Was ist die Informationspflicht?
Von jeder Person, die sich im Internet bewegt, werden unzählige Daten verarbeitet. Viele dieser Daten sind Verkehrsdaten oder technische Informationen ohne direkten persönlichen Bezug. Doch besonders Daten, die wir als „personenbezogene Daten“ bezeichnen, unterliegen einigen Regulierungen und müssen bestimmte Anforderungen erfüllen. Es besteht zum Beispiel neben vielen anderen Pflichten und Anforderungen, die sogenannte Informationspflicht. Lassen Sie uns einmal einen genaueren Blick darauf werfen, welche konkreten Informationspflichten es gibt, wie man diese unterscheidet und wie diese mit den Datenschutzgesetzen in Zusammenhang gebracht werden können. In diesem Artikel gehen wir zunächst darauf ein, welche einzelnen Regelungen Sie als Websitebetreiber Folge zu leisten haben bzw. welche Informationen Sie den User*innen Ihrer Seite zur Verfügung stellen müssen. Die konkrete Umsetzung und der Inhalt dieser Regelungen bleiben hier erst einmal unbeachtet und werden in einem anderen Artikel näher betrachtet. Lassen Sie uns also beginnen: Die folgenden Regelungen geben vor, welche Informationen Sie bereitstellen müssen.
1. Informationspflichten nach dem Telemediengesetz (TMG)
Gem. § 5 TMG müssen fast alle Anbieter ein Impressum auf ihre Webseite bereithalten. In dieser muss die Identität des Betreibers offengelegt werden. Diese Informationen müssen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein.
2. Informationspflichten nach der Datenschutz-Grundverordnung (DSGVO)
Gem. Art. 12 ff. DSGVO unterliegen Verantwortliche stets der Pflicht, ausreichende Informationen über die Datenverarbeitung und die betroffenen Personen über deren Rechte zu informieren. Konkrete Angaben zu den Inhalten der DSGVO finden Sie unter anderem in den Artikeln 13 & 14 der DSGVO. Gem. Art. 37 DSGVO sind etwa auch die Kontaktdaten des bestellten Datenschutzbeauftragten öffentlich zu machen.
3. Informationspflichten zur Verwendung von Cookies
Sie sind als Websitebetreiber auch an Informationspflichten gebunden, die nicht im Gesetz geregelt sind. Dies ergibt sich aufgrund von Urteilen, Beschlüsse und Richtlinien wie auch aus Empfehlungen von Gerichten, Aufsichtsbehörden, Verbänden und Einrichtungen öffentlicher Stellen. Ein solches Urteil wurde in Bezug auf die Cookie-Regelungen erst vor Kurzem getroffen:
a. Gem. der EU-Richtlinie 2009/136/EG und vor allem nach dem BGH-Urteil vom 28.05.2020 mit dem Aktenzeichen: AZ_ I ZR 7/16, sind Betreiber von Webseiten gegenüber dem Nutzer zur Bereithaltung umfassender und vollständiger Informationen in Bezug zur Nutzung von Cookies verpflichtet. Es gilt hier auch die Rechtsprechung des BGH zur Erforderlichkeit von Cookies insbesondere die Voraussetzung zur Einwilligung zu beachten. Mehr dazu in einem gesonderten Blog.
b. Diese Informationen und Anforderungen sind über einen sog. Cookie-Banner zusätzlich zu der Datenschutzerklärung bereitzuhalten. Beachten sie aber, dass diese Angaben sowohl als Cookie-Banner als auch in der Datenschutzerklärung angegeben werden müssen
4. Weitere Informationspflichten
Der Vollständigkeitshalber ist noch darauf hinzuweisen, dass Sie unter Umständen noch weitere Informationspflichten unterliegen. Diese könnten sein:
a. Informationspflichten zur Streitschlichtung gem. der ODR-Verordnung auf die EU-weit gültige Online-Streitbeilegungsplattform (OS-Plattform) und §§ 36, 37 VSBG.
b. Informationspflichten aufgrund von Fernabsatzverträgen, z.B. dem Widerrufs- bzw. Rückgaberecht im Sinne des BGB.
c. Hinweispflichten aufgrund der Preisangabenverordnung, der Pkw-EnVKV, der EnVKV, in dem Textilkennzeichnungsgesetz, in dem Wohnraumvermittlungsgesetz und viele anderen finden sich Hinweiserfordernisse.
