Wie man Datenschutzerklärungen & Nutzungsbedingungen verfasst

Alles ist eingerichtet: deine Website ist live, die App fertig gebaut. Du hast Google Analytics hinzugefügt und die App im App Store eingereicht. So viel Spaß dieser Produkt-Teil einem auch bereiten kann, so gibt es dennoch gesetzliche Anforderungen, um die man sich kümmern muss, bevor man durchstarten kann. Hier sind einige Anforderungen an die Dokumentation, die jeder Eigentümer einer Website/einer App kennen sollte:

• Die Bereitstellung von Datenschutzerklärungen und Cookie-Richtlinien
• Die Bereitstellung eines Dokuments mit den Nutzungsbedingungen
• Die wohlbekannte Impressumspflicht (die wir deswegen hier nicht behandeln)

 

Im Folgenden liest du ein Fallbeispiel über einen Online-Store, womit zum Ausdruck kommt, wieso es Sinn macht, diese Dokumente auch tatsächlich zu haben (aus regulatorischer, wie auch aus betriebswirtschaftlicher Sicht). Dieses Fallbeispiel wird uns vom online-Dokumentengenerator iubenda zur Verfügung gestellt und kann natürlich nicht als Rechtsberatung angesehen werden, die zur Beurteilung eines Einzelfalls geeignet oder ausreichend ist. Dennoch sollte die Lektüre die Grundlagen angemessen illustrieren.

Du hast eine E-Commerce-Website und eine App erstellt, auf der die Leute Schuhe kaufen können. Du erinnerst dich vage, dass man eine Datenschutzerklärung benötigt, aber braucht man nun tatsächlich eine?

Tatsächlich gibt es viele Gründe, weshalb es eine Datenschutzerklärung braucht:

Datenschutz-Vorschriften in Europa

Europa hat strenge Datenschutzgesetze, die vor allem in der Datenschutzrichtlinie (95/46/EG) und der ePrivacy-Richtlinie (2002/58/EC) ihren gemeinsamen Ursprung haben. Da diese beiden Rechtsakte Richtlinien sind, sind alle Mitgliedsstaaten der Europäischen Union verpflichtet, deren Ziele zu erreichen und einen gemeinsamen Mindeststandard an Datenschutz zu gewährleisten. Allerdings sind die Mitgliedstaaten frei in der Umsetzung, so dass es Unterschiede zwischen den einzelnen Ländern gibt. Der Teufel steckt im Detail.

Ab Mai 2018 wird der Schutz personenbezogener Daten in ganz Europa vollständig harmonisiert sein, da die Verordnung 2016/679/EU in Kraft treten wird und eine unmittelbar verbindliche Regelung zum Datenschutz bietet. Diese Verordnungen haben allgemeine Gültigkeit und sind unmittelbar wirksam in den Mitgliedstaaten.

EU-USA-Datenübertragung

Das momentan heißeste Thema betrifft die Übertragung von personenbezogenen Daten aus Europa in die USA, da die USA im europäischen Sinne keinen angemessenen Schutz für personenbezogene Daten bieten. Daher könnten europäische (von den europäischen Datenschutzgesetzen geschützte) Nutzer einer weniger strengen Regulierung ausgesetzt werden, wenn ihre Daten den Atlantik überquert haben - was fast zwangsläufig passiert, wenn man nur Google, Facebook, Amazon. etc. betrachtet, die alle in Übersee ihren Sitz haben.

Um das Problem zu lösen, hat die Europäische Kommission eine Vereinbarung mit der US-Regierung ausgehandelt, die „Privacy Shield" genannt wird und die im Wesentlichen eine Reihe von Grundsätzen zum Datenschutz beinhaltet. Diese Vorschriften und Prozesse müssen Behörden und Unternehmen befolgen, um zu einer vereinfachten EU-USA-Datenübertragung zugelassen zu werden. Dazu hat die Europäische Kommission vor kurzem eine Angemessenheitsfeststellung herausgegeben, die besagt, dass die USA als ein Land angesehen werden können, das ein Datenschutzniveau bietet, das mit dem in Europa vergleichbar ist.

Einzelheiten über die Verarbeitung in den nationalen Gesetzgebungen, wie z.B. Deutschland

Die wichtigsten Regelungen zum Datenschutz werden durch das BDSG (Bundesdatenschutzgesetz) und insbesondere im TMG (Telemediengesetz) festgelegt, wobei letzteres speziell für die Online-Umgebung gilt.

