DSGVO

Anforderungen an Websites nach der DSGVO

Für einen datenschutzkonformen Internetauftritt gibt es einiges zu beachten. Zum Beispiel ist eine rechtskonforme Datenschutzerklärung verpflichtend, die die Angaben beinhalten muss, die die DSGVO vorschreibt.
Die folgenden Tipps sollen Unternehmen und Webseiten-Betreibern bei der Anpassung ihres Webauftritts an die Vorgaben der DSGVO helfen.

1. Webseiten unterliegen Anforderungen der DSGVO und des TTDSG

Die Regeln der DSGVO (Datenschutzgrundverordnung) gelten seit dem 25. Mai 2018 einheitlich für alle im EU-Raum aktiven Unternehmen. Dies bedeutet: Soweit nicht Spezialregelungen greifen, sind die erhöhten Anforderungen der DSGVO zu beachten. Bei Missachtung der Datenschutzbestimmungen drohen empfindliche Geldstrafen von bis zu 20 Millionen Euro. Internetseiten unterliegen den datenschutzrechtlichen Bestimmungen, da dort stets personenbezogene Daten (z. B. eine IP-Adresse) verarbeitet werden. Dabei ist wichtig: Nach dem Datenschutzrecht ist eine Verarbeitung von Daten natürlicher Personen zunächst generell verboten, es sei denn ein Gesetz erlaubt dies ausdrücklich.

Neu: Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

Seit 1. Dezember 2021 ist zudem das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) zu beachten. Dieses soll die Privatsphäre und Vertraulichkeit von Endeinrichtungen schützen, welche Endnutzer verwenden. Dabei ist wichtig: Der Schutzbereich ist weiter, denn er umfasst alle Informationen (personenbezogene wie nicht-personenbezogene) und findet Anwendung bei allen Personen (natürlichen wie juristischen).
Den Vorgaben des TTDSG unterliegen Telemediendienste wie z. B. Websites, Online-Angebote, über die direkt Waren bzw. Dienstleistungen bestellt werden können, Internetsuchmaschinen und neu sog. Over-the-top-Dienste (OTT-Dienste) wie z. B. VoIP-Telefonie, Messenger-Dienste, Chat-Funktionen eines Online-Angebots, Videokonferenzsysteme und webbasierte E-Mail-Dienste.
„Anbieter von Telemedien“ ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt (Neu: erweiterter Anwendungsbereich) oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt. Kein Telemediendienst und damit nicht vom TTDSG umfasst sind solche, die ausschließlich nur Inhalte (z. B. Nachrichtenportale) anbieten.
Stellen Anbieter Telemedien zur Verfügung, so haben sie für diese (auch bereits vor diesem Zeitpunkt vorhandenen) Online-Angebote ab dem 1. Dezember 2021 zudem das TTDSG zu beachten.
Bei Missachtung des TTDSG drohen Geldbußen von bis zu 300.000 Euro. Die Bußgeldsanktionen nach DSGVO und TTDSG stehen gleichberechtigt nebeneinander, können damit gleichzeitig von einer Datenschutzaufsichtsbehörde angewendet werden.
Für einen datenschutzkonformen Internetauftritt gibt es einiges zu beachten. Zum Beispiel ist eine rechtskonforme Datenschutzerklärung verpflichtend, welche die nach DSGVO erweiterten Angaben beinhalten muss.
Neu nach TTDSG haben Telemedienanbieter (z. B. Website-Anbieter) für ihre Telemedien Folgendes zu beachten:
  • Technische und organisatorische Vorkehrungen (§ 19 TTDSG) Diese umfassen:
    • den Schutz der Nutzer gegen Kenntnisnahme Dritter
    • die Möglichkeit, einen genutzten Dienst jederzeit beenden zu können
    • die Möglichkeit einer anonymisierten oder pseudonymisierten Dienstenutzung, soweit dies technisch möglich und zumutbar ist
    • Anzeigepflicht, bevor eine Verantwortliche Stelle (z. B. ein Websitebetreiber) Nutzer zu einem anderen Anbieter von Telemedien weiterleitet
  • Grundsätzlich besteht eine Einwilligungspflicht bei einem Zugriff auf ein Endgerät, sofern
    • Informationen in einer Endeinrichtung eines Nutzers gespeichert oder auf die dort gespeicherten Informationen zugegriffen wird und
    • keine der beiden Ausnahmen des § 25 Abs. 2 TTDSG greift, d. h. alleiniger Zweck des Zugriffs auf oder der Speicherung der Informationen in Endeinrichtungen betrifft die Übertragung der Nachricht über ein öffentliches Telekommunikationsnetzwerk oder Informationen (via Cookies und vergleichbaren Technologien eingeholt) sind unbedingt erforderlich, damit ein Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Praxistipp: 2-Stufen-Prüfung

Stufe 1: Prüfung nach TTDSG – Speichern von und Zugriff auf Informationen (personenbezogene wie nicht-personenbezogene) in Endeinrichtungen:
Besteht Einwilligungspflicht oder Einwilligungsfreiheit nach TTDSG?
Stufe 2: Prüfung nach DSGVO
Entspricht die Verarbeitung der so gewonnenen personenbezogenen Daten der DSGVO (u. a. auf welche Rechtsgrundlage wird die Datenverarbeitung gestützt?).

