Logo der Wettbewerbszentrale

Datenschutz/Online Marketing

Überblick

FinanzbrancheDer Schwerpunktbereich „Datenschutz/Online Marketing“ befasst sich branchenübergreifend mit datenschutzrechtlichen Fragen, die im Rahmen von Werbe- und Vertriebsmaßnahmen – insbesondere im digitalen Bereich – auftreten.

Datenschutz/Online Marketing in der Praxis

Datenschutz


In der Praxis müssen z. B. Webseitenbetreiber verschiedene datenschutzrechtliche Vorgaben im Rahmen von Werbe- und Vertriebsmaßnahmen beachten. Speziell im Onlinebereich gibt es eine Vielzahl von Erfordernissen, die Webseitenbetreiber im Auge behalten müssen. Die nachfolgende Aufzählung ist hierbei nur beispielhaft.

Datenschutzerklärung

Unternehmen stellen sich oftmals die Frage, ob sie überhaupt eine Datenschutzerklärung benötigen bzw. fragen danach, welchen Inhalt eine Datenschutzerklärung haben muss.

Eine Datenschutzerklärung ist erforderlich, soweit – beispielsweise beim Betrieb einer Homepage oder eines Onlineshops – personenbezogene Daten erhoben und verarbeitet werden.

Die konkrete Ausgestaltung der Datenschutzerklärung hängt im Wesentlichen von den durchgeführten Datenerhebungs- und Datenverarbeitungsprozessen ab. Es ist erforderlich, die Datenschutzerklärung von sonstigen Erklärungen (wie beispielsweise dem Impressum) zu trennen und diese klar und eindeutig zu bezeichnen.

Social Plugins

Social Plugins sind kleine Programme oder Programmpakete, welche auf einer Webseite, einem Blog oder in einer App eigebunden werden, um diese mit sozialen Netzwerken wie z.B. Facebook oder Twitter zu verbinden. Social Plugins funktionieren dergestalt, dass der Browser des Nutzers bereits bei Aufruf einer Webseite eine direkte Verbindung zu den Servern des jeweiligen Social Media Anbieters herstellt. Hierbei werden die Daten des Nutzers von dem fremden Server erfasst. Die jeweiligen Social Media Anbieter erhalten auf diese Weise verschiedentliche Informationen über den Nutzer und haben die Möglichkeit, das Surfverhalten zu analysieren.

Hier stellen sich regelmäßig die Fragen, inwieweit das jeweilige soziale Netzwerk und/oder der Webseiten-Betreiber für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich sind.

Durch Urteil vom 09.03.2016 hat das Landgericht Düsseldorf (Az.: 12 O 151/15 – nicht rechtskräftig) entschieden, dass das „Gefällt mir“-Plugin des sozialen Netzwerks Facebook nicht auf einer Webseite integriert werden darf, ohne dass die Nutzer zuvor über die dadurch veranlasste Datenerhebung und -verwendung aufgeklärt werden, in diese eingewilligt haben, und über die jederzeitige Widerruflichkeit der Einwilligung informiert sind. Im Rahmen der Berufung des beklagten Unternehmens, das das Plugin auf seiner Webseite eingebunden hatte, hat das OLG Düsseldorf das Verfahren ausgesetzt und dem EuGH Fragen zur Auslegung der früheren Datenschutzrichtlinie (95/46/EG) vorgelegt (Beschluss v. 19.01.2017, Az. I-20 U 40/16). Der Generalanwalt hat am 19.12.2018 seine Schlussanträge zu den Vorlagefragen des OLG Düsseldorf gestellt. Er sieht für die Phase der Datenverarbeitung, an der der Webseiten-Betreiber auch tatsächlich beteiligt ist, eine datenschutzrechtliche Mitverantwortlichkeit des Webseiten-Betreibers (vgl. News der Wettbewerbszentrale vom 20.12.2018 >>).

Erhebung, Verarbeitung und Nutzung von Daten

Die Verarbeitung von Daten (z. B. das Erheben, die Speicherung oder die Verwendung) ist nur zulässig bzw. rechtmäßig, soweit dies durch Gesetz erlaubt ist oder der Betroffene eingewilligt hat. Soweit Unternehmen planen, Werbemaßnahmen durchzuführen, bei deren Durchführung personenbezogene Daten verarbeitet werden, ist dies häufig nur mit Einwilligung der jeweiligen Betroffenen möglich.

An die Ausgestaltung einer zulässigen Einwilligungserklärung sind hohe Voraussetzungen geknüpft. Eine Einwilligung ist gemäß Art. 4 Nr. 11 DS-GVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Weitere Anforderungen (z. B. Hinweis auf Widerrufbarkeit, einfache Unterscheidbarkeit von anderen Sachverhalten beim Einholen der Einwilligung) stellt Art. 7 DS-GVO.

