Das Gesetz verpflichtet jede Website/App, die personenbezogene Daten erfasst, dazu, die Nutzer mittels spezieller Datenschutzerklärungen und Cookie-Hinweisen über relevante Details zu informieren.

Datenschutzerklärungen müssen bestimmte grundlegende Elemente enthalten, die für Ihre jeweiligen Datenverarbeitungsaktivitäten typisch sind, darunter:

• die Kontakt- und Identifizierungsdaten des Datenverantwortlichen;
• welche personenbezogenen Daten verarbeitet werden;
• die Zwecke und Methoden der Datenverarbeitung;
• die Kategorien der Quellen, von denen die Daten der Verbraucher erfasst werden;
• die Rechtsgrundlagen der Datenverarbeitung (z. B. Einwilligung);
• die Dritten, die ebenfalls auf die Daten zugreifen dürfen - dazu gehören auch eventuelle Drittanbieter-Tools (z. B. Google Analytics);
• Angaben zur Datenübertragung außerhalb der Europäischen Union (wo dies zutrifft);
• die Rechte des Nutzers;
• Beschreibung des Benachrichtigungsverfahrens bei Änderungen oder Aktualisierungen der Datenschutzerklärung;
• das Gültigkeitsdatum der Datenschutzerklärung.

Die Cookie-Richtlinie beschreibt ausdrücklich die verschiedenen Arten von Cookies, die über die Website installiert werden, alle Drittanbieter, auf die sich diese Cookies beziehen - einschließlich eines Links zu den entsprechenden Dokumenten und Opt-Out-Formularen - sowie die Zwecke der Datenverarbeitung.

Können wir nicht ein universelles Dokument verwenden?
Es ist nicht möglich, solche globale Dokumente zu verwenden, da Ihre Cookie-Richtlinie die spezifische Datenverarbeitung, die von Ihrer Website/App durchgeführt wird, detailliert beschreiben muss und auch die besonderen Details aller Technologien von Drittanbietern, die speziell von Ihnen verwendet werden, enthalten muss (z. B. Facebook „Gefällt mir“ -Buttons oder Google Maps).

Was ist, wenn meine Website keine Daten verarbeitet?
Die Wahrscheinlichkeit, dass Ihre Website keine Daten verarbeitet ist sehr gering. Ein einfaches Kontaktformular oder ein Datenverkehr-Analysesystem wie Google Analytics reicht aus, um die Pflicht zur Erstellung und Anzeige einer Datenschutzerklärung und Cookie-Richtlinie einzuleiten.

Neben der Anzeige einer leicht zugänglichen und genauen Cookie-Richtlinie ist es zur Anpassung einer Website an die Cookie-Gesetzgebung auch erforderlich, beim ersten Besuch jedes Nutzers ein informatives Cookie-Banner anzuzeigen, das auf eine detaillierte Cookie-Richtlinie verweist und dem Nutzer die Möglichkeit gibt, die Installation von Cookies entweder abzulehnen oder einzuwilligen. Die meisten Arten von Cookies, einschließlich derer, die von Tools wie Social Sharing Buttons ausgegeben werden, sollten nur nach einer gültigen Einwilligung des Nutzers freigegeben werden.

Darüber hinaus können viele Netzwerke von Drittanbietern die Reichweite von Werbeanzeigen einschränken, wenn Sie kein Cookie-Verwaltungssystem einsetzen, das den Industriestandards entspricht - was möglicherweise Ihre Fähigkeit einschränkt, Werbeeinnahmen zu generieren.

Was ist ein Cookie?
Cookies sind kleine Dateien, die verwendet werden, um bestimmte Informationen zu speichern oder zu überwachen, während ein Nutzer auf einer Website surft. Cookies sind heutzutage für das ordnungsgemäße Funktionieren einer Website unerlässlich. Darüber hinaus verwenden viele Technologien von Drittanbietern, die wir in unsere Websites integrieren, wie z. B. einfache Video-Widgets oder Analyseprogramme, auch Cookies.

CCPA verlangt, dass Unternehmen kalifornische Nutzer darüber informieren, wie und warum ihre Daten verwendet werden, welche Rechte sie diesbezüglich haben und wie sie diese Rechte ausüben können - einschließlich des Rechts auf Opt-Out. Um diese Anforderungen zu erfüllen, müssen Sie sowohl die entsprechenden Angaben in Ihre Datenschutzerklärung aufnehmen als auch einen Hinweis auf die Datenerfassung beim ersten Besuch des Nutzers anzeigen (falls zutreffend).

Der Prozess, der dem Nutzer die Möglichkeit zum Ausstieg gibt, sollte über einen „Meine personenbezogenen Daten nicht verkaufen“ (DNSMPI)-Link unterstützt werden, der von Ihrem Cookie-Hinweis und an anderer Stelle auf Ihrer Website zugänglich sein sollte (am besten wäre es, den Link auch in den Footer einzufügen).

Mein Unternehmen ist nicht in Kalifornien ansässig, muss ich die CCPA einhalten?
Der CCPA gilt für die meisten Unternehmen, die personenbezogene Daten kalifornischer Kunden erfassen oder potenziell erfassen könnten, unabhängig davon, ob das Unternehmen selbst geografisch in Kalifornien angesiedelt ist oder nicht. Da IP-Adressen als personenbezogene Daten gelten, gilt dies wahrscheinlich für jede Website mit mindestens 50.000 individuellen Seitenaufrufen pro Jahr aus Kalifornien.

