Wie man eine Webseite DSGVO-konform betreibt
Webseiten sind die Schaufenster der digitalen Welt. Nahezu jedes Unternehmen betreibt eine Webseite. Doch ist nicht alles erlaubt, was auch möglich ist.
Am einfachsten ist es natürlich, unser Webinar am 19. Juli 2023 zu besuchen und Ihre Fragen direkt an unsere Experten zu richten.
Hier geht es zur Anmeldeseite: Live Webinar: Rechtssichere Gestaltung von Webseiten
Um Rechtssicherheit für die eigene Homepage zu erlangen, müssen nicht nur Pflichtangaben wie das Impressum rechtssicher vorhanden sein, sondern auch die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) beachtet werden. So schreibt beispielsweise die DSGVO vor, dass Seitenbetreiber sicherstellen müssen, dass sie personenbezogene Daten rechtmäßig, transparent und zweckgebunden verarbeiten.
Für Onlineshop-Betreiber gibt es noch zahlreiche weitere Pflichten, die diesen Artikel sprengen würden.
Die Datenschutzerklärung
Eine wesentliche Informationspflicht nach Kapitel 3 der DSGVO wird durch die Datenschutzerklärung erfüllt. Hier müssen alle eingesetzten Dienste dokumentiert werden. Im Weiteren werden die häufigsten beschrieben.
Der Betreiber eines Netzauftritts muss dem Nutzer durch die Datenschutzerklärung die Möglichkeit eröffnen, vor Beginn der eigentlichen Nutzung der restlichen Seite, die Art, den Umfang und den Zweck der verarbeiteten personenbezogenen Daten zu erfahren. Der Betreiber sollte über das Weitergeben von Daten in sogenannte „unsichere Drittstaaten“ außerhalb von EU/EWR unterrichten. Er muss die Rechtsgrundlage jeder Verarbeitung sowie ihre Löschfrist nennen und über die Betroffenenrechte informieren.
Besonders wichtig dabei ist die Erwähnung von „Cookies“, Newslettern, Bewerbungsmöglichkeiten und schließlich eine automatische Entscheidungsfindung, falls sie stattfindet.
Die große weite Welt der Einwilligungen und der Verträge
Viele „moderne“ Methoden auf Webseiten erfordern eine Einwilligung nach Art. 7 DSGVO oder einen Vertrag. Richten sich Ihre Dienste an Endkunden, müssen Sie bei Verträgen zusätzlich das strenge AGB-Recht beachten und für Onlineshops bestimmte Pflichtangaben, auch im Impressum.
Cookies und das TTDSG
Das TTDSG ist ein deutsches Gesetz, das zusätzliche Bestimmungen zum Schutz der Privatsphäre im Bereich der Telekommunikation enthält. Es ergänzt die Vorschriften der DSGVO und regelt insbesondere in seinem § 25, dass nicht notwendige „Cookies“ nur mit Einwilligung verwendet werden dürfen.
Falls Ihre Webseite sogenannte Cookies oder ähnliche Technologien nutzt, speichert sie Daten im Endgerät des Nutzers, genauer gesagt im Browser. Seit 1. Dezember 2021 regelt nun das TTDSG diesen Fall. Es setzt unter anderem die Regelungen aus der EU-ePrivacy-Richtlinie (2002/58/EG, 2009/136/EG) um. Alle Cookies, welche nicht unbedingt für den Betrieb einer Website „erforderlich“ sind (siehe Verhältnismäßigkeitsprinzip), bedürfen einer ausdrücklichen Einwilligung des Nutzers.
Jeder Seitenbesucher sollte bei erstmaligem Aufruf der Seite erstens über die notwendigen Cookies informiert (z.B. mit Cookie-Banner) und zweitens für alle anderen Cookies kurz und prägnant um Einwilligung gebeten werden. Teil einer unabhängigen Einwilligung ist die informierte Entscheidung, deshalb müssen Widerspruchsrechte, Zwecke, Speicherfristen etc. der Cookies schon bei diesem Aufruf in der Datenschutzerklärung vertieft nachgelesen werden können.
