DSGVO
Anforderungen an Websites nach der DSGVO
Für einen datenschutzkonformen Internetauftritt gibt es einiges zu beachten. Zum Beispiel ist eine rechtskonforme Datenschutzerklärung verpflichtend, die die Angaben beinhalten muss, die die DSGVO vorschreibt.
- 1. Webseiten unterliegen Anforderungen der DSGVO und des TDDDG
- 2. Tipps für gängige Website-Techniken und Tools
- 3. Website-Hosting und Hoster
- 4. SSL-Verschlüsselung (https)
- 5. Log-Dateien auf dem eigenen Server
- 6. Kontaktformulare in der Website
- 7. Tracking- und Analyse-Software
- 8. Social Media Plugins wie Facebook & Twitter
- 9. Eingebundene Videos von Youtube & Vimeo
- 10. Cookies und Cookie-Hinweise
- 11. Externe Schriften und Dateien wie z. B. Google Fonts
- 12. Datenschutzerklärung
- 13. Datenweitergabe an externe Dienstleister
- 13. Datenverarbeitungsverträge mit Auftragsverarbeitern
- Zusammenfassung
Stand: Mai 2024
Die folgenden Tipps sollen Unternehmen und Webseiten-Betreibern bei der Anpassung ihres Webauftritts an die Vorgaben der DSGVO helfen.
1. Webseiten unterliegen Anforderungen der DSGVO und des TDDDG
Die Regeln der DSGVO (Datenschutzgrundverordnung) gelten seit dem 25. Mai 2018 einheitlich für alle im EU-Raum aktiven Unternehmen. Dies bedeutet: Soweit nicht Spezialregelungen greifen, sind die erhöhten Anforderungen der DSGVO zu beachten. Bei Missachtung der Datenschutzbestimmungen drohen empfindliche Geldstrafen von bis zu 20 Millionen Euro. Internetseiten unterliegen den datenschutzrechtlichen Bestimmungen, da dort stets personenbezogene Daten (z. B. eine IP-Adresse) verarbeitet werden. Dabei ist wichtig: Nach dem Datenschutzrecht ist eine Verarbeitung von Daten natürlicher Personen zunächst generell verboten, es sei denn ein Gesetz erlaubt dies ausdrücklich.
Neu: Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)
Seit Mitte Mai 2024 ist das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) zu beachten, das das seit Dezember 2021 geltende TTDSG ablöst. Inhaltlich hat sich dadurch aber nichts geändert. Damit sollen die Privatsphäre und Vertraulichkeit von Endeinrichtungen geschützt werden, welche Endnutzer verwenden. Dabei ist wichtig: Der Schutzbereich umfasst alle Informationen (personenbezogene wie nicht-personenbezogene) und findet Anwendung bei allen Personen (natürlichen wie juristischen).
Den Vorgaben des TDDDG unterliegen digitale Dienste wie z. B. Websites, Online-Angebote, über die direkt Waren bzw. Dienstleistungen bestellt werden können, Internetsuchmaschinen und sog. Over-the-top-Dienste (OTT-Dienste) wie z. B. VoIP-Telefonie, Messenger-Dienste, Chat-Funktionen eines Online-Angebots, Videokonferenzsysteme und webbasierte E-Mail-Dienste.
„Anbieter von digitalen Diensten“ ist jede natürliche oder juristische Person, die Dienstleistungen der Informationsgesellschaft erbringt, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung.
Keine „digitalen Dienste“ in diesem Sinne sind Dienste, die der Kunde vor Ort an einem Gerät in Anspruch nimmt (z. B. elektronischer Katalog im Geschäft oder am Flugticketautomaten), nicht „elektronisch“ erbrachte Dienste (z. B. Bankomat, Fahrkartenautomat, Mautstellen, Offlinedienste) und nicht „auf individuellen Abruf eines Empfängers“ erbrachte Dienste (z. B. Fernseh-, Hörfunkdienste).
Stellen Anbieter digitale Dienste zur Verfügung, so haben sie für diese Online-Angebote zudem das TDDDG (früher: TTDSG) zu beachten.
Bei Missachtung des TDDDG drohen Geldbußen von bis zu 300.000 Euro. Die Bußgeldsanktionen nach DSGVO und TDDDG stehen gleichberechtigt nebeneinander, können damit gleichzeitig von einer Datenschutzaufsichtsbehörde angewendet werden.
Für einen datenschutzkonformen Internetauftritt gibt es einiges zu beachten. Zum Beispiel ist eine rechtskonforme Datenschutzerklärung verpflichtend, welche die nach DSGVO erweiterten Angaben beinhalten muss.
Nach dem TDDDG haben Anbieter für ihre digitalen Dienste (z. B. Website-Anbieter) Folgendes zu beachten:
- Technische und organisatorische Vorkehrungen (§ 19 TDDDG) Diese umfassen:
- den Schutz der Nutzer gegen Kenntnisnahme Dritter
- die Möglichkeit, einen genutzten Dienst jederzeit beenden zu können
- die Möglichkeit einer anonymisierten oder pseudonymisierten Dienstenutzung, soweit dies technisch möglich und zumutbar ist
- Anzeigepflicht, bevor eine Verantwortliche Stelle (z. B. ein Websitebetreiber) Nutzer zu einem anderen Anbieter digitaler Dienste weiterleitet
- Grundsätzlich besteht eine Einwilligungspflicht bei einem Zugriff auf ein Endgerät, sofern
- Informationen in einer Endeinrichtung eines Nutzers gespeichert oder auf die dort gespeicherten Informationen zugegriffen wird und
- keine der beiden Ausnahmen des § 25 Abs. 2 TDDDG greift, d. h. alleiniger Zweck des Zugriffs auf oder der Speicherung der Informationen in Endeinrichtungen betrifft die Übertragung der Nachricht über ein öffentliches Telekommunikationsnetzwerk oder Informationen (via Cookies und vergleichbaren Technologien eingeholt) sind unbedingt erforderlich, damit ein Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann.
