Datenschutzerklärung

§ 1 Information über die Erhebung personenbezogener Daten

(1) Im Folgenden informieren wir über die Erhebung personenbezogener Daten bei Nutzung unserer Website. Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten. ¹

(2) Verantwortlicher gem. Art. 4Abs. 7EU-Datenschutz-Grundverordnung (DS-GVO) ist [Kreuer Edelstahl GmbH, Markircher Str. 2, 68229 Mannheim, e-Mail: mail@kreuer.de] (siehe unser Impressum). [Unseren Datenschutzbeauftragten erreichen Sie unter [auams@kreuer.de] oder unserer Postadresse mit dem Zusatz „der Datenschutzbeauftragte“.] ²

(3) Bei Ihrer Kontaktaufnahme mit uns per E-Mail oder über ein Kontaktformular werden die von Ihnen mitgeteilten Daten (Ihre E-Mail-Adresse, ggf. Ihr Name und Ihre Telefonnummer) von uns gespeichert, um Ihre Fragen zu beantworten. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen.

(4) Falls wir für einzelne Funktionen unseres Angebots auf beauftragte Dienstleister zurückgreifen oder Ihre Daten für werbliche Zwecke nutzen möchten, werden wir Sie untenstehend im Detail über die jeweiligen Vorgänge informieren. Dabei nennen wir auch die festgelegten Kriterien der Speicherdauer.

§ 2 Ihre Rechte

(1) Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten: ³

Recht auf Auskunft,
Recht auf Berichtigung oder Löschung,
Recht auf Einschränkung der Verarbeitung,
Recht auf Widerspruch gegen die Verarbeitung,
Recht auf Datenübertragbarkeit.

(2) Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

§ 3 Erhebung personenbezogener Daten bei Besuch unserer Website

(1) Bei der bloß informatorischen Nutzung der Website, also wenn Sie sich nicht registrieren oder uns anderweitig Informationen übermitteln, erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt. Wenn Sie unsere Website betrachten möchten, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten (Rechtsgrundlage ist Art. 6Abs. 1S. 1 lit. f DS-GVO): ⁴

IP-Adresse
Datum und Uhrzeit der Anfrage
Zeitzonendifferenz zur Greenwich Mean Time (GMT)
Inhalt der Anforderung (konkrete Seite)
Zugriffsstatus/HTTP-Statuscode
jeweils übertragene Datenmenge
Website, von der die Anforderung kommt
Browser
Betriebssystem und dessen Oberfläche
Sprache und Version der Browsersoftware.

(2) Zusätzlich zu den zuvor genannten Daten werden bei Ihrer Nutzung unserer Website Cookies auf Ihrem Rechner gespeichert. Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrer Festplatte dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche der Stelle, die den Cookie setzt (hier durch uns), bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen. Sie dienen dazu, das Internetangebot insgesamt nutzerfreundlicher und effektiver zu machen.

(3) Einsatz von Cookies:

Diese Website nutzt folgende Arten von Cookies, deren Umfang und Funktionsweise im Folgenden erläutert werden:
- Transiente Cookies (dazu b)
- Persistente Cookies (dazu c).
Transiente Cookies werden automatisiert gelöscht, wenn Sie den Browser schließen. Dazu zählen insbesondere die Session-Cookies. Diese speichern eine sogenannte Session-ID, mit welcher sich verschiedene Anfragen Ihres Browsers der gemeinsamen Sitzung zuordnen lassen. Dadurch kann Ihr Rechner wiedererkannt werden, wenn Sie auf unsere Website zurückkehren. Die Session-Cookies werden gelöscht, wenn Sie sich ausloggen oder den Browser schließen.
Persistente Cookies werden automatisiert nach einer vorgegebenen Dauer gelöscht, die sich je nach Cookie unterscheiden kann. Sie können die Cookies in den Sicherheitseinstellungen Ihres Browsers jederzeit löschen.
Sie können Ihre Browser-Einstellung entsprechend Ihren Wünschen konfigurieren und z. B. die Annahme von Third-Party-Cookies oder allen Cookies ablehnen. Wir weisen Sie darauf hin, dass Sie eventuell nicht alle Funktionen dieser Website nutzen können.
[Wir setzen Cookies ein, um Sie für Folgebesuche identifizieren zu können, falls Sie über einen Account bei uns verfügen. Andernfalls müssten Sie sich für jeden Besuch erneut einloggen.] ⁵
[Die genutzten Flash-Cookies werden nicht durch Ihren Browser erfasst, sondern durch Ihr Flash-Plug-in. Weiterhin nutzen wir HTML5 storage objects, die auf Ihrem Endgerät abgelegt werden. Diese Objekte speichern die erforderlichen

