Logo der Wettbewerbszentrale

Datenschutz/Online Marketing

Überblick

FinanzbrancheDer Schwerpunktbereich „Datenschutz/Online Marketing“ befasst sich branchenübergreifend mit datenschutzrechtlichen Fragen, die im Rahmen von Werbe- und Vertriebsmaßnahmen – insbesondere im digitalen Bereich – auftreten.

Datenschutz/Online Marketing in der Praxis

Datenschutz


In der Praxis müssen z. B. Webseitenbetreiber verschiedene datenschutzrechtliche Vorgaben im Rahmen von Werbe- und Vertriebsmaßnahmen beachten. Speziell im Onlinebereich gibt es eine Vielzahl von Erfordernissen, die Webseitenbetreiber im Auge behalten müssen. Die nachfolgende Aufzählung ist hierbei nur beispielhaft.

Datenschutzerklärung

Unternehmen stellen sich oftmals die Frage, ob sie überhaupt eine Datenschutzerklärung benötigen bzw. fragen danach, welchen Inhalt eine Datenschutzerklärung haben muss.

Eine Datenschutzerklärung ist erforderlich, soweit – beispielsweise beim Betrieb einer Homepage oder eines Onlineshops – personenbezogene Daten erhoben und verarbeitet werden. Ob die IP-Adresse ein personenbezogenes Datum darstellt, ist derzeit noch rechtlich umstritten (vgl. dazu die News der Wettbewerbszentrale vom 06.11.2014 „Sind IP-Adressen personenbezogene Daten? - Vorlage des BGH an den EUGH zur Speicherung dynamischer IP-Adressen“ >>).

Da dies zumindest seitens der Aufsichtsbehörden bejaht wird, ist davon auszugehen, dass mit jedem Seitenaufruf personenbezogene Daten erhoben und verarbeitet werden. Es ist daher empfehlenswert, in jedem Fall eine Datenschutzerklärung vorzuhalten.

Die konkrete Ausgestaltung der Datenschutzerklärung hängt im Wesentlichen von den durchgeführten Datenerhebungs- und Datenverarbeitungsprozessen ab. Es kann daher nicht pauschal angegeben werden, welche Informationen in der Datenschutzerklärung aufzuführen sind. Es ist erforderlich, die Datenschutzerklärung von sonstigen Erklärungen (wie beispielsweise dem Impressum) zu trennen und diese klar und eindeutig zu bezeichnen.

Webanalysetools

Webanalysetools, wie. z.B. Google Analytics oder Piwik, sind Programme, mit deren Hilfe Daten bezüglich des Verhaltens von Besuchern auf Webseiten gesammelt und ausgewertet werden. In datenschutzrechtlicher Hinsicht kann die Anwendung dieser Programme problematisch sein, wenn insbesondere die IP-Adressen von Webseitenbesuchern erfasst und verarbeitet werden.

Aus diesem Grund wurden seitens der Aufsichtsbehörden Kriterien entwickelt, die ein Analyseprogramm erfüllen sollte, um ohne Einwilligung angewendet werden zu dürfen. Für einen datenschutzkonformen Einsatz von Webanalysetools unter Beachtung der Vorgaben der Aufsichtsbehörden sind grundsätzlich die nachfolgenden Punkte zu beachten:
  1. Abschluss eines Auftragsdatenverarbeitungsvertrages, soweit Daten an Dritte übermittelt werden (§ 11 BDSG)

  2. Anonymisierung der IP-Adressen

  3. Widerspruchsrecht der Betroffenen

  4. Datenschutzhinweis in der Datenschutzerklärung

Social Plugins

Social Plugins sind kleine Programme oder Programmpakete, welche auf einer Webseite, einem Blog oder in einer App eigebunden werden, um diese mit sozialen Netzwerken wie z.B. Facebook oder Twitter zu verbinden. Social Plugins funktionieren dergestalt, dass der Browser des Nutzers bereits bei Aufruf einer Webseite eine direkte Verbindung zu den Servern des jeweiligen Social Media Anbieters herstellt. Hierbei werden die Daten des Nutzers von dem fremden Server erfasst. Die jeweiligen Social Media Anbieter erhalten auf diese Weise verschiedentliche Informationen über den Nutzer und haben die Möglichkeit, das Surfverhalten zu analysieren.

Durch Urteil vom 09.03.2016 hat das Landgericht Düsseldorf (Az.: 12 O 151/15 – nicht rechtskräftig) entschieden, dass das Plugin „Gefällt mir“ des sozialen Netzwerks Facebook nicht auf einer Webseite integriert werden darf, ohne dass die Nutzer zuvor über die dadurch veranlasste Datenerhebung und -verwendung aufgeklärt werden, in diese eingewilligt haben, und über die jederzeitige Widerruflichkeit der Einwilligung informiert sind.

Erhebung, Verarbeitung und Nutzung von Daten

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dies durch Gesetz erlaubt ist oder der Betroffene eingewilligt hat. Soweit Unternehmen planen, Werbemaßnahmen durchzuführen, bei deren Durchführung Daten erhoben, verarbeitet und genutzt werden, ist dies oftmals nur mit Einwilligung der jeweiligen Betroffenen möglich.

