Am 1. Februar 2023 fand ein Webinar zur Impressum- und Datenschutzerklärungspflicht für Online-Präsenzen statt, geleitet von Rechtsanwalt Michael Rohrlich. Wichtige Themen waren die nötigen Informationen im Impressum, wie Name, Adresse und Kontakt, sowie die Anforderungen an die Datenschutzerklärung gemäß DSGVO. Zudem wurde auf die Erreichbarkeit und Transparenz beider Dokumente hingewiesen, um rechtlichen Anforderungen gerecht zu werden.

1. „Impressum &
Datenschutzerklärung“
Webinar für die IHK Siegen
am 1. Februar 2023, 9.00 – 11.00 Uhr

2. Referent
Rechtsanwalt Michael Rohrlich -Vita
2
niedergelassener
Rechtsanwalt
Video-Trainer
bei LinkedIn Learning
(Microsoft)
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV)
geprüfter Datenschutz-
auditor (Haufe)
HR Data Protection
Manager (Beck)
Data Protection Risk
Manager (FOM)
Fachautor / Buchautor Dozent / Referent
Vorstandsmitglied des
Webmasters Europe e.V.
Expertenrat-Mitglied des
Webmasters Europe e.V.

3. Referent
Rechtsanwalt Michael Rohrlich -Tätigkeitsschwerpunkte
3
®
© €
Urheberrecht
#
@
Markenrecht E-Commerce
Datenschutzrecht IT-Recht Social Media
Onlinerecht Bildrecht Cloud Computing

4. Inhalt / Übersicht
1. Einführung
2.Impressum
3. Datenschutzerklärung
4.Exkurs: Social Media
4

5. Inhalt / Übersicht
1. Einführung
2.Impressum
3. Datenschutzerklärung
4.Exkurs: Social Media
5

6. Einführung
6
rechtskonforme
Website
Impressum
Datenschutz
AGB
Widerrufs-
belehrung
Bestell-
prozess
Produktbe-
schreibungen
Preis-
angaben
Online-
Werbung
…

7. Einführung
7
Um es kurz zu machen:
Jede nicht nur rein privat
betrieben Onlinepräsenz
benötigt zumindest ein
Impressum und eine
Datenschutzerklärung.

8. Inhalt / Übersicht
1. Einführung
2.Impressum
3. Datenschutzerklärung
4.Exkurs: Social Media
8

9. Impressum
9
Websites
Webshops
Marktplätze Blogs
Social Media
Influencer-
Kanal
Apps
Impressum enthält Angaben zum inhaltlichVerantwortlichen für Online-Präsenz

10. Impressum
10
Impressum
klar
erkennbar
leicht
auffindbar
ständig
erreichbar

11. Impressum
„klar erkennbar“:
für objektive Dritte verständliche Bezeichnung des
Menüpunktes
ideal: „Impressum“, „Kontakt“ oder
„Anbieterkennzeichnung“
nicht zu kreativ werden, Besucher müssen ohneWeiteres
erkennen können, wo das Impressum zu finden ist
11

12. Impressum
„leicht auffindbar“:
 Nutzer müssen mit max. 2 Mausklicks zu den Pflichtangaben
gelangen
 ideal: Menüpunkt in Hauptnavigation oder Site-Footer bzw. –
Header
 jedenfalls nicht in Menüstruktur „verstecken“
 unterschiedliche Darstellung auf versch. Endgeräten (Tablet,
Smartphone…) beachten
12

13. Impressum
„ständig erreichbar“:
 Menüpunkt muss von jeder Einzelseite aus gleichermaßen gut
erreichbar sein
 ideal: Platzierung in Hauptnavigation oder Site-Footer bzw. –
Header
 auch z.B. bei teilweisen Abschaltungen / Umstrukturierungen
der Website muss Menüpunkt auffindbar sein
13

