Iubenda logo
Generator starten

Anleitungen

oder
INHALTSÜBERSICHT

Rechtlicher Überblick

Da die Welt immer abhängiger von digitalen Produkten und Dienstleistungen wird, hat der Datenschutz für viele Länder und Regionen zunehmend oberste Priorität erlangt. Infolgedessen haben viele Regionen robuste und durchsetzbare Vorschriften über den Datenschutz eingeführt, an die sich Unternehmen halten müssen.

In den meisten Fällen kann die Missachtung dieser Vorschriften nicht nur erhebliche finanzielle Folgen haben, sondern auch das Vertrauen der Öffentlichkeit und den Ruf Ihres Unternehmens erheblich und nachhaltig schädigen. Es ist daher wichtig, sicherzustellen, dass Ihr Unternehmen seinen gesetzlichen Verpflichtungen nachkommt.

Allgemeine Rechtsvorschriften

Wichtigste Elemente

Nach der überwiegenden Mehrheit der Gesetze sind Sie bei der Verarbeitung personenbezogener Daten in der Regel verpflichtet, im Rahmen einer umfangreichen Datenschutzerklärung Angaben zu Ihren Datenverarbeitungsaktivitäten zu machen, sicherzustellen, dass wirksame Sicherheitsmaßnahmen zum Schutz personenbezogener Daten vorhanden sind, sowie Methoden zu implementieren, um die Einwilligung der Nutzer zu erhalten oder deren Widerruf zu erleichtern.

Diese Datenschutzinformationen müssen auf der gesamten Website oder App aktuell, verständlich, eindeutig und leicht zugänglich sein. Einige Anforderungen können je nach der Art der Datenverarbeitung, der Region, dem Alter des Nutzers oder dem Geschäftstyp variieren. Es ist daher erwähnenswert, dass Sie zusätzlich zu den hier dargelegten allgemeinen Aspekten, je nach dem für Sie relevanten Rechtssystem, weitere Pflichten haben können. Weitere fallspezifische Informationen können Sie in den folgenden Abschnitten nachlesen.

Mitteilungen

Generell müssen Nutzer hierüber informiert werden:

  • Angaben zum Eigentümer der Website/App
  • Das Datum des Inkrafttretens Ihrer Datenschutzerklärung
  • Ihr Benachrichtigungsverfahren für Dokumentänderungen
  • Welche Daten werden erfasst?
  • Zugang Dritter zu ihren Daten (wer die Drittparteien sind und welche Daten sie erfassen)
  • Ihre Rechte in Bezug auf ihre Daten

Je nach dem Recht, auf das Sie sich berufen, können Sie darüber hinaus für zusätzliche Mitteilungen an Nutzer, Dritte und die Aufsichtsbehörde verantwortlich sein.
 
Ein solches Gesetz ist das California Consumer Privacy Act (CCPA). Im Rahmen des CCPA müssen die Benutzer insbesondere über die Möglichkeit des Verkaufs ihrer Daten informiert werden („verkauft“ kann hier als „mit Dritten für jeglichen Gewinn, finanziell oder anderweitig“ verstanden werden). Diese Angaben muss von der Homepage der Website aus sichtbar sein und einen Opt-Out-Link (DNSMPI) enthalten. Mehr über das CCPA und wann er gilt, können Sie hier nachlesen.

Einwilligung

Einwilligung bezieht sich hier auf die informierte freiwillige Zustimmung einer Person, sich an einem bestimmten Ereignis oder Prozess zu beteiligen.

Im Großen und Ganzen müssen die Nutzer in der Lage sein, ihre Einwilligung zu verweigern, zurückzuziehen oder (je nach dem regionalen Gesetz) zu erteilen. Die Einwilligung kann auf jede Art und Weise eingeholt werden, die eine direkte und überprüfbare bestätigende Handlung des Nutzers erfordert; dazu können Kontrollkästchen, Textfelder, Toggle-Schalter, das Versenden einer E-Mail zur Bestätigung usw. gehören.

Ermittlung des anzuwendenden Rechts

In der Regel gelten die Gesetze einer bestimmten Region, wenn:

  • Sie Ihre Geschäftstätigkeit dort ausüben; oder
  • Sie Verarbeitungsdienste oder Server mit Sitz in der Region verwenden; oder
  • wenn Ihr Dienst sich an Nutzer aus dieser Region richtet

Dies bedeutet effektiv, dass regionale Vorschriften für Sie und/oder Ihr Unternehmen gelten können, unabhängig davon, ob Sie in der Region ansässig sind oder nicht. Aus diesem Grund ist es immer ratsam, dass Sie bei Ihren Datenverarbeitungsaktivitäten die strengsten geltenden Vorschriften beachten. Sie können hier mehr darüber lesen, welche Gesetze für Sie gelten.


Regionale Anforderungen

US-Gesetz

In den USA gibt es kein einzelnes umfassendes nationales Regelwerk für den Datenschutz; es gibt jedoch verschiedene Gesetze auf bundesstaatlicher Ebene sowie Branchenrichtlinien und spezifische Bundesgesetze. Da die Aktivität von Websites/ Apps selten auf nur ein Bundesstaat beschränkt ist, ist es immer am besten, sich an die strengsten geltenden Vorschriften zu halten. In diesem Sinne wird der robusteste datenrechtliche Rahmen vom Bundesstaat Kalifornien vorgegeben. Das kalifornische Online-Datenschutzgesetz (California Online Privacy Protection Act, CalOPPA), das 2004 umgesetzt wurde, war das erste bundesstaatliche Gesetz, das Datenschutzerklärungen verbindlich vorschreibt. Es gilt für Personen oder Unternehmen, deren Website/App die personenbezogenen Daten von kalifornischen Einwohnern verarbeitet.

Zusätzlich zu den oben genannten grundsätzlich erforderlichen Mitteilungen verlangt CalOPPA auch, dass Sie

  • Ihre Datenschutzerklärung auf der Startseite Ihrer Website/ App auffällig veröffentlichen
  • Ihrer Datenschutzerklärung eine Erläuterung des Verfahrens beifügen, mit dem Nutzer Änderungen an personenbezogenen Daten beantragen können (falls ein solches Verfahren existiert)
  • Sie Ihrer Datenschutzerklärung eine Angabe zur Handhabung von „Do Not Track“-Anfragen beifügen.
  • Betroffene Nutzer beim Auftreten von Sicherheitsverstößen, die sich auf ihre Daten auswirken, benachrichtigen

Was die Einwilligung betrifft, so verlangt das US-Recht generell (auf Englisch), dass Sie den Nutzern eine klare Option zum Widerruf der Einwilligung (Opt-Out) bieten. In Fällen, in denen es um „sensible Daten“ geht (z.B. medizinische Daten, Kreditauskünfte, Studentendaten, personenbezogene Informationen von Minderjährigen unter 13 Jahren), gelten jedoch andere Regeln. In solchen Fällen muss es eine überprüfbare Opt-In-Aktion geben, wie z.B. das Ankreuzen eines Kästchens oder eine andere bestätigende Handlung.

Besondere Berücksichtigung von Minderjährigen

Wenn Ihr Unternehmen wissentlich personenbezogene Daten von Minderjährigen unter 13 Jahren erfasst, verwendet oder weitergibt, gelten für diese Datenverarbeitungs-aktivitäten besondere Bestimmungen.

Der Children’s Online Privacy Protection Act (COPPA) ist ein US-Bundesgesetz, das umgesetzt wurde, um die personenbezogenen Daten und Rechte von Minderjährigen unter 13 Jahren besser zu schützen. Gemäß diesem Gesetz müssen Sie, wenn Sie eine Website oder einen Online-Dienst betreiben, der sich an Kinder unter 13 Jahren richtet, oder wenn Sie tatsächlich wissen, dass Sie personenbezogene Daten von Minderjährigen unter 13 Jahren sammeln, die Eltern benachrichtigen und deren nachweisbare Einwilligung einholen, bevor Sie die Daten erfassen, verwenden oder weitergeben, und Sie müssen die erfassten Daten sicher aufbewahren. „Nachweisbar“ bedeutet hier, eine Methode zur Erlangung der Einwilligung zu verwenden, die von einem Kind nicht leicht vorgetäuscht werden kann und die nachweislich mit grosser Wahrscheinlichkeit von einem Erwachsenen gegeben wird (z.B. Überprüfung eines staatlich ausgestellten Ausweises anhand einer entsprechenden Datenbank).

Was ist mit den „personenbezogenen Daten“ von Minderjährigen gemeint?

„Personenbezogene Daten“ bezieht sich im folgenden Zusammenhang auf die Daten des betroffenen Minderjährigen:

  • Name oder Identifikationsdaten (z.B. Sozialversicherungsnummer)
  • Standortinformationen einschließlich physischer Adresse, Geolokalisierungsdaten oder IP-Adresse
  • Alle Kontaktinformationen einschließlich Telefonnummern und E-Mail-Adressen
  • Geräte-Identifikationsnummern
  • Medien, die das Bild oder die Stimme des Minderjährigen enthalten, einschließlich Fotos, Videos oder Audiodateien

Erfahren Sie mehr über die rechtlichen Vorschriften in Bezug auf Minderjährige (auf Englisch) und COPPA (auf Englisch).

