Art. 4 I DSGVO betroffen sein,Verbraucher ihre Daten den Verantwortlichen bereitgestellt haben,
  • die Verantwortlichen die Daten aufgrund einer Einwilligung oder eines berechtigten Interesses verarbeitet haben und
  • die Verantwortlichen die Daten über ein automatisiertes Verfahren verarbeitet haben.

In der Praxis liegen diese Voraussetzungen bei klassischen Anbietern wie von Newslettern, Social-Media-Netzwerken und Business-Plattformen vor. Denn: User willigen bereits beim Anmeldeprozess in die Datenverarbeitung ein.

Welche Anbieter sind von dem Recht betroffen?

Das Recht auf Datenübertragbarkeit betrifft zum Beispiel

  • soziale Netzwerke,
  • Anbieter von Fitnesstrackern,
  • Suchmaschinen,
  • Businessportale,
  • Onlineshops und
  • Banken.

Wann liegt kein Recht auf Datenübertragbarkeit vor?

  • Betroffene haben kein Recht auf Datenübertragbarkeit, wenn
  • der Verantwortliche die personenbezogenen Daten nur genutzt hat, um öffentliche Aufgaben wahrzunehmen (Art. 20 III S.2 DSGVO),
  • die Datenverarbeitung die Rechte und Freiheiten anderer Personen betrifft (Art. 20 IV DSGVO) oder
  • der Anbieter die Daten technisch nicht zu einem anderen Anbieter übertragen kann.

Für die Praxis heißt das: Wollen Verbraucher ihre Daten übertragen lassen, verletzen sie dabei aber beispielsweise die Rechte anderer Personen, wie zum Beispiel, wenn die Datenübertragung geistiges Eigentum verletzt oder durch die Übertragung auch personenbezogene Daten anderer Nutzer übermittelt werden, könnte kein Recht auf die Übertragung bestehen. Das kann zum Beispiel bei der Datenübertragung von Netzwerkprofilen oder E-Mail-Verkehr sein. Denn: Auf diese Weise erhalten Verbraucher und der neue Anbieter Daten von anderen Nutzern.

Ob dann kein Recht auf Datenübertragbarkeit besteht, ist jedoch vom Einzelfall abhängig. Die Tendenz geht dahin, dass Anbieter häufig dennoch die Datenübertragung vornehmen müssen.

Wie können Unternehmen das Recht auf Datenübertragbarkeit umsetzen?

Unternehmen können das Recht der Verbraucher auf Datenübertragbarkeit umsetzen, indem sie ihnen die Daten über ein geeignetes Medium zukommen lassen. Das kann zum Beispiel per

  • Download aus einer Cloud,
  • USB-Stick,
  • Barcode,
  • E-Mail,
  • Office-Dokument oder
  • PDF

sein. In jedem Fall müssen sie die Daten so ausstellen, dass sie auf verschiedenen Systemen abrufbar sind. Wollen Verbraucher, dass ihre Daten direkt an einen neuen Anbieter gehen, müssen die Verantwortlichen diesem Wunsch nachkommen.

Haben Verbraucher einen schriftlichen oder mündlichen Antrag zur Übertragung ihrer personenbezogenen Daten gestellt, haben Unternehmen und Behörden einen Monat Zeit, ihrer Pflicht nachzukommen. Das schreibt Art. 12 III DSGVO vor. Sie dürfen sich dafür bis zu 3 Monate Zeit nehmen, wenn sie besonders viele Anfragen zur Datenübertragung erhalten und es sich daher um eine komplexe Aufgabe handelt. Sie dürfen für die Datenübertragung keine Kosten in Rechnung stellen.

Lehnen Unternehmen einen Antrag zur Datenübertragung ab, müssen sie das begründen. Das kann zum Beispiel sein, wenn der Antragsteller seine Identität nicht ausreichend nachweist. Lehnen sie einen Antrag ab, missachten sie so jedoch die Rechte und Freiheiten des Verbrauchers, droht ihnen ein Bußgeld durch die zuständige Aufsichtsbehörde. Diese kann Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes des Unternehmens verhängen.

Worauf sollten Verbraucher beim Recht auf Datenübertragbarkeit achten?

Lassen Verbraucher ihre Daten von einem Anbieter zu einem anderen übertragen, sollten sie gleichzeitig ihre Daten beim alten Anbieter löschen lassen. Denn: Ansonsten bestehen diese dort weiter. Das führt zu einer Vervielfältigung der Daten. Das steht dem Prinzip der Datensparsamkeit entgegen.

Recht auf Einschränkung der Verarbeitung

Das Recht auf Einschränkung der Verarbeitung ist in Artikel 18 der Datenschutz-Grundverordnung (DSGVO) geregelt. Es gibt Betroffenen das Recht, ihre Daten statt löschen nur eingeschränkt verarbeiten zu lassen. Das heißt: Die Verantwortlichen dürfen dann personenbezogene Daten wie Namen, Anschrift und E-Mail nur noch bedingt verarbeiten. Das ist vor allem sinnvoll und praktikabel, wenn die Löschung von Daten nicht möglich ist oder die Betroffenen ein Interesse an einer milderen Lösung haben.

Einschränkung als Alternative zur Löschung von DatenArtikel 18 DSGVO ist ausschließlich ein Recht der Betroffenen. Entscheiden sie sich dafür, ihre Daten nicht löschen, sondern nur noch eingeschränkt verarbeiten zu lassen, müssen die Verantwortlichen diesem Wunsch nachkommen. Betroffene sollten dabei abwägen, ob sie ihre personenbezogenen Daten alle unwiderruflich löschen lassen wollen. Artikel 18 soll Verbrauchern daher eine weniger radikale Alternative zur Löschung bieten.

Voraussetzungen für die Einschränkung der Datenverarbeitung

Damit Betroffene die Verarbeitung ihrer Daten einschränken können,

  • müssen sie bestreiten, dass ihre personenbezogenen Daten richtig sind,
  • muss die Verarbeitung unrechtmäßig sein und Betroffene statt einer Löschung eine Einschränkung fordern,
  • der Verantwortliche die personenbezogenen Daten nicht mehr für eine Verarbeitung, aber für die Ausübung von Rechtsansprüchen benötigt oder
  • Betroffene einer Verarbeitung ihrer Daten widersprochen haben, solange noch nicht sicher ist, ob der Verantwortliche berechtigte Gründe hat, die das Interesse der Betroffenen überwiegen.

So können Betroffene die Datenverarbeitung einschränken

Liegt eine der genannten Voraussetzungen vor, müssen Betroffene zunächst fordern, dass der Verantwortliche ihre Daten löscht. Dass muss nicht ausdrücklich per Schreiben erfolgen, sondern kann sich auch aus einer Handlung erschließen.

Wollen Betroffene ein milderes Mittel wählen, können sie ihre Daten eingeschränkt verarbeiten lassen, wenn der Zweck, für den die Daten erhoben wurden, schon erfüllt ist. Das ist zum Beispiel sinnvoll, wenn Betroffene damit rechnen, dass sie die Daten bei den Verantwortlichen doch noch einmal benötigen könnten.

Wann können Verbraucher ihre Daten nicht löschen lassen?

Haben Betroffene der Verarbeitung ihrer Daten widersprochen, um keine Direktwerbung mehr zu erhalten, können sie ihre Daten nicht löschen lassen. Denn: Die Verantwortlichen benötigen die Daten weiterhin, um zum Beispiel sicherzustellen, dass sie nicht erneut Werbung an diese Daten verschicken. Das können sie beispielsweise vornehmen, indem sie die E-Mail-Adresse des Betroffenen auf eine Blacklist setzen. Betroffene können dann eine Einschränkung der Verarbeitung ihrer Daten verlangen.

Rechtsprechung zu Recht auf Einschränkung der Verarbeitung

Das Verwaltungsgericht Stade hat am 09.10.2018 in einem Beschluss bestimmt: Betroffene können eine Einschränkung der Verarbeitung ihrer Daten nur verlangen, wenn sie die bestehenden Daten hinreichend bestreiten und Nachweise für die korrekten Daten liefern (1 B 1918/18).

Registrierung mit Google

User können sich bei Online-Diensten mit ihrem Google-Account registrieren. Das vereinfacht die Nutzung verschiedener Portale, da sie sich nicht für jedes Konto individuelle Nutzernamen und Passwörter merken müssen. Dieser Vorgang wird als Single Sign On (SSO) bezeichnet.

Darum ist eine Registrierung mit Google datenschutzrechtlich relevant

Registrieren sich Nutzer mit Google bei einem Online-Dienst, tauschen die Anbieter Daten miteinander aus. Welche Informationen das genau sind, hängt von den Privatsphäre-Einstellungen der User ab. In der Regel gibt Google

  • den Namen,
  • die E-Mail-Adresse und
  • das Profilbild

an den entsprechenden Online-Dienst weiter. Dieser wertet die gesammelten Daten aus – um Nutzern zum Beispiel bestimmte Produkte anbieten zu können. Andersherum erhält Google Daten zum Verhalten der User bei dem Online-Dienst. Diese Daten fügt Google dem Profil der Nutzer hinzu. Die Suchmaschine wertet diese unter anderem für Werbezwecke aus.

Eine Registrierung mit Google datenschutzkonform anbieten

Damit Webdienste Usern eine Registrierung mit Google datenschutzkonform anbieten können, müssen sie diese Pflichten erfüllen:

Einwilligung der User einholen

Grundsätzlich dürfen Online-Dienste nur Bestandsdaten von Usern bei einer Registrierung abfragen. Google darf daher nur die Daten des Userprofils weitergeben, die für das Anlegen eines Profils oder einen Vertragsschluss zwingend notwendig sind. Für alle weiteren Informationen, die Online-Dienste von Google erhalten, benötigen sowohl Google als auch der Dienst die Einwilligung des Nutzers. Das gilt auch für die im Profil des Users öffentlichen Daten. Webdienste müssen die Einwilligung vor dem SSO einholen.

Datenschutzerklärung anpassen

Online-Dienste, die eine Registrierung mit Google ermöglichen, müssen in ihrer Datenschutzerklärung aufführen,

  • welche Daten sie über Google sammeln,
  • warum sie diese Daten sammeln,
  • wie sie die Daten verarbeiten und
  • ob und warum sie die Daten gegebenenfalls an Dritte weitergeben.

Salesforce Chatbot

Der Salesforce Chatbot „Einstein“ unterstützt Unternehmen bei der Kundenkommunikation. Sie können mit Einstein automatisiert KundenanfragenbeantwortenDer Bot ist mit der KI von Salesforce verbunden. Auf diese Weise lernt er stetig dazu – und kann mit der Zeit immer mehr Kundenprobleme allein lösen.

Warum ist der Salesforce Chatbot datenschutzrechtlich relevant?

Kommunizieren Unternehmen über den Salesforce Chatbot mit Kunden, erheben sie – je nach Anliegen der Kunden – Daten von ihnen. Das können beispielsweise 

  • Namen,
  • E-Mail-Adressen und 
  • Telefonnummern 

sein. Diese Daten sind durch die Datenschutz-Grundverordnung (DSGVO) besonders geschützt. Denn: Es handelt sich dabei um personenbezogene Daten. Unternehmen müssen daher verschiedene Pflichten der DSGVO beachten.

Salesforce Chatbot datenschutzkonform verwenden

Um den Salesforce Chatbot „Einstein“ datenschutzkonform einzusetzen, müssen Unternehmen diese Vorgaben der DSGVO berücksichtigen:

Einwilligung in Datenerhebung einholen 

Wollen Unternehmen über „Einstein“ personenbezogene Daten sammeln, benötigen sie dafür eine Erlaubnis der Nutzer. Sie müssen diese per Opt-in einholen. In diesem Kontext müssen sie aufführen, welche Daten sie über den Chatbot erheben und verarbeiten wollen. Dabei sollten sie auch einen Datenschutzhinweis bereitstellen, der Kunden im Detail erklärt, wie sie die Daten sammeln und speichern.

Vertrag zur Auftragsverarbeitung schließen 

Daten, die Unternehmen über „Einstein“ sammeln, geben sie automatisch an Salesforce weiter. Sie müssen daher mit Salesforce einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Dieser Vertrag definiert, wie Salesforce die Kundendaten schützen muss. Unternehmen sollten überprüfen, ob der Vertrag festhält,

  • welche Userdaten Salesforce speichert,
  • wie lange Salesforce die Daten speichert,
  • warum Salesforce die Daten speichert und
  • welche Rechte und Pflichten beide Seiten haben.

Datenschutzerklärung aktualisieren 

Sammeln Unternehmen über Einstein personenbezogene Daten, müssen sie das in ihrer Datenschutzerklärung erwähnen. Im Detail müssen sie darauf hinweisen,

  • dass sie mit dem hinter „Einstein“ stehenden Anbieter Salesforce einen AV-Vertrag geschlossen haben,
  • welche Nutzerdaten sie an Salesforce weitergeben,
  • warum sie die Daten weitergeben,
  • wie Salesforce die Daten verwendet und
  • dass Kunden der Datenerhebung und Datenweitergabe jederzeit widersprechen können.

Unternehmen müssen ihren Nutzern diese Punkte in einer einfach verständlichen Sprache erklären.

Datensparsamkeit beachten 

Die DSGVO gibt einen Grundsatz der Datensparsamkeit vor. Für Unternehmen bedeutet das: Sie dürfen über den Salesforce Chatbot nur die Daten erheben, die sie für ihren angestrebten Zweck tatsächlich benötigen. Um eine Kundenanfrage zu beantworten, kann das beispielsweise ein Name oder eine E-Mail-Adresse sein.

Datenauskunft gewähren 

Nutzer haben das Recht, ihre von Unternehmen erhobenen Daten einzusehen. Unternehmen müssen diese daher bereitstellen, wenn User das verlangen.

Nutzerdaten regelmäßig löschen 

Unternehmen müssen Nutzerdaten, die sie über den Salesforce Chatbot „Einstein“ erheben, regelmäßig löschen. Denn: Sie dürfen die erhobenen Daten nur so lange behalten, wie sie diese für den angestrebten Zweck tatsächlich benötigen. 

Rechtsprechung zum Salesforce Chatbot

Die DSGVO gibt vor: Schließen Unternehmen keinen AV-Vertrag, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Das erlaubt Art. 83 Abs. 4 lit. a DSGVO. Ein deutsches Versandunternehmen musste daher am 17.12.2018 ein Bußgeld in Höhe von 5.000 Euro zahlen. Das Unternehmen hatte es versäumt, einen AV-Vertrag mit einem Dienstleister zu schließen.

Salesforce Cloud

Unternehmen können über die Salesforce Cloud Prozesse wie Marketing, Vertrieb, Service und Commerce vernetzen. Dabei verfügen sie in der Cloud über Analytics-Funktionen, Prognose-Tools und ein Lead Management, die sie ihre Daten besser verstehen und neue Erkenntnisse gewinnen lassen. Auf diese Weise können Unternehmen Beziehungen zu ihren Kunden vertiefen und neue Aufträge generieren. Hinter der Salesforce Cloud steht das US-amerikanische Unternehmen Salesforce. Die Cloud ist Teil einer gesamtheitlichen CRM-Lösung. Über 150.000 Unternehmen nutzen die Software.

Warum ist die Salesforce Cloud datenschutzrechtlich relevant?

Salesforce erhält vollen Zugriff auf die Daten, die Unternehmen in der Cloud speichern. Der Software-Anbieter kann so unter anderem personenbezogene Daten von Kunden wie

  • Namen,
  • E-Mail-Adressen,
  • Anschriften und
  • Telefonnummern

einsehen. Personenbezogene Daten sind nach der Datenschutz-Grundverordnung (DSGVO) jedoch besonders geschützt. Unternehmen müssen daher verschiedene Maßnahmen ergreifen, um ihre Kundendaten datenschutzkonform in der Cloud von Salesforce ablegen zu können.

So können Unternehmen die Salesforce Cloud DSGVO-konform nutzen

Um nicht gegen den Datenschutz zu verstoßen, müssen Unternehmen bei der Verwendung der Salesforce Cloud diesen Pflichten nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen speichern personenbezogene Daten in der Cloud von Salesforce. Auf diese Weise erhält ein Dritter Zugriff auf diese Daten. Artikel 28 DSGVO schreibt vor: Immer, wenn Dritte Zugriff auf personenbezogene Daten erhalten und diese verarbeiten, müssen Unternehmen mit dem Dritten einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Der Vertrag sollte dabei aufführen,

  • welche personenbezogenen Daten sie an Salesforce weitergeben,
  • wie lange Salesforce diese speichern will,
  • warum Salesforce die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Sobald Unternehmen personenbezogene Daten verarbeiten und an einen Dritten weitergeben, müssen sie in ihrer Datenschutzerklärung darauf hinweisen. Business-Inhaber müssen daher in ihre Datenschutzerklärung aufnehmen, dass sie durch die Verwendung der Salesforce Cloud Daten an den dahinterstehenden Anbieter weiterreichen. Dabei sollten sie erwähnen, dass sie mit Salesforce einen AV-Vertrag geschlossen haben. In diesem Kontext sollten sie auch angeben,

  • warum sie über die Salesforce Cloud personenbezogene Daten erheben,
  • wie lange sie die Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 DSGVO) und
  • dass Nutzer der Datenspeicherung jederzeit widersprechen können.

Damit sich Nutzer selbst einen Eindruck verschaffen können, was mit ihren Daten bei Salesforce passiert, können Unternehmen in ihrer Datenschutzerklärung auf die Nutzungsbedingungen und Datenschutzbestimmungen von Salesforce verweisen.

Einen Hinweis auf den Privacy Shield sollten Unternehmen in ihrer Datenschutzerklärung nicht mehr führen. Der Europäische Gerichthof (EuGH) hat diesen im Sommer 2020 für unwirksam erklärt, um darüber Daten in die USA zu versenden.

Standardvertragsklauseln prüfen

Je nachdem, wie Unternehmen die Salesforce Cloud nutzen, kann es sein, dass der Anbieter die hinterlegten Daten aus der Cloud in die USA übermittelt. Dabei stützt sich Salesforce sowohl auf Standardvertragsklauseln als auch auf die sogenannten Binding Corporate Rules (BCR).

Deutsche Unternehmen dürfen personenbezogene Daten auf Basis von Standardvertragsklauseln nur an Dritte übermitteln, wenn in dem entsprechenden Land ein ähnliches Datenschutzniveau herrscht wie in der EU. In den USA liegt dieses Datenschutzniveau aktuell nicht vor. Es ist daher unklar, ob Unternehmen gegen die DSGVO verstoßen, wenn sie eine Cloud von Salesforce nutzen.

Die BCR sind verbindliche, interne Datenschutzvorschriften von Salesforce. Sie schreiben strenge Voraussetzungen vor, wenn Salesforce personenbezogene Daten aus einem Drittland erhalten will. So geben die BCR unter anderem vor, dass die Datenschutzbehörden einen Datentransfer genehmigen müssen. Und: Sie geben vor, dass Salesforce kontinuierlich eine Berichterstattung an die EU-Datenschutzbehörden abgeben muss. Die DSGVO erklärt in Art. 46 Abs. 2 lit. b sowie in Art. 47, dass diese Art von Datenschutz den Ansprüchen der DSGVO genügt.

Rechtsprechung zur Salesforce Cloud

Die Non-Profit-Organisation „The Privacy Collective” hat in den Niederlanden eine Klage gegen Salesforce eingereicht. Sie wirft dem Unternehmen vor, Userdaten für Echtzeit-Auktionen in der Werbung zu nutzen, ohne dafür über eine rechtskräftige Einwilligung der Nutzer zu verfügen. Das Verfahren steht noch aus.

Der EuGH erklärte im Juli 2020: Der Privacy Shield eignet sich nicht als rechtliche Basis, um personenbezogene Daten in die USA zu versenden. Denn: Die USA verwendet Überwachungsprogramme, die nicht auf das zwingend erforderliche Maß beschränkt sind. Darüber hinaus haben deutsche User keine Möglichkeit, gegen US-amerikanische Unternehmen oder Behörden zu klagen, sollten diese ihre Daten missbrauchen (Az. C-311/18).

Das Versandunternehmen Kolibri Image musste im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro zuzüglich 250 Euro Gebühren bezahlen. Es hatte mit einem spanischen Dienstleister keinen AV-Vertrag geschlossen. Zu diesem Ergebnis kam die Datenschutzbehörde Hamburg.

Server-Log-Dateien

Server-Log-Dateien protokollieren die Aktivitäten von Usern auf Webseiten. Sie speichern dabei Informationen wie das Datum und die Uhrzeit des Webseitenbesuchs, den Browsertyp, das Betriebssystem und die IP-Adresse des Users. Serverbetreiber erheben diese Daten in den Server-Log-Dateien, um

  • ihre Dienste bereitzustellen,
  • den Datenschutz zu kontrollieren und
  • Angriffe zu erkennen und sich davor zu schützen.

Das gewährt ihnen § 31 Bundesdatenschutzgesetz (BDSG).

Server-Log-Dateien datenschutzkonform verwenden

Da Server-Logfiles u. a. personenbezogene Daten erheben, wie zum Beispiel die IP-Adresse, müssen Webseitenbetreiber Maßnahmen ergreifen, um den Datenschutz zu wahren. Sie dürfen die Log-Dateien daher nicht nutzen, um das Verhalten ihrer Webseitenbesucher zu analysieren. Zudem dürfen sie die gesammelten Daten auch nicht mit anderen Daten in Verbindung setzen. Wollen Webseitenbetreiber die erhobenen Daten schützen, können sie die IP-Adressen der User anonymisiert in den Logfiles speichern lassen.

Darüber hinaus dürfen Seitenbetreiber die Protokolldateien nur so lange speichern, wie sie sie für den vorgesehenen Zweck benötigen. Sie sind daher verpflichtet, vor der Aufnahme der User-Daten festzulegen, wann sie die Daten wieder löschen wollen. Das Gesetz gibt dazu keine Fristen vor. Wie lange Webseitenbetreiber die Logfiles aufbewahren, hängt daher immer vom angestrebten Zweck der Daten ab. In der Regel sollten sie diese jedoch spätestens nach 6 Monaten löschen. Erlauben gesetzliche Anforderungen eine längere Speicherung, können sie die Files ausnahmsweise darüber hinaus aufbewahren.

Webseitenbetreiber müssen User zudem darüber aufklären, dass sie Server-Log-Dateien anlegen. Das können sie in ihrer Datenschutzerklärung vornehmen.

Rechtsprechung zu Server-Log-Dateien

Der Europäische Gerichtshof (EuGH) hat am 19.10.2016 entschieden, dass es sich bei IP-Adressen um personenbezogene Daten handelt, wenn Seitenbetreiber über die rechtlichen Mittel verfügen, die hinter der IP stehenden Personen zu identifizieren. Dazu sind sie grundsätzlich in der Lage.

Das heißt für die Praxis: Webseitenbetreiber dürfen die IP-Adressen über die Server-Log-Dateien nur erheben, wenn sie dafür eine gesetzliche Erlaubnis oder die Einwilligung der User besitzen. § 15 Abs. 1 Telemediengesetz stellt eine solche gesetzliche Erlaubnis dar. Danach ist die Erhebung von Daten zulässig, wenn Webseitenbetreiber die Daten der Nutzer verwenden, um ihnen die Inanspruchnahme von Telemedien – und damit den Webseitenbesuch – zu ermöglichen. Nach dem Webseitenbesuch müssen sie die Daten in der Regel jedoch wieder löschen. Ansonsten bewahren sie ohne rechtliche Grundlage personenbezogene Daten auf. Das verstößt gegen den deutschen Datenschutz.

Shopify

Shopify ist eine E-Commerce-Software, mit der Händler einen Onlineshop erstellen können. Sie können mit der Software zudem ihre gesamten logistischen Prozesse abwickeln. Shopify verarbeitet dabei unter anderem Bestellungen und übernimmt den Zahlungsverkehr.

Warum ist Shopify datenschutzrechtlich relevant?

Händler erheben über Shopify Kundendaten wie

  • Name,
  • E-Mail und
  • Adresse.

