Datenschutzerklärung: Informationspflichten nach DSGVO und TKG für Webauftritte
Checkliste
Lesedauer: 10 Minuten
Hinweis:
Neben den Bestimmungen der DSGVO und des DSG, die zu beachten sind, kommen bei Internetanwendungen auch noch die Bestimmungen des Telekommunikationsgesetzes (TKG), die auf der E-Privacy-Richtlinie basieren, hinzu.
Die in diesem Dokument verwendeten Formulierungsbeispiele beruhen auf fiktiven Verarbeitungssachverhalten und dienen zur Erklärung und Veranschaulichung. Es ist für jeden datenschutzrechtlich Verantwortlichen unerlässlich zu prüfen, welche Datenverarbeitungen im Einzelfall konkret erfolgen und die Datenschutzerklärung dementsprechend zu formulieren.
Überblick
Nach der DSGVO sind der betroffenen Person durch den Verantwortlichen gewisse Informationen über die Datenverarbeitungen zur Verfügung zu stellen.
Die DSGVO bezieht sich ebenso wie das TKG nur auf personenbezogene Daten.
Die IP-Adresse gilt bereits als personenbezogenes Datum. Daher muss bereits dann den datenschutzrechtlichen Informationspflichten entsprochen werden, wenn bloß die IP-Adresse verarbeitet wird (erfasst wird die IP-Adresse i.d.R. mit Zeitpunkt und Zeitdauer des Webseitenbesuchs).
Nach der Rechtsprechung des EuGH zur E-Privacy-RL („Planet49“, C 673-17) sind auch bei einer Verarbeitung nicht-personenbezogener Daten im Rahmen von Cookies Informationspflichten zu beachten, v.a. über den Umstand, dass Cookies zum Einsatz kommen, für welche Zwecke und wie lange eine Verarbeitung stattfindet (gegebenenfalls muss eine Einwilligung eingeholt werden). Der Einfachheit halber wird im folgenden Text nur von „Daten“ gesprochen.
Beispiel für die Berücksichtigung in der Datenschutzerklärung:
„Der Schutz Ihrer Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten daher ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, TKG). In diesen Datenschutzinformationen informieren wir Sie über die wichtigsten Aspekte der Datenverarbeitung im Rahmen unserer Website.
Beim Besuch unserer Website wird Ihre IP-Adresse, Beginn und Ende der Sitzung für die Dauer dieser Sitzung erfasst. Dies ist aus dem technischen Grund [technischen Grund anführen] erforderlich und stellt damit ein berechtigtes Interesse i.S.v. Art 6 Abs 1 lit f DSGVO dar. Soweit im Folgenden nichts anderes geregelt wird, werden diese Daten von uns nicht weiterverarbeitet.“
Neben den Informationspflichten nach der DSGVO bestehen noch jene nach dem TKG für Dienste der Informationsgesellschaft (z.B. Webseiten oder Webshops). Diese entsprechen inhaltlich weitgehend den Informationspflichten der DSGVO, auch wenn das TKG leicht unterschiedliche Bezeichnungen verwendet. Es sind daher nach dem TKG keine zusätzlichen Informationen erforderlich. Der Einfachheit halber werden in dieser Checkliste die Bezeichnungen der DSGVO verwendet. Auf Besonderheiten wird im Text hingewiesen.
Zu den Besonderheiten des TKG im Vergleich zur DSGVO im Detail: Datenverarbeitung im Webshop und auf der Website | Einwilligungserklärung - Cookies - Datenschutzerklärung
Erster Schritt zur Datenschutzerklärung
Am wichtigsten ist es, dass sich der Verantwortliche („wer“) darüber klar wird, welche personenbezogenen Daten („was“) zu welchem Zweck („warum“) und mit welcher Berechtigung (auf welcher Rechtsgrundlage) auf seiner Webseite verarbeitet werden und an wen Daten weitergeleitet werden („wohin“). Um die Datenschutzerklärung transparent (verständlich) beschreiben zu können, sollte man sich über die Funktionsweise der Datenanwendung („wie“) und über die notwendige Speicherdauer („wie lange“) im Klaren sein.
Auch wenn eine Orientierung an fremden Datenschutzerklärungen möglich ist, kann eine Datenschutzerklärung (abgesehen von der urheberrechtlichen Problematik) nicht einfach abgeschrieben werden, sondern muss für jede Webseite unter Berücksichtigung sämtlicher Datenverarbeitungen individuell erstellt werden.