Wenn ein Nutzer personenbezogene Daten direkt auf einer Website/App eingibt, z. B. durch Ausfüllen eines Kontaktformulars, einer Service-Registrierung oder eines Newsletter-Abonnements, ist es notwendig, eine Einwilligung einzuholen, die frei gegeben, eindeutig und informiert ist. Unter der DSGVO ist es außerdem notwendig, eindeutige Aufzeichnungen zu führen, mit denen Sie nachweisen können, dass eine gültige Einwilligung eingeholt wurde.

Ähnlich wie die DSGVO verlangt auch das brasilianische LGPD, dass der Datenverantwortliche einen eindeutigen Einwilligungsnachweis vorlegt, der belegt, dass die Einwilligung des Nutzers auf eine gültige Weise eingeholt wurde.

Was versteht man unter einer freien, spezifischen und informierten Einwilligung?
Sie müssen für jeden spezifischen Datenverarbeitungszweck eine Einwilligung einholen - z. B. eine Einwilligung für den Versand von Newslettern und eine weitere Einwilligung für den Versand von Werbematerial im Auftrag von Dritten. Die Einwilligung kann durch die Einrichtung eines oder mehrerer Kontrollkästchen eingeholt werden, die nicht vorausgewählt, nicht obligatorisch oder gezwungen (frei gegeben) sein sollten und mit entsprechenden Angaben versehen sind, die dem Nutzer deutlich machen, wie seine Daten verwendet werden.

Wie kann der Nachweis einer gültigen Einwilligung eindeutig erbracht werden?
Jedes Mal, wenn ein Nutzer ein Formular auf Ihrer Website/App ausfüllt, muss eine Reihe von Informationen erfasst werden. Zu diesen Informationen gehören eine eindeutige Benutzeridentifikation, der Inhalt der akzeptierten Datenschutzerklärung, eine Kopie des vom Nutzer eingereichten Formulars sowie eine Aufzeichnung des verwendeten Opt-In-Mechanismus.

Reicht die E-Mail, die ich nach dem Ausfüllen eines Formulars vom Nutzer erhalte, nicht als Einwilligungsnachweis aus? Leider ist dies nicht ausreichend, da einige Informationen fehlen, die notwendig sind, um eine angemessene Vorgehensweise zur Einholung der Einwilligung zu rekonstruieren, wie z. B. eine Kopie des vom Nutzer tatsächlich ausgefüllten Formulars und die Version der Datenschutzdokumente, die dem Nutzer zum Zeitpunkt der Einholung der Einwilligung vorlag.

Ist es erforderlich, dass ich die LGPD einhalte, auch wenn sich mein Unternehmen nicht in Brasilien befindet?
Das LGPD hat einen geografischen Geltungsbereich, der sich außerhalb Brasiliens erstreckt. Das bedeutet, dass Sie möglicherweise auch dann die Bestimmungen einhalten müssen, wenn Sie oder Ihr Unternehmen nicht in Brasilien ansässig sind. Daher fallen Sie in den Geltungsbereich der LGPD, wenn Sie Daten von Personen verarbeiten, die sich innerhalb des brasilianischen Territoriums befinden, unabhängig von deren Nationalität (auch wenn sie sich nur zum Zeitpunkt der Datenerfassung in Brasilien befanden und seitdem umgezogen sind).

Unter bestimmten Umständen kann es notwendig sein, Ihr Online-Geschäft/Ihre Webseite mit einem AGB-Dokument vor potenziellen Haftungsansprüchen zu schützen. Obwohl nicht immer gesetzlich vorgeschrieben, legen AGB die Art und Weise, wie Ihr Produkt, Ihre Dienstleistung oder Ihr Inhalt genutzt werden darf, rechtsverbindlich fest.

Die AGB enthalten in der Regel Urheberrechtsklauseln, Haftungsausschlüsse, Verkaufsbedingungen, ermöglichen die Festlegung des anwendbaren Rechts, führen obligatorische Verbraucherschutzklauseln auf und mehr.

Die AGB sollten mindestens Folgendes enthalten:

• die Identifikation des Geschäfts;
• eine Beschreibung des Dienstes, den Ihre Site/App anbietet;
• Informationen über Risikozuweisung, Haftung und Haftungsausschlüsse;
• Hinweise zur Gewährleistung/Garantie;
• das Vorliegen eines Widerrufsrechts;
• Sicherheitshinweise, einschließlich Anweisungen zur ordnungsgemäßen Verwendung (z. B. Lieferbedingungen des Produkts/der Dienstleistung);
• Nutzungsrechte;
• Nutzungs-/Kaufbedingungen (z. B. Altersanforderungen oder standortbezogene Einschränkungen);
• Rückerstattungsrichtlinien / Umtausch / Beendigung des Dienstes und diesbezügliche Informationen;
• Informationen zu den Zahlungsmodalitäten.

Wann sind AGB zwingend erforderlich?
Jeder, von Bloggern bis hin zu E-Commerce-, SaaS- und Großunternehmen, kann von solchen AGB profitieren. In einigen Fällen können sie jedoch obligatorisch sein, wie z. B. im Fall von E-Commerce, wo Zahlungsdaten verarbeitet werden.

Kann ich ein AGB-Dokument von einer anderen Website kopieren und verwenden?
Da sie hauptsächlich eine rechtlich bindende Vereinbarung darstellen, ist es nicht nur wichtig, eine solche zu haben, sondern auch notwendig, sicherzustellen, dass sie den rechtlichen Anforderungen entspricht und zu Ihren spezifischen Geschäftsprozessen und Ihrem Unternehmensmodell passt. Außerdem müssen sie bezüglich der verschiedenen Gesetze, auf die in ihrem Inhalt verwiesen wird, aktuell bleiben. Das Kopieren von AGB von anderen Websites ist sehr riskant und könnte dazu führen, dass das Dokument ungültig oder nicht rechtlich wirksam ist.