14. Impressum
Pflichtangaben Impressum (allg.):
 Vor- und Nachname bzw. Firma inkl. Rechtsformzusatz
 ladungsfähige Anschrift
 Kontaktdaten (Tel., E-Mail, ggf. Fax)
 Vertretungsberechtigte (z.B. GmbH-Geschäftsführer)
 Registernr. & Registergericht (z.B. bei GmbH)
 Umsatzsteuer-ID-Nr. (falls vorhanden)
14

15. Impressum
Pflichtangaben Impressum (audio-visuelle Medien):
 Sitzland des Anbieters
 zuständige Regulierungs- & Aufsichtsbehörden
15

16. Impressum
Pflichtangaben Impressum (redaktionell-journalistisch):
 InhaltlichVerantwortliche Person (Name, Anschrift &
Kontaktdaten)
 Mensch, kein Unternehmen
 unbeschränkt geschäftsfähig (mind. 18 Jahre)
 unbeschränkt strafrechtlich verfolgbar (kein MdB / MdL o.ä.)
 mit ständigem Aufenthaltsort im Inland (Dt.)
16

17. Impressum
Pflichtangaben Impressum (reglementierte Berufe):
 Berufsbezeichnung (z.B. Rechtsanwalt, Arzt, Apotheker…) +
Land, in dem sie verliehen wurde
 Kammer / Aufsichtsbehörde (inkl. Anschrift & Kontaktdaten)
 Berufsrecht (Nennung & Link)
17

18. Impressum
Pflichtangaben E-Commerce**:
 Hinweis auf OS-Plattform (Hinweistext + anklickbarer Link zu
„http://ec.europa.eu/consumers/odr“)*
 Hinweis auf alternative Streitbeilegung gem.VSBG*
 Öffnungs- / Service-Zeiten (inkl. Kontaktdaten) gem. UWG
 Angaben gemäß DL-InfoV (bei Dienstleistungen)
 * Angaben müssen zusätzlich in AGB zu platziert werden
 ** Angaben müssen nicht zwingend im Impressum genannt werden
18

19. Impressum
Angaben (optional) :
 Urheberrechtsnachweise (z.B. für Stock-Fotos)
 Haftungshinweis („Disclaimer“)
 Sonstiges (Bankverbindung, Öffnungszeiten…)
19

20. Impressum
20
Impressum
MustermannGmbH
Geschäftsführer: Max Mustermann
Musterstr. 123
12345 Musterhausen
Tel. 020-12345678, Fax: 020-12345679, E-Mail: info@mustermann.de
Handelsregistereintrag:AG Musterhausen, Nr. HRB 1234
Umsatzsteuer-Identifikationsnr. :DE 123456789
Service / Reklamationen:UnserenService erreichenSie werktags von 9 – 17 Uhr unter derTelefonnr.
020-987654321 sowie per E-Mail unter service@mustemann-gmbh.de.
Inhaltlich verantwortlich: Marion Mustermann (Anschrift s.o.)
Infos zur Online-Streitbeilegung: Die Internetplattform zurOnline-Beilegung vonStreitigkeiten der EU
(„OS-Plattform“) ist unter folgendem Link erreichbar: www.ec.europa.eu/consumers/odr (E-Mail-
Adresse s.o.).
Infos zur alternativenStreitbeilegung:Wir sind zur Beilegung von Streitigkeiten mitVerbrauchern vor
einerSchlichtungsstelle weder bereit noch verpflichtet.
MUSTER-IMPRESSUM

21. Impressum
21
Facebook
Twitter
LinkedIn
Youtube
Xing
…

22. Inhalt / Übersicht
1. Einführung
2.Impressum
3. Datenschutzerklärung
4.Exkurs: Social Media
22

23. Datenschutzerklärung
23
• Name
• Anschrift
• Kontaktdaten
• …
persönliche Daten
• Bankverbindung
• Überweisung
• Kontostand
• …
Finanzdaten
• Größe
• Gewicht
• Haarfarbe
• …
allg. äußerliche
Merkmale
• Fingerabdruck
• DNA-Probe
• Gen-Sequenz
• …
biometrische
Daten
• Aufnahmen
erkennbar
abgebildeter
Personen
dig. Fotos /Videos
• AU-Bescheinigung
• Diagnose
• Rezept
• …
Gesundheitsdaten
• „AC – XY 1234“
Kfz-Kennzeichen
• „192.168.1.1“
• (dynamisch &
statisch)
IP-Adressen
Beispiele
personenbezogener
Daten:

24. Datenschutzerklärung
24
zulässige
Verarbeitung
personenbezogener
Daten
Einwilligung
gesetzl.
Ausnahmetatbestand
überwiegende
berechtigte
Interessen

25. Datenschutzerklärung
25
* gilt nicht für Behörden in Erfüllung ihrer Aufgabe (Art. 6 Abs. 1 S. 2)
Rechtsgrundlagen keine Rechtsgrundlagen
Einwilligung
(Art. 6 Abs. 1 S. 1 lit. a)
„haben wir schon immer so gemacht“
Erfüllung einer (vor-) vertragl. Maßnahme
(Art. 6 Abs. 1 S. 1 lit b)
„wie brauchen die Daten halt“
Erfüllung einer rechtlichenVerpflichtung
(Art. 6 Abs. 1 S. 1 lit. c)
„das steht, glaube ich, irgendwo im Gesetz“
Schutz lebenswichtiger Interessen
(Art. 6 Abs. 1 S. 1 lit. d)
„der Chef hat dieUnterlagen angefordert“
Wahrnehmung einer im öffentlichen Interesse
liegendenAufgabe / Ausübung öffentlicher
Gewalt
(Art. 6 Abs. 1 S. 1 lit. e)
„wir werfen nur einen kurzen Blick drauf“
überwiegende berechtigte Interessen
(Art. 6 Abs. 1 S. 1 lit. f)*
„vielleicht brauchen wir die Daten in Zukunft“

26. Datenschutzerklärung
26
Rechtsgrundlagen
DSGVO
(Art. 6, 9)
BDSG
(z.B. § 26)
div. Fachgesetze
(z.B. SGB,TTDSG)
Satzungen, BVen,
Tarifverträge

27. Datenschutzerklärung
27
Dokumentation Risikoanalyse IT-Sicherheit
Datenschutz-
Folgenabschätzung
Bereitstellung von
Informationen
Meldepflicht bei
Datenpannen
ggf. Benennung
eines DSB
Privacy by design /
by default
…
Die zentralen Pflichten vonVerantwortlichen im Überblick

28. Datenschutzerklärung
 DSGVO-Informationspflichten beziehen sich auf alle
Verarbeitungstätigkeiten (online + offline)
 Webpräsenzen von Unternehmen nie „rein privat“
 Fazit: Pflicht zur Bereitstellung einer Datenschutzerklärung
z.B. für
 Website
 Webshop
 Blog
 Social Media
 App
28

29. Datenschutzerklärung
 Rechtsgrundlage: Informationspflichten aus Art. 13, 14 DSGVO
 Art. 13: wenn Daten bei betroffener Person erhoben werden
 Art. 14: wenn Daten über Dritte erhoben werden
 bei Online-Erhebung von Daten i.d.R. Art. 13 einschlägig
 beidenVorschriften unterscheiden sich nur in Details
29

30. Datenschutzerklärung
 Pflichtinformationen gem. Art. 13 Abs. 1 DSGVO:
 Namen & Kontaktdaten desVerantwortlichen
 Kontaktdaten des Datenschutzbeauftragten
 Zweck(e) der Datenverarbeitung
 Rechtsgrundlage(n) der Datenverarbeitung
 ggf. berechtigte Interessen, die vomVerantwortlichen oder einem
Dritten verfolgt werden
 ggf. Empfänger oder Kategorien von Empfängern
 ggf. Absicht der Datenübermittlung an ein Drittland oder eine
internationale Organisation
30