Textbausteine finden Sie auch in unserem WKO-Online-Ratgeber zu den Informationsverpflichtungen der DSGVO.
Tipp: Im Internet werden teilweise sogar kostenlose „Datenschutzgeneratoren“ zur Verfügung gestellt. Wenn Sie diese verwenden, beachten Sie aber die diesbezüglichen Nutzungsbedingungen. Oftmals ist es notwendig, einen Link auf den Urheber zu setzen. Geschieht dies nicht, kann es zu kostenpflichtigen Abmahnungen kommen. Außerdem sollten die Nutzungsbedingungen inklusive dem Hinweis der Gratisleistung zu späteren Beweiszwecken mit Datum dokumentiert (abgespeichert) werden.
Formulierungsbeispiele für die Datenschutzinformationen für den Newsletter-Versand finden Sie hier: Einwilligungserklärung für Newsletter nach dem TKG und der DSGVO
Checkliste Informationspflichten
- Namen und Kontaktdaten des Verantwortlichen (und gegebenenfalls seiner Vertreter).
- Gegebenenfalls Kontaktdaten des Datenschutzbeauftragten.
Beispiel für die Kontaktdaten:
„Sie erreichen uns unter folgenden Kontaktdaten:“ [Kontaktdaten ergänzen (Adresse, Telefon, E-Mail)]
[nur falls ein EU-Vertreter vorhanden ist:] „Unseren Vertreter erreichen Sie unter:“ [Kontaktdaten des Vertreters ergänzen (Adresse, Telefon, E-Mail)]
[falls ein Datenschutzbeauftragter vorhanden ist:] „Unseren Datenschutzbeauftragten erreichen Sie unter:“ [Kontaktdaten des Datenschutzbeauftragten ergänzen (Adresse, Telefon, E-Mail)]
- Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung.
Verarbeitungszweck könnte z.B. eine möglichst komfortable Nutzung des Webshops sein.
Als Rechtsgrundlagen kommen insbesondere in Frage: - Die Verarbeitung ist zur Vertragserfüllung erforderlich.
- Die Verarbeitung gründet sich auf folgendes berechtigtes Interesse: (Das berechtigte Interesse muss konkret angeführt werden; z.B. könnte der Hinweis aufgenommen werden, dass ein bestimmtes Cookie technisch erforderlich ist).
Auf Grund des TKG dürfen nur Cookies gesetzt werden, die zur Nutzung des jeweiligen Dienstes der Webseite (insbesondere technisch bzw. für die Durchführung eines Webseiten-Besuchers gewünschten Dienstes, wie etwa Session-Cookies im Rahmen eines Webshops) erforderlich sind. Für alle anderen Cookies muss mit der Rechtsgrundlage der (aktiven) Einwilligung gearbeitet werden (in der Praxis: Cookie-Fenster).
- Die Verarbeitung erfolgt mit Einwilligung des Betroffenen.
Die Rechtsgrundlage „Einwilligung“ kommt vor allem bei Webanalyse-Anwendungen in Frage.
Beispiel für das Zusammenspiel „Zweck“ und „Rechtsgrundlage“ anhand eines Kontaktformulars:
„Kontakt mit uns
Wenn Sie per Formular auf der Website oder per E-Mail-Kontakt mit uns aufnehmen, werden Ihre angegebenen Daten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen sechs Monate bei uns gespeichert. Dies ist ein berechtigtes Interesse i.S.d. DSGVO. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.“
- Daten bzw. Datenkategorien, die verarbeitet werden: dies ist nach dem TKG immer erforderlich (nach der EuGH-Judikatur bei in Cookies gespeicherten Informationen auch ohne Personenbezug). Nach der DSGVO wäre dies nur dann erforderlich, wenn die Daten nicht direkt beim Betroffenen erhoben werden. In diesem Fall ist auch die Quelle der Daten anzugeben.
- Empfänger oder Kategorien von Empfängern (z.B. IT-Dienstleister, Banken, Versicherungen) der Daten.
- Dauer der Datenspeicherung, bzw. wenn das nicht möglich ist, die Kriterien für die Festlegung der Dauer.
Beispiel anhand eines Webshops:
„Wir weisen darauf hin, dass zum Zweck eines funktionierenden Einkaufsvorganges und zur späteren Vertragsabwicklung vom Webshop-Betreiber im Rahmen von Cookies die IP-Daten des Anschlussinhabers gespeichert werden, ebenso wie Name, Anschrift und Kreditkartennummer […] des Käufers.
