- O2R2 Internet

IMS Services Datenschutz

Datenschutzerklärung

Mit Geltung der EU-Datenschutz-Grundverordnung (DSGVO) steigen die Informations- und Transparenzpflichten gegenüber allen Personen, deren Daten verarbeitet werden. Das betrifft auch Datenschutzerklärungen auf Websites, die künftig umgestaltet werden müssen.

Informationspflichten gemäß Art. 12 und Art. 13 DSGVO

Die e-Privacy-Verordnung (VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG, Verordnung über Privatsphäre und elektronische Kommunikation) enthält in ihrer derzeitigen Form keine Regelung zum Inhalt von Datenschutzerklärungen. Die Verordnung bezieht sich speziell auf die elektronische Kommunikation und geht der DSGVO in ihrem Anwendungsbereich vor. Soweit die e-Privacy-Verordnung keine vorrangige Regelung trifft, bleibt es allerdings bei der Anwendbarkeit der DSGVO. Deshalb macht es Sinn, sich bereits jetzt mit den Anforderungen der DSGVO an künftige Datenschutzerklärungen vertraut zu machen.

Das letzte Wort ist bei diesem Thema zwar noch nicht gesprochen, da die e-Privacy-Verordnung noch nicht wirksam verabschiedet ist. Grundlegende Änderungen sind aber wohl nicht zu erwarten.

In der DSGVO sind für die Gestaltung von Datenschutzerklärungen vor allem die Art. 12 und Art. 13 DSGVO relevant. Insbesondere die gemäß Art. 13 DSGVO erforderlichen Informationen müssen in künftigen Datenschutzerklärungen enthalten sein.

Transparente Information der Nutzer

Den konkreten Inhalt der Informationspflichten des Art. 13 DSGVO haben wir bereits dargestellt. Spannend ist in dem Zusammenhang insbesondere die Zusammenschau mit Art. 12 DSGVO, der fordert, dass die notwendigen Informationen den Nutzern übermittelt werden sollen. Datenschutzerklärungen in ihrer heutzutage meist anzutreffenden Form haben damit wohl weitgehend ausgedient.

Gestaltungstipps für Datenschutzerklärungen

Es besteht künftig also die Herausforderung, dass die Informationen gemäß Art. 13 DSGVO möglichst vollständig bereitgestellt werden sollen, gleichzeitig soll dies aber übersichtlich, klar und verständlich geschehen. Dafür bieten sich folgende Möglichkeiten an:

Aufzählungen, Tabellenform

Welche personenbezogenen Daten werden zu welchem Zweck aufgrund welcher Rechtsgrundlage verarbeitet und wie lange werden diese gespeichert? Diese Informationen lassen sich übersichtlich aufzählen oder in einer Tabelle darstellen. Lange, unverständliche Ausführungen sind hier fehl am Platz.

Oberbegriffe, Schlagworte, Überschriften

Wozu wird die IP-Adresse genutzt? Netzwerkadressierung, Netzwerkkommunikation, Störungs- und Fehlererkennung – finden Sie passende Schlagworte und Oberbegriffe. Dadurch können Sie die Informationen auf das Wesentliche komprimieren. Wählen Sie für einzelne Abschnitte zudem aussagekräftige Überschriften.

Auswahlfelder, Checkboxes

Findet eine Übermittlung personenbezogener Daten in Drittländer statt und wenn ja, welche Garantien wurden zur Sicherstellung eines angemessen Datenschutzniveaus getroffen? Ja/Nein-Fragen und Auswahlmöglichkeiten lassen sich durch Auswahlfelder und Checkboxes darstellen. Dadurch gewinnen Sie Platz und Übersichtlichkeit.

Links zu ausführlichen Informationen

Wenn Sie die knappen Formulierungen als nicht ausreichend erachten, um eine vollständige Information der Nutzer sicherzustellen, setzen Sie Links zu Unterseiten mit ausführlichen Texten. Nutzer, die sich detailliert informieren möchten, erhalten auf diese Weise die Möglichkeit dazu. Und die eigentliche Datenschutzerklärung bleibt schlank und knapp.

Bilder und Symbole

Art. 12 Abs. 7 und 8 DSGVO spricht ausdrücklich davon, dass künftig auch Bildsymbole genutzt werden können, um die Informationen anschaulich darzustellen. Die Bilder und Symbole müssen natürlich verständlich sein. Es bietet sich insbesondere eine Kombination aus Bild und kurzem Erklärungstext an.

Impressum

Anbieter von geschäftsmäßigen Webdiensten unterliegen umfangreichen Informationspflichten gegenüber den Dienstnutzern. Hierzu zählt insbesondere das Vorhalten eines sog. Impressums zur Erfüllung der Informationspflicht. Im Wesentlichen ist im Telemediengesetz (TMG) geregelt, was in einem Impressum enthalten sein muss.

Was gehört in ein Impressum?

Das Telemediengesetz, welches für alle elektronischen Informations- und Kommunikationsdienste wie z.B. Webshops gilt, regelt in § 5, welche Angaben der Diensteanbieter den Nutzern zur Verfügung stellen muss. Dazu gehören:

1. Name und Anschrift, unter der der Diensteanbieter niedergelassen ist,

2. bei juristischen Personen die Rechtsform, die Vertretungsberechtigten sowie ggf. das Stamm- bzw. Grundkapital

3. Kontaktinformationen, die eine schnelle elektronische und Kontaktaufnahme und unmittelbare Kommunikation mit dem Diensteanbieter ermöglichen, einschließlich einer E-Mail-Adresse,

4. Angaben zur zuständigen Aufsichtsbehörde, soweit die Tätigkeit im Rahmen des Dienstes einer behördlichen Zulassung bedarf,

5. das Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister, in das der Diensteanbieter eingetragen ist sowie die entsprechende Registernummer,

6. soweit der Dienst in Ausübung eines reglementierten Berufs im Sinne der EU-Diplomanerkennungsrichtlinien (vor allem freie Berufe, aber auch Architekten, Physiotherapeuten, und weitere) angeboten oder erbracht wird, Angaben über

die Kammer, welcher der Diensteanbieter angehört,
die Bezeichnung der berufsrechtlichen Regelungen und dazu, wie diese zugänglich sind,
die gesetzliche Berufsbezeichnung und den Staat, in dem die Berufsbezeichnung verliehen worden ist,

7. die Umsatzsteuer- oder Wirtschafts-Identifikationsnummer, soweit vorhanden,

8. Angaben über eine Abwicklung oder Liquidation bei AG, KG a.A. und GmbH.

Nutzen Sie unsere Checkliste Impressum für eine Prüfung, oben auf der Seite.

