Worum geht's?
Hohe Bußgelder, Datenschutzskandale der letzten Jahre und der große Datenhunger von Facebook oder Google sorgen dafür, dass das Thema „Datenschutz im Internet“ niemals so richtig abgeschlossen sein wird. Es gibt zahlreiche Gesetze, die sich allein mit dem Datenschutz beschäftigen. Weitere Verordnungen werden folgen. Für Unternehmen oft nicht ganz zu durchschauen, welche Regelungen aktuell sind und was Sie zu beachten haben. Mit diesem Artikel wollen wir etwas Licht ins Dunkle bringen und Sie durch das Thema „Datenschutz im Internet“ führen.
1. Datenschutz im Internet einfach erklärt
Beim Datenschutz und Datensicherheit im Internet geht es vor allem um die sicherere Erhebung, Verarbeitung und Speicherung von sensiblen personenbezogenen Daten im WWW. Diese Punkte werden durch verschiedene Gesetze in Deutschland geregelt, wodurch sich für Unternehmen gewisse Vorschriften ergeben.Cyber-Attacken, Spam-E-Mails und Tracking-Cookies – damit personenbezogene Daten im Internet sicher sind, bedarf es einigen Vorkehrungen. Welche Vorkehrungen Unternehmen treffen müssen und welche Datenschutz-Tipps es für Privatpersonen zum Schutz der sensiblen Daten gibt, klären wir im Folgenden.
2. Welches sind die 7 Grundprinzipien in der Datenverarbeitung?
Im Datenschutz und der Datenverarbeitung gibt es sieben Grundprinzipien, die den Rahmen für eine Verarbeitung von sensiblen Daten bilden. Diese lauten wie folgt:
-
Rechtmäßigkeit: Bevor Sie Daten verarbeiten, müssen Sie prüfen, ob die Datenverarbeitung den rechtlichen Grundlagen entspricht.
-
Zweckbindung: Legen Sie bereits bei der Datenerhebung den Zweck der Datenverarbeitung fest.
-
Datenminimierung: Wenn Sie Ihre Kunden bitten, sich für den Newsletter anzumelden, dürfen Sie nur die nötigsten Daten erheben. Pflichtfelder dürfen dann beispielsweise nur die Mailadresse und ggf. der Name sein. Zum Schutz der Daten gilt im Sinne der Datensparsamkeit "weniger ist mehr".
-
Datenrichtigkeit: Die Daten, die Sie erheben, müssen korrekt und aktuell sein. Fehlerhafte Daten müssen sie sofort korrigieren oder löschen.
-
Speicherbegrenzung: Sie benötigen die Daten nicht mehr für Ihren Verarbeitungszweck? In diesem Fall müssen Sie die personenbezogenen Daten sofort löschen. Ein Konzept kann im Rahmen des Datenschutzes sehr hilfreich sein.
-
Integrität und Vertraulichkeit: Der Schutz der sensiblen Daten vor unberechtigter Verarbeitung Dritter ist essentiell. Die Daten müssen immer nach dem aktuellen technischen Stand geschützt sein. Zugriffsbeschränkungen und Datensicherung gehören dazu.
-
Rechenschaftspflicht: Sie sind gegenüber den zuständigen Behörden in der Nachweispflicht. Wichtig ist daher, dass Sie alles genau dokumentieren und im Zweifelsfall belegen können.
Der Datenschutz in der Firma kann sehr komplex sein. Je nach Umfang und Unternehmensgröße bietet sich ein Datenschutzbeauftragter an oder ist sogar gesetzlich verpflichtend. Mehr über interne Datenschutzbeauftragte lesen Sie in unserem Artikel.
Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator
- Einfache Integration in Ihre Website
- Anwaltlich geprüfter Generator
- Für Sie kostenfrei in wenigen Schritten
3. Was bringt der Datenschutz?
Der Erfolg eines Unternehmens, das online personenbezogene Daten verarbeitet und nutzt, hängt stark vom Vertrauen der Nutzer in die Seriosität des Anbieters und der Transparenz des Angebotes ab.