Darüber hinaus werden zum Zweck der Vertragsabwicklung folgende Daten auch bei uns gespeichert: [Daten ergänzen]. Die von Ihnen bereit gestellten Daten sind zur Vertragserfüllung bzw. zur Durchführung vorvertraglicher Maßnahmen erforderlich. Ohne diese Daten können wir den Vertrag mit Ihnen nicht erfüllen. Eine Datenübermittlung an Dritte erfolgt nicht, mit Ausnahme der Übermittlung der Kreditkartendaten an die abwickelnden Bankinstitute/Zahlungsdienstleister zum Zwecke der Abbuchung des Einkaufspreises, an das von uns beauftragte Transportunternehmen/ Versandunternehmen zur Zustellung der Ware sowie an unseren Steuerberater zur Erfüllung unserer steuerrechtlichen Verpflichtungen.
Nach Abbruch des Einkaufsvorganges werden die bei uns gespeicherten Daten gelöscht. Im Falle eines Vertragsabschlusses werden sämtliche Daten aus dem Vertragsverhältnis bis zum Ablauf der steuerrechtlichen Aufbewahrungsfrist (7 Jahre) gespeichert. Die Daten Name, Anschrift, gekaufte Waren und Kaufdatum werden darüber hinaus bis zum Ablauf der Produkthaftung (10 Jahre) gespeichert. Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des § 165 Abs 3 TKG 2021 sowie des Art 6 Abs 1 lit b DSGVO (notwendig zur Vertragserfüllung) sowie des Art 6 Abs. 1 lit c DSGVO (gesetzliche Verpflichtung).“
- Falls die Absicht besteht, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, muss auch darüber informiert werden, ebenso wie über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission. Weiters ist im Falle von Datenübermittlung vorbehaltlich geeigneter Garantien oder aufgrund von verbindlichen internen Datenschutzvorschriften bzw. generell aufgrund von besonderen Ausnahmebestimmungen eben auf diese geeigneten oder angemessenen Garantien zu verweisen und wo eine Kopie davon erhältlich wäre bzw. wo sie verfügbar sind.
Achtung: Beachten Sie bei einer Datenübermittlung in die USA den Entfall des Privacy-Shield-Abkommens!
- Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch.
- Möglichkeit des Widerrufs der Einwilligung und dass im Falle eines Widerrufs die Rechtmäßigkeit der Datenverarbeitung bis zum Zeitpunkt des Widerrufs nicht berührt wird.
- Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.
Beispiel für die Belehrung über die Betroffenenrechte:
„Ihre Rechte
Ihnen stehen bezüglich Ihrer von uns verarbeiteten Daten grundsätzlich die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch zu. Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei uns [E-Mail-Adresse angeben] oder der Datenschutzbehörde beschweren.“
- Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.
- Gegebenenfalls das Bestehen automatisierter Entscheidungsfindung, inkl. aussagekräftiger Informationen über die involvierte Logik und die Tragweite der Entscheidung (z.B. Profiling).
Drittanbieter
Wenn Dienste von Drittanbietern verwendet werden (Web-Analyse-Programme, digitale Landkarten etc.), durch die auch personenbezogene Daten verarbeitet werden, dann muss auch darüber transparent informiert werden. Manche Drittanbieter bieten Textbausteine an, damit man den Informationspflichten nachkommen kann. In der Praxis wird oft auch direkt auf die Datenschutzinformationen des Drittanbieters verlinkt. Verantwortlich bleibt aber der Betreiber der Webseite; der Drittanbieter wird allenfalls zusätzlich zum Verantwortlichen (sofern er nicht als Auftragsverarbeiter zu qualifizieren ist; Aufschluss über die tatsächliche Rolle bieten zumeist die AGB der Anbieter). Viele Drittanbieter bieten auch eigene Vertragslösungen oder Verträge als Auftragsverarbeiter an.
Da Dienste von Drittanbietern i.d.R. weder technisch noch zur Vertragserfüllung erforderlich sind, wird in den meisten Fällen mit einer Einwilligung als Rechtsgrundlage gearbeitet werden müssen. Dies deswegen, weil nach dem TKG Cookies ohne Einwilligung nur gesetzt werden dürfen, wenn dies zur Erfüllung eines vom Nutzer (Betroffenen) gewünschten Dienstes notwendig oder technisch erforderlich ist („Cookie-Fenster“).
