Server-Team - Ihr IT Spezialist 24h Notdienst Computer - Computer, Software, Webdesign, EDV, PC, 24h, Notdienst, Internet, DSL, Hardware, Webhosting, Hosting, Internetseite, Webseite, Webserver, Homepage, Internetanschluss, Dresden, Leipzig
Server-Team
          ein Name - die Lösung - Ihre Zufriedenheit

Datenschutz Bestimmungen (DSGVO) für Internetseiten
und Online-Shops

Version: 09.05.2018

Die zahlreichen Änderungen, die ab 25. Mai 2018 die Datenschutz-Grundverordnung mit sich bringt, betreffen jeden Unternehmer. Als Betreiber einer Internetseite sind Sie durch Regelungen in der EU Datenschutz-Grundverordnung (DSGVO) und Regelungen im Bundesdatenschutzgesetz (BDSG) verpflichten sich um den Datenschutz zu kümmern und technisch Maßnahmen zur Umsetzung zu ergreifen. Dabei schreibt der Gesetzgeber vor, dass jede Internetseite über eine Datenschutzerklärung verfügen muss. In diesem Artikel möchten wir zum Thema Datenschutz für Ihre Internetseite und ggf. Ihren Online-Shop informieren. Dabei berührt dieser Artikel auch andere rechtlich relevante Themen wie z. B. die Impressums-Pflicht, Online-Streitbeilegung, Verschlüsselung und Regelungen im Telemediengesetz (TMG).


Für wen gilt die DSGVO und ab wann? Die DSGVO gilt für alle Unternehmen und Betreiber einer Internetseite (egal ob Verein, GmbH, Einzelunternehmen), die personenbezogene Daten der Nutzer bzw. Kunden erheben, speichern und verarbeiten. Die neuste Auflage der DSGVO greift ab 25. Mai 2018.

Zu den technischen Maßnahmen, die beim Datenschutz relevant sind, zählt zum Beispiel auch die Verschlüsselung der Daten die über Ihre Internetseite übertragen werden. Zu diesem Thema sollten Sie sich im Artikel "SSL-Zertifikat zur Verschlüsselung und Datenschutz" informieren.

Was passiert, wenn ich keine Datenschutzerklärung auf meine Internetseite einstelle?

Keine Datenschutzerklärung, bzw. eine unvollständige oder fehlerhafte, kann zu Abmahnung durch Wettbewerber, Verbraucherschutz- und Wettbewerbsverbände führen. Dadurch entstehen Kosten für die Abmahnung, ggf. Rechtsanwalt, Gericht und Vertragsstrafen.

Muss sich die Datenschutzerklärung nur auf die Internetseite oder auf das gesamte Unternehmen beziehen?

Zunächst einmal auf die Datenverarbeitung über Ihre Internetseite. Wenn Sie außerhalb des Internet z. B. in Papierform Daten erheben, sollten Sie auf dem jeweiligen Formular oder den AGB dann gesondert über den Umgang mit diesen Daten informieren.

Die Regelungen zum Datenschutz sind sehr umfangreich und unterscheiden sich von Unternehmen zu Unternehmen und auch der Funktionsumfang Ihrer Internetseite ist dabei von Belang. Daher gibt es für die Datenschutzerklärung kein Muster, dass auf alle Internetseiten angewendet werden kann. Der Betreiber einer Internetseite, ob privat oder geschäftlich, muss sich also mit dem Thema beschäftigen und eine für seine Internetseite passende Datenschutzerklärung erstellen bzw. erstellen lassen.

Server-Team kann für Ihr Unternehmen nicht als Datenschutzbeauftragter fungieren. Allerdings können wir Sie bei der technischen Umsetzung auf Ihrer Internetpräsention bzw. Ihrer IT-Technik unterstützen. Dabei arbeiten wir eng mit dem von Ihnen bestellten bzw. ernannten Datenschutzbeauftragten zusammen

Wann braucht ein Unternehmen einen Datenschutzbeauftragten?