Daten unabhängig von Ihrem verwendeten Browser und haben kein automatisches Ablaufdatum. Wenn Sie keine Verarbeitung der Flash-Cookies wünschen, müssen Sie ein entsprechendes Add-On installieren, z. B. „Better Privacy“ für Mozilla Firefox (oder das Adobe-Flash-Killer-Cookie für Google Chrome. Die Nutzung von HTML5 storage objects können Sie verhindern, indem Sie in Ihrem Browser den privaten Modus einsetzen. Zudem empfehlen wir, regelmäßig Ihre Cookies und den Browser-Verlauf manuell zu löschen.] ⁶

Randnummer 1. Einleitung. Eine Definition von personenbezogenen Daten (dazu z. B. Kühling/Buchner/Klar/Kühling, DS-GVO, Art. 4 Rn. 3 ff.) muss in der Datenschutzerklärung nicht enthalten sein, erleichtert jedoch für Nicht-Juristen das Verständnis über die Bedeutung der vorliegenden Datenschutzerklärung. Auf eine Formulierung wie „Wir nehmen den Schutz Ihrer Daten sehr ernst“ sollte verzichtet werden, da eine solche Aussage meist als (hohle) Floskel erscheint.
Die DS-GVO gilt grundsätzlich für jede Art der Verarbeitung von personenbezogenen Daten, so dass die frühere Abgrenzung zwischen BDSG a. F., TMG a. F. und TKG a. F. kaum mehr relevant wird (dazu z. B. Kremer,CR 2012, 438(440 f.)). Laut Art. 95DS-GVO ist für alle „öffentlich zugänglichen elektronischen Kommunikationsdienste“ die ePrivacy-RL bzw. künftig die ePrivacy-VO (als lex specialis) vorrangig zu berücksichtigen. Demnach soll die DS-GVO keine zusätzlichen Pflichten gegenüber der aktuellen Richtlinie bzw. der künftigen Verordnung aufstellen, so dass auch ein von der ePrivacy-RL/ePrivacy-VO-E vorgesehenes, niedrigeres Schutzniveau der DS-GVO vorgehen würde. Insofern sollten auch (Internet-)Kommunikationsdienste, sog. Over-the-top-Dienste (OTT), an der DS-GVO gemessen werden. Erfasst sind damit distanzüberwindende Kommunikationsdienste wie Webmail, Instant-Messenger und Internettelefoniedienste. Soweit die ePrivacy-RL Sonderregelungen vorsieht, sind diese vorrangig zu beachten. Überzeugend ist es bei allgemeinen Regeln, wie Betroffenenrechten, auf die DS-GVO zurückzugreifen, solange die Spezialnormen nichts Entsprechendes regeln (Kühling/Buchner/Kühling/Raab, Art. 95 Rn. 2 und 5 ff.). So sollen Bestimmungen der ePrivacy-RL nur vorgehen, wenn spezifische Regelungen auch zu den in der DS-GVO geregelten Situationen vorliegen. Auch die Verarbeitung von Verkehrs- und Standortdaten soll auf Basis der DS-GVO erfolgen, soweit die ePrivacy-VO keine expliziten Regelungen trifft (Ehmann/Selmayr/Klabunde/Selmayr, DS-GVO, Art. 95 Rn. 16 ff.). Anpassungen können mit Inkrafttreten der ePrivacy-VO (vgl. ErwG 173 DS-GVO) notwendig werden.