Wo muss das Impressum platziert sein?

Die Informationen müssen für den Nutzer leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. Die Pflichtangaben sollten daher auf einer gesonderten und gut sichtbaren auf Seite der Homepage platziert werden. Ausreichend ist es nach der Rechtsprechung, wenn der Verbraucher durch Anklicken von zwei aufeinanderfolgenden Links auf die Seite mit den Anbieter-Informationen geführt wird (sog. „2-Klick-Regelung“, BGH, Urt. V. 20.07.2006 – I ZR 228/03).

Welche weiteren Informationspflichten gibt es?

Neben den im TTDSG aufgezählten Pflichtangaben gibt es eine Vielzahl von Gesetzen und Bestimmungen, die weitere Informationspflichten vorsehen. Dazu zählt z.B. der Rundfunkstaatsvertrag (RStV). Nach § 55 RStV muss ein Anbieter von Telemedien mit journalistisch-redaktionell gestalteten Angeboten, in denen insbesondere vollständig oder teilweise Inhalte periodischer Druckerzeugnisse in Text oder Bild wiedergegeben werden, einen Verantwortlichen benennen.

Welche Rechtsfolgen drohen bei Verstößen gegen Informationspflichten?

Verstöße gegen die genannten Informationspflichten stellen – unabhängig davon, ob sie absichtlich oder fahrlässig begangen werden – Ordnungswidrigkeiten dar, die zu beträchtlichen Bußgeldern führen können. Zudem sind kostenträchtige wettbewerbsrechtliche Abmahnungen durch Konkurrenten und Verbände wahrscheinlich.

Angaben bei journalistisch-redaktionell gestalteten Angeboten

Anbieter von Telemedien, mit journalistisch-redaktionell gestalteten Angeboten, haben zusätzlich einen Verantwortlichen mit Angabe des Namens und der Anschrift zu benennen. Das ist der sogenannte Verantwortliche im Rahmen des Presserechts. Als Verantwortlicher darf nur benannt werden, wer seinen ständigen Aufenthalt im Inland hat, nicht infolge Richterspruchs die Fähigkeit zur Bekleidung öffentlicher Ämter verloren hat, voll geschäftsfähig ist und unbeschränkt strafrechtlich verfolgt werden kann.

Impressum für Social Media: Impressumspflicht für Facebook, Instagram, TikTok und Co.?
Ja, wenn die Kriterien von § 5 TMG (Telemediengesetz) erfüllt sind, dann benötigen auch Social-Media-Kanäle ein Impressum. Rein private Accounts sind von der Impressumspflicht ausgenommen, beispielsweise bei Freiberuflern kann die klare Unterscheidung zwischen persönlich und beruflich aber schwerfallen. Wer Influencer werden möchte, muss zwingend ein Impressum erstellen. Hier tappen viele junge Menschen, die beispielsweise einen YouTube-Kanal betreiben, schnell in die Abmahnfalle.

Meist reicht ein einfacher Link im Info-Bereich des jeweiligen Social-Media-Accounts, der zum Website-Impressum führt. Bei bestimmten Unternehmungen wie Wach- und Schließunternehmen, Maklern und Spielhallenbetreibern bedarf es einer behördlichen Zulassung des Betriebes, diese müssen die zuständige Aufsichtsbehörde angeben.

Dynamische IP Adressen

Dynamische IP-Adressen sind für den Betreiber einer Website personenbezogene Daten und unterliegen damit dem Datenschutzrecht. Der Betreiber einer Website darf diese zur Verteidigung gegen Cyber-Attacken speichern. Dies urteilte der Europäische Gerichtshof (EuGH).

Die Vorlage des BGH

Dem EuGH wurden vom Bundesgerichtshof (BGH) im Wege eines Vorabentscheidungsersuchens die Frage vorgelegt, ob dynamische IP-Adressen für den Betreiber der Website personenbezogene Daten darstellen und diese daher den für solche Daten vorgesehenen Schutz genießen. Ferner wollte der BGH wissen, ob der Betreiber einer Website grundsätzlich die Möglichkeit haben muss, zur Gewährleistung der Funktionsfähigkeit der Website personenbezogene Daten der Besucher zu erheben und zu verwenden.

Die Entscheidungen des EuGH

Der EuGH entschied, dass die dynamische IP-Adresse des Besuchers, welche vom Betreiber einer Website im Zusammenhang mit dem Zugriff und der Nutzung des Seite gespeichert wird, für diesen eine personenbezogenes Datum stellt, sofern dieser die rechtliche Möglichkeit habe, den Besucher anhand weiterer Zusatzinformationen, über welcher der Provider des Nutzers verfügt, zu bestimmen.

In Deutschland bestehe insbesondere im Fall von Cyber-Attacken die Möglichkeit, sich an die zuständige Behörde zu wenden, um in einem zweiten Schritt vom Internetprovider die erforderlichen Informationen für eine anschließende Strafverfolgung zu erhalten.

Für den datenschutzkonformen Einsatz von Google Analytics gibt es klare Regelungen, die mit den Aufsichtsbehörden abgestimmt sind. Durch die Datenschutz-Grundverordnung (DSGVO) gibt es Neuerungen zu beachten, die wir Ihnen hier aufzeigen.

