Datenschutz auf der Webseite: Das Thema Datenschutz umfasst nahezu alle Bereiche im Unternehmen und natürlich auch den eigenen Webauftritt. Da dieser oft für jeden frei zugänglich ist, sollte man hier besonders gut darauf achten, dass man den Datenschutz auf der Webseite beachtet und diese DSGVO-konform gestaltet ist.
Doch der Datenschutz ist gerade in diesem Bereich extrem schnelllebig, hier kann man bei der Vielzahl an Gesetzen und Urteilen den Überblick verlieren. Damit Sie teure Abmahnungen verhindern können, haben wir nachfolgend die 5 wichtigsten To Do’s für Ihre Website zusammengestellt.
1. Datenschutzerklärung
Warum benötige ich eine Datenschutzerklärung?
Das vermutlich bekannteste und gleichzeitig wichtigste To Do bei der Umsetzung des Datenschutzes auf der Website ist die Erstellung einer korrekten Datenschutzerklärung. Dies ergibt sich aus § 13 Nr. 1 TMG, wo konkret Dienstanbieter, die personenbezogene Daten verarbeiten, dazu verpflichtet wurden, den Nutzer über diese Datenverarbeitung zu informieren. Da es oft zu Streitigkeiten kam, wer nun Dienstanbieter ist und viele kleine Webseitenbetreiber (bspw. von einem Blog) davon ausgingen, keine personenbezogenen Daten zu verarbeiten, spricht die DS-GVO nun vom „Verantwortlichen“. Auch der Begriff „personenbezogene Daten“ wurde genauer definiert, wonach alle Informationen, die einen Rückschluss auf eine bestimmte Person zulassen, personenbezogen sind (vgl. Art. 4 DS-GVO). Auch die IP-Adresse ist danach ein personenbezogenes Datum, welche in der Regel automatisch beim Aufruf einer Seite erfasst wird. Damit gelten die Informationspflichten gem. Art. 12 DS-GVO nun für nahezu jeden Webseitenbetreiber:
Welche Informationen gehören in eine Datenschutzerklärung?
Bei der Frage, welche Informationen in der DSE zu finden sein sollten, hilft ein Blick in Art. 13 DS-GVO. Daraus ergeben sich folgende Pflichtangaben:
Zwingend notwendig sind diese Angaben für alle Datenverarbeitungsvorgänge auf Ihrer Website, also z.B. für Google Analytics. Einige Angaben bleiben dabei stets unverändert, das betrifft etwa die Kontaktdaten des Verantwortlichen und des DSB. Diese müssen nicht ständig wiederholt werden, sondern können optimalerweise zu Beginn der Datenschutzerklärung einmal aufgeführt werden. So könnte eine Gliederung der DSE z.B. wie folgt aussehen:
Überblick | Hier werden allgemeine Hinweise kurz und prägnant dargestellt, u.a. zur Datenerfassung bei Besuch der Website (Logfiles, IP-Adresse…) |
Pflichtinformationen | Die Betroffenenrechte und Kontaktdaten vom Verantwortlichen & dem Datenschutzbeauftragten für evtl. Auskunftsersuchen |
Weitere Funktionen und Angebote dieser Website | |
Sonstige Informationspflichten | Bewerber, Kunden, Lieferanten usw., im Sinne der Link-Lösung |
Überblick | |
Pflichtinformationen | Betroffenenrechte, Kontaktdaten Verantwortlicher & Datenschutzbeauftragter |
Weitere Funktionen und Angebote dieser Website | |
Sonstige Informationspflichten |
Websitecheck
Das DS-GVO-Komplettpaket - Websiteaudit, Cookiebanner, Monitoring:
Machen Sie Ihre Website und Ihre Social Media-Kanäle konform!