Dabei handelt es sich um personenbezogene Daten. Shopify verarbeitet diese Daten vorwiegend auf europäischen Servern. Einige Daten schickt Shopify an seine kanadischen Server.

Datenübermittlungen nach Kanada sind durch einen Angemessenheitsbeschluss legitimiert. Vereinzelt versendet das Unternehmen Daten an Unterauftragsverarbeiter in den USA. Shopify verpflichtet diese jedoch dazu, strenge Datenschutzpflichten einzuhalten. Händler, die Shopify verwenden, müssen daher keine gesonderte Legitimation für den außereuropäischen Datentransfer, wie über Standardvertragsklauseln, beachten. Sie müssen jedoch verschiedene europäische Datenschutzpflichten erfüllen. Das schreibt die Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung von personenbezogenen Daten vor.

Shopify datenschutzkonform verwenden

Um Shopify datenschutzkonform verwenden zu können, müssen Händler diesen Pflichten nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Händler, die Shopify nutzen, geben die Daten ihrer Kunden an den Anbieter weiter. Dafür müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung schließen. Das gibt Art. 28 DSGVO vor. Shop-Betreiber sollten in dem Vertrag erklären,

  • welche Kundendaten Shopify speichert,
  • warum es die personenbezogenen Daten speichert,
  • wie lange es diese speichern will und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Händler müssen in ihrer Datenschutzerklärung aufführen, dass sie Shopify verwenden. In diesem Kontext müssen sie erklären, dass sie mit dem Anbieter der Software einen Vertrag zur Auftragsverarbeitung geschlossen haben. Dabei sollten sie erwähnen,

  • warum Shopify die Kundendaten erhält,
  • wie lange der Anbieter diese speichert,
  • welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Kunden der Datenerhebung jederzeit widersprechen können.

Rechtsprechung zu Shopify

Geben Händler personenbezogene Daten ihrer Kunden an Dritte weiter und schließen sie dafür keinen Vertrag zur Auftragsverarbeitung, droht ihnen ein Bußgeld. Per Gesetz kann dies bei bis zu 10 Millionen Euro oder alternativ bei bis zu 2 Prozent ihres weltweiten Jahresumsatzes liegen. Ein Versandunternehmen musste daher im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro zahlen. Es hatte mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen.

Skype for Business

Skype for Business ist eine US-amerikanische Anwendung von Microsoft. Sie ermöglicht es Unternehmen, per IP-Telefonie, Videokonferenz und Real-Time-Collaboration zu kommunizieren. Daneben können Unternehmen über die Software Nachrichten und Dateien verschicken.

Darum ist Skype for Business datenschutzrechtlich relevant

Skype for Business speichert die Profildaten von Unternehmen, wenn sie einen Account anlegen.

Dabei speichert es Details wie

  • den Unternehmensnamen,
  • den Unternehmenssitz,
  • die E-Mail-Adresse und die
  • Telefonnummer.

Darüber hinaus erhebt Skype for Business die Daten der Telefon- und Videokonferenz-Teilnehmer. Dazu zählen unter anderem Usernamen, IP-Adressen und E-Mail-Adressen. Daneben speichert Skype Gesprächsinhalte, eingegebene Nachrichten und versendete Dateien. Welche Daten die Anwendung genau erhebt, hängt von der konkreten Nutzung ab. Grundsätzlich erhält Microsoft jedoch einen umfassenden Einblick in den Datenverkehr zwischen den Gesprächsteilnehmern. Dabei handelt es sich zum Teil um personenbezogene Daten. Unternehmen haben daher besondere Datenschutzpflichten.

Zudem sendet Skype alle gesammelten Daten an Server, die in den USA stehen. Damit dabei der Datenschutz der Datenschutz-Grundverordnung (DSGVO) gewahrt bleibt, müssen US-amerikanische Anbieter beim Privacy Shield registriert sein. Dieser stellt einen Datenschutz wie die DSGVO bereit. Skype for Business ist Teil des Privacy-Shield- Abkommens.

Skype for Business datenschutzkonform verwenden

Damit Unternehmen Skype for Business datenschutzkonform verwenden, müssen sie diese Anforderungen erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Bevor Unternehmen personenbezogene Daten von Gesprächsteilnehmern an Skype weitergeben, müssen sie mit dem Anbieter einen Vertrag zur Auftragsverarbeitung abschließen. Diese Pflicht schreibt Art. 28 DSGVO vor. Unternehmen können diesen bei Skype online abrufen. Sie sollten darauf achten, dass der Vertrag aufführt

  • welche Daten Skype speichert,
  • wie lange es diese Daten speichern will,
  • warum Skype die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen, die mit Skype for Business einen Vertrag zur Auftragsverarbeitung geschlossen haben, müssen das in ihrer Datenschutzerklärung angeben. Dabei müssen sie erklären,

  • warum sie welche Nutzerdaten sammeln und speichern,
  • wie lange sie die Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass User der Datenerhebung und Datenspeicherung jederzeit widersprechen können.

Datenschutzfreundliche Einstellungen wählen

Damit Unternehmen Skype for Business datenschutzkonform verwenden, sollten sie die Einstellungen der Anwendung so konfigurieren, dass diese möglichst wenige Daten der Gesprächsteilnehmer sammelt. Dazu sollten sie beispielsweise das Verhalten der Gesprächsteilnehmer nur dann tracken (wie z. B. über Klicks an bestimmten Stellen oder die Aufzeichnung des Gesprächs), wenn dies

  • einem erlaubten Zweck dient (nicht der Überwachung),
  • geeignet ist, diesen Zweck zu erfüllen und
  • erforderlich ist, diesen Zweck zu erfüllen.

Die Aufzeichnung eines Gesprächs kann zum Beispiel dann datenschutzrechtlich konform sein, wenn Unternehmen die genauen Inhalte später noch einmal benötigen. Nicht notwendig und datenschutzkonform ist eine Aufzeichnung beispielsweise, wenn Unternehmen nur einzelne Inhalte eines Gesprächs noch einmal benötigen. Denn: Sie könnten diese während des Gesprächs notieren. Speichern Unternehmen Daten aus einem Call oder einer Konferenz ab, dürfen sie diese nur so lange aufbewahren, wie sie diese auch tatsächlich brauchen. Das heißt: Sie sollten die Daten möglichst schnell wieder löschen.

Rechtsprechung zu Skype for Business

Unternehmen, die mit Skype keinen Vertrag zur Auftragsverarbeitung abschließen, droht ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes. Die Datenschutzbehörde Hamburg sprach daher im Dezember 2018 ein Bußgeld gegen ein Versandunternehmen aus. Dies hatte mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen. Es musste daher eine Strafe von 5.000 Euro zahlen.

Social-Media-Plugins mit Shariff

Social-Media-Plugins sind kleine Schaltflächen wie der Facebook-Like-Button, über den User Inhalte einer Webseite liken und teilen können. Das Einfügen der Plugins ermöglicht es Webseitenbetreibern, die Reichweite ihres Contents und damit ihrer Marke zu erhöhen. Shariff ist ein von Heise und c’t entwickeltes Open-Source-Programm, das verhindert, dass die Plugins der sozialen Netzwerke personenbezogene Daten der Webseitenbesucher sammeln können, ohne dass diese auf das Plugin geklickt haben.

Das ist an Social-Media-Buttons datenschutzrechtlich bedenklich

Verwenden Webseitenbetreiber Social-Media-Buttons auf ihrer Seite, sammeln die eingebundenen Netzwerke personenbezogene Daten wie die IP-Adresse der User. Das ist auch der Fall, ohne

  • dass User auf das Plugin klicken,
  • bei dem entsprechenden sozialen Netzwerk eingeloggt sind oder
  • einen Account bei dem Netzwerk haben.

Die sozialen Netzwerke sammeln dabei die Daten der User, ohne die vorherige Zustimmung dafür von ihnen eingeholt zu haben. Das Telemediengesetz schreibt jedoch vor, dass Unternehmen dem nachkommen müssen.

Das ermöglicht Shariff

Shariff tritt in Form von HTML-Links auf, die Seitenbetreiber individuell gestalten können. Das Programm ermöglicht es, dass die sozialen Netzwerke erst dann personenbezogene Daten der User erheben können, wenn diese auch tatsächlich auf das Plugin geklickt haben.

Social-Media-Plugins mit Shariff datenschutzkonform einbinden

Ob das Programm Shariff Social-Media-Plugins datenschutzkonform auf einer Webseite einbinden lässt, ist bisher nicht eindeutig geklärt. Webseitenbetreiber sollten in jedem Fall in ihrer Datenschutzerklärung User darauf hinweisen, wie die Social-Media-Plugins im Zusammenspiel mit Shariff funktionieren. Rechtlich noch zu klären ist, ob Webseitenbetreiber eine Erlaubnis der User einholen zu müssen, um bei Klick auf das Social-Media-Plugin ihre Daten an das jeweilige Netzwerk weiterleiten zu dürfen.

Unternehmen, die auf der sicheren Seite stehen wollen, sollten kein Social-Media-Plugin verwenden, bis auch der datenschutzkonforme Einsatz von Shariff geklärt ist. Stattdessen können sie von ihrer Webseite auf ihre Facebook-Fan-Page verlinken. Auf diese Weise findet keine Übertragung von Nutzerdaten statt.

Rechtsprechung zu Social-Media-Plugins mit Shariff

Das Landgericht Düsseldorf hat am 09.03.2016 entschieden: Webseitenbetreiber dürfen auf ihrer Seite keinen Facebook-Like-Button verwenden, wenn dieser bereits Daten sammelt, ohne dass User daraufgeklickt haben (Az.: 12 O 151/15). In der nächsthöheren Instanz erhielt das Oberlandesgericht Düsseldorf den Fall, das dafür den Europäischen Gerichtshof (EuGH) anrief. Dieser hat am 29.07.2019 festgestellt: Webseitenbetreiber müssen User darauf hinweisen, dass die Social-Media-Plugins personenbezogene Daten sammeln, ohne dass User daraufklicken (Az. C-40/17).

Das Oberlandesgericht Düsseldorf muss jetzt noch entscheiden, ob Webseitenbetreiber zusätzlich eine Einwilligung der User dafür einholen müssen. Ob Webseitenbetreiber auch beim Einsatz von Shariff, das erst per Klick auf die Social-Media-Plugins Daten an die Netzwerke weiterleitet, User darauf hinweisen und eventuell ihre Einwilligung dafür einholen müssen, ist rechtlich bisher nicht geklärt.

Sofortüberweisung

Sofortüberweisung ist ein Online-Zahlungssystem, mit dem User im Web bargeldlos bezahlen können. Dazu geben sie ihre Zugangsdaten für ihr Girobankkonto in eine Online-Maske von Sofortüberweisung ein und können dann per TAN Zahlungen anweisen. Sofortüberweisung prüft darauf den Kontostand des Users und führt die Überweisung an den Händler aus. Dieser erhält dann eine Transaktionsbestätigung. Der Geldtransfer läuft dabei ausschließlich zwischen der Bank des Nutzers und Sofortüberweisung ab.

Darum ist Sofortüberweisung datenschutzrechtlich relevant

User geben bei jeder Transaktion sensible Daten ihres Girokontos an. Sofortüberweisung erhält so Zugriff u. a. auf Informationen wie

  • PIN,
  • TAN,
  • Kontodeckung,
  • Umsätze und
  • den Kreditrahmen des Dispokredits.

Sofortüberweisung nimmt diese Abfrage der Daten automatisch vor, ohne dass User davon erfahren. Das Unternehmen selbst gibt an, diese Daten nicht zu speichern und nicht an Händler weiterzuleiten.

Das kritisieren Datenschützer an Sofortüberweisung

Datenschützer verweisen darauf, dass sich Verbraucher bewusst sein sollten, welch sensible Daten sie in die Online-Maske von Sofortüberweisung eintragen. Denn: Theoretisch besteht hier jederzeit die Gefahr eines Hackerangriffs und damit einer Entwendung der User-Daten. Daneben kritisieren Datenschützer, dass durch die Angabe der empfindlichen Bankzugangsdaten auf anderen Seiten als der zuständigen Bank selbst die Hemmschwelle zur Weitergabe dieser Daten sinkt.

Sofortüberweisung datenschutzkonform verwenden

Um Sofortüberweisung datenschutzkonform in den Zahlungsprozess einzubinden, müssen Seitenbetreiber Nutzer in ihrer Datenschutzerklärung darauf hinweisen, dass sie Sofortüberweisung verwenden sowie welche Daten sie warum an den Zahlungsdienstleister weitergeben. Hierbei müssen sie Usern auch erklären, dass sie der Verwendung ihrer personenbezogenen Daten gegenüber Sofortüberweisung widersprechen können. Das gilt jedoch nicht für die Daten, die Sofortüberweisung zwingend benötigt, um den Geldtransfer durchzuführen.

Darüber hinaus müssen Webseitenbetreiber ihren Usern erklären, dass sie gegenüber Sofortüberweisung einen Anspruch darauf haben, Auskunft über ihre gespeicherten personenbezogenen Daten einzuholen. Das schreibt das Bundesdatenschutzgesetz vor.

SoundCloud und Datenschutzerklärung

Soundcloud ist ein Online-Musikportal zum Hören und Teilen von Musik. Nutzer können auf der Plattform Songs streamen, hochladen und teilen sowie Interpreten folgen. Sie ist gleichzeitig eine Werbe- und Kooperationsplattform für Musiker.

Diese Daten erhebt Soundcloud

Wollen sich Nutzer bei Soundcloud registrieren, müssen sie ihre E-Mail-Adresse und ihr Geburtsdatum angeben sowie ein Passwort generieren. Daneben können sich User per Single-Sign-On über Facebook oder Google im Netzwerk anmelden. Dabei erhält Soundcloud Zugriff auf weitere Informationen der Nutzer, wie zum Beispiel Freundeslisten, Interessen und weitere Kontaktdaten wie die Telefonnummer.

Einmal im Netzwerk angemeldet, speichert die Plattform alle Aktivitäten der User, die sie dort vornehmen. Soundcloud merkt sich dann, welche Tracks sie spielen, welchen Interpreten sie folgen und welche Songs sie uploaden. Zudem erhebt das Unternehmen Daten zum verwendeten Endgerät, Browser und zur IP-Adresse des Nutzers. Kaufen User ein Abonnement, müssen sie ihren richtigen Namen, eine Rechnungsanschrift und Zahlungsdaten angeben.

Darum ist Soundcloud datenschutzrechtlich relevant

Soundcloud nutzt die Daten der User, um ihnen individualisierte Werbung anzuzeigen. Dafür reicht die Plattform keine personenbezogenen Daten an die Werbetreibenden weiter, wie sie selbst angibt. Um trotzdem individuelle Anzeigen ausspielen zu können, geben Werbetreibende über Kriterien – wie zum Beispiel Wohnort, Follower und Altersgruppe – eine bestimmte Empfängergruppe für eine spezifische Werbekampagne an. Soundcloud ordnet diese Kriterien den Daten seiner User zu und zeigt ihnen dann die Werbung an.

Darüber hinaus nutzt Soundcloud Google Analytics und das Google Website-Optimierungstool. Das heißt: Die Plattform leitet Daten zum Verhalten seiner User an Google in die USA, um diese auswerten zu lassen. Soundcloud gibt an, dass Google dabei stets nur verkürzte IP-Adressen der User erhält und so ihren Standort nicht bestimmen kann.

User geben ihre Daten zudem automatisch an Soundcloud weiter, wenn sie auf einer anderen Webseite auf eine Audiodatei von Soundcloud klicken. Dafür benötigen Webseitenbetreiber die Einwilligung der User.

Soundcloud datenschutzkonform verwenden

Implementieren Webseitenbetreiber Audioclips von Soundcloud auf ihrer Webseite, benötigen sie die Zustimmung der Nutzer, ihre Daten bei Klick auf den Play-Button an Soundcloud weiterzuleiten. Darüber hinaus müssen sie die Verwendung von Soudcloud in ihrer Datenschutzerklärung angeben. Dabei müssen sie Nutzer informieren, welche Daten sie warum an die Plattform weiterleiten.

Rechtsprechung zu Soundcloud

Derzeit muss sich der Europäische Gerichtshof (EuGH) mit der Frage beschäftigen, ob der Facebook-Like-Button rechtlich zulässig ist. Das Landgericht Düsseldorf hatte zuvor entschieden, dass der Like-Button die Anforderungen an den deutschen Datenschutz nicht erfüllt, da dieser ungefragt Nutzerdaten weiterleitet (Urteil vom 09.03.2016, Az. 12 O 151/15). Kommt auch der EuGH zu diesem Schluss könnte, könnte das Auswirkungen auf alle Plugins wie den Like Button haben. Davon könnte dann auch der auf Webseiten implementierte Player von Soundcloud betroffen sein. 

Spotify und Datenschutzerklärung

Spotify ist ein Musikstreaming-Dienst, über den Nutzer Songs hören, Playlisten erstellen und diese mit anderen teilen. Interpreten können über Spotify ihre Titel vertreiben und so Umsätze generieren. Mit über 160 Millionen Usern aus mehr als 60 Ländern ist Spotify derzeit der größte Musik-Streaming-Anbieter der Welt.

Diese Daten erhebt Spotify

Um Spotify nutzen zu können, müssen sich User bei dem Dienst anmelden. Dazu müssen sie folgende Daten angeben:

  • Name
  • Benutzername
  • Geburtsdatum
  • Geschlecht
  • E-Mail

Darüber hinaus müssen sie ein Passwort generieren. Wollen Nutzer einen werbefreien Account haben, müssen sie weitere Informationen wie

  • Adresse
  • Land und
  • Zahlungsdaten
  • hinterlegen.

Einmal im Netzwerk angemeldet, sammelt Spotify zahlreiche Daten zum Verhalten der User im Netzwerk. Dazu zählen u. a.:

  • abgespielte Songs
  • angelegte Wiedergabelisten
  • Interaktion mit anderen Usern
  • genutzte Produkte und Dienstleistungen
  • Sprache
  • Touch-Screen-Daten
  • Daten aus Cookies
  • Browsertyp
  • Betriebssystem
  • IP-Adresse
  • genutztes Endgerät
  • Daten aus den Bewegungssensoren

Spotify selbst spricht von zwei Kategorien von Daten:

  1. Die Daten, die User unbedingt angeben müssen, um den Dienst nutzen zu können. Spotify holt sich die Einwilligung zur Speicherung und Verwendung dieser Daten mit seinen Datenschutzbestimmungen, denen Nutzer zustimmen müssen.
  2. Die Daten, die Spotify darüber hinaus erhebt und verwendet, um verbesserte Erlebnisse und weitere Features anbieten zu können. Um welche Daten es sich dabei genau handelt, ist nicht eindeutig. Denn: Spotify verwendet schwammige Formulierungen „Daten wie…“ oder „Darunter auch…“.

Darum ist Spotify datenschutzrechtlich relevant

Spotify gibt auf verschiedene Art und Weise Daten an Dritte weiter. Dabei räumt sich das Unternehmen das Recht ein, User-Daten an nicht näher benannte Drittfirmen weiterzuleiten. Dabei handelt es sich unter anderem um Werbepartner, Rechteinhaber aus der Musikindustrie und Zahlungsdienstleister weiter. Spotify leitet diese Daten jedoch nur in anonymisierter Form weiter.
Darüber hinaus wertet der Dienst standardmäßig Daten dazu aus, wie User Musik über Spotify hören. Dazu zählen u. a. auch Daten des Beschleunigungssensors. Das heißt: Spotify weiß, ob Nutzer den Dienst beim Liegen auf der Couch oder beim Joggen nutzen. Daneben erhebt Spotify stets Daten zum Standort des Users.

Melden sich Nutzer über Facebook bei Spotify an, erhält der Dienst zudem Daten zum Facebook-Profil und den darin veröffentlichten Daten wie Freundeslisten, Profilbilder und weitere Kontaktinformationen. Gleichzeitig teilt Spotify Facebook einige Daten von Usern mit, die der Dienst selbst erhoben hat.

User, die nicht bei Spotify registriert sind, jedoch auf einen auf einer externen Webseite implementierten Spotify-Song klicken (Play-Button), senden zudem automatisch Daten an Spotify weiter.

Spotify datenschutzkonform verwenden

Wollen Webseitenbetreiber Spotify datenschutzkonform auf ihrer Webseite einbinden, müssen sie User darüber informieren, dass sie ihre Daten automatisch an das Unternehmen weiterleiten, sobald sie auf „Play“ klicken. Daneben müssen sie auch in ihrer Datenschutzerklärung darauf hinweisen, dass sie Spotify auf ihrer Seite nutzen. Dabei müssen sie erklären, welche Daten sie warum an Spotify weiterreichen.

Rechtsprechung zu Spotify

Der Europäische Gerichtshof klärt derzeit, ob der Facebook Like-Button deutschen Datenschutzbestimmungen entspricht. Sollte das Gericht zu dem Ergebnis kommen, dass der Button deutsche Gesetze verletzt, könnte dies auch Auswirkungen auf das Implementieren von Spotify-Songs oder Playlisten auf Webseiten haben. Denn: Diese geben wie der Facebook Like Button Nutzerdaten weiter, ohne User vorher um Erlaubnis zu bitten.

Squarespace

Squarespace ist ein Baukastensystem, mit dem Unternehmen eine Webseite erstellen können. Sie legen die Seite dabei mit einem Content-Management-System im Browser an. Sie können mit Squarespace Inhalte hosten, Produkte und Dienstleistungen verkaufen, ihre Seite für Google optimieren und die Performance ihrer Seite auswerten. Squarespace ist ein US-amerikanischer Anbieter, der mehr als eine Million Webseiten im Netz hostet.

Warum ist Squarespace datenschutzrechtlich relevant?

Unternehmen erheben über ihre mit Squarespace erstellte Seite Daten ihrer Webseitenbesucher. Das kann über ein Kontaktformular, ein Widget oder Cookies sein. Auf diese Weise sammeln sie unter anderem Daten wie

  • Namen,
  • E-Mail-Adressen,
  • IP-Adressen,
  • verweisende Domains und
  • Browsereinstellungen wie die verwendete Sprache.

Dabei handelt es sich zum Teil um personenbezogene Daten. Seitenbetreiber müssen daher die Vorgaben der Datenschutz-Grundverordnung (DSGVO) beachten.

Squarespace DSGVO-konform verwenden

Damit Unternehmen ihre mit Squarespace erstellte Webseite datenschutzkonform verwenden, müssen sie diese Pflichten erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) regelt die Rechte und Pflichten von zwei Unternehmen, die personenbezogene Daten verarbeiten. Business-Inhaber erheben über Squarespace personenbezogene Daten und geben diese an den Anbieter weiter. Das heißt für die Praxis: Sie müssen mit Squarespace einen AV-Vertrag schließen. Dem kommen sie automatisch nach, wenn sie den Nutzungsbedingungen des Anbieters zustimmen. Denn: Diese enthalten ein Data Processing Agreement (DPA). Das DPA ist mit einem AV-Vertrag rechtlich gleichzusetzen.

  • Unternehmen sollten prüfen, ob das DPA erklärt,
  • welche personenbezogenen Daten sie an Squarespace weitergeben,
  • warum und wie lange Squarespace diese Daten speichert und
  • welchen Pflichten beide Unternehmen nachkommen müssen.

Datenschutzerklärung anpassen

Seitenbetreiber geben an Squarespace Nutzerdaten weiter. Denn: Das Content-Management-System erhebt Daten zum Verhalten der User auf der erstellten Webseite. Darauf müssen Seitenbetreiber in ihrer Datenschutzerklärung hinweisen. Dabei sollten sie erwähnen, dass sie mit Squarespace einen AV-Vertrag in Form eines DPA geschlossen haben. Business-Inhaber sollten in diesem Kontext erklären,

  • warum sie über Squarespace personenbezogene Daten sammeln,
  • wie lange sie diese speichern wollen und
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. f DSGVO).

Um Usern einen ausführlichen Einblick in die Verarbeitung ihrer Daten zu geben, sollten Unternehmen zudem auf die Nutzungsbedingungen und Datenschutzbestimmungen von Squarespace hinweisen.
Der Privacy Shield gehört nicht mehr in die Datenschutzerklärung. Der Europäische Gerichtshof (EuGH) entschied, dass dieser keine wirksame rechtliche Grundlage darstellt, um Daten von der EU in die USA zu versenden.

