Mit dem Start der neuen Datenschutzgrundverordnung DSGVO am 25. Mai 2018 ist es erforderlich, ein separates Dokument bereitzustellen, in dem alle Belange des Datenschutzes dargelegt werden: die Datenschutzerklärung.
Genau wie das Impressum muss diese leicht auf den Webseiten zu finden sein.
Die AGB, die nun um die Themen der Datenschutzes bereinigt sind, müssen nach wie vor im Verkaufsprozess leicht erreichbar sein.
„Leicht„ bedeutet in diesem Sinne, dass der Text ohne weitere Hilfsmittel (wie z.B. ein PDF-Reader) lesbar sein soll. Und sie muss natürlich zu finden sein – gleich zu Beginn eines Besuches auf unserer Webseite.
Mit der Datenschutzerklärung erfüllen wir die Informationspflichten laut DSGVO Artikel 13:
- Kontaktdaten des Verantwortlichen
- welche Daten werden erhoben, warum brauchen wir sie (sofern nicht offensichtlich), wie lange speichern wir sie.
- Hinweise auf Auskunftsrechte (über eigene Daten) und Beschwerderechte (bei Aufsichtsbehörden)
- Hinweise auf Möglichkeiten Daten zu korrigieren oder zu löschen. In der Regel kann hier ein Hinweis auf die Profil-Seite in den Shopsystemen oder dem Kundensupport gegeben werden.
- Information, sofern Daten bei anderen Firmen erhoben und gespeichert werden (z.B. Schufa-Auskünfte).
- Ggf. Information über Unterauftragnehmer – sofern ein Vertrag vorhanden ist(!) müssen diese nicht namentlich genannt werden. Sinnvoll ist eine Nennung immer dann, wenn der Name in Form von Domains oder Links (z.B. Ökobox-Online) oder bei der Anwendung eines Hilfsmittels (wie Google Maps) sowieso erkennbar ist oder wir einfach transparent unserem Kunden gegenüber sein möchten.
- Nach Absatz (2) weisen wir den Kunden auch auf die Möglichkeiten hin, der Erfassung o.g. Daten zu widersprechen. Das wird nicht immer möglich sein: Manches, z.B. Sitzungsnummern (die in Verbindung mit Cookies bekannt sind) brauchen wir, damit das System, der Shop sicher funktioniert. Auch die Adresse ist notwendig, um liefern zu können. Anderes aber, wie das Einsammeln statistischer Informationen über das Besucherverhalten (Tracking) ist nicht notwendig um mit dem Kunden ins Geschäft zu kommen. Sofern technisch möglich, bieten wir unseren Kunden also eine Möglichkeit, sich diesem Dienst zu entziehen (sog. „Opt-Out„).
Wenn wir schon bei Cookies sind: dies sind Informationshäppchen die im Browser des Kunden hinterlegt werden, typischerweise beinhalten sie nur Sitzungsnummern und sind, wie beschrieben, zur Funktion der Webseite notwendig. Die Tatsache, das etwas beim Kunden gespeichert wird, ist übrigens kein Grund für den oft eingeblendeten Hinweis „wir verwenden Cookies“. Weil wir diese Nummern aber auf unserer Seite (dem Server) einsehen und dem Kunden zuordnen können, ist es uns möglich z.B. den Ablauf einer Kundensitzung rekonstruieren. Damit gehört diese Information zu dem o.g. Punkt „welche Daten werden erhoben…“ und ein separater Hinweis erübrigt sich.
Neben den notwendigen Dingen in diesem Text steht es uns auch frei, weitere Informationen zu übermitteln, die gegenüber dem Kunden Vertrauen aufbauen. Z.B. dass die Mitarbeiter speziell im Umgang mit personenbezogenenen Daten geschult wurden, oder dass bewusst auf Detailfunktionen beim Tracking verzichtet wird. Dabei hilft auf jeden Fall auch eine einfache und verständliche Formulierung, eventuell auch Grafiken oder Video’s. Die Grenze zur Werbung oder gar Entertainmant muss man ja nicht unbedingt überschreiten 😉
Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach bestem Wissen geschilderte Vorgehensweise. Die natürlich schon aus Raumgründen unvollständig ist. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!