Was ist zu tun?

Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics unter Beachtung der Vorgaben der Aufsichtsbehörden insgesamt sechs Punkte, die einzuhalten sind:

1. Vertrag zur Auftragsverarbeitung abschließen

2. Tracking-Code anpassen

3. Aufbewahrungsdauer der Daten festlegen

4. Datenschutzerklärung anpassen

5. Einwilligung einholen

6. Ggf. Löschung von Altdaten

1. Vertrag zur Auftragsverarbeitung abschließen

Da nach Ansicht der Aufsichtsbehörden Websitebetreiber beim Einsatz von Google Analytics als Auftraggeber und Google als Auftragnehmer fungieren, ist mit Google ein Vertrag zur Auftragsverarbeitung abzuschließen. Hierzu scrollen Sie in Google Analytics unter „Verwaltung > Kontoeinstellungen“ runter bis zur Rubrik „Zusatz zur Datenverarbeitung“.

Hier können Sie auf „Zusatz anzeigen“ klicken und den Auftragsverarbeitungsvertrag bestätigen. Unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ müssen Sie dann noch Ihre Firmen- bzw. Kontaktangaben ausfüllen und alles mit einem Klick auf die Schaltfläche „Speichern“ bestätigen.

Besteht zum Zeitpunkt der Anwendbarkeit der DSGVO schon ein Auftragsdatenverarbeitungsvertrag mit Google, ist es nicht in jedem Fall erforderlich, einen neuen Vertrag abzuschließen. Nur für den Fall, dass der Vertrag mit Google vor September 2016 abgeschlossen wurde, ist ein neuer Vertrag abzuschließen, da sich die alten ADV-Verträge von Google auf den für unwirksam erklärten Safe-Harbor-Beschluss beriefen.

2. Tracking-Code anpassen

IP-Adressen anonymisieren

Eine datenschutzkonforme Nutzung von Google Analytics ist nur mit der Code-Erweiterung „anonymizeIp“ möglich. Der von Google vorgegebene Tracking-Code erfüllt nicht die Anforderungen zum Datenschutz, deshalb muss der jeweilige Google Analytics Tracking-Code händisch angepasst werden. Durch Nutzung der Code-Erweiterung werden die letzten 8 Bit der IP-Adressen gelöscht und somit anonymisiert. Dadurch ist zwar weiterhin eine grobe Lokalisierung möglich, dies ist jedoch von den deutschen Datenschutzbehörden anerkannt und akzeptiert.

Widerspruchsrecht

Es ist notwendig, dass den Betroffenen die Möglichkeit eines Widerspruchs gegen die Erstellung von Nutzungsprofilen eingeräumt wird. Google hat dafür ein Deaktivierungs-Add-on entwickelt, das aber nicht auf allen Endgeräten installierbar ist. Deshalb muss das Script erweitert werden, damit ein Opt-Out-Cookie gesetzt wird. Dieses Cookie verhindert die zukünftige Datenerfassung. Da bei Universal Analytics das Tracking geräteübergreifend erfolgt, ist es mit einem einfachen Opt-Out regelmäßig nicht getan. Der Nutzer muss seinen Widerspruch auf allen genutzten Systemen erklären, damit keine geräteübergreifende Zuordnung seiner Nutzung zu der angelegten User-ID erfolgt.

3. Aufbewahrungsdauer der Daten festlegen

Google bietet ab dem 25. Mai 2018 zusätzliche Optionen zur Aufbewahrung der erhobenen Daten an (Google Analytics-Steuerelemente zur Datenaufbewahrung). Die Aufbewahrungsdauer gilt nur für Daten auf Nutzer- und Ereignisebene, die mit Cookies, User IDs und Werbe-IDs verknüpft sind. Aggregierte Daten sind nicht betroffen.

Die Voreinstellung sieht vor, dass die Nutzer- und Ereignisdaten standardmäßig 26 Monate gespeichert werden. Auch ist der Button „Bei neuer Aktivität zurücksetzen“ standardmäßig aktiviert. Mit Blick auf Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) sollten Sie den Button deaktivieren und die Aufbewahrungsdauer auf 14 Monate begrenzen.

Die Änderungen der Aufbewahrungsdauer nehmen Sie wie folgt vor:

1. Wählen Sie „Verwaltung“ aus und klicken Sie auf die Property, die Sie bearbeiten möchten

2. Klicken Sie in der Spalte „Property“ auf „Tracking-Informationen > Datenaufbewahrung“

Sollten Sie eine andere Einstellung wählen, müssen Sie die hier zur Verfügung gestellte Datenschutzerklärung entsprechend anpassen.

4. Datenschutzerklärung anpassen

Vorgaben nach DSGVO

Die Nutzung von Google Analytics ist in der Datenschutzerklärung zwingend anzugeben. Bisher gab Google hierzu in den Google Analytics Bedingungen eine Formulierung für die Datenschutzerklärung vor. Inzwischen stellt Google diesen Textbaustein nicht mehr zur Verfügung. Geht man davon aus, dass die bisherigen Datenschutzhinweise von Google die Datenverarbeitungen bei Google Analytics zutreffend beschreiben und dass diese auch nicht wesentlich geändert wurden (uns ist hier nichts bekannt), kann man die bisherige Textvorlage von Google Analytics weiterhin mit den von uns vorgeschlagenen Ergänzungen verwenden:

Umfang der Datenerhebung, Art. 12 und 13 DSGVO
Rechtsgrundlage, Art. 13 DSGVO
Speicherdauer bzw. Kriterien für Festlegung der Dauer, Art. 13 Abs.2 lit.a DSGVO
Widerrufsrecht, Art. 7 Abs.3 DSGVO
Hinweis zum Deaktivierungs-Add-on und Opt-Out-Cookie
Hinweis zu A(nonymizeIp

Soweit noch das veraltete „Klassische Analytics“ genutzt wird, sind alle entsprechenden Hinweise auf Universal Analytics aus der Erklärung zu entfernen.