Telemediendienste - Prüfschritte und Vorgehensweise

  • Verschaffen Sie sich einen Überblick über Zugriffe auf Endeinrichtungen.
  • Bewerten Sie die Dienste neu gem. TTDSG (1. Stufe):
    • Grundsatz der Einwilligungspflicht (§ 25 Abs. 1 TTDSG)
    • Prüfen Sie, ob Ausnahmen von der Einwilligungspflicht einschlägig sind (§ 25 Abs. 2 TTDSG): nur bei technisch notwendigen Cookies und vergleichbaren Technologien
  • Sicht des Nutzers maßgeblich bei „technisch notwendig“: Dieser Maßstab gilt auch für Sicherheits-Cookies/vergleichbare Technologie
  • Alleiniger Zweck? Vorsicht bei Mehrzweckcookies
  • Unbedingt erforderlich? – Ausnahme greift nur für diese Zugriffe
  • Kein Abgleich mit anderen Verarbeitungen
  • Gültigkeitsdauer begrenzen
  • Datenschutzerklärung, ggf. Consent-Banner anpassen
Beispiele für notwendige Cookies
klassische Session-Cookies (Warenkorb, User-Input), Authentifizierung, Anpassung der Benutzeroberfläche, Sicherheit
Beispiele für nicht notwendige Cookies
Tracking-Cookies (Verfolgung des Nutzerverhaltens für Marketingzwecke im Internet), Cookies zur Reichweitenmessung und Websitenoptimierung; Cookies zur Einbindung von Drittinhalten oder Drittdiensten

2. Tipps für gängige Website-Techniken und Tools

Die datenschutzrechtlichen Vorgaben der DSGVO gelten, sobald es sich bei den verarbeiteten, insbesondere erhobenen, Daten um personenbezogene Daten handelt. Nach Art. 4 Nr. 1 DSGVO sind alle Informationen personenbezogen, die sich auf eine identifizierbare oder identifizierte natürliche Person beziehen. Zu diesen Daten gehören:
  • Name und Anschrift
  • Angaben wie Alter, Geschlecht und Einkommen
  • Daten über das Surfverhalten wie Suchanfragen und Browserverlauf
  • IP-Adressen und sonstige User-Daten
  • E-Mails, Videos und Fotos
  • Daten, die mithilfe von Tracking-Software entstehen
  • Bestellverlauf in einem Onlineshop
  • Im Rahmen der DSGVO müssen Betreiber von Webseiten aller Art ihren Internetauftritt auf Konformität prüfen und gegebenenfalls auch das Newsletter-System, sofern dies in den Internetauftritt integriert ist.
Die datenschutzrechtlichen Vorgaben des TTDSG gelten für Anbieter von Telemedien und schützen die Privatsphäre und Vertraulichkeit von Endeinrichtungen. Eine “Endeinrichtung” ist jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten; sowohl bei direkten als auch bei indirekten Anschlüssen kann die Verbindung über Draht, optische Faser oder elektromagnetisch hergestellt werden; bei einem indirekten Anschluss ist zwischen der Endeinrichtung und der Schnittstelle des öffentlichen Netzes ein Gerät geschaltet.
Beispiele:
Zu Endeinrichtungen nach TTDSG gehören u. a. die Kommunikation über das Telefon, die Internetkommunikation über Laptops und sonstige mobile Endgeräte, Smart TV und smarte Anwendungen (IoT).

3. Website-Hosting und Hoster

Unternehmen mit Internetauftritt speichern die dort anfallenden Daten meist nicht auf einem eigenen Server, sondern nutzen den Service eines externen Dienstleisters (IT-Hoster). Der Content auf der Website ist über die Server des Providers öffentlich abrufbar. Alternativ hosten Unternehmen mit eigener IT-Abteilung und Hardware ihren Internetauftritt auf einem eigenen Server.
Im Rahmen des Hostings bei einem Provider speichert dieser unter anderem die Inhalte der Website und im Falle eines Onlineshops zudem Kunden- und Zahlungsdaten auf seinen Servern ab. Zum Teil logt dieser auch Tracking-Daten über das Besucherverhalten auf der Website. Daher findet eine Verarbeitung, insbesondere Erhebung und Übermittlung von personenbezogenen Daten statt.