Das alles ist recht komplex und wird noch komplizierter dadurch, dass viele Webagenturen sich darum aktuell noch keine Gedanken machen, weil sie nicht die Verantwortlichen sind und Cookies einbauen, ohne zu wissen, was sie tun und ohne ihrem Auftraggeber Bescheid zu geben. Der Einbau geschieht oft indirekt, dadurch, dass Bausteine wie Werbenetzwerke, ein Video, eine Statistikfunktion in die Seite gebaut werden und weitere Inhalte nachladen. Zu den „ähnlichen“ Technologien gehört das Nachladen von Schriftarten, typischerweise von Google oder Adobe.
Normalerweise sollte Ihr Datenschutzbeauftragter Ordnung in dieses Wirrwarr bringen können. Aber viel Arbeit nehmen einem dabei sogenannte „Cookie Consent Manager” ab, wie etwa CCM19 oder Cookiebot.
Werden keine Informationen vom Endgerät des Nutzers zielgerichtet erhoben oder gespeichert, fällt es dadurch nach Ansicht einiger aus dem Anwendungsbereich des TTDSG und es gibt nach deren Auffassung durchaus Möglichkeiten, die Analyse ohne eine Einwilligung des Seitenbesuchers durchzuführen. Das sollten Sie nur in enger Abstimmung mit Ihrem Datenschutzberater umsetzen.
Analyse und Nutzerverfolgung
Für Werbezwecke ist es natürlich attraktiv verknüpfen zu können, welche verschiedenen Interessen ein Nutzer hat und was er genau auf einer Seite wahrnimmt. Das bieten Tracking- und Analysewerkzeuge wie Matomo (Piwik) Google Analytics, Adobe Analytics. Bitte beachten Sie, dass viele kostenlose Dienste von Google, wie YouTube oder Maps, solche Analysewerkzeuge im Rucksack mitbringen.
Das Erstellen von individuellen Nutzerprofilen greift dabei tief in die Persönlichkeitsrechte ein und bedarf daher einer Einwilligung und einer ausführlichen Beschreibung in der Datenschutzerklärung.
Zusätzlich ergeben sich Probleme, wenn solche Anbieter Daten in die USA transferieren. Die Dienste von Google und Facebook stehen beispielsweise unter besonderer Beobachtung der Datenschutzbehörden und Menschenrechtsgruppen. Sie werden regelmäßig Gegenstand von Gerichtsverhandlungen, so dass Sie bei deren Verwendung immer mit neuen Entwicklungen rechnen müssen.
Drittinhalte und Dienste
Werden auf einer Webseite auch externe Dienste Dritter, beispielsweise sog. „Soziale Medien“ wie Facebook, LinkedIn, Google Maps (Karten), Videos oder Schriftarten (Fonts) eingebunden, sind Sie dafür mindestens (mit-)verantwortlich.
Sobald Sie diese Art Dienste einbinden, laden diese Daten von deren Zentrale nach. Das bedeutet, sie erfahren die IP-Adresse Ihres Seitenbesuchers, die nach herrschender Meinung ein personenbezogenes Datum darstellt, ohne, dass dafür zusätzlich ein Cookie nötig wäre.
Solche Dienste werden meist nicht für alle Nutzer Ihrer Seite gebraucht und bedürfen deshalb in der Regel einer jeweils gesonderten Einwilligung.
Das heißt, in der Regel brauchen Sie jeweils zwei Klicks: Erst wird auf ein Vorschaubild geklickt oder mit der Maus drüber gezeigt und dann erscheint die Einwilligungserklärung auf die (nochmal) geklickt werden muss.
Der einfache Weg führt darüber, keine Dienste von Dritten einzubinden. Gerade Karten zur eigenen Adresse kann man häufig selbst gut erstellen und sind dann auch prägnanter.
Bei den meisten kostenlosen Diensten hilft in der Regel auch keine einfache Auftragsverarbeitungs-Vereinbarung (AVV) mehr, sondern Sie müssen (zusätzlich) einen individuellen Vertrag über die Aufteilung der gemeinsamen Verantwortung nach Art. 26 DSGVO abschließen, da diese Firmen die Daten regelmäßig auch zu eigenen Zwecken verwenden.
