Basics
Datenschutzrecht
Eine Grundregel des deutschen Daten-
schutzrechts ist es, dass jedes Erheben,
Speichern, Verarbeiten und Nutzen von
personenbezogenen Daten
verboten
ist, sofern nicht eine bestimmte Erlaub-
nisregel greift.
Die relevanteste Erlaubnis ist die, dass
der Betroffene eingewilligt hat. Seine
Einwilligung
befreit aber prinzipiell nur
dann, wenn er zuvor über die daten-
schutzrechtlichen Konsequenzen in
bestimmter Weise von Ihnen belehrt wor-
den ist und auch häufig nur dann, wenn
sie in bestimmter Form gegeben wird.
Außerdem muss die
Belehrung
auch
in ihrer textlichen Fassung besonders
hervorgehoben werden, sodass man sie
gerade im Internet nicht einfach als Teil
der AGB gestalten darf. Üblich ist es,
dass die Belehrung in der Art erfolgt,
dass der Betroffene aufgefordert wird,
einer - etwas irreführend benannten -
Datenschutzerklärung zuzustimmen.
Diese
Datenschutzerklärung
muss ganz
bestimmten Anforderungen entsprechen.
So müssen z.B. die Daten, die erhoben
werden bezeichnet werden, der Zweck,
der damit verfolgt wird, welche tech-
nischen Verfahren eingesetzt werden
bzw. auf das Recht des Betroffenen der
Datenverarbeitung zu widersprechen
hingewiesen werden usw.
Eine rechtskonforme Ausgestaltung ist
essentiell, da die Datenschutzerklärung
häufig das erste ist, was ein Konkurrent
unter die Lupe nehmen wird.
Das Gesetz versteht unter einer Daten-
verarbeitung übrigens auch die Übermitt-
lung der Daten an einen Dritten. Gemäß
der Grundregel ist also auch diese
Weitergabe erst einmal verboten.
Neben der bereits genannten Einwilligung
spielt hier eine weiterer wichtige Ausnah-
meregel eine Rolle: Erlaubt ist die Wei-
tergabe von Daten an ein Unternehmen,
das die Daten nur im Auftrag verarbeitet
und dessen Sitz sich im Europäischen
Wirtschaftsraum befindet.
Damit eine solche
Auftragsdatenver-
arbeitung
vorliegt, muss das Unterneh-
men ebenso wie der Vertrag, der die
Zusammenarbeit begründet, bestimmten
Anforderungen genügen. Auftragsda-
tenverarbeitung begegnet Ihnen in den
unterschiedlichsten Formen.
Nutzen oder betreiben Sie ein Rechen-
zentrum oder bieten Sie Cloud-Dienst-
leistungen an oder nehmen Sie diese in
Anspruch, benötigen Sie eine entspre-
chende datenschutzkonforme Vereinba-
rung. Affiliate-Programme, selbst unter
Umständen Host-Providing, kann eine
Auftragsdatenverarbeitung sein.
Die Verträge müssen zahlreiche Angaben
enthalten, vom Gegenstand des Auftrags,
der Art der beauftragten Verarbeitung bis
hin zu Fragen der Berichtigung über-
mittelter Daten, ihrer Löschung oder
Sperrung, Kontrollrechten des Auftrag-
gebers und Punkten, wie der Rückgabe
von Datenträgern nach Beendigung des
Auftrags.
Mit diesen datenschutzrechtlichen
Fragen kommen Sie schon in Berührung,
wenn Sie auf Ihrer Website ein
Webana-
lyse-Tool wie Google Analytics oder
eTracker
einsetzen. Diese Anwendungen
sammeln bestimmungsgemäß eine ganze
Reihe von Daten über die Nutzung einer
Website. Und zwar können hierzu auch
personenbezogene gehören, nämlich z.B.
dann, wenn eine statische IP-Adresse
erfasst wird, die dann einer bestimmten
Person zugeordnet werden kann.
In der Vergangenheit schritten daher die
Aufsichtsbehörden
mancher Bun-
desländer gegen die Verwendung von
Webanalyse-Tools ein. Kunden benötigen
hier regelmäßig Beratung, wie sie Google
Analytics, eTracker und ähnliche Applika-
tionen rechtskonform einsetzen können:
Unter anderem muss die Datenschutzer-
klärung entsprechend gestaltet sein und
insbesondere einen Hinweis auf diese
Anwendungen enthalten.
Mit dem Provider muss ein Auftragsda-
tenverarbeitungsvertrag geschlossen
werden. Die IP-Adressen müssen um die
letzten acht Stellen gekürzt werden und
noch einiges mehr. Auch wenn Sie ein
selbst gehostetes Webanalyse-Tool nut-
zen, gibt es ähnliche datenschutzrechtli-
che Anforderungen zu beachten.
Ebenso entstehen Probleme beim
individuellen
Marketing über Social
Media wie facebook, Google+ oder
Twitter
, insb., wenn Sie Share-Buttons in
Ihre Webpräsenz einbinden. Ist ein User
eingeloggt, während er Ihre Seite aufruft,
werden automatisch personenbezogene
Daten erfasst, ohne dass zuvor wirksam
eingewilligt wurde. Um dieses Problem
zu umgehen, stehen spezielle Gestal-
tungsmöglichkeiten offen, die bei einer
individuellen Beratung erörtert werden.
Seite 21