Praxistipp: 2-Stufen-Prüfung
Stufe 1: Prüfung nach TDDDG – Speichern von und Zugriff auf Informationen (personenbezogene wie nicht-personenbezogene) in Endeinrichtungen:
Besteht Einwilligungspflicht oder Einwilligungsfreiheit nach TDDDG?
Besteht Einwilligungspflicht oder Einwilligungsfreiheit nach TDDDG?
Stufe 2: Prüfung nach DSGVO
Entspricht die Verarbeitung der so gewonnenen personenbezogenen Daten der DSGVO (u. a. auf welche Rechtsgrundlage wird die Datenverarbeitung gestützt?).
Entspricht die Verarbeitung der so gewonnenen personenbezogenen Daten der DSGVO (u. a. auf welche Rechtsgrundlage wird die Datenverarbeitung gestützt?).
Digitale Dienste - Prüfschritte und Vorgehensweise
- Verschaffen Sie sich einen Überblick über Zugriffe auf Endeinrichtungen.
- Bewerten Sie die Dienste neu gem. TDDDG (1. Stufe):
- Grundsatz der Einwilligungspflicht (§ 25 Abs. 1 TDDDG)
- Prüfen Sie, ob Ausnahmen von der Einwilligungspflicht einschlägig sind (§ 25 Abs. 2 TDDDG): nur bei technisch notwendigen Cookies und vergleichbaren Technologien
- Sicht des Nutzers maßgeblich bei „technisch notwendig“: Dieser Maßstab gilt auch für Sicherheits-Cookies/vergleichbare Technologie
- Alleiniger Zweck? Vorsicht bei Mehrzweckcookies
- Unbedingt erforderlich? – Ausnahme greift nur für diese Zugriffe
- Kein Abgleich mit anderen Verarbeitungen
- Gültigkeitsdauer begrenzen
- Datenschutzerklärung, ggf. Consent-Banner anpassen
Beispiele für notwendige Cookies
klassische Session-Cookies (Warenkorb, User-Input), Authentifizierung, Anpassung der Benutzeroberfläche, Sicherheit
klassische Session-Cookies (Warenkorb, User-Input), Authentifizierung, Anpassung der Benutzeroberfläche, Sicherheit
Beispiele für nicht notwendige Cookies
Tracking-Cookies (Verfolgung des Nutzerverhaltens für Marketingzwecke im Internet), Cookies zur Reichweitenmessung und Websiteoptimierung; Cookies zur Einbindung von Drittinhalten oder Drittdiensten
Tracking-Cookies (Verfolgung des Nutzerverhaltens für Marketingzwecke im Internet), Cookies zur Reichweitenmessung und Websiteoptimierung; Cookies zur Einbindung von Drittinhalten oder Drittdiensten
2. Tipps für gängige Website-Techniken und Tools
Die datenschutzrechtlichen Vorgaben der DSGVO gelten, sobald es sich bei den verarbeiteten, insbesondere erhobenen, Daten um personenbezogene Daten handelt. Nach Art. 4 Nr. 1 DSGVO sind alle Informationen personenbezogen, die sich auf eine identifizierbare oder identifizierte natürliche Person beziehen. Zu diesen Daten gehören:
- Name und Anschrift
- Angaben wie Alter, Geschlecht und Einkommen
- Daten über das Surfverhalten wie Suchanfragen und Browserverlauf
- IP-Adressen und sonstige User-Daten
- E-Mails, Videos und Fotos
- Daten, die mithilfe von Tracking-Software entstehen
- Bestellverlauf in einem Onlineshop
- Im Rahmen der DSGVO müssen Betreiber von Webseiten aller Art ihren Internetauftritt auf Konformität prüfen und gegebenenfalls auch das Newsletter-System, sofern dies in den Internetauftritt integriert ist.
Die datenschutzrechtlichen Vorgaben des TDDDG gelten für Anbieter digitaler Dienste und schützen die Privatsphäre und Vertraulichkeit von Endeinrichtungen. Eine “Endeinrichtung” ist jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten; sowohl bei direkten als auch bei indirekten Anschlüssen kann die Verbindung über Draht, optische Faser oder elektromagnetisch hergestellt werden; bei einem indirekten Anschluss ist zwischen der Endeinrichtung und der Schnittstelle des öffentlichen Netzes ein Gerät geschaltet.
Beispiele:
Zu Endeinrichtungen nach TDDDG gehören u. a. die Kommunikation über das Telefon, die Internetkommunikation über Laptops und sonstige mobile Endgeräte, Smart TV und smarte Anwendungen (IoT).