Als allgemeiner Grundsatz können personenbezogene Daten erhoben und verarbeitet werden, wenn der Eigentümer der Daten seine informierte und ausdrückliche Zustimmung gegeben hat. Das Gesetz sieht eine Reihe von Ausnahmen von dieser Regel vor: Für unsere Zwecke ist die relevanteste hiervon, dass „die Erhebung, Speicherung, Veränderung oder Übermittlung personenbezogener Daten oder ihre Nutzung als Mittel der Erfüllung der eigenen geschäftlichen Zwecke zulässig ist, wenn diese erforderlich sind, um eine rechtliche Verpflichtung oder eine quasi-rechtliche Verpflichtung mit den Daten der betroffenen Person" (§ 28 BDSG) zu erfüllen. Das bedeutet zum Beispiel, dass du, wann immer du einen Vertrag mit jemandem erstellst, durchführst oder beenden möchtest, du alle hierzu notwendigen (und nur diese) personenbezogenen Daten sammeln und verarbeiten darfst.

Hierzu ein Beispiel: Ein Nutzer möchte ein Paar Schuhe aus dem Online-Shop kaufen. Das bedeutet, dass er/sie bereit ist, einen Vertrag abzuschließen. Um den Vertrag zu erfüllen, muss man die E-Mail-Adresse kennen, um hin und her zu kommunizieren, ebenso die Daten für den Versand (Name, Adresse), die Schuhgröße, um den richtigen Schuh auszuwählen, alle Kreditkartendaten, um die Zahlung zu erhalten. Man darf jedoch nicht - sagen wir – seine/ihre Telefonnummer erfragen, da sie nicht unbedingt für den Verkauf des Schuhs benötigt wird.

Deshalb, wenn man also plant, persönliche Daten von Nutzern zu sammeln, wird man - unabhängig von der gewählten technischen Lösung (d.h. ob du eine Website, eine App, ein soziales Medium etc. hast), in erster Linie vor die folgende Alternative gestellt werden:

Wenn man berechtigt bist, Daten zu sammeln, um „eine rechtliche Verpflichtung zu schaffen, auszuführen oder zu beenden", benötigt man nicht die Einwilligung der betroffenen Eigentümer, aber man muss den Dateneigentümer genau über die Daten, die gesammelt werden und wie mit ihnen umgegangen wird, informieren → hier kommt die Datenschutzerklärung ins Spiel.
Wenn weder die oben genannte, noch irgendeine andere Ausnahme gilt, muss man die Zustimmung des Dateneigentümers erhalten, nachdem dieser genau über die Datensammlung und den Zweck informiert wurde → Man muss eine Datenschutzerklärung zur Verfügung stellen und ebenso eine technische Lösung, um eine fundierte und ausdrückliche Zustimmung zum Ausdruck zu bringen.

Eine Datenschutzerklärung sollte präzise, umfassend und vor allem nicht in Juristensprache geschrieben sein. Die deutsche Gesetzgebung verlangt ausdrücklich eine einfache und allgemein verständliche Sprache, die für Laien gedacht ist.

Der genaue Inhalt der Datenschutzerklärung ist abhängig von der Art der erhobenen und verarbeiteten persönlichen Daten und von der Art und Weise, wie sie verarbeitet werden: Wer sammelt sie? Werden sie an Dritte übertragen? Werden sie gespeichert und, wenn ja, wie lange?

Hier sind einige Elemente, die eine Datenschutzerklärung enthalten sollte:

• Wer ist der Eigentümer der Website/der App?
• Welche Daten werden erfasst? Wie werden diese Daten gesammelt?
• Für welche Zwecke werden die Daten gesammelt? Analyse? E-Mail-Marketing?
• Welche Drittparteien werden Zugang zu den Informationen haben? Wird irgendeine Drittpartei Daten über Widgets (z.B. social buttons) und Integrationen (z.B. Facebook connect) sammeln?
• Welche Rechte haben Nutzer? Können sie verlangen, die Daten, die man über sie hat, zu sehen? Können sie verlangen, ihre Daten zu berichtigen, zu löschen oder zu blockieren (im Rahmen der europäischen Regelungen ist das meiste hiervon Pflicht)?
• Beschreibung des Verfahrens, Nutzer und Besucher über wesentliche Änderungen der Datenschutzerklärung zu benachrichtigen
• Datum des Inkrafttretens der Datenschutzerklärung.