Standardvertragsklauseln prüfen

Squarespace nutzt Standardvertragsklauseln, um Userdaten von der EU in Drittländer wie in die USA zu verschicken. Der Anbieter erklärt auf seiner Webseite, dafür technische und organisatorische Schutzmaßnahmen eingeführt zu haben. Damit die versendeten Daten einen zusätzlichen Schutz genießen, wendet Squarespace die Grundsätze des Privacy Shield Frameworks weiter an.

Um sicherzustellen, ob Seitenbetreiber Userdaten rechtmäßig an den Anbieter in den USA verschicken, sollten sie die Standardvertragsklauseln von Squarespace überprüfen. Damit diese den Anforderungen der DSGVO genügen, müssen sie ein ähnliches Datenschutzniveau gewähren. Bei einem Datentransfer in die USA ist das derzeit jedoch nicht der Fall. Es ist daher rechtlich unklar, ob Standardvertragsklauseln ausreichen, um Userdaten an Squarespace in den USA weiterzugeben.

Aktivitätenprotokoll deaktivieren

Verwenden Seitenbetreiber die Analyse-Plattform Squarespace Analytics, sollten sie dafür das Aktivitätenprotoll deaktivieren. Das stellt sicher, dass sie keine IP-Adressen und weitere personenbezogene Daten erheben – und so den Grundsatz der Datensparsamkeit der DSGVO einhalten.

Analytics-Cookies deaktivieren

Nutzen Seitenbetreiber Squarespace Analytics, sollten sie die Analytics-Cookies deaktivieren. Auf diese Weise können sie es vermeiden, nicht erforderliche Cookies im Browser von Nutzern zu platzieren.

Cookie-Banner anpassen

Damit Squarespace Userdaten sammeln kann, setzt es Cookies in die Browser der Webseitenbesucher. Darauf müssen Unternehmen in ihrem Cookie-Banner hinweisen. Dabei müssen sie von den Nutzern eine ausdrückliche Einwilligung in das Datensammeln einholen. Rechtlich sicher ist das nur mit einer Opt-In-Checkbox.

Rechtsprechung zu Squarespace Analytics

Der Privacy Shield ist unwirksam. Unternehmen können diesen nicht verwenden, um Daten rechtssicher in die USA zu verschicken. Das erklärte der EuGH im Sommer 2020. Die Richter führten dazu aus, dass in den USA derzeit kein Datenschutzniveau herrscht, das der DSGVO ähnelt. Das liegt vor allem daran, dass die Überwachungsprogramme dort nicht auf das zwingend erforderliche Maß beschränkt sind.

Die Datenschutzbehörde Hamburg sprach gegen das Versandunternehmen Kolibri Image ein Bußgeld in Höhe von 5.000 Euro aus. Der Bescheid erging am 17.12.2018. Das Unternehmen hatte mit der spanische Versandfirma Packlink keinen AV-Vertrag geschlossen.

Der EuGH kam im Oktober 2019 zu dem Schluss: Seitenbetreiber dürfen keine Tracking-Cookies nutzen, wenn sie dafür keine Erlaubnis der User haben. Dabei spielt es keine Rolle, ob sie personenbezogene Daten oder anonyme Userdaten erheben (C-637/17). Das sah der Bundesgerichtshof genauso. Dieser entschied im Mai 2020: User können nur per Opt-In bestätigen, dass sie mit einer Datenerhebung einverstanden sind. Seitenbetreiber dürfen ihnen keine vorangekreuzte Checkbox zur Verfügung stellen (I ZR 7/16).

Squarespace Analytics

Squarespace Analytics ist eine Analyse-Plattform, über die Unternehmen einen Einblick in die Performance ihrer Webseite erhalten. Dabei können sie unter anderem Statistiken zu Seitenaufrufen, Umsatz, Conversion, Referer und User-Verhalten einsehen. Das Analyse-Tool ist ein Angebot des US-amerikanischen Unternehmens Squarespace.

Warum ist Squarespace Analytics datenschutzrechtlich relevant?

Squarespace Analytics verwendet Cookies, um das Verhalten von Usern auf der Webseite von Unternehmen auswerten zu können. Diese erheben unter anderem Daten wie

  • IP-Adresse,
  • Endgerätetyp,
  • verwendete Sprache auf der Webseite,
  • verweisende Domain und
  • Datum und Uhrzeit des Webseitenbesuchs.

Dabei handelt es sich zum Teil um personenbezogene Daten. Diese sind durch die Datenschutz-Grundverordnung (DSGVO) besonders geschützt. Unternehmen müssen daher verschiedene Maßnahmen ergreifen, um Squarespace Analytics datenschutzkonform zu verwenden.

Squarespace Analytics DSGVO-konform verwenden

Damit Seitenbetreiber bei der Verwendung von Squarespace Analytics nicht gegen die DSGVO verstoßen, müssen sie diese datenschutzrechtlichen Pflichten erfüllen.

Vertrag zur Auftragsverarbeitung abschließen

Geben Unternehmen personenbezogene Daten an einen Dritten weiter und verarbeitet dieser die Daten, müssen Unternehmen mit dem Dritten einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Bei Squarespace Analytics geben Unternehmen Daten zum Verhalten ihrer Webseitenbesucher an diesen weiter. Sie müssen daher mit Squarespace Analytics einen AV-Vertrag eingehen.

Bei Squarespace Analytics schließen Seitenbetreiber einen AV-Vertrag, sobald sie den Nutzungsbedingungen des Anbieters zugestimmen. Diese enthalten ein Data Processing Agreement (DPA). Das DPA entspricht einem AV-Vertrag. Seitenbetreiber müssen daher keinen separaten AV-Vertrag mit Squarespace Analytics eingehen.

Unternehmen sollten jedoch darauf achten, dass das DPA klärt,

  • welche personenbezogenen Daten sie an Squarespace Analytics weiterreichen,
  • warum Squarespace Analytics die Daten speichert,
  • wie lange Squarespace Analytics diese speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Seitenbetreiber müssen in ihrer Datenschutzerklärung angeben, dass sie personenbezogene Daten an Squarespace Analytics weitergeben. Dabei sollten sie erwähnen, dass sie dafür einen AV-Vertrag mit dem Anbieter geschlossen haben. Sie müssen darauf hinweisen,

  • warum sie über Squarespace Analytics personenbezogene Daten erheben,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. f DSGVO) und
  • wie lange sie die Daten speichern wollen.

Unternehmen müssen ihren Webseitenbesuchern zudem erklären, dass sie der Datenerhebung über Squarespace Analytics widersprechen können. Damit User wissen, was mit ihren Daten bei Squarespace Analytics passiert, sollten Business-Inhaber auch auf die Nutzungsbestimmungen und Datenschutzbestimmungen des Anbieters verweisen.

Und: Sie müssen jeden Hinweis auf den Privacy Shield aus ihrer Datenschutzerklärung entfernen. Denn: Der Europäische Gerichtshof (EuGH) hat diesen für unwirksam erklärt, um Daten von der EU in die USA zu verschicken.

Standardvertragsklauseln prüfen

Squarespace Analytics verwendet Standardvertragsklauseln, um rechtmäßig personenbezogene Daten seiner Kunden in Drittländer – unter anderem in die USA – zu übermitteln. Dazu gibt der Anbieter an, technische und organisatorische Schutzmaßnahmen eingeführt zu haben. Zudem wendet Squarespace Analytics weiter die Grundsätze des Privacy Shield Frameworks an, um Daten zusätzlich zu schützen – auch wenn der EuGH den Privacy Shield für unwirksam erklärt hat.

Unternehmen sollten die Standardvertragsklauseln von Squarespace Analytics überprüfen. Denn: Der EuGH hat in seiner Entscheidung festgestellt, dass ein Datentransfer in die USA auf Basis von Standardvertragsklauseln nur dann rechtlich möglich ist, wenn dort ein ähnliches Datenschutzniveau wie in der EU herrscht. Grundsätzlich ist das in den USA derzeit jedoch nicht der Fall, so die Einschätzung der Richter des EuGH. Es ist daher unklar, inwieweit Unternehmen Standardvertragsklauseln nutzen können, um Daten rechtssicher in die USA zu transferieren.

Aktivitätenprotokoll deaktivieren

Damit Unternehmen bei der Verwendung von Squarespace Analytics möglichst wenig Daten erheben und so den Grundsatz der Datensparsamkeit der DSGVO einhalten, sollten sie das Aktivitätenprotokoll deaktivieren. Auf diese Weise erheben sie keine IP-Adressen und weitere personenbezogene Daten.

Analytics-Cookies deaktivieren

Um möglichst wenige Daten von Webseitenbesuchern zu sammeln, sollten Unternehmen die Squarespace Analytics-Cookies deaktivieren. Sie verhindern so, dass nicht erforderliche Cookies im Browser der Seitenbesucher platziert werden.

Cookie-Banner anpassen

Unternehmen setzen über Squarespace Analytics Cookies in den Browser ihrer Webseitenbesucher. Das müssen sie in ihrem Cookie-Banner erklären und User per Opt-In ausdrücklich einwilligen lassen.

Rechtsprechung zu Squarespace Analytics

Im Oktober 2019 entschied der EuGH: Unternehmen dürfen keine Tracking-Cookies auf ihrer Seite nutzen, wenn sie über keine ausdrückliche Einwilligung der Nutzer verfügen. Dabei ist es irrelevant, ob die Cookies anonyme Daten oder personenbezogene Daten erheben (C-637/17). Diese Entscheidung bestätigte der Bundesgerichtshof im Mai 2020: Unternehmen müssen User aktiv per Opt-In in das Setzen von Tracking-Cookies einwilligen lassen. Dabei darf die Checkbox im Cookie-Banner nicht vorangekreuzt sein (I ZR 7/16).

Der EuGH erklärte im Sommer 2020: Der Privacy Shield ist unwirksam. Unternehmen können diesen nicht mehr als rechtliche Basis verwenden, um Daten in die USA zu versenden. Denn: Dort herrscht kein angemessenes Datenschutzniveau. Die Überwachungsprogramme sind nicht auf das zwingend erforderliche Maß beschränkt. Und: Deutsche Nutzer können sich rechtlich nicht wehren, wenn US-amerikanische Unternehmen oder Behörden ihre Daten missbräuchlich verwenden.

Die Hamburger Datenschutzbehörde verhängte am 17.12.2018 ein Bußgeld in Höhe von 5.250 Euro gegen das Versandunternehmen Kolibri Image. Dies hatte es versäumt, mit einem spanischen Dienstleister einen AV-Vertrag zu schließen.

Hosting: Strato

Strato ist ein deutscher Internetdienstanbieter mit Sitz in Berlin. Das Unternehmen verkauft Leistungen in den Bereichen Webhosting, Server, Cloud-Speicher und webbasierte Lösungen für Kundenbeziehungsmanagement. Strato beschäftigt 500 Mitarbeiter und verfügt über 70.000 Server in Berlin und Karlsruhe.

Warum ist das Hosting von Strato datenschutzrechtlich relevant?

Nutzen Seitenbetreiber Strato als Hosting-Anbieter, geben sie an diesen automatisch Log-Daten weiter. Log-Daten enthalten Informationen ihrer Webseitenbesucher wie Kunden-Domain, anonymisierte IPs, Request-Zeile, Timestamp und Status Code.

Zudem erhält Strato Zugriff auf alle Daten, die Seitenbetreiber von ihren Kunden erheben und auf den Servern von Strato ablegen. Der Anbieter verarbeitet und speichert diese Daten. Das können zum Beispiel sensible Daten wie Kundenkorrespondenz sein.

Bei diesen Daten handelt es sich zum Teil um personenbezogene Daten. Diese sind durch die Datenschutz-Grundverordnung (DSGVO) besonders geschützt. Seitenbetreiber müssen daher verschiedene datenschutzrechtliche Pflichten beachten.

Strato datenschutzkonform nutzen

Damit Seitenbetreiber das Hosting von Strato rechtssicher nutzen, müssen sie diese Vorgaben erfüllen:

Vertrag zur Auftragsverarbeitung schließen

Artikel 28 DSGVO schreibt vor: Geben Seitenbetreiber personenbezogene Daten an Dritte weiter und verarbeiten diese die Daten, müssen sie mit den Dritten einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Dieser regelt alle relevanten und technischen Maßnahmen wie Dokumentationsformalien, Backupregelungen und Zugriffshierarchien. Nutzen Seitenbetreiber das Hosting-Angebot von Strato, geben sie personenbezogene Daten an das Unternehmen weiter. Sie müssen mit diesem daher einen AV-Vertrag schließen. Der AV-Vertrag muss aufführen,

  • welche Daten Seitenbetreiber an Strato weitergeben,
  • wie lange Strato die Daten speichern will,
  • warum Strato die Daten speichern will und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Versäumen es Seitenbetreiber, einen AV-Vertrag mit Strato zu schließen, droht ihnen ein Bußgeld. Dies kann bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes betragen.

Datenschutzerklärung anpassen

Immer wenn Seitenbetreiber personenbezogene Daten sammeln, müssen sie in ihrer Datenschutzerklärung darauf hinweisen. Dabei sollten sie gemäß Artikel 13 Abs. 1 DSGVO erwähnen, dass

  • sie Strato als Hosting-Anbieter nutzen, um ein sicheres und schnelles Online-Angebot bereitzustellen,
  • warum und wie Strato deshalb personenbezogene Daten erhält,
  • wie lange Strato die Daten speichert,
  • welche Rechtsgrundlage das ermöglicht,
  • dass sie dafür mit Strato einen AV-Vertrag geschlossen haben und
  • dass Nutzer der Einwilligung in die Datenerhebung jederzeit widersprechen können.

Um Nutzern einen tieferen Einblick zu geben, wie ihre Daten bei Strato verarbeitet werden, sollten Seitenbetreiber auch auf die Datenschutzbestimmungen und Nutzungsbedingungen des Hosting-Anbieters verweisen.

Rechtsprechung zu Strato

Die Datenschutzbehörde Hamburg sprach im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro gegen ein deutsches Versandunternehmen aus. Dies hatte mit einem beauftragten Dienstleister keinen AV-Vertrag geschlossen.

Stripe

Stripe ist ein Online-Bezahldienst, über den Webseitenbetreiber User im Netz Waren und Dienstleistungen bargeldlos bezahlen lassen können. Um das Zahlungssystem nutzen zu können, müssen User ihre Bankdaten – in der Regel in Form ihrer Kreditkartendaten oder Girokontodaten – hinterlegen. Stripe bietet seinen Service in 25 Ländern an.

Darum ist Stripe datenschutzrechtlich relevant

Nutzer geben bei jeder Transaktion, die sie auf einer Webseite über Stripe tätigen, ihre Bankdaten an. Stripe erhält so Zugriff auf Informationen wie

  • Vor- und Nachnamen,
  • Adresse,
  • E-Mail-Adresse,
  • IP-Adresse,
  • Telefonnummer,
  • Kreditkartenummer,
  • Kontodeckung,
  • Umsätze und
  • Kreditrahmen des Dispokredits.

Es handelt sich dabei teilweise um personenbezogene Daten. Diese Daten sind besonders schützenswert. Webseitenbetreiber müssen daher verschiedene, von der Datenschutz-Grundverordnung (DSGVO) vorgeschriebene Pflicht erfüllen.

Stripe datenschutzkonform verwenden

Um Stripe datenschutzkonform in den Zahlungsprozess einzubinden, müssen Webseitenbetreiber diesen Pflichten nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Stripe erhält vollen Zugriff auf die Kundendaten von Webseitenbetreibern. In so einem Fall verpflichtet Art. 28 DSGVO Seitenbetreiber dazu, mit Stripe einen Vertrag zur Auftragsverarbeitung abzuschließen. Stripe stellt diesen derzeit nur in englischer Fassung, als Data Processing Addendum, zur Verfügung.

Webseitenbetreiber sollten sichergehen, dass der Vertrag anspricht,

  • welche Kundendaten Stripe speichert,
  • wie lange Stripe diese Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Haben Unternehmen den Vertrag zur Auftragsverarbeitung geschlossen, müssen sie das in ihre Datenschutzerklärung aufnehmen. Dabei sollten sie ihren Usern erklären,

  • warum Stripe personenbezogene Daten erhält,
  • wie lange Stripe diese speichert,
  • wie Stripe die Daten verwendet,
  • welche Rechtsgrundlage das erlaubt und
  • dass Nutzer der Einwilligung in die Datenerhebung jederzeit widersprechen können.

Diese Pflichten schreibt Art. 13 DSGVO vor.

Rechtsprechung zur Verwendung von Stripe

Schließen Webseitenbetreiber keinen Vertrag zur Auftragsverarbeitung, droht ihnen ein Bußgeld. Das musste auch ein Versandunternehmen feststellen, das mit einem beauftragten Dienstleister keinen entsprechenden Vertrag geschlossen hatte. Die Datenschutzbehörde Hamburg sprach daher am 17.12.2018 ein Bußgeld in Höhe von 5.000 Euro zuzüglich Gebühren in Höhe von 250 Euro aus. Grundsätzlich gibt Art. 83 Abs. 4 lit. a DSGVO vor: Bußgelder können bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen.

Datenschutzerklärung und SSL-Verschlüsselung der Webseite

SSL steht für die Abkürzung „Secure Sockets Layer“ und ist ein Verschlüsselungsverfahren, um Daten im Internet vertraulich zu übertragen. Eine SSL-Verschlüsselung soll so dafür sorgen, dass Dritte die Daten nicht auslesen oder manipulieren können. Darüber hinaus stellt das Verfahren die Identität einer Webseite sicher. In der Praxis ist die SSL-Verschlüsselung mittlerweile größtenteils von der neueren und sicheren Transport Layer Security Standard (TLS) ersetzt worden.

Darum ist die SSL-Verschlüsselung datenschutzrechtlich relevant

Fragen Seitenbetreiber personenbezogene Daten wie Namen und E-Mail-Adresse von Usern ab, müssen sie diese entsprechend verschlüsseln, um den Datenschutz zu wahren. Das kann zum Beispiel der Fall sein bei:

  • Newsletter-Anmeldungen und Downloads
  • Kontaktformularen
  • Bestellformularen
  • Login-Daten

Eine SSL-Verschlüsselung gewährt diesen Schutz, indem sie die Daten während der Übertragung vor Zugriffen und dem Missbrauch durch Dritte schützt. Bis vor kurzem ergab sich diese Pflicht noch aus § 13 Abs. 7 TMG. Seit dem 25. Mai hat hier die Datenschutz-Grundverordnung (DSGVO) übernommen.

Jetzt schreibt Art. 32 Abs. 1 DSGVO dies vor. Danach müssen Seitenbetreiber unter Berücksichtigung des Stands der Technik und den Implementierungskosten geeignete technische und organisatorische Maßnahmen ergreifen, um die Daten der Nutzer zu schützen. Art. 32 Art. 1 lit. a) nennt dafür ausdrücklich eine Verschlüsselung personenbezogener Daten. Daneben empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik eine SSL- oder TLS-Verschlüsselung, um personenbezogene Daten im Web sicher zu übertragen.

So können Webseitenbetreiber ihre Seite sicher verschlüsseln

Um personenbezogene Daten sicher zu übertragen, stehen Seitenbetreibern verschiedene Verschlüsselungsverfahren zur Auswahl. Zu den drei gängigsten Varianten zählen dabei:

DV-Zertifikat: Das DV-Zertifikat bestätigt die Domain einer Seite und bildet damit die einfachste Vertrauensstufe. Da Seitenbetreiber dies nur durch eine E-Mai validieren lassen müssen, ist das Zertifikat in wenigen Minuten in die Seite eingebunden. Nutzer sehen dann im Browser neben der URL ein kleines Schloss, das ihnen eine sichere Verbindung anzeigt.

OV-Zertifikat: Das OV Zertifikat bestätigt nicht nur den Inhaber der Domain, sondern auch das Unternehmen, das hinter der Seite steht. Auf diese Weise bietet dieses Zertifikat einen höheren Validierungsgrad als das DV-Zertifikat. Onlineshops und andere Portale, die Login-Daten von Nutzern abfragen, greifen in der Regel auf diese Art der Verifizierung zurück. Sie dauert einige Tage Bearbeitungszeit, bis sie verfügbar ist.

EV-Zertifikat: Das EV-Zertifikat prüft, ob und wie Unternehmen registriert sind. Damit bietet es die umfangreichste Validierung an. Sind Unternehmen zertifiziert, sehen User in der Adresszeile den Namen des Unternehmens in Grün. Auf diese Art der Zertifizierung greifen in der Regel Unternehmen aus dem Finanzsektor zurück.

Darüber hinaus sollten Webseitenbetreiber die Verschlüsselung in ihrer Datenschutzerklärung ansprechen. Dazu sollten sie Usern erklären, warum sie die Seite verschlüsseln und welche Maßnahmen sie dafür ergreifen.

Tars Chatbot

Tars Chatbot ist eine Chatbot-Plattform, mit der Unternehmen automatisierte Gesprächsabläufe erstellen können. Die Chatbots kommunizieren mit Nutzern über einen Frage-Antwort-Mechanismus. Auf diese Weise können Unternehmen Landing Pages interaktiv gestalten. Das steigert die Conversion Rate.

Seitenbetreiber können bei Tars aus mehreren hundert Chatbot-Vorlagen wählen, die verschiedene Branchen abdecken. Die Chat-Plattform ist unter anderem mit dem Facebook Messenger und Zapier kompatibel. Große Unternehmen wie DHL und Vodacom nutzen das Tool.

Warum ist Tars Chatbot datenschutzrechtlich relevant?

Unternehmen legen bei einem Tars Chatbot selbst fest, welche Daten sie von Usern erheben möchten. Auf einer Landing Pages sammeln sie über den Bot vor allem personenbezogene Daten wie

  • Namen,
  • E-Mail-Adressen und
  • Telefonnummern.

Dabei handelt es sich um personenbezogene Daten. Die Datenschutz-Grundverordnung (DSGVO) schreibt für die Erhebung und Speicherung dieser Daten besondere datenschutzrechtliche Pflichten vor.

Können Unternehmen Tars Chatbot DSGVO-konform verwenden?

Achten Unternehmen auf diese Vorgaben der DSGVO, können sie das Tool datenschutzkonform verwenden:

Einwilligung in Datenerhebung einholen

Unternehmen nutzen Tars Chatbots vor allem, um Leads zu generieren. Sie haben daher das Ziel, personenbezogene Daten von Nutzern zu sammeln. Dafür benötigen sie ihre Einwilligung. Unternehmen können diese per Opt-In einholen.

Vertrag zur Auftragsverarbeitung schließen

Alle Daten, die Unternehmen über einen Tars Chatbot erheben, geben sie automatisch an den dahinterstehenden Anbieter Tars Technologies weiter. Damit ist Tars Technologies ein Auftragsverarbeiter. Unternehmen müssen mit diesem einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Der Vertrag stellt sicher, dass Tars Technologies alle Daten, die es über seine Chatbots erhält, rechtskonform behandelt. Unternehmen müssen darauf achten, dass der Vertrag erklärt,

  • welche Nutzerdaten Tars speichert,
  • wie lange Tars diese Daten speichert,
  • warum Tars die Daten speichert und
  • welche Rechte und Pflichten beide Parteien haben.

Versäumen es Unternehmen, einen AV-Vertrag mit Tars abzuschließen, droht ihnen ein Bußgeld. Art. 83 Abs. 4 lit. a DSGVO ermöglicht dabei Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Datenschutzerklärung anpassen

Jedes Mal, wenn Unternehmen personenbezogene Daten sammeln, müssen sie Nutzer in ihrer Datenschutzerklärung darauf hinweisen. Das gilt auch für die Verwendung von Tars Chatbot. Unternehmen sollten dabei in einer einfach verständlichen Sprache erklären,

  • dass sie mit Tars einen AV-Vertrag geschlossen haben,
  • welche Userdaten sie an Tars weiterreichen,
  • warum sie diese Daten an Tars weitergeben,
  • wie Tars die Userdaten nutzt und
  • dass Nutzer der Datenerhebung und -weitergabe jederzeit widersprechen können.