An die Ausgestaltung einer zulässigen Einwilligungserklärung sind hohe Voraussetzungen geknüpft.
Das Bundesdatenschutzgesetz (BDSG) sieht vor, dass die Einwilligungserklärung eindeutig und transparent zu gestalten ist und der Betroffene insbesondere über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung zu informieren ist. Die Einwilligung muss freiwillig (d.h. ohne Druck) erteilt werden. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. Die Einwilligung bedarf grundsätzlich der Schriftform. Der Betroffene ist darauf hinzuweisen, dass und wie er der Verarbeitung oder Nutzung seiner Daten für Zwecke der Werbung widersprechen kann.

Unter anderem das Gesetz gegen unlauteren Wettbewerb (UWG) und das Telemediengesetz (TMG) enthalten weitere Vorschriften in Bezug auf Einwilligungen.

Gestaltung von Apps

„App“ ist eine Abkürzung für den Fachbegriff Applikation und bezeichnet eine Anwendungssoftware für Mobilgeräte beziehungsweise mobile Betriebssysteme. Bei allen Schritten der App-Entwicklung sind datenschutzrechtliche Vorgaben zu beachten.

Ganz allgemein lässt sich sagen, dass auch bei einer App ein Impressum und eine Datenschutzerklärung zu integrieren sind. Eine Information über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten muss bereits vor Beginn des Nutzungsvorgangs erfolgen, so dass die Datenschutzerklärung bereits im App Store oder zumindest vor dem Start der App zum Abruf bereitgehalten werden muss. Die Datenschutzerklärung muss auch während der Nutzung der App jederzeit abrufbar sein.

Erlaubnisnormen für die Verarbeitung von personenbezogenen Daten in Apps ergeben sich aus dem Telemediengesetz (TMG) oder dem Bundesdatenschutzgesetz (BDSG).

Online Marketing

Im Bereich des Online Marketings stellen sich in der Praxis immer wieder Fragen zur Zulässigkeit von Werbemaßnahmen, wie z.B. bei der Werbung in sozialen Netzwerken, dem Suchmaschinenmarketing oder dem Affiliate-Marketing.

Zurück zum Anfang >>

Rechtsgrundlagen


Das Bundesdatenschutzgesetz (BDSG) regelt zusammen mit den Datenschutzgesetzen der Länder und anderen bereichsspezifischen Regelungen den Umgang mit personenbezogenen Daten, die in Informations- und Kommunikationssystemen oder manuell verarbeitet werden.

Das Bundesdatenschutzgesetz in seiner derzeitigen Fassung beruht auf der EU-Richtlinie 95/46/EG (Datenschutzrichtlinie). Bereichsspezifische Regelungen befinden sich beispielsweise im Telekommunikationsgesetz (TKG), dem Telemediengesetz (TMG) und im 10. Sozialgesetzbuch (SGB X).

Im Frühjahr 2016 hat das Europäische Parlament die Datenschutz-Grundverordnung (DSGVO) beschlossen, die nach einer Übergangsfrist von zwei Jahren ab dem 25. Mai 2018 anwendbar sein und das bisher geltende Datenschutzrecht in weiten Teilen ersetzen wird.

Das Online-Marketing umfasst alle Marketing-Maßnahmen, die mithilfe des Internets umgesetzt werden. Rechtlich handelt es sich hierbei um eine Querschnittsmaterie. Die Rechtsgrundlagen können variieren, sind aber in der Regel im Bürgerlichen Gesetzbuch (BGB), im Gesetz gegen unlauteren Wettbewerb (UWG) oder im Bundesdatenschutzgesetz (BDSG) zu finden.

Die EU Datenschutzgrundverordnung – Wichtige Regelungen im Überblick


Die EU-Datenschutzgrundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, durch die eine Neuordnung und Vereinheitlichung des europäischen Datenschutzes erreicht werden soll. Die DSGVO ist am 14. April 2016 durch das EU-Parlament beschlossen worden. Sie ist ab dem 25. Mai 2018 anwendbar und gilt ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedstaaten. Den Mitgliedstaaten wird es daher außerhalb der in der Verordnung vorgesehenen Öffnungsklauseln nicht möglich sein, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken.

Sinn und Zweck der DSGVO ist es, den Bürgern eine bessere Kontrolle ihrer personenbezogenen Daten zu ermöglichen. Gleichzeitig soll es Unternehmen aufgrund einheitlicher Regeln leichter gemacht werden, die Chancen des digitalen Binnenmarktes besser zu nutzen.

Die folgenden Regelungen werden auch in der Praxis wichtig werden und sind daher besonders beachtenswert:

Recht auf Vergessenwerden (Art. 17 DSGVO)


Personenbezogene Daten sind auf Verlangen eines Betroffenen zu löschen, wenn einer der folgenden Gründe zutrifft:
  • wenn die Datenspeicherung nicht mehr notwendig ist,
  • wenn der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat,
  • wenn die Daten unrechtmäßig verarbeitet wurden,
  • wenn eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht,
  • wenn die Einwilligung noch im Kindesalter abgegeben wurde.
Praktisch bedeutet dies, dass derjenige, der für die Veröffentlichung der Daten verantwortlich ist, unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten vertretbare Schritte unternehmen muss, um die Verantwortlichen, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat.