2. Cookies
Der rechtskonforme Einsatz von Cookies wird spätestens seit dem EuGH-Urteil im Oktober 2019 (Urt. v. 1.10.2019, Az. C-673/17) immer wieder heiß diskutiert. Hier bezog der EuGH zu einigen Unsicherheiten Stellung:
Zuvor galt in Deutschland § 15 Abs. 3 Telemediengesetz (TMG), der noch ein „Opt-Out“ für einwilligungspflichtige Cookies erlaubt. Viele Webseitenbetreiber beriefen sich auch weiterhin auf diesen Paragrafen, denn die Richtlinie, zu der sich der EuGH geäußert hatte, war so nicht direkt in Deutschland rechtskräftig. Hierzu hatten die deutschen Datenschutzbehörden jedoch schon in einem Papier vom 03. April 2019 Stellung bezogen und eine datenschutzkonforme Vorgehensweise vorgestellt.
Was gilt nun in Deutschland für den Datenschutz auf der Webseite?
Am 28. Mai 2020 hat dann schließlich auch der BGH sein Urteil zu der Thematik gefällt und sich wie erwartet, der Meinung des EuGH angeschlossen. Damit sind nun zumindest einige Unsicherheiten aus dem Weg geräumt, vor der Setzung von Cookies wird also in jedem Fall eine Einwilligung des Users benötigt. Voreingestellte Haken zur Cookie-Einwilligung oder rein informative Banner die nur „weggeklickt“ werden können, sind damit nicht mehr rechtskonform. Offen bleibt die Frage, welche Cookies nun als unbedingt für den Betrieb der Website erforderlich, anzusehen sind. Die meisten Datenschützer vertreten die Auffassung, dass folgende Cookies unter diese Kategorie fallen:
Datenschutz auf der Webseite: Wie setze ich Cookies rechtssicher ein?
Wir empfehlen den Einsatz eines Cookie-Banners, bei dem keine Kästchen vorangekreuzt sind und der User so zu jedem Cookie eine Einwilligung abgeben kann. Wichtig ist hier, dass vor Abgabe der Einwilligung, alle Cookies inaktiv geschaltet werden müssen. Hier bietet es sich an, im Cookie-Banner auch seinen Informationspflichten nachzukommen und Informationen über Funktionsdauer und Weitergabe der Cookies an Dritte aufzulisten.
3. Drittanbieter Tools
Die Einbindung von Drittanbieter-Tools und Plugins ist mit datenschutzrechtlichen Risiken und rechtlichen Unsicherheiten verbunden, wenn diese ungefragt personenbezogene Daten von Website-Besuchern speichern oder übertragen. Ein bloßer Hinweis in der Datenschutzerklärung ist aus Sicht der Datenschutzbehörden und einiger Gerichte in diesen Fällen dann nicht ausreichend.
Dies betrifft v.a. solche Tools, die über sog. iFrames eingebunden werden. Dabei werden externe Webinhalte visuell in die eigene Webseite eingebettet. Bindet man also bspw. Google Maps oder YouTube-Videos auf diese Weise ein, so findet beim Aufrufen der Seite ein Datenaustausch mit den Servern von Google statt. Hierfür fehlt dem Betreiber der Website aber die benötigte Rechtsgrundlage.
Mittlerweile hat sich hier die sog. 2-Klick-Lösung durchgesetzt. Dabei werden die Inhalte im iFrame zunächst technisch blockiert, bis der User in die Datenverarbeitung eingewilligt hat. Auch hier gibt es bereits Anbieter, die mit dieser Lösung arbeiten, hier anhand des Beispiels von Google Maps:
Datenschutz auf der Webseite: Social Plugins
Besonders kritisch sind sog. Social Plugins zu betrachten. Unter Social Plugins fallen z.B. Like- und Share Buttons von Facebook und anderen sozialen Netzwerken. Diese übertragen, unabhängig davon, ob der User aktiv auf den Button klickt, oder ob der Besucher der Website dort registriert ist, personenbezogene Daten an den Betreiber des sozialen Netzwerks. Deshalb ist auch hier eine Einbindung mithilfe der 2-Klick-Lösung zu empfehlen.