Das Schriftformerfordernis einer Einwilligung aus dem alten Bundesdatenschutzgesetz besteht mit der Anwendung der Datenschutz-Grundverordnung nicht weiter, jedoch bleibt die Nachweispflicht für den Verantwortlichen über das Vorliegen einer Einwilligung (Art. 7 Abs. 1 DS-GVO). Der Betroffene ist darauf hinzuweisen, dass und wie er der Verarbeitung oder Nutzung seiner Daten für Zwecke der Werbung widersprechen bzw. seine Einwilligung widerrufen kann.

Gestaltung von Apps

„App“ ist eine Abkürzung für den Fachbegriff Applikation und bezeichnet eine Anwendungssoftware für Mobilgeräte beziehungsweise mobile Betriebssysteme. Bei allen Schritten der App-Entwicklung sind datenschutzrechtliche Vorgaben zu beachten.

Ganz allgemein lässt sich sagen, dass auch bei einer App ein Impressum und eine Datenschutzerklärung zu integrieren sind. Eine Information über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten muss bereits vor Beginn des Nutzungsvorgangs erfolgen, so dass die Datenschutzerklärung bereits im App Store oder zumindest vor dem Start der App zum Abruf bereitgehalten werden muss. Die Datenschutzerklärung muss auch während der Nutzung der App jederzeit abrufbar sein.

Online Marketing

Im Bereich des Online Marketings stellen sich in der Praxis immer wieder Fragen zur Zulässigkeit von Werbemaßnahmen, wie z.B. bei der Werbung in sozialen Netzwerken, dem Suchmaschinenmarketing oder dem Affiliate-Marketing.

Zurück zum Anfang >>

Rechtsgrundlagen


Im Frühjahr 2016 hat das Europäische Parlament die Datenschutz-Grundverordnung (DS-GVO) beschlossen, die nach einer Übergangsfrist von zwei Jahren ab dem 25. Mai 2018 anwendbar ist und das bisher geltende Datenschutzrecht ersetzt hat (vgl. News der Wettbewerbszentrale vom 25.05.2018: Datenschutz-Grundverordnung findet ab heute Anwendung – Wettbewerbszentrale hält bei Rechtsdurchsetzung ein Vorgehen mit Augenmaß für erforderlich >>). Ergänzt und konkretisiert wird die DS-GVO vom Bundesdatenschutzgesetz in der Fassung vom 30.06.2017 (BDSG n.F.).

Bereichsspezifische Regelungen befinden sich zusätzlich im Telekommunikationsgesetz (TKG), dem Telemediengesetz (TMG) und im 10. Sozialgesetzbuch (SGB X), wobei das Verhältnis der einzelnen Vorschriften im Hinblick auf deren Anwendbarkeit unter Geltung der DS-GVO umstritten ist.

Das Online-Marketing umfasst alle Marketing-Maßnahmen, die mithilfe des Internets umgesetzt werden. Rechtlich handelt es sich hierbei um eine Querschnittsmaterie. Die Rechtsgrundlagen können variieren, sind aber in der Regel im Bürgerlichen Gesetzbuch (BGB), im Gesetz gegen unlauteren Wettbewerb (UWG) oder in der Datenschutz-Grundverordnung zu finden.

Die EU Datenschutzgrundverordnung – Wichtige Regelungen im Überblick


Die EU-Datenschutzgrundverordnung (DS-GVO) ist eine Verordnung der Europäischen Union, durch die eine Neuordnung und Vereinheitlichung des europäischen Datenschutzes erreicht werden soll. Die DS-GVO ist am 14. April 2016 durch das EU-Parlament beschlossen worden. Sie ist ab dem 25. Mai 2018 anwendbar und gilt ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedstaaten. Den Mitgliedstaaten wird es daher außerhalb der in der Verordnung vorgesehenen Öffnungsklauseln nicht möglich sein, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken.

Sinn und Zweck der DS-GVO ist es, den Bürgern eine bessere Kontrolle ihrer personenbezogenen Daten zu ermöglichen. Gleichzeitig soll es Unternehmen aufgrund einheitlicher Regeln leichter gemacht werden, die Chancen des digitalen Binnenmarktes besser zu nutzen.

Die folgenden Regelungen werden auch in der Praxis wichtig werden und sind daher besonders beachtenswert:

Recht auf Vergessenwerden (Art. 17 DS-GVO)


Personenbezogene Daten sind auf Verlangen eines Betroffenen zu löschen, wenn einer der folgenden Gründe zutrifft:
  • wenn die Datenspeicherung nicht mehr notwendig ist,
  • wenn der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat,
  • wenn die Daten unrechtmäßig verarbeitet wurden,
  • wenn eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht,
  • wenn die Einwilligung noch im Kindesalter abgegeben wurde.
Praktisch bedeutet dies, dass derjenige, der für die Veröffentlichung der Daten verantwortlich ist, unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten vertretbare Schritte unternehmen muss, um die Verantwortlichen, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat.