5. Einwilligung einholen

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 26. April 2018 ein Positionspapier veröffentlicht, wonach ab dem 25.05.2018 rechtskonformes Webtracking nur mit einer vorherigen informierten Einwilligung des Nutzers möglich sein soll. Verzichtet man auf die Einholung der Einwilligung, riskiert man ein Bußgeld durch eine Aufsichtsbehörde oder eine Abmahnung.

Einwilligung bei Seitenaufruf

Wichtig ist, dass das Tracking erst aktiviert wird, nachdem der Nutzer eingewilligt hat und nicht vorher. Bei Aufruf der Website könnte eine entsprechende Einwilligung durch einen „Cookie-Banner“ eingeholt werden, der sich jedoch auf die Nutzung von Google Analytics bezieht.

6. Löschung von Altdaten

Wurden durch Google Analytics Nutzerprofile ohne IP-Anonymisierung erstellt, sind diese Daten rechtswidrig erhoben worden und somit zu löschen. Google bietet in den Analytics-Einstellungen mittlerweile die Möglichkeit, sog. „Properties“ und „Datenansichten“ in den Papierkorb zu verschieben, wodurch sie nach 35 Tagen gelöscht werden.

Zustimmung bei der Verwendung von Cookies

Urteil EuGH: Ohne aktive Einwilligung keine Cookies auf Internetseiten

Der Europäische Gerichtshof (EuGH, 1.10.2019, C673/17) hat mit seinem Urteil eine aktive ausdrückliche Einwilligung als Voraussetzung zur Nutzung von Cookies vorgeschrieben.

Es reicht nicht aus, einen bloßen Cookie-Hinweis zu setzen, der die Nutzer über die gesetzten Cookies lediglich zu informieren, oder eine Cookie-Einwilligungsabfrage zur Verfügung zu stellen, in der die Einwilligung in Cookies Voreingestellt ist.

Nach dem o.g. Urteil kann ein passives „Nicht-Abhaken“ der Einwilligung in Cookies keine ausdrückliche Einwilligung dar. Vorangehakte Einwilligung und bloßer Cookie-Hinweistexte reichen nicht aus.

Eine fehlende und wirksame Cookie-Einwilligungsabfrage ist deshalb ab heute auf jeder Webseite Pflicht, die Cookies verwendet, die nicht unbedingt notwendig sind.

Notwendige Cookies bleiben auch ohne Einwilligung erlaubt

Anlage unten angehängt:

(DatSch Ordner 2 Register 2 Einwilligung zur Cookie-Nutzung)

E-Maildisclaimer. Rechtsicher? Oder Unnötig

In vielen deutschen Unternehmen gibt es die Vorgabe, E-Mails mit einem sog. E-Mail-Disclaimer zu versehen. Dabei handelt es sich um einen Haftungsausschluss, der vom E-Mail-Server des Unternehmens häufig automatisch an das Ende der E-Mail angefügt wird.

Ein solcher Disclaimer ist häufig wie folgt formuliert:

„Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen.

Wenn Sie nicht der richtige Adressat sind, oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte den Absender und löschen Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail und der darin enthaltenen Informationen sind nicht gestattet.“

Nicht mit der E-Mail-Signatur zu verwechseln

Davon zu unterscheiden ist unbedingt die E-Mail-Signatur, mit der Informationen über den Absender und seine Kontaktdetails mitgeteilt werden. Im Gegensatz zu einer solchen E-Mail-Signatur ist die Verwendung eines E-Mail-Disclaimers in Deutschland nämlich nicht verpflichtend.

E-Mail-Disclaimer ohne rechtliche Relevanz

Die überwiegende Auffassung im juristischen Schrifttum misst Disclaimern nicht einmal rechtliche Relevanz bei. Hintergrund ist unter anderem der, dass durch den Disclaimer keine rechtliche Bindung des E-Mail-Empfängers begründet wird. Die in Disclaimern enthaltenen Ge- bzw. Verbote, werden vom Absender einseitig gegenüber dem Empfänger erklärt. Um rechtliche Wirksamkeit zu entfalten, müssten diese Punkte jedoch zwischen den Parteien vereinbart werden. Eine einseitige rechtliche Verpflichtung ist hier nicht möglich.

Die häufig enthaltene Aufforderung:

„Wenn Sie nicht der richtige Adressat sind, oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte den Absender und löschen Sie diese Mail.“

braucht ein Empfänger mangels Rechtsverbindlichkeit daher nicht nachzukommen.

Gesetzlicher Schutz vor unbefugter Weitergabe und Nutzung von Inhalten

Die Aussage:

„Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail und der darin enthaltenen Informationen sind nicht gestattet“

ist verzichtbar, da es eine Reihe von gesetzlichen Vorschriften gibt, die einen Schutz der Vertraulichkeit der Inhalte sicherstellen. So enthalten u.a. das Datenschutzrecht, Wettbewerbsrecht und Urheberrecht Vorschriften, die eine unbefugte Weitergabe oder Nutzung der Inhalte verbieten. Im anglo-amerikanischen Rechtsraum, in dem die Nutzung von E-Mail-Disclaimern weit verbreitet ist, fehlt es hingegen häufig an gesetzlichen Vorschriften, so dass die Nutzung von Disclaimern nach anderen rechtlichen Maßstäben zu beurteilen ist.

Rücksichtnahmepflicht bei Vertragsbeziehung

Ein E-Mail-Disclaimer hat insofern keinen nennenswerten „Mehrwert“ und löst keine rechtlichen Folgen aus. Wenn Absender und Empfänger schon in einer vertraglichen Beziehung zueinander stehen, kann die Nutzung und Weiterleitung fälschlicherweise erhaltener Informationen durch den Empfänger Unterlassungs- und Schadensersatzpflichten auslösen. Grund hierfür wären aber vertragliche Rücksichtnahmepflichten – nicht der Verstoß gegen einen etwaigen E-Mail- Disclaimer.

