Datenschutzerklärung 2018: Was ändert sich durch die Datenschutz-Grundverordnung?

Am 25. Mai 2018 wird die Datenschutzgrundverordnung (DSGVO) in allen Mitgliedstaaten geltendes Recht. Durch die DSGVO wird das bisher geltende Datenschutzrecht weitgehend reformiert. Shop-Betreiber müssen zu diesem Zeitpunkt auch eine neue Datenschutzerklärung in ihren Shop einstellen. Was sich durch die DSGVO in Bezug auf die Datenschutzerklärung konkret ändert, erfahren Sie im Folgenden.

A. Bisherige Rechtslage nach TMG und BDSG

Nach § 13 Abs. 1 Telemediengesetz (TMG) muss ein Anbieter von Telemedien den Nutzer zu Beginn des Nutzungsvorgangs

• über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten,
• über die Verarbeitung seiner Daten,
• in allgemein verständlicher Form unterrichten.

Daraus folgt für Shop-Betreiber: Indem sie geschäftsmäßig einen auf Dauer gerichteten Internetauftritt zur individuellen Nutzung durch PCs oder mobile Endgeräte (Notebook, Handy, Smartphone etc.) betreiben, bedienen sie sich eines Teledienstes und unterfallen damit auch dem TMG und somit den in § 13 Abs. 1 TMG genannten Informationspflichten. § 13 Abs. 1 TMG sagt zwar nicht, dass diese nur mit einer Datenschutzerklärung erfüllt werden können. Dennoch ist eine vollständige Datenschutzerklärung die einfachste Möglichkeit, um den Informationspflichten nachzukommen.

Die datenschutzrechtlichen Informationspflichten greifen jedoch nur, wenn personenbezogene Daten erhoben, verarbeitet oder gespeichert werden.

Bei personenbezogenen Daten handelt es sich um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 Bundesdatenschutzgesetz (BDSG)). Wann genau Daten im Einzelfall als personenbezogen gelten, ist aufgrund dieser doch recht schwammigen Definition nicht immer eindeutig. Man kann sich jedoch merken, dass alle Informationen, über die irgendwie ein Personenbezug hergestellt werden kann, auch unter den Begriff der personenbezogenen Daten fallen. Folgende Daten sind daher unstreitig personenbezogen im Sinne des § 3 Abs. 1 BDSG:

• Name und Anschrift
• E-Mail-Adresse und Telefonnummer
• Kontodaten

B. Änderungen durch die DSGVO: Was kommt auf Shop-Betreiber zu?

Einige Vorschriften des TMG werden durch die DSGVO ergänzt, andere werden weitgehend bestehen bleiben. Wiederum andere Regelungen des TMG werden durch die DSGVO vollständig ersetzt. Welche Änderungen es konkret bezüglich der Datenschutzerklärung ab dem 25. Mai 2018 geben wird, erläutern wir im Folgenden.

I. Wirkung der DSGVO

Anders als EU-Richtlinien, die durch die einzelnen Mitgliedstaaten erst noch in nationales Recht umgesetzt werden, sind EU-Verordnungen unmittelbar anwendbar. Das bedeutet: Die DSGVO gilt ab dem 25. Mai 2018 in Deutschland wie nationales Recht, Shop-Betreiber müssen die Regelungen ab diesem Zeitpunkt umsetzen.

II. Sachlicher Anwendungsbereich der DSGVO: Informationspflichten nur bei personenbezogenen Daten

Ziel der DSGVO ist es, ein einheitliches Regelwerk in der ganzen EU zum Schutz personenbezogener Daten zu schaffen. Auch die datenschutzrechtlichen Informationen werden nach der DSGVO demnach nur ausgelöst, wenn personenbezogene Daten verarbeitet werden.

Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

1. Relative oder absolute Bestimmbarkeit der Person?

Hinter dieser auf den ersten Blick recht eindeutigen Definition von personenbezogenen Daten steckt jedoch folgendes Problem, welches das Datenschutzrecht schon seit geraumer Zeit beschäftigt:

- Kommt es bei der Beurteilung der Identifizierbarkeit einer Person darauf an, ob gerade die datenverarbeitende Stelle die Person identifizieren kann (relative Bestimmbarkeit)?
- Oder genügt die theoretische (technische) Möglichkeit einer Identifizierung der Person unter Berücksichtigung des „gesamten Weltwissens“ (absolute Bestimmbarkeit)?
Praxisrelevant wird dieser Meinungsstreit insbesondere bei der Beurteilung, ob (dynamische) IP-Adressen personenbezogene Daten sind (vgl. dazu https://www.it-recht-kanzlei.de/index.php?_action=%2FPDF%2Fprint&_rid=6258). Fraglich ist, ob die DSGVO diesem Streit nun ein Ende setzt.

Für den Ansatz der „relativen Bestimmbarkeit“ spricht, dass der Erwägungsgrund 26 zur DSGVO darauf abstellt, dass die Identifizierbarkeit einer Person danach zu beurteilen ist, ob sie „der verantwortlichen Stelle […] mit Mitteln möglich ist, die sie nach allgemeinem Ermessen wahrscheinlich nutzen würden.“ Andererseits stellt der Erwägungsgrund 26 alternativ auf eine nicht näher definierte „andere Person“ ab, was dafür spricht, dass eine absolute Bestimmbarkeit genügt. Gegen den absoluten Ansatz spricht jedoch wiederum Erwägungsgrund 30 zur DSGVO, der exemplarisch darstellt, dass IP-Adressen unter Umständen dazu genutzt werden können, natürliche Personen zu identifizieren. IP-Adressen sind nach dem Erwägungsgrund 30 zur DSGVO also nicht für jede Stelle automatisch personenbezogen.

Diese Zweideutigkeit könnte dafür sprechen, dass der europäische Gesetzgeber hier einen Mittelweg gehen wollte. So dürfte es nach der DSGVO genügen, wenn der Webseitenbetreiber über die notwendigen Mittel verfügt, die ihm die Bestimmung der hinter den Daten stehenden Person grundsätzlich ermöglichen. Unerheblich dürfte also sein, ob die hinter den Daten stehende Person tatsächlich im konkreten Fall identifiziert wird. Entscheidend ist vielmehr, ob die Mittel den Webseitenbetreiber grundsätzlich hierzu in die Lage versetzen. Für diese Interpretation spricht auch die Entscheidung des EuGH vom 19.10.2016 (C-582/14) (https://www.it-recht-kanzlei.de/speicherung-dynamische-ip-adressen-eugh.html#abschnitt_7).

2. Grenze: Anonyme Daten

Eine Grenze zieht die DSGVO erst dort, wo die Daten tatsächlich anonym sind, d. h. bei Informationen, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.

3. Die Folgen für die Praxis

Auch künftig werden nur personenbezogene Daten die datenschutzrechtlichen Informationspflichten auslösen. Dies bezüglich unterscheiden sich BDSG und DSGVO nicht. Auswirkungen hat die DSGVO jedoch auf die Beurteilung, ob eine IP-Adresse personenbezogen ist und demnach den datenschutzrechtlichen Informationspflichten unterliegt. Dies beurteilt sich künftig danach, ob der Webseitenbetreiber über die notwendigen Mittel verfügt, die ihm die Bestimmung der hinter den Daten stehenden Person grundsätzlich ermöglichen.

III. Inhalt einer Datenschutzerklärung nach der DSGVO

Art. 13 Abs. 1 DSGVO zählt durch einen Katalog an Pflichtinformationen genau auf, welche Informationen eine Datenschutzerklärung enthalten muss. Dieser Katalog an Pflichtinformationen ersetzt ab dem 25. Mai 2018 den § 13 Abs. 1 TMG, der lediglich allgemein vorschreibt, über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten.