Alternativ hat sich die "Shariff-Lösung" durchgesetzt. Die von Heise und c’t entwickelten Buttons sind individuell gestaltbare HTML-Links, die erst nach einem Klick auf den jeweiligen Share Button eine Verbindung zum sozialen Netzwerk herstellen. Auf diese Weise muss der Webseitenbesucher auch weiterhin nur einen Klick aufwenden, um z.B. einen Beitrag auf Facebook zu teilen, ist aber bis dahin vor unbemerkter Datenübertragung geschützt.
4. Kontaktformular
Auch beim Kontaktformular gelten die Grundsätze des Datenschutzes, insbesondere der Grundsatz der Datenminimierung wird häufig nicht beachtet. Hier sollte man im Einzelfall die Pflichtfelder einmal kritisch prüfen, oft werden zu viele Kontaktmöglichkeiten abgefragt. Im Regelfall reicht hier eine Möglichkeit (meistens E-Mail oder Telefon) vollkommen aus.
Fragt man personenbezogene Daten im Kontaktformular ab, so muss die Website zusätzlich ein SSL-Zertifikat besitzen. Ein gültiges SSL-Zertifikat erkennen Sie je nach Browser an dem Schloss in der Browserzeile. Gleichzeitig müssen auch weiterhin die Informationspflichten beachtet werden, hier wäre die Link-Lösung mit Verweis auf die Datenschutzerklärung empfehlenswert.
Achtung! Bitte richten Sie für die DSE kein Kontrollkästchen ein („Ich akzeptiere die Datenschutzerklärung“), sondern verweisen Sie lediglich darauf (etwa „Hinweise zum Datenschutz finden Sie hier“).
5. Auftragsverarbeitungs-Verträge
Auftragsverarbeitung meint die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch einen Dritten, z.B. einen externen Dienstleister, im Auftrag des Verantwortlichen. Diese Dienstleister müssen hinreichende Garantien bieten, dass sie die gesetzlichen Vorgaben aus der DS-GVO und dem BDSG einhalten. Ein sog. Auftragsverarbeitungs-Vertrag (AVV) schafft eine Rechtsgrundlage für die Verarbeitung dieser personenbezogenen Daten und legt Rechten und Pflichten des Auftragnehmers und des Auftraggebers fest. Weil in den meisten Fällen auch auf der Website verschiedene Dienstleister eingesetzt werden, die personenbezogene Daten verarbeiten, sind auch hier solche AV-Verträge notwendig. Zu den bekanntesten Anwendungsmöglichkeiten zählen u.a. der Hoster der Website, externe Analysetools (wie Google Analytics) und der E-Mail-Marketing-Dienstleister.
Datenschutz auf der Webseite: Wie wird ein AV-Vertrag abgeschlossen?
Früher musste ein AV-Vertrag schriftlich an den jeweiligen Dienstleister versendet werden, das hat sich glücklicherweise geändert. So bieten die meisten Dienstleister mittlerweile elektronische AV-Verträge an, denen Sie im jeweiligen Mitgliederbereich lediglich noch zustimmen müssen. Eine Anleitung zum Abschluss eines AV-Vertrags mit Google finden Sie hier.
Fazit
Die Umsetzung der gesetzlichen Vorgaben im Datenschutz ist gerade auf der Website ziemlich komplex, aber umso wichtiger im Hinblick darauf, dass sie von Abmahnern oft als erste Anlaufstelle genutzt wird. Mit den oben aufgelisteten To Do’s haben Sie zunächst die wichtigsten datenschutzrechtlichen Vorgaben umgesetzt. Falls Sie Unterstützung bei der Umsetzung benötigen, stehen wir Ihnen natürlich gerne in allen Fragestellungen zur Verfügung!
Daniel Lüttgens