Wie zuvor erwähnt, müssen die Datenschutzerklärungen in einer einfachen und unkomplizierten Sprache abgefasst werden. Die Datenschutzerklärungen sollten in die gleiche Sprache übersetzt werden, in der die Website/App übersetzt wird. Man will schließlich, dass die Nutzer, die die Website verstehen, auch in der Lage sind, die Datenschutz-Angaben zu verstehen. Allerdings bedeutet dies nicht, dass bei einer Website in Deutschland alles in deutscher Sprache sein muss. Es ist völlig in Ordnung, eine Website auf Englisch zu haben. Was man nicht tun kann, ist eine Website in deutscher Sprache zu haben, aber Datenschutzerklärungen nur in englischer Sprache. In diesem Fall könnten Nutzer in die Irre geführt werden und könnten vielleicht nicht in der Lage sein, die Datenschutzerklärung zu verstehen.

Außerdem sollte man auch:

• einen klaren und deutlich sichtbaren Link oder Button mit der Aufschrift „Datenschutzerklärungen", „Hinweise zum Datenschutz" oder mit einer ähnlichen Aufschrift auf der Homepage veröffentlichen, der direkt zur Datenschutzerklärung führt.
• die Datenschutzerklärung von überall auf der Website zugänglich machen (in der Fußzeile/Footer ist eine passende und weit verbreitete Wahl).
• einen klaren und deutlichen Link zur Datenschutzerklärung an der Stelle anzeigen, wo persönliche Informationen gesammelt werden, und einen ähnlichen Hinweis hinzufügen: "Wir sammeln auf dieser Seite personenbezogene Daten. Um mehr zu erfahren, wie wir diese Informationen verwenden, klicken Sie hier.
• Beim Veröffentlichen einer mobile App sollte man in der Regel die Datenschutzerklärung auf dem gleichen Niveau wie andere Menüpunkte wie „Einstellungen", „Über uns", „Datenschutz" verlinken. Darüber hinaus sollte die Datenschutzerklärung auch vor dem eigentlichen Download auf der App-Store-Seite zugänglich sein. Die deutschen Datenschützer haben eine Orientierungshilfe zu den Apps publiziert.

Man denke daran: „Datenschutzerklärung" beinhaltet keine „Einwilligung"

All dies gilt auch für Fälle, in denen man keine ausdrückliche und informierte Zustimmung des Eigentümers der Daten erhalten muss. Wenn aber das Letztere der Fall ist - und dies gilt vor allem für E-Mail-Marketing - müssen die Nutzer informiert und deren Zustimmung in einer Weise eingeholt werden, die schließlich durch Beweise belegt werden kann.

iubenda kann bei diesem Prozess unterstützend dabei helfen, die Datenschutzerklärung zu erstellen und sie aktuell zu halten (die Seite ist in Englisch, die Datenschutzerklärungen werden aber auch auf Deutsch generiert).

Die Verwendung von Cookies beinhaltet Fragen zum Datenschutz. Wenn man Cookies auf Nutzer-Endgeräte platziert, ist man in der Lage zu sagen, zu welchen Websites Nutzer navigieren, welche Vorlieben sie haben, zu welchen Zeiten des Tages sie am liebsten online sind und mehr. Auch wenn es technisch nicht einfach ist, herauszufinden, wer die Person hinter einem bestimmten Online-Verhalten ist, ist die wichtige Tatsache, dass es möglich ist.

Gemäß der europäischen Gesetzgebung muss man die Nutzer über die Tatsache informieren, dass die Cookies platziert werden und zwar bevor man dies tut. Die Nutzer müssen die Möglichkeit haben, ihre Zustimmung zu verweigern, indem sie die Website verlassen oder Cookies akzeptieren, indem sie nach unten scrollen (italienische Version der Zustimmung) oder etwa auf "OK" klicken. Diese Anforderung wird in der Regel durch ein Cookie-Banner implementiert, das auf der Website erscheint.

Da dies technisch anspruchsvoll ist, bietet iubenda auch eine Lösung, Cookies zu blockieren und freizugeben, einen Banner anzuzeigen und die vorherige Zustimmung des Nutzers einzuholen.