Randnummer 2. Kontaktdaten des Verantwortlichen.Den betroffenen Personen muss eine Kontaktmöglichkeit eröffnet werden. Daher verlangt Art. 13Abs. 1lit. a DS-GVO die Angabe von Namen und „Kontaktdaten“ des Verantwortlichen. Der Name ist vollständig und bei juristischen Personen mit Firmierung anzugeben. Als Kontaktdatum ist zumindest eine zustellungsfähige Anschrift anzugeben. Überzeugend ist es zu verlangen, dass die Kontaktaufnahme ohne Medienbruch möglich sein muss, so dass bei Websites eine E-Mail-Adresse oder ein einfach zu nutzendes Kontaktformular bereitgestellt werden sollte (Kühling/Buchner/Bäcker, DS-GVO, Art. 13 Rn. 22).
Weiterhin sind gem. Art. 13Abs. 1lit. b DS-GVO die Kontaktdaten des Datenschutzbeauftragten anzugeben, falls ein solcher bestellt wurde. Der Name muss nicht angegeben werden. Ausreichend ist die Nennung von generisch benannten Daten, wie sie im Muster beispielshaft genannt wurden (Artikel–29-Datenschutzgruppe, Working Paper 243, S. 12 f., zwar zu Art. 37Abs. 7DS-GVO, jedoch kann die Wertung übertragen werden, da wortgleich von „Kontaktdaten“ gesprochen wird; a. A. Kühling/Buchner/Bäcker, DS-GVO, Art. 13 Rn. 23). Die Einrichtung einer speziell bezeichneten Datenschutz-Mailadresse trennt alle Datenschutzanfragen von anderen E-Mails und ermöglicht die Einhaltung der strikten Fristen nach Art. 12DS-GVO. Falls ein Vertreter in der Europäischen Union nach Art. 27DS-GVO bestellt ist, muss dieser ebenfalls genannt werden.
Durch den Link zum Impressum (§ 5TMG; dazu z. B. Oelschlägelin: Oelschlägel/Scholz (Hrsg.), Rechtshandbuch Onlineshop, S. 11 ff.) wird die Datenschutzerklärung an dieser Stelle nicht unnötig umfangreich. Demgegenüber hat die Aufnahme der Informationen unmittelbar in der Datenschutzerklärung den Vorzug, dass dadurch jede Diskussion darüber, ob die Informationen ordnungsgemäß zugänglich waren, von vornherein vermieden wird. Im Fall der Verlinkung ist unbedingt darauf zu achten, dass der Link stets zum richtigen Ziel führt und immer erreichbar ist.

Randnummer 3. Nennung der Rechte der betroffenen Personen.Die Pflicht zur Mitteilung ergibt sich aus Art. 13Abs. 2lit. b DS-GVO. Die Norm spricht ausdrücklich davon, dass nur über „das Bestehen“ der Rechte informieren ist. Nähere Erläuterungen zu den Inhalten der Rechte werden nicht gefordert, sind jedoch optional möglich. Aufgrund der weitreichenden Informationspflichten, die in der Regel zu sehr umfangreichen Datenschutzerklärungen führen, wird die vorliegende, eher kurze, Variante gewählt.

Randnummer 4. Regelmäßig verarbeitete personenbezogene Daten.Die Auflistung im Muster nennt die in aller Regel von der betroffenen Person an den Verantwortlichen bereitgestellten Daten. Die Informationen ergeben sich aus einer Logfile-Zeile, die im Falle des weit verbreiteten „Apache“-Webservers typischerweise wie folgt aussieht: 111.111.111.11 – – [20/Dez/2013:00:16:00 +0200] „GET/article.pdf HTTP/1.0“ 200 1500 „http://beispiel.de/website/“ „Mozilla/5.0 (X11; U; Linux i686; de-DE; rv:1.7.6)“. Technisch erforderlich ist dabei jedenfalls die Angabe einer IP-Adresse, um die Anzeige zu gewährleisten. Ausführlich zu den technisch erhobenen Informationen http://httpd.apache.org/docs/2.2/logs.html; Stiemerling/Lachenmann,ZD 2014, 133.

