1. September 2020

Datenschutz auf der Website – So werden Sie auch online DS-GVO-konform

Das Thema Datenschutz umfasst nahezu alle Bereiche im Unternehmen und natürlich auch den eigenen Webauftritt. Da dieser oft für jeden frei zugänglich ist, sollte man hier besonders gut darauf achten, dass die Webseite DS-GVO-konform gestaltet ist. 

Doch der Datenschutz ist gerade in diesem Bereich extrem schnelllebig, hier kann man bei der Vielzahl an Gesetzen und Urteilen den Überblick verlieren. Damit Sie teure Abmahnungen verhindern können, haben wir nachfolgend die 5 wichtigsten To Do’s für Ihre Website zusammengestellt.

1. Datenschutzerklärung

Warum benötige ich eine Datenschutzerklärung?

Das vermutlich bekannteste und gleichzeitig wichtigste To Do bei der Umsetzung des Datenschutzes auf der Website ist die Erstellung einer korrekten Datenschutzerklärung. Dies ergibt sich aus § 13 Nr. 1 TMG, wo konkret Dienstanbieter, die personenbezogene Daten verarbeiten, dazu verpflichtet wurden, den Nutzer über diese Datenverarbeitung zu informieren. Da es oft zu Streitigkeiten kam, wer nun Dienstanbieter ist und viele kleine Webseitenbetreiber (bspw. von einem Blog) davon ausgingen, keine personenbezogenen Daten zu verarbeiten, spricht die DS-GVO nun vom „Verantwortlichen“. Auch der Begriff „personenbezogene Daten“ wurde genauer definiert, wonach alle Informationen, die einen Rückschluss auf eine bestimmte Person zulassen, personenbezogen sind (vgl. Art. 4 DS-GVO). Auch die IP-Adresse ist danach ein personenbezogenes Datum, welche in der Regel automatisch beim Aufruf einer Seite erfasst wird. Damit gelten die Informationspflichten gem. Art. 12 DS-GVO nun für nahezu jeden Webseitenbetreiber:

  • Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.

Welche Informationen gehören in eine Datenschutzerklärung?

Bei der Frage, welche Informationen in der DSE zu finden sein sollten, hilft ein Blick in Art. 13 DS-GVO. Daraus ergeben sich folgende Pflichtangaben:

  • Name und Kontaktdaten des Verantwortlichen 
  • Kontaktdaten des DSB (sofern einer zu benennen ist)
  • Zwecke und Rechtsgrundlagen der Datenverarbeitung
  • Empfänger der Daten
  •  Informationen zur Datenübermittlung in ein Drittland (falls vorhanden)
  • Speicherdauer
  • Hinweis zu den Betroffenenrechten

Zwingend notwendig sind diese Angaben für alle Datenverarbeitungsvorgänge auf Ihrer Website, also z.B. für Google Analytics. Einige Angaben bleiben dabei stets unverändert, das betrifft etwa die Kontaktdaten des Verantwortlichen und des DSB. Diese müssen nicht ständig wiederholt werden, sondern können optimalerweise zu Beginn der Datenschutzerklärung einmal aufgeführt werden. So könnte eine Gliederung der DSE z.B. wie folgt aussehen:

Überblick
zur Datenverarbeitung

Pflichtinformationen

Betroffenenrechte, Kontaktdaten Verantwortlicher & Datenschutzbeauftragter

Weitere Funktionen und Angebote dieser Website

Sonstige Informationspflichten

Bewerber, Kunden, Lieferanten usw., im Sinne der Link-Lösung

Websitecheck

Das DS-GVO-Komplettpaket: Machen Sie Ihre Website und Ihre Social Media-Kanäle konform!

2. Cookies

Der rechtskonforme Einsatz von Cookies wird spätestens seit dem EuGH-Urteil im Oktober 2019 (Urt. v. 1.10.2019, Az. C-673/17) immer wieder heiß diskutiert. Hier bezog der EuGH zu einigen Unsicherheiten Stellung:

  • Sind die gesetzten Cookies einwilligungspflichtig, so muss diese Einwilligung aktiv erfolgen. Die bis dahin gängige Praxis, einfach nur ein Informationsbanner anzuzeigen („Diese Website verwendet Cookies, mit der Weiternutzung der Website akzeptieren Sie diese.“) ist damit nicht mehr rechtskonform. Auch eine Einwilligung durch ein voreingestelltes Ankreuzkästchen, gilt nicht als wirksam erteilte Einwilligung. 
  • Zudem müssen Besucher der Webseite nun über die Cookies informieren, insbesondere über die Funktionsdauer und die Weitergabe der Daten an Dritte. 

