Datenschutz Praxishilfe Webseite

Datenschutz auf Webseiten – eine Praxishilfe

Webseiten sind die heutigen Visitenkarten eines Unternehmens. Umso wichtiger, dass diese auch mit den aktuellen Vorgaben und Gesetzen übereinstimmt! Aber auch für Verbraucherverbände, Abmahnanwälte oder die Aufsichtsbehörden ist die Webseite ein beliebtes Ziel von Prüfungen. Schließlich können diese doch ohne großen Aufwand vom Schreibtisch aus erfolgen. Teilweise werden die Prüfungen mittlerweile auch automatisiert durchgeführt, so dass Abmahnungen und Bußgelder ohne große Aufwendungen generiert werden. Auf was sollte man also bei der Webseite alles achten?

Impressum

Das Telemediengesetz (§ 5 TMG), wie auch die Datenschutz-Grundverordnung (Art. 13 und 14 DSGVO) fordern, dass jeder Webseitenbetreiber Grundinformationen zu seiner Identität und möglichen Kontaktwegen bekannt gibt. Üblicherweise erfolgt dies im Impressum oder Imprint.

Im Impressum sollte insbesondere zu finden sein:

  1. Name des Webseitenanbieters
  2. Anschrift des Webseitenanbieters
  3. bei juristischen Personen deren Rechtsform
  4. Vertretungsberechtige Personen wie Geschäftsführer oder Vorstände
  5. eine E-Mailadresse oder schnelle elektronische Kontaktmöglichkeit
  6. eine Kontaktmöglichkeit, die eine unmittelbare Kommunikation ermöglicht, wie bspw. die Telefonnummer
  7. bei Tätigkeiten die einer behördlichen Zulassung bedürfen, die zuständige Aufsichtsbehörde. Dies betrifft bspw. Rechtsanwälte oder Ärzte.
  8. Angaben zu öffentlichen Registern (z.B. Handelsregister oder Vereinsregister), in denen der Anbieter eingetragen ist, sowie die Registernummer
  9. die Umsatzsteueridentifikationsnummer oder Wirtschafts-Identifikationsnummer

Wichtig beim Impressum ist, dass dieses leicht und jederzeit aufrufbar sein muss. Das heißt, dass nach Aufruf der Webseite von jeder Seite aus das Impressum aufrufbar sein muss. Insbesondere bei Webseiten mit Login ist dies häufig nicht der Fall. Die Pflicht gilt jedoch auch für die Login-Seite wie auch für alle Seiten danach.

Datenschutzerklärung

Es kann festgehalten werden, dass jede Webseite eine Datenschutzerklärung benötigt. Denn der EuGH hat 2016 in seinem Urteil (C-582/14) festgestellt, dass IP-Adressen eines Internetanschlusses als personenbezogene Daten zu bewerten sind. IP-Adressen sind der Grundstock des Internets, ohne die es nicht möglich ist, eine Webseite anzubieten. Daher bedarf es nach Art. 12 bis 14 DS-GVO auch immer einer Datenschutzerklärung/Informationspflicht zur Datenverarbeitung auf der Webseite.

Grundsätzlich sollten in der Datenschutzerklärung folgende Punkte angegeben werden:

  1. wer der Verantwortliche für die Datenverarbeitung ist
  2. wie der Verantwortliche kontaktiert werden kann
  3. wenn ein Datenschutzbeauftragter besteht, wie dieser kontaktiert werden kann
  4. wenn der Webseitenbetreiber außerhalb der EU sitzt und Angebote an Verbraucher innerhalb der EU macht, ist ein Vertreter mit dessen Kontaktdaten innerhalb der EU zu benennen
  5. die Webseitenbesucher sind über ihre Betroffenenrechte nach Kapitel 3 DSGVO aufzuklären und es ist zu beschreiben, wie sie dies wahrnehmen können
  6. Es ist auf das Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde (EU, DE, Bund, Kirchen) des Webseitenbetriebes hinzuweisen

Zusätzlich sollte pro Datenverarbeitung angegeben werden:

  1. Zwecke zu denen die Datenverarbeitung erfolgt
  2. die Rechtsgrundlagen, auf der die Datenverarbeitung beruht. Zumeist sind hier die Rechtsgrundlagen aus 6 Abs. 1 der DSGVO einschlägig
  3. Wenn dem Webseitenbesucher nicht bewusst ist, was für Daten über ihn verarbeitet werden, sind die erhobenen Daten in der Datenschutzerklärung anzugeben. Insbesondere bei Webtracking und Protokollierungen ist dies der Fall.
  4. Wenn die Datenverarbeitung auf einer Einwilligung beruht (6 Abs. 1 lit. a i.V.m. Art. 7 DSGVO), muss darüber aufgeklärt werden, wie der Webseitenbesucher sein Widerrufsrecht wahrnehmen kann. Dabei ist darauf zu achten, dass der Widerruf genauso leicht möglich sein muss, wie die Abgabe der Einwilligung (näheres im Punkt Consent-Management).
  5. Wenn die Datenverarbeitung aufgrund berechtigter Interessen erfolgt (6 Abs. 1 lit. f DSGVO) sind diese Interessen anzugeben. Zudem ist darauf zu verweisen, wie der Betroffene sein Widerspruchsrecht aus Art. 21 DSGVO in dem Fall wahrnehmen kann.
  6. Es sind Empfänger oder Kategorien von Empfängern der Daten anzugeben, also bspw. ob Daten an einen IT-Dienstleister oder Hoster weitergegeben werden
  7. Wenn dabei Daten in Länder außerhalb der europäischen Union übermittelt werden, ist dies anzugeben, sowie die getroffenen Garantien zum Schutz der Daten.
  8. Wann die Daten wieder gelöscht werden
  9. Wenn Daten von Dritten erhoben werden, ist zudem drauf zu verweisen, von wem sie diese erhalten. Dies ist beispielweise der Fall, wenn Sie demografische Daten zu einem User abrufen.