Der Katalog in Art. 13 Abs. 1 DSGVO schreibt Online-Händlern vor, ihre Datenschutzerklärung mit Informationen über alle der nachstehenden Punkte zu versehen:

• den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Händlers (sowie bei nicht in der Union niedergelassenen Verantwortlichen diejenigen des Vertreters)
• sofern verpflichtend zu bestellen, die Kontaktdaten des Datenschutzbeauftragten
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Einwilligung oder gesetzlicher Erlaubnistatbestand), wobei zwischen verschiedenen Zwecken deutlich zu differenzieren ist
• wenn die Verarbeitung auf Artikel 6 Abs. 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
• gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe)
• gegebenenfalls die Absicht des Händlers, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist oder wo sie verfügbar sind
• die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
• das Bestehen der Betroffenenrechte, also des Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO)
• wenn die Verarbeitung auf einer wirksamen Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
• ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte
• soweit der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

Eine wesentliche Neuerung liegt darin, dass künftig nicht nur die Zwecke der Datenverarbeitung zu nennen sind, sondern auch eine klare Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten.

Zu beachten ist, dass nach dem Wortlaut des Art. 13 DSGVO keine Pflicht besteht, über die Arten und den Umfang der Datenverarbeitungsvorgänge so zu informieren, wie es derzeit noch § 13 Abs. 1 TMG vorsieht.

Weil die Informationspflicht das Schutzniveau für die Betroffenen aber weiter anheben soll (Erwägungsgrund 10 der DSGVO), muss davon ausgegangen werden, dass die Datenschutzerklärung auch weiterhin über sämtliche auf der Webseite ablaufende Datenvorgänge belehren muss. Dies lässt sich zum einen darauf stützen, dass die Belehrung über Art und Umfang der Datenvorgänge im Zusammenhang mit den übrigen Informationen von der DSGVO logisch vorausgesetzt wird. Insofern knüpft nämlich Art. 13 Abs. 1 DSGVO dem Wortlaut nach stets an bestimmte personenbezogene Daten und nicht generell an ein Konvolut derselben an, zumal auch Erwägungsgrund 39 Hinweise auf die Art und den Umfang der Datenvorgänge als Ausprägung des Transparenzgebots in die Informationspflicht einbezieht. Zum gleichen Ergebnis gelangt man im Angesicht der Tatsache, dass der Hinweis auf die Arten und den Umfang der Erhebung und Verarbeitung eine logische Voraussetzung dafür ist, den jeweiligen Verarbeitungszweck nach Art. 13 Abs. 1 lit. c DSGVO zu definieren. Dieser kann nur dann dargestellt werden, wenn die betroffenen Daten im Kontext von Seiten des Händlers gleichermaßen identifiziert werden.

IV. Form einer Datenschutzerklärung nach der DSGVO

§ 13 Abs. 1 Satz 1 TMG schreibt bezüglich der Form der Datenschutzerklärung vor, dass die Informationen in allgemein verständlicher Form erfolgen müssen. Daraus folgt, dass technische oder juristische Fachbegriffe und Formulierungen nach Möglichkeit vermieden werden sollten. Nach § 13 Abs. 1 Satz 3 TMG müssen die Informationen außerdem jederzeit abrufbar sein. Nach bisheriger Rechtslage ist somit erforderlich, dass die Datenschutzerklärung wie das Impressum von jeder Seite der Webseite zu erreichen ist.
Art. 12 Abs. 1 DSGVO ergänzt § 13 Abs. 1 TMG dahingehend, dass die Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln sind. Das kann schriftlich oder in anderer Form, auch elektronisch und mit visuellen Elementen (bspw. standardisierte Bildsymbole), erfolgen.

