Pflichten für Online-Unternehmen

Online-Unternehmen dürfen personenbezogene Daten über Internetnutzer nur in engen Grenzen sammeln und weitergeben. Zudem bestehen einige Informationspflichten.

1. Einwilligung erforderlich?

Im Grundsatz gilt: Online-Unternehmen dürfen personenbezogene Daten nur dann sammeln oder weitergeben, wenn ein Gesetz (TMG oder BDSG) es ihnen ausdrücklich erlaubt oder der Internetznutzer dem zugestimmt hat. Das Telemediengesetz erlaubt es Online-Händlern zum Beispiel Informationen zu speichern, die für die Abwicklung eines Vertrages notwendig sind. Dazu können der Name und die E-Mail-Adresse des Internetnutzers gehören.

2. Datenschutzerklärung nötig?

Online-Unternehmen brauchen fast immer eine Datenschutzerklärung. Es reicht bereits aus, dass sie ein Kontaktformular haben oder eine E-Mail-Adresse angeben. Sie müssen Internetnutzer dann zum Beispiel darüber informieren, warum Daten gesammelt und ob sie weitergeben werden. Benötigen Online-Unternehmen für das Sammeln oder die Weitergabe eine Einwilligung, müssen sie Internetnutzer auch darüber aufklären, dass sie die Einwilligung widerrufen können.

Praxistipp

Die Datenschutzerklärung sollte auf jeder Seite des Online-Unternehmens über eine Link abrufbar sein. Ein allgemeiner Hinweis auf Allgemeine Geschäftsbedingungen oder darauf, dass dem Datenschutz Rechnung getragen wird, ist nicht ausreichend.


3. Einsatz von Cookies

Wenn Online-Unternehmen Cookies einsetzen, müssen Sie Internetnutzer darüber informieren. Cookies kommen auf Webseiten zum Beispiel dann zum Einsatz, wenn Kunden über einen Online-Shop Waren bestellen. Sie speichern dann das Passwort und ermöglichen den reibungslosen Bestellvorgang. Es sind kleine Textdateien, die automatisch auf dem Rechner des Internetnutzers gespeichert werden.

4. Tracking-Tools

Setzen Online-Unternehmen Tracking-Tools (z.B. Google Analytics oder Piwik) ein, müssen sie Internetnutzer darüber detailliert informieren und ihnen die Möglichkeit einräumen, dem Einsatz zu widersprechen (Wichtiges Urteil: OLG Frankfurt, Dezember 2015).

Tracking-Tools sind spezielle Programme, die analysieren, wie sich Internetnutzer online verhalten, Sie werden zum Beispiel von Suchmaschinenbetreibern und Online-Shops eingesetzt. So lässt sich herausfinden, was ein bestimmter Internetnutzer im Internet sucht, welche Produkte er vermehrt anklickt oder von welcher Webseite er kommt. Online-Unternehmen können dann ihre Webseite verbessern und Werbung personalisieren, d.h. sie auf die Interessen einzelner Nutzer zuschneiden.

Praxistipp

Online-Unternehmen sollten Internetnutzer anhand eines gut sichtbaren Banners auf ihren Internetseiten darüber informieren, dass Sie Tracking-Tools einsetzen und das ihrem Einsatz widersprochen werden kann. Der Banner sollte einen Link zu einem ausführlichen Informationstext enthalten, der mit der Datenschutzerklärung kombiniert werden kann.


5. Datentransfers in Länder außerhalb der EU

Online-Unternehmen müssen Internetnutzer darüber informieren, wenn sie personenbezogene Daten an Unternehmen außerhalb der EU weitergeben wollen. Grundsätzlich brauchen sie dann auch ihre Einwilligung. Die Einwilligung ist nur dann nicht erforderlich, wenn die Daten in dem anderen Land ausreichend geschützt werden. Die EU hat mit den U.S.A. ein Abkommen geschlossen, dass diesen Schutz gewährleisten soll (EU-US-Datenschutzschild (Privacy Shield). Eine Weitergabe ohne Einwilligung ist deshalb grundsätzlich möglich. Vorausgesetz: das amerikanische Unternehmen hat sich dem Abkommen unterworfen. Teilweise wird allerdings bezweifelt, dass das Abkommen einen ausreichenden Schutz gewährleisten kann.

6. Die Datenschutzgrundverordnung

Am 25. Mai 2018 wird die Datenschutzgrundverordnung in Kraft und im Zug dessen das Bundesdatenschutzgesetz außer Kraft treten. Damit wird sich einiges für Unternehmen ändern. Neu ist zum Beispiel, dass für Unternehmen mit mehreren Niederlassungen in Europa, nur noch eine Datenschutzbehörde zuständig sein wird. Viele Grundprinzipien des deutschen Datenschutzrechts bleiben aber erhalten: die Notwendigkeit einer Erlaubnis zum Datensammeln, die Pflicht zur Datensparsamkeit, das Prinzip der Zweckbindung, das Erfordernis eines Datenschutzbeauftragten etc.