Ist ein Auftragsverarbeitungsvertrag notwendig?

Ja, bei einer Auftragsverarbeitung lässt ein Unternehmen (Verantwortlicher) personenbezogene Daten durch eine andere externe Stelle verarbeiten. Das Unternehmen bestimmt allein über die Zwecke und Mittel der Verarbeitung. Ein IT-Hoster, der im Auftrag eines Unternehmens dessen Daten verarbeitet, insbesondere speichert, zählt zu Auftragsverarbeitern (weisungsgebundene Verarbeitung kundenbezogener Daten). Somit ist ein Vertrag über die Auftragsverarbeitung (AV-Vertrag) zu schließen.
Hinweis: Ebenso gelten Tätigkeiten wie Webdesign, Datenkonvertierung und das Erstellen von Back-ups im Sinne der DSGVO als Auftragsverarbeitung. Nur falls gar keine personenbezogenen Daten verarbeitet (z. B. erhoben) werden, handelt es sich nicht um einen Fall der Auftragsverarbeitung und es ist kein AV-Vertrag erforderlich.

Sie betreiben selbst einen Server?

Ein AV-Vertrag ist ebenfalls mit einem Dienstleister zu schließen, den Sie mit der Wartung Ihres Servers beauftragt haben, wenn dieser im Rahmen der Wartung auf personenbezogene Daten zugreifen kann. Die Möglichkeit des Zugriffs reicht bereits aus. Kann hingegen der Zugriff auf die personenbezogenen Daten vollumfänglich ausgeschlossen werden, liegt keine Auftragsverarbeitung vor.

4. SSL-Verschlüsselung (https)

§ 19 Abs. 4 TTDSG regelt, dass Sicherheits-Vorkehrungen für Telemedien zu treffen sind: „Eine Vorkehrung nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.”
Die SSL-Verschlüsselung ermöglicht die sichere Datenübertragung zwischen Client und Server, zum Beispiel sollten die Registrierung und der Einkauf bei einem Onlineshop über eine sichere Verbindung erfolgen.
Zur sicheren Ende-zu-Ende-Datenübertragung zwischen Client und Server eignet sich daher die Möglichkeit zur Verschlüsselung. Empfohlen ist die Verschlüsselung mindestens mittels TLS 1.2 (Verfahren der Verschlüsselung) per https (SSL-verschlüsselte Transportverbindungen). Für die Verschlüsselung muss der Webseitenbetreiber ein SSL-Zertifikat erwerben. In der Regel ist ein solches Zertifikat kostenpflichtig oder im Angebot des Hosting-Providers enthalten.
Alternativ existieren zeitlich befristete Angebote von Dienstleistern, die Sie manuell verlängern müssen. Ein kostenloses und zeitlich limitiertes Zertifikat ist für Betreiber kleiner Websites mit begrenztem Budget interessant. Auf die Vertrauenswürdigkeit des Dienstleisters ist zu achten.

5. Log-Dateien auf dem eigenen Server

Mit Log-Dateien überwachen und protokollieren Webseitenbetreiber die Aktivitäten der Seitenbesucher. Es findet die Speicherung aller Anfragen und Zugriffe auf Unterseiten mit Statusmeldungen statt. Die gesammelten Daten haben für Administratoren großen Wert, denn mithilfe der Log-Dateien lässt sich jeder erfolgreiche und erfolglose Zugriff nachvollziehen. Die Protokollierung ist ein bewährtes Mittel, um Fehler aufzuspüren und zum Beispiel 404-Fehler zu beseitigen (wenn Besucher eine nicht existierende Unterseite öffnen möchten).
Eine Log-Datei dient der Speicherung personenbezogener Daten, genauer werden folgende Daten protokolliert:
  • Uhrzeit zum Zeitpunkt des Seitenzugriffs
  • URL der besuchten Website
  • Menge der übertragenen Daten in Byte
  • Information über die Quelle, über die Besucher auf die Seite gelangen
  • Angabe des Browsers
  • Information zum Betriebssystem
  • Speicherung der IP-Adresse des Besuchers (in anonymisierter Form)
Die Verarbeitung dieser Daten darf wie auch sonst nur erfolgen, sofern es hierfür eine Rechtsgrundlage gibt.
In der Datenschutzerklärung ist der Besucher der Website über die jeweilige Rechtsgrundlage zu informieren. Dabei gilt: Daten dürfen verarbeitet (insbesondere erhoben und ausgewertet) werden, wenn diese für die Sicherheit und Funktionsfähigkeit einer Website erforderlich sind. Derartige Daten dürfen nicht zur Auswertung der Verhaltensweisen der Besucher oder zur Profilbildung zum Einsatz kommen.
Über die Nutzung der Log-Dateien müssen Sie in der Datenschutzerklärung informieren. Die Erklärung unterrichtet über die Verwendungszwecke der Server-Logfiles und der dort protokollierten Daten.