Möglichst wenige Daten erheben

Die DSGVO gibt vor: Unternehmen dürfen nur die Daten von Usern erheben, die sie für ihren angestrebten Zweck benötigen. Für die Leadgenerierung auf einer Landing Page kann das beispielsweise eine E-Mail-Adresse sein. Unternehmen wahren so den Grundsatz der Datensparsamkeit der DSGVO.

Datenauskunft gewähren

Haben Unternehmen einmal Daten über einen Tars Chatbot erhoben, können Nutzer eine Einsicht in diese Daten verlangen. Unternehmen müssen ihnen die Daten dann zur Verfügung stellen. Das können sie beispielsweise als Download vornehmen.

Userdaten regelmäßig löschen

Unternehmen dürfen Userdaten, die sie über einen Tars Chatbot erhoben haben, nur so lange speichern, wie sie diese tatsächlich benötigen. Für die Praxis heißt das: Sie müssen regelmäßig Userdaten löschen. Und: Verlangen Nutzer die Löschung ihrer Daten, müssen Unternehmen diesem Wunsch nachkommen. Das schreibt die DSGVO vor.

Rechtsprechung zu Tars Chatbot

Das deutsche Versandunternehmen Kolibri Image sah sich nicht verantwortlich, einen AV-Vertrag für die Zusammenarbeit mit einem spanischen Dienstleister aufzusetzen. Die Datenschutzbehörde Hamburg sah das anders. Sie sprach daher am 17.12.2018 ein Bußgeld in Höhe von 5.000 Euro gegen Kolibri Image aus.

tawk.to

tawk.to ist ein cloudbasiertes Live-Chat-Modul, das Unternehmen auf ihrer Webseite einbauen können. Es ermöglicht ihren Kunden, direkt per Chat mit ihnen in Kontakt zu treten. Über 250.000 Unternehmen verwenden das Tool.

Warum ist tawk.to datenschutzrechtlich relevant?

Unternehmen erheben über tawk.to verschiedene Daten ihrer Kunden. Dazu zählen unter anderem

  • der Chatverlauf,
  • der Chatzeitpunkt und
  • die IP-Adresse.

Je nachdem, welche Angaben Kunden in dem Chat machen, erheben Unternehmen personenbezogene Daten. Sie geben diese an den Anbieter von tawk.to weiter. Sie müssen daher verschiedene Pflichten aus der Datenschutz-Grundverordnung (DSGVO) beachten.

tawk.to datenschutzkonform verwenden

Um tawk.to datenschutzkonform zu verwenden, müssen Unternehmen diesen Anforderungen der DSGVO nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen geben die Daten, die sie über tawk.to erheben, an den Anbieter des Tools weiter. Dafür müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Denn: Art. 28 DSGVO gibt vor, dass Unternehmen mit Dritten einen AV-Vertrag schließen müssen, wenn sie personenbezogene Daten an diesen weiterreichen.

Der Vertrag muss dabei aufführen,

  • welche personenbezogenen Daten tawk.to erhält und speichert,
  • wie lange der Anbieter diese speichert,
  • warum er die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen, die tawk.to verwenden, müssen das in ihrer Datenschutzerklärung erwähnen. In diesem Kontext sollten sie angeben, dass sie mit tawk.to einen AV-Vertrag geschlossen haben. Dabei müssen sie erklären,

  • welche personenbezogenen Daten sie speichern,
  • wie lange sie diese speichern,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 DSGVO) und
  • dass User der Erhebung und Speicherung ihrer Daten jederzeit widersprechen können.

tawk.to datensparsam verwenden

tawk.to gibt Unternehmen die Möglichkeit, die IP-Aufzeichnung des Tools zu deaktivieren. Dem sollten sie nachkommen. Denn: Die DSGVO gibt einen Grundsatz der Datensparsamkeit vor. Das bedeutet: Unternehmen dürfen nur die Daten erheben, die sie unbedingt für die Nutzung des Tools benötigen. Die Erhebung der IP-Adresse dürfte in der Regel nicht dazu gehören.

Wollen Unternehmen die IP-Adresse über tawk.to erheben, muss das

  • einem erlaubten Zweck dienen,
  • geeignet sein, diesen Zweck zu erfüllen und
  • erforderlich sein, diesen Zweck zu erreichen.

Daneben dürfen Unternehmen die Daten, die sie über tawk.to erheben, nur so lange aufbewahren, wie sie diese tatsächlich benötigen. Das heißt: Wollen sie beispielsweise nach Ende eines Chats erhobene Kundendaten noch verwenden, um ein Anliegen des Kunden zu erledigen, dürfen sie die Daten weiter behalten. Sobald sie das Anliegen jedoch erledigt haben, müssen sie auch die Daten löschen.

Rechtsprechung zu tawk.to

Nutzen Unternehmen tawk.to, geben sie personenbezogene Daten an den Anbieter des Tools weiter. Schließen sie dafür keinen AV-Vertrag mit tawk.to, müssen sie mit einem Bußgeld rechnen. Das Bußgeld kann bei bis zu 10 Millionen Euro oder alternativ 2 Prozent des weltweiten Jahresumsatzes liegen. Die Datenschutzbehörde Hamburg verhängte in diesem Kontext ein Bußgeld in Höhe von 5.000 Euro zuzüglich 250 Euro Gebühren an ein Versandunternehmen. Dies hatte mit einem beauftragten Dienstleister keinen AV-Vertrag geschlossen.

TeamViewer

TeamViewer ist eine Fernwartungssoftware, mit der User Screens teilen, Audio- und Videokonferenzen abhalten und Dateien austauschen können. Die zentrale Funktion des Produkts ist der Fernzugriff auf einen anderen Computer. Unternehmen können so bei Kunden beispielsweise Probleme auf dem PC beheben oder Präsentationen vorführen.

Warum ist TeamViewer datenschutzrechtlich relevant?

Unternehmen, die bei TeamViewer einen Account anlegen, beispielsweise für eine kostenpflichtige Lizenz, müssen unter anderem Daten angeben wie

  • Name,
  • Adresse,
  • E-Mail-Adresse,
  • Name des Unternehmens,
  • Telefonnummer,
  • Land,
  • gewählte Bezahlmethode und
  • Steuer-ID.

Die Plattform führt die erhobenen Daten zusammen und erstellt über Profiling-Maßnahmen ein umfangreiches User-Profil. Dies soll dabei helfen, Kunden möglichst passende Produkte anbieten zu können. TeamViewer selbst gibt an, sich dabei so weit wie möglich auf pseudonymisierte Daten zu stützen.

TeamViewer datenschutzkonform verwenden

Um TeamViewer datenschutzkonform einzusetzen, müssen Unternehmen die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einhalten. Dazu müssen sie diesen Pflichten nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Ob Unternehmen einen Vertrag zur Auftragsverarbeitung abschließen müssen, kommt darauf an, wie sie das Tool verwenden. In der Regel erheben sie dabei jedoch zahlreiche personenbezogene Daten, die auch TeamViewer speichert. Unternehmen sollten daher sichergehen und einen Vertrag zur Auftragsverarbeitung abschließen. TeamViewer stellt seinen Kunden diesen zur Verfügung. Unternehmen, die eine individuelle Datenverarbeitungsvereinbarung benötigen, erhalten eine geeignete unterschriebene Vorlage.

Bei dem Vertrag sollten Unternehmen sicherstellen, dass sie festhalten,

  • welche Userdaten TeamViewer sammelt und speichert,
  • wie lange es diese Daten speichert,
  • warum es diese Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen müssen in ihrer Datenschutzerklärung angeben, dass sie mit TeamViewer einen Vertrag zur Auftragsverarbeitung geschlossen haben. Dabei sollten sie erwähnen,

  • warum und welche Userdaten sie speichern,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage das erlaubt (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Nutzer der Datenerhebung und -speicherung jederzeit widersprechen können.

Rechtsprechung zur Verwendung von TeamViewer

Bisher liegt, soweit ersichtlich, keine Rechtsprechung zum Einsatz von TeamViewer vor. Unternehmen, die jedoch keinen Vertrag zur Auftragsverarbeitung abschließen, droht ein Bußgeld. Dies kann bei bis zu 10 Millionen Euro oder bei bis zu 2 Prozent des weltweiten Jahresumsatzes liegen. Am 17.12.2018 sprach die Datenschutzbehörde Hamburg ein Bußgeld in Höhe von gut 5.000 Euro gegen einen Versandunternehmen aus. Dies hatte mit einem beauftragten Dienstleister keine Auftragsverarbeitungsvereinbarung geschlossen.

Tidio

Tidio ist eine webbasierte Software, die verschiedene Kommunikationskanäle wie Live-Chat, E-Mail und Messenger in einer einheitlichen Oberfläche vereint. Unternehmen können so die Kommunikation mit ihren Kunden übersichtlich abwickeln. Sie können Tidio als Chat-Widget, Seitenleiste oder spezielle Chatseite nutzen, um Kundenanfragen zu bearbeiten.

Warum ist Tidio datenschutzrechtlich relevant?

Unternehmen erheben über Tidio Userdaten wie

  • Browsertyp
  • IP-Adresse und
  • Betriebssystem.

Daneben können sie bei Tidio einstellen, welche Daten sie von ihren Kunden erheben wollen, damit diese den Chat nutzen können. In der Regel sammeln sie so

  • Namen,
  • E-Mail-Adressen und
  • Telefonnummern

von Usern. Sie geben diese an den Anbieter der Software in Großbritannien und in den USA weiter. Bei den Daten handelt es sich zum Teil um personenbezogene Daten. Diese sind durch die Datenschutz-Grundverordnung (DSGVO) besonders geschützt. Unternehmen müssen daher verschiedene datenschutzrechtliche Pflichten beachten, wenn sie Tidio nutzen.

Tidio DSGVO-konform verwenden

Die DSGVO gibt diese Pflichten vor, wenn Seitenbetreiber Tidio verwenden:

Vertrag zur Auftragsverarbeitung abschließen

Laut der DSGVO ist Tidio ein externer Auftragsverarbeiter. Denn: Unternehmen leiten Kundendaten, die sie über die Software sammeln, an den Anbieter weiter. Dafür müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung schließen. Diese Pflicht ergibt sich aus § 28 DSGVO.

Der Vertrag sollte dabei festlegen,

  • welche Daten Tidio wie lange speichern darf,
  • warum und wie Tidio die Daten verarbeiten darf und
  • welche Rechte und Pflichten beide Parteien haben.

Schließen Unternehmen mit Tidio keinen Vertrag zur Auftragsverarbeitung, droht ihnen ein Bußgeld. Das kann gemäß Art. 83 Abs. 4 lit. a DSGVO bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen.

Datenschutzerklärung anpassen

Unternehmen erheben über Tidio verschiedene Userdaten und geben diese an Dritte weiter. Darauf müssen sie in ihrer Datenschutzerklärung hinweisen. Dabei sollten sie erwähnen,

dass sie mit Tidio einen Vertrag zur Auftragsverarbeitung geschlossen haben,

  • welche Userdaten sie an Tidio weitergeben,
  • warum sie Daten an Tidio weiterreichen,
  • wie Tidio diese Daten nutzt und
  • dass Nutzer der Datenweitergabe und Datenverwendung widersprechen können.

Diese und weitere Pflichten schreibt § 13 Abs. 1 DSGVO vor. Damit Kunden wissen, was genau mit ihren Daten bei Tidio passiert, können Unternehmen zudem auf die Nutzungsbedingungen und Datenschutzbestimmungen der Software verweisen.

Sollten Seitenbetreiber noch Hinweise auf den Privacy Shield in ihrer Datenschutzerklärung führen, müssen sie diese entfernen. Der Privacy Shield stellt keine rechtliche Grundlage mehr dar, um Daten von der EU in die USA zu versenden.

Cookie-Banner anpassen

Tidio verwendet Cookies, um seine Software anbieten und die Services personalisieren zu können. Das bedeutet: Tidio setzt Cookies in den Browser von Usern. Das müssen Unternehmen ihren Kunden erklären. Und: Sie müssen dafür ihre Einwilligung einholen. Das können sie über einen Cookie-Banner vornehmen, der Nutzer per Check-In-Box um Erlaubnis für die Cookies bittet.

Standardvertragsklauseln prüfen

Unternehmen nutzen Tidio auf Basis von Standardvertragsklauseln. Diese verpflichten Tidio dazu, ein gewisses Datenschutzniveau einzuhalten. Unternehmen sollten überprüfen, ob die Standardvertragsklauseln den Vorgaben der DSGVO genügen. Bei einem Datentransfer in die USA könnte das nicht der Fall sein. Denn: Dort kommen Überwachungsprogramme zum Einsatz, die nicht auf das zwingend erforderliche Maß beschränkt sind. Es ist daher nicht klar, inwieweit Standardvertragsklauseln ausreichen, um die über Tidio erhobenen Daten nach der DSGVO zu schützen.

Rechtsprechung zu Tidio

Das Versandunternehmen Kolibri Image hatte einen spanischen Dienstleister beauftragt, ohne mit diesem einen Vertrag zur Auftragsverarbeitung zu schließen. Denn: Kolibri Image sah sich nicht dazu verpflichtet, den Vertrag selbst aufzusetzen. Das sah die Datenschutzbehörde Hamburg anders. Sie verhängte daher am 17.12.2018 eine Strafe in Höhe von 5.000 Euro gegen das Unternehmen.

Der Privacy Shield eignet sich nicht, um rechtssicher Daten von der EU in die USA zu transferieren. Zu diesem Schluss kam der Europäische Gerichtshof (EuGH) im Sommer 2020. Denn: Das dortige Datenschutzniveau entspricht nicht dem der DSGVO. Und: User in der EU können US-amerikanische Behörde und Unternehmen rechtlich nicht belangen, sollten diese ihre Daten anders als vereinbart verwenden.

Der Bundesgerichtshof entschied im Mai 2020: Unternehmen müssen eine nicht-vorangekreuzte Checkbox verwenden, um User in die Verwendung von Tracking-Cookies einwilligen zu lassen (I ZR 7/16). Zuvor war bereits der EuGH im Oktober 2019 zu dem Ergebnis gekommen: Seitenbetreiber dürfen nur dann personenbezogene oder anonyme Daten über Cookies erheben, wenn sie dafür eine Erlaubnis der User haben (C-637/17).

Datenschutzerklärung und Tumblr Plugin

Tumblr ist eine Blogging-Plattform, auf der User Bilder, Texte, Links, Videos und Audiodateien veröffentlichen können. Darüber hinaus können Nutzer Einträge von anderen Nutzern als Favoriten markieren, ihnen folgen oder ihre Inhalte auf dem eigenen Dashboard teilen.

Darum ist Tumblr datenschutzrechtlich relevant

Wollen sich Nutzer bei Tumblr registrieren, müssen sie ihre E-Mail-Adresse angeben, ein Passwort generieren und einen Usernamen aussuchen. Einmal für die Plattform registriert, sammelt Tumblr Daten zu allen Aktivitäten, die sie in dem Netzwerk vornehmen. Das können selbst erstellte Inhalte, das Markieren von Favoriten oder das Veröffentlichen von fremden Inhalten auf dem eigenen Dashboard sein. Tumblr nutzt diese Daten, um ihnen personalisierte Inhalte und Werbung anbieten zu können. Daneben erhebt und speichert die Plattform unter anderem Daten zum verwendeten Browser, Endgerät und zur IP-Adresse von Usern.Besuchen Nutzer einen Blog im Tumblr-Netzwerk, kann es sein, dass dieser mehr Daten von ihnen erhebt als Tumblr. Diese Daten kann der Blog an Dritte weiterleiten, zu denen Tumblr keine Beziehungen unterhält.

Diese Datenschutzprobleme bringt Tumblr mit

Tumblr gibt Nutzerdaten an Werbekunden weiter, damit diese auf der Plattform Anzeigen ausspielen können. Das darf das Unternehmen jedoch nur, wenn es dafür die konkrete Erlaubnis der User hat. Dieser Pflicht kommt Tumblr nicht nach.Darüber hinaus können Webseitenbetreiber einen Share Button von Tumblr auf ihrer Seite einbinden. Dieser ermöglicht es Usern, mit einem Klick Webseiteninhalte über ihren Tumblr-Account zu teilen. Durch den Klick auf das Plugin erhält Tumblr jedoch personenbezogene Daten wie die IP-Adresse der Nutzer. Dafür benötigen Webseitenbetreiber eine Einwilligung. Diese können sie nicht einholen, indem sie lediglich in ihrer Datenschutzerklärung darauf hinweisen.

So können Seitenbetreiber Tumblr datenschutzkonform nutzen

Seitenbetreiber, die Tumblr rechtssicher nutzen wollen, müssen User in ihrer Datenschutzerklärung darauf hinweisen. Binden sie zudem den Share Button von Tumblr auf ihrer Seite ein, müssen sie die Zustimmung der User einholen, bei Klick auf den Button ihre Daten an das Portal weiterzuleiten. Das ist in der Praxis aktuell jedoch nicht möglich.

Rechtsprechung zu Tumblr

Der auf Webseiten integrierte Facebook-Like-Button verstößt gegen deutsche Datenschutzbestimmungen. Das hat das Landgericht Düsseldorf am 09.03.2016 entschieden (Az. 12 O 151/15). Derzeit hat sich der Europäische Gerichtshof (EuGH) der Frage angenommen, wie es um die rechtliche Zulässigkeit des Buttons steht. Sollte auch der EuGH zu dem Ergebnis kommen, dass der Button nicht datenschutzkonform ist, könnte das alle weiteren Social Plugins auf Webseiten betreffen. Damit könnte dann auch der Share-Button von Tumblr gegen deutsche Gesetze verstoßen.

Datenschutzerklärung und Twitter Plugin

Twitter ist ein Microblogging-Dienst, über den Nutzer SMS-ähnliche Textnachrichten mit einer Länge von bis zu 140 Zeichen veröffentlichen können. Private User, Politiker und Unternehmen verwenden die Plattform, um ihre Gedanken und Meinungen online zu stellen. Twitter hat weltweit 336 Millionen monatlich aktive Nutzer.

Darum ist Twitter datenschutzrechtlich bedenklich

User, die sich bei Twitter anmelden wollen, müssen einen Usernamen und eine E-Mail-Adresse oder Telefonnummer angeben. Diese personenbezogenen Daten schickt das Netzwerk automatisch an seinen Hauptsitz in den USA und/oder an den europäischen Nebensitz in Irland. Nach der Registrierung zeichnet Twitter dann jede Aktivität, die User im Netzwerk vornehmen, auf. Das können Tweets, Kommentare, Likes und Interaktionen mit anderen Nutzern sein.Darüber hinaus sammelt Twitter Daten zum verwendeten Browser, Endgerät und zur IP-Adresse. Der Microblogging-Dienst speichert diese Informationen für mindestens zehn Tage. Twitter nutzt die gewonnenen Daten, um Usern maßgeschneiderte Feed-Vorschläge zu machen und personalisierte Werbung zu schalten.Am 18. Juni 2017 hat der Dienst neue Datenschutzregeln eingeführt. Nutzer haben seitdem mehr Kontrolle über ihre Daten. Sie können nun selbst entscheiden, ob geschaltete Werbung auf sie zugeschnitten sein soll. Zudem können sie seitdem frei wählen, ob der Dienst ihren Standort auswerten und zu Werbezwecken verwenden darf. Datenschützer kritisieren jedoch, dass Nutzer der Erhebung ihrer Daten nicht widersprechen können.

So können Seitenbetreiber Twitter datenschutzkonform nutzen

Webseitenbetreiber, die das Social Plugin von Twitter auf ihrer Seite implementiert haben, verstoßen aktuell gegen deutsche Datenschutzbestimmungen. Denn: Das Plugin erhebt personenbezogene Daten, sobald User darauf klicken. Dafür müssen sie weder bei Twitter angemeldet noch registriert sein. Webseitenbetreiber benötigen jedoch erst die ausdrückliche Zustimmung der Nutzer, bevor sie personenbezogene Daten an Dritte weiterleiten. Diese Zustimmung können sie nicht einholen, indem sie schlichtweg in ihrer Datenschutzerklärung darauf hinweisen.Webseitenbetreiber sollten daher auf alternative Plugins wie das eRecht Safe Sharing Tool setzen, um User vor einer ungewollten Datenweitergabe und sich selbst vor einem Datenschutzverstoß zu schützen.

Rechtsprechung zu Twitter

Das Landgericht (LG) Düsseldorf hat am 09.03.2016 entschieden, dass der auf Webseiten implementierte Facebook-Like-Button gegen den deutschen Datenschutz verstößt (Az. 12 O 151/15). Diese Entscheidung lässt sich auf alle weiteren Social Plugins, die ungefragt Userdaten erheben und weiterleiten, übertragen. Damit ist der Tweet-Button nach aktueller Rechtslage zumindest rechtlich fragwürdig.Für Klarheit wird bald der Europäische Gerichtshof sorgen. Dieser beschäftigt sich derzeit mit der Zulässigkeit des Facebook-Like-Buttons. Sollte das Gericht zu dem gleichen Schluss wie das LG Düsseldorf kommen, dürften alle Social Plugins gegen deutsche Datenschutzbestimmungen verstoßen.

Unzer

Unzer ist ein deutscher Zahlungsdienstleister mit Sitz in Heidelberg. Das Unternehmen bietet Lösungen für den Zahlungsverkehr im E-Commerce und im Einzelhandel an. Online-Händler können den Dienst in ihren Check-out integrieren und Kunden so unter anderem per Kreditkarte, Girokarte, Kauf auf Rechnung, PayPal und Apple Pay bezahlen lassen. Unzer verfügt über rund 41.000 Kunden. Dazu zählen beispielsweise Depot und Immobilienscout24.

Warum ist Unzer datenschutzrechtlich relevant?

Nutzen Händler Unzer für die Abwicklung ihres Zahlungsverkehrs, erheben sie Daten ihrer Kunden und geben diese an den Anbieter weiter. In der Regel handelt es sich dabei um Daten wie

  • Name,
  • Anschrift,
  • Kontonummer,
  • Bankleitzahl,
  • Kreditkartennummer,
  • Rechnungsbetrag und
  • Transaktionsnummer.

Dabei handelt es sich um personenbezogene Daten. Diese sind durch die Datenschutz-Grundverordnung besonders geschützt. Händler müssen daher verschiedene datenschutzrechtliche Pflichten beachten.

Unzer DSGVO-konform verwenden

Um Unzer DSGVO-konform verwenden zu können, müssen Unternehmen diese Anforderungen erfüllen:

Vertrag zur Auftragsverarbeitung schließen

Händler geben Zahlungsdetails ihrer Kunden an Unzer weiter. Der Zahlungsdienstleister verarbeitet diese Daten. Händler müssen mit Unzer daher einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Dieser sollte festhalten,

  • welche Userdaten Unzer speichert,
  • warum Unzer die Daten speichert,
  • wie lange Unzer die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Immer wenn Händler personenbezogene Daten erheben, müssen sie in ihrer Datenschutzerklärung darauf hinweisen. Sie sollten daher in ihrer Datenschutzerklärung aufführen, dass sie Unzer zur Abwicklung ihrer Zahlungen beauftragt haben. Dabei sollten sie verständlich erklären,

  • warum sie für die Zahlungsabwicklung personenbezogene Daten erheben,
  • wie lange sie die Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 DSGVO),
  • dass sie für die Datenweitergabe mit Unzer einen AV-Vertrag geschlossen haben und
  • dass Nutzer der Datenspeicherung jederzeit widersprechen können.

Rechtsprechung zu Unzer

Schließen Händler mit Unzer keinen AV-Vertrag droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent ihres weltweiten Jahresumsatzes. Die Datenschutzbehörde Hamburg sprach daher im Dezember 2018 ein Bußgeld gegen ein Versandunternehmen aus. Dies hatte mit einem spanischen Dienstleister keinen AV-Vertrag geschlossen.