Es setzt sich bei immer mehr Unternehmen, die im Internet tätig sind, die Erkenntnis durch, dass eine vollständige Umsetzung der gesetzlichen Vorgaben eine vertrauensbildende Maßnahme gegenüber dem Kunde darstellt. Hierdurch kann der Erfolg oder Misserfolg eines Unternehmens wesentlich mit beeinflusst werden.
Die Unsicherheit der Kunden ist in diesem Bereich besonders hoch. Kann der Kunde nicht nachvollziehen, welche Informationen für welche Zwecke gespeichert oder übermittelt werden, nimmt er im Zweifel die Dienstleistungen nicht in Anspruch oder wechselt den Anbieter. Sie sollten daher die Einhaltung datenschutzrechtlicher Vorgaben nicht als notwendiges Übel, sondern als vertrauensbildende und kostengünstige Marketingmaßnahme begreifen.
AUFGEPASST
Die Fragen des Datenschutzrechts im Internet sind jedoch sehr komplex. Die geltenden Gesetze hinken der tatsächlichen Entwicklung im Netz stets um Jahre hinterher. Zudem gibt es in fast keinem Rechtsbereich eine so große Diskrepanz zwischen der Gesetzeslage und der praktischen Umsetzung und Kontrolle.
4. Die verschiedenen Datenschutzgesetze
Datenschutzgrundverordnung (DSGVO)
Das Herzstück des Datenschutzrechts bildet seit mittlerweile fünf Jahren die Datenschutzgrundverordnung (auch Datenschutz-Grundverordnung oder kurz DSGVO genannt). Die DSGVO gilt einheitlich in der gesamten Europäischen Union und bildet die wichtigste Vorschrift für den Datenschutz im Internet.
Wichtig wird die DSGVO für Sie, wenn Sie Tracking-Tools auf Ihrer Website verwenden, Newsletter an Ihre Kunden versenden oder generell personenbezogene Daten, egal in welcher Form, verarbeiten.
Wie Sie als Unternehmen die Regelungen der DSGVO umsetzen und was es sonst bezüglich der Datenschutzgrundverordnung zu beachten gibt, lesen Sie in unserem Artikel "Was müssen Unternehmen nach der DSGVO intern alles regeln?".
Bundesdatenschutzgesetz (BDSG)
Ein weiteres wichtiges Gesetz ist das neue Bundesdatenschutzgesetz (BDSG-neu). Es bildet zusätzlich zur EU-DSGVO einen nationalen Rahmen für das Datenschutzrecht in Deutschland. Dies ist wichtig, da die DSGVO einige Absätze enthält, die durch das BDSG-neu konkretisiert werden.
Das BDSG-neu gilt sowohl für Unternehmen als auch für Behörden. Es regelt alle Bereiche des Datenschutzes von der Erhebung, Speicherung und Verarbeitung bis hin zur Weitergabe von Daten etwa zu Zwecken der Werbung. Das Bundesdatenschutzgesetz gilt zudem für alle Bereiche der Datenverarbeitung, unabhändig davon, ob diese online oder offline erfolgt.
Digitale-Dienste-Gesetz (ehemals Telemediengesetz)
Nachdem das Teledienstegesetz, der Mediendienstestaatsvertrag sowie das Telemediengesetz (TMG) nicht mehr in Kraft sind, gilt das Digitale-Dienste-Gesetz (DDG)als wichtigste gesetzliche Vorschrift.
Das DDG regelt für digitale Dienste, also spezifisch für die Internetbranche, verschiedene Bereiche.
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)
Seit Dezember 2021 galt das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG), welches im Mai 2024 durch das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) ersetzt wurde und zu einem sichereren Datenschutz im Internet beiträgt. Im TDDDG (ehemals TTDSG) wird nochmal verdeutlicht, dass Unternehmer für Cookies und Trackingdienste eine Einwilligung des Nutzers benötigen.
Auch die Ausnahmen werden thematisiert. Beispielsweise brauchen Sie keine Einwilligung Ihrer Nutzer, wenn Sie technisch notwendige Cookies auf Ihrer Webseite setzen. Halten Sie sich nicht daran, drohen Ihnen gemäß TDDDG (ehemals TTDSG) Bußgelder in Höhe von bis zu 300.000 Euro.