6. Kontaktformulare in der Website

Das Kontaktformular ist ein verbreiteter Service und vereinfacht Seitenbesuchern die Kontaktaufnahme mit dem Kundenservice des Unternehmens bzw. Betreibers der Website. Da Daten wie Name und Kontaktdaten abgefragt werden, erheben Sie mit einem Kontaktformular persönliche Daten und müssen Seitenbesucher deshalb zu Beginn der Nutzung über Art, Umfang und Zweck der Datenerfassung informieren. Dabei gilt:
  • Nur notwendige Angaben abfragen (Grundsatz der Datenminimierung)
  • Bei der Abfrage optionaler Angaben diese als freiwillig kennzeichnen
  • Übermittlung der Daten möglichst über eine verschlüsselte Datenleitung („https“)
  • Hinweis zu Kontaktformular in der Datenschutzerklärung
Die Datenverarbeitung, welche über Kontaktformulare auf Websites abgewickelt wird, ist personenbezogenen und damit in der Datenschutzerklärung zu beschreiben. Auf die richtige technische (eine verschlüsselte Datenverbindung) und inhaltliche Umsetzung ist zu achten.
Ferner ist diese einzelne Funktion „Kontaktformular“, welche nicht zum Kernbereich des Online-Angebots zählt, dahin zu prüfen, ob es sich hierbei um einen Telemediendienst handelt, der ausdrücklich vom Nutzer gewünscht ist und damit einwilligungsfrei (s. o.) zur Verfügung gestellt werden kann.

Lösungsansätze

Die Verarbeitung personenbezogener Daten ist erlaubt, wenn es hierfür eine Rechtsgrundlage (z. B. Vertrag bzw. Vorvertrag oder Einwilligung) gibt (Art. 6 Abs. 1 DSGVO). Wie bisher sollte das Versenden der personenbezogenen Daten angemessen verschlüsselt per https erfolgen. Die Verschlüsselung über das SSL-Protokoll sollte dem aktuellen Stand der Technik entsprechen und mindestens per TLS 1.2 erfolgen.

7. Tracking- und Analyse-Software

Mithilfe von Tracking- und Analyse-Software wie Google Analytics und Matomo (ehemals Piwik) lernen Websitebetreiber viel über die Besucher ihrer Website und können ihren Internetauftritt zielgruppenspezifisch optimieren.
Ist Software wie Google Analytics oder Matomo auf Ihrer Website aktiv, werden personenbezogene Daten (IP-Adressen) an Dritte übertragen. Damit sind die Datenschutzbestimmungen zu beachten. Um die Dienste rechtskonform zu gestalten, müssen Sie Folgendes beachten:
Die Aufsichtsbehörden haben sich bundesweit dahin verständigt, dass Dienste zur statistischen Analyse nicht unbedingt erforderlich und damit nach TTDSG einwilligungspflichtig sind. Für eine Weiterverarbeitung dieser Daten benötigen verantwortliche Stellen ebenfalls eine Rechtsgrundlage (z. B. Einwilligung, Vertrag).
Die Tracking-Tools zur reinen Reichweitenmessung (Auswertung: ausschließlich das Nutzerverhalten auf der Website für den Websitebetreiber) werden nunmehr einwilligungspflichtig. Die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 20.12.2021 führt hierfür eine Vielzahl von Begründungen auf, ohne konkrete Beispielsfälle für eine noch einwilligungsfreie reine Reichweitenmessung nach TTDSG zu nennen. Rechtsgrundlage hierfür ist § 25 Abs. 1 TTDSG. Die vor dem 01.12.2021 akzeptierte Opt-out-Möglichkeit wird nicht mehr als TTDSG-konform angesehen.
Die Tracking-Tools, die nicht nur das reine Nutzerverhalten auf der Website tracken, sondern zudem ein umfassendes "Internetprofil" eines Websitenutzers erstellen, dürfen wie bereits bisher nur mit einer Einwilligung der Nutzer eingesetzt werden. Rechtsgrundlage hierfür ist § 25 Abs. 1 TTDSG.
Praxistipps
  • Einholung einer Einwilligung über ein Consent-Banner (ggf. auch für die auf eine Einwilligung gestützte Weiterverarbeitung dieser Daten)
  • Information über die Rechtsgrundlagen in der Datenschutzerklärung
  • Dokumentation der Rechtsgrundlagen in der Verarbeitungsbeschreibung im Verzeichnis von Verarbeitungstätigkeiten
  • Eine wirksame Einwilligung setzt voraus, dass die Nutzer vorab über die geplante Verarbeitungstätigkeit vollständig informiert werden und aktiv zustimmen. Vielfach dürfte eine Einwilligung nicht wirksam eingeholt werden können, weil Websitenbetreiber nicht wissen und damit Websitenbesucher auch nicht darüber informieren können, welche Daten genau ein Tracking-Tool-Dienstleister zu welchen Zwecken verarbeitet ("freiwillige informierte Einwilligung").
Google Analytics
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mit Beschluss vom 12.05.2020 den Einsatz von Google Analytics neu bewertet. Die DSK hat klargestellt, dass Google Analytics so weiterentwickelt wurde, dass Google hierüber für eigene Zwecke Daten (z. B. Nutzerdaten oder personenbeziehbare Gerätedaten) erhebt und verarbeitet. Damit agiert Google nicht mehr wie ein Auftragsverarbeiter. Die DSK sieht Google und den Anwender von Google-Analytics als zwei gemeinsam für die Verarbeitung Verantwortliche an. Die DSK fordert, dass Google hierfür einen Joint Controllership-Vertrag nach Art. 26 DSGVO anbietet, der die Verantwortlichkeit beider Parteien regelt. Google sieht sich bei Google Analytics partiell als Auftragsverarbeiter und bietet Anwendern einen Vertrag über Auftragsverarbeitung an.
Weitere Informationen finden Sie in der Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 15. November 2019.