Usercentrics Consent Management Platform

Usercentrics ist ein Consent Management Tool, über das Unternehmen die Zustimmung ihrer Nutzer in die Datenverarbeitung plattformübergreifend einholen, verwalten und dokumentieren können. In der Regel binden Unternehmen dafür ein Pop-up-Fenster auf ihrer Webseite ein, das nach der Datenerhebung fragt. Usercentrics ermöglicht es dabei, die Erlaubnis für verschiedene Verarbeitungszwecke, wie zum Beispiel für das Setzen von Tracking Cookies, einzuholen und so die Vorgaben der Datenschutz-Grundverordnung (DSGVO) sowie der bald anstehenden e-Privacy-Verordnung zu erfüllen.

Warum ist Usercentrics datenschutzrechtlich relevant?

Um die Präferenzen der User bezüglich der Datenerhebung abzuspeichern, sammelt Usercentrics unter anderem Daten

  • zum Logfile
  • zum verwendeten Browser und
  • zur Einwilligung (ja oder nein, Zeitstempel, Datenumfang, Datenattribute, ControllerID, ProzessorID und EinwilligungID).

Unternehmen müssen daher verschiedene Pflichten erfüllen, um den Datenschutz zu wahren.

Usercentrics datenschutzkonform verwenden

Um Usercentrics datenschutzkonform zu verwenden, müssen Webseitenbetreiber in ihrer Datenschutzerklärung aufführen,

  • warum sie die oben genannten Daten erheben,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Kunden die Datenerhebung durch eine entsprechende Einstellung im Browser verhindern können.

Daneben müssen Webseitenbetreiber mit Usercentrics einen Vertrag zur Auftragsverarbeitung abschließen. Denn: Usercentrics erhält Zugriff auf Kundendaten der Webseitenbetreiber. Für so einen Fall schreibt Art. 28 DSGVO vor: Erhalten Dritte Zugriff auf personenbezogene Daten, müssen Seitenbetreiber mit diesen einen Vertrag zur Auftragsverarbeitung abschließen.

Webseitenbetreiber erhalten von Usercentrics auf Anfrage einen entsprechenden Vertrag. Sie sollten darauf achten, dass der Vertrag klärt,

  • welche Kundendaten Usercentrics wie lange speichert,
  • warum und wie Usercentrics diese Daten verarbeitet und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Kommen Unternehmen dieser Pflicht nicht nach, riskieren sie ein Bußgeld. Das kann bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen. Dieses Strafmaß gibt Art. 83 Abs. 4 lit. a DSGVO vor.

Rechtsprechung zur Verwendung von Usercentrics

Am 17.12.2018 sprach die Datenschutzbehörde Hamburg ein Bußgeld aus. Ein Versandunternehmen hatte mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen. Die Folge: Das Unternehmen musste eine Strafe in Höhe von 5250 Euro zahlen.

Userlike

Userlike ist ein Live-Chat-Plugin für WordPress. Unternehmen können darüber übersichtlich die Kommunikation mit ihren Kunden abwickeln – unabhängig davon, welchen Kommunikationskanal (Webseite, Facebook Messenger, Telegram oder WhatsApp) diese nutzen. Userlike ist ein deutscher Anbieter. 200 Unternehmen nutzen das Live-Chat-Plugin.

Warum ist Userlike datenschutzrechtlich relevant?

Unternehmen erheben über Userlike Nutzerdaten. Je nachdem, wie sie das Live-Chat-Plugin konfigurieren, sammeln sie so Userdaten wie

  • Informationen zum Betriebssystem,
  • Informationen zum Browsertyp,
  • die IP-Adresse,
  • den Namen,
  • die Telefonnummer und
  • die E-Mail-Adresse.

Dabei handelt es sich zum Teil um personenbezogene Daten. Die Datenschutz-Grundverordnung (DSGVO) schützt diese besonders. Das bedeutet: Unternehmen müssen diverse datenschutzrechtliche Pflichten beachten, wenn sie Userlike verwenden.

Userlike DSGVO-konform nutzen

Halten sich Unternehmen an diese DSGVO-Pflichten, nutzen sie Userlike datenschutzkonform:

Vertrag zur Auftragsverarbeitung abschließen

Verwenden Unternehmen Userlike, geben sie Kundendaten an den Anbieter der Software weiter. Damit ist Userlike gemäß der DSGVO ein Auftragsverarbeiter. Das heißt: Unternehmen müssen mit diesem einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Das schreibt Art. 28 DSGVO vor. Der Vertrag muss dabei definieren,

  • welche Daten Userlike wie lange speichert,
  • warum und wie Userlike Kundendaten verarbeitet und
  • welche Rechte und Pflichten beide Seiten haben.

Versäumen es Unternehmen, mit Userlike einen AV-Vertrag zu schließen, müssen sie mit einem Bußgeld rechnen. Dies kann per Gesetz bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen. Das gibt Art. 83 Abs. 4 lit. a DSGVO vor.

Datenschutzerklärung aktualisieren

Unternehmen sammeln mit Userlike Nutzerdaten. Sie geben diese an den Anbieter weiter. Das müssen sie in ihrer Datenschutzerklärung aufführen. Im Detail müssen sie dabei erklären,

  • dass sie mit Userlike einen AV-Vertrag geschlossen haben,
  • welche Kundendaten sie an Userlike weiterreichen,
  • warum sie Kundendaten an Userlike weitergeben,
  • wie Userlike diese Daten verwendet und
  • dass User der Datenspeicherung und Datenweitergabe jederzeit widersprechen können.

Datenschutzinfo im Chat hinzufügen

Um Kunden transparent zu vermitteln, was mit ihren Daten bei Userlike passiert, können sie in dem Chatfenster einen Datenschutzhinweis anzeigen. Dieser erscheint dann, bevor Kunden den Chat starten. Sie müssen den Hinweis mit dem Anklicken eines Häkchens (Opt-In) bestätigen.

Datenschutz-Setup verlinken

Unternehmen können bei Userlike einen Link im Chat-Fenster einbinden, der User zu ihren Geschäftsbedingungen und zur Datenschutzerklärung weiterleitet.

Möglichst wenige Daten erheben

Unternehmen entscheiden selbst, welche Daten User angeben müssen, um mit ihnen über den Live-Chat zu kommunizieren. Userlike bietet die Möglichkeit, einen sogenannten Datenschutz-Modus zu aktivieren. Das Plugin sammelt dann nur noch Informationen, die Kunden aktiv bereitstellen – wie beispielsweise den Standort oder ein öffentliches Profil in sozialen Netzwerken. Es sammelt nicht mehr automatisch Userdaten wie IP, UserAgent, Referrer und Seitenaufrufe. Unternehmen erheben auf diese Weise möglichst wenige Daten – und erfüllen so den Anspruch der DSGVO auf Datensparsamkeit.

Userdaten regelmäßig löschen

Die DSGVO verlangt, dass Unternehmen Userdaten nur so lange behalten, wie sie diese tatsächlich benötigen oder es ein Gesetz verlangt. Damit Unternehmen Userdaten regelmäßig löschen, können sie diese bei Userlike mit einem Verfallsdatum versehen. Das Plugin löscht dann automatisch Daten wie Chat-Transkripte und Nachrichten nach einer vorgegebenen Zeit. Unternehmen können dabei einen Zyklus zwischen 1 und 36 Monaten wählen.

Cookie-Banner anpassen

Userlike speichert Cookies auf dem Computer von Nutzern, um eine Echtzeit-Kommunikation über den Live-Chat zu ermöglichen. Dafür benötigen Unternehmen die Zustimmung der User. Sie können diese über einen Cookie-Banner einholen, der Nutzer per Opt-In in die Datenerhebung einwilligen lässt.

Rechtsprechung zu Userlike

Unternehmen müssen ein Opt-In nutzen, um die Einwilligung von Usern in die Verwendung von Tracking-Cookies einzuholen. Eine vorangekreuzte Checkbox ist rechtlich nicht ausreichend. Das entschied der Bundesgerichtshof (BGH) im Mai 2020 (I ZR 7/16). Der Europäische Gerichtshof (EuGH) hatte bereits zuvor festgelegt: Seitenbetreiber dürfen nur dann Daten über Cookies sammeln, wenn User dem vorher zugestimmt haben. Dies gilt sowohl für personenbezogene Daten als auch für anonyme Daten (Oktober 2019, C-637/17).

5.000 Euro musste ein deutsches Versandunternehmen bezahlen, weil es keinen AV-Vertrag mit einem Dienstleister geschlossen hatte. Die Datenschutzbehörde Hamburg hatte daher am 17.12.2018 das Bußgeld angesetzt.

Verantwortliche Stelle für Datenverarbeitung

Die verantwortliche Stelle für Datenverarbeitung gibt an, welche Person oder Personen darüber entscheiden, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden. Dabei kann es sich um natürliche oder juristische Personen handeln.

Darum ist die verantwortliche Stelle für Datenverarbeitung datenschutzrechtlich relevant

Erheben Webseitenbetreiber personenbezogene Daten von Usern, müssen sie die Informationspflicht erfüllen, User darüber aufzuklären, welche Daten sie warum sammeln und verarbeiten. Dabei müssen sie auch klären, wer die verantwortliche Stelle ist, die die Erhebung und Verarbeitung verantwortet. Das schreibt Artikel 13 bzw. Artikel 14 der Datenschutz-Grundverordnung (DSGVO) vor.

So können Webseitenbetreiber die verantwortliche Stelle für Datenverarbeitung datenschutzkonform nennen

Webseitenbetreiber sollten im Rahmen ihrer Datenschutzerklärung auf die verantwortliche Stelle für Datenverarbeitung hinweisen. Dabei sollten sie diese Punkte nennen:

  • Name der Person oder des Unternehmens, die/das für die Datenverarbeitung verantwortlich ist
  • Anschrift des Verantwortlichen
  • Telefonnummer des Verantwortlichen
  • E-Mail des Verantwortlichen

Abschließend sollten Seitenbetreiber noch einmal genau erklären, wer die verantwortliche Stelle für die Verarbeitung der Daten generell sein kann. Dazu können sie eine ähnliche Formulierung wie diese verwenden:„Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen o. Ä.) entscheidet.“

Verarbeitung von Kunden- und Vertragsdaten

Schließen Nutzer online einen Vertrag, müssen Onlineshops und Dienstleistungsanbieter dafür in der Regel eine Reihe von personenbezogenen Daten abfragen, um die Leistung erfüllen zu können. Dazu zählen unter anderem sensible Daten wie Name, Adresse, Telefonnummer, E-Mail-Adresse und Kontoverbindung.

Voraussetzungen für die Verarbeitung von Kunden- und Vertragsdaten

Damit Unternehmen Kunden- und Vertragsdaten erheben dürfen, muss ihnen dies entweder gesetzlich erlaubt sein oder Kunden müssen in die Verarbeitung ausdrücklich einwilligt haben. Unternehmen dürfen die Daten per Gesetz erheben und verarbeiten, wenn sie diese zum Abschluss (z. B. Bestellbestätigung per E-Mail) oder zur Erfüllung eines Vertrags (z. B. Paketzustellung) benötigen. Das gewährt Artikel 6 der Datenschutz-Grundverordnung (DSGVO).

Rechte, die Kunden bei der Verarbeitung ihrer Daten haben

Während der Verarbeitung ihrer Daten gewährt die DSGVO Kunden bestimmte Rechte, denen Betreiber einer Webseite und Unternehmen nachkommen müssen. Dazu zählen:
Auskunftsrecht: Kunden haben das Recht, Auskunft darüber zu erhalten, welche Daten warum und in welchem Umfang gespeichert wurden. Unternehmen sollten also stets den Überblick behalten, welche Daten sie erhoben haben.

Widerspruchsrecht: Kunden haben das Recht, der Verarbeitung ihrer Daten zu widersprechen. Für den Abschluss oder die Erfüllung eines Vertrags könnte das jedoch bedeuten, dass Unternehmen dem dann nicht mehr nachkommen können.

Löschung von Kundendaten: Ist der Vertrag zwischen beiden Parteien erfüllt, müssen Unternehmen sicherstellen, dass die Kundendaten vor Zugriffen durch Dritte geschützt sind. Für die Praxis heißt das in der Regel, dass Kunden ein Recht darauf haben, dass Unternehmen ihre Daten löschen. Wollen sie die Daten über den eigentlichen Zweck hinaus speichern, verwenden oder an Dritte weitergeben, benötigen sie von den Kunden eine ausdrückliche Einwilligungserklärung.

Herausgabe von Daten: Kunden haben das Recht, dass Unternehmen ihnen ihre Daten jederzeit zur Verfügung stellen.

Verarbeitung von Kunden- und Vertragsdaten in Datenschutzerklärung nennen

Darüber hinaus müssen Unternehmen in ihrer Datenschutzerklärung darüber aufklären, wie sie mit den erhobenen Kunden- und Vertragsdaten umgehen. In diesem Rahmen müssen sie nennen,

  • welche Kunden- und Vertragsdaten sie erheben,
  • warum sie diese erheben,
  • was sie mit den Daten machen,
  • wie und warum sie diese gegebenenfalls an Dritte weiterreichen und
  • dass sie die Verantwortung übernehmen, die Daten der Kunden zu schützen.

Rechtsprechung zur Verarbeitung von Kunden- und Vertragsdaten

Das Landgericht Düsseldorf hat am 20.02.2017 entschieden, dass personenbezogene Daten nicht ohne Einwilligung an Dritte weitergegeben werden dürfen (Az. 5 O 400/16).

Verschlüsselter Zahlungsverkehr

Damit Online-Händler und Dienstleistungsanbieter Verträge mit Kunden schließen können, müssen sie in der Regel im Rahmen des Bestellprozesses ihre Kontodaten abfragen. Bei Zahlungsinformationen wie Namen und Kontonummer handelt es sich um personenbezogene Daten, die Unternehmen schützen müssen. Sie sollten daher ein Verschlüsselungsverfahren nutzen, das diese Daten vor einem Zugriff durch Dritte schützt.

Das sagt das Gesetz zur Verschlüsselung vom Zahlungsverkehr

Die Pflicht zur Verschlüsselung von personenbezogenen Daten und damit auch von Zahlungsinformationen ergab sich bis vor kurzem aus § 13 Abs. 7 TMG. Seit dem 25. Mai schreibt die Datenschutz-Grundverordnung (DSGVO) in Artikel 32 Abs. 1 vor, dass Seitenbetreiber unter Berücksichtigung des Stands der Technik und den dafür entstehenden Kosten geeignete Maßnahmen vornehmen müssen, um die Daten der User zu schützen. Artikel 32 Art. 1 lit. a) wird hier konkret und nennt eine Verschlüsselung von personenbezogenen Daten.

So können Webseitenbetreiber ihren Zahlungsverkehr sicher verschlüsseln

Unternehmen, die den Zahlungsverkehr auf ihrer Webseite verschlüsseln wollen, greifen in der Regel auf eine SSL- oder TLS-Verschlüsselung zurück. Diese schützen Namen und Kontodaten so, dass Dritte diese während der Übertragung nicht auslesen, manipulieren oder missbrauchen können. Dafür können Seitenbetreiber verschiedene Zertifikate erwerben. Diese Zertifikate zählen dabei zu den gängigen Varianten:

DV-Zertifikat: Das DV-Zertifikat bildet die einfachste Vertrauensstufe. Diese können Seitenbetreiber lediglich mit einer E-Mail erhalten und so innerhalb von wenigen Minuten in ihre Seite einbinden. Das Zertifikat bestätigt die Domain einer Seite. User können die Zertifizierung am kleinen Schloss neben der URL erkennen.

OV-Zertifikat: Das OV-Zertifikat weist einen höheren Validierungsgrad als das DV-Zertifikat auf, indem es nicht nur die Domain, sondern auch das Unternehmen, das hinter der Seite steht, bestätigt. Online-Händler und Dienstleistungsanbieter, die auf ihrer Seite sensible Daten wie Namen, Adresse und Zahlungsinformationen abfragen, greifen auf dieses Zertifikat zurück.

EV-Zertifikat: Ist eine Webseite über das EV-Zertifikat validiert, sehen User in der Adresszeile den Namen des Unternehmens in Grün. Es handelt sich dabei um die umfangreichste Validierung. Insbesondere Unternehmen aus der Finanz-Branche setzen auf dieses Zertifikat.

Verschlüsselung in Datenschutzerklärung aufführen

Unternehmen sollten die Verschlüsselung ihrer Seite und des Zahlungsverkehrs in ihrer Datenschutzerklärung ansprechen. Sie sollten User darüber informieren, dass sie aus Sicherheitsgründen vertrauliche Inhalte über SSL oder TSL verschlüsseln und die Daten so vor einem Zugriff schützen. Dabei können sie ihnen auch erklären, wie Nutzer die Verschlüsselung erkennen können.

Vimeo und Datenschutzerklärung

Vimeo ist ein Online-Video-Portal, auf dem User Videos hochlanden und anschauen können. Darüber hinaus können sie Videos anderer User kommentieren und bewerten. Das Portal hat ca. 170 Millionen Mitglieder.

Darum ist Vimeo datenschutzrechtlich bedenklich

Für eine Registrierung bei Vimeo müssen User ihren Vor- und Nachnamen sowie ihre E-Mail-Adresse angeben. Daneben müssen sie ein Passwort generieren. Alternativ können sich Nutzer auch per Single Sign On über Facebook oder Google im Netzwerk anmelden. Vimeo erhält dann Zugriff auf die Daten des gewählten Kontos. Melden sich User beispielsweise über Facebook bei Vimeo an, erhält das Video-Portal je nach Privatsphäre-Einstellungen Zugriff auf Informationen wie E-Mail, Freundeslisten und Interessen.

Sind Nutzer angemeldet, erfasst Vimeo alle Aktionen, die sie auf der Seite vornehmen. Das können unter anderem angeschaute Videos, erstellte Playlists und Kommentare sein. Darüber hinaus speichert das Netzwerk alle weiteren Informationen, die Nutzer in ihrem Profil hinterlegen. Entscheiden sie sich zudem für ein kostenpflichtiges Abonnement, müssen User auch ihre Bankverbindung angeben. Weiterhin erhebt Vimeo Daten zum verwendeten Browser, zum Endgerät und zur IP-Adresse.

Vimeo verwendet die gewonnenen Daten, um den Dienst bestmöglich und auf den User zugeschnitten anbieten zu können. Dafür gibt das Unternehmen einige Userdaten an Dritte („Authorized Service Providers“ und „Business-Partner“) weiter.

So können Unternehmen Vimeo-Videos datenschutzkonform auf ihrer Seite einbinden

Wollen Unternehmen Vimeo-Videos per Einbettungscode auf ihrer Webseite einbinden, müssen sie dafür sorgen, dass Vimeo dabei nicht automatisch die Daten der Webseitenbesucher ausliest. Denn: Das Einbetten von Vimeo-Videos setzt automatisch Cookies im Browser der User und speichert so ihr Verhalten auf der Seite. Webseitenbetreiber sollten daher auf Plugins zurückgreifen, die Vimeo erst dann Daten erfassen lassen, wenn User auf das Video geklickt und der Datenerfassung zugestimmt haben. Plugins lassen eine Zwei-Klick-Lösung auf der Seite implementieren, so dass User vor Abspielen des Videos einen Hinweis sehen, der sie darüber aufklärt, dass das Video bei Klick auf Play personenbezogene Daten wie die IP-Adresse an Vimeo sendet.

Daneben müssen Webseitenbetreiber User in ihrer Datenschutzerklärung darauf hinweisen, dass und wie sie Vimeo-Videos auf ihrer Seite verwenden. In diesem Rahmen sollten sie Nutzer hier auch noch einmal informieren, dass Vimeo durch das Anschauen der Videos personenbezogene Daten von ihnen erhält.

Rechtsprechung zu Vimeo

Aktuell entscheidet der Europäische Gerichtshof darüber, ob der auf Webseiten implementierte Facebook-Like-Button gegen deutsche Datenschutzbestimmungen verstößt. Sollte das Gericht zu dem Schluss kommen, dass dem so ist, könnte das auch Auswirkungen auf die Zulässigkeit auf das Einbinden von Vimeo-Videos haben. Denn: Vimeo sammelt wie Facebook auf externen Webseiten personenbezogene Daten von Usern ein, ohne dass diese ihnen dafür die Erlaubnis erteilen.

Webex

Webex ist eine SAAS-Anwendung des US-amerikanischen Anbieters Cisco Webex. Unternehmen können darüber Videokonferenzen und IP-Telefonie abhalten, Instant-Messaging nutzen, Dateien übertragen und ihren Bildschirm mit anderen Usern teilen. Webex selbst gibt an, dass die Chrome-Erweiterung von rund 20 Millionen Nutzern weltweit verwendet wird. Insgesamt halten monatlich 52 Millionen Nutzer bis zu 3 Milliarden Meeting-Minuten ab.

Warum ist Webex datenschutzrechtlich relevant?

Webex erhebt und speichert verschiedene personenbezogene Daten. Welche das sind, hängt auch davon ab, welche Angaben User vor und während der Teilnahme an einem Meeting machen und welche Einstellungen sie für die Nutzung wählen.

In der Regel erhebt Webex

  • den Namen und die E-Mail-Adresse der Benutzer
  • Meeting-Daten wie das Thema und die Beschreibung,
  • IP-Adressen der Teilnehmer,
  • Geräte- und Hardware-Informationen der Teilnehmer,
  • bei Aufzeichnungen alle Video- und Audioaufnahmen
  • sowie eine Textdatei von Online-Meeting-Chats.

Wählen sich Nutzer per Telefon bei Webex ein, speichert der Anbieter

  • die Telefonnummer,
  • das Land und
  • gegebenenfalls Verbindungsdaten wie die IP-Adresse des Geräts.

Unternehmen, die Webex verwenden, müssen daher besondere datenschutzrechtliche Pflicht erfüllen.

Webex datenschutzkonform einsetzen

Um Webex gemäß der Datenschutz-Grundverordnung (DSGVO) zu verwenden, müssen Unternehmen diese Anforderungen erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Geben Unternehmen personenbezogene Daten an Dritte weiter, müssen sie mit dem Dritten einen Vertrag zur Auftragsverarbeitung abschließen. Diese Pflicht ergibt sich aus Art. 28 DSGVO. Mit Webex sammeln Unternehmen personenbezogene Daten ihrer Gesprächsteilnehmer. Sie müssen mit dem Anbieter daher einen Vertrag zur Auftragsverarbeitung schließen. Dieser sollte führen,

  • welche personenbezogenen Daten Webex erhebt und speichert,
  • wie lange der Anbieter diese Daten speichert,
  • warum er die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen, die mit Webex einen Vertrag zur Auftragsverarbeitung schließen, müssen das in ihrer Datenschutzerklärung erwähnen. Dabei müssen sie erklären,

  • warum sie welche personenbezogenen Daten speichern,
  • wie lange sie diese Daten speichern,
  • welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Nutzer der Erhebung ihrer Daten jederzeit widersprechen können.

Webex datensparsam verwenden

Unternehmen sollten Webex so konfigurieren, dass es nur die Daten erhebt, die sie für das Meeting oder die Zusammenarbeit benötigen. Auf diese Weise erfüllen sie den Grundsatz der Datensparsamkeit der DSGVO. Für die Praxis heißt das: Sie sollten Meetings grundsätzlich nicht aufzeichnen. Wollen sie eine Besprechung aufzeichnen, muss das

  • einem erlaubten Zweck dienen,
  • geeignet sein, diesen Zweck zu erfüllen und
  • erforderlich sein, diesen Zweck zu erreichen.

Unternehmen dürfen die über Webex erhobenen Daten zudem nur so lange aufbewahren, wie sie diese tatsächlich benötigen.

Kritik der Berliner Datenschutzbehörde

Trotz dieser Datenschutzmaßnahmen kann es sein, dass Unternehmen Webex derzeit nicht datenschutzkonform nutzen können. So erklärte die Berliner Datenschutzbehörde im Sommer 2020, dass Webex Mängel aufweise, die keine rechtskonforme Nutzung erlaubten. Die Software benötige wesentliche Anpassungen der Geschäftsabläufe und/oder der Technik. Besonders problematisch stufte die Datenschutzbehörde die zur Verfügung gestellten Verträge zur Auftragsverarbeitung ein.