Mail-Signatur

Seit 2007 werden geschäftliche E-Mails als Geschäftsbriefe angesehen, das heißt: Für ihre Signaturen gelten dieselben Auflagen wie für die geschäftliche Korrespondenz auf Papier. Somit muss auch die Mail-Signatur von eingetragenen Unternehmen folgende aktuelle, textliche Angaben (Grafiken oder Links zum Impressum sind nicht erlaubt) enthalten:

Name der Firma

Rechtsform und Sitz

Registergericht und Handelsregisternummer

Alle Geschäftsführer und Vorstandsmitglieder

Aufsichtsratsvorsitzender (falls vorhanden)

Allerdings gilt dies wirklich nur für Firmenmails, Privatleute oder Internetschaffende, die keine eingetragene Firma leiten, brauchen sich daran nicht zu halten.

Pflichten bei mehrsprachige Homepage,

Datenschutzerklärung mehrsprachige Ausführung

In der Regel reicht es bei einer deutschsprachigen Internetseite aus, wenn die Datenschutzerklärung ebenfalls auf Deutsch verfasst wird. In manchen Fällen ist aber eine Übersetzung der Datenschutzerklärung erforderlich.

Die Datenschutzerklärung muss mehrsprachig sein, wenn es die Website zum Beispiel in einer deutsch- und englischsprachigen Variante gibt. Mehrsprachige Varianten von Webseiteninhalten sind in Deutschland gar nicht so selten. Viele Homepages bieten Ihren Service zusätzlich in weiteren Sprachen, wie etwa Englisch, Türkisch oder Arabisch an. Beispiele dafür sind unter anderem offizielle Seiten der Bundesregierung, aber auch Seiten von Reisevergleichsportalen oder E-Commerce-Anbietern.

In der Datenschutzerklärung erfährt der Nutzer, wer welche Daten bzw. Informationen zu welchem Zweck speichert und verarbeitet. Die obligatorische Datenschutzerklärung, einsprachig oder mehrsprachig, leistet also einen wichtigen Beitrag zur Datensicherheit.

Prinzipiell gilt: Für eine deutschsprachige Internetseite eines deutschen Unternehmens reicht eine Datenschutzerklärung auf Deutsch vollkommen aus. Anders verhält es sich aber zum Beispiel, wenn das Unternehmen den Inhalt zusätzlich in einer anderen Sprache zur Verfügung stellt, hier sind Datenschutzerklärung, Impressum und ggf. Nutzungsbestimmungen in der jeweiligen Sprache zur Verfügung zu stellen.

Übersicht in Tabellenform

Situation	Sprache der Datenschutzerklärung	Geltendes Recht
Deutsches Unternehmen mit Sitz in Deutschland mit deutschsprachiger Internetseite	Deutsch	DSGVO/BDSG
Deutsches Unternehmen mit Sitz in Deutschland mit deutschsprachiger Seite und englischer Übersetzung	Deutsch plus Übersetzung ins Englische	DSGVO/BDSG
Tochterunternehmen in einem anderen Land der EU mit Seite in der jeweiligen Landessprache	jeweilige Landessprache	DSGVO & evtl. nationale Regelungen
Tochterunternehmen in einem Drittland (Nicht-EU-Land)	jeweilige Landessprache	Vorschriften des jeweiligen Drittlandes
Deutsches Unternehmen mit Sitz in Deutschland mit ausschließlich fremdsprachiger (z.B. englischsprachiger) Homepage	Sprache der Zielgruppe (z.B. Englisch)	DSGVO/BDSG

Cookies

Ein Cookie; englisch „Keks“ ist eine Textinformation, die im Browser auf dem Endgerät des Betrachters (Computer, Laptop, Smartphone, Tablet usw.) jeweils zu einer besuchten Website (Webserver, Server) gespeichert werden kann. Der Cookie wird entweder vom Webserver an den Browser gesendet oder im Browser von einem Skript (JavaScript) erzeugt. Der Webserver kann bei späteren, erneuten Besuchen dieser Seite diese Cookie-Information direkt vom Server aus auslesen oder über ein Skript der Website die Cookie-Information an den Server übertragen. Aufgabe dieser Cookies ist beispielsweise die Identifizierung des Surfers (Session ID), das Abspeichern eines Logins bei einer Webanwendung wie Wikipedia, Facebook usw. oder das Abspeichern eines Warenkorbs bei einem Online-Händler. Ein häufiger Einsatzzweck ist das Webtracking von Nutzern mit speziell präparierten Seiten. Der Begriff Cookie wird im Datenschutz auch als Synonym für Datenentnahme, Datenspeicherung, Datennutzung, Datenverwertung, Datenweitergabe wie auch Datenmissbrauch verwendet, unabhängig davon, ob dazu tatsächlich ein physischer Cookie verwendet wird oder andere Techniken eingesetzt werden.

Das besagt die Cookie-Richtlinie der EU

In der Europäischen Union soll die Richtlinie 2009/136/EG den Schutz personenbezogener Daten bei Website-Besuchen gewährleisten und stärken. Die 2009 erlassene EU-Cookie-Richtlinie sollte spätestens im Jahr 2011 von allen Mitgliedsstaaten umgesetzt werden – was so allerdings nicht geschah.

Die Cookie-Richtlinie sieht im Wesentlichen vor, dass die Besucher einer Website über den Einsatz von Cookies in einer leicht verständlichen Form informiert werden und der Speicherung zustimmen müssen. Cookies dürfen laut der Richtlinie nur dann ungefragt gesetzt werden, wenn sie technisch notwendig sind – also beispielsweise um einen durch den Nutzer erwünschten Dienst umzusetzen. Hierzu zählen etwa Session-Cookies zur Speicherung der Spracheinstellung, der Log-in-Daten und des Warenkorbs oder Flash-Cookies zur Wiedergabe von Medieninhalten.