EU-Recht

DSGVO

In der EU wurde die Allgemeine Datenschutzverordnung (DSGVO) eingeführt, um den Datenschutz für Menschen in der EU zu zentralisieren und ist seit Mai 2018 vollständig rechtskräftig. Im Wesentlichen legt sie fest, wie personenbezogene Daten rechtmäßig verarbeitet werden sollten (einschließlich der Art und Weise, wie sie erfasst, verwendet, geschützt oder wie generell mit ihnen umgegangen wird).

WO SIE GILT

Die DSGVO kann überall gelten, wo:

  • Die Betriebsstätte eines Unternehmens in der EU liegt (dies gilt unabhängig davon, ob die Datenverarbeitung in der EU erfolgt oder nicht);
  • Ein Unternehmen, das nicht in der EU ansässig ist, Waren oder Dienstleistungen an Personen in der EU anbietet (auch wenn das Angebot kostenlos ist). Dabei kann es sich um Regierungsbehörden, private/öffentliche Unternehmen, Einzelpersonen und gemeinnützige Organisationen handeln;
  • Ein Unternehmen nicht in der EU ansässig ist, aber das Verhalten von Personen in der EU überwacht, sofern diese Aktivitäten in der EU stattfinden.

Dieser Geltungsbereich erstreckt sich effektiv auf fast alle Unternehmen und bedeutet daher, dass die DSGVO auf Sie anwendbar sein kann, unabhängig davon, ob Ihr Unternehmen in der EU ansässig ist oder nicht.

Hinweis: Die Schutzmechanismen der DSGVO gelten auch für Nutzer außerhalb der EU, wenn der Verantwortliche seinen Sitz in der EU hat. Daher müssen Sie, wenn Sie ein in der EU ansässiger Verantwortlicher sind, grundsätzlich für ALLE Ihre Nutzer DSGVO-Vorschriften beachten.

WO SIE NICHT GILT

Die Geltungsbedingungen der DSGVO sind in materieller und territorialer Hinsicht festgelegt. Um zu bestimmen, ob eine bestimmte Datenverarbeitungsaktivität von ihrer Gültigkeit ausgenommen ist oder nicht, müssen wir beide Aspekte berücksichtigen.

Materieller Aspekt

Die DSGVO gilt für die Verarbeitung personenbezogener Daten. Sie erstreckt sich daher nicht auf Firmendaten, wie z.B. Firmenname und Adresse. Seien Sie hier jedoch vorsichtig, denn normalerweise arbeiten „natürliche Personen“ in einem Unternehmen, daher würden alle Daten, die sich auf sie beziehen, als „personenbezogen“ gelten, unabhängig davon, ob sie in einem Business-to-Customer (B2C) – oder Business-to-Business (B2B) – Kontext verarbeitet werden.

Darüber hinaus fallen personenbezogene Daten in verschiedenen Fällen möglicherweise nicht in den Gültigkeitsbereich der DSGVO, z.B. wenn sie von einer natürlichen Person für eine rein persönliche oder häusliche Tätigkeit verarbeitet werden. Mehr dazu können Sie hier in dem speziellen Leitfaden lesen.

Geografischer Aspekt

Zusätzlich und ungeachtet dessen, haben wir bereits erwähnt, unter welchen Bedingungen die DSGVO gilt. Daher muss Folgendes insgesamt gelten, damit eine Datenverarbeitungsaktivität aus geografischer Sicht nicht der DSGVO unterliegt:

  • Der Verantwortliche (oder Auftragsverarbeiter) ist nicht in der EU ansässig. Hinweis: Denken Sie immer daran, dass der Verantwortliche (oder Auftragsverarbeiter) auch eine EU-Zweigstelle eines Nicht-EU Unternehmens sein könnte: In diesem Fall würde die DSGVO uneingeschränkt gelten, selbst wenn die Zweigstelle keine juristische Person darstellt;
  • Die Datenverarbeitung bezieht sich nicht auf das Anbieten von Waren oder Dienstleistungen an betroffene Personen in der EU (auch wenn diese kostenlos sind), oder auf die Überwachung ihrer Aktivitäten innerhalb der EU;
  • Der Verantwortliche ist nicht an einem Ort außerhalb der EU ansässig, wo aufgrund des internationalen öffentlichen Rechts EU-Recht gilt.

Beispiele finden Sie im entsprechenden Leitfaden hier.

🎙️
Ask our experts live

View live demos and have your questions answered in real time by attending one of our free English webinars. They are all practical and designed to really help you with understanding and achieving compliance for your websites or apps.

Attend our free webinars
VORSCHRIFTEN DER DSGVO

Grundsätzlich verlangt die DSGVO, dass Sie

Eine gesetzliche Grundlage haben. Die DSGVO verlangt, dass Sie mindestens eine gesetzliche Grundlage für die Verarbeitung von Nutzerdaten haben. Sie umfasst 6 gesetzliche Grundlagen.

Verifizierbare Einwilligungen einholen. Nach der DSGVO ist die Einwilligung eine von mehreren rechtlichen/gesetzlichen Grundlagen (auf Englisch) für die Verarbeitung von Nutzerdaten. Als solche muss sie „freiwillig gegeben, gezielt, informiert und ausdrücklich“ sein. Dies bedeutet, dass der Mechanismus zur Einholung der Einwilligung eindeutig sein und eine klare „Opt-In“ Handlung beinhalten muss (die Regelung verbietet ausdrücklich das Vorankreuzen von Kästchen und ähnliche „Opt-Out“ Mechanismen).

Die DSGVO gibt Nutzern zudem ein spezifisches Recht, ihre Einwilligung zu widerrufen, und daher muss es ebenso einfach sein, eine Einwilligung zu widerrufen, wie es ist sie zu erteilen. Da die Einwilligung nach der DSGVO ein so wichtiges Thema ist, ist es von entscheidender Bedeutung, dass Sie diese dokumentieren und klare Verzeichnisse darüber führen.

Verzeichnisse der Einwilligungen sollten folgende Informationen auf jeden Fall enthalten:

  • Die Identität des Einwilligenden;
  • Wann sie eingewilligt haben;
  • Welche Angaben gemacht wurden (was ihnen gesagt wurde), als sie ihre Einwilligung gaben;
  • Methoden zur Einholung der Einwilligung (z.B. Newsletter-Formular, beim Checkout etc.);
  • Ob sie ihre Einwilligung widerrufen haben oder nicht

Einwilligung ist nicht die EINZIGE Grundlage dafür, dass ein Unternehmen Nutzerdaten verarbeiten darf; sie ist nur eine der „Rechtsgrundlagen“. Daher können Unternehmen andere rechtmäßige Grundlagen (im Rahmen der DSGVO) für die Datenverarbeitungstätigkeit anwenden. Dennoch wird es immer Datenverarbeitungsaktivitäten geben, bei denen Einwilligung die einzige oder beste Wahl ist.

Viele Datenschutzbehörden in der EU haben ihre Anforderungen verschärft und ihre Vorschriften für Cookies und Tracker an die Anforderungen der DSGVO angepasst. Insbesondere ist es vorgeschrieben, dass Sie Nachweise über die Präferenzen Ihrer Nutzer aufzeichnen und speichern.

Das Cookie- und Einwilligungs-Präferenz-Register ist jetzt in unserer Privacy Controls and Cookie Solution verfügbar. Klicken Sie hier, um mehr darüber zu erfahren, wie Sie das Cookie- und Einwilligungs-Präferenz-Register in Ihrer Privacy Controls and Cookie Solution aktivieren können.

Die Rechte der betroffenen Personen
Gemäß der DSGVO haben Nutzer gesetzliche Ansprüche bezüglich ihrer Daten. Als Verantwortlicher müssen Sie diese Rechte nicht nur respektieren, sondern auch die Nutzer darüber informieren. Zu diesen Rechten gehören:

  • Das Recht auf Information
    Neben den bereits oben aufgeführten allgemeinen Angaben verlangt die DSGVO außerdem, dass Ihre Datenschutzerklärungen prägnant, leicht verständlich und auf Ihrer gesamten Website/App leicht zugänglich sind.

  • Das Recht auf Einsicht
    Nutzer haben das Recht auf Zugriff auf ihre personenbezogenen Daten und Auskunft darüber, wie ihre personenbezogenen Daten verarbeitet werden.

  • Das Recht auf Richtigstellung
    Nutzer haben das Recht, ihre personenbezogenen Daten korrigieren zu lassen, wenn sie ungenau oder unvollständig sind.

  • Das Recht auf Einspruch
    Laut DSGVO haben Nutzer das Recht, gegen bestimmte Aktivitäten im Zusammenhang mit ihren personenbezogenen Daten Einspruch zu erheben.