Sie können sich dazu an den EU-Standardvertragsklauseln (SVK) für Drittländer orientieren. Sofern solch ein Dritter die Daten auch außerhalb der EU/EWR, etwa in den Vereinigten Staaten, verarbeitet, so ist vor seiner Beauftragung noch eine formelle Risikoabwägung, eine Drittlandsfolgeabschätzung, durchzuführen (DFA, Transfer Impact Assessment, TIA), in deren Rahmen gegebenenfalls zusätzliche Schutzmaßnahmen geprüft werden müssten.
Anmelde-, Kontaktformular und Rundbriefe
Bietet eine Webseite auch ein Anmelde- oder Kontaktformular, dann muss insbesondere darauf geachtet werden, dass die Daten verschlüsselt übermittelt werden. Die Pflicht eines Seitenbetreibers im Rahmen der Verwendung von Kontaktformularen zur Übertragung von personenbezogenen Daten ein anerkanntes Verschlüsselungsverfahren, wie TLS, zu verwenden, ergibt sich aus Art. 32 DSGVO.
Ebenso muss streng zwischen für den ausdrücklich angefragten Zweck notwendigen Angaben, wie Anrede, Name, Email-Adresse und weiteren nur „nützlichen“ Angaben unterschieden werden, die keine Pflichtangaben sein dürfen. Wenn zusätzlich ein Newsletter verschickt werden soll, ist es eine gute Idee zu beachten, dass die meisten Rundbriefdienste zusätzlich statistische Daten vom Empfänger über Reichweite und Nutzung ihrer Nachrichten erheben, die im Rahmen der Einwilligung als Zweck mit angegeben werden müssen, ansonsten ist die Einwilligung unwirksam und ein Bußgeld droht.
Bitte beachten Sie, dass Sie zusammen mit der Einwilligung die Datenschutzerklärung verlinken müssen (in die aber nicht eingewilligt werden muss!). Dort muss gerade für Reichweitenmessung und sonstige Analysewerkzeuge erklärt werden, was wie gemessen wird.
Fotos nur mit Quellenangabe und Erlaubnis
Wenn auf der Webseite Fotos verwendet werden, muss immer auf die vollständige und korrekte Urheberangabe gemäß § 63 UrhG oder wie es der Rechteinhaber verlangt, verwiesen werden.
Wollen Sie Abbildungen von Mitarbeitern verwenden, brauchen Sie dafür zusätzlich eine ausdrückliche Erlaubnis (siehe hierzu: Fotoerlaubnis – die schlechteste Strategie?).
Viele kostenlos gewerblich nutzbare Bilder findet man bei Wikimedia Commons. Deren Nutzung verlangt aber immer die Nennung der Autoren und Verknüpfung der Lizenz „Creative Commons-Share Alike“ (cc-by-sa).
Online-Bewerbungsverfahren
Laden Sie Arbeitssuchende dazu ein, online mit Ihnen Kontakt aufzunehmen, müssen Sie auf besonderen Datenschutz achten, weil im Personalbereich (HR) meist besondere Datenkategorien wie Herkunft, Gesundheit oder Religion übermittelt werden.
Im gesamten Karrierebereich müssen Sie darauf achten, dass alle personenbezogenen Dokumente verschlüsselt übermittelt werden. Bedienen Sie sich dazu eines der vielen beliebten Portale müssen Sie darauf achten, dass Sie die richtigen Verträge über Auftragsverarbeitung und gemeinsame Verantwortung abschließen. Nach unserer Erfahrung ist dort das Bestreben nach Vorschriftentreue (Compliance), unabhängig von der Größe des Anbieters, oft nicht sonderlich hoch.
Es gibt leider noch zahlreiche weitere Dinge zu beachten. Wir bereits Eingangs erwähnt ist es das Einfachste kurz mit einem unserer Experten zu sprechen. Wir können Ihre Fragen gerne direkt mit Ihnen klären.
Autoren: Markus Vatter, Head of Privacy & IT-Security, & Florian Thomas Hofmann, Data Privacy Consultant, 30.06.2023