Zu Endeinrichtungen nach TDDDG gehören u. a. die Kommunikation über das Telefon, die Internetkommunikation über Laptops und sonstige mobile Endgeräte, Smart TV und smarte Anwendungen (IoT).
3. Website-Hosting und Hoster
Unternehmen mit Internetauftritt speichern die dort anfallenden Daten meist nicht auf einem eigenen Server, sondern nutzen den Service eines externen Dienstleisters (IT-Hoster). Der Content auf der Website ist über die Server des Providers öffentlich abrufbar. Alternativ hosten Unternehmen mit eigener IT-Abteilung und Hardware ihren Internetauftritt auf einem eigenen Server.
Im Rahmen des Hostings bei einem Provider speichert dieser unter anderem die Inhalte der Website und im Falle eines Onlineshops zudem Kunden- und Zahlungsdaten auf seinen Servern ab. Zum Teil logt dieser auch Tracking-Daten über das Besucherverhalten auf der Website. Daher findet eine Verarbeitung, insbesondere Erhebung und Übermittlung von personenbezogenen Daten statt.
Ist ein Auftragsverarbeitungsvertrag notwendig?
Ja, bei einer Auftragsverarbeitung lässt ein Unternehmen (Verantwortlicher) personenbezogene Daten durch eine andere externe Stelle verarbeiten. Das Unternehmen bestimmt allein über die Zwecke und Mittel der Verarbeitung. Ein IT-Hoster, der im Auftrag eines Unternehmens dessen Daten verarbeitet, insbesondere speichert, zählt zu Auftragsverarbeitern (weisungsgebundene Verarbeitung kundenbezogener Daten). Somit ist ein Vertrag über die Auftragsverarbeitung (AV-Vertrag) zu schließen.
Hinweis: Ebenso gelten Tätigkeiten wie Webdesign, Datenkonvertierung und das Erstellen von Back-ups im Sinne der DSGVO als Auftragsverarbeitung. Nur falls gar keine personenbezogenen Daten verarbeitet (z. B. erhoben) werden, handelt es sich nicht um einen Fall der Auftragsverarbeitung und es ist kein AV-Vertrag erforderlich.
Sie betreiben selbst einen Server?
Ein AV-Vertrag ist ebenfalls mit einem Dienstleister zu schließen, den Sie mit der Wartung Ihres Servers beauftragt haben, wenn dieser im Rahmen der Wartung auf personenbezogene Daten zugreifen kann. Die Möglichkeit des Zugriffs reicht bereits aus. Kann hingegen der Zugriff auf die personenbezogenen Daten vollumfänglich ausgeschlossen werden, liegt keine Auftragsverarbeitung vor.
4. SSL-Verschlüsselung (https)
§ 19 Abs. 4 TDDDG regelt, dass Sicherheits-Vorkehrungen für digitale Dienste zu treffen sind: „Eine Vorkehrung nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.”
Die SSL-Verschlüsselung ermöglicht die sichere Datenübertragung zwischen Client und Server, zum Beispiel sollten die Registrierung und der Einkauf bei einem Onlineshop über eine sichere Verbindung erfolgen.
Zur sicheren Ende-zu-Ende-Datenübertragung zwischen Client und Server eignet sich daher die Möglichkeit zur Verschlüsselung. Empfohlen ist die Verschlüsselung mindestens mittels TLS 1.2 (Verfahren der Verschlüsselung) per https (SSL-verschlüsselte Transportverbindungen). Für die Verschlüsselung muss der Webseitenbetreiber ein SSL-Zertifikat erwerben. In der Regel ist ein solches Zertifikat kostenpflichtig oder im Angebot des Hosting-Providers enthalten.
Alternativ existieren zeitlich befristete Angebote von Dienstleistern, die Sie manuell verlängern müssen. Ein kostenloses und zeitlich limitiertes Zertifikat ist für Betreiber kleiner Websites mit begrenztem Budget interessant. Auf die Vertrauenswürdigkeit des Dienstleisters ist zu achten.
5. Log-Dateien auf dem eigenen Server
Mit Log-Dateien überwachen und protokollieren Webseitenbetreiber die Aktivitäten der Seitenbesucher. Es findet die Speicherung aller Anfragen und Zugriffe auf Unterseiten mit Statusmeldungen statt. Die gesammelten Daten haben für Administratoren großen Wert, denn mithilfe der Log-Dateien lässt sich jeder erfolgreiche und erfolglose Zugriff nachvollziehen. Die Protokollierung ist ein bewährtes Mittel, um Fehler aufzuspüren und zum Beispiel 404-Fehler zu beseitigen (wenn Besucher eine nicht existierende Unterseite öffnen möchten).
Eine Log-Datei dient der Speicherung personenbezogener Daten, genauer werden folgende Daten protokolliert:
- Uhrzeit zum Zeitpunkt des Seitenzugriffs
- URL der besuchten Website
- Menge der übertragenen Daten in Byte
- Information über die Quelle, über die Besucher auf die Seite gelangen
- Angabe des Browsers
- Information zum Betriebssystem
- Speicherung der IP-Adresse des Besuchers (in anonymisierter Form)
Die Verarbeitung dieser Daten darf wie auch sonst nur erfolgen, sofern es hierfür eine Rechtsgrundlage gibt.