Beispiele für Datenverarbeitungen:

  • Google-Maps
  • OpenStreetMap
  • Onmaps
  • Cookie-Bot
  • Borlabs Cookie
  • DSGVO Pixelmate
  • GDPR Cookie Consent
  • CookieFirst
  • Usercentrics
  • ConserntManager
  • Google-Analytics
  • Matomo
  • Tealium
  • Hotjar
  • Mouseflow
  • Webtrackk
  • IPInfo
  • Etracker
  • Adobe Analytics
  • Amplitude
  • Wiredminds
  • LinkedIn Analytics
  • SalesViewer
  • Facebook Custom Audience
  • Google Tag Manager
  • Untagmanager
  • Matomo Tag Manager
  • Recaptcha
  • hCaptcha
  • Friendly Captcha
Accordion Content
Accordion Content
  • Lastschrift/Vorkasse/Rechnung
  • Kreditkartenzahlung
  • Paypall
  • Sofortüberweisung
  • Klarna
  • Amazon Pay
  • Paydirekt
  • Apple Pay
  • DHL
  • DPD
  • Speditionen
  • Facebook
  • LinkedIn
  • Pinterest
  • Twitter
  • Instagram
  • Youtube
  • Google AdSense/DoubleClick
  • Amazon Native Shopping Ads
  • Adiro
  • eBay Partner Network
  • Schaltplatz
  • net
  • PropellerAds
  • Monumetric
  • Cloudflare
  • Fastly CDN
  • Amazon CloudFront
  • Google Cloud CDN
  • Microsoft Azure CDN
  • StackPath CDN
  • Youtube
  • Vimeo
  • Twitch
  • Instagram
  • Dailymotion
  • Dtube
  • Odysee
  • TikTok
  • HubSpot
  • Salesforce
  • Adobe Campaign
  • Zoho Campaigns
  • Marketo
  • CleverReach
  • Mailchimp
  • Sendinblue
  • Mailjet
  • Rapidmail
  • HubSpot
  • ActiveCampaign
  • Wix
  • Weebly
  • Shopify
  • Squarespace

Consent-Management

Consent-Banner, die uns beim Aufrufen einer Webseite zur Einwilligung auffordern, sind im Internet mittlerweile alltäglich. Vielfach werden sie als Cookie-Banner/Cookie Einwilligungen bezeichnet. Hier liegt häufig jedoch das Problem. Neben der Einwilligungserfordernis zum Speichern von Daten auf Endgeräte der Nutzer (§ 25 TTDSG) – was auf Cookies aber auch auf den Local-Storage des Browsers zutrifft – ist auch zu berücksichtigen, dass für bestimmte Datenverarbeitungen und Datenweiterleitungen ebenso eine Einwilligung vorliegen muss (Art. 6 Abs. 1 lit. a i.V.m. mit Art. 7 DSGVO). Insbesondere bei Web-Analysen oder Einbettung von Diensten Dritter (z.B. Kartensystemen oder Videos) ist dies regelmäßig der Fall. Viele Cookie-Banner im Internet verhindern, dass Cookies gesetzt werden, wenn man diese nicht akzeptiert. Dennoch binden sie weiterhin Skripte und Inhalte der Dienste ein, so dass weiterhin Daten an diese gesendet werden. Dies ist jedoch dann ein Verstoß, da die Einwilligung hierzu nicht erteilt wurde. Wir können daher nur empfehlen, die eigenen Consent-Banner genau zu überprüfen.

Oder Sie machen es wie wir! Wir haben bei der Erstellung unserer Webseite darauf Wert gelegt, dass wir keine Dienste verwenden, die eine Einwilligung benötigen und dass wir keine Daten auf den Endgeräten unserer Webseitenbesucher speichern. Damit können wir vollkommen auf den Consent-Banner verzichten.

Web-Tracking

Die datenschutzkonforme Ausgestaltung von Web-Trackings ist durch die verschiedenen gerichtlichen Urteile (z.B. EuGH, BGH, LG München) mittlerweile sehr komplex und vielschichtig. Konkret sind 3 Fragen bei der Beurteilung und Ausgestaltung wichtig.

