Hinweise zur Einbindung der Datenschutzerklärung
Gemäß § 13 TMG müssen Betreiber von Online-Shops und andere
Dienstanbieter die Benutzer zu Beginn des Nutzungsvorgangs über Art,
Umfang und Zwecke der Erhebung und Verwendung personenbezogener
Daten unterrichten. Die Datenschutzerklärung sollte gut sichtbar und über
eine jederzeit abrufbare Schaltfläche in der Hauptnavigation (z.B. Footer)
eingebunden werden.
Verwendung von Cookies
Am 01.10.2019 hat der Europäische Gerichtshof zu ewig währenden Fragen
nach der rechtlich korrekten Verwendung von Cookies mit einem Urteil Stellung
bezogen. Jeder, der eine eigene Website betreibt, sei es einen eigenen Online-
Shop, einen Blog oder eine Präsentationsseite, muss demnach für viele
Cookies die aktive Einwilligung des Seitenbesuchers einholen. Auch der Bundesgerichtshof bekräftigte in einem Urteil die aktive Einwilligung.
Was muss beachtet werden?
Werden die Cookies mit Einwilligung gesetzt, muss auch in der
Datenschutzerklärung über die Einwilligung als Rechtsgrundlage für die
Verwendung von Cookies informiert werden.
Mitglieder des Händlerbundes haben hier den Vorteil, im Rechtstexte-Generator eine entsprechende Einstellung auswählen zu
können. So ist es ohne Probleme möglich, die erstellte Datenschutzerklärung in
Einklang mit dem EuGH-Urteil zu bringen. Zudem ist in jedem Mitgliedschaftspaket eine Cookie-Consent-Tool inklusive.
Umgang mit Google Analytics
Zu den Website-Analysetools zählen neben Google Analytics z.B. auch
Matomo und etracker. In der Datenschutzerklärung muss für jedes Tool
gesondert die Funktionsweise, der Empfänger, das Widerrufsrecht und die
Datennutzung erklärt werden.
Speziell bei Google Analytics sollten Sie darauf achten, dass Sie mit Google
einen Vertrag über die Auftragsdatenvereinbarung schließen,
das Analyse-Tool nur mit gekürzten IP-Adressen verwenden und ggf. noch
bestehende Alt-Daten löschen. Nutzen Sie das Tracking-Tool Google
Analytics nur mit der Erweiterung "anonymizeIP", um so eine unzulässige
und abmahngefährdete unanonymisierte Datenübertragung zu verhindern.
Hintergrund des Prozedere ist, dass Google Analytics die getrackten Daten
des Seitenbesuchers direkt an Google übermittelt. Da es sich bei der IP-Adresse
um personenbezogene Daten handelt, ist das hoch problematisch.
Der Zusatz im Quellcode "ga('set', 'anonymizeIp', true);" sorgt dafür, dass
die letzten 8 Bit der IP-Adresse gelöscht werden. So wird der
Seitenbesucher für das Unternehmen Google anonym.
Verwendung von Social-Media-Plugins
Nach einem Urteil des Europäischen Gerichtshofes (EuGH, Urteil v. 29. Juli
2019, Aktenzeichen C-40/17) steht fest, dass Betreiber von Websites, die den
Like-Button von Facebook implementiert haben, für die Einhaltung
datenschutzrechtlicher Vorgaben neben Facebook mitverantwortlich sind.
Soll das Plugin genutzt werden, muss mit Facebook eine Vereinbarung über
die gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO abgeschlossen
werden. Auch in der Datenschutzerklärung sind entsprechende Hinweise nötig.
Soll das Plugin genutzt werden, empfiehlt es sich, ein sog. 2-Klick-Modell zu
nutzen. Auch damit ist die Nutzung des Like-Buttons aber nicht vollkommen
rechtssicher.
Übermittlungen von Daten außerhalb der EU
Die umfassenden europäischen Datenschutzvorschriften gelten auch im Austausch mit Drittländern.
Personenbezogene Daten dürfen nur dann übermittelt werden, wenn ein angemessenes
Datenschutzniveau entsprechend der DSGVO eingehalten wird.
Besonders um die Datenabkommen mit den Vereinigten Staaten kommt es immer wieder zu Konflikten.
Zum Leid vieler Online-Händler. Denn für viele zählen solche Daten in die USA zum täglichen Geschäft, zum Beispiel
über Hosting-Anbieter, Cloud Dienstleister, Webanalyse- und Trackingtools, Bestellabwicklungssysteme,
diverse Plugin-Tools oder Videoanbieter.
Nachdem durch den Europäischen Gerichtshof (EuGH) sowohl das Safe-Harbour-Abkommen und das nachfolgende
Datenabkommen Privacy Shield für ungültig erklärt wurden, herrscht weiter Unsicherheit. Zwar bleiben gesonderte
Vertragsklauseln mit den einzelnen amerikanischen Unternehmen bestehen.
Online-Händler, die weiterhin amerikanische
Dienste nutzen, die auf das Privacy Shield gesetzt haben, sollten die Rechtslage auch künftig im Blick behalten und prüfen,
ob ihre Datenschutzerklärung angepasst werden muss.