In der Datenschutzerklärung ist der Besucher der Website über die jeweilige Rechtsgrundlage zu informieren. Dabei gilt: Daten dürfen verarbeitet (insbesondere erhoben und ausgewertet) werden, wenn diese für die Sicherheit und Funktionsfähigkeit einer Website erforderlich sind. Derartige Daten dürfen nicht zur Auswertung der Verhaltensweisen der Besucher oder zur Profilbildung zum Einsatz kommen.
Über die Nutzung der Log-Dateien müssen Sie in der Datenschutzerklärung informieren. Die Erklärung unterrichtet über die Verwendungszwecke der Server-Logfiles und der dort protokollierten Daten.
6. Kontaktformulare in der Website
Das Kontaktformular ist ein verbreiteter Service und vereinfacht Seitenbesuchern die Kontaktaufnahme mit dem Kundenservice des Unternehmens bzw. Betreibers der Website. Da Daten wie Name und Kontaktdaten abgefragt werden, erheben Sie mit einem Kontaktformular persönliche Daten und müssen Seitenbesucher deshalb zu Beginn der Nutzung über Art, Umfang und Zweck der Datenerfassung informieren. Dabei gilt:
- Nur notwendige Angaben abfragen (Grundsatz der Datenminimierung)
- Bei der Abfrage optionaler Angaben diese als freiwillig kennzeichnen
- Übermittlung der Daten möglichst über eine verschlüsselte Datenleitung („https“)
- Hinweis zu Kontaktformular in der Datenschutzerklärung
Die Datenverarbeitung, welche über Kontaktformulare auf Websites abgewickelt wird, ist personenbezogenen und damit in der Datenschutzerklärung zu beschreiben. Auf die richtige technische (eine verschlüsselte Datenverbindung) und inhaltliche Umsetzung ist zu achten.
Ferner ist diese einzelne Funktion „Kontaktformular“, welche nicht zum Kernbereich des Online-Angebots zählt, dahin zu prüfen, ob es sich hierbei um einen digitalen Dienst handelt, der ausdrücklich vom Nutzer gewünscht ist und damit einwilligungsfrei (s. o.) zur Verfügung gestellt werden kann.
Ferner ist diese einzelne Funktion „Kontaktformular“, welche nicht zum Kernbereich des Online-Angebots zählt, dahin zu prüfen, ob es sich hierbei um einen digitalen Dienst handelt, der ausdrücklich vom Nutzer gewünscht ist und damit einwilligungsfrei (s. o.) zur Verfügung gestellt werden kann.
Lösungsansätze
Die Verarbeitung personenbezogener Daten ist erlaubt, wenn es hierfür eine Rechtsgrundlage (z. B. Vertrag bzw. Vorvertrag oder Einwilligung) gibt (Art. 6 Abs. 1 DSGVO). Wie bisher sollte das Versenden der personenbezogenen Daten angemessen verschlüsselt per https erfolgen. Die Verschlüsselung über das SSL-Protokoll sollte dem aktuellen Stand der Technik entsprechen und mindestens per TLS 1.2 erfolgen.
7. Tracking- und Analyse-Software
Mithilfe von Tracking- und Analyse-Software wie Google Analytics und Matomo (ehemals Piwik) lernen Websitebetreiber viel über die Besucher ihrer Website und können ihren Internetauftritt zielgruppenspezifisch optimieren.
Ist Software wie Google Analytics oder Matomo auf Ihrer Website aktiv, werden personenbezogene Daten (IP-Adressen) an Dritte übertragen. Damit sind die Datenschutzbestimmungen zu beachten. Um die Dienste rechtskonform zu gestalten, müssen Sie Folgendes beachten:
Die Aufsichtsbehörden haben sich bundesweit dahin verständigt, dass Dienste zur statistischen Analyse nicht unbedingt erforderlich und damit nach TDDDG einwilligungspflichtig sind. Für eine Weiterverarbeitung dieser Daten benötigen verantwortliche Stellen ebenfalls eine Rechtsgrundlage (z. B. Einwilligung, Vertrag).
Die Tracking-Tools zur reinen Reichweitenmessung (Auswertung: ausschließlich das Nutzerverhalten auf der Website für den Websitebetreiber) werden nunmehr einwilligungspflichtig. Die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 20.12.2021 führt hierfür eine Vielzahl von Begründungen auf, ohne konkrete Beispielsfälle für eine noch einwilligungsfreie reine Reichweitenmessung nach TDDDG (vormals TTDSG) zu nennen. Rechtsgrundlage hierfür ist § 25 Abs. 1 TDDDG.
Die Tracking-Tools, die nicht nur das reine Nutzerverhalten auf der Website tracken, sondern zudem ein umfassendes "Internetprofil" eines Websitenutzers erstellen, dürfen wie bereits bisher nur mit einer Einwilligung der Nutzer eingesetzt werden. Rechtsgrundlage hierfür ist § 25 Abs. 1 TDDDG.
Praxistipps
- Einholung einer Einwilligung über ein Consent-Banner (ggf. auch für die auf eine Einwilligung gestützte Weiterverarbeitung dieser Daten)
- Information über die Rechtsgrundlagen in der Datenschutzerklärung
- Dokumentation der Rechtsgrundlagen in der Verarbeitungsbeschreibung im Verzeichnis von Verarbeitungstätigkeiten
- Eine wirksame Einwilligung setzt voraus, dass die Nutzer vorab über die geplante Verarbeitungstätigkeit vollständig informiert werden und aktiv zustimmen. Vielfach dürfte eine Einwilligung nicht wirksam eingeholt werden können, weil Websitenbetreiber nicht wissen und damit Websitenbesucher auch nicht darüber informieren können, welche Daten genau ein Tracking-Tool-Dienstleister zu welchen Zwecken verarbeitet ("freiwillige informierte Einwilligung").