V. Wann muss über die Erhebung der Daten informiert werden?

Die frühere Fassung des Teledienstedatenschutzgesetzes (TDDSG) von 1997 stellte in Bezug auf die datenschutzrechtlichen Informationen auf den Zeitpunkt „vor“ Erhebung der Daten ab (vgl. § 3 Abs. 5 TDDSG, BT-Drs. 13/7385). Danach musste der Nutzer „vor Erhebung“ der Daten ausführlich über die Verarbeitung der Daten unterrichtet werden. Dieser Zeitpunkt wurde durch Neufassung des TDDSG im Jahr 2001 nach hinten verlagert. Seitdem knüpft § 13 Abs. 1 Satz 1 TMG die Informationspflichten an den Beginn des Nutzungsvorgangs an. Hintergrund dessen war nach der Gesetzesbegründung zum neuen TDDSG, dass bei Abruf einer Webseite durch den Nutzer bereits eine automatische Erhebung von Nutzungsdaten erfolgen kann und eine Unterrichtung vor der Erhebung dann nicht möglich ist (BT-Drs. 14/6098, S. 28).

Das bedeutet konkret: Der Webseitenbetreiber muss dem User nach § 13 Abs. 1 Satz 1 TMG zumindest die Gelegenheit geben, gleichzeitig mit dem Aufruf der Webseite von der Datenschutzerklärung Kenntnis zu nehmen. Üblicherweise erfolgt die Unterrichtung über die Datenverarbeitung in der Praxis in einer Datenschutzerklärung, die ständig von jeder Unterseite der Webseite aus (bspw. über einen Hyperlink im Footer) erreichbar ist.
Art. 13 Abs. 1 DSGVO stellt hingegen auf den „Zeitpunkt der Erhebung“ der Daten ab. Konkret soll der Nutzer „zum Zeitpunkt der Erhebung“ der Daten entsprechend unterrichtet werden. Dies dürfte so zu verstehen sein, dass die DSGVO ebenfalls auf den Beginn des Nutzungsvorgangs abstellt. Denn: Sobald ein Nutzer eine Webseite „betritt“, kann auch eine Erhebung von Daten erfolgen. Der Beginn des Nutzungsvorgangs und der Zeitpunkt der Erhebung sind somit identisch. Dem Nutzer muss somit die Gelegenheit gegeben werden, gleichzeitig mit dem Aufruf der Webseite von der Datenschutzerklärung Kenntnis zu nehmen. Hätte der europäische Gesetzgeber gewollt, dass der Nutzer bereits vor Aufruf einer Webseite informiert wird, hätte er dies – wie in der Fassung des TDDSG von 1997 – durch das Wort „vor“ (Erhebung) deutlich gemacht.

Daraus folgt: Auch die DSGVO knüpft die Informationspflicht an den Beginn des Nutzungsvorgangs an. Eine der Webseite vorgeschaltete Datenschutzerklärung ist auch künftig nicht notwendig. Ausreichend ist, wenn der Nutzer gleichzeitig mit dem Aufruf der Webseite die Gelegenheit hat, auf die Datenschutzerklärung zuzugreifen.

VI. Weitere Grundsätze für die Verarbeitung personenbezogener Daten nach der DSGVO

Art. 5 Abs. 1 DSGVO stellt zudem bestimmte Grundsätze für die Verarbeitung personenbezogener Daten auf, die auch bei der Erstellung von Datenschutzerklärungen zu beachten sind. Insbesondere fordert Art. 5 Abs. 1 DSGVO, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden müssen (Grundsatz der Datenminimierung). Auch nach bisherigem Recht gilt bei der Verarbeitung von personenbezogenen Daten der Grundsatz der Datenvermeidung und Datensparsamkeit (§ 3a BDSG), sodass sich diesbezüglich keine Änderungen ergeben.

C. Fazit

Die DSGVO enthält im Vergleich zur bisherigen Rechtslage nach § 13 Abs. 1 TMG wesentlich detaillierte Informationspflichten. Dies bietet für Händler den Vorteil, dass sie alle Punkte ihrer Datenschutzerklärung anhand des Katalogs Schritt für Schritt abarbeiten und die Datenschutzerklärung so rechtssicher umstellen können. Passen Händler ihre Datenschutzerklärung nicht bis zum Stichtag an, drohen Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Darüber hinaus drohen wettbewerbsrechtliche Abmahnungen von Konkurrenten.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.