Für die Anwendung der meisten Cookies benötigen Website-Betreiber jedoch eine Zustimmung der Nutzer. Das betrifft alle Cookies, die technisch nicht notwendig für das Funktionieren des Internetangebots sind. Vor allem Werbe-Cookies, die für das Retargeting (Als Retargeting, auch Re-Targeting geschrieben oder auch Remarketing genannt, bezeichnet man die einfachste der personalisierten Targetingstrategien (vgl. Targeting), häufig im Bereich des E-Commerce. Hierbei werden Nutzer beim Besuch bestimmter Webseiten (meistens) durch Cookies markiert) genutzt werden, aber auch Analyse- und Social-Media-Cookies zählen hierzu. Die EU-Richtlinie gibt allerdings nicht vor, wie die genannten Auflagen genau umzusetzen sind. Vor allem hinsichtlich der Einverständniserklärung durch Website-Besucher herrscht Ungewissheit.

Inhalte der aktuellen EU-Cookie-Richtlinie

Die Europäische Union möchte mit der Cookie-Richtlinie die personenbezogenen Daten der Internetnutzer stärker schützen. Grundsätzlich unterscheidet die EU hierbei zwischen technisch notwendigen und nicht notwendigen Cookies:

Technisch notwendige Cookies: Zur notwendigen Datenspeicherung gehören Cookies, die für die Funktionen einer Website zwingend erforderlich sind. Das meint etwa das Speichern von Log-in-Daten, des Warenkorbs oder der Sprachauswahl durch sogenannte Session-Cookies (die beim Schließen des Browsers gelöscht werden).

Technisch nicht notwendige Cookies: Als nicht notwendige Cookies werden dagegen Textdateien angesehen, die nicht allein der Funktionsfähigkeit der Website dienen, sondern auch andere Daten erheben. Dazu zählen folgende:

Tracking-Cookies
Targeting-Cookies
Analyse-Cookies
Cookies von Social-Media-Websites

Notwendige Cookies dürfen laut Cookie-Richtlinie von Anfang an gesetzt werden, also auch ohne vorherige Zustimmung durch den Nutzer. Demgegenüber müssen Website-Besucher einwilligen, bevor die Cookies nicht notwendige Daten speichern. Somit verlangt die EU-Cookie-Richtlinie nach allgemeinem Verständnis eine sogenannte Opt-in-Lösung bei nicht notwendigen Cookies.

Wie können Sie prüfen, welche Cookies Ihre Homepage verwenden?

Sie haben immer die Möglichkeit über einen Onlineanbieter, die von Ihrer Homepage verwendeten Cookies, abzurufen.

Unsere Empfehlung: https://www.cookiemetrix.com/

Sie haben aber auch immer die Möglichkeit über Ihren Browserdienst die zur Verwendung kommenden Cookies abzurufen. Hierzu gehen Sie in das Menü Ihres Browsers (Browser anpassen und verwalten). Öffnen Sie hier den Menüpunkt "Entwicklertools", dieser ist oft unter "weitere Tools" zu finden. Öffnen Sie dann den Menüpunkt "Cookies". In der Tabelle können Sie jetzt alle Cockies die zur Verwendung kommen einsehen.

Zur Abstimmung welche Cookies Technische, Marketing- oder Trackingcookies sind, müssen Sie mit Ihrer IT-Fachkraft, oder Ihrem IT-Anbieter erörtern.

Das ist der Unterschied zwischen Opt-out und Opt-in:

Opt-out: Cookies werden von Beginn an gesetzt – die User können der Datenspeicherung erst nachträglich widersprechen.
Opt-in: Cookies werden nicht von Beginn an gesetzt, sondern erst, wenn der Nutzer der Datenspeicherung zustimmt.

TTDSG (Telekommunikations-Telemedien-Datenschutz Konzept)

Seit 01.12.2021 ist das neue TTDSG in Kraft getreten. Das Gesetz ist eine Erweiterung der EU DSGVO und regelt den Datenschutz und Privatsphäre bei elektronischer Kommunikation und Telemedien.

Änderungen sind relevant und müssen auf jeder Webseite berücksichtigt werden.

§25 TTDSG

Speicherung von Inhalten auf Endeinrichtungen, oder Zugriff auf Informationen, sind nur nach "klarer und umfassender" Information und Einwilligung zulässig.

Cookie-Regelungen auf Endgeräte müssen daher folgende Bedingungen erfüllen:

Aktive Zustimmung (Opt-in Regelung)
Freiwillig
bestimmte Zwecke vorbehalten
Inhalte müssen informieren
unmissverständliche Informationen
Zustimmung jederzeit widerrufbar

In der Umsetzung heißt das:

keine allgemeine Phrasen mehr
keine Nutzung optische Cookies ohne Einwilligung
Webseite muss auch ohne optische Cookies funktionieren
Auswahlbutton "Annehmen, oder Ablehnen" müssen gleichberechtigt sein
Wiederruf muss möglich sein

Ausnahmen:

Technische und erforderliche Cookies, die den Betrieb der Webseite sicherstellen, sind zulässig. Dürfen also vorab eingestellt sein, wenn keine Ausnahme vorliegt.

Information zu Google Fonds (Abmahnung möglich)

Vorwort

Die Abmahnung von Internetseiten durch private Personen, bzw. durch Anwaltskanzleien, kann grundsätzlich erst einmal jeden Seitenbetreiber treffen, der die Datenschutzrichtlinie noch nicht vollständig umsetzt. Selbst die Gerichte sind sich aktuell nicht einig, ob eine DSGVO-Abmahnung durch Mitbewerber zulässig oder unzulässig ist. Eine Entscheidung durch das höchste deutsche Gericht, den BGH, steht hierzu noch aus.