Google Analytics
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mit Beschluss vom 12.05.2020 den Einsatz von Google Analytics neu bewertet. Die DSK hat klargestellt, dass Google Analytics so weiterentwickelt wurde, dass Google hierüber für eigene Zwecke Daten (z. B. Nutzerdaten oder personenbeziehbare Gerätedaten) erhebt und verarbeitet. Damit agiert Google nicht mehr wie ein Auftragsverarbeiter. Die DSK sieht Google und den Anwender von Google-Analytics als zwei gemeinsam für die Verarbeitung Verantwortliche an. Die DSK fordert, dass Google hierfür einen Joint Controllership-Vertrag nach Art. 26 DSGVO anbietet, der die Verantwortlichkeit beider Parteien regelt. Google sieht sich bei Google Analytics partiell als Auftragsverarbeiter und bietet Anwendern einen Vertrag über Auftragsverarbeitung an.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mit Beschluss vom 12.05.2020 den Einsatz von Google Analytics neu bewertet. Die DSK hat klargestellt, dass Google Analytics so weiterentwickelt wurde, dass Google hierüber für eigene Zwecke Daten (z. B. Nutzerdaten oder personenbeziehbare Gerätedaten) erhebt und verarbeitet. Damit agiert Google nicht mehr wie ein Auftragsverarbeiter. Die DSK sieht Google und den Anwender von Google-Analytics als zwei gemeinsam für die Verarbeitung Verantwortliche an. Die DSK fordert, dass Google hierfür einen Joint Controllership-Vertrag nach Art. 26 DSGVO anbietet, der die Verantwortlichkeit beider Parteien regelt. Google sieht sich bei Google Analytics partiell als Auftragsverarbeiter und bietet Anwendern einen Vertrag über Auftragsverarbeitung an.
Weitere Informationen finden Sie in der Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 15. November 2019.
8. Social Media Plugins wie Facebook & Twitter
Social Media Plugins wie der Like- und Share-Button von Facebook kommen auf Webseiten aller Art zum Einsatz. Die Betreiber erhoffen sich dadurch eine Vergrößerung der Reichweite und mehr Traffic, da Seitenbesucher die Inhalte „liken“ und mit ihrem sozialen Netzwerk teilen.
Datenschützer stören sich schon seit einiger Zeit an dem Datenhunger der Plugins. Die Plugins verarbeiten personenbezogene Daten und erstellen Persönlichkeitsprofile. Nutzer werden darüber nicht informiert. Bei jedem Aufruf der Website mit direkt eingebundenem Social Media Plugin verschickt dieses automatisch Daten an den Social-Media-Anbieter. Das geschieht unabhängig davon, ob ein Webseiten-Besucher auf diesem Social-Media-Kanal registriert ist oder nicht. Das Problem ist, dass Daten über Seitenbesucher bereits beim Laden der Website erfasst und übertragen werden.
Lösungen
Für die rechtssichere Einbindung der Social Media Plugins sind drei Varianten empfohlen.
Die Shariff-Lösung
Diese Lösung ist eine Weiterentwicklung der 2-Klick-Lösung. Ein Skript ruft ab, wie häufig eine Seite getwittert oder „geliked“ wurde. Dabei erfolgt eine Übertragung der IP-Adresse des Webseiten-Servers und nicht der IP-Adresse des Rechners des Besuchers. Eine Verbindung zwischen den Social-Media-Anbietern und Seitenbesuchern findet erst statt, wenn diese aktiv werden und die Plugins aktiv nutzen (z. B. durch Anklicken). Die Social-Media-Buttons von Shariff schützen die Privatsphäre der Besucher so gut wie das 2-Klick-Verfahren, bei diesen ist jedoch kein zweiter Klick nötig. Bei den Schaltflächen handelt es sich um HTML-Links, die Sie mit CSS individuell gestalten können.
Diese Lösung ist eine Weiterentwicklung der 2-Klick-Lösung. Ein Skript ruft ab, wie häufig eine Seite getwittert oder „geliked“ wurde. Dabei erfolgt eine Übertragung der IP-Adresse des Webseiten-Servers und nicht der IP-Adresse des Rechners des Besuchers. Eine Verbindung zwischen den Social-Media-Anbietern und Seitenbesuchern findet erst statt, wenn diese aktiv werden und die Plugins aktiv nutzen (z. B. durch Anklicken). Die Social-Media-Buttons von Shariff schützen die Privatsphäre der Besucher so gut wie das 2-Klick-Verfahren, bei diesen ist jedoch kein zweiter Klick nötig. Bei den Schaltflächen handelt es sich um HTML-Links, die Sie mit CSS individuell gestalten können.
Die 2-Klick-Lösung
Bei dieser Variante muss der Seitenbesucher erst ein Symbol anklicken, um dieses Social Media Plugin zu aktivieren. Um das Social Media Plugin zu nutzen, muss der Webseiten-Besucher ein weiteres Mal darauf klicken. Erst dann werden seine Nutzerdaten an den Social Media-Anbieter übertragen.