Beispiel für ein Web-Analyse-Tool mit Rechtsgrundlage Einwilligung:
„Web-Analyse
Unsere Website verwendet Funktionen des Webanalysedienstes … [Name des Tools und Firma des Anbieters samt Unternehmenssitz einschließlich Information, ob Daten an ein (außereuropäisches) Drittland übertragen werden]. Dazu werden Cookies verwendet, die eine Analyse der Benutzung der Website durch ihre Benutzer ermöglicht. Die dadurch erzeugten Informationen werden auf den Server des Anbieters übertragen und dort gespeichert.
Ihre Daten werden nur dann verarbeitet, wenn Sie uns Ihre Einwilligung dazu erteilt haben.
Wir haben mit dem Anbieter des Webanalysedienstes einen entsprechenden Vertrag zur Auftragsdatenverarbeitung abgeschlossen.
[Empfohlen:] Ihre IP-Adresse wird erfasst, aber umgehend [z.B. durch Löschung der letzten 8 Zeichen der IP-Adresse] pseudonymisiert. Dadurch ist nur mehr eine grobe Lokalisierung möglich.
[Bei außereuropäischen Anbietern:] Die Beziehung zum Webanalyseanbieter basiert auf … [Standardvertragsklauseln/einem Angemessenheitsbeschluss der Europäischen Kommission].
Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des § 165 Abs 3 TKG 2021 sowie des Art 6 Abs 1 lit a (Einwilligung) der DSGVO.
Die Nutzerdaten werden für die Dauer von … [Speicherfrist angeben] aufbewahrt [dies muss mit dem Webanalysedienst abgeklärt werden].“
Informationen bezüglich Social-Media-Anbindungen finden Sie hier: Social Media und eingebettete Komponenten von Drittanbietern
Wie bzw. wo sollen die Informationen erteilt werden?
Die Informationen sind den Betroffenen zum Zeitpunkt der Erhebung der Daten transparent, klar, einfach und verständlich zur Verfügung zu stellen. Es ist daher wichtig, die Datenschutzerklärung in möglichst verständlicher Sprache zu halten.
Sie sollte für den Besucher der Webseite leicht auffindbar sein. Am besten erfolgt dies in einem eigenen Button „Datenschutzerklärung“ und nicht gemeinsam mit dem Impressum. Bzgl. Cookies sollten die diesbzgl. Informationen in Form eines „Cookie“-Banners beim Aufruf der Website aufscheinen.
Muster für ein korrektes Impressum finden Sie zu jeder Rechtsform hier: Impressumsvorschriften für Websites und E-Mails
Beispiel für eine transparente Beschreibung der Funktionsweise von Cookies:
(zweckmäßigerweise sollte die Funktionsweise jedes Cookies gesondert erklärt und im Cookie-Fenster im Hinblick auf die Einwilligung abgefragt bzw. auf die technische Notwendigkeit des Cookies hingewiesen werden)
„Cookies
Unsere Website verwendet sogenannte Cookies. Dabei handelt es sich um kleine Textdateien, die mit Hilfe des Browsers auf Ihrem Endgerät abgelegt werden. Sie richten keinen Schaden an.
Wir nutzen Cookies aus technischen Gründen, um unser Informationsangebot und unsere Dienstleistung [z.B.: unseren Webshop] funktionstüchtig anbieten zu können. Einige Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen. Sie ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.
Bei nicht funktionsbedingt erforderlichen Cookies ersuchen wir im Cookie-Fenster um Ihre Einwilligung (Art 6 Abs 1 lit a DSGVO). Nur wenn diese aktiv gegeben wird, werden dann Ihre personenbezogenen Daten zum Zweck der …. [Zweck einfügen] für …. [Zeitdauer einfügen] verarbeitet.
Bei Cookies, die im Cookie-Fenster als funktionsbedingt erforderlich gekennzeichnet sind, stützen wir unsere Rechtsgrundlage auf unser berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO), den Webauftritt benutzerfreundlich zu gestalten.
[Funktionsweise und Speicherdauer des jeweiligen Cookies (z.B. „für die Dauer der Session“) beschreiben]
Bei der Deaktivierung von Cookies kann die Funktionalität unserer Website eingeschränkt sein.“
Geldstrafen
Die Verletzung der Informationspflicht ist nach der DSGVO mit bis zu 20 Mio. EUR oder 4 % des letztjährigen weltweiten Jahresumsatzes sanktioniert; nach dem TKG zusätzlich mit bis zu 50.000 EUR.
Relevante Artikel der DSGVO: Art. 13, Art. 14
Relevante Erwägungsgründe: 39, 58 – 62
Relevante Bestimmungen im TKG 2021: § 165 Abs 3
Stand: 01.08.2023