  • Das Recht auf Datenübertragung
    Unter bestimmten Bedingungen haben Nutzer das Recht, ihre personenbezogenen Daten (in einem maschinenlesbaren Format) zu erhalten und für eigene Zwecke zu verwenden.

  • Das Recht auf Löschung
    Wenn Daten für ihren ursprünglichen Zweck nicht mehr relevant sind oder wenn Nutzer ihre Einwilligung zurückgezogen haben, haben diese das Recht zu verlangen, dass ihre Daten gelöscht und jegliche Datenweitergabe eingestellt wird.

  • Das Recht zur Einschränkung der Datenverarbeitung.
    Nutzer haben das Recht, die Datenverarbeitung ihrer personenbezogenen Daten in bestimmten Fällen einzuschränken.

  • Rechte bezüglich automatisierter Entscheidungsfindung und Profilerstellung
    Nutzer haben das Recht, nicht einer Entscheidung zu unterliegen, wenn diese auf einer automatisierten Datenverarbeitung oder einer automatisierten Profilerstellung beruht, wodurch eine rechtliche oder ähnlich bedeutende Auswirkung auf den Nutzer entsteht.

Erfüllung spezifischer Anforderungen bei einem Datentransfer außerhalb des EWR
Die DSGVO erlaubt den Transfer von Daten von Einwohnern der EU in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) nur dann, wenn die festgelegten Bedingungen eingehalten werden.

Umsetzung des Datenschutzes nach Konzeption und Standardvorgaben.
Im Rahmen der DSGVO sollte der Datenschutz von Anfang an in die Gestaltung und Entwicklung der Geschäftsprozesse und der Infrastruktur einbezogen werden.

Sicherheitsverstöße melden. Gemäss der DSGVO sind Sie verpflichtet, die Aufsichtsbehörde über Sicherheitsverstöße bezüglich Nutzerdaten innerhalb von 72 Stunden, nachdem Sie davon Kenntnis erlangt haben, zu informieren. In vielen Fällen sind Sie auch verpflichtet, betroffene Nutzer zu informieren.

Einen Datenschutzbeauftragten ernennen (bei Erfüllung bestimmter Bedingungen). Unter bestimmten Bedingungen kann es erforderlich sein, einen Datenschutzbeauftragten zu ernennen, der die Aufgabe hat, alle Datenverarbeitungsaktivitäten zu beaufsichtigen und die Einhaltung des geltenden Rechts zu gewährleisten. Fälle, die eine obligatorische Ernennung erfordern, umfassen Situationen, in denen eine umfangreiche, systematische Verarbeitung von Nutzerdaten stattfindet und in denen besondere Datenkategorien (d.h. sensible Daten) verarbeitet werden.

Verzeichnisse der Datenverarbeitungsaktivitäten pflegen. Wie in Artikel 30 vorgesehen, verlangt die DSGVO, dass Sie „vollständige und umfassende“ aktuelle Verzeichnisse (auf Englisch) über die jeweiligen Datenverarbeitungsaktivitäten führen und aufbewahren. Vollständige und umfassende Verzeichnisse über die Verarbeitung sind ausdrücklich erforderlich wenn Ihre Datenverarbeitungsaktivitäten nicht gelegentlich erfolgen, wenn sie zu einer Gefährdung der Rechte und Freiheiten anderer führen könnten, wenn sie den Umgang mit „besonderen Datenkategorien“ beinhalten oder wenn Ihre Organisation mehr als 250 Mitarbeiter hat. Damit sind effektiv fast alle Verantwortliche und Auftragsverarbeiter abgedeckt.
Doch selbst wenn Ihre Datenverarbeitungsaktivitäten irgendwie nicht in diese Bereiche fallen, machen es Ihre Informationspflichten gegenüber den Nutzern erforderlich, dass Sie grundlegende Verzeichnisse darüber führen, welche Daten Sie erfassen, welchen Zweck sie verfolgen, welche Parteien an der Verarbeitung beteiligt sind und wie lange die Daten aufbewahrt werden müssen – dies ist für alle obligatorisch. Lesen Sie in unserem DSGVO-Leitfaden mehr darüber, wie Sie gesetzeskonforme Verzeichnisse über Verantwortliche und Auftragsverarbeiter führen können.

Durchführen einer Datenschutz-Folgenabschätzung (DSFA) (wenn bestimmte Bedingungen erfüllt sind). In Fällen, in denen die Datenverarbeitungstätigkeit wahrscheinlich zu einem hohen Risiko für Nutzer führen wird, verlangt die DSGVO, dass eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt wird.

Mehr über die DSGVO können Sie hier lesen.

ePrivacy-Richtlinie (EU-Cookie-Richtlinie)

Da die Verwendung von Cookies sowohl die Verarbeitung von Nutzerdaten als auch die Installation von Dateien bedeutet, die für das Tracking verwendet werden könnten, ist dies ein wichtiger Aspekt im Zusammenhang mit den Datenschutzrechten der Nutzer.
Die ePrivacy-Richtlinie (oder EU-Cookie-Richtlinie (auf Englisch)) wurde umgesetzt, um dieses Problem zu lösen.

Nach dem Cookie-Gesetz müssen Unternehmen, die sich an Nutzer aus der EU wenden, die Nutzer über ihre Datenerfassungsaktivitäten informieren und ihnen die Möglichkeit geben, zu entscheiden, ob sie dies zulassen oder nicht. Das heißt, wenn Ihre Website/App (oder ein von Ihrer Website/App genutzter Drittanbieter-Dienst) Cookies verwendet, müssen Sie vor der Installation dieser Cookies zunächst eine gültige Einwilligung einholen, es sei denn, diese Cookies fallen in die Ausnahme-Kategorie der technisch notwendigen, nicht einwilligungspflichtigen Cookies.

💡 Weitere Informationen darüber, welche EU-Cookie-Einwilligungsregeln für die einzelnen Länder gelten, finden Sie hier in unserem Cheatsheet zur Cookie-Einwilligung (auf Englisch).

Cookie Hinweis / Cookie Banner

In der Praxis müssen Sie also beim ersten Besuch des Nutzers ein Banner einblenden, eine Cookie-Richtlinie implementieren, die alle erforderlichen Informationen enthält, und den Nutzern Information, sowie Mittel zur Verfügung stellen, mit denen sie die Datenverarbeitung verweigern (oder ihre Einwilligung zurückziehen) können. Vor einer informierten und ausdrücklichen Einwilligung können keine Cookies – mit Ausnahme von technisch notwendigen, nicht einwilligungspflichtigen Cookies – installiert werden.

Cookie-Einwilligung vs. „reguläre“ Einwilligung

Wie bereits erwähnt, ist die „Einwilligung“ eine von sechs Rechtsgrundlagen, die die DSGVO zulässt, und muss auf sehr spezifische Weise ausgedrückt und dokumentiert werden, um als gültig zu gelten.

Hier stellt sich die Frage: Müssen Sie die Einwilligung zur Verwendung von Cookies genauso behandeln wie die „reguläre“ Einwilligung zu bestimmten Datenverarbeitungsaktivitäten? z.B. das Versenden von Newslettern?

Wäre die Antwort „ja“, würde dies bedeuten, dass Sie auch bei der Platzierung von Cookies alle weitreichenden Anforderungen an die Gültigkeit der Einwilligungen erfüllen müssten, doch im Moment sind sich die meisten Experten einig, dass dies sowohl nicht durchführbar als auch nicht im Sinne des EU-Gesetzgebers wäre. Daher wird davon ausgegangen, dass die vereinfachten Einwilligungsanforderungen gemäß der ePrivacy-Richtlinie nach wie vor in erster Linie für die Platzierung von Cookies gelten, was weitgehend auf die Bestimmung des DSGVO-Artikels 95 zurückzuführen ist. Bitte seien Sie sich jedoch bewusst, dass dies ein umstrittenes Thema ist. Diese Frage wird erst dann wirklich gelöst werden, wenn die geplante ePrivacy-Verordnung, die sich derzeit noch in der Entwicklung befindet, verabschiedet wird.

Der Banner soll:

  • kurz den Zweck der Installation von Cookies erklären, die die Website verwendet;
  • so auffällig sein, dass er auffällt;
  • auf eine Cookie-Richtlinie verweisen oder Einzelheiten über den Zweck, die Verwendung und damit zusammenhängende Aktivitäten von Dritten zur Verfügung stellen;
  • klar angeben, welche Handlungen eine Einwilligung darstellen.

Die Cookie-Richtlinie soll:

  • den Zweck der Cookie-Installation detailliert beschreiben;
  • alle Drittparteien angeben, die Cookies installieren oder installieren könnten, mit einem Link zu den jeweiligen Datenschutzerklärungen, der Cookie-Richtlinie und etwaigen Einwilligungsformularen;
  • den Nutzer darüber informieren, wie er sein Recht auf Verweigerung/Widerruf der Einwilligung ausüben kann.