Bei dieser Variante muss der Seitenbesucher erst ein Symbol anklicken, um dieses Social Media Plugin zu aktivieren. Um das Social Media Plugin zu nutzen, muss der Webseiten-Besucher ein weiteres Mal darauf klicken. Erst dann werden seine Nutzerdaten an den Social Media-Anbieter übertragen.
Vollständiger Verzicht
Ein Verzicht auf die Social Media Plugins ist die einfache Lösung, für Webseitenbetreiber aufgrund der verminderten Marketing-Möglichkeiten jedoch nicht attraktiv.
Ein Verzicht auf die Social Media Plugins ist die einfache Lösung, für Webseitenbetreiber aufgrund der verminderten Marketing-Möglichkeiten jedoch nicht attraktiv.
9. Eingebundene Videos von Youtube & Vimeo
Neben Bildern eignen sich Videos besonders gut für die Gestaltung von Internetseiten und die Bereitstellung von Informationen. Die Einbindung von Videos in Webseiten sollte datenschutzkonform erfolgen.
Wie bei den Social Media Plugins speichert eine Internetseite mit eingebundenem Video die IP-Adresse des Nutzers bereits beim Laden der Seite. Die Speicherung erfolgt unabhängig davon, ob der Besucher das Video anklickt oder nicht. Da IP-Adressen zu den personenbezogenen Daten gehören, sind die Datenschutzvorgaben zu beachten. Allerdings ist in diesen Fällen die Datenschutzkonformität nur schwer herstellbar.
Die Einbettung von Videos auf Drittseiten im Wege des „Framing“ ermächtigt Youtube, dort im großen Stil Nutzerdaten zu erheben und auszuwerten. Bei Verwendung der Standard-HTML-Codes werden im jeweiligen Nutzersystem bereits bei Aufruf der Website, die das eingebettete Video beinhaltet, diverse einwilligungspflichtige Cookies gesetzt sowie eine Verbindung zum Google-Werbenetzwerk aufgenommen.
Weil Youtube die Datenverarbeitungsprozesse hinsichtlich Umfang und Zielsetzung allerdings weitgehend verschleiert, ergeben sich nicht nur Probleme bei der rechtskonformen Umsetzung der Informationspflichten nach der DSGVO. Auch die Einwilligungspflicht für technisch nicht notwendige Cookies und die notwendige Widerrufsmöglichkeit müssen rechtskonform sein, was schwierig in der Umsetzung ist.
Die von Youtube bereitgestellte Funktion der Einbettung im sogenannten „erweiterten Datenschutzmodus“ löst nur teilweise die rechtlichen Probleme. Sie reduziert den Aufklärungsumfang und kann zumindest für Youtube-Cookies eine Einwilligungslösung bieten. Dennoch ist für den Einwilligungswiderruf und für DoubleClick-Cookies ein wirksames Cookie-Einwilligungsmanagement notwendig.
Weitere Informationen dazu finden Sie im Artikel “Einbettung von Youtube-Videos im Webshop (Update)” der IT-Recht Kanzlei München.
10. Cookies und Cookie-Hinweise
Heute nutzen fast alle Webseiten Cookies. Cookies sind kleine Textdateien, die Informationen auf dem Rechner eines Webseitenbesuchers ablegen. Mithilfe von Cookies lassen sich Besucher identifizieren und wiedererkennen. So müssen Besucher zum Beispiel nicht bei jedem Seitenbesuch die Anmeldedaten erneut eingeben, wenn in deren Browser ein entsprechendes Cookie gesetzt ist. Nicht jede Website benötigt ein Cookie-Banner. Dies ist nur dann der Fall, wenn Cookies und sonstige Technologien (z. B. Fingerprinting) verwendet werden, für deren Einsatz vorab eine Einwilligung des Websitebesuchers eingeholt werden muss.
Mithilfe der Cookies werden personenbezogene Daten erhoben, deren Verarbeitung meist ohne Zustimmung der Seitenbesucher nicht erlaubt ist. § 25 TDDDG ist immer zu prüfen, wenn Technologien eingesetzt werden, die Informationen aus Endeinrichtungen auslesen oder auf diesen speichern.
Zunächst ist nach der Art des Cookies zu unterscheiden. Hierbei gilt:
- Cookies sind einwilligungsfrei zulässig, soweit diese aus Nutzersicht unbedingt, d. h. technisch (nicht: wirtschaftlich) erforderlich sind.
Beispiele für notwendige Cookies: Seitennavigation, Warenkorbfunktion im Online-Shop. - Der Einsatz von nicht notwendigen Cookies ist nach TDDDG einwilligungspflichtig.
Beispiel hierfür sind Tracking-Cookies, über die webseiten- oder geräteübergreifende Nutzungsprofile erstellt oder Daten an Dritte übermittelt werden. Seitenbetreiber haben für nicht notwendige Cookies stets vorab (z. B. über ein Cookie-Banner) die Einwilligung der Nutzer einzuholen.
11. Externe Schriften und Dateien wie z. B. Google Fonts
Die Einbindung derartiger externer Schriften und Dateien ist nach § 25 Abs. 1 TDDDG einwilligungspflichtig. Neben den Standardschriften gibt es tausende weiterer Schriften, die online kostenlos oder kostenpflichtig angeboten werden. Ein Anbieter solcher Schriften ist Google mit den Google Fonts.