8. Social Media Plugins wie Facebook & Twitter

Social Media Plugins wie der Like- und Share-Button von Facebook kommen auf Webseiten aller Art zum Einsatz. Die Betreiber erhoffen sich dadurch eine Vergrößerung der Reichweite und mehr Traffic, da Seitenbesucher die Inhalte „liken“ und mit ihrem sozialen Netzwerk teilen.
Datenschützer stören sich schon seit einiger Zeit an dem Datenhunger der Plugins. Die Plugins verarbeiten personenbezogene Daten und erstellen Persönlichkeitsprofile. Nutzer werden darüber nicht informiert. Bei jedem Aufruf der Website mit direkt eingebundenem Social Media Plugin verschickt dieses automatisch Daten an den Social-Media-Anbieter. Das geschieht unabhängig davon, ob ein Webseiten-Besucher auf diesem Social-Media-Kanal registriert ist oder nicht. Das Problem ist, dass Daten über Seitenbesucher bereits beim Laden der Website erfasst und übertragen werden.

Lösungen

Für die rechtssichere Einbindung der Social Media Plugins sind drei Varianten empfohlen.
Die Shariff-Lösung
Diese Lösung ist eine Weiterentwicklung der 2-Klick-Lösung. Ein Skript ruft ab, wie häufig eine Seite getwittert oder „geliked“ wurde. Dabei erfolgt eine Übertragung der IP-Adresse des Webseiten-Servers und nicht der IP-Adresse des Rechners des Besuchers. Eine Verbindung zwischen den Social-Media-Anbietern und Seitenbesuchern findet erst statt, wenn diese aktiv werden und die Plugins aktiv nutzen (z. B. durch Anklicken). Die Social-Media-Buttons von Shariff schützen die Privatsphäre der Besucher so gut wie das 2-Klick-Verfahren, bei diesen ist jedoch kein zweiter Klick nötig. Bei den Schaltflächen handelt es sich um HTML-Links, die Sie mit CSS individuell gestalten können.
Die 2-Klick-Lösung
Bei dieser Variante muss der Seitenbesucher erst ein Symbol anklicken, um dieses Social Media Plugin zu aktivieren. Um das Social Media Plugin zu nutzen, muss der Webseiten-Besucher ein weiteres Mal darauf klicken. Erst dann werden seine Nutzerdaten an den Social Media-Anbieter übertragen.
Vollständiger Verzicht
Ein Verzicht auf die Social Media Plugins ist die einfache Lösung, für Webseitenbetreiber aufgrund der verminderten Marketing-Möglichkeiten jedoch nicht attraktiv.