31. Datenschutzerklärung
 Pflichtinformationen gem. Art. 13 Abs. 2, 3 DSGVO:
 Dauer der Datenspeicherung (oder, falls dies nicht möglich ist, die Kriterien für die
Festlegung dieser Dauer)
 Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung,
Widerspruch, Widerruf, Datenportabilität, Beschwerde)
 ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich
vorgeschrieben oder für einen Vertragsabschluss erforderlich ist
 ob die betroffene Person verpflichtet ist, die personenbezogenen Daten
bereitzustellen und welche möglichen Folgen die Nichtbereitstellung hätte
 Hinweis auf (Nicht-) Bestehen einer automatisierten Entscheidungsfindung und
ggf. aussagekräftige Informationen über die involvierte Logik sowie dieTragweite
und die angestrebten Auswirkungen einer derartigenVerarbeitung
 ggf. Angaben zur Zweckänderung
31

32. Datenschutzerklärung
32
allg.
Datenschutzhinweise
Art. 13, 14
DSGVO
Online-
Datenschutzerklärung
Art. 13, 14
DSGVO
Online-
Technologien

33. Datenschutzerklärung
 Typische Online-Technologien:
 Analyse-Tools (Google / UniversalAnalytics, Matomo [ehem. Piwik], Etracker, Facebook Pixel…)
 Kontaktformular
 Newsletter (Tracking? Dienstleister?)
 eingebundene Online-Werbung (Google Ads…)
 Cookies (techn. notwendige, Statistik,Tracking…)
 Social Plugins (Facebook,Twitter, LinkedIn…)
 WebFonts (GoogleWebFonts, FontAwesome…)
 Einbindung von Fremdinhalten (Youtube,Vimeo, Google Maps…)
 Verschlüsselung (SSL- / TLS-Zertifikat)
 Partnerprogramme (Amazon, eBay…)
 Stellenausschreibungen / Online-Bewerberverfahren
 Gewinnspiele
 Meinungsumfragen
 Chat-Tools / Chat-Bots
 Login / Kundenbereich
 …
33
US-Fonts nur lokal auf
eigenemWeb-Server,
nicht dynamisch
einbinden
seit 2015 (!) Pflicht
nur unter bestimmten
Voraussetzungen
rechtskonform…

34. Datenschutzerklärung
 Umsetzung der Informationspflichten in die Praxis
 div. Online-Generatoren* verfügbar, z.T. kostenfrei
 auch (i.d.R. kostenpflichtige) Legal-Tech-Angebote z.B. in Form
einer sich selbst aktualisierenden Datenschutzerklärung
 rechtssichere Gestaltung durch spezialisierten Rechtsanwalt
(konkrete Rechtsberatung)
* beachte: Online-Generatoren i.d.R. nur „Orientierungshilfen“ und
keine konkrete Rechtsberatung
34

35. Datenschutzerklärung
35
Form
•präzise
•transparent
•verständlich
•leicht
zugänglich
Sprache
•klar
•einfach
Vorgaben aus Art. 12 DSGVO

36. Datenschutzerklärung
Menüpunkt Datenschutzerklärung – Best Practice:
Klar benannt (z.B. „Datenschutz“,
„Datenschutzerklärung“, „Datenschutzhinweise“…)
Leicht auffindbar (Platzierung in der Hauptnavigation
oder im Site-Footer / -Header)
Von jeder einzelnen Unterseite aus erreichbar
Responsive Design (Stand derTechnik)
Layout unterstützt Inhalt
36

37. Datenschutzerklärung
Darstellungsmöglichkeiten online
„Stufige Darstellung“, d.h. mehrstufige Darstellung der
Inhalte
„Aufklapp‐Darstellung“, d.h. interaktive Site mit
einzelnen, aufklappbaren Abschnitten (sog.
Ziehharmonika‐Effekt)
ggf. ErgänzendeVerwendung von erläuternden
Bildsymbolen (optional) 37