Die konformste Lösung des Web-Trackings ist die anonyme Analyse vorhandener Daten. Insbesondere die Verwendung der Webserver-Protokolle zur Analyse der Webseitenaufrufe mit Anonymisierung der IP-Adressen wird auch von den Aufsichtsbehörden als konforme Lösung bewertet und kann mit einem berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) begründet werden.

Sollen zusätzliche Daten über das bereits vorhanden Maß hinaus verarbeitet werden, in dem zusätzliche Daten vom Browser des Users abgefragt werden oder Daten über einen Dritten erfasst werden (z.B. demografische Daten bei Google Analytics), sollte eine Einwilligung der Webseitennutzer hierfür eingeholt werden. In der Einwilligungserklärung und in der Datenschutzerklärung sollte dann die zusätzliche Datenverarbeitung beschrieben werden.

Werden Daten nur lokal auf dem eigenen Server verarbeitet, ist in der Regel keine Einwilligung der Webseitenbesucher erforderlich, wenn nicht zusätzliche Daten abgerufen werden. Soll der Webseitenbesucher über eine Websession hinaus durch das Setzen von Cookies, das Speichern einer eindeutigen ID im lokal Storage des Browsers oder durch Abruf zusätzlicher Daten über einen sogenannten Fingerprint erfolgen, ist auch hierfür eine Einwilligung der Nutzer nach § 25 TTDSG erforderlich.

Häufig wird durch die Consent-Banner das Setzen von Cookies unterbunden, jedoch meist nicht der Abruf zusätzlicher Daten für einen Fingerprint. Wir können nur empfehlen, bei der Einrichtung der Consent-Banner dies zu überprüfen.

Wird für das Webseiten-Tracking ein Tool eines Dienstleisters eingesetzt, welches die Daten an den Dienstleister sendet, ist ein Auftragsverarbeitungsvertrag mit dem Dienstleister abzuschließen. Handelt es sich hierbei um einen Dienstleister außerhalb der EU, ist zumeist ein EU-Standardvertrag erforderlich, um die Datenübermittlung zu legitimieren. Die neuen EU-Standardverträge fordern jedoch Garantien, dass die Daten nicht durch Behörden in Drittländern entgegen den EU-Standardverträgen verarbeitet werden. Insbesondere mit dem Schrems 2 Urteil des EuGH eine kaum umzusetzende Anforderung, wenn es sich um US-Dienstleister handelt.

Zusätzlich zu den EU-Standardverträgen besteht jedoch die Möglichkeit, die Datenübermittlug über eine Einwilligung der Webseitennutzer zu legitimieren. Jedoch bedarf diese einer ausführlichen Information über die Risiken. Ebenso muss darauf geachtet werden, dass die Dienste ohne Einwilligung nicht eingebunden werden.

Verschlüsselung

Werden Daten von Personen über eine Webseite verarbeitet, besteht grundsätzlich das Problem, dass die Kommunikation mit einem Webserver ohne explizit eingerichtete Verschlüsslung unverschlüsselt erfolgt. Damit kann jeder, der diese Kommunikation abhört, diese mitlesen.  

Die Verschlüsselung von Datenverkehr im Internet, insbesondere über https, wird als Stand der Technik angesehen (siehe bspw. Handreichung Teletrust). Damit ist nach Art. 32 Abs. 1 DSGVO der Einsatz von https verpflichtend, wenn personenbezogen Daten verarbeitet werden.

Wichtig beim Einsatz von https ist:

  1. Das Zertifikat, welches Sie verwenden, sollte von einer vertrauenswürdigen Stelle verifiziert und signiert werden. Die meisten Webhosting-Anbieter bieten die Bereitstellung anerkannter Zertifikate meist als Service an und laden diese auf den gemieteten Webserver hoch.
  2. Zertifikate sollten ein Ablaufdatum haben. Dieses Datum sollten Sie berücksichtigen, insbesondere wenn Sie das Zertifikat selbst verwalten. Ist das Datum abgelaufen und kein neues Zertifikat installiert, warnen die meisten Browser vor einem Aufruf ihrer Webseite. Ebenso können gewisse Funktionen und Inhalte ihrer Webseite ggf. nicht mehr funktionieren.
  3. Unverschlüsselte Aufrufe (http) ihrer Webseite sollten sie auf die Verschlüsselung (https) weiterleiten. Damit stellen sie sicher, dass Ihr Datenaustausch mit Ihren Webseitenbesuchern verschlüsselt erfolgt und Sie die gesetzlichen Bestimmungen einhalten.
  4. Medieninhalte, eingebettete Dienste Dritter oder Formulare sollten ebenfalls über verschlüsselte Verbindungen geladen werden. Haben Sie die Webseite bspw. ohne Verschlüsselung erstellt, verweisen häufig die verwendeten Links auf unverschlüsselte Inhalte. Diese Links sollten aktualisiert werden, damit eine durchgängige Verschlüsselung sichergestellt ist.

Autor: Michael Konitzer

Bildquelle: klyaksun / shutterstock.com

Zuletzt geändert: 24.06.2022

Kommentar hinterlassen

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit * markiert.

Beitragskommentare