Rechtsprechung zu Webex

Bisher liegt, soweit ersichtlich, keine Rechtsprechung zum Thema Webex und Datenschutz vor. Grundsätzlich sollten Unternehmen jedoch sicherstellen, dass sie mit Webex einen Vertrag zur Auftragsverarbeitung schließen. Denn: Die Datenschutzbehörde Hamburg sprach im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro gegen ein Versandunternehmen aus. Dies hatte es versäumt, mit einem beauftragten Dienstleister einen Vertrag zur Auftragsverarbeitung zu schließen.

Webinaris

Webinaris ist eine Softwarelösung für automatisierte Webinare. Unternehmen, die Webinare anbieten, müssen diese nicht mehr live vor ihren Usern halten, sondern können die Videos bei Webinaris hinterlegen und dann automatisiert abspielen lassen. Webinaris hat auf diese Weise weltweit bereits knapp 1.000.000 Webinare für über 21.000.000 Teilnehmer abgespielt.

Warum ist Webinaris datenschutzrechtlich relevant?

Webinaris erhält einen umfassenden Einblick in den Datenverkehr zwischen seinen Kunden und deren Webinar-Teilnehmern. Dabei sammelt Webinaris unter anderem diese Teilnehmer-Daten:

  • E-Mail-Adresse
  • Namen
  • Browser- und Systemdaten
  • IP-Adresse
  • Sprache
  • Zeitzone
  • Daten, die Teilnehmer im Chat bereitstellen

Webinaris erhebt auf diese Weise personenbezogene Daten. Unternehmen, die die Dienste von Webinaris in Anspruch nehmen, müssen daher verschiedenen datenschutzrechtlichen Anforderungen nachkommen.

Webinaris datenschutzkonform nutzen

Um Webinaris im Einklang mit der Datenschutz-Grundverordnung (DSGVO) zu nutzen, müssen Unternehmen diese Pflichten erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen, die personenbezogene Kundendaten an Dritte weitergeben, müssen mit diesen gemäß Art. 28 DSGVO einen Vertrag zur Auftragsverarbeitung abschließen. Webinaris stellt seinen Kunden diesen Vertrag im internen Bereich zur Verfügung. Sie sollten dabei darauf achten, dass der Vertrag aufführt,

  • welche Kundendaten Webinaris sammelt und speichert,
  • warum es diese Daten erhebt und verarbeitet,
  • wie lange es diese Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen, die Webinaris nutzen, müssen in ihrer Datenschutzerklärung erwähnen, dass sie mit dem Anbieter einen Vertrag zur Auftragsverarbeitung geschlossen haben. Dabei sollten sie auch erklären,

  • warum sie Daten an Webinaris weitergeben,
  • wie lange Webinaris diese Daten speichert,
  • wie Webinaris die Daten verarbeitet,
  • welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Nutzer der Einwilligung in die Datenerhebung jederzeit widersprechen können.

Rechtsprechung zur Verwendung von Webinaris

Die Datenschutzbehörde Hamburg hat gegen ein Versandunternehmen, das mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung abgeschlossen hatte, ein Bußgeld ausgesprochen. Dabei legte die Behörde am 17.12.2018 ein Bußgeld von 5.250 Euro fest. Grundsätzlich droht Unternehmen bei diesem Verstoß ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent ihres weltweiten Jahresumsatzes.

WhatsApp

WhatsApp ist ein Instant-Messaging-Dienst. User können darüber Textnachrichten, Fotos, Videos und Sprachnachrichten verschicken. Darüber hinaus können sie Standortinformationen, Dokumente, Links und Kontaktdaten teilen. WhatsApp verfügt weltweit über mehr als 2 Milliarden Nutzer. Das Unternehmen gehört zum Mutterkonzern Facebook.

Warum ist WhatsApp datenschutzrechtlich relevant?

WhatsApp speichert die Daten, die User mit der App teilen. Das sind zum Beispiel

  • Nachrichten,
  • Fotos,
  • Videos,
  • Telefonnummern,
  • Standortdaten und
  • hinterlegte Profilbilder.

Fotos und Videos werden bei WhatsApp eigenen Angaben zufolge jedoch nur zwischengespeichert. Dann entfernt WhatsApp diese. Nachrichten speichert die App nur, bis der Empfänger sie erhalten hat. Danach löscht sie diese. Wird eine Nachricht von innerhalb 30 Tagen nicht zugestellt, löscht WhatsApp diese ebenfalls. Die App speichert zudem Rechnungsdaten.

Darüber hinaus erhebt und verarbeitet die App Metadaten. Dazu zählen unter anderem

  • Geräteinformationen,
  • die Art und Häufigkeit der App-Nutzung und
  • wann wer Nachrichten an wen verschickt.

In seinen AGB gibt WhatsApp an, erhobene Daten an den Mutterkonzern Facebook weiterzugeben. Daneben hält es sich offen, Daten mit externen Unternehmen, Dienstleistern und Partnern zu teilen.
Für die Praxis heißt das: Nutzen Unternehmen WhatsApp und kommunizieren sie darüber mit ihren Kunden oder Mitarbeitern, erheben sie personenbezogene Daten und geben diese an Dritte weiter. Unternehmen müssen daher besondere datenschutzrechtliche Pflichten erfüllen.

WhatsApp datenschutzkonform verwenden

Es ist rechtlich fraglich, ob Unternehmen WhatsApp datenschutzkonform verwenden können. Sie sollten jedoch in jedem Fall diese Anforderungen erfüllen:

Einwilligung der Kontakte einholen

Bevor Unternehmen mit ihren Kunden oder Mitarbeitern über WhatsApp kommunizieren, müssen sie von all ihren hinterlegten Kontakten die Erlaubnis einholen, ihre Telefonnummer erheben zu dürfen. Zudem benötigen sie die Einwilligung, diese und weitere Daten mit WhatsApp teilen zu dürfen. Denn: WhatsApp greift auf alle im Smartphone hinterlegten Kontakte zurück.

Vertrag zur Auftragsverarbeitung abschließen

Verwenden Unternehmen WhatsApp, leiten sie personenbezogene Daten an den Konzern und damit an einen Dritten weiter. Artikel 28 der Datenschutz-Grundverordnung (DSGVO) schreibt dafür vor: Sie müssen einen Vertrag zur Auftragsverarbeitung abschließen. Unternehmen sollten darauf achten, dass sie in dem Vertrag aufführen,

  • welche Daten WhatsApp speichert,
  • warum und wie lange es diese Daten speichert und
  • welche Rechte und Pflichten die Verantwortliche haben.

Unternehmen haben bei WhatsApp nicht die volle Kontrolle über die Weitergabe ihrer Daten. Um die Privatsphäre von Kunden und Mitarbeitern zu schützen, empfiehlt es sich daher, ein alternatives Kommunikationsmittel zu verwenden.

Datenschutzerklärung anpassen

Unternehmen müssen in ihrer Datenschutzerklärung erwähnen, dass sie mit WhatsApp einen Vertrag zur Auftragsverarbeitung geschlossen haben. Darin müssen sie aufführen, wie WhatsApp die Nutzerdaten verwendet. Sie müssen auch erklären, warum sie für den Einsatz von WhatsApp

  • personenbezogene Daten erheben,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 UAbs. 1 DSGVO) und
  • dass User die Einwilligung in die Datenerhebung jederzeit widerrufen können.

Rechtsprechung zu WhatsApp

Seit 2018 prüft die irische Datenschutzbehörde IPC, ob WhatsApp die Informationspflichten aus Art. 12 - 14 DSVO verletzt hat. Dabei steht vor allem die Frage im Zentrum, ob WhatsApp unzureichend über die Weitergabe von Userdaten an Facebook informiert. Das IPC hat mittlerweile einen Beschlussentwurf vorgelegt. WhatsApp kann dazu Stellung nehmen. Danach erhalten die zuständigen Aufsichtsbehörden der Mitgliedsstaaten den Entwurf. Sie können diesem zustimmen oder dagegen Einspruch einlegen.

Whereby

Whereby ist ein browserbasiertes Tool für Online-Meetings. Unternehmen können darüber mit Geschäftspartnern und Kunden chatten, Videokonferenzen abhalten und Dateien austauschen. Teilnehmer müssen sich dabei nicht anmelden oder eine Software installieren. Sie können per Link an Sitzungen teilnehmen. Whereby ist ein Produkt des Anbieters Video Communication Services AS aus Norwegen.

Warum ist Whereby datenschutzrechtlich relevant?

Unternehmen erheben über Whereby verschiedene Userdaten. Je nach Verwendung des Programms zählen dazu unter anderem

  • E-Mail-Adressen,
  • Chat-Nachrichten,
  • IP-Adressen und
  • Dateien.

Unternehmen können über die Software zudem Videomeetings aufzeichnen. Sie erheben so zum Teil personenbezogene Daten. Sie müssen daher verschiedene Vorgaben der Datenschutz-Grundverordnung (DSGVO) beachten.

Whereby DSGVO-konform verwenden

Um Whereby datenschutzkonform zu nutzen, müssen Unternehmen auf diese Pflichten der DSGVO achten:

Datenschutzerklärung anpassen

Ob über Chat-Inhalte, Videoaufzeichnungen oder Dateien – Unternehmen erheben über Whereby Userdaten. Das müssen sie in ihrer Datenschutzerklärung erwähnen. Nach Art. 13 Abs. 1 DSGVO müssen sie dabei unter anderem aufführen,

  • warum sie über Whereby welche Daten sammeln,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen die Datenverarbeitung nach der DSGVO erlaubt und
  • dass User der Datenerhebung und -speicherung widersprechen können.

Um Nutzern einen besseren Einblick in die Verarbeitung ihrer Daten bei Whereby zu geben, sollten Seitenbetreiber auf die Datenschutzbestimmungen und Nutzungsbedingungen des Anbieters verweisen. Hinweise auf den Privacy Shield sollten sie aus ihrer Datenschutzerklärung entfernen. Dieser stellt keine rechtliche Grundlage mehr für Datentransfers dar.

Datensparsamkeit beachten

Unternehmen können User zu Chats und Video-Meetings einladen, ohne dass diese Daten zu ihrer Person angeben müssen. Unternehmen sollten daher nur dann Nutzerdaten abfragen, wenn sie diese unbedingt benötigen. Das schreibt der Grundsatz der Datensparsamkeit der DSGVO vor. Demnach dürfen Unternehmen nur Daten erheben, wenn diese

  • einem erlaubten Zweck dienen,
  • geeignet sind, diesen Zweck zu erfüllen und
  • erforderlich sind, um diesen Zweck zu erreichen.

Daten, die Unternehmen über Whereby erhoben haben, dürfen sie nur so lange speichern, wie sie diese für den angestrebten Zweck benötigen oder es ein Gesetz vorgibt.

In der Praxis sollten Business-Inhaber vor allem Videokonferenzen nicht aufzeichnen. Denn: Auf diese Weise sind Personen eindeutig identifizierbar. Sie erheben so personenbezogene Daten. Sie dürfen Videokonferenzen nur aufzeichnen, wenn sie dabei den Grundsatz der Datensparsamkeit einhalten.

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen erheben über Whereby Userdaten und geben diese an den dahinterstehenden Anbieter Video Communication Services AS weiter. Dafür müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Dieser liegt bei Whereby in Form eines Data Processing Agreements vor. Unternehmen können dies jedoch nur eingehen, wenn sie über einen Business-Account bei Whereby verfügen. Nutzen sie die Software nicht als Unternehmen, sondern als individueller Nutzer, sieht sich Video Communication Services AS nicht als Auftragsverarbeiter. Unternehmen können dann keinen AV-Vertrag abschließen.

Bei Abschluss des DPA sollten Business-Inhaber darauf achten, dass dies klarstellt,

  • welche Nutzerdaten Whereby erhält und speichert,
  • wie lange es die Daten speichert,
  • warum Whereby die Daten erhebt und speichert und
  • welche Rechte und Pflichten beide Seiten haben.

Haben Unternehmen einen AV-Vertrag mit Whereby geschlossen, müssen sie in ihrer Datenschutzerklärung darauf hinweisen.

Standardvertragsklauseln prüfen

Whereby verwendet Standardvertragsklauseln, um Datentransfers über seine Software datenschutzkonform zu gestalten. Unternehmen müssen überprüfen, ob die Vertragsklauseln den Vorgaben der DSGVO genügen. Whereby speichert seine erhobenen Daten in Norwegen und in den USA. Der Datentransfer in die USA könnte dafür sorgen, dass die Standardvertragsklauseln nicht den Vorgaben der DSGVO genügen. Denn: Dort kommen Überwachungsprogramme zum Einsatz, die nicht auf das zwingend erforderliche Maß beschränkt sind. Es ist daher unklar, ob die von Whereby verwendeten Standardvertragsklauseln ausreichen, um die Software DSGVO-konform zu nutzen.

Rechtsprechung zu Whereby

Der Privacy Shield ist nicht geeignet, um datenschutzkonform Userdaten in die USA zu versenden. Das stellte der Europäische Gerichtshof (EuGH) im Sommer 2020 fest. Das Datenschutzniveau der USA entspricht nicht dem der DSGVO. Das ist laut der Richter vor allem darauf zurückzuführen, dass das Land Überwachungsprogramme einsetzt, die über das zwingend erforderliche Maß hinausgehen. Und: Sollten US-amerikanische Behörden oder Unternehmen die Daten von deutschen Nutzern missbrauchen, können sich diese juristisch nicht dagegen wehren.

Das Versandunternehmen Kolibri Image hatte einen spanischen Dienstleister beauftragt. Es schloss mit diesem jedoch keinen AV-Vertrag, da es sich nicht verpflichtet sah, den Vertrag selbst aufzusetzen. Die Datenschutzbehörde Hamburg bejahte diese Pflicht jedoch. Sie verhängte daher ein Bußgeld in Höhe von 5.000 Euro zuzüglich 250 Euro Gebühren (17.12.2018).

Widerruf der Einwilligung zur Datenverarbeitung

User, die in die Verarbeitung ihrer personenbezogenen Daten eingewilligt haben, können diese Einwilligung widerrufen. Dieses Recht schreibt ihnen Artikel 7, Absatz 3 der Datenschutz-Grundverordnung (DSGVO) zu.

Widerruf der Einwilligung in der Praxis

Nutzer müssen beispielsweise in die Verarbeitung ihrer Daten einwilligen, wenn sie einen Newsletter bestellen wollen. Diese Erlaubnis können sie jedoch widerrufen, wenn sie keine weiteren E-Mails mehr erhalten wollen.

Wie können Verbraucher ihre Einwilligung widerrufen?

Verbraucher können ihre Einwilligung nach Artikel 7 Abs. 1 DSGVO widerrufen, wenn sie vorher eine Einwilligung nach Artikel 6 Abs. 1 DSGVO erteilt haben. Die Verantwortlichen müssen Usern dabei den Widerruf genauso einfach machen wie die Erteilung der Einwilligung. Das heißt: Sie dürfen beispielsweise nicht einen einzelnen Ansprechpartner bestimmen, an den sich Nutzer wenden müssen, um ihren Widerruf auszusprechen.

In der Praxis müssen also wenige Klicks eine Einwilligung widerrufen lassen. Bei der Abbestellung eines Newsletters kann das beispielsweise ein Unsubscribe-Link am Ende jeder Mail sein. User sollten ihre Datenverarbeitung hierüber mit einem oder zwei Klicks widerrufen können. Das schreibt das Simplizitätsgebot vor.

Wann können Betroffene ihre Einwilligung nicht widerrufen?

Verbraucher haben kein Recht, ihre Einwilligung zu widerrufen, wenn die Datenverarbeitung erforderlich ist, um beispielsweise einen Vertrag zu erfüllen oder vorvertragliche Maßnahmen durchzuführen. Für die Praxis heißt das: Betroffene können die Verarbeitung ihrer Daten nicht widerrufen, wenn sie in einem Onlineshop ein Produkt bestellen. Denn: Ohne personenbezogene Daten wie die Adresse des Kunden kann ein Shop einen bestellten Artikel nicht liefern und damit den Vertrag nicht erfüllen.

Diese Pflichten haben Seitenbetreiber

Seitenbetreiber müssen bereits bei einer Einwilligung in die Verarbeitung personenbezogener Daten darauf hinweisen, dass User diese Einwilligung jederzeit widerrufen können. Widerruft ein User seine Einwilligung, dürfen Unternehmen die personenbezogenen Daten nicht mehr verwenden. Ein Widerruf wirkt zudem erst für die Zukunft. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.

Wenn sich Seitenbetreiber nicht an die rechtlichen Vorgaben zur Einwilligung oder zum Widerruf der Verarbeitung personenbezogener Daten halten, droht ihnen eine Geldbuße von bis zu 20 Millionen Euro oder von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Das gibt Art. 83 Abs. 5a) DSGVO vor.

Rechtsprechung zum Widerruf der Einwilligung zur Datenverarbeitung

Soweit ersichtlich, liegt bisher keine Rechtsprechung zum Widerruf der Einwilligung zur Datenverarbeitung vor. Das Kammergericht Berlin hat jedoch am 31.01.2017 ein Urteil zum Widerspruch der Datenverarbeitung gefällt: Wenn User mit mehreren E-Mail-Adressen im Bestandskundenverteiler eines Händlers registriert sind, müssen sie bei einem Widerspruch alle Adressen nennen, für die sie keine Mails mehr bekommen wollen (Az. 5 U 63/17).

Und: Das Oberlandesgericht München kam in einem Fall der E-Mail-Werbung gegenüber Bestandskunden einer Partnerbörse am 15.02.2018 zu dem Ergebnis: Der Hinweis „Um diese Mail nicht mehr zu erhalten, klicken Sie hier“ ist verständlich und ausreichend, um Empfänger auf ihre Widerspruchsmöglichkeit hinzuweisen (Az. 29 U 2799/17).

Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO)

Nutzer, die in die Erhebung und Verarbeitung ihrer Daten eingewilligt haben, können dieser widersprechen. Dabei gibt Artikel 21 der Datenschutz-Grundverordnung (DSGVO) vor, dass sie aus Gründen ihrer besonderen Situation einen Widerspruch einlegen können, wenn die Datenverarbeitung gemäß Artikel 6 Abs. 1 lit. e oder f DSGVO erfolgt ist. Und: User können jederzeit der Datenerhebung oder -verarbeitung widersprechen, wenn Unternehmen mit den personenbezogenen Daten Direktwerbung betreiben wollen.

Welche Datenerhebung beschreibt Artikel 6 Abs. 1 lit. e und f DSGVO?

Artikel 6 Abs. 1 lit. e DSGVO gibt vor, dass personenbezogene Daten verarbeitet werden dürfen, wenn eine Aufgabe erfüllt werden muss, die im öffentlichen Interesse liegt oder in der Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. In der Praxis kann das zum Beispiel eine Berichterstattung der Presse über eine Person von öffentlichem Interesse, wie der Bundeskanzlerin, sein.

Artikel 6 Abs. 1 lit. f DSGVO gibt vor, dass Verantwortliche personenbezogene Daten erheben und verarbeiten dürfen, wenn sie damit ihre berechtigten Interessen wahren. Das gilt nur, solange nicht die Interessen oder Grundrechte der betroffenen Person überwiegen. In der Praxis kann das zum Beispiel die Videoüberwachung eines Firmengeländes sein. Hier überwiegt das Interesse der Firma, ihr Areal abzusichern, das Interesse des Betroffenen, nicht gefilmt zu werden.

Pflichten der Seitenbetreiber bei einem Widerspruch

Seitenbetreiber müssen in ihrer Datenschutzerklärung darauf hinweisen, wann User ein Widerspruchsrecht haben. Haben User der Datenerhebung oder -verarbeitung widersprochen und überwiegt ihr Interesse das der Verantwortlichen, dürfen diese die personenbezogenen Daten nicht mehr verarbeiten. Das schreibt Artikel 21 Abs. 1 DSGVO vor.

Wollen User, dass ihre personenbezogenen Daten nicht mehr für Direktwerbung – also vor allem für schriftliche Werbung in Form von Post oder Prospekten – verwendet werden, müssen die Verantwortlichen dem nachkommen. Dabei muss keine Abwägung der Interessen stattfinden. Es handelt es sich dann um einen Widerspruch nach Art. 21 Abs. 2 DSGVO.

Beschwerderecht der Betroffenen

Kommen Verantwortliche ihren Pflichten aus Art. 21 DSGVO nicht nach, zum Beispiel, weil ein Unternehmen trotz Widerspruch weiter personenbezogene Daten für Direktwerbung verwendet, können sich Betroffene bei der zuständigen Aufsichtsbehörde beschweren.

Strafen bei einem Verstoß

Kommen Verantwortliche ihren Pflichten aus Artikel 21 DSGVO nicht nach, drohen ihnen Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Das gibt Art. 83 Abs. 5a) DSGVO vor.
Rechtsprechung zum Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO).

Das Landgericht Frankfurt am Main hat am 28.02.2019 entschieden: Versendet ein Unternehmen trotz Werbewiderspruch Briefwerbung an einen Verbraucher, begeht es einen Wettbewerbsverstoß (Az. 2-03 O 337/18). Dabei kann sich das Unternehmen nicht damit rechtfertigen, dass der Briefversand aus Versehen durch einen menschlichen Fehler passiert ist. Denn: Bei einer personalisierten Briefwerbung gelten gesteigerte Sorgfaltspflichten.

Datenschutzerklärung und Widerspruch gegen Werbe-E-Mails

Werbe-E-Mails gehören für Seitenbetreiber zum Standard-Repertoire im Online-Marketing. Dabei holen sie sich zunächst die Einwilligung der User ein, ihnen werbliche Mails zuschicken zu dürfen, um sie dann mit Newslettern zu versorgen. Dieser Erlaubnis können Verbraucher jedoch widersprechen, wenn sie keine weiteren E-Mails mehr wünschen. Dieses Recht spricht ihnen Art. 7 Abs. 3 DSGVO zu.

Diese Pflichten haben Seitenbetreiber

Seitenbetreiber müssen Verbraucher auf ihr Widerspruchsrecht hinweisen, bevor diese ihre Einwilligung in den Versand von Werbe-E-Mails abgeben. Wollen Nutzer von ihrem Widerspruch Gebrauch machen, müssen Seitenbetreiber das „Simplizitätsgebot“ einhalten. Das heißt: Sie müssen Usern den Widerspruch genauso einfach machen wie die Erteilung der Einwilligung. Sie dürfen daher beispielsweise nicht einen einzelnen Ansprechpartner bestimmen, an den sich User wenden müssen, wenn sie keine Werbe-E-Mails mehr bekommen wollen.

In der Praxis reicht es dabei in der Regel aus, wenn Seitenbetreiber am Ende jeder Mail einen „Unsubscribe-Link“ einfügen, über den User mit einem Klick den Mailversand abbestellen können. Haben Verbraucher ihre Widerspruchsmöglichkeit genutzt, dürfen Seitenbetreiber ihre personenbezogenen Daten nicht mehr verwenden. Damit bezieht sich der Widerspruch nicht nur auf das Zusenden von Werbe-E-Mails, sondern auf die gesamte Verarbeitung ihrer Daten.

Das droht Webseitenbetreibern bei einem Verstoß

Halten sich Seitenbetreiber nicht an die rechtlichen Vorgaben zur Einwilligung oder zum Widerspruch von personenbezogenen Daten, drohen ihnen Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Das schreibt Art. 83 Abs. 5a) DSGVO vor.

Rechtsprechung zum Widerspruch von Werbe-E-Mails

Das Oberlandegericht München hat im Rahmen eines Falls zu E-Mail-Werbung gegenüber Bestandskunden einer Partnerbörse am 15.02.2018 entschieden, dass der Hinweis „Um diese Mail nicht mehr zu erhalten, klicken Sie hier“ verständlich und ausreichend ist, um Empfänger auf ihre Widerspruchsmöglichkeit hinzuweisen (Az. 29 U 2799/17).

Darüber hinaus hat das Kammergericht Berlin am 31.01.2017 festgestellt, dass User, die mit mehreren E-Mail-Adressen im Bestandskundenverteiler eines Händlers registriert sind, bei einem Widerspruch alle Adressen nennen müssen, wenn sie über keine der Adressen mehr Mails bekommen wollen (Az. 5 U 63/17).