Noch immer ist in vielen Datenschutzerklärungen zu lesen, dass bei informatorischer Nutzung keine personenbezogenen Daten erhoben würden. Eine solche Formulierung ist fehlerhaft, da – spätestens seit dem Urteil des Europäischen Gerichtshofes in Sachen Breyer– bereits ein für den Verantwortlichen pseudonymes Datum als personenbezogenes Datum gewertet werden muss (EuGH, Urt. v. 19. 10. 2016 – C–582/14, ZD 2017, 24m. Anm. Klar/Kühling; nachfolgend BGH, Urt. v. 16. 5. 2017 – VI ZR 135/13, MMR 2017, 605m. Anm. Kipker/Kubis; dazu z. B. Moosin: Taeger (Hrsg.), Recht 4.0, S. 211 (211)). Zu solchen Pseudonymen gehören z. B. die IP-Adresse oder ein Device- oder Browser-Fingerprint, die Zusammenführung von technischen Metadaten, wie Browser-Einstellungen, Ortsangaben usw. (dazu z. B. Karg/Kühn, ZD 2014, 285). Jedenfalls ist eine IP-Adresse personenbezogen, wenn sie mit anderen Daten zusammengeführt wird, z. B. durch Angabe von Personalien oder Account-Informationen (BGH, Urt. v. 16. 5. 2017 – VI ZR 135/13, MMR 2017, 605m. Anm. Kipker/Kubis,Rn. 46; Schleipfer,RDV 2010, 168(170f.); zum Personenbezug bei Big Data: Schefzigin: Taeger (Hrsg.), Big Data & Co, S. 103; ausführliche Darstellung zum Personenbezug bei Karg, DuD 2015, 520).

Randnummer 5. Information über Nutzung von Cookies.Vorangestellt wird eine Definition zu Cookies zur Information der Nutzer, danach folgt eine Auflistung über die auf der Website eingesetzten Cookies. Die Notwendigkeit dieser Information ergibt sich bislang aus Art. 5Abs. 3ePrivacy-RL (bzw. „Cookie‑Richtlinie“). Die Richtlinie wurde nie gesondert in deutsches Recht umgesetzt und es bestand bis zuletzt Unklarheit darüber, inwieweit eine Umsetzung notwendig ist und wie weitgehend eine Einwilligung in die Cookie-Nutzung eingeholt werden sollte (zum Streitstand z. B. Steinhoffin: Taeger (Hrsg.), Law as a Service, S. 143).

Die gesetzlichen Bestimmungen zur elektronischen Kommunikation müssen erneuert und an die DS-GVO angepasst werden. Daher hat die EU-Kommission am 10. 1. 2017 den Entwurf für eine neue ePrivacy-VO vorgestellt, der EU-Rat einen geänderten Entwurf am 8. 9. 2017. Der endgültige Text steht noch nicht fest, so dass nach Verabschiedung eine Kontrolle des Textmusters erfolgen muss. Das vorliegende Muster informiert die Nutzer ausführlich über die Nutzung von Cookies, so dass die Fassung voraussichtlich auch nach Inkrafttreten der ePrivacy-VO-E eingesetzt werden kann.

Die Unterscheidung nach den in der Erklärung genannten drei Obergruppen ist üblich und basiert auf den Ausführungen der Artikel–29-Datenschutzgruppe, Working Paper 194 v. 7. 6. 2012. Eine nähere Unterteilung in der Datenschutzerklärung scheint nicht notwendig, da sich die datenschutzrechtlichen Spezifika auf die hier beschriebene Unterscheidung beschränken. Der Einsatz von persistenten Cookies ist grundsätzlich unzulässig, da jene dauerhaft Daten erheben können, selbst wenn es zur Erbringung der Zwecke nicht mehr erforderlich wäre. Dennoch müssen nicht nur Session Cookies eingesetzt werden. Die weitergehenden Cookies sind zulässig, wenn sie mit einer zeitlichen Begrenzung versehen werden, so dass sie z. B. zwei Monate nach deren Setzung automatisch gelöscht werden. Wenn die Cookies nicht notwendig sind, um die gewünschte Leistung erbringen zu können, ist eine Einwilligung des Nutzers einzuholen, bzw. die Datenschutzkonformität mittels der hier im Folgenden verwendeten Klauseln sicherzustellen.