Cookies vor der Einwilligung blockieren. In Übereinstimmung mit den allgemeinen Grundsätzen der Datenschutzgesetzgebung, die eine Datenverarbeitung ohne Einwilligung verhindern, erlaubt das Cookie-Gesetz die Installation von Cookies nicht, bevor die Einwilligung des Nutzers eingeholt wurde. In der Praxis bedeutet dies, dass Sie möglicherweise eine Form der Skript-Blockierung vor der Einwilligung des Nutzers anwenden müssen.

Die Einwilligung zu Cookies kann durch verschiedene Handlungen erteilt werden. Je nach örtlicher Behörde können diese Handlungen das fortgesetzte Browsen, das Klicken auf Links oder das Blättern auf der Seite umfassen. In vielen Fällen kann das Klicken auf „ok“, das Schliessen des Banners oder die fortgesetzte Nutzung einer Website, auf der Cookies installiert sind, als aktive Einwilligung zur Platzierung von Cookies betrachtet werden. Dies setzt voraus, dass – die Nutzer vorher und klar über diese Auswirkung informiert wurden.

Ausnahmen hinsichtlich der Einwilligungspflicht:
Einige Cookies sind von der Einwilligungspflicht ausgenommen und unterliegen daher nicht der vorherigen Blockierung (Sie sind jedoch weiterhin verpflichtet, die Nutzer über Ihren Gebrauch von Cookies zu informieren – siehe untenstehendes Warnfeld). Die Ausnahmen sind wie folgt:

  • Technische Cookies sind für die Bereitstellung des Dienstes unbedingt notwendig. Dazu gehören Einstellungscookies, Sitzungscookies, Lastverteilung usw.
  • Statistische Cookies, die direkt von Ihnen (nicht von Dritten) verwaltet werden, vorausgesetzt, dass die Daten nicht für eine Profilerstellung verwendet werden*
  • Anonymisierte statistische Drittanbieter-Cookies (z. B. Google Analytics)*

*Diese Ausnahmeregelung gilt möglicherweise nicht für alle Regionen und unterliegt daher besonderen lokalen Verordnungen.

Achtung

Die Ausnahme hinsichtlich der Einwilligungspflicht gilt eindeutig nur für technische Nicht-Tracking-Cookies, die für das Funktionieren von Diensten, die vom Nutzer ausdrücklich gewünscht wurden, unbedingt erforderlich sind.
Ein Beispiel aus der Praxis wäre eine E-Commerce-Website, die es den Nutzern ermöglicht, Artikel in ihrem Einkaufswagen zu „halten“, während sie die Website nutzen oder für die Dauer einer Sitzung. In diesem Szenario sind die technischen Cookies sowohl für das Funktionieren des Einkaufsdienstes notwendig als auch vom Nutzer ausdrücklich gewünscht, wenn er angibt, dass er den Artikel in den Warenkorb legen möchte. Beachten Sie jedoch, dass diese sitzungsbasierten technischen Cookies keine Tracking-Cookies sind.

Andere Beispiele für diese technischen Cookies wären nutzerorientierte, sitzungsbasierte Cookies, die zur Erkennung von Authentifizierungsmissbräuchen verwendet werden, Sitzungs-Cookies mit Lastverteilung und Multimedia-Player-Sitzungscookies, die sich auf die Bereitstellung der vom Nutzer angeforderten Dienste beziehen und für diese notwendig sind.

Bedeutet dies also, dass ich in solchen Fällen keinen Cookie-Banner benötige?

Erstens ist es wichtig zu wissen, dass Sie, selbst wenn diese Ausnahme von der Einwilligungspflicht gilt, den Nutzer mittels einer Cookie-Richtlinie über Ihre Verwendung von Cookies informieren müssen. Das Banner ist in diesem speziellen Fall nicht unbedingt erforderlich, wenn die Cookie-Richtlinie leicht zugänglich und von jeder Seite der Website aus sichtbar ist.

In Zukunft wird die ePrivacy-Richtlinie durch die ePrivacy-Verordnung (auf Englisch) ersetzt werden und als solche mit der DSGVO zusammenarbeiten. Es wird erwartet, dass die kommende Verordnung weiterhin die gleichen Werte aufrecht erhalten wird wie die Richtlinie.

Mehr über das Cookie-Gesetz können Sie hier lesen.

DSG – Das Schweizer Bundesgesetz über den Datenschutz

Das DSG, das ursprünglich 1992 eingeführt und 2019 teilweise aktualisiert wurde, regelt den Datenschutz in der Schweiz. Die letzte Überarbeitung, die am 25. September 2020 verabschiedet wurde und ab September 2023 in Kraft tritt, integriert neuere Bestimmungen, die der DSGVO ähneln, behält aber ihre eigenen Schweizer Grundsätze bei.

Wichtigste Änderungen am DSG

  1. Datenschutz durch Technikgestaltung („Privacy by Design“): Unternehmen sind nun verpflichtet, Verfahren zu entwickeln, bei denen die Compliance von Daten im Mittelpunkt steht.
  2. Sensible Daten: Die Definition wurde erweitert und umfasst nun auch biometrische, genetische und andere Informationstypen.
  3. Folgenabschätzungen: Erforderlich, wenn ein erhebliches Risiko für die Rechte oder die Privatsphäre der Betroffener besteht.
  4. Erweiterte Offenlegung: Unternehmen müssen die vorherige Einwilligung einholen, bevor sie sensible personenbezogene Daten verarbeiten oder ein risikoreiches Profiling durchführen.
  5. Verzeichnis von Datenverarbeitungstätigkeiten: Unternehmen müssen dies beibehalten, obwohl einige KMUs davon ausgenommen sein könnten.
  6. Meldung von Datenschutzverletzungen: Der EDÖB muss im Falle einer Verletzung der Datensicherheit umgehend informiert werden.
  7. Profiling: Das Gesetz erkennt nun das Rechtskonzept der automatisierten Verarbeitung personenbezogener Daten an.
  8. Verarbeitungsbasis: Die Verarbeitung personenbezogener Daten wird im Allgemeinen als rechtmäßig angesehen. Unter bestimmten Umständen sind besondere Rechtsgrundlagen erforderlich.
  9. Mechanismus der Einwilligung: Die Einwilligung der Betroffener ist nur in bestimmten Fällen erforderlich.
  10. Strafe: Richtet sich in erster Linie an Führungskräfte in Unternehmen.

DSG Vs. DSGVO Hauptunterschiede

Es gibt zwar zahlreiche Nuancen zwischen den beiden Gesetzen, aber ein paar bemerkenswerte Unterschiede sind dabei:

  • Anwendbarkeit: Das DSG gilt sowohl für Organisationen innerhalb als auch außerhalb der Schweiz, die Daten von in der Schweiz ansässigen Personen verarbeiten. Im Gegensatz dazu betrifft die DSGVO Organisationen mit Sitz in der EU oder solche, die Daten von in der EU ansässigen Personen verarbeiten.
  • Kategorien sensibler Daten: Die Definition des DSG ist weiter gefasst als die der DSGVO.
  • Vereinbarung: Im Rahmen des DSG können Verantwortlicher und Datenverarbeiter eine Vereinbarung treffen, während die DSGVO eine Datenverarbeitungsvereinbarung vorschreibt.
  • Offenlegungsverpflichtungen: Beide Gesetze enthalten Anforderungen an die Offenlegung von Daten, aber die DSGVO schreibt ein paar zusätzliche Anforderungen vor.
  • Datenübermittlung ins Ausland: DSG und DSGVO haben unterschiedliche Bestimmungen und Ausnahmen.
  • Datenschutzbeauftragter: Das DSG macht diese Rolle optional, während die DSGVO sie für bestimmte Einrichtungen vorschreibt.
  • Benachrichtigungen über Datenschutzverletzungen: Das DSG legt den Schwerpunkt auf die Meldung von Verstößen mit hohem Risiko, während die DSGVO einen strengeren Zeitplan und ein breiteres Meldeverfahren vorsieht.
  • Strafen: Das DSG sieht Geldbußen von bis zu 250.000 CHF vor, während die DSGVO bis zu 20 Millionen Euro oder einen Bruchteil des weltweiten Umsatzes erreichen kann.

Das aktualisierte DSG wirkt sich aus:

  • Privatpersonen, die personenbezogene Daten verarbeiten.
  • Bundesbehörden. Sie betrifft nicht Personen, die Daten für rein persönliche Zwecke verarbeiten.

Zusammenfassend lässt sich sagen, dass Unternehmen, insbesondere diejenigen, die in oder mit der Schweiz tätig sind, sich mit den neuen Bestimmungen des DSG vertraut machen müssen. Plattformen wie iubenda können dabei helfen, die Einhaltung der Vorschriften zu gewährleisten, einschließlich einer soliden Datenschutz- und Cookie-Richtlinie. Da sich die internationalen Datenschutzbestimmungen ständig weiterentwickeln, ist es für Unternehmen weltweit von entscheidender Bedeutung, auf dem neuesten Stand zu bleiben und die Vorschriften einzuhalten.