In Deutschland wurde die Europäische Cookie-Richtlinie nicht wirklich umgesetzt, weil die Regierung davon ausgeht, dass der aktuelle Artikel 13.1 des Telemediengesetzes (TMG) bereits konform ist. Allerdings erfordert diese Bestimmung nicht ausdrücklich ein Cookie-Banner in der oben genannten Form. Deshalb findet man eine Reihe von deutschen Websites, die diese Lösung nicht übernehmen. Es ist dennoch ratsam, eine Cookie-Lösung auch auf der deutschen Homepage zu übernehmen, weil sie mit deutschem Recht und auf europäischer Ebene kompatibel ist, höchstwahrscheinlich wird sie bald durch die Überarbeitung der E-Privacy-Richtlinie angeglichen werden.

Allgemeine Geschäftsbedingungen /Nutzungsbedingungen sind, viel mehr als die Datenschutzerklärungen, abhängig von der Tätigkeit und von den Gesetzen, die für das Geschäft gelten. Dennoch gibt es einige gemeinsame Faustregeln, die wir im Folgenden skizzieren.

Websites oder Apps übersehen oft die Bedeutung der allgemeinen Geschäftsbedingungen (AGB oder auch Nutzungsbedingungen). Als rechtlich bindende Vereinbarung ist das Dokument mit den AGBs wie jeder andere Vertrag. Unter anderem legt er die Rechte und Pflichten der Vertragspartner und die Zuteilung und den Ausschluss von Risiken fest.

Grundsätzlich ist man frei, eine Webseite ohne AGBs zu führen, aber die Konsequenz wird sein, dass bei allen Verträgen und Rechtsbeziehungen, die man mit Kunden aufbaut, die gesetzlichen Vorschriften gelten werden. Gesetzliche Vorschriften, insbesondere das Verbraucherrecht, schützen den Verbraucher stark. Mit den AGBs kann man - innerhalb der Grenzen dessen, was rechtlich möglich ist - zu seinem eigenen Gunsten davon abweichen.

Beispiel: Wenn man will, dass Kunden die Kosten der Rücksendung tragen, wenn sie von dem Vertrag zurücktreten, muss man sie vorher hierüber informieren. Dies geschieht in der Regel innerhalb der AGB für Online-Einkäufe. Wenn diese Information nicht an den Kunden getragen wird, ist man verpflichtet, die Kosten selbst zu tragen.

Obligatorische und nicht-obligatorische Informationen

Während man also nicht verpflichtet ist, AGBs zu erstellen, fordern europäische und deutsche Vorschriften, eine ganze Reihe von verbindlichen Informationen zur Verfügung zu stellen. Wenn man diese Informationen nicht online angibt, kann dies zu Sanktionen, zu Aktionen von Verbraucherverbänden oder Konkurrenten oder zu einer ungünstigen Behandlung der Vertragslage, wie in dem oben genannten Beispiel, führen.

Einige Informationen zur Gesetzeslage in Deutschland

Informationspflichten sind in verschiedenen Rechtsvorschriften verteilt, vor allem im Deutschen Bürgerlichen Gesetzbuch (BGB), dem Einführungsgesetz zum Bürgerlichen Gesetzbuch (EGBGB), dem bereits erwähnten Telemediengesetz und einigen EU-Verordnungen wie die ziemlich neue 2013/524/UE, die die Einführung einer Online-Streitbeilegungs-Plattform für die Verbraucher vorsieht.

Die meisten vorgeschriebenen Informationen müssen zur Verfügung gestellt werden, bevor der Nutzer an eine vertragliche Vereinbarung gebunden wird. Es gibt jedoch auch Informationspflichten, nachdem der Kauf abgeschlossen ist (z.B. die Verpflichtung, dem Nutzer unverzüglich zu bestätigen, dass seine Bestellung richtig platziert und empfangen wurde).