Wann müssen Sie all diese Informationen angeben?
Das hängt davon ab, von wem Sie die Daten erhalten. Erheben Sie die Daten direkt von den Betroffenen selbst, so sind die eben aufgelisteten Informationen gem. Art. 13 Abs. 1 zum Zeitpunkt der Erhebung bereitzustellen (Impressum, Cookies, etc.). Der User auf Ihrer Website muss sofort wissen, welche Daten Sie erheben und gegebenenfalls speichern.
Erheben Sie aber Daten aus anderen Quellen oder erhalten entsprechende personenbezogene Daten von Dritten, gelten gem. Art. 14 Abs. 3 der DSGVO andere Regeln. Sie sind jetzt unter Berücksichtigung der „spezifischen Umstände der Verarbeitung der personenbezogenen Daten“ dazu verpflichtet, die User in einem bestimmten Zeitrahmen zu informieren. Meist muss das innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten (längstens jedoch innerhalb eines Monats) erfolgen.
Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, müssen die Informationen zum Datenschutz spätestens zum Zeitpunkt der ersten Mitteilung erfolgen. Falls die Offenlegung der Daten an einen Dritten geplant ist, spätestens zum Zeitpunkt der ersten Offenlegung.
Wichtig ist hierbei, dass Sie stets (gem. Art. 12 Abs. 1 S. 1 DSGVO) geeignete Maßnahmen eingerichtet haben müssen, um die Informationen bereitzustellen. Haben Sie also die Daten zur Kommunikation oder Offenlegung erhoben bzw. verarbeitet, muss die Information trotz allem spätestens nach einem Monat erfolgen. Es wäre unzulässig, die Daten am 01.01.2019 zu erheben und die betroffene Person erst am 01.01.2020 darüber zu informieren.
Welche Art von Informationen müssen Sie bekannt geben?
Diese Frage kann nur beantwortet werden, wenn Sie wissen, von wem Sie die Daten erheben. Werden die Daten direkt von der betroffenen Person angegeben oder werden die Daten nur an Dritte weitergegeben und dort dann genutzt? Betrachten wir den ersten Fall: Wenn Sie die personenbezogenen Daten direkt beim Betroffenen erheben, müssen Sie gem. Art. 13 Abs. 1 DSGVO folgende Informationen bereitstellen:
- den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen;
- die Rechtsgrundlage für die Verarbeitung;
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
Gem. Art. 13 Abs. 2 DSGVO gilt zudem:
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte und
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Gem. Art. 13 Abs. 3 DSGVO:
Wird beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als zu Erhebungszwecken, müssen vor der Weiterverarbeitung Informationen über den anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung gestellt werden. Erhalten Sie Daten von Dritten oder erheben diese aus anderen Quellen, also nicht beim Betroffenen direkt gilt:
Gem. Art. 14 Abs. 1 DSGVO:
- den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
- zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.
Gem. Art. 14 Abs. 2 DSGVO:
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Gem. Art. 14 Abs. 3 DSGVO
Ist beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als zu Erhebungszwecken, müssen vor der Weiterverarbeitung Informationen über den anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung gestellt werden.
Wie stellen Sie diese Informationen bereit?
Die o.g. Informationen müssen Sie zum einen über eine ausführliche Datenschutzerklärung, ein Cookie-Banner und ein Impressum darlegen. Es ist jedoch nicht zulässig, alle diese Daten unter einem Reiter bereitzuhalten. Vielmehr müssen Sie die Informationen getrennt voneinander betrachten und darstellen.