Die Darstellung der eingesetzten Cookies und der Möglichkeiten der betroffenen Personen, über die Verarbeitung ihrer Daten zu bestimmen, wird zunehmend nutzerfreundlich aufbereitet. Diverse Anbieter ermöglichen es inzwischen, eine individuelle Personalisierung vorzusehen, bei der anschaulich beschrieben wird, welche Optionen der Nutzer bei Besuch der Website hat und wie weitgehend er eine Verarbeitung seiner personenbezogenen Daten zulassen möchte. Dabei kann dem Nutzer beispielsweise ermöglicht werden, zwischen der Verwendung von für die Anzeige der Website erforderlichen, dem Nutzerkomfort dienenden, statistische Auswertungen ermöglichenden oder werbliches Tracking ermöglichenden Cookies zu unterscheiden. Über eine solche „granulare“ Opt-ins bzw. Opt-outs kann ein praktikabler Ausgleich von Interessen betroffener Personen und Verantwortlichen erreicht werden.

Randnummer 6. Flash-Cookies und HTML5 storage objects.Die beschriebenen Flash-Cookies und HTML5 storage objects haben deutlich umfangreichere Möglichkeiten des Nutzer-Trackings als Browser-Cookies, so dass im Falle einer Nutzung solcher eine gesonderte Beschreibung notwendig ist. Es gibt bislang keine Entscheidungen oder Veröffentlichungen der Aufsichtsbehörden, die Stellung dazu nehmen, wie deren Nutzung im Detail auszugestalten ist. Das vorliegende Muster versucht, eine ausreichende Information darzustellen. Jedoch ist nicht klar, ob diese als rechtmäßig gewertet würde (zur Technik von Flash-Cookies z. B. Stiemerling/Lachenmann,ZD 2014, 133(136); zur rechtlichen Bewertung unter Geltung des BDSG a. F. Schröder,ZD 2011, 59; zu Technik und rechtlicher Bewertung von HTML5 storage objects z. B. https://www.w3.org/TR/html5; Dieterich, ZD 2015, 199; Conrad/Dovas/Klattein: Forgó/Helfrich/Schneider (Hrsg.), Betrieblicher Datenschutz, Kap. 4 Rn. 85 ff.).

§ 4 Weitere Funktionen und Angebote unserer Website

(1) Neben der rein informatorischen Nutzung unserer Website bieten wir verschiedene Leistungen an, die Sie bei Interesse nutzen können. Dazu müssen Sie in der Regel weitere personenbezogene Daten angeben, die wir zur Erbringung der jeweiligen Leistung nutzen und für die die zuvor genannten Grundsätze zur Datenverarbeitung gelten.

(2) Teilweise bedienen wir uns zur Verarbeitung Ihrer Daten externer Dienstleister. Diese wurden von uns sorgfältig ausgewählt und beauftragt, sind an unsere Weisungen gebunden und werden regelmäßig kontrolliert. ⁷

(3) Weiterhin können wir Ihre personenbezogenen Daten an Dritte weitergeben, wenn Aktionsteilnahmen, Gewinnspiele, Vertragsabschlüsse oder ähnliche Leistungen von uns gemeinsam mit Partnern angeboten werden. Nähere Informationen hierzu erhalten Sie bei Angabe Ihrer personenbezogenen Daten oder untenstehend in der Beschreibung des Angebotes. ⁸

(4) Soweit unsere Dienstleister oder Partner ihren Sitz in einem Staat außerhalb des Europäischen Wirtschaftsraumen (EWR) haben, informieren wir Sie über die Folgen dieses Umstands in der Beschreibung des Angebotes. ⁹