Wix

Wix ist eine Cloud-basierte Online-Plattform, mit der Unternehmen ihre eigene Webseite erstellen können. Wix bietet Usern dafür ein Baukasten-System, über das sie selbst entscheiden können, welche Funktionen und Designs sie für ihre Seite verwenden möchten.

Warum ist Wix datenschutzrechtlich relevant?

Je nachdem, wie Seitenbetreiber Wix für ihre Webpräsenz nutzen, erheben sie verschiedene Daten ihrer Webseitenbesucher. Das können zum Beispiel Daten wie

  • Name,
  • E-Mail,
  • Adresse,
  • IP-Adresse und
  • Telefonnummer sein.

Dabei handelt es sich um personenbezogene Daten. Seitenbetreiber müssen daher bestimmte Vorgaben der Datenschutz-Grundverordnung (DSGVO) beachten.

Und: Wix speichert die Daten der Webseitenbesucher an verschiedenen Orten. Das können Rechenzentren in der EU, in den USA, Irland, Südkorea, Taiwan oder Israel sein. Wix selbst gibt an, dass es Daten nur in den Ländern verarbeitet und speichert, in denen laut der EU-Kommission auf Grundlage einer Angemessenheitsentscheidung ein angemessenes Schutzniveau herrscht. Seitenbetreiber müssen für den internationalen Datentransfer dennoch weitere datenschutzrechtliche Pflichten erfüllen.

So können Seitenbetreiber Wix datenschutzkonform verwenden

Damit Unternehmen Wix gemäß den Anforderungen der DSGVO verwenden, müssen sie auf diese Vorgaben achten:

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen erheben über Wix personenbezogene Daten. Sie geben diese an den Anbieter der Software weiter. Dafür müssen sie mit Wix einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Diese Pflicht schreibt ihnen Art. 28 DSGVO vor. Für die Praxis bedeutet das: Unternehmen müssen in dem Vertrag festhalten,

  • warum Wix personenbezogene Daten erfasst,
  • um welche Daten es sich dabei genau handelt,
  • wie lange es diese Daten speichern will und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen erheben personenbezogene Daten ihrer Webseitenbesucher und geben diese an Wix weiter. Das müssen sie in ihrer Datenschutzerklärung erwähnen. Dabei sollten sie darauf hinweisen, dass sie dafür mit Wix einen AV-Vertrag geschlossen haben. Im Detail sollten Unternehmen in der Datenschutzerklärung aufführen,

  • warum sie die personenbezogenen Daten an Wix weitergeben,
  • wie lange sie die Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. f DSGVO) und
  • dass User der Datenerhebung und Datenspeicherung jederzeit widersprechen können.

Um Webseitenbesuchern einen Einblick in die konkrete Datenverarbeitung von Wix zu geben, sollten Unternehmen zudem auf die Datenschutzbestimmungen und Nutzungsbedingungen von Wix hinweisen. Nutzer können dann selbst überprüfen, was mit ihren Daten bei Wix passiert. Und: Seitenbetreiber müssen Hinweise auf den Privacy Shield aus ihrer Datenschutzerklärung entfernen. Der Privacy Shield stellt keine rechtliche Grundlage mehr dar, um Daten rechtskonform in die USA zu verschicken.

Standardvertragsklauseln prüfen

Wix verwendet Standardvertragsklauseln, um die Daten seiner Kunden von der EU in andere Länder wie die USA, Südkorea und Israel zu versenden. Unternehmen müssen diese Klauseln dahingehend überprüfen, ob das Datenschutzniveau in dem Zielland ähnlich hoch ist wie in der EU. Nur wenn das der Fall ist, dürfen Seitenbetreiber Daten auf Basis der Standardvertragsklauseln versenden.

Rechtsprechung zu Wix

Im Juli 2020 hat der Europäische Gerichtshof (EuGH) festgestellt: Der Privacy Shield ist unwirksam, um darüber personenbezogene Daten in die USA zu versenden. Die Richter begründeten diese Entscheidung damit, dass in den USA kein angemessenes Datenschutzniveau herrscht. Denn: Dort sind die Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt. Zudem können Verbraucher nicht gegen US-amerikanische Unternehmen und Institutionen klagen, wenn diese ihre Daten missbräuchlich verwenden (Az. C-311/18).

Unternehmen, die personenbezogene Daten an Dritte weitergeben, müssen mit diesen einen AV-Vertrag schließen. Kommen sie dieser Pflicht nicht nach, droht ihnen ein Bußgeld. Dies kann bei bis zu 10 Millionen Euro oder 2 Prozent ihres Jahresumsatzes betragen. Die Datenschutzbehörde Hamburg sprach in diesem Kontext ein Bußgeld gegen ein Versandunternehmen aus. Dies musste 5.000 Euro Strafe zahlen, da es keinen AV-Vertrag mit einem beauftragten Dienstleister geschlossen hatte.

Wordfence

Wordfence ist ein Plugin für das Content-Management-System WordPress. Unternehmen können darüber ihre Webseite vor unberechtigten Zugriffen und Angriffen schützen. Dabei kommen unter anderem eine Endpunkt-Firewall und ein Malware-Scanner zum Einsatz. Wordfence ist auf rund 3 Millionen Webseiten aktiv. Mit über 180 Millionen Downloads ist es das beliebteste WordPress Security Plugin.

Warum ist Wordfence datenschutzrechtlich relevant?

Um Brute-Force- und DDoS-Angriffe zu erkennen, speichert Wordfence die IP-Adressen der User. Dafür setzt es 3 verschiedene First-Party-Cookies. Unbedenklich eingestufte IP-Adressen setzt die Software auf eine White List. Bedenkliche IP-Adressen landen auf einer Blacklist. Wordfence versendet die gesammelten Daten an seine Server in den USA.

Bei IP-Adressen handelt es sich um personenbezogene Daten. Seitenbetreiber müssen daher besondere datenschutzrechtliche Pflichten erfüllen.

Wie können Seitenbetreiber Wordfence datenschutzkonform nutzen?

Um Wordfence datenschutzkonform zu verwenden, müssen Seitenbetreiber diesen Anforderungen der Datenschutz-Grundverordnung (DSGVO) nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen geben bei der Verwendung von Wordfence personenbezogene Daten an einen Dritten weiter. Art. 28 DSGVO schreibt für so einen Fall vor, dass Seitenbetreiber mit dem Dritten einen Vertrag zur Auftragsverarbeitung schließen müssen. Dieser muss erklären,

  • welche personenbezogenen Daten Wordfence sammelt und speichert,
  • warum die Software diese Daten speichert,
  • wie lange sie die Daten behalten will und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen müssen in ihrer Datenschutzerklärung aufführen, dass sie Wordfence für die Sicherheit ihrer Seite verwenden. In diesem Kontext sollten sie darauf hinweisen, dass sie dafür einen Vertrag zur Auftragsverarbeitung mit Wordfence geschlossen haben. Zudem sollten sie erklären,

  • warum sie personenbezogene Daten über die Software erheben,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. f DSGVO) und
  • dass Nutzer der Erhebung und Speicherung ihrer Daten jederzeit widersprechen können.

Damit Webseitenbesucher wissen, wie Wordfence ihre Daten verarbeitet, sollten Unternehmen in ihrer Datenschutzerklärung auch auf die Datenschutzbestimmungen und Nutzungsbestimmungen des Plugins aufmerksam machen. Seitenbesucher können dann selbst überprüfen, wie dies ihre Daten sammelt und speichert.

Darüber hinaus sollten Seitenbetreiber einen Hinweis auf den Privacy Shield aus ihrer Datenschutzerklärung entfernen. Der Europäische Gerichtshof (EuGH) hat diesen kürzlich für unwirksam erklärt, um darüber Daten an Länder außerhalb der EU zu verschicken.

Standardvertragsklauseln prüfen

Wordfence versendet die gesammelten, personenbezogenen Daten aus seinem Plugin auf Basis von Standardvertragsklauseln in die USA. Deutsche Unternehmen dürfen Daten auf Basis von Standardvertragsklauseln jedoch nur weitergeben, wenn in dem Drittland ein ähnliches Datenschutzniveau herrscht wie in der EU. In den USA ist das aktuell nicht der Fall. Derzeit ist daher unklar, ob Unternehmen über Standardvertragsklauseln Daten an Wordfence in die USA verschicken dürfen.

Rechtsprechung zu Wordfence

Unternehmen müssen sicherstellen, dass sie mit Wordfence einen Vertrag zur Auftragsverarbeitung schließen. Die Datenschutzbehörde Hamburg hat in diesem Kontext im Dezember 2018 bereits ein Bußgeld in Höhe von 5.000 Euro ausgesprochen. In dem konkreten Fall hatte es ein Versandunternehmen versäumt, mit einem beauftragten Dienstleister einen Vertrag zur Auftragsverarbeitung zu schließen.

Der EuGH kam im Juli 2020 zu dem Schluss: Der Privacy Shield eignet sich nicht, um rechtskonform personenbezogene Daten in die USA zu verschicken. Die dort aktiven Überwachungsprogramme sind nicht auf das zwingend erforderliche Maß beschränkt. Und: Europäische User können nicht gegen US-amerikanische Unternehmen oder Behörden klagen, sollten diese ihre Daten missbrauchen (Az. C-311/18).

Datenschutzerklärung und WordPress Stats

WordPress Stats – kurz für WordPress Statistics - ist ein Plugin für das bekannte Content Management System WordPress. Es lässt Webseitenbetreiber Daten zum Verhalten von Usern auf ihrer Seite sammeln. Die Zahlen zeigen ihnen unter anderem, über welche Links User auf ihrer Seite landen und welche Seiten sie besuchen. Auf diese Weise können Betreiber Rückschlüsse auf den Content und die Funktionalität ihrer Seite ziehen und diese optimieren.

Darum ist WordPress Stats datenschutzrechtlich bedenklich

WordPress Stats läuft zwar lokal auf dem Server der Webseite, so dass keine Daten über den Browser des Users zum Statistik-Tool gesendet werden, es erhebt jedoch unter anderem personenbezogene Daten wie die IP-Adresse. Das dürfen Seitenbetreiber jedoch nur, wenn sie dafür die Erlaubnis der User haben.

So können Webseitenbetreiber WordPress Stats datenschutzkonform nutzen

Damit Webseitenbetreiber WordPress Stats datenschutzkonform zum Einsatz bringen, müssen sie die Erhebung der IP-Adresse der User anonymisieren. Dafür sollten sie einen entsprechenden Befehl in der Datei funktions.php ergänzen. Dieser verkürzt die IP-Adressen so, dass Webseitenbetreiber keinen Personenbezug mehr herstellen können.

Darüber hinaus sollten Seitenbetreiber in ihrer Datenschutzerklärung darauf hinweisen, dass sie über WordPress Stats Userdaten erheben, speichern und verarbeiten. In diesem Kontext sollten sie auch die Anonymisierung der IP-Adressen ansprechen. Gleichzeitig sollten sie User auf die Möglichkeit hinweisen, dass sie der Datenerhebung widersprechen können.

Seitenbetreiber müssen keinen Vertrag zur Auftragsverarbeitung abschließen, da WordPress lokal auf dem eigenen Server läuft und es keine Skripte einbindet.

Rechtsprechung zu WordPress Stats

Das Landgericht Hamburg hat am 10.03.2016 in einem Beschluss festgestellt: Webseitenbetreiber dürfen Google Analytics nur verwenden, wenn sie Nutzer in ihrer Datenschutzerklärung darüber aufklären, dass sie Statistiken zu ihrem Verhalten erheben (312 O 127/16). Das Gericht hat dies in einem Urteil am 09.08.2016 noch einmal bestätigt (Az. 406 HKO 120/16). Diese Entscheidung könnte auch für den Einsatz von WordPress Stats gelten. Denn: Das Plugin sammelt wie Google Analytics Daten zum Verhalten der User. Webseitenbetreiber sollten daher in jedem Fall den Einsatz von WordPress Stats in ihrer Datenschutzerklärung ansprechen.

WP Statistics

WP Statistics ist ein Analysetool für das Content Management System WordPress. Seitenbetreiber können mit dem Tool das Userverhalten auf einer Webseite untersuchen. Auf diese Weise können sie die Funktionalität und den Content ihrer Seite optimieren.

Warum ist WP Statistics datenschutzrechtlich relevant?

WP Statistics erstellt für Seitenbetreiber Statistiken über die Besucher einer Webseite. Dabei misst das Plugin zum Beispiel, wie viele Besucher eine bestimmte Seite aufgerufen haben und welche User dafür ein Smartphone verwendet haben. Dabei erhebt das Tool unter anderem auch die IP-Adresse von Webseitenbesuchern. IP-Adressen gelten als personenbezogene Daten. Seitenbetreiber müssen daher besondere datenschutzrechtliche Pflichten erfüllen.

WP Statistics datenschutzkonform nutzen

Um WP Statistics datenschutzkonform verwenden zu können, müssen Seitenbetreiber die IP-Adressen der User anonymisieren. Das können sie per einfachem Klick in den Privacy Settings vornehmen. Eine Identifizierung von Usern ist dann nicht mehr möglich.

Daneben müssen Seitenbetreiber in ihrer Datenschutzerklärung darauf hinweisen, dass sie über WP Statistics Userdaten erheben und speichern. Dabei sollten sie auch ansprechen, dass sie IP-Adressen erheben und diese anonymisieren. Sie sollten Nutzer zudem darauf hinweisen, dass diese der Datenerhebung und -verarbeitung widersprechen können.

Einen Vertrag zur Auftragsverarbeitung müssen Seitenbetreiber für WP Statistics nicht abschließen. Denn: Das Tool läuft lokal auf einem eigenen Server und bindet keine externen Skripte ein.

Rechtsprechung zu WP Statistics

Das Landgericht Hamburg hat festgestellt: Seitenbetreiber dürfen Google Analytics nur nutzen, wenn sie User in ihrer Datenschutzerklärung darauf hinweisen, dass sie Statistiken zu ihrem Verhalten erheben und speichern (Beschluss vom 10.03.2016, Az. 312 O 127/16).

Am 09.08.2016 hat das Gericht den Beschluss in einer Entscheidung bestätigt (Az. 406 HKO 120/16). Diese Entscheidung könnte auf WP Statistics übertragbar sein. Das Tool sammelt genau wie Google Analytics Daten zum Userverhalten. Seitenbetreiber sollten daher in jedem Fall in ihrer Datenschutzerklärung angeben, dass und wie sie WP Statistics einsetzen.

Datenschutzerklärung und Xing Plugin

Xing ist eine Karriere-Plattform, auf der Mitglieder geschäftliche Kontakte knüpfen können. Dazu können sie ein Profil anlegen, nach Jobs oder Mitarbeitern Ausschau halten, Posts veröffentlichen sowie mit anderen Mitgliedern in Kontakt treten. Das Netzwerk hat ca. 13 Millionen Mitglieder.

Diese Daten sammelt und nutzt Xing

Nutzer, die sich bei Xing registrieren, tragen in ihrem Profil sensible Daten wie

  • Name,
  • E-Mail-Adresse,
  • Geburtsdatum,
  • geschäftliche Kontakte,
  • beruflichen Status und
  • Ausbildung ein.

Schließen Nutzer bei Xing eine Premium-Mitgliedschaft ab, erhält das Netzwerk zudem Zugriff auf ihre Kontodaten. Darüber hinaus speichert Xing veröffentlichte Posts, Gruppenmitgliedschaften, Likes und alle weiteren Aktivitäten, die Nutzer im Netzwerk vornehmen. Es nutzt diese Daten laut seiner Datenschutzerklärung ausschließlich dafür, die Dienste anzubieten. Dabei soll es eigenen Angaben nach keine personenbezogenen Daten an Dritte zu Werbe- oder Marketingzwecken weitergeben.

Datenschutzprobleme bei Xing

Damit User und Unternehmen Xing datenschutzkonform verwenden, müssen sie in ihrem Profil entsprechende Datenschutzhinweise platzieren oder dort einen Link zu den Datenschutzhinweisen auf ihrer Webseite setzen. Darüber hinaus müssen Unternehmen in ihrer Datenschutzerklärung darüber aufklären, dass die vorgenommenen Datenschutzhinweise auch für Xing gelten.

Zudem stellt das Einbinden des Xing Share Buttons auf der Webseite Unternehmen vor eine datenschutzrechtliche Herausforderung. Der Button ermöglicht es, Webseiteninhalte mit wenigen Klicks auf Xing zu posten.

Besuchen User eine Webseite, die den Xing Share Button implementiert hat, baut dieser automatisch eine Verbindung zu Xing auf. Das Netzwerk kann dann personenbezogene Daten wie die IP-Adresse des Webseitenbesuchers auslesen und speichern, ohne dass User hierfür ihre Einwilligung erteilt haben. Es reicht für Webseitenbetreiber dabei nicht aus, in ihrer Datenschutzerklärung über den Datentransfer zu unterrichten. Xing selbst gibt dazu an, dass es keine personenbezogenen Daten speichert.

Rechtsprechung zu Xing

Aktuell steht der Facebook-Like-Button im Visier des Europäischen Gerichtshofs (EuGH). Zuvor hatte das Landgericht Düsseldorf entschieden, dass der Button gegen deutsche Datenschutzbestimmungen verstößt (Az. 12 O 151/15, 09.03.2016). Kommt auch der EuGH zu diesem Ergebnis, könnte das auch Auswirkungen auf den Xing Share Button haben. Denn: Dieser erhebt wie der Facebook-Like-Button personenbezogene Daten und sendet diese an Dritte, ohne dass User hierfür ihre Erlaubnis gegeben haben.

Datenschutzerklärung und YouTube

YouTube ist eine Online-Video-Plattform, auf der Nutzer Videos hochladen und anschauen können. Sie können Videos bewerten, in Playlisten speichern und kommentieren. Das Portal hat über eine Milliarde User.

Darum ist YouTube datenschutzrechtlich bedenklich

Wollen sich Nutzer bei YouTube registrieren, müssen sie ihren Namen und ihre E-Mail-Adresse angeben sowie ein Passwort für den Login festlegen. Nutzen User den Single Sign On über Facebook oder Google, erhält YouTube zudem weitere Daten zum User. Abhängig vom jeweiligen Netzwerk und den dort vorgenommenen Privatsphäre-Einstellungen können das zum Beispiel Fotos, Interessen und Freunde des Nutzers sein.

Werden User nach Registrierung bei YouTube aktiv, zeichnet die Plattform alle vorgenommenen Aktionen auf. Damit speichert YouTube beispielsweise Daten zu angeklickten Videos, erstellten Playlisten sowie abgegebenen Bewertungen und Kommentaren. Darüber hinaus erhebt die Plattform Angaben zum verwendeten Endgerät, zur IP-Adresse und zum Browser des Users.

YouTube nutzt die Daten, um Usern ein personalisiertes Erlebnis auf der Plattform bieten zu können. Dazu verwendet es die Daten zum Beispiel, um Nutzern relevante und interessante Inhalte anzuzeigen. Dazu zählt auch das Einspielen personalisierter Werbeclips und Anzeigen. Das wird YouTube jedoch erst möglich, indem es Nutzerdaten an Werbekunden übermittelt. Diese lassen YouTube dann ihre Werbung für die jeweilige Zielgruppe ausspielen. YouTube darf personenbezogene Daten jedoch nur an Dritte weitergeben, wenn es für jeden konkreten Fall die Erlaubnis der User hat. Darüber verfügt das Netzwerk nicht.

So können Webseitenbetreiber YouTube-Videos datenschutzkonform auf ihrer Seite einbinden

Binden Seitenbetreiber YouTube-Content auf ihrer Webseite ein, erfasst das Video-Portal automatisch Daten zu den Webseitenbesuchern. Das ist möglich, da YouTube durch das Einbetten der URL automatisch einen Cookie im Browser der Nutzer setzt. Dieser speichert das Verhalten der User und gibt dies an YouTube weiter.

Webseitenbetreiber sollten daher auf Plugins setzen, die verhindern, dass YouTube Daten von Usern sammelt, noch bevor diese das Video auf der Seite anklicken. Plugins ermöglichen es hierbei, dass Nutzer zunächst zustimmen müssen, dass YouTube bei Abspielen des Videos ihre personenbezogenen Daten erfasst. Dies geschieht über einen Hinweis, dem sie aktiv per Klick zustimmen müssen.

Zudem müssen Seitenbetreiber in ihrer Datenschutzerklärung angeben, dass sie YouTube-Videos auf ihrer Seite eingebunden haben. Dabei sollten sie ihren Usern erklären, welche Daten YouTube sammelt, sobald sie die Seite besuchen bzw. das Video starten.

Rechtsprechung zu YouTube

Der Europäische Gerichtshof beschäftigt sich derzeit mit der Frage, ob der Facebook-Like-Button dem deutschen Datenschutz gerecht wird. Sollte das Gericht zu dem Ergebnis gelangen, dass der Button nicht die Anforderungen deutscher Datenschutzbestimmungen erfüllt, könnte das auch Folgen für das Implementieren von YouTube-Videos auf Webseiten haben. Denn: YouTube und Plattformen wie Facebook arbeiten auf externen Webseiten mit der gleichen Vorgehensweise: Sie erheben über Cookies personenbezogene Daten, ohne dass User davon erfahren.

Zapier

Zapier ist ein Web-Service, mit dem Unternehmen Aktionen zwischen verschiedenen Apps verknüpfen und die Anwendungen so miteinander synchronisieren können. Auf diese Weise schaffen sie einen automatisierten Workflow zwischen zwei oder mehr Apps. Hinter Zapier steht das gleichnamige Unternehmen. Es hat seinen Sitz in den USA. Zapier beschäftigt rund 350 Mitarbeiter in 24 Ländern.

Warum ist Zapier datenschutzrechtlich relevant?

Unternehmen erheben über Zapier Daten ihrer Webseitenbesucher und geben diese an den Anbieter der App weiter. Welche Daten sie mit Zapier erheben, hängt davon ab, welche Apps sie miteinander verbinden. Oftmals erheben Business-Inhaber so Daten wie

  • Namen,
  • E-Mail-Adressen,
  • IP-Adressen,
  • Telefonnummern und
  • Details zum Webseitenbesuch.

Dabei handelt es sich zum Teil um personenbezogene Daten. Diese sind durch die Datenschutz-Grundverordnung (DSGVO) besonders geschützt. Seitenbetreiber müssen daher besondere Vorgaben beachten, wenn sie Zapier verwenden.

Zapier datenschutzkonform verwenden

Unternehmen müssen diese datenschutzrechtlichen Pflichten erfüllen, um Zapier DSGVO-konform zu nutzen:

Vertrag zur Auftragsverarbeitung abschließen

Seitenbetreiber erheben über Zapier personenbezogene Daten und geben diese an den Anbieter weiter. Die DSGVO schreibt dafür vor: Seitenbetreiber müssen einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Zapier stellt ihnen dafür ein Data Processing Agreement (DPA) zur Verfügung. Dies entspricht einem AV-Vertrag. Seitenbetreiber sollten überprüfen, ob das DPA aufführt,

  • welche personenbezogenen Daten sie an Zapier weitergeben,
  • warum und wie lange Zapier diese Daten speichert und
  • welche Pflichten Seitenbetreiber und Zapier haben.

Datenschutzerklärung anpassen

Seitenbetreiber erheben über Zapier personenbezogene Daten und geben diese an das Unternehmen in den USA weiter. Darauf müssen sie in ihrer Datenschutzerklärung hinweisen. Dabei sollten sie erklären, dass sie für die Datenweitergabe ein DPA mit Zapier geschlossen haben. In diesem Kontext sollten Seitenbetreiber auch angeben,

  • warum sie mit Zapier personenbezogen Daten sammeln,
  • wie lange sie diese speichern wollen und
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. f DSGVO).

Damit Webseitenbesucher einen genaueren Einblick erhalten, was mit ihren Daten bei Zapier passiert, sollten Seitenbetreiber in ihrer Datenschutzerklärung auch auf die Datenschutzbestimmungen und Nutzungsbestimmungen von Zapier hinweisen.