Wenn auf einer Website externe Schriften wie Google Fonts zum Einsatz kommen, werden diese üblicherweise beim Laden der Seite vom Google Server nachgeladen und es findet ein Datenaustausch zwischen der Website und Google statt. Die Datenübermittlung ist aus Datenschutzsicht bedenklich. Die Lösung: Externe Schriften müssen nicht von einem Server nachgeladen werden, sie können alternativ lokal auf dem eigenen Server gespeichert sein. Webseitenbetreiber müssen zunächst die benötigten Schriften identifizieren, können diese anschließend herunterladen und auf den eigenen Server hochladen. Im Anschluss passen Sie den CSS-Code entsprechend an und tragen die neue Quelle der Fonts ein.
Werden Webfonts nicht rechtskonform eingebunden, können Betroffene Schadenersatz wegen Verletzung des Datenschutzrechts fordern. Dies hat das Landgericht München I mit Urteil vom 20.01.2022 (Az. 3 O 17493/20) so entschieden. Bekommen Sie als Unternehmer Schadenersatzforderungen, welche sich auf dieses Urteil stützen, sollten Sie prüfen, ob Sie der Zahlungsaufforderung Folge leisten und/oder ggf. anwaltliche Hilfe zu Rate ziehen.
Prüfkriterien, ob die Schadenersatzforderung berechtigt ist:
- Stimmen die Angaben in der Zahlungsaufforderung? D. h. setzen Sie Webfonts (z. B. Google Fonts) auf Ihrer Website nicht rechtskonform ein?
Dann sollten Sie die Website umgehend anpassen (Bitte auch die Datenschutzerklärung). Prüfen Sie, ob es rechtskonforme Alternativen gibt, welche ggf. eingesetzt werden könnten. - Leistet man der Zahlung Folge?
Dann sollten Sie vorab, die Höhe des Schadenersatzes klären und eine umfassende Anspruchsabgeltung vereinbaren. - Besteht ausnahmsweise Verdacht auf Rechtsmissbrauch? Dann können Sie sich an Ihre örtlich zuständige IHK oder auch den Deutschen Schutzverband gegen Wirtschaftskriminalität e.V. (DSW) wenden. Indiz für einen Rechtsmissbrauch kann z. B. eine als Serienbrief erscheinende Zahlungsaufforderung in Höhe von 100 Euro mit kurzer Fristsetzung sein.
Bitte beachten Sie: Sollten Sie eine Abmahnung wegen des Datenschutzverstoßes erhalten, die eine Unterlassungserklärung fordert, müssen Sie den Datenschutzverstoß erst beseitigen, bevor Sie eine Unterlassungserklärung mit Vertragsstrafe-Versprechen unterzeichnen. Ansonsten riskieren Sie neben dem Schadenersatz auch noch die Zahlung der Vertragsstrafe.
Von der Datenschutzverletzung Betroffenen steht es zudem frei, den Sachverhalt unabhängig von einer Zahlung der zuständigen Datenschutzaufsicht zu melden, also sich über den Rechtsverstoß zu beschweren, oder das Unternehmen zu verklagen.
12. Datenschutzerklärung
Jede Website muss über ein Impressum und eine Datenschutzerklärung verfügen, sobald diese personenbezogene Daten verarbeitet. Die Erklärung informiert Besucher der Website ausführlich über die Art und Weise der Verarbeitung (z. B. Erheben, Auswerten) der personenbezogenen Daten sowie über die Verarbeitungszwecke.
Bereits sehr einfache Webseiten verarbeiten personenbezogene Daten, weshalb die Datenschutzregelungen für fast alle Internetauftritte gelten. Ohne korrekte Umsetzung der Bestimmungen droht dem Betreiber der Website ggf. eine Abmahnung und/oder eine Geldbuße. Spätestens seit dem 25. Mai 2018 muss die obligatorische Datenschutzerklärung an die neuen Anforderungen der DSGVO angepasst sein.
Die DSGVO-konforme Datenschutzerklärung muss die nach Artikel 13 DSGVO bestehenden Informationspflichten beachten. Damit ist sie deutlich umfangreicher. Folgende Pflichten müssen umgesetzt sein:
- Die Rechtsgrundlage für die Datenverarbeitung muss genannt sein. Es gilt nach wie vor der Grundsatz des Verbots mit Erlaubnisvorbehalt. Personenbezogene Daten dürfen nicht erhoben werden, außer der Nutzer stimmt explizit zu oder das Gesetz gestattet dies.
- Gesetzlich zulässige Verarbeitungen (Rechtsgrundlagen) sind in Artikel 6 DSGVO definiert: Die Datenverarbeitung ist zum Beispiel erlaubt, wenn die Daten zur Vertragserfüllung benötigt werden. Zu den Ausnahmen gehört zudem die „Wahrung berechtigter Interessen“.
- Auf die Rechtsgrundlage „Wahrung berechtigter Interessen“ lässt sich die Verarbeitung solcher personenbezogener Daten stützen, die für die Gewährleistung der Website-Sicherheit erforderlich sind. Hierzu zählt unter anderem die temporäre Speicherung von IP-Adressen, beispielsweise zum Schutz einer Website vor Angriffen. Die IP-Speicherung sollte in der Regel 7 Tage nicht überschreiten.