Aber selbst dann besteht noch keine Rechtssicherheit, da bei einer europarechtlichen Regelung auch die Gerichte der Europäischen Union noch eine abweichende Entscheidung erlassen können.

Die Problematik mit Google Fonds ist derzeit aktuell und ebenso durch deutsche und europäische Gerichte nicht abschließend beantwortet.

Information zu Google Fonts

Google stellt für Webseiten-Designer eine breite Auswahl an Schriftarten unentgeltlich zur Verfügung. Dabei werden bei einem Aufruf der Webseite die Fonts dynamisch von dem Google Server geladen. In Deutschland verwenden geschätzt weit über 800,000 Webseiten diesen eleganten Service von Google.

Google Fonts und DSGVO

Das Problem mit den dynamischen Fonts besteht darin, dass die Fonts von einem Server in den USA geladen werden und dabei Daten von der Webseite in die USA gesendet werden. Gemäß DSGVO sollte für so etwas explizit eine Einwilligung von dem Webseitenbesucher eingeholt werden. Google garantiert zwar, dass alle Daten anonymisiert sind, aber dazu hat ein Gericht anders entschieden.

Entscheidung Landesgericht München vom 20.01.2022

Das LG München hat am 20.01.2022 entschieden, dass einem Internet-Nutzer, dessen IP-Adresse durch Abruf von Google-Fonts ohne Zustimmung an Google übermittelt wird, ein Schadenersatzanspruch zusteht. Im vorgenannten Verfahren wurde ein Betrag in Höhe von € 100,00 als Schadensersatz als angemessen erachtet. Die endgültige Entscheidung hierzu wird durch weitere Gerichtsverfahren erwartet.

Gefahr Abmahnung / Forderungsschreiben

Es hat den Anschein, dass von dritter Seite nun Websites auf die Einbindung von Google-Fonts gescannt werden und im Falle des Auffindens einer solchen Einbindung dann Forderungsschreiben versenden. Es sind auch vermehrt private Personen, die solche Schreiben per Email an (wahrscheinlich) zahlreiche Firmen versenden mit einer Forderung über 100 €, die auf ein Konto überwiesen werden sollte. Als Begründung wird das Urteil des LG München aufgeführt!

Was tun nach Abmahnung / Forderungsschreiben?

Wir raten nach Erhalt des Schreibens unbedingt einen Anwalt zu kontaktieren. Es muss zuerst genau geklärt werden, ob es sich nur um eine Aufforderung oder eine vollständige Abmahnung handelt. Dementsprechend kann unterschiedlich reagiert werden. Viele Privatpersonen versenden auch Schreiben mit Formfehler, die eine derartige Forderung wirkungslos machen. Ein Anwalt kann das genau einschätzen.

Gleichzeitig raten wir aber auch das Problem vorbeugend, wie im nächsten Abschnitt beschrieben, ein für alle Mal zu lösen.

Wie mache ich Google Fonts DSGVO-konform?

Es gibt einige Möglichkeiten für Webseitenbetreiber, das Problem generell zu lösen, so dass keine Abmahnungen oder Forderungsschreiben mehr zu befürchten sind:

Standard Fonts statt Google Fonts verwenden (dabei wird sich natürlich das Design der Webseite verändern)
Google Fonts lokal auf den Server der Webseite laden (dazu gibt es im Internet zahlreiche Beschreibungen je nach verwendetem CMS)
Einwilligung einholen für die Verwendung von Google Fonts z.B. als Teil des Cookie-Banners

1. Möglichkeit
Webseite umbauen und Standard Fonts anstelle Google Fonts nutzen.

2. Möglichkeit
Google Fonts lokal auf den Server laden, um eine Weiterleitung der Daten zu verhindern

Möglichkeit 1 und 2 werden in der Regel durch den IT Anbieter, oder das Unternehmen mit eigenen IT Spezialisten umgesetzt. Entsprechende Beschreibungen sind im Internet über Fachforen aufrufbar.

Damit Sie die Google Schriftarten auf Ihrer Website weiterhin rechtssicher nutzen, sind nur ein bis zwei Schritte notwendig. Wir zeigen Ihnen auf, was Sie in Zusammenarbeit mit Ihrem IT-Spezialisten im Unternehmen tun müssen.

Schritt 1:

Prüfen Sie die aktuelle Einbindung der Schriftarten auf Ihrer Website. Prüfen Sie zunächst, ob Google Fonts auf Ihrer Unternehmenswebsite eingebunden wird und in welcher Weise. Denn wie bereits erwähnt gibt es grundsätzlich zwei unterschiedliche Methoden, wie Sie diese integrieren können:

Dynamische Einbindung. Statische Einbindung auf Ihren eigenen Server. Mit der dynamischen Einbindung des US-Webdienstes Google Fonts entsteht die besagte kritische Verbindung, über welche die Übermittlung der IP-Adresse stattfindet. Diese sollten Sie in Zukunft vermeiden und zur zweiten Methode wechseln. Ist die lokale Einbindung bereits umgesetzt, brauchen Sie nichts weiter zu tun. Wenn nicht, dann empfehlen wir Ihnen, Schritt 2 vorzunehmen.

Schritt 2:

Google Fonts DSGVO-konform einbinden

Google Fonts kann auch genutzt werden, ohne dass beim Aufruf der Website eine Verbindung zu einem Google-Server hergestellt wird. Auf diese Weise vermeiden Sie eine Übertragung der IP-Adresse Ihrer Website-Nutzer an Google. Bei dieser Methode handelt es sich um die bereits erwähnte zweite Variante, nämlich die statische beziehungsweise lokale Einbindung.

Dazu laden Sie die gewünschten Schriftarten einfach bei Google herunter. Anschließend werden diese auf Ihrem Webserver hochgeladen. Die Schriftarten können in verschiedenen Formaten genutzt werden. Das erleichtert Ihnen die Nutzung passend zu Ihren individuellen Systemen.