38. Problemkreis: Cookie-Layer
betrifft: Cookies o.ä.Technologien, die für den Betrieb
derWebsite techn. nicht notwendig sind, z.B.
 localStorage
 Browser Fingerprinting
 …
Einwilligung per Cookie-Layer
EuGH- / BGH-Vorgaben entsprechen inzwischen
den Regelungen in § 25TTDSG
38
Datenschutzerklärung

39.  „Neuerung“ durch § 25TTDSG (seit 01.12.2021):
 „Die Speicherung von Informationen in der Endeinrichtung des
Endnutzers oder der Zugriff auf Informationen, die bereits in der
Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf
der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
Die Information des Endnutzers und die Einwilligung haben gemäß der
[DSGVO] zu erfolgen.“
 Die Einwilligung nach Absatz 1 ist nicht erforderlich,
[…]
wenn die Speicherung von Informationen in der Endeinrichtung des
Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers
gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter
einesTelemediendienstes einen vom Nutzer ausdrücklich gewünschten
Telemediendienst zurVerfügung stellen kann.“ 39
Datenschutzerklärung
TTDSG bezieht sich auf
alle Daten, nicht nur
solche mit Personenbezug!

40. 40
 (tech.) notwendige Cookies für…  (techn.) nicht notwendige Cookies für…
virtuellen Warenkorb Tracking
Spracheinstellungen Web-Analyse
Medieninhalte (Flash-Cookies) Retargeting / Remarketing
Einbindung von Zahlungsdienstleistern Social-Plugins
Live-Chats / Messenger eingebundene Videos (Youtube,Vimeo…)
Speicherung der Zustimmung / Ablehnung
von Cookies
eingebundene Karten (Google Maps…)
… …
Datenschutzerklärung

41. • Checkliste Einsatz von Cookies o.ä.Technologien:
• Rechtsgrundlage für Erhebung gem.TTDSG (Einwilligung oder Ausnahme)
• Rechtsgrundlage für Verarbeitung gem. DSGVO
• techn. erforderliche Cookies (z.B. Sprach-Optionen): berechtigte Interessen
• für Bestellprozess, Bezahlen o.ä. erforderliche Cookies: Vertragserfüllung
• techn. nicht erforderliche Cookies: Einwilligung
• Consent Management / Cookie-Banner (zur Einholung der Einwilligung)
• ggf. weitere Einwilligung für Nutzung von US-Diensten (z.B.Google
Analytics, Facebook Pixel…)
• Beschreibung in Datenschutzerklärung
41
Datenschutzerklärung

42. • Checkliste Consent-Management (Cookie-Banner):
• echte Opt-In-Lösung, d.h. keine vorausgefüllten Checkboxen
• echte Wahlmöglichkeit, z.B. durch zusätzliche Option „Nein“, „Abbrechen“ o.ä.
• „Annehmen“- & „Ablehnen“-Optionen beide auf 1. Ebene
• kein übermäßiges „Nudging“ (z.B. durch voreingestellte Aktivierung von
Marketing-Cookies)
• ausreichende Informationen über Cookies
• sprechender Link auf Datenschutzerklärung
• Beschreibung aller Cookies in Datenschutzerklärung
• Differenzierung nach Cookie-Arten
• keinVerdecken von Menüpunkten für Rechtstexte (Impressum,
Datenschutzerklärung…)
• Sonderproblem: Einsatz von US-Tools
42
Datenschutzerklärung

43. Problemkreis: Nutzung von US-Tools
nach sog. „Schrems II“-Urt. des EuGH vom 16.07.2020
dürfenTools von US-Anbietern nur unter engen
Voraussetzungen genutzt werden
in der Praxis kaum rechtssicher umzusetzen
43
Datenschutzerklärung

44. „rechtskonformer“ Einsatz von US-Tools
Abschluss eines speziellen Vertrages (sog. AV-Vertrag,
hier in Form der EU-Standardvertragsklauseln, SCC)
Durchführung einer Datentransfer-Folgenabschätzung
(sog.TIA)
Rechtsgrundlage? (rechtskonforme Einwilligung?)
44
Datenschutzerklärung