9. Eingebundene Videos von Youtube & Vimeo

Neben Bildern eignen sich Videos besonders gut für die Gestaltung von Internetseiten und die Bereitstellung von Informationen. Die Einbindung von Videos in Webseiten sollte datenschutzkonform erfolgen.
Wie bei den Social Media Plugins speichert eine Internetseite mit eingebundenem Video die IP-Adresse des Nutzers bereits beim Laden der Seite. Die Speicherung erfolgt unabhängig davon, ob der Besucher das Video anklickt oder nicht. Da IP-Adressen zu den personenbezogenen Daten gehören, sind die Datenschutzvorgaben zu beachten. Allerdings ist in diesen Fällen die Datenschutzkonformität nur schwer herstellbar.
Die Einbettung von Videos auf Drittseiten im Wege des „Framing“ ermächtigt Youtube, dort im großen Stil Nutzerdaten zu erheben und auszuwerten. Bei Verwendung der Standard-HTML-Codes werden im jeweiligen Nutzersystem bereits bei Aufruf der Website, die das eingebettete Video beinhaltet, diverse einwilligungspflichtige Cookies gesetzt sowie eine Verbindung zum Google-Werbenetzwerk aufgenommen.
Weil Youtube die Datenverarbeitungsprozesse hinsichtlich Umfang und Zielsetzung allerdings weitgehend verschleiert, ergeben sich nicht nur Probleme bei der rechtskonformen Umsetzung der Informationspflichten nach der DSGVO. Auch die Einwilligungspflicht für technisch nicht notwendige Cookies und die notwendige Widerrufsmöglichkeit müssen rechtskonform sein, was schwierig in der Umsetzung ist.
Die von Youtube bereitgestellte Funktion der Einbettung im sogenannten „erweiterten Datenschutzmodus“ löst nur teilweise die rechtlichen Probleme. Sie reduziert den Aufklärungsumfang und kann zumindest für Youtube-Cookies eine Einwilligungslösung bieten. Dennoch ist für den Einwilligungswiderruf und für DoubleClick-Cookies ein wirksames Cookie-Einwilligungsmanagement notwendig.
Weitere Informationen dazu finden Sie im Artikel “Einbettung von Youtube-Videos im Webshop (Update)” der IT-Recht Kanzlei München.

10. Cookies und Cookie-Hinweise

Heute nutzen fast alle Webseiten Cookies. Cookies sind kleine Textdateien, die Informationen auf dem Rechner eines Webseitenbesuchers ablegen. Mithilfe von Cookies lassen sich Besucher identifizieren und wiedererkennen. So müssen Besucher zum Beispiel nicht bei jedem Seitenbesuch die Anmeldedaten erneut eingeben, wenn in deren Browser ein entsprechendes Cookie gesetzt ist. Nicht jede Website benötigt ein Cookie-Banner. Dies ist nur dann der Fall, wenn Cookies und sonstige Technologien (z. B. Fingerprinting) verwendet werden, für deren Einsatz vorab eine Einwilligung des Websitebesuchers eingeholt werden muss.
Mithilfe der Cookies werden personenbezogene Daten erhoben, deren Verarbeitung meist ohne Zustimmung der Seitenbesucher nicht erlaubt ist. § 25 TTDSG ist immer zu prüfen, wenn Technologien eingesetzt werden, die Informationen aus Endeinrichtungen auslesen oder auf diesen speichern.
Zunächst ist nach der Art des Cookies zu unterscheiden. Hierbei gilt:
  • Cookies sind einwilligungsfrei zulässig, soweit diese aus Nutzersicht unbedingt, d. h. technisch (nicht: wirtschaftlich) erforderlich sind.
    Beispiele für notwendige Cookies: Seitennavigation, Warenkorbfunktion im Online-Shop.
  • Der Einsatz von nicht notwendigen Cookies ist nach TTDSG einwilligungspflichtig.
    Beispiel hierfür sind Tracking-Cookies, über die webseiten- oder geräteübergreifende Nutzungsprofile erstellt oder Daten an Dritte übermittelt werden. Seitenbetreiber haben für nicht notwendige Cookies stets vorab (z. B. über ein Cookie-Banner) die Einwilligung der Nutzer einzuholen.