Im Bundesdatenschutzgesetz (BDSG) bzw. in der DSGVO ist zu lesen, wann ein Unternehmen dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen. Eine gesetzliche Verpflichtung liegt in den folgenden Fällen vor:

  • Das Unternehmen beschäftigt mindestens 10 Personen, die personenbezogene Daten automatisiert verarbeiten. Ob es sich dabei um freie Mitarbeiter, fest angestellte Mitarbeiter oder Aushilfen handelt ist irrelevant. Sofern diese Arbeiten an eine elektronischen Gerät verrichtet werden, ist von einer automatisierten Verarbeitung der Daten auszugehen. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, genutzt oder verarbeitet werden und damit in der Regel min. 20 Personen beschäftigt sind.
    Die rechtliche Grundlage bildet § 38 im BDSG und Abschnitt 4 in der DSGVO
  • Das Unternehmen übermittelt personenbezogene Daten geschäftsmäßig, verarbeitet bzw. erhebt solche. Beispiele für diese Unternehmen sind Adressverlage, Auskunfteien oder Marktforschungsunternehmen. Die Anzahl der Beschäftigen spielt hierbei keine Rolle. Rechtsgrundlage: § 4f Abs. 1 Satz 5 BDSG alt.
  • Das Unternehmen verarbeitet besonders sensible Daten, wie beispielsweise Bonitäts-, Personal- oder Gesundheitsdaten. In dieser Situation besteht unabhängig von der Anzahl der Beschäftigten, eine grundsätzliche Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Rechtsgrundlage ist § 4f Abs. 1 Satz 5 BDSG alt.
Wer darf zum Datenschutzbeauftragten ernannt werden?

Zum Datenschutzbeauftragten können Sie entweder einen eigenen Mitarbeiter oder eine externe Person bestellen. Zum Datenschutzbeauftragten dürfen dabei keine Mitglieder der Unternehmensleitung gemacht werden. Der Datenschutzbeauftragte muss zuverlässig sein und die erforderliche Fachkunde im Datenschutz besitzen.

Ob der bestellte Datenschutzbeauftragte den Anforderungen genügt, muss letztlich am Einzelfall und je nach der Schwerpunktsetzung des Unternehmens sowie anhand einer branchenspezifisch erforderlichen Fachkunde festgestellt werden. Da sich die Technologie ständig fortentwickelt, muss sich der Beauftragte zudem laufend über die neuen datenschutzrechtlichen Vorschriften und Bedingungen informieren. Wird ein Mitarbeiter des Unternehmens als Datenschutzbeauftragter ernannt, gelten arbeitsrechtliche Besonderheiten. Diese sind ebenfalls in § 4f im BDSG alt geregelt.

Die von Ihnen erstellte Datenschutzerklärung binden wir dann in Ihre vorhandene Internetpräsentation ein. In diesem Artikel möchten wir auf die wichtigsten Überlegungen zum Thema Datenschutz eingehen und versuchen so viele Fragen wie möglich zu beantworten. Weiterhin erhalten Sie Vorschläge zur Formulierung und Mustertexte die Sie für Ihre eigene Datenschutzerklärung anpassen können.

Wir haben für Sie ein Checkliste erstellt, die die wichtigsten Punkte beinhaltet, die in Ihrer Internetseite eingepflegt werden müssen.

Bitte beachten Sie, dass diese Checkliste nicht alle relevanten Informationen beinhalten kann. Sie ist nur eine stark vereinfachte Übersicht um die wichtigsten Punkte im Auge zu behalten. Es ist daher wichtig, dass Sie sich den gesamten Artikel und die verlinkten Texte durchlesen.

Wie sieht so eine Datenschutzerklärung aus?

Eine Muster-Datenschutzerklärung finde Sie hier: Datenschutzerklärung Server-Team
Jedes Unternehmen sollte seine eigene Datenschutzerklärung durch einen Datenschutzbeauftragten bzw. zuständigen Rechtsanwalt erstellen lassen. In der Muster-Datenschutzerklärung können z. B. für Ihr Unternehmen relevante Informationen fehlen bzw. falsch dargelegt werden.

Wo muss die Datenschutzerklärung auf meiner Internetseite platziert werden?