🚀 Sehen Sie hier, wie Sie mit dem DSG übereinstimmen →


Rechtliche Anforderungen nach Sachverhalt

E-Commerce

Diese Anforderungen werden in der Regel über ein gültiges, aktuelles AGB-Dokument (auch Gechäftsbedingungen, Nutzungsbedingungen oder EULA – Endnutzer-Lizenzvertrag) geregelt.

Wenn Sie eine E-Commerce-Website oder -App betreiben, unterliegen Sie zusätzlich zu den oben genannten Angaben und Anforderungen (und vorbehaltlich des für sie relevanten Rechtssystems) auch den geltenden Handelsgesetzen und Branchenregeln.

Bei B2B-Handel

Generell unterliegen die an B2B-Handelstransaktionen beteiligten Personen den jeweils geltenden Vertrags-, Branchen- und nationalen Regelungen. Die Teilnahme am B2B-Handel erfordert in solchen Fällen jedoch häufig die Verarbeitung personenbezogener Daten (sei es von Mitarbeitern oder anderen Personen), und wenn die Verarbeitung in ihren Geltungsbereich fällt, gilt die DSGVO und hat Vorrang.

Bei B2C-Handel

Nach den Verbraucherschutzgesetzen der meisten Länder müssen Sie beim Verkauf an Verbraucher zusätzlich zu den standardmäßig vorgeschriebenen Datenschutzinformationen die Kunden über Folgendes informieren:

  • Details zur Rückgabe/Erstattung;
  • Informationen zur Garantie (falls zutreffend);
  • Sicherheitsinformationen, einschließlich Anweisungen für die ordnungsgemäße Nutzung (falls zutreffend);
  • Lieferbedingungen des Produktes/der Dienstleistung;
  • Identifizierende Informationen wie z. B. eine offizielle Adresse und der Firmenname;
  • Verbraucherrechte (z.B. Widerrufsrechte), soweit vorhanden;
  • Kontaktdaten des Verkäufers (z.B. E-Mail-Adresse).

US-Gesetze

In den USA gibt es kein einheitliches nationales Gesetz in Bezug auf Rückgaben/Rückerstattungen für online getätigte Einkäufe, da dies in den meisten Fällen auf bundesstaatlicher Ebene umgesetzt wird. Wenn jedoch vor dem Kauf keine Rückerstattungs- oder Rücksendeankündigung für die Verbraucher sichtbar gemacht wurde, werden ihnen automatisch erweiterte Rückgabe-/Rückerstattungsrechte gewährt. In Fällen, in denen der gekaufte Artikel defekt ist, kann anstelle einer schriftlichen Garantie eine implizierte Garantie (auf Englisch) gelten. Schriftliche Garantien sollten zumindest den Industriestandards der Fairness entsprechen.

Während die Informationspflichten im E-Commerce nach wie vor weitgehend auf bundesstaatlicher Ebene in den USA durchsetzbar sind, ist es in vielen Fällen Standard, diese Informationen in die Allgemeinen Geschäftsbedingungen aufzunehmen; Angaben zu Rücksendungen und Rückerstattungen sind oft auch auf speziellen Website-/ App-Inhaltsbereichen enthalten, die von der Produktbeschreibungsseite leicht zugänglich sind.

EU-Recht

Das EU-Verbraucherrecht gilt für Verträge oder andere juristische Beziehungen zwischen Verbrauchern (auf der einen Seite) und Gewerbetreibenden, Unternehmen, sowie Gesellschaften auf der anderen Seite (B2C). Es gilt nicht für B2B-Beziehungen (z.B. wenn ein Supermarkt eine Bestellung bei seinem Obstlieferanten aufgibt) oder C2C-Beziehungen (z.B. wenn ich mein altes Fahrrad über eBay verkaufe).

Unter anderem haben Verbraucher nach EU-Verbraucherrecht ein bedingungsloses Widerrufsrecht („Bedenkzeit“) von 14 Tagen. Dies bedeutet, dass Verbraucher innerhalb von 14 Tagen nach Erhalt der Ware (in den Fällen, in denen es sich um Waren handelt) den Fernabsatzvertrag aus beliebigen oder keinen Gründen widerrufen oder vom Vertrag zurücktreten können (bei Verkäufen, die online, per Telefon oder im Versandhandel getätigt werden).
Bemerkenswert ist, dass 14 Tage das gesetzliche Minimum sind; in bestimmten Ländern können nationale Vorschriften diese Frist verlängern, oder einzelne Anbieter sie vertraglich verlängern.

Dieses Rücktrittsrecht gilt nicht in allen Situationen.

Einige übliche Ausnahmen sind:

  • Veranstaltungs- und Reisetickets sowie Mietwagenreservierungen, generell jedoch alle Verträge im Zusammenhang mit Freizeitaktivitäten, wenn sie ein bestimmtes Aufführungsdatum oder einen bestimmten Zeitraum vorsehen;
  • Versiegelte Medienartikel wie z.B. CDs, die vom Empfänger entsiegelt wurden;
  • Digitaler Content, sobald er vom Konsumenten heruntergeladen wurde;
  • Maßanfertigung oder deutlich personalisierte Artikel (z.B. ein maßgeschneidertes Kleid);
  • Unter einigen zusätzlichen Bedingungen: Jeder Vertrag über die Bereitstellung einer Dienstleistung usw.

Verbraucher, die in der EU ansässig sind, sind auch durch eine gesetzliche Standardgarantie von 2 Jahren auf Produkte geschützt, die ohne zusätzliche Kosten gekauft wurden. Auch hier gilt: 2 Jahre ist das gesetzliche Minimum. In bestimmten Ländern kann dieser Zeitraum durch nationale Regelungen verlängert werden, und er kann auch vertraglich verlängert werden. Diese Regeln (auf Englisch) gelten grundsätzlich für jedes Unternehmen, das an EU-Einwohner verkauft, können aber bei internationalen Verkäufern von Fall zu Fall unterschiedlich sein. Es ist allerdings erwähnenswert, dass sich in jüngsten Fällen US-Gerichte dafür entschieden haben, das geltende EU-Recht aufrechtzuerhalten.

Was ist also der Unterschied zwischen der Rückgabe eines Produkts auf Grund eines Widerrufs und der Rückgabe auf Grund einer Garantie?

WiderrufsrechtRechtliche Garantie
Gültig für 14 Tage nach Erhalt des Produkts oder Unterzeichnung des VertragsGültig für 24 Monate nach Erhalt des Produkts
Sie müssen keinen Grund haben, von diesem Recht Gebrauch zu machen – Sie können einfach Ihre Meinung ändernSie können ein Produkt nur aus Garantiegründen zurückgeben, weil es fehlerhaft oder anderweitig ungeeignet für die Zwecke ist, für die es verkauft und gekauft wurde
Möglicherweise müssen Sie die Kosten für die Rücksendung des Produkts tragen (aber dies muss angegeben werden)Es kann sein, dass Sie keine Kosten tragen müssen (es ist „der Fehler des Verkäufers“, wenn das Produkt fehlerhaft ist)
Gültig, mit einigen Ausnahmen (von denen einige oben erwähnt sind)Ist immer gültig für Produkte, niemals für Dienstleistungen

Das EU-Recht schreibt auch zwingend vor, dass Verkäufer die Verbraucher per Direktlink (auf Englisch) über die Europäische Plattform zur Online-Konfliktbeilegung (ODR) (auf Englisch) informieren müssen. Die ODR, oder „Online-Streitbeilegung“, ist ein Verfahren, das es Verbrauchern mit Sitz in der EU ermöglicht, auf einfache Weise Beschwerden (in Bezug auf Online-Verkäufe) gegen Unternehmen einzureichen, die ebenfalls in der EU ansässig sind. Dies bedeutet, dass ODR-Anforderungen auch für US-Unternehmen gelten können, die auf irgendeine Art und Weise in der EU physisch präsent sind.

Hinweis: Unternehmen und Verbraucher aus dem Vereinigten Königreich können die ODR Plattform seit dem Brexit nicht mehr in Anspruch nehmen.

Generell unterliegen Websites im Privatbesitz (oder ähnlich private Profile in sozialen Netzwerken, Blogs usw.), die lediglich einen privaten und persönlichen Zweck verfolgen, keinen zusätzlichen Vorschriften. Verschiedene EU- und nationale Gesetze verlangen jedoch, dass kommerzielle Online-Betreiber bestimmte Informationen freigeben.

Um als „kommerziell“ eingestuft zu werden, ist es nicht notwendig, dass Sie tatsächlich etwas „verkaufen“ – eine persönliche Website kann leicht als kommerziell eingestuft werden, wenn sie z.B. erheblichen Traffic generiert und dadurch relevante Werbeeinnahmen (z.B. durch Influencer) schafft. Wenn Sie jedoch Produkte oder Dienstleistungen „verkaufen“, steigen die Informationspflichten.