11. Externe Schriften und Dateien wie z. B. Google Fonts

Die Einbindung derartiger externer Schriften und Dateien ist nach § 25 Abs. 1 TTDSG einwilligungspflichtig. Neben den Standardschriften gibt es tausende weiterer Schriften, die online kostenlos oder kostenpflichtig angeboten werden. Ein Anbieter solcher Schriften ist Google mit den Google Fonts.
Wenn auf einer Website externe Schriften wie Google Fonts zum Einsatz kommen, werden diese üblicherweise beim Laden der Seite vom Google Server nachgeladen und es findet ein Datenaustausch zwischen der Website und Google statt. Die Datenübermittlung ist aus Datenschutzsicht bedenklich. Die Lösung: Externe Schriften müssen nicht von einem Server nachgeladen werden, sie können alternativ lokal auf dem eigenen Server gespeichert sein. Webseitenbetreiber müssen zunächst die benötigten Schriften identifizieren, können diese anschließend herunterladen und auf den eigenen Server hochladen. Im Anschluss passen Sie den CSS-Code entsprechend an und tragen die neue Quelle der Fonts ein.
Werden Webfonts nicht rechtskonform eingebunden, können Betroffene Schadenersatz wegen Verletzung des Datenschutzrechts fordern. Dies hat das Landgericht München I mit Urteil vom 20.01.2022 (Az. 3 O 17493/20) so entschieden. Bekommen Sie als Unternehmer Schadenersatzforderungen, welche sich auf dieses Urteil stützen, sollten Sie prüfen, ob Sie der Zahlungsaufforderung Folge leisten und/oder ggf. anwaltliche Hilfe zu Rate ziehen.
Prüfkriterien, ob die Schadenersatzforderung berechtigt ist:
  • Stimmen die Angaben in der Zahlungsaufforderung? D. h. setzen Sie Webfonts (z. B. Google Fonts) auf Ihrer Website nicht rechtskonform ein?
    Dann sollten Sie die Website umgehend anpassen (Bitte auch die Datenschutzerklärung). Prüfen Sie, ob es rechtskonforme Alternativen gibt, welche ggf. eingesetzt werden könnten.
  • Leistet man der Zahlung Folge?
    Dann sollten Sie vorab, die Höhe des Schadenersatzes klären und eine umfassende Anspruchsabgeltung vereinbaren.
  • Besteht ausnahmsweise Verdacht auf Rechtsmissbrauch? Dann können Sie sich an Ihre örtlich zuständige IHK oder auch den Deutschen Schutzverband gegen Wirtschaftskriminalität e.V. (DSW) wenden. Indiz für einen Rechtsmissbrauch kann z. B. eine als Serienbrief erscheinende Zahlungsaufforderung in Höhe von 100 Euro mit kurzer Fristsetzung sein.
Bitte beachten Sie: Sollten Sie eine Abmahnung wegen des Datenschutzverstoßes erhalten, die eine Unterlassungserklärung fordert, müssen Sie den Datenschutzverstoß erst beseitigen, bevor Sie eine Unterlassungserklärung mit Vertragsstrafe-Versprechen unterzeichnen. Ansonsten riskieren Sie neben dem Schadenersatz auch noch die Zahlung der Vertragsstrafe.
Von der Datenschutzverletzung Betroffenen steht es zudem frei, den Sachverhalt unabhängig von einer Zahlung der zuständigen Datenschutzaufsicht zu melden, also sich über den Rechtsverstoß zu beschweren, oder das Unternehmen zu verklagen.

12. Datenschutzerklärung

Jede Website muss über ein Impressum und eine Datenschutzerklärung verfügen, sobald diese personenbezogene Daten verarbeitet. Die Erklärung informiert Besucher der Website ausführlich über die Art und Weise der Verarbeitung (z. B. Erheben, Auswerten) der personenbezogenen Daten sowie über die Verarbeitungszwecke.
Bereits sehr einfache Webseiten verarbeiten personenbezogene Daten, weshalb die Datenschutzregelungen für fast alle Internetauftritte gelten. Ohne korrekte Umsetzung der Bestimmungen droht dem Betreiber der Website ggf. eine Abmahnung und/oder eine Geldbuße. Spätestens seit dem 25. Mai 2018 muss die obligatorische Datenschutzerklärung an die neuen Anforderungen der DSGVO angepasst sein.
Die DSGVO-konforme Datenschutzerklärung muss die nach Artikel 13 DSGVO bestehenden Informationspflichten beachten. Damit ist sie deutlich umfangreicher. Folgende Pflichten müssen umgesetzt sein:
  • Die Rechtsgrundlage für die Datenverarbeitung muss genannt sein. Es gilt nach wie vor der Grundsatz des Verbots mit Erlaubnisvorbehalt. Personenbezogene Daten dürfen nicht erhoben werden, außer der Nutzer stimmt explizit zu oder das Gesetz gestattet dies.
  • Gesetzlich zulässige Verarbeitungen (Rechtsgrundlagen) sind in Artikel 6 DSGVO definiert: Die Datenverarbeitung ist zum Beispiel erlaubt, wenn die Daten zur Vertragserfüllung benötigt werden. Zu den Ausnahmen gehört zudem die „Wahrung berechtigter Interessen“.
  • Auf die Rechtsgrundlage „Wahrung berechtigter Interessen“ lässt sich die Verarbeitung solcher personenbezogener Daten stützen, die für die Gewährleistung der Website-Sicherheit erforderlich sind. Hierzu zählt unter anderem die temporäre Speicherung von IP-Adressen, beispielsweise zum Schutz einer Website vor Angriffen. Die IP-Speicherung sollte in der Regel 7 Tage nicht überschreiten.
  • Neu sind die Informationspflichten bezüglich der Rechte der Seitenbesucher. Die Datenschutzerklärung muss über alle Rechte Betroffener (z. B. auf Auskunft, auf Berichtigung, Recht auf Beschwerde bei einer Aufsichtsbehörde sowie ein Recht auf Löschung und Einschränkung und ggf. auf Datenübertragbarkeit) geben.
  • Gibt es in einem Unternehmen einen Datenschutzbeauftragten, muss dieser in der Erklärung genannt und eine Kontaktmöglichkeit gegeben sein. Hierbei reicht eine Funktionsangabe aus, eine namentliche Nennung ist nicht erforderlich.
Im Netz gibt es Datenschutz-Generatoren, mit denen Sie kostenlos eine einfache Datenschutzerklärung für Ihre Website erstellen können.
Hier finden Sie einen Mustertext von Prof. Hoeren aus Münster.