§ 5 Widerspruch oder Widerruf gegen die Verarbeitung Ihrer Daten

(1) Falls Sie eine Einwilligung zur Verarbeitung Ihrer Daten erteilt haben, können Sie diese jederzeit widerrufen. Ein solcher Widerruf beeinflusst die Zulässigkeit der Verarbeitung Ihrer personenbezogenen Daten, nachdem Sie ihn gegenüber uns ausgesprochen haben. ¹⁰

(2) Soweit wir die Verarbeitung Ihrer personenbezogenen Daten auf die Interessenabwägung stützen, können Sie Widerspruch gegen die Verarbeitung einlegen. Dies ist der Fall, wenn die Verarbeitung insbesondere nicht zur Erfüllung eines Vertrags mit Ihnen erforderlich ist, was von uns jeweils bei der nachfolgenden Beschreibung der Funktionen dargestellt wird. Bei Ausübung eines solchen Widerspruchs bitten wir um Darlegung der Gründe, weshalb wir Ihre personenbezogenen Daten nicht wie von uns durchgeführt verarbeiten sollten. Im Falle Ihres begründeten Widerspruchs prüfen wir die Sachlage und werden entweder die Datenverarbeitung einstellen bzw. anpassen oder Ihnen unsere zwingenden schutzwürdigen Gründe aufzeigen, aufgrund derer wir die Verarbeitung fortführen. ¹¹

(3) Selbstverständlich können Sie der Verarbeitung Ihrer personenbezogenen Daten für Zwecke der Werbung und Datenanalyse jederzeit widersprechen. Über Ihren Werbewiderspruch können Sie uns unter folgenden Kontaktdaten informieren: [alle Kontaktdaten]. ¹²

Randnummer 7. Datenverarbeitung durch Auftragsverarbeiter.Die Erläuterung zur Datenverarbeitung in § 5 des Musters geht knapp auf die Datenweitergabe an Auftragsverarbeiter ein. Die Auftragsverarbeitung ist zwar Teil der Verarbeitung nach Art. 4Abs. 2DS-GVO, führt jedoch über Art. 28DS-GVO dazu, dass der Auftragsverarbeiter kein Dritter nach Art. 4Abs. 10DS-GVO wird. Daher ist der Daten empfangende Auftragsverarbeiter kein eigenständiger Verantwortlicher und muss gegenüber der betroffenen Person nicht ausdrücklich erwähnt werden. Da der Auftragsverarbeiter wie eine interne Stelle des Verantwortlichen behandelt wird und nicht als eigener Verantwortlicher gilt, ist die Information nicht notwendig, kann sich aber zur Klarstellung empfehlen (zur Auftragsverarbeitung →Form. G.I.).

Die Information kann jedoch dazu dienen, der Vorgabe des Art. 13Abs. 1lit. e DS-GVO nachzukommen, wonach die Kategorien von Empfängern zu benennen sind. Der vorliegende Textvorschlag nennt die Dienstleister als sehr abstrakte Kategorie, die im weiteren Verlauf der Datenschutzerklärung durch die Beschreibung der einzelnen vertieft wird. Der Hinweis wird zudem aus Transparenzgründen aufgenommen, um die Erwartungshaltung der betroffenen Person, dass sämtliche Daten nur intern verarbeitet würden, aufzubrechen. Wichtig ist weiterhin, dass alle Voraussetzungen zu Art. 28DS-GVO eingehalten werden, also insbesondere die sorgfältige Auswahl des Dienstleisters, der Abschluss eines Vertrages sowie die regelmäßige Überwachung der Einhaltung der Vorgaben. Um der Rechenschaftspflicht zu genügen, muss die interne Dokumentation sichergestellt sein (→Form. A.I.).