Wenn Sie direkt an Verbraucher verkaufen (B2C), werden Sie mit zusätzlichen Informationspflichten konfrontiert, einschließlich, aber nicht beschränkt auf die oben aufgeführten Pflichten. Außerdem müssen Sie einen Link zur EU-Plattform für die Online-Beilegung von Verbraucherangelegenheiten einrichten, genaue Lieferzeiten auflisten und Angaben zu Preisen und anfallenden Steuern gemäß der Richtlinie 83/2011/EU (auf Englisch) machen.

E-Mails und Newsletter

Eine E-Mail-Adresse gilt als personenbezogene Daten. Deshalb tritt bei jedem Umgang mit E-Mail-Adressen das Datenschutzgesetz in Kraft. Wie wir bereits erwähnt haben, sind Sie nach den meisten Gesetzgebungen verpflichtet, umfassend über die Verarbeitungsaktivitäten, deren Zweck und die Rechte der Nutzer zu informieren.

Generell gelten solche Gesetze für alle Dienstleistungen, die sich an Einwohner der Region richten, was effektiv bedeutet, dass sie auch für Ihr Unternehmen gelten können, unabhängig davon, ob es sich in der Region befindet oder nicht. Dies ist umso relevanter, wenn Sie eine gekaufte E-Mail-Liste verwenden, da Sie in einem solchen Fall möglicherweise das Wohnsitzland des Empfängers nicht kennen. Aus diesem Grund ist es immer ratsam, dass Sie Ihre Datenverarbeitungsaktivitäten mit den strengsten anwendbaren Vorschriften handhaben.

US-Gesetze

Gemäß dem CAN-SPAM Act (auf Englisch) der FTC benötigen Sie keine Einwilligung, bevor Sie Nutzer aus den USA in Ihre Mailing-Liste aufnehmen oder ihnen kommerzielle Nachrichten schicken. Es ist jedoch zwingend erforderlich, dass Sie den Nutzern eine klare Möglichkeit bieten, sich von weiteren Nachrichten abzumelden.

EU-Recht

Nach EU-Recht (nämlich der DSGVO) ist es zwingend erforderlich, dass Sie die informierte Einwilligung des Nutzers einholen, bevor er/sie den Dienst abonniert. Nach den EU-Rechtsvorschriften kann die Einholung der Einwilligung als ein zweiteiliger Prozess betrachtet werden, der das Informieren des Nutzers und die Einholung einer nachprüfbaren Einwilligung durch eine bestätigende Handlung umfasst.

Hier können Sie mehr über die rechtlichen Regelungen bezüglich Newslettern und E-Mail-Listen lesen.

Minderjährige

US-Gesetze

Der Children’s Online Privacy Protection Act (COPPA) ist ein Bundesgesetz der Vereinigten Staaten, das eingeführt wurde, um die personenbezogenen Daten und Rechte von Minderjährigen unter 13 Jahren besser zu schützen. Gemäß COPPA müssen Betreiber von Websites oder Online-Diensten, die sich entweder an Minderjährige unter 13 Jahren richten oder von denen tatsächlich bekannt ist, dass sie personenbezogene Daten von Minderjährigen unter 13 Jahren erfassen, die Eltern benachrichtigen. Sie müssen ihre nachprüfbare Einwilligung einholen, bevor sie solche personenbezogene Daten sammeln, verwenden oder weitergeben, und sie müssen die von den Minderjährigen erfassten Daten sicher aufbewahren.

Eine zentrale Bedingung dieses Gesetzes ist eine COPPA-konforme Datenschutzerklärung (auf Englisch). Sie können in den folgenden Abschnitten mehr über Compliance lesen und hier mehr über COPPA erfahren (auf Englisch).

EU-Recht

Nach den DSGVO-Regelungen der EU ist die Einwilligung eine der rechtlichen Grundlagen für die Verarbeitung der Daten von Minderjährigen. Wenn Sie diese Grundlage für die Verarbeitung der Daten von Minderjährigen unter 13 Jahren verwenden, müssen Sie die nachprüfbare Einwilligung eines Elternteils oder Vormunds einholen. Dies gilt nicht, wenn es sich bei dem von Ihnen angebotenen Dienst um einen Vorsorge- oder Beratungsdienst handelt.

Hier erfahren Sie mehr über die gesetzlichen Vorschriften in Bezug auf Kinder (auf Englisch).


Weitere rechtliche Gesichtspunkte

Geschäftsbedingungen festlegen und Ihr Unternehmen schützen

Obwohl nicht immer gesetzlich vorgeschrieben, ist ein AGB-Dokument (auch bekannt als Nutzungsbedingungen, Endbenutzer-Lizenzvertrag oder Vereinbarung über Nutzungsbedingungen) aus Gründen der praktischen Anwendbarkeit und Sicherheit oft notwendig. Es ermöglicht Ihnen, die vertragliche Beziehung zwischen Ihnen und Ihren Nutzern zu regeln, und ist daher u.a. für die Festlegung der Nutzungsbedingungen und den Schutz vor möglichen Haftungsansprüchen unerlässlich.

Das AGB-Dokument ist im Wesentlichen eine rechtsverbindliche Vereinbarung; daher ist es nicht nur wichtig, eine solche Vereinbarung zu haben, sondern es muss auch sichergestellt werden, dass sie den rechtlichen Anforderungen entspricht. Generell werden Standardvertragsbedingungen gelten, und nach den meisten Gesetzen müssen die von den Händlern verwendeten Verträge fair sein. Das bedeutet, dass das Dokument auf dem neuesten Stand aller geltenden Vorschriften, präzise, sichtbar und leicht verständlich sein muss, so dass Nutzer es sowohl leicht einsehen als auch ihre Einwilligung geben können. Die „Einwilligungshandlung“ sollte auf eindeutige Weise erfolgen (z.B. durch Anklicken eines Kontrollkästchens mit einem sichtbaren Link zum Dokument, bevor ein Konto eingerichtet oder die Dienstleistung genutzt werden kann).

Während der vollständige Inhalt je nach den Eigenschaften Ihres Unternehmens variieren kann, sollten die Allgemeinen Geschäftsbedingungen mindestens Folgendes enthalten:

  • Identität des Unternehmens
  • Beschreibung der Dienstleistung, die Ihre Website/Anwendung anbietet
  • Informationen über Risikoverteilung, Haftung und Haftungsausschlüsse
  • Informationen zur Garantie (falls zutreffend)
  • Die Existenz eines Widerrufsrechts (falls zutreffend)
  • Sicherheitsinformationen, einschließlich Anweisungen für die ordnungsgemäße Anwendung (falls zutreffend)
  • Lieferbedingungen für das Produkt/die Dienstleistung
  • Nutzungsrechte (falls zutreffend)
  • Nutzungsbedingungen/Einkaufsbedingungen (z. B. Altersanforderungen, standortbezogene Einschränkungen)
  • Rückerstattungsregelung, Umtausch, Kündigung des Dienstes und ähnliche Angaben
  • Angaben zu den Zahlungsmethoden
  • Alle weitere geltenden Bedingungen

Hier erfahren Sie mehr über die Allgemeinen Geschäftsbedingungen und wie Sie diese erstellen können.


Anforderungen von Drittanbietern

Auch Drittanbieter-Apps und -Dienste müssen dem Gesetz folgen. Als Unternehmen können auch sie erheblichen Rufschädigungen, Geldstrafen und anderen Strafen ausgesetzt sein, wenn sie ihren gesetzlichen Verpflichtungen nicht nachkommen. Aus diesem Grund ist es oft zwingend erforderlich, dass alle Partner und Kunden, die ihre Dienste in Anspruch nehmen, auch die gesetzlichen Vorgaben erfüllen. Generell verlangen sie, dass Unternehmen, die ihre Dienste in Anspruch nehmen, über eine konforme Datenschutzerklärung verfügen (und über eine Cookie-Richtlinie, wenn Cookies verwendet werden), die relevanten Details über die Geschäftsbeziehung und die erbrachten Dienstleistungen angeben.

Auch Drittanbieter-Apps und -Dienste müssen dem Gesetz folgen. Aus diesem Grund ist es oft zwingend erforderlich, dass alle Partner und Kunden, die ihre Dienste nutzen, die gesetzlichen Vorgaben erfüllen.

Ein Beispiel ist Google. Um auf bestimmte Dienste und Tools (z. B. AdSense, Google Analytics, Google Play Store) zugreifen zu können, benötigt Google, dass Sie über umfassende und aktuelle Datenschutzerklärungen verfügen. Hier ist ein Auszug aus den AGBs von Google Analytics (aus dem Englischen übersetzt):

„Sie sind verpflichtet, eine Datenschutzerklärung zu veröffentlichen, und diese Datenschutzerklärung muss einen Hinweis auf Ihre Verwendung von Cookies enthalten, die zur Erfassung von Datenverkehrswerten verwendet werden“, sowie „Sie dürfen keine Datenschutzfunktionen (z. B. ein Opt-Out), die Teil des Dienstes sind, umgehen“.

Ein weiteres Beispiel ist das von Amazon (auf Englisch). Hier ist ein Auszug aus dem, was hier gesagt wurde:

Wir haben die Verpflichtung zur Angabe unserer Affiliate-Beziehung auf alle Mittel ausgedehnt, mit denen Sie die Inhalte der Partnern nutzen können.