EU-US Data Privacy Framework & Coming soon: ePrivacy-Verordnung
Mit dem EU-US Data Privacy Framework ist die Datenübertragung in die USA grundsätzlich wieder zulässig. Denn mit Inkrafttreten am 10. Juli 2023 wurde eine neue Basis für eine sichere Datenübertragung geschaffen. Allerdings gewährleisten nur solche Unternehmen ein der EU gleichwertiges Datenschutzniveau, welche ein Selbstzertifizierungsverfahren durchgeführt haben.
WEITERLESEN?
Mehr Informationen zum Thema EU-US Data Privacy Framework lesen Sie in unserem Artikel "Privacy Shield 2.0: Datentransfer in die USA".
Eine Verordnungen, die nochmal ordentlich frischen Wind und viel Unsicherheit seitens der Unternehmer in das Thema Datenschutz im Internet bringen, wird die ePrivacy-Verordnung sein. Wann sie in Kraft tritt, ist nach wie vor unklar.
Nach Inkrafttreten wird eine zweijährige Übergangsfrist gelten, in der Unternehmer die neuen Regelungen umsetzen müssen. Die Verordnung soll einige Lücken der DSGVO schließen.
5. Checkliste: Diese Pflichten sollten Webseitenbetreiber umsetzen
- die Impressumspflicht
- die Pflicht zur Unterrichtung der Internetnutzer bezüglich der Datenspeicherung im Rahmen einer Datenschutzerklärung
- die Voraussetzung der Einwilligung des Nutzers in die Verarbeitung und Übertragung seiner Daten über einen Cookie-Hinweis
- Auskunfts-, Berichtigungs- und Löschpflicht gegenüber Betroffenen bezüglich der gespeicherten Informationen
- Kopplungsverbot
- die Pflicht für bestimmte Unternehmen zur Bestellung eines betrieblichen Datenschutzbeauftragten
Im Folgenden gehen wir noch genauer auf die einzelnen Pflichten ein.
Impressumspflicht
Eine Anbieterkennzeichnung müssen alle Webseiten aufweisen, die nicht ausschließlich zu privaten Zwecken geführt werden. Das Impressum gehört dementsprechend auf jede Unternehmenswebsite und in jeden Online-Shop. Bereits fehlende oder fehlerhafte Angaben können zu einer Abmahnung führen.
Voraussetzung für eine Kennzeichnungs- oder Impressumspflicht nach § 5 DDG (ehemals TMG) ist zunächst ein "geschäftsmäßiges Betreiben" des Internetangebotes. Es muss sich also um ein Angebot handeln, das einer nachhaltigen und auf Dauer angelegten Tätigkeit dient. Eine Gewinnerzielungsabsicht ist für eine Geschäftsmäßigkeit nicht erforderlich, auch nichtkommerzielle Angebote können dieser Kennzeichnungspflicht unterliegen.
Für ein vollständiges Impressum auf Ihrer Website sollten Sie folgende Angaben machen:
- Name und Anschrift
- bei juristischen Personen der/die Vertretungsberechtigte/n
- Kontaktdaten
- Registernummer
- Umsatzsteueridentifikationsnummer
- Zusätzliche Regelungen für bestimmte Berufe
Sie haben noch kein Impressum oder sind sich nicht ganz sicher, ob Ihres vollständig ist? Nutzen Sie unseren kostenlosen Impressum-Generator! Innerhalb weniger Minuten erhalten Sie ein rechtssicheres Impressum für Ihren Internetauftritt.
Datenschutzerklärung
Kaum eine Website kommt ohne Datenschutzerklärung aus. Die Datenschutzerklärung muss von jeder Unterseite der Website aus schnell erreichbar sein und alle wichtigen Informationen zur Datenerhebung, Datenspeicherung und Datenlöschung enthalten. Hier können vor allem Laien viel falsch machen und riskieren ein hohes Bußgeld, sofern die Datenschutzerklärung nicht oder nicht vollständig auf der Website eingebunden ist.