Randnummer 8. Weitergabe an Dritte.Eine Offenlegung von Nutzerdaten an weitere Verantwortliche (z. B. Onlinemarketing-Anbieter, Finanzdienstleister), ist nur zulässig, wenn ein Erlaubnistatbestand nach Art. 6Abs. 1S. 1 DS-GVO erfüllt ist und die betroffene Person bei Erhebung ihrer personenbezogenen Daten informiert wird. Die Information über die Dritten als Empfänger kann beispielsweise bei der genauen Beschreibung der Funktionen auf der Website sowie in der Datenschutzerklärung bei den jeweiligen Funktionen erfolgen. Dabei sollte eine Verlinkung auf die Datenschutz- und Vertragsbestimmungen des Dritten erfolgen. Die vorliegende Formulierung ist allgemein gehalten und muss unten bei der Beschreibung der einzelnen Funktionen ergänzt werden.

Randnummer 9. Datentransfers außerhalb des EWR.Für den in diesem Muster gewählten Ausgangspunkt einer Datenerhebung innerhalb Deutschlands ist eine Verarbeitung personenbezogener Daten unproblematisch möglich, soweit diese innerhalb des EWR vorgenommen wird. Bei einem Transfer in Drittstaaten ohne Angemessenheitsentscheidung der EU-Kommission (im Online-Bereich insbesondere die USA), muss der Verantwortliche zusätzliche Schutzvorkehrungen treffen (→Form. G.VII.).

Über die Absicherung des Datentransfers zwischen Verantwortlichem und Dritten hinaus, muss die betroffene Person gem. Art. 13Abs. 1lit. f DS-GVO über die Tatsache des Drittstaatentransfers informiert werden, sowie dazu, auf welche konkrete Garantien der Datentransfer gestützt wird. Mitzuteilen ist also, ob ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45DS-GVO vorhanden ist, eine geeignete Garantie nach Art. 46, 49DS-GVO eingesetzt wird oder ob eine Ausnahme nach Art. 49DS-GVO vorliegt. Bei Einsatz geeigneter Garantien ist zudem notwendig darzustellen, wie eine Kopie der Dokumente zu erhalten ist. Der Bereitstellungsverpflichtung kann bei online vorhandenen Informationen über einen Link nachgekommen werden. Ansonsten muss der betroffenen Person dargestellt werden, wie sie die Dokumente erhalten kann, z. B. über eine Anfrage an den Datenschutzbeauftragten des Verantwortlichen (vgl. Kühling/Buchner/Bäcker, DS-GVO, § 13 Rn. 34). Obwohl sich die Bereitstellungverpflichtung nicht auf den Angemessenheitsbeschluss bezieht („oder im Falle von Übermittlungen gemäß“), kann über das „EU-US Privacy Shield“ in einem Link informiert und so ein höheres Nutzervertrauen geschaffen werden.

Randnummer 10. Hinweis auf Widerrufbarkeit einer Einwilligung.Die DS-GVO sieht verschiedene Varianten vor, wann sich eine betroffene Person gegen die Verarbeitung ihrer Personen wenden kann. Über alle diese Rechte muss die betroffene Person informiert werden. Das Muster deckt alle relevanten Hinweispflichten der DS-GVO ab. Regelmäßig sollte die betroffene Person über ihre Rechte bei Einwilligungen und sonstigen Datenverarbeitungen gesondert informiert werden.
Eine Einwilligung ist nur wirksam erteilt, wenn sie jederzeit widerruflich ist (Art. 7Abs. 3S. 1 DS-GVO) und die betroffene Person über diese Möglichkeit des jederzeitigen Widerrufs in Kenntnis gesetzt wird (Art. 7Abs. 3S. 3 DS-GVO). Zur Sicherstellung der Kenntnis, muss die betroffene Person in der Einwilligungserklärung stets über das Widerrufsrecht informiert werden. Daher sollte bereits eine allgemeine Information über die Widerrufbarkeit der Einwilligung vorangestellt werden, die in den konkret eingeholten Einwilligungserklärungen nochmals wiederholt werden sollte.