Das Recht auf Vergessenwerden soll hingegen keine Anwendung finden,
  • wenn das Recht auf freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen,
  • wenn die Datenspeicherung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist,
  • wenn das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt,
  • wenn Archivzwecke, wissenschaftliche und historische Forschungszwecke oder statistische Zwecke entgegenstehen,
  • wenn die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Recht auf Datenportabilität (Art. 20 DSGVO)


Datenportabilität ist das Recht, die eigenen Daten von einem Ort oder Dienst zu einem anderen zu bewegen. Unternehmen sind künftig verpflichtet, die ihnen anvertrauten personenbezogenen Daten „in einem strukturierten, gängigen und maschinenlesbaren Format“ direkt an den Betroffenen oder einen Dritten zu übermitteln.

Diese Regelung dient primär dem Zweck, sogenannte „Lock-in“-Effekte und damit die starke Anbindung an einen Anbieter zu verringern und das Selbstbestimmungsrecht des Betroffenen über seine Daten zu stärken. Für Betroffene soll es leichter werden, Profile bei sozialen Netzwerken oder E-Mail-Konten zu anderen Anbietern zu übertragen.

Zurück zum Anfang >>

Informierte Einwilligung (Art. 7 i.V.m. Art. 6 Abs. 1a DSGVO)

  • Folgende Voraussetzungen sind an eine rechtswirksame Einwilligung zu stellen:
  • Freiwilligkeit der Einwilligung; insbesondere darf der Abschluss eines Vertrages nicht von der Verarbeitung weiterer Daten abhängig gemacht werden, die für die eigentliche Vertragsdurchführung gar nicht benötigt werden,
  • Information über den Verarbeitungszweck,
  • Einwilligung durch eine eindeutige bestätigende Handlung,
  • Hinweis auf das Widerrufsrecht,
  • Nachweisbarkeit der Einwilligung durch die verantwortliche Stelle.

Besondere Erfordernisse bei der Einwilligung Minderjähriger (Art. 8 DSGVO)


Eine Neuerung bietet die DSGVO im Bereich der Einwilligung von Minderjährigen. Gemäß Art. 8 Abs. 1 DSGVO wird die Einwilligung eines Minderjährigen in die Datenverarbeitung grundsätzlich nur wirksam, wenn er das 16. Lebensjahr vollendet hat. Für die rechtmäßige Nutzung der Daten von unter 16-Jährigen bedarf es in Zukunft der ausdrücklichen Genehmigung des gesetzlichen Vertreters. Die maßgebliche Altersgrenze von 16 Jahren gilt allerdings nur, soweit ein Mitgliedsstaat nicht eine geringere Altersgrenze vorsieht, wobei die absolute Untergrenze von 13 Lebensjahren nicht unterschritten werden darf.

Zurück zum Anfang >>

Privacy By Design / Privacy By Default (Art. 25 DSGVO)


Durch Art. 25 DSGVO wird das Konzept des Datenschutzes durch Technik (privacy by design) und datenschutzfreundlicher Voreinstellungen (privacy by default) umgesetzt.

Für die Datenverarbeitung Verantwortliche müssen ihre Dienste demnach datensparsam konzipieren und Voreinstellungen wählen, aufgrund derer nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden. Praktisch bedeutet dies, dass beispielsweise eine auf dem Smartphone installierte Taschenlampen-App nicht auf Daten aus dem Adressbuch zugreifen darf.

Zurück zum Anfang >>

One Stop Shop (Art. 56 DSGVO)


Der „One Stop Shop“-Ansatz bedeutet, dass sich Unternehmen und Bürger EU-weit nur noch an eine Datenschutzbehörde als Ansprechpartnerin wenden müssen.

Bürger können ihre Beschwerden an die Datenschutzbehörde in ihrem Mitgliedstaat richten. Für Unternehmen gilt, dass bei grenzüberschreitenden Datenverarbeitungen in der EU – z.B. durch verschiedene Niederlassungen oder Tochtergesellschaften – grundsätzlich nur die Aufsichtsbehörde am Sitz der Hauptniederlassung des Unternehmens federführend zuständig und einziger Ansprechpartner ist.

Zurück zum Anfang >>

Sanktionen (Art. 83 DSGVO)


Art. 83 DSGVO enthält unionsweit einheitliche sowie gegenüber dem deutschen Recht erheblich verschärfte Sanktionen. Hiernach können bei Verstößen Geldbußen von bis zu 20 000 000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.

Zurück zum Anfang >>

Warenkorb

Der Warenkorb ist leer.

Kontakt

Wettbewerbszentrale Tina Weigand Landgrafenstr. 24 B 61348 Bad Homburg Telefon: 06172-121537
Telefax: 06172-84422 E-Mail