45. Einsatz von GoogleAnalytics & Co. :
Codemodifikation (IP-Adressen dürfen nicht ungekürzt
erhoben werden, z.B. durch „anonymizeIP“)
Hinweis auf Widerspruchsmöglichkeit (z.B. per Browser-
Addon oder Opt-Out-Cookie)
Beschreibung in der Datenschutzerklärung
Vertrag mit Software-Anbieter (z.B. Google) über
Auftragsverarbeitung oder ggf. gemeinsame
Verantwortlichkeit
keine Aktivierung einer Nutzer-ID / Profilbildung
Altdaten / bestehendenAccount ggf. löschen
45
Datenschutzerklärung

46. Inhalt / Übersicht
1. Einführung
2.Impressum
3. Datenschutzerklärung
4.Exkurs: Social Media
46

47. Social Media
47
Impressum
Datenschutz-
erklärung
Social
Media
Profile

48. Social Media
EuGH, Urteil vom 05.06.2018, Az. C-210/16
Netzwerkbetreiber (Facebook & Co.) und Profil-Betreiber
sind „gemeinsamVerantwortliche“ i.S.v.Art. 26 DSGVO
(sog. „joint controllership“)
Vertrag über gemeinsame Verantwortlichkeit muss
abgeschlossen werden
bislang stellt nur Facebook Vereinbarung gem. Art. 26
DSGVO bereit (sog. „Seiten-Insights-Ergänzung
bezüglich desVerantwortlichen“)
48

49. Social Media
 Betrieb eines Social-Media-Accounts – Best Practice:
 Menüpunkt „Datenschutz“ anlegen
 statt kompletter Pflichtinhalte eher „sprechenden Link“ auf die
Datenschutzerklärung der eigenenWebsite einbinden (z.B.
„Datenschutzhinweise: www.xyz.de/datenschutz“)
 Beschreibung der Datenverarbeitung in den sozialen Medien in derWebsite-
Datenschutzerklärung (soweit bekannt)
 Hinweis, dassWebsite-Datenschutzerklärung auch für Social-Media-Profile gilt
 Verlinkung auf die Datenschutzhinweise des / der genutzten sozialen
Netzwerke
 Verlinkung auf die „Joint-Controllership-Vereinbarung“ (z.Zt. nur bei Facebook
möglich, zu finden unter:
www.facebook.com/legal/terms/page_controller_addendum) 49

50. Social Media
50
Facebook
Twitter
LinkedIn
Youtube
Xing
…

51. Einbindung von Social Plugins?
51
Social Media

52. 52
Social Media

53. Einbindung von Social Plugins per „2-Klick-Lösung“ o.ä.
Einbindung von Platzhaltergrafiken (ohne sonstige
Funktionen)
Informationen über Social Plugins & „2-Klick-Lösung“
(Mouse-over-Text)
Aktivierung der Social Plugins nach 1. Mausklick des Nutzers
Nutzung der Funktionen der Social Plugins erst nach 2.
Maus-klick des Nutzers
Ausdrücklicher Hinweis auf die Social Plugins & deren
Funktionsweise in der Datenschutzerklärung
53
Social Media

54. Ham‘Se klar ?!
54

55. Heinestr. 9
52146Würselen
Tel.: 02405 – 1408040
Fax: 02405 – 1408041
Mobil: 0177 – 5554462
E-Mail: info@ra-rohrlich.de
WWW: ra-rohrlich.de
Internet & Social Media:
www.rechtssicher.info
facebook.com/ra.rohrlich
twitter.com/MichaelRohrlich
linkedin.com/in/michael-
rohrlich-3577b3109
55
Michael Rohrlich
Rechtsanwalt
Zertifizierter Datenschutzbeauftragter (DSB-TÜV)
Geprüfter Datenschutzauditor (Haufe)
+
| | | |
@