Randnummer 11. Widerspruch gegen die Datenverarbeitung bei Interessenabwägung.Gegen eine auf der Interessenabwägung nach Art. 6Abs. 1S. 1 lit. f DS-GVO beruhende Datenverarbeitung kann eine betroffene Person jederzeit Widerspruch einlegen, wenn sie Gründe, „die sich aus ihrer besonderen Situation ergeben“, darlegen kann (Art. 21Abs. 1DS-GVO). Damit ist bei einem informatorischen Angebot einer Website ohne Zusatzfunktionen, bei dem die Daten nach Art. 6Abs. 1S. 1 lit. f DS-GVO verarbeitet werden, kein Widerspruch der betroffenen Person gegen die Verarbeitung ihrer personenbezogenen Daten möglich. Für jeden anderen Datenverarbeitungsvorgang, der auf die Interessenabwägung gestützt wird (z. B. die Analyse der Daten zu Werbezwecken), ist hingegen ein Widerspruch grundsätzlich möglich.

Folge des Widerspruchsrechts ist, dass eine betroffene Person gegen bestimmte Datenverarbeitungen begründeten Widerspruch einlegen und sich der Verantwortliche in der Folge möglichen Ansprüchen ausgesetzt sehen kann. In der Literatur ist umstritten, unter welchen Voraussetzungen der Betroffene ein Widerspruchsrecht ausüben kann: So wird teilweise davon ausgegangen, dass es genüge, wenn die betroffene Person schlicht erklärt, dass sie keine Datenverarbeitung wünscht, also keine inhaltliche Begründung notwendig sei (BeckOK DatenSR/Wolff/Brink/Forgó, Art. 21 Rn. 8). Dies kann jedoch nicht überzeugen, da der Gesetzeswortlaut eindeutig eine Begründung aus der persönlichen Situation heraus erfordert und diese Formulierung schon unter der DSRL enthalten war, bei der sehr hohe Anforderungen an die Begründung gestellt wurden (vgl. Simitis/Dix, BDSG, § 35 Rn. 58). Daher ist es überzeugend, dass die betroffene Person konkrete und ernstzunehmende Gründe vorbringen muss, warum die Interessenabwägung in dem angegriffenen Verarbeitungsvorgang zu ihren Gunsten ausfällt (z. B. Lachenmann, Datenübermittlung im Konzern, S. 287 f.; Paal/Pauly/Martini, DS-GVO, Art. 21 Rn. 30 f.).

Unabhängig davon, wie weitgehend eine Begründung erfolgen muss: Die betroffene Person muss gem. Art. 21Abs. 4DS-GVO auf ihr Widerspruchsrecht hingewiesen werden. Für den Hinweis wird eine Formulierung nahe am Wortlaut vorgeschlagen, um der betroffenen Person zu verdeutlichen, dass sie ernsthafte Gründe gegen die Verarbeitung vorbringen muss. Der Hinweis muss in einer „von anderen Informationen getrennten Form“ erfolgen, was hier durch jeweils eigene Absätze und die Unterstreichung deutlich gemacht wird.

Randnummer 12. Widerspruch gegen Direktmarketing.Neben dem allgemeinen Widerspruchsrecht besteht ein Widerspruchsrecht, wenn die personenbezogenen Daten zu Zwecken des „Direktmarketings“ eingesetzt werden. Da die DS-GVO den Begriff des Direktmarketings nicht definiert, sollte die Information über die Widerspruchsmöglichkeit gegen die Nutzung der Daten für Werbe- und Analysezwecke eher weit formuliert in die Datenschutzerklärung aufgenommen werden.
Die Hinweispflicht gegen Direktwerbung folgt aus Art. 21Abs. 2und 4DS-GVO, die eine besondere Hervorhebung durch eine von anderen Informationen getrennten Form, eine verständliche Formulierung und die Erteilung der Information spätestens zum Zeitpunkt der ersten Kommunikation verlangen. Den Informationspflichten wird in § 5 Abs. 3 des Musters nachgekommen. Die Unterstreichung hebt den Text von der restlichen Erklärung ab. Ergänzend sollte der Text in Fettdruck und z. B. über einen Rahmen um den Abschnitt hervorgehoben werden.