zur Übersicht

Webseiten und DSGVO: Datenschutz beim Internetauftritt umsetzen

Eine neue Webseite ist schnell erstellt. Für das eigene kleine Unternehmen, für den Verein, für ein soziales Projekt oder für den Konzern. Viele der Letztgenannten betreiben hunderte bis tausende von Webseiten. Dort können schlicht Informationen zum Abruf bereitgestellt werden, oder man nutzt den Internetauftritt zur intensiven Interaktion mit seinen Kunden und Interessenten. Webshops, Kontaktformulare, Konfiguratoren, Fragebögen, etc. Kaum etwas, was nicht denkbar ist.

Es ist natürlich nichts Neues, aber weiterhin wichtig: Beim Betrieb von Webseiten sind Gesetze einzuhalten. Zuvorderst sind das die DSGVO und in Deutschland das sogenannte TTDSG („Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien* (Telekommunikation-Telemedien-Datenschutz-Gesetz – TTDSG„). Anlass dieses Artikels, der erneut für dieses wichtige Thema sensibilisieren soll, ist eine derzeit laufende Prüfung von Webseiten und Apps durch die bayrische Datenschutzaufsicht. Solche anlasslosen Prüfungen führen die Behörden regelmäßig durch. Es kann also jeden treffen. Häufiger kommt es aber nach unserer Erfahrung vor, dass die Datenschützer aufgrund konkreter Beschwerden von Besuchern der Webseiten tätig werden. In beiden Fällen drohen Sanktionen und Bußgelder.

Jüngst hat zudem das OLG Köln geurteilt, wie Cookie-Banner auszusehen haben. Es gibt also eine Vielzahl von Punkten, die sorgfältig geprüft werden müssen.

Wir zeigen Ihnen, was Sie beim Betrieb einer Webseite beachten müssen.

Formale rechtliche Aspekte

Die DSGVO stellt bei der Verarbeitung personenbezogener Daten einige grundsätzliche Anforderungen. Diese betreffen vornehmlich die Transparenz, also die Information der von der Verarbeitung Betroffenen über die Art und Weise des Umgangs mit ihren Daten. Jede Webseite speichert zumindest kurzfristig die IP-Adressen der Besucher und oft zusätzliche weitere Daten wie den Typ des Browsers, Sprache und ähnliches. Damit ist der Anwendungsbereich der DSGVO meist schon eröffnet. Noch evidenter ist das, wenn Kontaktdaten über Formulare erhoben werden. Folgendes muss in diesen Fällen mindestens beachtet werden:

  • Eine jederzeit abrufbare Datenschutzinformation muss zur Verfügung gestellt werden.
  • Die Pflichtangaben aus Art. 13 DSGVO sind dort zu nennen (Kontaktdaten des Verantwortlichen, Zwecke und Rechtsgrundlage der Verarbeitungen, Löschfristen, etc.).
  • Datenschutzhinweise sind an Stellen zu platzieren, an denen Daten erhoben werden (z. B. Newsletter oder Kontaktformular).
  • Werden Cookies oder ähnliche Instrumente eingesetzt, ist ein Cookie-Banner Pflicht.
  • Für bestimmte Vorgänge müssen rechtskonforme Einwilligungen eingeholt werden (z. B. Newsletter-Bestellung, Analytics, Werbung, Weitergabe von Daten an Dritte).

Um diese Anforderungen erfüllen zu können, ist es wichtig, in einem ersten Schritt alle Zwecke der Webseite und die dafür eingesetzten Tools zu dokumentieren. Erst darauf aufbauend können spezialisierte Rechtsexperten die notwendigen Dokumente erstellen. Natürlich ist es auch möglich, einen der zahlreichen Generatoren für Datenschutzinformationen zu nutzen. Wir empfehlen aber in jedem Fall noch einen Anwalt oder eine andere rechtlich geschulte Person die damit erstellten Texte prüfen zu lassen. Denken Sie daran: Ihre Webseite ist ein Aushängeschild und für jeden einsehbar.