Die Datenschutzerklärung muss von jeder Seite aus direkt erreichbar sein. Es genügt also nicht, diese dem Impressum mit anzuhängen. Weiterhin muss die Datenschutzerklärung als solches erkennbar sein, also sollte der Name Datenschutz enthalten sein.

Ist es Pflicht vor dem Button "Absenden" im Kontaktformular eine Checkbox zur Kenntnisnahme bzw. Bestätigung der Datenschutzerklärung zu haben?

Zu dieser Frage gibt es von den Gerichten derzeit kein konkretes Urteil. Allerdings steht fest, dass laut §13 TMG beim Erheben personenbezogener Daten über den Datenschutz informiert werden muss. Daher schlagen wir vor, in einem Kontaktformular auf eine Checkbox (Häkchen vor einer Auswahloption) zu verzichten. Es empfiehlt sich folgenden Text in der Nähe des "Absende-Button" zu platzieren: "Mit dem Klick auf Absenden, stimme ich der Verarbeitung meiner hier eingegebenen Daten gemäß Datenschutzerklärung zu."
Bei anderen Formularen wie z. B. im Warenkorb/Kasse eines Webshops, sollte besser das Checkbox-Verfahren genutzt werden. Im Webshop muss ja eh die Zustimmung zu anderen Bestimmungen mit eingeholt werden. Diese kann man gleich mit der Zustimmung zur Datenschutzerklärung kombinieren.

Was muss bei anderen Formularen wie z. B. Gästebuch oder Registrierungs-Formular beachtet werden?

Bei anderen Formularen, außer dem Kontaktformular, sind meiste weitere Kriterien betreffs Datenschutz zu beachten. Meist ist eine Zustimmung zur bestehenden Datenschutzerklärung seitens des Nutzers notwendig. Wie es z. B auch in einem Online-Shop im Bereich Warenkorb/Kasse notwendig ist. Es sollte daher so verfahren werden, wie es weiter unten unter "Betreiber eines Online-Shops ..." angegeben ist. Der Text für die Einwilligung per Checkbox könnte z. B. so aussehen: "Ich habe die Datenschutzerklärung gelesen, verstanden und stimme dieser zu."

Als Betreiber eines Online-Shops gibt es noch besondere Vorschriften für die Datenschutzerklärung und wie diese technisch umgesetzt werden sollen. Bevor eine Bestellung abgesendet werden kann, muss der Kunde die Bedingungen zum Datenschutz akzeptieren. Dies kann z. B. mit folgender Formulierung erreicht werden: "Ich habe die AGB, Widerrufsrecht & Datenschutzerklärung gelesen und stimme diesen zu."
Erst wenn ein Häkchen bei dieser Bedingung gesetzt wurde, wird die Bestellung versendet. Weiterhin ist es wichtig, dass dem Kunden alle Texte die er durch setzen des Häkchens akzeptiert hat auch per Mail gleich mit zugesendet werden.

Betreiber eines Newsletter-Systems müssen besondere Bestimmungen im Datenschutz berücksichtigen.

Was muss man beim Versenden eines Newsletters bzgl. Datenschutz besonders beachten?
  • Es muss dokumentiert werden, wer und wann dem Newsletter zugestimmt wurde.
  • Die Einwilligung zum Newsletter muss freiwillige erfolgen und darf nicht mit Aktionen gekoppelt sein wie z. B. ein Gewinnspiel, Rabatte oder Ware gegen Daten. Siehe hierzu Koppelungsverbot in Art. 7 Abs. 4 der DSGVO.
  • Die Daten dürfen nicht an Dritte weitergegeben werden.
  • Datensparsamkeit (nur die notwendigen Daten abfragen)
  • Link auf die Datenschutzerklärung (mit Widerspruchsrecht) und Einwilligung per Checkbox um diese zu akzeptieren.
  • Link zur Abmeldung des Newsletters in jeder Mail.
  • Die Einwilligung der Eltern ist erforderlich bei Inhalten, die sich spezifisch an Kinder und Jugendliche richten.