Gelegentlich können sich die Anforderungen Dritter aufgrund interner oder regionaler Vorschriften ändern. Es ist daher notwendig, sicherzustellen, dass Ihre Dokumente den neuesten Anforderungen entsprechen, um mögliche Strafen oder Unterbrechungen des Dienstes zu vermeiden.

Weitere Informationen über die Anforderungen von Google finden Sie hier (auf Englisch), und die von Amazon hier.


Folgen bei Verstößen gegen die Vorschriften

Zu den rechtlichen Folgen der Verstöße gehören

Geldstrafen

Verstöße gegen den CalOPPA oder COPPA können dazu führen, dass Regierungsbeamte Klage erheben oder zivilrechtliche Strafen gegen Sie fordern. In einem Beispiel (auf Englisch) wurden die Besitzer der Imbee-Website mit einer Geldstrafe von 130.000 US-Dollar belegt, weil sie gegen die Bestimmungen des COPPA verstoßen hatten, indem sie es Minderjährigen unter 13 Jahren erlaubten, sich ohne elterliche Einwilligung zu registrieren.

Ähnliche Geldstrafen können nach anderen Landes- und Bundesgesetzen gelten. Bei Verstößen gegen die DSGVO-Regelungen können Geldstrafen bis zu EUR 20 Millionen oder 4% des weltweiten Jahresumsatzes verhängt werden (je nachdem, welcher Betrag höher ist).

Disziplinarmaßnahmen / Strafen

Es können auch Disziplinarmaßnahmen gegen Sie ergriffen werden, wenn Sie gegen die Vorschriften verstoßen. Diese Maßnahmen können unter anderem offizielle Verweise (bei erstmaligen Verstößen) und regelmäßige Datenschutzaudits umfassen, sind aber nicht darauf beschränkt. Die DSGVO gibt Nutzern das ausdrückliche Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen, wenn sie der Meinung sind, dass eine Verarbeitung ihrer personenbezogenen Daten unter Verletzung der Vorschriften erfolgt ist.

Wenn der Behörde zum Beispiel ein Bericht über einen Fall von Gesetzesverstößen vorgelegt wird, kann sie sich dafür entscheiden, Ihre Datenverarbeitungsaktivitäten einer Prüfung zu unterziehen. Wenn festgestellt wird, dass eine bestimmte Verarbeitungsaktivität unrechtmäßig durchgeführt wurde, wird nicht nur eine Geldstrafe verhängt, sondern es kann Ihnen auch untersagt werden, die betroffene Person, die Gegenstand der Untersuchung ist, weiter zu bearbeiten. Das bedeutet, dass falls der Verstoß im Zusammenhang mit der Erfassung von E-Mail-Adressen erfolgte, Sie Gefahr laufen, dass Ihnen die Nutzung der gesamten zugehörigen E-Mail-Liste untersagt wird.

Verstöße gegen das Verbraucher- oder Wettbewerbsrecht (unlauterer Wettbewerb) können auch Geldstrafen durch die zuständigen (meist nationalen) Behörden nach sich ziehen.

Haftpflichtschäden

Es ist ein allgemeiner Grundsatz des Zivilrechts, dass Sie jeden ungerechten Schaden ersetzen müssen, den Sie jemand anderem zugefügt haben, insbesondere durch die Verletzung einer gesetzlichen Vorschrift. Unter anderem gewähren sowohl die DGSVO als auch das CalOPPA einzelnen Nutzern das Recht, Ersatz für Schäden zu verlangen, die aus einer Verletzung ihrer Rechte resultieren. Dieselbe Argumentation würde auch für jedes andere geltende Gesetz zutreffen, wie z.B. die Verbraucherschutzbestimmungen der EU.

Denken Sie daran, dass die Schadenersatzpflicht in allen Beziehungen gilt: Auch ein Geschäftspartner kann Anspruch auf Schadenersatz haben, wenn Sie gegen eine gesetzliche Vorschrift verstoßen haben. Beispielsweise kann der Verkauf von gefälschten Waren über eine Partnerplattform wie Amazon dazu führen, dass das Unternehmen neben den Kunden, die die gefälschten Waren gekauft haben, auch rechtliche Schritte gegen Sie einleitet.

Verlust von Dienstleistungen und vertragliche Strafen

Einige Drittanbieterdienste (einschließlich Marktplätze und App-Stores) können die Einhaltung bestimmter Vorschriften zu einem Teil ihrer Nutzungsbedingungen machen. Eine Verletzung ihrer Bedingungen kann zur Kündigung des Dienstes oder möglicherweise zu dauerhaften Verboten führen.

Hier ist ein Beispiel aus den AGBs des Amazon Web Services Partnernetzwerks bezüglich der Einwilligung:

Im Hinblick auf jegliche Daten Dritter, die Sie AWS zur Verfügung stellen, versichern und gewährleisten Sie, dass Sie alle notwendigen Zustimmungen besitzen, (a) um die Daten Dritter mit AWS und seinen verbundenen Unternehmen zu teilen; und (b), das AWS und seine verbundenen Unternehmen die Daten Dritter nutzen kann, um seine Subjekte zu kontaktieren, um die Waren und Services des Programms zu vermarkten.

Strafrecht

Schließlich, aber vielleicht am wichtigsten, ist es unter bestimmten Bedingungen möglich, strafrechtliche Konsequenzen zu tragen. Wenn Sie z.B. vorsätzlich Datenschutzvorschriften für kommerzielle Zwecke verletzen oder missachten (z.B. wenn Sie die personenbezogenen Daten von Personen verkaufen, ohne sie davon in Kenntnis zu setzen), können schwerwiegende Folgen drohen. Das Strafrecht ist jedoch weitgehend eine nationale Angelegenheit: Voraussetzungen und Konsequenzen müssen von Fall zu Fall geprüft werden.


Wie iubenda Ihnen mit Compliance helfen kann

Wir glauben an die Bedeutung eines umfassenden Ansatzes zur Einhaltung des Datenrechts. Aus diesem Grund überwachen wir die wichtigsten Gesetzgebungen und entwickeln Lösungen mit Blick auf die strengsten Vorschriften – und bieten Ihnen bei Bedarf volle Anpassungsmöglichkeiten. Auf diese Weise können Sie sicherstellen, dass Sie Ihren gesetzlichen Verpflichtungen nachkommen (unabhängig davon, wo Ihre Kunden ansässig sind), das Risiko von Rechtsstreitigkeiten verringern und Ihre Kunden schützen, wodurch Sie Vertrauen und Glaubwürdigkeit aufbauen.

Wir behalten die wichtigsten Gesetzgebungen im Auge und entwickeln Lösungskonzepte mit Blick auf die strengsten Vorschriften

Hier ist alles, was Sie brauchen, um mit einer vollständigen Compliance zu beginnen:

Informieren der Nutzer über personenbezogene Daten mit einer Datenschutzerklärung.

Wie oben erwähnt, müssen Nutzer darüber informiert werden, wie Sie ihre personenbezogenen Daten verwenden. Daher sind Datenschutzerklärungen fast überall auf der Welt gesetzlich vorgeschrieben. Dieses Rechtsdokument sollte darlegen, auf welche Weise Ihre Website oder App Nutzerdaten erfasst, verarbeitet, speichert, teilt und schützt, sowie die Zwecke dafür und die entsprechenden Rechte der Nutzer.

Unser Generator für Datenschutzerklärungen ist erschwinglich, in mehreren Sprachen erhältlich, von Anwälten erstellt, anpassbar und selbst aktualisierend (da er von unseren Anwälten fernüberwacht wird). Er ermöglicht es Ihnen ganz einfach, eine schöne, präzise Datenschutzerklärung zu erstellen und sie nahtlos in Ihre Website oder App zu integrieren. Sie können einfach eine von mehreren vorgefertigten Klauseln mit einem Klick auf einen Button hinzufügen oder ganz einfach Ihre eigenen benutzerdefinierten Klauseln schreiben.

Die Datenschutzerklärung bietet auch die Möglichkeit, eine Cookie-Richtlinie einzufügen (es ist notwendig, diese einzufügen, wenn Ihre Website oder App Cookies verwendet). Die Richtlinien werden an Ihre Bedürfnisse angepasst und von einem Rechtsteam ferngewartet.

 

Klicken Sie hier für weitere Informationen über die Erstellung Ihrer Datenschutzerklärung

Da die Verwendung von Cookies sowohl die Verarbeitung von Nutzerdaten als auch die Installation von Dateien zum Tracking bedeutet, ist dies ein wesentlicher Aspekt, wenn es um die Datenschutzrechte von Nutzern geht. Aus diesem Grund müssen Sie, wenn Sie in der EU tätig sind oder potenziell Nutzer aus der EU haben könnten, das Cookie-Gesetz einhalten.