Insbesondere für Cookie-Banner gelten sehr strenge Anforderungen und es ist mittlerweile schwer, in der großen Anzahl an Urteilen und Stellungnahmen von Behörden den Überblick zu behalten. Essentiell ist, dass Besucher immer die Möglichkeit haben müssen, Cookies genauso einfach anzunehmen wie abzulehnen. Auch die Zwecke und „Lebensdauer“ einzelner Cookies sollte erläutert werden. Moderne Consent-Management-Tools unterstützen hier zwar gut, aber auch diese sollten vor Einsatz gewissenhaft geprüft werden.

Auch sollten die Texte regelmäßig überprüft werden. Die Gesetzgebung in diesem Bereich ist außerordentlich dynamisch und auch die Technik ändert sich schnell.

Technische Aspekte

Neben der formalen rechtlichen Prüfung ist ein technisches Audit unerlässlich. Prüfen Sie also unbedingt, ob das, was Sie in den Rechtstexten kundtun, auch den Tatsachen entspricht. Dementsprechend muss eine technische Überprüfung der Webseite vor allem sicherstellen, dass keine Dienste eingesetzt werden, die nicht in den Datenschutzinformationen erläutert werden. Sind die Dienste einwilligungspflichtig, muss gewährleistet werden, dass keine Cookies gesetzt oder Verbindungen zu Drittanbietern aufgebaut werden, bevor nicht über das Consent-Management-Tool die Zustimmung des Besuchers eingeholt wurde. Dies betrifft vor allem Webanalyse-Dienste wie Google Analytics, eingebundene Videos von YouTube oder Conversion-Tracking. Aber schon durch die Einbindung von Social Media Plugins oder Schriftarten kann Unheil drohen.

Soweit über Kontaktformulare Daten erhoben oder Zahlungsdienste eingesetzt werden, müssen die Übertragungen sicher und nach aktuellem Stand der Technik verschlüsselt sein.

Die Webseite selbst muss stets https-fähig sein und ein aktuelles Zertifikat zur Verfügung stehen.

Webseiten ziehen leider Spammer magisch an. Viele Betreiber setzen daher auf sogenannte Captchas, um sich diese vom Hals zu halten. Diese Tools sorgen dafür, dass der Nutzer vor Übermittlung von Daten ein kleines Rätsel lösen muss. Das verhindert, dass Bots massenhaft Anfragen über Kontaktformulare versenden, oder im schlimmsten Fall schädlicher Code auf den Webserver gelangt. Die Captchas selbst sollten allerdings auch datenschutzfreundlich sein. Hier gibt es diverse kostenlose Tools, z. B. das beliebte ReCaptcha von Google, welche „nach Hause funken“. Um das zu vermeiden, kann man auf Lösungen setzen, die auf dem eigenen Webserver laufen und keine Daten an Dritte übermitteln.

Informationen & Tools

Nützliche Hinweise zu den rechtlichen Rahmenbedingungen von Webseiten bietet die Orientierungshilfe Telemedien der Datenschutzkonferenz. Speziell was den Einsatz von Cookies betrifft, gibt eine Information des Hamburgischen Datenschutzbeauftragten gute Hilfestellungen. Wichtig: Immer auch nach neuer Rechtsprechung Ausschau halten! Oft sind die Ansichten der Behörden unnötig streng. Teilweise setzen Gerichte dem aber auch noch einen drauf. Siehe etwa das eingangs erwähnte Urteil des OLG Köln.

In technischer Hinsicht empfehlen wir gerne webkoll. Das Tool prüft eine URL auf fast alle o. g. Aspekte. Ein Wermutstropfen ist, dass nicht alle Unterseiten geprüft werden und Cookie-Banner außer Betracht bleiben. Wer mehr braucht, setzt besser auf einen kommerziellen Anbieter.

Sehr hilfreich ist auch das Website-Audit Tool des Europäischen Datenschutzausschusses. Dieses kann lokal installiert werden und bietet die Möglichkeit, jedes Audit gut strukturiert zu dokumentieren. In allen Fällen ist dennoch ein geschulter rechtlicher Blick unentbehrlich, um die gewonnen Informationen einordnen zu können.

Falls Sie Unterstützung bei der Prüfung Ihrer Webseiten benötigen, helfen wir gerne mit unseren standardisierten Checklisten und Prüfprogrammen aus dem Webseitencheck. Bei Bedarf erstellen wir alle nötigen Dokumente.

Und abonnieren Sie gerne unseren Newsletter, um keinen Datenschutztrend mehr zu verpassen!