Zuvor galt in Deutschland § 15 Abs. 3 Telemediengesetz (TMG), der noch ein „Opt-Out“ für einwilligungspflichtige Cookies erlaubt. Viele Webseitenbetreiber beriefen sich auch weiterhin auf diesen Paragrafen, denn die Richtlinie, zu der sich der EuGH geäußert hatte, war so nicht direkt in Deutschland rechtskräftig. Hierzu hatten die deutschen Datenschutzbehörden jedoch schon in einem Papier vom 03. April 2019 Stellung bezogen und eine datenschutzkonforme Vorgehensweise vorgestellt.

Was gilt nun in Deutschland?

Am 28. Mai 2020 hat dann schließlich auch der BGH sein Urteil zu der Thematik gefällt und sich wie erwartet, der Meinung des EuGH angeschlossen. Damit sind nun zumindest einige Unsicherheiten aus dem Weg geräumt, vor der Setzung von Cookies wird also in jedem Fall eine Einwilligung des Users benötigt. Voreingestellte Haken zur Cookie-Einwilligung oder rein informative Banner die nur „weggeklickt“ werden können, sind damit nicht mehr rechtskonform. Offen bleibt die Frage, welche Cookies nun als unbedingt für den Betrieb der Website erforderlich, anzusehen sind. Die meisten Datenschützer vertreten die Auffassung, dass folgende Cookies unter diese Kategorie fallen:

  • Warenkorb-Cookies eines Onlineshops;
  • der Login-Status;
  • die Sprachauswahl auf einer internationalen Webseite;
  • Cookies, die eine Cookie-Einwilligung speichern;
  • Cookies, die der gleichmäßigen Lastenverteilung (Load Balancing) einer Website dienen.

Wie setze ich Cookies rechtssicher auf meiner Website ein?

Wir empfehlen den Einsatz eines Cookie-Banners, bei dem keine Kästchen vorangekreuzt sind und der User so zu jedem Cookie eine Einwilligung abgeben kann. Wichtig ist hier, dass vor Abgabe der Einwilligung, alle Cookies inaktiv geschaltet werden müssen. Hier bietet es sich an, im Cookie-Banner auch seinen Informationspflichten nachzukommen und Informationen über Funktionsdauer und Weitergabe der Cookies an Dritte aufzulisten.

3. Drittanbieter Tools

Die Einbindung von Drittanbieter-Tools und Plugins ist mit datenschutzrechtlichen Risiken und rechtlichen Unsicherheiten verbunden, wenn diese ungefragt personenbezogene Daten von Website-Besuchern speichern oder übertragen. Ein bloßer Hinweis in der Datenschutzerklärung ist aus Sicht der Datenschutzbehörden und einiger Gerichte in diesen Fällen dann nicht ausreichend.

Dies betrifft v.a. solche Tools, die über sog. iFrames eingebunden werden. Dabei werden externe Webinhalte visuell in die eigene Webseite eingebettet. Bindet man also bspw. Google Maps oder YouTube-Videos auf diese Weise ein, so findet beim Aufrufen der Seite ein Datenaustausch mit den Servern von Google statt. Hierfür fehlt dem Betreiber der Website aber die benötigte Rechtsgrundlage.

Mittlerweile hat sich hier die sog. 2-Klick-Lösung durchgesetzt. Dabei werden die Inhalte im iFrame zunächst technisch blockiert, bis der User in die Datenverarbeitung eingewilligt hat. Auch hier gibt es bereits Anbieter, die mit dieser Lösung arbeiten, hier anhand des Beispiels von Google Maps:

Social Plugins

Besonders kritisch sind sog. Social Plugins zu betrachten. Unter Social Plugins fallen z.B. Like- und Share Buttons von Facebook und anderen sozialen Netzwerken. Diese übertragen, unabhängig davon, ob der User aktiv auf den Button klickt, oder ob der Besucher der Website dort registriert ist, personenbezogene Daten an den Betreiber des sozialen Netzwerks. Deshalb ist auch hier eine Einbindung mithilfe der 2-Klick-Lösung zu empfehlen.

