Du hast eine E-Commerce-Website und eine App erstellt, auf der die Leute Schuhe kaufen können. Du erinnerst dich vage, dass man eine Datenschutzerklärung benötigt, aber braucht man nun tatsächlich eine?
Tatsächlich gibt es viele Gründe, weshalb es eine Datenschutzerklärung braucht:
Datenschutz-Vorschriften in Europa
Europa hat strenge Datenschutzgesetze, die vor allem in der Datenschutzrichtlinie (95/46/EG) und der ePrivacy-Richtlinie (2002/58/EC) ihren gemeinsamen Ursprung haben. Da diese beiden Rechtsakte Richtlinien sind, sind alle Mitgliedsstaaten der Europäischen Union verpflichtet, deren Ziele zu erreichen und einen gemeinsamen Mindeststandard an Datenschutz zu gewährleisten. Allerdings sind die Mitgliedstaaten frei in der Umsetzung, so dass es Unterschiede zwischen den einzelnen Ländern gibt. Der Teufel steckt im Detail.
Ab Mai 2018 wird der Schutz personenbezogener Daten in ganz Europa vollständig harmonisiert sein, da die Verordnung 2016/679/EU in Kraft treten wird und eine unmittelbar verbindliche Regelung zum Datenschutz bietet. Diese Verordnungen haben allgemeine Gültigkeit und sind unmittelbar wirksam in den Mitgliedstaaten.
EU-USA-Datenübertragung
Das momentan heißeste Thema betrifft die Übertragung von personenbezogenen Daten aus Europa in die USA, da die USA im europäischen Sinne keinen angemessenen Schutz für personenbezogene Daten bieten. Daher könnten europäische (von den europäischen Datenschutzgesetzen geschützte) Nutzer einer weniger strengen Regulierung ausgesetzt werden, wenn ihre Daten den Atlantik überquert haben - was fast zwangsläufig passiert, wenn man nur Google, Facebook, Amazon. etc. betrachtet, die alle in Übersee ihren Sitz haben.
Um das Problem zu lösen, hat die Europäische Kommission eine Vereinbarung mit der US-Regierung ausgehandelt, die „Privacy Shield" genannt wird und die im Wesentlichen eine Reihe von Grundsätzen zum Datenschutz beinhaltet. Diese Vorschriften und Prozesse müssen Behörden und Unternehmen befolgen, um zu einer vereinfachten EU-USA-Datenübertragung zugelassen zu werden. Dazu hat die Europäische Kommission vor kurzem eine Angemessenheitsfeststellung herausgegeben, die besagt, dass die USA als ein Land angesehen werden können, das ein Datenschutzniveau bietet, das mit dem in Europa vergleichbar ist.
Einzelheiten über die Verarbeitung in den nationalen Gesetzgebungen, wie z.B. Deutschland
Die wichtigsten Regelungen zum Datenschutz werden durch das BDSG (Bundesdatenschutzgesetz) und insbesondere im TMG (Telemediengesetz) festgelegt, wobei letzteres speziell für die Online-Umgebung gilt.
Als allgemeiner Grundsatz können personenbezogene Daten erhoben und verarbeitet werden, wenn der Eigentümer der Daten seine informierte und ausdrückliche Zustimmung gegeben hat. Das Gesetz sieht eine Reihe von Ausnahmen von dieser Regel vor: Für unsere Zwecke ist die relevanteste hiervon, dass „die Erhebung, Speicherung, Veränderung oder Übermittlung personenbezogener Daten oder ihre Nutzung als Mittel der Erfüllung der eigenen geschäftlichen Zwecke zulässig ist, wenn diese erforderlich sind, um eine rechtliche Verpflichtung oder eine quasi-rechtliche Verpflichtung mit den Daten der betroffenen Person" (§ 28 BDSG) zu erfüllen. Das bedeutet zum Beispiel, dass du, wann immer du einen Vertrag mit jemandem erstellst, durchführst oder beenden möchtest, du alle hierzu notwendigen (und nur diese) personenbezogenen Daten sammeln und verarbeiten darfst.
Hierzu ein Beispiel: Ein Nutzer möchte ein Paar Schuhe aus dem Online-Shop kaufen. Das bedeutet, dass er/sie bereit ist, einen Vertrag abzuschließen. Um den Vertrag zu erfüllen, muss man die E-Mail-Adresse kennen, um hin und her zu kommunizieren, ebenso die Daten für den Versand (Name, Adresse), die Schuhgröße, um den richtigen Schuh auszuwählen, alle Kreditkartendaten, um die Zahlung zu erhalten. Man darf jedoch nicht - sagen wir – seine/ihre Telefonnummer erfragen, da sie nicht unbedingt für den Verkauf des Schuhs benötigt wird.
Deshalb, wenn man also plant, persönliche Daten von Nutzern zu sammeln, wird man - unabhängig von der gewählten technischen Lösung (d.h. ob du eine Website, eine App, ein soziales Medium etc. hast), in erster Linie vor die folgende Alternative gestellt werden:
Wenn man berechtigt bist, Daten zu sammeln, um „eine rechtliche Verpflichtung zu schaffen, auszuführen oder zu beenden", benötigt man nicht die Einwilligung der betroffenen Eigentümer, aber man muss den Dateneigentümer genau über die Daten, die gesammelt werden und wie mit ihnen umgegangen wird, informieren → hier kommt die Datenschutzerklärung ins Spiel.
Wenn weder die oben genannte, noch irgendeine andere Ausnahme gilt, muss man die Zustimmung des Dateneigentümers erhalten, nachdem dieser genau über die Datensammlung und den Zweck informiert wurde → Man muss eine Datenschutzerklärung zur Verfügung stellen und ebenso eine technische Lösung, um eine fundierte und ausdrückliche Zustimmung zum Ausdruck zu bringen.