Nahezu jede moderne Internetseite nutzt zum Speichern von Informationen sogenannte Cookies. Cookies sind kleine Textdateien, die auf dem Gerät des Besuchers Ihrer Internetseite gespeichert werden. Es gibt verschiedene Arten von Cookies und damit verbundene Funktionen die zum reibungslosen Betrieb einer Internetseite notwendig sind. Hier ein Beispiel für Nutzung von Cookies bei einem Online-Shop. In den Cookies wird z. B. gespeichert welche Artikel gerade im Warenkorb liegen. Ein anderes Beispiel, der Nutzer klickt auf "Hiermit akzeptiere ich die Bedingungen zum Datenschutz." Damit der Nutzer dies nicht bei jeder Unterseite wieder neu gefragt wird, wird die Information (dass er bereits geklickt hatte) in dem Cookie gespeichert. An diesen Beispiel sieht man, dass Cookies für eine Vielzahl von Funktionen wichtig sind. Cookies kann der Nutzer an seinem Gerät bzw. Internetbrowser selbstständig deaktivieren oder einschränken. Auch über die genutzten Cookies kann sich der Nutzer in seinem Internetbrowser informieren. Dennoch hat der Gesetzgeber beschlossen, dass der Betreiber einer Internetseite aus datenschutzrechtlichen Gründen über die Nutzung von Cookies informieren muss. Dies sollte zum einen in der Datenschutzerklärung erfolgen und zum anderen durch Einblendung einer Cookie-Information beim Besuch der Internetseite.

Wie sollte ich über Cookies in der Datenschutzerklärung informieren?

Dazu gibt es als Beispiel einen separaten Abschnitt in der Muster-Datenschutzerklärung.
Dort Abschnitt "3. Datenerfassung auf unserer Internetseite – Cookies".

Wie sieht die Einblendung einer Cookie-Information aus?

Die Einblendung der Information, dass auf der derzeit besuchten Internetseite Cookies verwendet werden, muss sofort beim Betreten dieser erscheinen. Also auch dann, wenn eine beliebige Unterseite direkt aus einer Suchmaschine aus aufgerufen wird. Diesen Umstand kann man nutzen um auch gleich über die restlichen Bestimmungen zum Datenschutz zu informieren und den Link zur Dantenschutzerklärung anzuzeigen. Z. B. mit solch eine Formulierung: "Um Ihnen ein Höchstmaß an Sicherheit und Effektivität beim Besuch unserer Website zu bieten, verwenden wir Cookies. Durch die Nutzung unserer Website erklären Sie sich damit einverstanden. Weitere Informationen zum Datenschutz und der Verwendung von Cookies finden Sie in der Datenschutzerklärung." [OK]

Beispiel Einblendung Hinweis zu Cookies und Datenschutz

Folgendes Beispiel bietet sich an, wenn Sie die Zustimmung des Nutzers benötigen: "Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Nutzung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Details ansehen" [AKZEPTIEREN]

Dürfen Tracking-Cookies erst nach Zustimmung des Website-Nutzers gesetzt werden?

Die Fragen rund um das Thema Cookies sollte die E-Privacy Verordnung regeln. Diese kommt aber erst im Jahr 2019. Leider ist daher hier vieles noch nicht verbindlich geklärt. Daher empfehlen wir generell zumindest über Cookies beim Betreten der Internetseite zu informieren und die Möglichkeit zur Bestätigung zu bieten.

Das Programm zur Einblendung der Cookie Informationen und Hinweise zum Datenschutz, was wir für Ihren Internetauftritt entwickelt haben, hat eine Reihe von Enstellungsmöglichkeiten. Bitte unterrichten Sie Ihren zuständigen Webdesigner über Ihre Wünsche und Vorstellungen zu diesem Thema. Wenn der Webdesigner zu diesem Thema keine Informationen von Ihnen bekommt, werden die Standard-Texte und -Einstellungen in Ihre Internetseite eingebunden. Für die meisten Projekte sollte dies ausreichend sein.

Eine Pflicht zur Löschung der Daten sieht Art. 17 in der DSGVO vor, wenn:

Unabhängig vom Thema Datenschutz, sei an dieser Stelle noch erwähnt, dass alle Unternehmen die mit Verbrauchern geschäftlich zu tun haben, Informationen zur Online-Streitbeilegung veröffentlichen müssen. Wichtige Information zur Online-Streitbeilegung finden Sie weiter unten in den Fragen: Muss ich über eine Online-Streitbeilegung informieren ...? und Wer ist zur Teilnahme ... verpflichtet?