Wie man ein Dokument mit den allgemeinen Geschäftsbedingungen erstellt

Es ist nicht möglich, eine vollständige Übersicht über alle Informationen, die zur Verfügung gestellt werden müssen, zu liefern, da dies teilweise sehr stark von der Art des Geschäfts abhängt, das man ausführt.
Es gibt jedoch einige übliche Elemente, die die Allgemeinen Geschäftsbedingungen immer enthalten sollten:

• Die Bezeichnung des Unternehmens (Name, Adresse): Man beachte, dass gemäß § 5 TMG innerhalb der Sektion "Impressum“ der Website eine ganze Reihe von Informationen in Bezug auf das Unternehmen veröffentlicht werden müssen, einschließlich einer E-Mail-Adresse und weiterer üblicher Kommunikationsmittel.
• Beschreibung des Dienstes, den die Website/App bietet. Sei genau! Du willst nicht, dass Kunden behaupten, sie hätten einen ganz anderen Service erwartet!
• Wann und zu welchem Preis wird das Material geliefert? Welche Gebiete werden bedient?
• Wie können die Kunden bezahlen? Gibt es irgendwelche Bearbeitungsgebühren? Man muss mindestens eine übliche und kostenlose Zahlungsweise zur Verfügung stellen.
• In welcher Sprache wird der Vertrag geschlossen? Kürzlich geriet WhatsApp in Schwierigkeiten in Deutschland, weil es zwar seinen gesamten Service auf Deutsch präsentierte, die AGB aber nur in englischer Sprache verfügbar waren. Also informiere deine Kunden vorher, in welcher Sprache der Service und der Vertrag zur Verfügung stehen.
• Gibt es einen Kundendienst?
• Informiere über verfügbare (rechtliche) Garantien.
• Rücktrittsrecht: Im Rahmen der EU und des deutschen Rechts haben Verbraucher einen gesetzlichen Anspruch, innerhalb von 14 Tagen von online abgeschlossenen Verträgen zurückzutreten, und zwar ohne Angabe von irgendwelchen Gründen. Das bedeutet, dass deine Kunden, solange sie die Frist beachten, Sachen zurückschicken dürfen, auch nur weil sie sie nicht mögen oder sie woanders billiger gefunden haben.
• Hinzu kommt, dass man sie über das ihnen zustehende Rücktrittsrecht genau informieren muss, ebenso über die Wege, es auszuüben, und ob sie die Rücksendekosten zu tragen haben oder nicht. Man darf keinen Anteil des Preises im Falle des Rücktritts einbehalten. Der Kunde hat Anspruch auf eine volle Rückerstattung.
• Man denke daran: Wenn man die Kunden nicht über ihr 14-Tage-Widerrufsrecht informiert, wird sich die Widerrufsfrist auf 14 Tage + 12 Monate verlängern.
• Da das Rückgabe-Problem so wichtig ist, verlangen deutsche Gerichte in der Regel, dass die entsprechenden Informationen auf einer separaten, dedizierten und gut zugänglichen Seite veröffentlicht werden (in der Regel eine "Widerrufsrecht" - Fußzeile). Auch wenn diese Informationen in die AGBs aufgenommen werden, müssen diese Passagen in einer Art und Weise markiert werden, dass Kunden sie auch innerhalb eines möglicherweise langen Dokuments bemerken und lesen.
• Die Schaltfläche, die Kunden anklicken müssen, um eine verbindliche Bestellung zu platzieren, muss den Titel "zahlungspflichtig bestellen" oder andere gleichwertige Formulierung tragen. Es ist wichtig, dass der gewählte Ausdruck deutlich vermittelt, dass: 1) Kunden sich gesetzlich verpflichten  und 2) es sich um einen Vertrag handelt, für den sie zu zahlen haben. So würde zum Beispiel eine Schaltfläche mit der Aufschrift "Bestellung bestätigen" als nicht eindeutig genug angesehen werden.

Die Veröffentlichung der Geschäftsbedingungen

Es reicht nicht aus, sie zu haben. Die AGBs müssen in einer Art und Weise platziert werden, so dass die Kunden praktisch dazu gezwungen werden, diese wahrzunehmen. Wenn dies nicht so ist, läuft man Gefahr, dass die AGBs nicht als Bestandteil des mit dem Kunden geschlossenen Vertrages angesehen werden. Daher ist die am weitesten verbreitete und sichere Lösung, ein Kontrollkästchen + Link zu den AGBs direkt über der Schaltfläche anzubringen, die Kunden anzuklicken haben, um eine Bestellung zu platzieren. Wenn das Kontrollkästchen nicht aktiviert wird, bleibt die Schaltfläche inaktiv.

Die AGBs müssen in einer Art und Weise verfügbar sein, dass Kunden sie herunterladen, speichern und ausdrucken können.