Impressum, Datenschutz und Kontakt: Trennen!
Falsch wäre es, die obligatorischen Angaben gem. des TMG und der DSGVO unter Impressum und Datenschutz oder gar unter Kontakt bereitzuhalten. Es muss ein gesonderter Link oder Button für das Impressum, die Datenschutzerklärung und die Cookies gesetzt werden.
Haben Sie Daten von Dritten erhalten oder aus anderen Quellen gilt zudem, dass Sie den betroffenen Personen die Informationen in geeigneter Form bereitstellen. Da die Betroffenen von der Erhebung gem. Art. 14 DSGVO keine Kenntnis haben, müssen Sie den betroffenen Personen die Informationen schriftlich oder auch elektronisch zukommen lassen. Hierfür empfehlen wir eine sog.
Transparenzerklärung (auch bekannt als „Datenschutzhinweise“) mit erweiterter Angabe der entsprechenden Informationspflichten gem. Art. 14 Abs. 1 bis 3 DSGVO zu erstellen und hierfür bereitzuhalten.
Gibt es Situationen, in denen ich keine Informationen bereitstellen muss?
Grundsätzlich sind Sie immer zur Information verpflichtet, es sei denn, es gelten entsprechende Ausnahmen. Solche können gem. Art. 13 Abs. 4 und 14 Abs. 5 DSGVO zu finden sein und treten in folgenden Fällen auf:
Bei der Direkterhebung:
Gem. Art. 13 Abs. 4 DSGVO, müssen sie die Informationen nicht bereitstellen, wenn die betroffene Person bereits über diese Informationen verfügt.
Bei der Dritt- und Fremderhebung:
Gem. Art. 14 Abs. 5 DSGVO gilt, dass eine Information nicht zu erfolgen hat:
- wenn die betroffene Person bereits über die Informationen verfügt (Art. 14 Abs. 5 Lit. a DSGVO);
- die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; (Art. 14 Abs. 5 Lit. b DSGVO)
- die Erlangung oder Offenlegung durch eine Rechtsvorschrift der Union oder der Mitgliedstaaten, vorliegt und die Datenverarbeitung ausdrücklich vorsieht und der Verantwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen (Art. 14 Abs. 5 Lit. c DSGVO), oder
- die personenbezogenen Daten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen. (Art. 14 Abs. 5 Lit. d DSGVO)
Auch gilt gem. § 33 Abs. 1 Nr. 2 BDSG, dass eine Informationspflicht dann nicht zu erfolgen hat, wenn die Erhebung und Verarbeitung für
- die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche beeinträchtigen würde oder die Verarbeitung Daten aus zivilrechtlichen Verträgen beinhaltet und der Verhütung von Schäden durch Straftaten dient, sofern nicht das berechtigte Interesse der betroffenen Person an der Informationserteilung überwiegt (§ 33 Abs. 1 Nr. 2 Lit. a BDSG), oder
- die zuständige öffentliche Stelle gegenüber dem Verantwortlichen festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde; im Falle der Datenverarbeitung für Zwecke der Strafverfolgung bedarf es keiner Feststellung nach dem ersten Halbsatz § 33 Abs. 1 Nr. 2 Lit. b BDSG) erfolgt.
Kompliziert, aber notwendig
Wir hoffen, wir konnten Ihnen im Rahmen dieses Blogartikels das Thema „Informationspflicht“ etwas näherbringen. Das Feld ist groß und etwas kompliziert, da Sie sich als Betreiber einer Website mit vielen verschiedenen Szenarien und Paragrafen auseinandersetzen müssen. Allerdings lohnt es sich, hier etwas Zeit zu investieren. Wir freuen uns schon darauf, Ihnen im 2. Teil unserer neuen Blogreihe zum Thema „Internet Vs. Datenschutz“ einen genauen Einblick in die Thematik „SSL-/TLS-Zertifikation“ zu gewährleisten.