Muss ich über eine Online-Streitbeilegung informieren bzw. diese anbieten?

Wer Dienstleistungen anbietet oder Waren verkauft, muss zumindest über die Möglichkeiten einer Online-Streitbeilegung informieren. Weiterhin müssen Sie informieren, ob Sie am Online-Streitbeilegungsverfahren teilnehmen oder nicht, sowie auf die zuständige Verbraucherschlichtungsstelle hinweisen. Seit Anfang Februar 2017 gilt eine weitergehende Informationspflicht auch für Verträge, die nicht online abgeschlossen wurden. Alle Händler, auch reine Ladenlokale, müssen dann nach § 36 Verbraucherstreitbeilegungsgesetz, Verbraucher informieren. Daher schlagen wir vor, binden Sie einen Abschnitt zur Online-Streitbeilegung gleich in Ihre AGB ein. Wenn einen Online-Shop betrieben wird, ist es auch von Vorteil im Bereich des Warenkorb bzw. der Kasse ein Link zum Thema Online-Streitbeilegung zu platzieren. Besitzt Ihr Unternehmen keine AGB und die Internetseite keinen Online-Shop, muss zumindest im Impressum der Internetseite über das Thema Online-Streitbeilegung informiert werden. Vergessen Sie dabei nicht, die Verbraucher zu informieren, mit denen Sie Geschäfte außerhalb des Internet abwickeln.

Wer ist zur Teilnahme am Online-Streitbeilegungsverfahren verpflichtet?

Als Einzelhändler sind normalerweise nicht verpflichtet, an der Streitbeilegung teilzunehmen. Dennoch bleibt die Pflicht über das Thema zu informieren. Verpflichtet sind z.B. Unternehmer, wenn sie das in einer Mediations- oder Schlichtungsabrede oder in Tarifverträgen festgelegt haben. Auch aus der Satzung des Vereins einer Schlichtungsstelle kann sich die Pflicht ergeben, wenn der Unternehmer Vereinsmitglied ist. Außerdem sind um Beispiel auch Energieversorgungsunternehmen gesetzlich zur Teilnahme an Streitbeilegungsverfahren verpflichtet.

Was für ein Text muss ich benutzen wenn ich nicht am Online-Streitbeilegungsverfahren teilnehmen möchte?

Hier ein Beispiel:
Die Europäische Kommission stellt eine Plattform zur außergerichtlichen Online-Streitbeilegung bereit, die Sie hier finden https://ec.europa.eu/consumers/odr/. Verbraucher haben die Möglichkeit, diese Plattform für die Beilegung ihrer Streitigkeiten zu nutzen. Allternativ zur EU-Plattform können Sie auch nationale Möglichkeiten nutzen. Allgemeine Verbraucherschlichtungsstelle des Zentrums für Schlichtung e.V., Straßburger Straße 8, 77694 Kehl am Rhein (Internet: https://www.verbraucher-schlichter.de) oder weitere Schlichtungsstellen zu finden auf der Internetseite https://www.verbraucher-schlichter.de/was-ist-schlichtung/weitere-schlichtungsstellen
Wir nehmen nicht an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teil. Sie können uns über das Kontaktformular oder per Mail über die Mail-Adresse im Impressum erreichen.

Sind Sie als Unternehmen mit Sozialen-Medien wie z. B. Facebook vernetzt, gelten besondere Bestimmungen zum Datenschutz bzw. im Telemediengesetz (TMG). Die wenigsten Unternehmen sind sich darüber bewusst, dass auch bei einer Facebook-Seite oder Fanseite ein Impressum gemäß TMG notwendig ist. Dies gilt auch für andere Socialen-Netzwerke wie z. B. Google+. Auch Shopseiten bei Amazon oder ebay sind davon betroffen. Stellen Sie also Ihr Unternehmen auf solchen Seiten vor bzw. betreiben dort Werbung, dann stellen Sie sicher, dass ein Impressum hinterlegt ist am Besten auch ein Link auf das Impressum Ihrer Internetseite.