Das Recht auf Vergessenwerden soll hingegen keine Anwendung finden,
  • wenn das Recht auf freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen,
  • wenn die Datenspeicherung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist,
  • wenn das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt,
  • wenn Archivzwecke, wissenschaftliche und historische Forschungszwecke oder statistische Zwecke entgegenstehen,
  • wenn die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Recht auf Datenportabilität (Art. 20 DS-GVO)


Datenportabilität ist das Recht, die eigenen Daten von einem Ort oder Dienst zu einem anderen zu bewegen. Unternehmen sind künftig verpflichtet, die ihnen anvertrauten personenbezogenen Daten „in einem strukturierten, gängigen und maschinenlesbaren Format“ direkt an den Betroffenen oder einen Dritten zu übermitteln.

Diese Regelung dient primär dem Zweck, sogenannte „Lock-in“-Effekte und damit die starke Anbindung an einen Anbieter zu verringern und das Selbstbestimmungsrecht des Betroffenen über seine Daten zu stärken. Für Betroffene soll es leichter werden, Profile bei sozialen Netzwerken oder E-Mail-Konten zu anderen Anbietern zu übertragen.

Zurück zum Anfang >>

Informierte Einwilligung (Art. 7 i.V.m. Art. 6 Abs. 1a DS-GVO)

  • Folgende Voraussetzungen sind an eine rechtswirksame Einwilligung zu stellen:
  • Freiwilligkeit der Einwilligung; insbesondere darf der Abschluss eines Vertrages nicht von der Verarbeitung weiterer Daten abhängig gemacht werden, die für die eigentliche Vertragsdurchführung gar nicht benötigt werden,
  • Information über den Verarbeitungszweck,
  • Einwilligung durch eine eindeutige bestätigende Handlung,
  • Hinweis auf das Widerrufsrecht,
  • Nachweisbarkeit der Einwilligung durch die verantwortliche Stelle.

Besondere Erfordernisse bei der Einwilligung Minderjähriger (Art. 8 DS-GVO)


Eine Neuerung bietet die DS-GVO im Bereich der Einwilligung von Minderjährigen. Gemäß Art. 8 Abs. 1 DS-GVO wird die Einwilligung eines Minderjährigen in die Datenverarbeitung grundsätzlich nur wirksam, wenn er das 16. Lebensjahr vollendet hat. Für die rechtmäßige Nutzung der Daten von unter 16-Jährigen bedarf es in Zukunft der ausdrücklichen Genehmigung des gesetzlichen Vertreters. Die maßgebliche Altersgrenze von 16 Jahren gilt allerdings nur, soweit ein Mitgliedsstaat nicht eine geringere Altersgrenze vorsieht, wobei die absolute Untergrenze von 13 Lebensjahren nicht unterschritten werden darf.

Zurück zum Anfang >>

Privacy By Design / Privacy By Default (Art. 25 DS-GVO)


Durch Art. 25 DS-GVO wird das Konzept des Datenschutzes durch Technik (privacy by design) und datenschutzfreundlicher Voreinstellungen (privacy by default) umgesetzt.

Für die Datenverarbeitung Verantwortliche müssen ihre Dienste demnach datensparsam konzipieren und Voreinstellungen wählen, aufgrund derer nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden. Praktisch bedeutet dies, dass beispielsweise eine auf dem Smartphone installierte Taschenlampen-App nicht auf Daten aus dem Adressbuch zugreifen darf.

Zurück zum Anfang >>

One Stop Shop (Art. 56 DS-GVO)


Der „One Stop Shop“-Ansatz bedeutet, dass sich Unternehmen und Bürger EU-weit nur noch an eine Datenschutzbehörde als Ansprechpartnerin wenden müssen.

Bürger können ihre Beschwerden an die Datenschutzbehörde in ihrem Mitgliedstaat richten. Für Unternehmen gilt, dass bei grenzüberschreitenden Datenverarbeitungen in der EU – z.B. durch verschiedene Niederlassungen oder Tochtergesellschaften – grundsätzlich nur die Aufsichtsbehörde am Sitz der Hauptniederlassung des Unternehmens federführend zuständig und einziger Ansprechpartner ist.

Zurück zum Anfang >>

Sanktionen (Art. 83 DS-GVO)


Art. 83 DS-GVO enthält unionsweit einheitliche sowie gegenüber dem deutschen Recht erheblich verschärfte Sanktionen. Hiernach können bei Verstößen Geldbußen von bis zu 20 000 000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.

Zurück zum Anfang >>

Kontakt

Wettbewerbszentrale Landgrafenstr. 24 B 61348 Bad Homburg Telefon: 06172-12150
Telefax: 06172-84422 E-Mail