Seitenbetreiber sollten zudem alle Hinweise auf den Privacy Shield aus ihrer Datenschutzerklärung entfernen. Der Europäische Gerichtshof (EuGH) hat diesen für unwirksam erklärt, um darüber DSGVO-konform Daten in die USA zu versenden.

Standardvertragsklauseln prüfen

Seitenbetreiber übersenden derzeit auf Grundlage von EU-Standardvertragsklauseln Daten an Zapier. Um sicherzustellen, ob die von Zapier getroffenen Maßnahmen für den Datenschutz genügen, müssen Seitenbetreiber die Standardvertragsklauseln überprüfen. Ein ausreichender Datenschutz liegt vor, wenn in dem betreffenden Land – in diesem Fall in den USA – ein ähnliches Datenschutzniveau herrscht wie in der EU. Das ist in den USA derzeit nicht der Fall. Es ist daher unklar, ob Seitenbetreiber Daten auf Basis von Standardvertragsklauseln DSGVO-konform an Zapier übermitteln können.

Cookie-Banner anpassen

Damit Zapier Userdaten sammeln kann, setzt es Cookies in den Browser von Webseitenbesuchern. Dafür benötigen Seitenbetreiber eine Einwilligung der User. Sie können diese nur über eine Checkbox mit Opt-In im Cookie-Hinweis einholen.

Rechtsprechung zu Zapier

Der EuGH stellte im Oktober 2019 fest: Unternehmen dürfen nur dann Tracking-Cookies verwenden, wenn sie vorher eine Erlaubnis der Nutzer dafür eingeholt haben. Das gilt sowohl für anonyme Daten als auch für personenbezogene Daten (C-637/17). Der Bundesgerichtshof bestätigte diese Entscheidung im Mai 2020. Dabei kam er zu dem Schluss, dass Unternehmen die Einwilligung in Tracking-Cookies nur über ein Opt-In einholen können (I ZR 7/16).

Der EuGH stellte im Sommer 2020 fest: Der Privacy Shield eignet sich nicht, um DSGVO-konform Daten in die USA zu versenden. Denn: Dort herrscht ein niedrigeres Datenschutzniveau als in der EU. Das ist laut der Richter vor allem darauf zurückzuführen, dass die Überwachungsprogramme der USA nicht auf das zwingend erforderliche Maß beschränkt sind.

Das Versandunternehmen Kolibri Image musste im Dezember 2018 ein Bußgeld in Höhe von 5250 Euro zahlen. Es hatte mit dem spanischen Dienstleister Packlink keinen AV-Vertrag geschlossen. Infolgedessen hatte die Datenschutzbehörde Hamburg das Bußgeld angesetzt.

Zendesk

Zendesk ist eine cloudbasierte Kundensupport-Plattform, über die Webeseitenbetreiber die Kundeninteraktion aus allen Kanälen wie Telefon, E-Mail, Chat und Social Media bündeln können. Das Unternehmen hat 145.000 Kunden in 160 Ländern und beschäftigt über 500 Mitarbeiter.

Warum ist Zendesk datenschutzrechtlich relevant?

Seitenbetreiber vertrauen Zendesk zahlreiche personenbezogene Daten ihrer Kunden, wie Namen, E-Mail-Adresse und Telefon, an. Diese Daten sind besonders schützenswert. Die Datenschutz-Grundverordnung (DSGVO) gibt daher verschiedene Pflichten vor.

Wie können Unternehmen Zendesk datenschutzkonform nutzen?

Um Zendesk datenschutzkonform verwenden zu können, müssen Seitenbetreiber diese Pflichten erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Gemäß der DSGVO ist Zendesk ein externer Auftragsverarbeiter. Denn: Webseitenbetreiber geben ihre Kundendaten an Zendesk weiter, damit sie ihren Kundenservice verbessern können. Sie müssen mit Zendesk daher einen Vertrag zur Auftragsverarbeitung abschließen. Das schreibt ihnen § 28 DSGVO vor. In dem Vertrag müssen sie festlegen,

  • welche Daten Zendesk wie lange speichern darf,
  • warum und wie Zendesk die Daten verarbeiten darf und
  • welche Rechte und Pflichten beide Parteien haben.

Schließen Seitenbetreiber keinen Vertrag zur Auftragsverarbeitung mit Zendesk, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes. Das sagt Art. 83 Abs. 4 lit. a DSGVO.

Datenschutzerklärung anpassen

Um User darüber zu informieren, wie sie mit Zendesk zusammenarbeiten, müssen Seitenbetreiber in ihrer Datenschutzerklärung aufführen,

  • dass sie mit Zendesk einen Vertrag zur Auftragsverarbeitung geschlossen haben,
  • welche personenbezogenen Daten sie an Zendesk weitergeben,
  • warum sie diese an Zendesk weitergeben,
  • wie Zendesk diese Daten nutzt und
  • dass User der Datenweitergabe und -verwendung widersprechen können.

Diese Pflichten schreibt § 13 Abs. 1 DSGVO vor.

Aufbewahrungsort der Kundendaten bei Zendesk anpassen

Zendesk speichert die von Seitenbetreibern zur Verfügung gestellten Kundendaten auf Servern, die außerhalb der EU liegen. Um dem Datenschutz der DSGVO zu genügen, müssen sie daher den Aufbewahrungsort der Daten ändern. Zendesk bietet dazu die Möglichkeit, die Zusatzleistung „Standort des verwendeten Rechenzentrums“ („Data Center Location Add-on“) in Anspruch zu nehmen. Seitenbetreiber können dann die Region selbst auswählen, wo Zendesk ihre Kundendaten speichern soll. Sie sollten sich dann für einen Standort innerhalb der EU entscheiden. Auf diese Weise unterliegt die Datenspeicherung den Vorgaben der DSGVO.

Rechtsprechung zu Zendesk

Am 17.12.2018 erließ die Datenschutzbehörde Hamburg einen Bußgeldescheid gegen das kleine Versandunternehmen Kolibri Image. Dies hatte mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen. Denn: Der Dienstleister selbst stellte keinen Vertrag zur Verfügung. Und: Kolibri Image sah sich nicht dazu verpflichtet, selbst einen Vertrag aufzusetzen. Die Datenschutzbehörde belegte das Unternehmen daher mit einer Strafe von 5000 Euro zuzüglich 250 Euro Gebühren. 

Zoho CRM

Zoho CRM ist eine Software für das Customer Relationship Management von Unternehmen. Sie können darüber Kundensupport, Marketing, Vertrieb und Bestandsverwaltung organisieren. Zoho CRM setzt für seine Funktionen unter anderem auf künstliche Intelligenz und hochentwickelte Automatisierungen, die Unternehmen schneller und besser verkaufen lassen. Zoho CRM hat mehr als 150.000 Kunden in 180 Ländern.

Warum ist Zoho CRM datenschutzrechtlich relevant?

Unternehmen, die Zoho CRM verwenden, erheben darüber personenbezogene Daten. Denn: Über die Software sammeln und speichern sie zum Beispiel Daten wie

  • E-Mail-Adressen,
  • Telefonnummern,
  • Adressen und
  • IP-Adressen

ihrer Kunden. Das kann beispielsweise über eine Kontaktanfrage oder eine Newsletter-Anmeldung erfolgen. Zoho CRM verarbeitet und speichert diese Daten unter anderem auf Servern in Europa, Indien und den USA. Unternehmen müssen daher besondere Pflichten aus der Datenschutz-Grundverordnung (DSGVO) beachten.

Zoho CRM datenschutzkonform verwenden

Damit Unternehmen Zoho CRM datenschutzkonform verwenden, müssen sie diese Anforderungen erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) regelt die Rechte und Pflichten, die Unternehmen haben, wenn sie Kundendaten an einen Dritten weitergeben. Unternehmen müssen diesen Vertrag mit dem betreffenden Dritten – in diesem Fall Zoho CRM – schließen. Der Vertrag sollte dabei erklären,

  • welche Userdaten Zoho CRM verarbeitet und speichert,
  • wie lange der Anbieter die Daten speichert,
  • warum Zoho CRM die Daten speichert und
  • welche sonstigen Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen erheben über Zoho CRM personenbezogene Daten und geben diese an den Anbieter weiter. Sie müssen User in ihrer Datenschutzerklärung darauf aufmerksam machen. Damit sich Nutzer informieren können, was genau mit ihren Daten bei Zoho CRM passiert, sollten Unternehmen zudem auf die Datenschutzbestimmungen und Nutzungsbedingungen des Anbieters verweisen.
Darüber hinaus sollten Business-Inhaber Hinweise auf den Privacy Shield aus ihrer Datenschutzerklärung herausnehmen. Der Europäische Gerichtshof (EuGH) hat diesen für nicht geeignet erklärt, um darüber Daten in die USA zu übersenden.

Und: Unternehmen müssen in ihrer Datenschutzerklärung erwähnen, dass sie mit Zoho CRM einen AV-Vertrag geschlossen haben. Dabei sollten sie ausführen,

  • warum sie personenbezogene Daten erheben
  • wie lange sie diese speichern wollen,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Kunden der Datenverarbeitung jederzeit widersprechen können.

Standardvertragsklauseln prüfen

Zoho CRM verschickt auf Grundlage von EU-Standardvertragsklauseln personenbezogene Daten in Drittländer außerhalb der EU. Unternehmen sollten die Standardvertragsklauseln prüfen. Denn: Der EuGH hat vorgegeben, dass diese einen Datentransfer nur dann rechtlich erlauben, wenn in dem Zielland ein ähnliches Datenschutzniveau herrscht wie in der EU. In den USA ist das derzeit nicht der Fall. Zoho CRM verfügt zudem auch über Server in Indien. Dort besteht ebenfalls kein ähnliches Datenschutzniveau wie in der EU. Und: Es liegt kein Angemessenheitsbeschluss der EU-Kommission vor. Zoho CRM hat selbst jedoch Garantien abgegeben, die ein angemessenes Datenschutzniveau sicherstellen sollen.

Rechtsprechung zu Zoho CRM

Im Juli 2020 kam der EuGH zu dem Schluss: Der Privacy Shield ist unwirksam. Unternehmen können diesen nicht mehr als rechtliche Basis nutzen, um datenschutzkonform Daten in Drittländer wie die USA zu versenden (Az. C-311/18).

Die Datenschutzbehörde Hamburg hat zudem ein Bußgeld gegen ein Versandunternehmen in Höhe von 5.000 Euro zuzüglich Gebühren von 250 Euro ausgesprochen. Das Unternehmen hatte personenbezogene Daten an einen Dienstleister weitergegeben, ohne mit diesem einen AV-Vertrag zu schließen. Das verstößt gegen die Vorgaben der DSGVO. Per Gesetz sind dabei Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes möglich.

Zoho Campaigns

Zoho Campaigns ist eine E-Mail-Marketing-Software, mit der Unternehmen Marketing- und Vertriebsmaßnahmen umsetzen können. Sie können mit dem Tool E-Mail-Kampagnen, Webinare und Umfragen erstellen, personalisieren und ausführen. Zoho Campaigns erlaubt es ihnen zudem, erhaltene Antworten auszuwerten und so bessere Entscheidungen für zukünftige Kampagnen zu treffen.

Warum ist Zoho Campaigns datenschutzrechtlich relevant?

Mit Zoho Campaigns erheben Unternehmen User-Daten wie

  • E-Mail-Adressen,
  • IP-Adressen,
  • Informationen zu Öffnungs- und Klickraten von Mails und Umfragen sowie
  • gegebenenfalls Namen.

Dabei handelt es sich teilweise um personenbezogene Daten. Und: Sie geben diese Daten an den Anbieter der Software in den USA weiter. Dafür müssen sie bestimmte Vorgaben der Datenschutz-Grundverordnung (DSGVO) erfüllen.

Zoho Campaigns datenschutzkonform verwenden

Um Zoho Campaigns datenschutzkonform einzusetzen, müssen Unternehmen diese Pflichten erfüllen:

Double-Opt-In für E-Mail-Versand

Damit Seitenbetreiber E-Mails an Nutzer verschicken dürfen, benötigen sie zunächst ihre Einwilligung. Dafür können sie das Double-Opt-In-Verfahren nutzen. Dabei erheben Seitenbetreiber zunächst die E-Mail-Adresse der Nutzer. Sie verweisen User darauf, dass sie auf diese Weise in den Mail-Versand einwilligen. Und: Dass sie diese Einwilligung jederzeit widerrufen können.

Dann schicken Unternehmen Nutzern eine erste Mail zu. Diese erklärt, dass sie sich für den Mail-Versand angemeldet haben und sie dies per Klick auf einen entsprechenden Link bestätigen müssen. Klicken Nutzer auf den Link, haben Unternehmen eine Einwilligung in den E-Mail-Versand eingeholt.

Opt-In für SMS-Versand

Unternehmen können mit Zoho Campaigns SMS verschicken, um ihren Kunden beispielsweise einen Newsletter zukommen zu lassen. Um die dafür notwendige Telefonnummer zu erheben, können sie eine Abwandlung des Double-Opt-In-Verfahrens nutzen. In einem ersten Schritt müssen sie dabei die Telefonnummer der User abfragen. Wie bei der Mail-Erhebung erklären sie, für welchen Zweck sie die Nummer erheben und dass User ihre Einwilligung jederzeit widerrufen können. Nutzer müssen das bestätigen, indem sie bei der Abfrage der Telefonnummer ein Häkchen in der verwendeten Online-Maske setzen.

Im nächsten Schritt zeigen Unternehmen die Nummer an, von der sie ihre Informationen an die Kunden verschicken möchten. Kunden müssen die Nummer einspeichern und einen Befehl an diese verschicken, der den Start des SMS-Versands auslöst. Mit dem Start-Befehl verfügen Unternehmen über eine rechtssichere Einwilligung für den SMS-Versand.

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen geben Userdaten an Zoho Campaigns weiter. Dabei handelt es sich zum Teil um personenbezogene Daten. Für die Weitergabe von personenbezogenen Daten an Dritte schreibt § 28 DSGVO vor: Seitenbetreiber müssen mit dem Dritten einen Vertrag zur Auftragsverarbeitung schließen. Zoho Campaigns stellt diesen in Form eines Data Processing Agreements zur Verfügung. Dies sollte erklären,

  • welche Nutzerdaten Zoho Campaigns speichert,
  • wie lange es die Daten speichern will,
  • warum es die Daten speichert und
  • welche Rechte und Pflichten Seitenbetreiber und Zoho Campaigns haben.

Datenschutzerklärung anpassen

Zoho Campaigns hat seinen Standort in den USA. Unternehmen geben daher Userdaten an einen Drittstaat außerhalb der EU weiter. Das müssen sie in ihrer Datenschutzerklärung erwähnen. In diesem Kontext sollten sie User auf die Datenschutzbestimmungen und Nutzungsbedingungen von Zoho Campaigns verweisen. Diese können sich dann selbst informieren, wie der Anbieter ihre Daten in den USA verwendet.

Daneben müssen Seitenbetreiber Hinweise auf den Privacy Shield aus ihrer Datenschutzerklärung herausnehmen. Der Europäische Gerichtshof (EuGH) entschied im Sommer 2020, dass dieser keine rechtliche Grundlage darstellt, um Daten in die USA zu verschicken.

Und: Seitenbetreiber müssen in ihrer Datenschutzerklärung aufführen, dass sie mit Zoho Campaigns einen Vertrag zur Auftragsverarbeitung geschlossen haben. Dabei sollten sie konkret erklären,

  • warum sie personenbezogene Daten erheben,
  • wie lange sie diese speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Nutzer der Datenspeicherung jederzeit widersprechen können.

Standardvertragsklauseln prüfen

Der Privacy Shield eignet sich nicht mehr, um rechtssicher Daten in die USA zu übertragen. Zoho Campaigns bietet daher Standardvertragsklauseln an, um den Datentransfer rechtlich zulässig zu gestalten. Diese sind jedoch nur erlaubt, wenn in dem Drittland ein angemessenes Datenschutzniveau herrscht. Der EuGH geht davon aus, dass das in den USA aktuell nicht der Fall ist. Es ist daher rechtlich unklar, inwiefern Standardvertragsklauseln als Grundlage für einen Datentransfer dienen können.

Rechtsprechung zu Zoho Campaigns

Um eine Einwilligung von Nutzern in den E-Mail-Versand einzuholen, müssen Seitenbetreiber das Double-Opt-In-Verfahren nutzen. Das entschied der Bundesgerichtshof im Februar 2011 (Az. I ZR 164/09). Das Oberlandesgericht Düsseldorf hat diese Entscheidung im März 2016 bestätigt. Die Richter verwiesen darauf, dass Seitenbetreiber Usern eine Mail zuschicken dürfen, um die Anmeldung in einen Mail-Versand zu bestätigen (Az. I-15 U 64/15).

Der EuGH erklärte den Privacy Shield im Juli 2020 für unwirksam. Das bedeutet: Unternehmen können diesen nicht mehr als rechtliche Basis verwenden, um personenbezogene Daten in die USA zu versenden. Denn: Die dortigen Überwachungsprogramme sind nicht auf das zwingend erforderliche Maß beschränkt. Zudem können User nicht gegen Unternehmen oder Behörden in den USA klagen, sollten diese ihre Daten rechtsmissbräuchlich verwenden. Es herrscht dort daher kein angemessenes Datenschutzniveau.

Seitenbetreiber müssen mit Dritten, an die sie personenbezogene Daten weitergeben, einen Vertrag zur Auftragsverarbeitung schließen. Unterlassen sie das, riskieren sie ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent ihres weltweiten Jahresumsatzes. Die Datenschutzbehörde Hamburg hat daher im Dezember 2018 ein Bußgeld gegen ein Versandunternehmen ausgesprochen. Dies hatte personenbezogene Daten an einen Dienstleister weitergegeben, ohne einen Vertrag zur Auftragsverarbeitung zu schließen.

Zoom

Zoom ist eine US-amerikanische Plattform für Video- und Audiokonferenzen. Das zentrale Produkt des Unternehmens ist „Zoom Meetings“, mit dem User Online-Videokonferenzen abhalten können. Zudem erlaubt ein Chat, Textnachrichten und Dateien auszutauschen. Daneben verfügt Zoom mit „Zoom Phone“ über eine virtuelle Telefonanlage sowie mit „Zoom Video Webinars“ über ein Tool für Videokonferenzen mit bis zu 100 Sprechern und bis zu 10.000 Zuschauern. Zoom hat derzeit über 200 Millionen tägliche Nutzer.

Warum ist Zoom datenschutzrechtlich relevant?

Zoom speichert die Daten seiner registrierten Kunden. Dazu zählen unter anderem

  • Name,
  • Benutzername,
  • E-Mail,
  • Telefonnummer,
  • Name des Kontoinhabers,
  • Rechnungsadresse und
  • Zahlungsmethode.

Von Usern, die an Video- und Audiokonferenzen über Zoom teilnehmen, erfasst die Plattform zum Beispiel

  • Benutzerdaten,
  • IP-Adresse,
  • E-Mail-Adresse,
  • Betriebssystem,
  • Geräteinformationen,
  • Chat-Nachrichten und
  • gesendete Dateien.

Zoom speichert Calls und Videoübertragungen, wenn Unternehmen dies vorher beauftragen. Ist das der Fall, informiert Zoom die Teilnehmer darüber. Diese können das Meeting verlassen, wenn sie das nicht möchten.

Unternehmen dürfen die Daten ihrer Gesprächspartner, also ihrer Mitarbeiter oder Kunden, nur dann an Zoom weitergeben, wenn die Daten dabei in der EU bleiben oder das Empfängerland einen gleichwertigen Datenschutz wie die Datenschutz-Grundverordnung (DSGVO) bietet. Bei deutschen Unternehmen leitet Zoom den Datenverkehr ausschließlich über Rechenzentren in Europa.

Zoom selbst gibt an, erhobene personenbezogene Daten nicht zu verkaufen oder für Werbezwecke zu nutzen. Der Bundesdatenschutzbeauftragte Ulrich Kerber warnte trotzdem im Mai 2020 davor, Zoom zu verwenden. Der Dienst sei nicht Ende-zu-Ende verschlüsselt. Er rate daher von dieser Kommunikationsform ab, wenn personenbezogene Daten im Spiel sind.

Zoom datenschutzkonform nutzen

Um Zoom gemäß den Anforderungen der DSGVO zu verwenden, müssen Unternehmen diesen Pflichten nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Geben Unternehmen personenbezogene Daten der Teilnehmer von Konferenzen an Zoom weiter, müssen sie vorher einen Vertrag zur Auftragsverarbeitung abschließen. Das schreibt Art. 28 DSGVO vor. Zoom erhebt automatisch die Daten aller Gesprächsteilnehmer. Unternehmen müssen daher mit Zoom einen entsprechenden Vertrag eingehen. Das passiert bei Zoom seit April 2020 automatisch, wenn sie einen Account erstellen.

Ob so auch bereits bestehende Kunden den Vertrag zur Auftragsverarbeitung geschlossen haben, ist unklar. Zoom hatte in seinen vorherigen AGB jedoch eine Änderungsklausel. Unternehmen können daher davon ausgehen, dass jetzt auch für Altkunden die neuen AGB gelten – und so auch ein wirksamer Vertrag zur Auftragsverarbeitung besteht. Sollte das nicht der Fall sein, können Kunden bei Zoom individuell einen entsprechenden Vertrag vereinbaren.

Unternehmen sollten bei dem Vertrag darauf achten, dass dieser erwähnt,

  • welche Userdaten Zoom speichert,
  • wie lange Zoom diese Daten speichert,
  • warum Zoom die Daten erhebt und aufbewahrt und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Unternehmen, die mit Zoom einen Vertrag zur Auftragsverarbeitung geschlossen haben, müssen das in ihrer Datenschutzerklärung aufführen. Dabei sollten sie verdeutlichen,

warum sie welche Userdaten erheben und speichern,

wie lange sie die Daten speichern wollen,

welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und

dass Nutzer der Datenerhebung jederzeit widersprechen können.

Datenschutzfreundliche Einstellungen wählen

Unternehmen sollten für ihre Videokonferenzen zudem Einstellungen wählen, die den Datenschutz und die Privatsphäre der Teilnehmer schützen. Wollen sie beispielsweise die Aufmerksamkeit der Teilnehmer tracken oder eine Konferenz aufzeichnen, sollte das

  • einem erlaubten Zweck dienen,
  • geeignet sein, diesen Zweck zu erfüllen und
  • erforderlich sein, diesen Zweck zu erfüllen.

Zudem sollten sie Schutzmaßnahmen ergreifen, soweit das möglich ist. Darüber hinaus müssen Unternehmen darauf achten, dass sie bei Zoom-Calls und -Konferenzen möglichst wenige Daten erheben und diese möglichst kurzfristig wieder löschen. Das kann zum Beispiel bei der Aufzeichnung von Video-Calls oder Chatverläufen notwendig sein. 

Rechtsprechung zur Verwendung von Zoom

Unternehmen, die keinen Vertrag zur Auftragsverarbeitung abschließen, müssen mit einem Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes rechnen. Die Datenschutzbehörde Hamburg sprach am 17.12.2018 ein Bußgeld gegen ein Versandunternehmen aus. Dies musste 5.000 Euro zuzüglich Gebühren in Höhe von 250 Euro zahlen. Es hatte mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen.


Interessante Artikel für alle Webseitenbetreiber

Themenspecial Abmahnung

 Wettbewerbsrechtliche Abmahnung und Abmahnungen wegen Filesharing werden von spezialisierten Kanzleien zehntausendfach ausgesprochen. Wir zeigen Ihnen, was Sie wissen müssen und wie Sie richtig reagieren.

Informieren Sie sich auf unserem Portal rund um alle Fragen zu Abmahnungen https://www.abmahnung-internet.de/

Wir haben auch auf eRecht24 umfassende Informationen zum Thema u.a. im Beitrag Filesharing-Abmahnungen, so reagieren Sie richtig zusammengestellt. Die häufigsten Abmahnungen wg. Tauschbörsennutzung sind Filesharing Abmahnungen der Kanzlei Waldorf Frommer. Lesen Sie in den jeweiligen Beiträgen, wie Sie bei einer Abmahnung der genannten Kanzlei richtig reagieren.

Neu: Spezial Verkehrsrecht Online

eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support