Wie Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), in seinem Tätigkeitsbericht für 2013 und 2014 schreibt, verführen „Baukasten-“ bzw. schematisierte Datenschutzerklärungen Diensteanbieter häufig dazu, unzureichende oder falsche Datenschutzerklärungen zu erstellen und zu veröffentlichen.

INFORMATIONSPFLICHT DES DIENSTEANBIETERS

Im Rahmen der Überprüfung von Datenschutzerklärungen stellte das BayLDA in vielen Fällen fest, dass die Diensteanbieter in ihren, auf der Homepage veröffentlichten, Datenschutzerklärungen oftmals nicht über den konkreten Datenumgang bei der Nutzung des Datenschutz im Internet informieren. Eine auf den Dienst bezogene Datenschutzerklärung wird jedoch gem. § 13 Abs. 1 TMG gefordert.

IN ALLGEMEIN VERSTÄNDLICHER FORM

Zur Informationspflicht des Diensteanbieters heißt es in § 13 Abs. 1 Satz 1 TMG, dass er den Nutzer „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten (…) in allgemein verständlicher Form zu unterrichten“ hat. Für den Fall, dass der Diensteanbieter beabsichtigt, für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung des Diensteangebotes Nutzungsprofile bei Verwendung von Pseudonymen zu erstellen, ist der Nutzer in der Datenschutzerklärung auf sein diesbezügliches Widerspruchsrecht hinzuweisen (§ 15 Abs. 3 TMG). Gemäß § 13 Abs. 1 Satz 2 TMG hat der Diensteanbieter den Nutzer zudem bei „einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, zu Beginn dieses Verfahrens zu unterrichten“.
Diese Anforderung betrifft insbesondere den Einsatz von Cookies, gilt jedoch allgemein bei dem Einsatz entsprechender Verfahren. Zusätzlich sind die Informationspflichten des § 4 Abs. 3 BDSG zu beachten.

ALLEIN DIE IP-ADRESSE REICHT SCHON AUS

Kranig weißt in seinem Tätigkeitsbericht darauf hin, dass sich jeder Diensteanbieter nach § 2 Nr. 1 TMG mit der Thematik einer Datenschutzerklärung im Internetauftritt bzw. in mobilen Apps zu beschäftigen hat, selbst wenn ein Nutzer nicht aktiv Daten eingeben kann und auch keine Cookies o. ä. Verfahren genutzt werden. Dies hängt damit zusammen, dass die Erhebung und Verwendung der IP-Adresse des Nutzers als technische Steuerungsinformation zur Übertragung von Informationen im Internet zwischen Diensteanbieter und Nutzer erforderlich ist. Die IP-Adresse zählt ebenfalls zu den personenbezogenen Daten, weshalb hier diese Information verpflichtend ist. In der Praxis bedeutet dies, dass eine Datenschutzerklärung zumindest hierzu selbst dann entsprechende Informationen beinhalten muss, wenn ansonsten bei der Nutzung des Internetauftritts oder der mobilen App kein weiterer Umgang mit personenbezogenen Daten stattfindet.

ONLINE-KONFIGURATOREN VERMEIDEN

Nach Erkenntnis des BayLDA sind die fehlerhaften und unvollständigen Datenschutzerklärungen häufig darauf zurückzuführen, dass Diensteanbieter (bzw. deren Dienstleister) die Datenschutzerklärung aus verschiedensten Mustern im Internet kopieren oder auch online verfügbare Konfiguratoren zur Erstellung von Standard-Datenschutzerklärungen nutzten. Kranig beschreibt:
„Allzu oft werden dabei sicherheitshalber alle Textbausteine angeklickt oder gar die komplette Muster-Datenschutzerklärung übernommen. Dies führt dazu, dass eine Datenschutzerklärung erstellt und veröffentlicht wird, die über Sachverhalte informiert, die auf den konkreten Dienst nicht zutreffen, oder es werden Textbausteine für bestimmte Sachverhalte nicht gefunden, so dass eine Datenschutzerklärung unvollständig bleibt und gerade nicht über den konkreten Datenumgang informiert.“

ORDNUNGSWIDRIGE DATENSCHUTZERKLÄRUNGEN

Da gem. § 16 Abs. 2 Nr. 2 TMG eine Ordnungswidrigkeit begeht, wer entgegen § 13 Abs. 1 Satz 1 oder 2 TMG den Nutzer vorsätzlich oder fahrlässig nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig informiert, ist es ratsam, die Datenschutzerklärung mit der entsprechenden Sorgfalt zu gestalten und bei konkreten Fragestellungen Rat bei fachkundigen Stellen oder der Aufsichtsbehörde einzuholen.
Ihr Datenschutzbeauftragter hilft hier weiter!