Alternativ hat sich die "Shariff-Lösung" durchgesetzt. Die von Heise und c’t entwickelten Buttons sind individuell gestaltbare HTML-Links, die erst nach einem Klick auf den jeweiligen Share Button eine Verbindung zum sozialen Netzwerk herstellen. Auf diese Weise muss der Webseitenbesucher auch weiterhin nur einen Klick aufwenden, um z.B. einen Beitrag auf Facebook zu teilen, ist aber bis dahin vor unbemerkter Datenübertragung geschützt.

4. Kontaktformular

Auch beim Kontaktformular gelten die Grundsätze des Datenschutzes, insbesondere der Grundsatz der Datenminimierung wird häufig nicht beachtet. Hier sollte man im Einzelfall die Pflichtfelder einmal kritisch prüfen, oft werden zu viele Kontaktmöglichkeiten abgefragt. Im Regelfall reicht hier eine Möglichkeit (meistens E-Mail oder Telefon) vollkommen aus.

Fragt man personenbezogene Daten im Kontaktformular ab, so muss die Website zusätzlich ein SSL-Zertifikat besitzen. Ein gültiges SSL-Zertifikat erkennen Sie je nach Browser an dem Schloss in der Browserzeile. Gleichzeitig müssen auch weiterhin die Informationspflichten beachtet werden, hier wäre die Link-Lösung mit Verweis auf die Datenschutzerklärung empfehlenswert.

Achtung! Bitte richten Sie für die DSE kein Kontrollkästchen ein („Ich akzeptiere die Datenschutzerklärung“), sondern verweisen Sie lediglich darauf (etwa „Hinweise zum Datenschutz finden Sie hier“). 

5. Auftragsverarbeitungs-Verträge

Auftragsverarbeitung meint die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch einen Dritten, z.B. einen externen Dienstleister, im Auftrag des Verantwortlichen. Diese Dienstleister müssen hinreichende Garantien bieten, dass sie die gesetzlichen Vorgaben aus der DS-GVO und dem BDSG einhalten. Ein sog. Auftragsverarbeitungs-Vertrag (AVV) schafft eine Rechtsgrundlage für die Verarbeitung dieser personenbezogenen Daten und legt Rechten und Pflichten des Auftragnehmers und des Auftraggebers fest. Weil in den meisten Fällen auch auf der Website verschiedene Dienstleister eingesetzt werden, die personenbezogene Daten verarbeiten, sind auch hier solche AV-Verträge notwendig. Zu den bekanntesten Anwendungsmöglichkeiten zählen u.a. der Hoster der Website, externe Analysetools (wie Google Analytics) und der E-Mail-Marketing-Dienstleister.

Wie wird ein AV-Vertrag abgeschlossen?

Früher musste ein AV-Vertrag schriftlich an den jeweiligen Dienstleister versendet werden, das hat sich glücklicherweise geändert. So bieten die meisten Dienstleister mittlerweile elektronische AV-Verträge an, denen Sie im jeweiligen Mitgliederbereich lediglich noch zustimmen müssen. Eine Anleitung zum Abschluss eines AV-Vertrags mit Google finden Sie hier: https://support.google.com/analytics/answer/3379636.

Fazit

Die Umsetzung der gesetzlichen Vorgaben im Datenschutz ist gerade auf der Website ziemlich komplex, aber umso wichtiger im Hinblick darauf, dass sie von Abmahnern oft als erste Anlaufstelle genutzt wird. Mit den oben aufgelisteten To Do’s haben Sie zunächst die wichtigsten datenschutzrechtlichen Vorgaben umgesetzt. Falls Sie Unterstützung bei der Umsetzung benötigen, stehen wir Ihnen natürlich gerne in allen Fragestellungen zur Verfügung!

 

Über den Autor

Daniel Lüttgens

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Erhalten Sie unsere unverbindl. Updates über Neuerungen im Datenschutz & weiteren Compliance-Themen:

Informationen zur Datenverarbeitung finden Sie hier.

>

Lassen sie ihre website jetzt checken!

Sichern Sie Ihren Außenauftritt noch heute datenschutzrechtlich ab und schützen Sie sich vor hohen Abmahnungen!