Damit Sie eine Abmahnung vermeiden, ist eine lokale Einbindung der Schriftarten von Google Fonts empfehlenswert.

3. Möglichkeit
Sie holen sich die Einwilligung durch Einbinden in Ihrem Cookie Banner und in der Datenschutzerklärung Ihres Unternehmens. Hier sollte die Information zur Nutzung von Google Fonts im Cookie Banner, notwendige Cookies zum Betrieb der Webseite (Text: „Das Unternehmen verwendet Google Fonts“ siehe Hinweise in der Datenschutzerklärung).

Onlinetest Nutzung von Google-Fonts: https://sicher3.de/google-fonts-checker/

Hinweis in der Datenschutzerklärung:

Rechtsgrundlage
Wenn Sie eingewilligt haben, dass Google Fonts eingesetzt werden darf, ist die Rechtsgrundlage der entsprechenden Datenverarbeitung diese Einwilligung. Diese Einwilligung stellt laut Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) die Rechtsgrundlage für die Verarbeitung personenbezogener Daten, wie sie bei der Erfassung durch Google Fonts vorkommen kann, dar.
Von unserer Seite besteht zudem ein berechtigtes Interesse, Google Font zu verwenden, um unser Online-Service zu optimieren. Die dafür entsprechende Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen).
Welche Daten grundsätzlich von Google erfasst werden und wofür diese Daten verwendet werden, können Sie auch auf https://www.google.com/intl/de/policies/privacy/ nachlesen.

Welche Daten werden von Google gespeichert?
Wenn Sie unsere Webseite besuchen, werden die Schriften über einen Google-Server nachgeladen. Durch diesen externen Aufruf werden Daten an die Google-Server übermittelt. So erkennt Google auch, dass Sie bzw. Ihre IP-Adresse unsere Webseite besucht. Die Google Fonts API wurde entwickelt, um Verwendung, Speicherung und Erfassung von Endnutzerdaten auf das zu reduzieren, was für eine ordentliche Bereitstellung von Schriften nötig ist. API steht übrigens für „Application Programming Interface“ und dient unter anderem als Datenübermittler im Softwarebereich.

Google Fonts speichert CSS- und Schrift-Anfragen sicher bei Google und ist somit geschützt. Durch die gesammelten Nutzungszahlen kann Google feststellen, wie gut die einzelnen Schriften ankommen. Die Ergebnisse veröffentlicht Google auf internen Analyseseiten, wie beispielsweise Google Analytics. Zudem verwendet Google auch Daten des eigenen Web-Crawlers, um festzustellen, welche Webseiten Google-Schriften verwenden. Diese Daten werden in der BigQuery-Datenbank von Google Fonts veröffentlicht. Unternehmer und Entwickler nützen das Google-Webservice BigQuery, um große Datenmengen untersuchen und bewegen zu können.

Zu bedenken gilt allerdings noch, dass durch jede Google Font Anfrage auch Informationen wie Spracheinstellungen, IP-Adresse, Version des Browsers, Bildschirmauflösung des Browsers und Name des Browsers automatisch an die Google-Server übertragen werden. Ob diese Daten auch gespeichert werden, ist nicht klar feststellbar bzw. wird von Google nicht eindeutig kommuniziert.
Wie lange und wo werden die Daten gespeichert?

Anfragen für CSS-Assets speichert Google einen Tag lang auf seinen Servern, die hauptsächlich außerhalb der EU angesiedelt sind. Das ermöglicht uns, mithilfe eines Google-Stylesheets die Schriftarten zu nutzen. Ein Stylesheet ist eine Formatvorlage, über die man einfach und schnell z.B. das Design bzw. die Schriftart einer Webseite ändern kann.
Die Font-Dateien werden bei Google ein Jahr gespeichert. Google verfolgt damit das Ziel, die Ladezeit von Webseiten grundsätzlich zu verbessern. Wenn Millionen von Webseiten auf die gleichen Schriften verweisen, werden sie nach dem ersten Besuch zwischengespeichert und erscheinen sofort auf allen anderen später besuchten Webseiten wieder. Manchmal aktualisiert Google Schriftdateien, um die Dateigröße zu reduzieren, die Abdeckung von Sprache zu erhöhen und das Design zu verbessern.

Wie kann ich meine Daten löschen bzw. die Datenspeicherung verhindern?
Jene Daten, die Google für einen Tag bzw. ein Jahr speichert können nicht einfach gelöscht werden. Die Daten werden beim Seitenaufruf automatisch an Google übermittelt. Um diese Daten vorzeitig löschen zu können, müssen Sie den Google-Support auf https://support.google.com/?hl=de&tid=231663306570 kontaktieren. Datenspeicherung verhindern Sie in diesem Fall nur, wenn Sie unsere Seite nicht besuchen.

Anders als andere Web-Schriften erlaubt uns Google uneingeschränkten Zugriff auf alle Schriftarten. Wir können also unlimitiert auf ein Meer an Schriftarten zugreifen und so das Optimum für unsere Webseite rausholen. Mehr zu Google Fonts und weiteren Fragen finden Sie auf https://developers.google.com/fonts/faq?tid=231663306570. Dort geht zwar Google auf datenschutzrelevante Angelegenheiten ein, doch wirklich detaillierte Informationen über Datenspeicherung sind nicht enthalten. Es ist relativ schwierig, von Google wirklich präzise Informationen über gespeicherten Daten zu bekommen.

Recht auf Widerruf
Sie haben das Recht Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf erfolgt schriftlich an das Unternehmen.

Recht auf Beschwerde
Sie haben das Recht sich bei der für Sie zuständige Datenschutzbehörde (Bundesland) zu beschweren.

Anlagen:

Cookies

Das besagt die Cookie-Richtlinie der EU

Inhalte der aktuellen EU-Cookie-Richtlinie

Kontaktformular

Suche

Externe Inhalte