- Neu sind die Informationspflichten bezüglich der Rechte der Seitenbesucher. Die Datenschutzerklärung muss über alle Rechte Betroffener (z. B. auf Auskunft, auf Berichtigung, Recht auf Beschwerde bei einer Aufsichtsbehörde sowie ein Recht auf Löschung und Einschränkung und ggf. auf Datenübertragbarkeit) geben.
- Gibt es in einem Unternehmen einen Datenschutzbeauftragten, muss dieser in der Erklärung genannt und eine Kontaktmöglichkeit gegeben sein. Hierbei reicht eine Funktionsangabe aus, eine namentliche Nennung ist nicht erforderlich.
Im Netz gibt es Datenschutz-Generatoren, mit denen Sie kostenlos eine einfache Datenschutzerklärung für Ihre Website erstellen können.
13. Datenweitergabe an externe Dienstleister
Die Weitergabe von Daten an Dritte ist schnell erfolgt und gilt zum Beispiel schon dann, wenn die Bearbeitung von Rechnungen in der Cloud eines externen Anbieters stattfindet. Typisch ist die Datenweitergabe auch bei Onlineshops, die in der Regel auf dem Server eines Webseiten-Hosters betrieben werden.
Werden personenbezogene Daten weitergeleitet oder ist eine bloße Möglichkeit der Kenntnisnahme durch Dritte gegeben, handelt es sich um Datenverarbeitungen mit Erlaubnispflicht. Die Weitergabe ist erlaubt, sofern die Weitergabe auf eine Rechtsgrundlage gestützt werden kann.
Das TDDDG sieht eine Anzeigepflicht vor, bevor ein Nutzer zu einem anderen Diensteanbieter weitergeleitet wird.
Im Unternehmensalltag spielen v. a. folgende Rechtsgrundlagen eine Rolle:
- Einwilligung
Eine Möglichkeit ist es, die Einwilligung zur Datenweitergabe von den Betroffenen einzuholen. Diese können der Weitergabe nach Art. 6 Abs. 1 Satz 1 lit. a DSGVO zustimmen. Für die Einwilligung gelten jedoch hohe Anforderungen. Diese kann jederzeit widerrufen (damit nicht belastbar) werden. - Vertragserfüllung
Zulässig ist die Weitergabe, falls diese zur Vertragserfüllung erforderlich ist und den Interessen der betroffenen Person entspricht. - Bei berechtigten Interessen an der Weitergabe
Auch ohne Einwilligung und Vertrag kann die Datenweitergabe erlaubt sein. Diese Forderung ist zum Beispiel erfüllt, wenn ein Onlineshop die Kontaktdaten eines Kunden an einen Paketzustelldienst übermittelt, der Kunde vorab hierüber informiert worden ist und nicht widersprochen hat.
Interessen an der Kostensenkung, Gewinnmaximierung, Steigerung der Nutzerfreundlichkeit und Optimierung der Dienste zählen ebenfalls zu den berechtigten Interessen. Bei der Abwägung dieser kommt es auf die Art der Daten, den Zweck der Weitergabe und die möglichen Risiken für Betroffene an. Der Verkauf von Adressen von einem Onlineshop an einen Adressen-Händler ist damit nicht erlaubt.
13. Datenverarbeitungsverträge mit Auftragsverarbeitern
Betreiber von Webseiten nutzen diverse Dienste und Tools, die im Auftrag personenbezogene Daten verarbeiten. Zu den Dienstleistern zählen unter anderem Hosting-Anbieter, Newsletter-Provider und Cloud-Dienste. Viele Anbieter stellen noch keine Verträge zur Auftragsverarbeitung zum Download bereit. Hier finden Sie eine Liste mit AV-Verträgen. Notwendig ist solch ein Vertrag immer, wenn Unternehmen im Auftrag des Webseitenbetreibers Daten verarbeiten und als „Auftragsverarbeiter“ agieren.
Zusammenfassung
Sofern nicht spezialgesetzliche Regelungen greifen, müssen Betreiber von Webseiten bei der Verarbeitung aller personenbezogenen Daten die Bestimmungen der DSGVO und des TDDDG (vormals TTDSG) beachten, bei Nichtbeachtung ist eine Geldbuße eine mögliche Folge. Die Regeln betreffen die Zusammenarbeit mit einem Hosting-Anbieter, die Notwendigkeit der verschlüsselten Datenübertragung, den richtigen Umgang unter anderem mit Log-Dateien, Kontaktformularen, Tracking-Software, und Cookies sowie vergleichbare Technologien (z. B. Fingerprinting). Wichtig ist zudem die Anpassung der obligatorischen Datenschutzerklärung sowie im Falle einer Einwilligungspflicht nach TDDDG der rechtskonformen Implementierung eines sog. Cookie-Banners. Die Datenschutzaufsichtsbehörden bieten Handreichungen sowie Checklisten und Beispielsfälle. Mit Hilfe von sog. Datenschutz-Generatoren können Unternehmen meist kostenlos Datenschutzerklärungen für ihre Website erstellen.
Prüfen Sie, ob Ihre Datenschutzerklärung alle erforderlichen Punkte umfasst. Unsere Checkliste dazu finden Sie als Download auf dieser Seite unter „Weitere Informationen“.