Dies umfasst 4 Teile:

  1. Eine Cookie-Richtlinie, die Sie als Option in dem oben erwähnten Datenschutz Generator finden.
  2. Ein Cookie-Hinweis, den Sie mit der iubenda Privacy Controls and Cookie Solution erhalten können.
  3. Einwilligung erleichtern – dem Nutzer die Informationen und die Möglichkeit geben, seine Einwilligung zu erteilen, zu verweigern oder widerrufen.
  4. Vorheriges Blockieren (vorheriges Sperren) von Skripten zur Installation von Cookies, bevor die Einwilligung des Nutzers eingeholt wird.

Unsere Privacy Controls and Cookie Solution entspricht den Bestimmungen der ePrivacy-Richtlinie (Cookie-Gesetz). Sie ermöglicht es Ihnen, Nutzer auf einfache Weise zu informieren und ihre Einwilligung einzuholen, wobei Sie die Möglichkeit haben, Skripte, die Cookies installieren, vor der Einwilligung des Nutzers vorab zu blockieren (was in vielen EU-Ländern erforderlich ist). Es ist einfach zu bedienen, schnell und erfordert keine großen Kosten.

→ Lassen Sie sich Ihre Fragen live beantworten und erfahren Sie mehr über den Generator für Datenschutz- und Cookie-Richtlinien sowie über die Privacy Controls and Cookie Solution, indem Sie an einem unserer kostenlosen Webinare (Anmeldung auf Englisch) teilnehmen.

Weitere Informationen zu unserer Privacy Controls and Cookie Solution finden Sie hier.

Schützen Sie sich oder Ihr Unternehmen mit angemessenen Geschäftsbedingungen

Obwohl sie nicht immer gesetzlich vorgeschrieben sind, sind AGBs pragmatisch erforderlich. Sie regeln das Vertragsverhältnis zwischen Ihnen und Ihren Nutzern und legen die Art und Weise, wie Ihr Produkt, Ihre Dienstleistung oder Ihr Inhalt verwendet werden darf, rechtsverbindlich fest. Es ist daher von entscheidender Bedeutung, dass dieser Vertrag präzise und auf dem neuesten Stand aller geltenden Regelungen ist. Er sollte die AGBs unter besonderer Berücksichtigung von „Haftungsbeschränkungsklauseln“ und Haftungsausschlüssen enthalten.

Unser AGB-Generator hilft Ihnen bei der einfachen Erstellung und Verwaltung professioneller und anpassbarer AGBs, die aus über 100 Klauseln bestehen, in 10 Sprachen verfügbar sind, von einem internationalen Rechtsteam erstellt wurden und mit den wichtigsten internationalen Gesetzgebungen auf dem neuesten Stand sind. Er ist leistungsstark, präzise und in der Lage, selbst die komplexesten, individuellsten Fälle und Anpassungsanforderungen zu bewältigen.

Er enthält Folgendes:

  • Anleitung zur Einrichtung der Software;
  • Hunderte von möglichen Personalisierungen;
  • Überwachung der Gesetzgebung;
  • Plug-and-Go-Integrationen für beliebte Handelsplattformen wie Shopify und WooCommerce;
  • Vordefinierte Anwendungsszenarien: Erstellbare Textmodule für Marktplatz, Partnerprogramme, Urheberrecht, E-Commerce, Mobilfunk und mehr.

Die Anwendung ist für alles optimiert, von E-Commerce, Blogs und Apps bis hin zu komplexen Szenarien wie Marktplatz und SaaS.

Der Einstieg ist einfach. Aktivieren Sie einfach die AGBs (braucht 1 Ultra-Lizenz) in Ihrem Dashboard und beginnen Sie mit der Erstellung.

Für eine Liste aller Funktionen des AGB-Generators klicken Sie hier oder lesen Sie die Anleitung hier.

Verzeichnis von Datenverarbeitungstätigkeiten

Die Erfüllung der DSGVO-Regelungen kann eine technische Herausforderung sein, die es in der Praxis umzusetzen gilt. Dies gilt insbesondere für das Verzeichnis von Datenverarbeitungstätigkeiten. Um gesetzeskonform zu sein, müssen Sie in der Lage sein, den Überblick zu behalten und zu beschreiben:

  • welche Daten Sie erfassen;
  • für welche Zwecke sie erfasst wurden;
  • die rechtliche Grundlage für die Datenverarbeitung;
  • die Regelung zur Datenspeicherung für jede Datenverarbeitungsaktivität;
  • die beteiligten Parteien (sowohl innerhalb als auch außerhalb Ihres Unternehmens);
  • Sicherheitsmaßnahmen;
  • Datentransfer außerhalb der EU, falls vorhanden; und
  • weitere relevante Details, die unternehmensweit gelten können, einschließlich der Daten der Mitarbeiter.

Unsere Softwarelösung hilft Ihnen, alle Datenverarbeitungsaktivitäten innerhalb Ihres Unternehmens einfach aufzuzeichnen und zu verwalten, so dass Sie die Vorgaben und rechtlichen Verpflichtungen problemlos erfüllen können. Sie ermöglicht es Ihnen, Verzeichnisse über die Datenverarbeitungsaktivitäten zu erstellen. Sie können aus über 1700 vorgefertigten Optionen Verarbeitungsaktivitäten hinzufügen, sie nach Bereichen aufteilen ( Teilbereiche, innerhalb derer die Datenverarbeitungsaktivitäten gleich sind), Auftragsverarbeiter und andere Mitgliederrollen zuweisen, sowie Rechtsgrundlagen und andere DSGVO-pflichtige Verzeichnisse dokumentieren.

Anmerkung: Selbst wenn Ihre Datenverarbeitungsaktivitäten irgendwie außerhalb der bereits in diesem Leitfaden erwähnten Situationen liegen, macht es Ihre Informationspflicht gegenüber Nutzern (Artikel 13 & 14) erforderlich, dass Sie grundlegende Verzeichnisse darüber führen, welche Daten Sie erfassen, welchen Zweck sie verfolgen, welche Parteien an der Verarbeitung beteiligt sind und wie lange die Daten aufbewahrt werden müssen. Dies ist für jeden obligatorisch.

Auch wenn die DSGVO ein üblicher Grund dafür ist, mehr Aufwand in die interne Datenschutzverwaltung zu stecken, ist unser Programm nicht ausschließlich für die Anwendung im Rahmen der DSGVO gedacht. Es kann auch für das interne Datenschutzmanagement im Allgemeinen verwendet werden, sogar von Unternehmen, die keine Nutzer/Kunden innerhalb der EU haben.

Verwaltung der Einwilligungen und Führung detaillierter Verzeichnisse im Zusammenhang damit

Um den Datenschutzgesetzen, insbesondere der DSGVO, gerecht zu werden, müssen Unternehmen Einwilligungsnachweise aufbewahren, damit sie nachweisen können, dass die Einwilligung eingeholt wurde. Diese Vezeichnisse müssen Folgendes beinhalten:

  • wann die Einwilligung erfolgte;
  • wer die Einwilligung erteilt hat;
  • was ihre Einstellungen zum Zeitpunkt der Datenerfassung waren;
  • welche rechtlichen Hinweise oder Datenschutzerklärungen ihnen zum Zeitpunkt der Einwilligungserfassung vorgelegt wurden;
  • welche Einwilligungsform ihnen zum Zeitpunkt der Datenerfassung vorgelegt wurde.

Unsere Consent Database vereinfacht diesen Prozess, indem sie Ihnen hilft, den Einwilligungsnachweis einfach zu speichern und die Einwilligung und Datenschutzeinstellungen für jeden Ihrer Nutzer zu verwalten. Sie ermöglicht es Ihnen, jeden Aspekt der Einwilligung (einschließlich des rechtlichen Hinweises oder der Datenschutzerklärung und des Einwilligungsformulars, das dem Nutzer zum Zeitpunkt der Einwilligungserfassung vorgelegt wurde) und die damit verbundenen Einstellungen des Nutzers zu verfolgen.

Zur Verwendung aktivieren Sie einfach die Consent Database und holen sich den API-Schlüssel, und installieren Sie sie dann über die HTTP-API oder das JS-Widget, und schon sind Sie fertig.

Für eine Liste aller Funktionen der Consent Database klicken Sie hier oder lesen Sie den Leitfaden hier.

→ Lassen Sie sich Ihre Fragen live beantworten und erfahren Sie mehr über die Consent Database und das Verzeichnis von Datenverarbeitungstätigkeiten, indem Sie an einem unserer kostenlosen Webinare (Anmeldung auf Englisch) teilnehmen.

Bitte beachten Sie, dass Gesetze manchmal geändert und aktualisiert werden. Es ist daher wichtig, sicherzustellen, dass Ihre Dokumente den neuesten Bestimmungen entsprechen. Aus diesem Grund verwenden wir Einbettungsverfahren und NICHT Copy & Paste. Mit dieser Methode können Sie sicher sein, dass Ihr Dokument auf dem neuesten Stand ist und von unserem Rechtsteam aus der Ferne gewartet wird.

Siehe auch