13. Datenweitergabe an externe Dienstleister

Die Weitergabe von Daten an Dritte ist schnell erfolgt und gilt zum Beispiel schon dann, wenn die Bearbeitung von Rechnungen in der Cloud eines externen Anbieters stattfindet. Typisch ist die Datenweitergabe auch bei Onlineshops, die in der Regel auf dem Server eines Webseiten-Hosters betrieben werden.
Werden personenbezogene Daten weitergeleitet oder ist eine bloße Möglichkeit der Kenntnisnahme durch Dritte gegeben, handelt es sich um Datenverarbeitungen mit Erlaubnispflicht. Die Weitergabe ist erlaubt, sofern die Weitergabe auf eine Rechtsgrundlage gestützt werden kann.
Das TTDSG sieht zudem seit 01.12.2021 eine Anzeigepflicht vor, bevor ein Nutzer zu einem anderen Telemediendienst weitergeleitet wird.
Im Unternehmensalltag spielen v. a. folgende Rechtsgrundlagen eine Rolle:
  • Einwilligung
    Eine Möglichkeit ist es, die Einwilligung zur Datenweitergabe von den Betroffenen einzuholen. Diese können der Weitergabe nach Art. 6 Abs. 1 Satz 1 lit. a DSGVO zustimmen. Für die Einwilligung gelten jedoch hohe Anforderungen. Diese kann jederzeit widerrufen (damit nicht belastbar) werden.
  • Vertragserfüllung
    Zulässig ist die Weitergabe, falls diese zur Vertragserfüllung erforderlich ist und den Interessen der betroffenen Person entspricht.
  • Bei berechtigten Interessen an der Weitergabe
    Auch ohne Einwilligung und Vertrag kann die Datenweitergabe erlaubt sein. Diese Forderung ist zum Beispiel erfüllt, wenn ein Onlineshop die Kontaktdaten eines Kunden an einen Paketzustelldienst übermittelt, der Kunde vorab hierüber informiert worden ist und nicht widersprochen hat.
    Interessen an der Kostensenkung, Gewinnmaximierung, Steigerung der Nutzerfreundlichkeit und Optimierung der Dienste zählen ebenfalls zu den berechtigten Interessen. Bei der Abwägung dieser kommt es auf die Art der Daten, den Zweck der Weitergabe und die möglichen Risiken für Betroffene an. Der Verkauf von Adressen von einem Onlineshop an einen Adressen-Händler ist damit nicht erlaubt.

13. Datenverarbeitungsverträge mit Auftragsverarbeitern

Betreiber von Webseiten nutzen diverse Dienste und Tools, die im Auftrag personenbezogene Daten verarbeiten. Zu den Dienstleistern zählen unter anderem Hosting-Anbieter, Newsletter-Provider und Cloud-Dienste. Viele Anbieter stellen noch keine Verträge zur Auftragsverarbeitung zum Download bereit. Hier finden Sie eine Liste mit AV-Verträgen. Notwendig ist solch ein Vertrag immer, wenn Unternehmen im Auftrag des Webseitenbetreibers Daten verarbeiten und als „Auftragsverarbeiter“ agieren.

Zusammenfassung

Sofern nicht spezialgesetzliche Regelungen greifen, müssen Betreiber von Webseiten bei der Verarbeitung aller personenbezogenen Daten die Bestimmungen der DSGVO und neu seit 01.12.2021 des TTDSG beachten, bei Nichtbeachtung ist eine Geldbuße eine mögliche Folge. Die Regeln betreffen die Zusammenarbeit mit einem Hosting-Anbieter, die Notwendigkeit der verschlüsselten Datenübertragung, den richtigen Umgang unter anderem mit Log-Dateien, Kontaktformularen, Tracking-Software, und Cookies sowie vergleichbare Technologien (z. B. Fingerprinting). Wichtig ist zudem die Anpassung der obligatorischen Datenschutzerklärung sowie im Falle einer Einwilligungspflicht nach TTDSG der rechtskonformen Implementierung eines sog. Cookie-Banners. Die Datenschutzaufsichtsbehörden bieten Handreichungen sowie Checklisten und Beispielsfälle. Mit Hilfe von sog. Datenschutz-Generatoren können Unternehmen meist kostenlos Datenschutzerklärungen für ihre Website erstellen.
Prüfen Sie, ob Ihre Datenschutzerklärung alle erforderlichen Punkte umfasst. Unsere Checkliste dazu finden Sie als Download auf dieser Seite unter „Weitere Informationen“.