Haben Sie Soziale-Netzwerke direkt auf Ihrer Internetseite eingebunden sind besonders viele Punkte im Bezug auf den Datenschutz zu beachten. Denn es ist immer schwierig in Erfahrung zu bringen, was genau für Daten von den sogenannte Social-Plugins abgefragt werden und wie diese vom Betreiber des Netzwerkes verarbeitet und gespeichert werden. Wir raten daher von der Einbindung solcher Social-Plugins ab. Besser ist die Platzierung von Links zu den jeweiligen Sozialen-Medien. Möchten Sie dennoch Social-Plugins auf Ihrer Internetseite einbinden, sollten Sie Ihre Nutzer in der Datenschutzerklärung darüber informieren. Wie z. B. in der Muster-Datenschutzerklärung.
Nur die reine Information über die Daten die erfasst werden und wie sie verarbeitet werden ist allerdings nicht ausreichen. Der Nutzer muss vor der Aktivierung der Social-Plugins den Datenschutzbestimmungern erst zustimmen. Dies ist technisch sehr schwierig, da die Social-Plugins im allgemeinen bereits geladen werden bevor der Nutzer dem zustimmen kann. Eine Möglichkeit dies zu erreichen ist, die Abfrage zu den Cookies und Datenschutz beim ersten Besuch der Internetseite so einzurichten, dass die Internetseite erst dann bedient werden kann, wenn der Nutzer der Datenschutzerklärung zugestimmt hat. Unser Webdesigner kann diese Funktion für Sie aktivieren, falls dies für Ihr Projekt unbedingt erforderlich sein sollte. Für eine generell einfachere Bedingung der Internetseite, sorgt jedoch der Verzicht von Social-Plugins und die Beschränkung auf das Einbinden der Links zu den von Ihnen bevorzugten Sozialen-Netzwerken. Weiter Möglichkeiten für Sociale-Netzwerke sind in der Muster-Datenschutzerklärung erläutert. (Dort zu lesen unter 4. Soziale Medien – Social Plugins.)



Wir hoffen es konnten alle Fragen zu den oben genannten Themen beantwortet werden. Weitere Informationen finden Sie weiter unten bei "Quellen und Verlinkungen ...". Gern stehen wir Ihnen noch für weitere Fragen zur Verfügung. Allerdings sollten Sie als Vorbereitung für ein Gespräch mit uns, diesen Artikel komplett gelesen haben. Unsere Kontaktdaten sind unter "Hier finden Sie uns" enthalten.

Quellen und Verlinkungen zum Datenschutz und anderen Gesetzen:
Bundesdatenschutzgesetz (ab 2018):
http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl117s2097.pdf
Datenschutzgrundverordnung (EU ab 2018):
http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE
Telemediengesetz (TMG): https://www.gesetze-im-internet.de/tmg/
Verbraucherstreitbeilegungsgesetz: https://www.gesetze-im-internet.de/vsbg/


SSL-Zertifikat zur Verschlüsselung und Datenschutz   zurück

Diese Hinweise zum Datenschutz und anderen Themen bieten keine Gewähr für Vollständigkeit und Richtigkeit. Die Haftung für unvollständige oder fehlerhafte Informationen wird nicht übernommen. Dieser Artikel stellt weder eine Rechtsberatung dar, noch ersetzt er die Beratung durch einen fachkundigen Rechtsanwalt. Bei individuellen Fragen sollten Sie ein Rechtsanwalt für Datenschutz kontaktieren. Dieser kann zu den Besonderheiten in Ihrem Unternehmen Auskunft geben. Es ist nicht auszuschließen, dass einzelne Texte im Zuge eines nicht veröffentlichten oder unbekannten Urteils zu beanstanden sind. Bitte informieren Sie sich daher über derartige Umstände oder holen im Zweifel fachkundigen Rat ein. Gerne stehen wir Ihnen auch für Fragen zum Thema Datenschutz und SSL-Zertifikat zur Verfügung, allerdings können wir keine Rechtsberatung durchführen.


Kontakt • AGB • Datenschutz • Impressum

© by Server-Team