Wir raten Ihnen daher zu unserem kostenlosen Datenschutz-Generator. Innerhalb von drei Minuten können Sie schnell und unkompliziert eine rechtssichere Datenschutzerklärung erstellen lassen. Probieren Sie es gleich aus!
Einwilligung des Nutzers in die Datenspeicherung
Es reicht im Falle von digitalen Diensten nicht aus, dem Kunden die Möglichkeit des Widerspruchs bezüglich der Verarbeitung seiner Daten einzuräumen, wie dies beispielsweise im Bundesdatenschutzgesetz vorgesehen ist. Der Nutzer muss vielmehr in die Verwendung seiner Daten immer dann ausdrücklich einwilligen, wenn die jeweils einschlägigen Gesetze die Verarbeitung nicht gestatten.
Die Einwilligung in die Verarbeitung von personenbezogenen Daten können Sie mittels Cookie Banner einfordern. Der Nutzer muss aktiv in die Datenverarbeitung einwilligen. Damit diese Einwilligung DSGVO-konform ist, raten wir Ihnen zu einem Cookie Consent Tool.
Die pauschale Einwilligung eines Nutzers in den allgemeinen Geschäftsbedingungen reicht für eine wirksame Einwilligung nicht aus. Die Einwilligung muss deutlich hervorgehoben sein. Auch Sätze wie "Wir beachten die datenschutzrechtlichen Vorgaben" genügen in keiner Weise den gesetzlichen Vorgaben.
Problematisch sind in diesem Zusammenhang zudem die Internationalen Bezüge. Bei der Übermittlung von Daten in Länder außerhalb der EU ergeben sich Schwierigkeiten, wenn diese Länder nicht über ein Datenschutzniveau verfügen, dass dem in Europa entspricht. Dieses angemessene Schutzniveau wurde zum Beispiel weder für Indien noch für China bestätigt.
Betroffenenrechte: Auskunfts-, Berichtigungs- und Löschpflicht
Damit die Transparenz gewährleistet wird, gibt es laut DSGVO sogenannte Betroffenenrechte. Als Unternehmen, welches personenbezogene Daten verarbeitet, müssen Sie diesen nachkommen.
Gemäß Art. 15 DSGVO haben Verbraucher ein sogenanntes Auskunftsrecht. Sie müssen der betroffenen Person auf Nachfrage mitteilen, welche Daten Sie verarbeiten, zu welchem Zweck, mit welcher Speicherdauer etc. Speichern Sie keine Daten des Betroffenen, müssen Sie eine Negativauskunft erteilen.
Sind die Daten nicht korrekt verarbeitet worden, hat der Betroffene ein Recht auf Berichtigung. Sie müssen die Daten entsprechend anpassen. Zudem kann der Betroffene von Ihnen verlangen, seine personenbezogenen Daten zu löschen. Wann Sie dem Recht auf Berichtigung und Löschung nachkommen müssen, lesen Sie in unserem Artikel.
Kopplungsverbot
Das Kopplungsverbot besagt, dass Sie die Einwilligung in die Datenverarbeitung eines Nutzers nicht an einen Vertragsabschluss, ein Gewinnspiel oder das Herunterladen eines kostenlosen eBooks koppeln dürfen. Bei diesem Gesetz für Datenschutz im Internet ergeben sich allerdings einige Lücken, die Gerichte in den letzten Jahren mehr oder weniger geschlossen haben. Mehr zu dem Thema lesen Sie in unserem Artikel zum Kopplungsverbot.
Betrieblicher Datenschutzbeauftragter
Um die Einhaltung der komplizierten Datenschutzregeln zu gewährleisten, müssen Unternehmen, die personenbezogene Daten verarbeiten, einen betrieblichen Datenschutzbeauftragten zu bestellen. Diese Pflicht ergibt sich, wenn bestimmte Voraussetzungen vorliegen, die Sie in unserem Artikel zum DSGVO-Datenschutzbeauftragten nachlesen können.
Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Die erforderliche Fachkunde umfasst sowohl Kenntnisse hinsichtlich des Datenschutzrechts sowie Kenntnisse bezüglich Verfahren und Techniken der automatisierten Datenverarbeitung.
Darüber hinaus sollten Personen nicht zu betrieblichen Datenschutzbeauftragten berufen werden, die in dieser Funktion in Interessenkonflikte geraten würden. Unvereinbar wäre es z. B., den Inhaber, Mitglieder des Vorstandes, den Geschäftsführer oder sonstige gesetzliche oder verfassungsmäßig berufene Vertretungsorgane zum Datenschutzbeauftragten zu bestellen, da diese sich nicht wirksam selbst kontrollieren können.
Die Aufgaben eines betrieblichen Datenschutzbeauftragten umfassen schwerpunktmäßig:
- die Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben, insbesondere
des Bundesdatenschutzgesetzes - die ordnungsgemäße Anwendung der Datenverarbeitungs-Software, Risikoanalyse im Unternehmen
- die Entwicklung hausinterner Datenschutzrichtlinien und einer Datenschutz-Policy für Ihre Website
- die Bearbeitung datenschutzrechtlicher Beschwerden und Auskunftsersuchen von Nutzern
- die Schulung der bei der Datenverarbeitung tätigen Personen sowie die Durchführung von Vorabkontrollen vor Beginn der
Verarbeitung bei besonders sensiblen Daten - die Verpflichtung der Mitarbeiter auf den Datenschutz
- die Kontaktpflege mit der zuständigen Aufsichtsbehörde
ACHTUNG
Bei Verstößen drohen nicht nur kostenpflichtige Abmahnungen durch die Konkurrenz, sondern auch Bußgelder in Höhe von bis zu 300.000 Euro von den zuständigen Datenschutzbehörden.
Sie wollen prüfen, wie es in Ihrem Unternehmen um den Datenschutz steht? Wenden Sie sich gern an unsere Partnerkanzlei Siebert Lexow Lang und lassen Sie ein ein umfassendes Datenschutzaudit machen. Unsere versierten Anwälte finden jede datenschutzrechtliche Schwachstelle in Ihrem Unternehmen und merzen Sie gemeinsam mit Ihnen aus.
6. Checkliste: Als Privatperson sicher im Internet unterwegs
- Sichere Passwörter: Das beliebteste Passwort der Deutschen war 2022 „123456“. Nicht sehr einfallsreich und vor allem überhaupt nicht sicher! Achten Sie bei der Vergabe eines Passworts daruf, Sonderzeichen, Groß- und Kleinschreibung und Zahlen zu benutzen und wechseln Sie Ihr Passwort regelmäßig.
- Verschlüsselung: Achten Sie beim Surfen im Internet auf eine verschlüsselte Verbindung mittels https://. Sensible Daten sollten Sie besser über verschlüsselte E-Mails verschicken. Die entsprechenden Einstellungen finden Sie in der Regel bei Ihrem E-Mail-Client.
- Browser-Einstellungen: In den Einstellungen Ihres Browsers (egal ob Chrome, Firefox oder Safari) können Sie die Speicherung von Cookies festlegen. Damit Ihre Daten und Ihr Suchverlauf privat bleiben, sollten Sie Cookies direkt nach der Internetnutzung löschen.
- Virenschutzprogramm und Firewall: Ein Muss, um Ihr Netzwerk vor dem Zugriff fremder Netzwerke zu schützen.
- Sicher in sozialen Netzwerken: Achten Sie darauf, welche Informationen Sie bei Facebook, Instagram und Co. mit der Öffentlichkeit teilen wollen. In den Einstellungen können Sie Ihre Social-Media-Profile auch privat stellen. Übrigens können die Netzwerke Daten von Ihnen speichern, wenn Sie dauerhaft eingeloggt sind.
ACHTUNG
In öffentlichen Hotspots ist der Datenschutz im Internet nicht unbedingt gewährleistet. Dritte können Ihre Daten ausspähen, wenn Sie sich über ein öffentliches Wlan einloggen. Hier sollten Sie unbedingt auf ein hohes Sicherheitsniveau durch den Betreiber achten.
7. FAQ