Eine Website muss den gesetzlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) genügen. Bei Missachtung der Datenschutz-Bestimmungen drohen empfindliche Bußgelder von bis zu 20 Millionen Euro. Die folgenden Tipps helfen Unternehmen und Website-Betreibern, eine datenschutzkonforme Website zu erstellen.
Inhaltsverzeichnis
10 Tipps für eine datenschutzkonforme Website
Weitere Tipps zur Vermeidung von Abmahnungen und Haftungsfallen
FAQ zu datenschutzkonforme Website
1. Website-Hosting und Hoster
Unternehmen mit einer Online-Präsenz speichern die dort anfallenden Daten meist nicht auf einem eigenen Server, sondern nutzen für den Betrieb ihrer Website den Service eines externen IT-Hosters. Die Inhalte sind über die Server des IT-Hosters öffentlich abrufbar. Dieser agiert im Auftrag des Webseitenbetreibers und verarbeitet kundenbezogene Daten. Daher ist es notwendig, einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abzuschließen. Beachten Sie, dass auch Tätigkeiten wie Webdesign, Datenanalyse und Back-up-Erstellung als Auftragsverarbeitung im Sinne der DSGVO gelten.
2. Verschlüsselte Datenübermittlung (https)
Der Webseitenbetreiber muss sicherstellen, dass Daten gemäß Artikel 32 der DSGVO verschlüsselt übertragen werden. Hierfür eignet sich die SSL-Verschlüsselung (Secure-Sockets-Layer), welche eine sichere Datenübertragung zwischen dem Nutzercomputer und dem Server ermöglicht. Die Verwendung dieser Verschlüsselung erkennen Sie an der „https“-Kennzeichnung in der URL und dem grünen Schlosssymbol im Browser. Ein SSL-Zertifikat ist erforderlich und wird in der Regel vom Hosting-Anbieter kostenpflichtig oder als Teil des Angebots bereitgestellt. Die SSL-Verschlüsselung sollte nicht nur auf der Hauptseite, sondern auch auf sämtlichen Unterseiten und Sub-Domains verfügbar sein, um die Voraussetzungen für eine datenschutzkonforme Website zu erfüllen.
3. Kontaktformulare
Das Kontaktformular vereinfacht der betroffenen Person (Seitenbesucher) die Kontaktaufnahme mit dem Betreiber der Website. Da Daten wie Name und Kontaktdaten abgefragt werden, sind Nutzer zu Beginn über Art, Umfang und Zweck der Datenerfassung zu informieren. Für das Erreichen der datenschutzkonformen Website gilt:
- Nur notwendige Angaben abfragen (Grundsatz der Datenminimierung)
- Bei der Abfrage optionaler Angaben diese als freiwillig kennzeichnen
- Übermittlung der Daten möglichst über eine verschlüsselte Datenleitung („https“)
- Hinweis zum Kontaktformular in der Datenschutzerklärung
4. Website Compliance: Datenschutzerklärung
Jede Website muss eine klare und verständliche Datenschutzerklärung gemäß Artikel 13 der DSGVO für die betroffenen Personen bereithalten. Die Datenschutzerklärung muss Folgendes beinhalten:
- Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
- Informationen über die erhobenen Daten, Verarbeitungszweck und Rechtsgrundlage
- Hinweise zu den Empfängern der Daten
- Informationen zur Übermittlung an Empfänger in Drittländern
- Erläuterungen zu den Betroffenenrechten gemäß Art. 12 ff. DSGVO
- Leichte Erreichbarkeit der Datenschutzerklärung von jeder Unterseite durch Verlinkung im Footer- oder Header-Bereich der Website
5. Cookie-Consent-Banner
Heute nutzen fast alle Webseiten Cookies. Cookies legen Informationen auf dem Rechner des Webseitenbesuchers ab und werden in Form von Textdateien abgespeichert. Mit Cookies können Besucher identifiziert und wiedererkannt werden. Seit Wirksamwerden der DSGVO sieht man ein Cookie-Consent-Banner auf den meisten Websites beim ersten Aufruf. Oftmals lassen sie sich einfach wegklicken, bei anderen ist das Ablehnen sehr umständlich und in den wenigsten Fällen kann man seine abgegebene Einwilligung nachträglich widerrufen.
Mit Einführung des § 25 Telekommunikation-Telemedien-Datenschutz-Gesetzes (TDDDG) Ende 2021 ist eine strenge Einwilligungspflicht für Cookies in Kraft getreten. Seitdem ist beim Einsatz von Cookies, die technisch nicht notwendig sind, ein Cookie Banner unverzichtbar. Für eine datenschutzkonforme Website muss der Banner beim erstmaligen Besuch der Website angezeigt werden und insbesondere folgende Anforderungen erfüllen:
- Der Banner darf den Zugang zur Datenschutzerklärung und zum Impressum nicht verdecken oder beeinträchtigen
- Ohne aktive und wirksame Einwilligung des Nutzers, dürfen nur technisch notwendige Cookies gesetzt werden, die für die Funktionsfähigkeit der Website erforderlich sind
- Eine Einwilligungserklärung muss den Anforderungen des Art. 7 DSGVO erfüllen (Opt-In)
- Die Widerrufsmöglichkeit der Einwilligung muss so einfach sein wie die Erteilung
- Separate Auflistung und Auswahlmöglichkeit der Dienste, die verwendet werden
Seit Inkrafttreten des Digitale-Dienste-Gesetz (DDG) am 14.05.2024 ergibt sich die Pflicht zur Einbindung des Cookie-Banners aus dem Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Eine inhaltliche Änderung geht damit nicht einher. Sollten Sie aber in der Einwilligungserklärung Ihres Cookie-Banners auf § 25 TDDSG als maßgebliche Rechtsgrundlage verweisen, muss dies ebenfalls hin zu § 25 TDDDG korrigiert werden.
6. Tracking-Tools
Nutzen Sie Analyse-Tools wie Google Analytics oder Matomo? Wenn ja, gibt es für die Website Compliance einiges zu beachten. Beim Analysieren von Besucherzahlen und dem Nutzungsverhalten wird die IP-Adresse des Nutzers erhoben und an die Server von Google bzw. Matomo übertragen. Einerseits muss in der Datenschutzerklärung auf den Einsatz dieser Tracking Tools hingewiesen werden. Andererseits dürfen sämtliche Tools erst mit dem Tracking beginnen, wenn der Nutzer in die Erhebung seiner IP-Adresse eingewilligt hat. Die Aufsichtsbehörden haben sich bundesweit darauf verständigt, dass Dienste zur statistischen Analyse nicht unbedingt erforderlich sind und deshalb stets einer Einwilligung bedürfen (vgl. DSK Orientierungshilfe für Anbieter von Telemedien). Die Einholung der Einwilligung erfolgt mithilfe des Cookie-Consent-Banners. Um sicherzustellen, dass Daten nicht länger als erforderlich gespeichert werden, sollte die Speicherdauer in den Einstellungen des Tool möglichst begrenzt werden. Des Weiteren ist im Sinne der Datenminimierung auch die Aktivierung der IP-Anonymisierung dringend zu empfehlen.
7.Externe Schriften wie z. B. Google Fonts
Wenn externe Schriften wie Google Fonts auf einer Webseite eingebunden werden, erfolgt in der Regel ein Datenaustausch zwischen der Website und Google. Die Einbindung solcher externen Schriften erfordert die vorherige Zustimmung der Nutzer gemäß § 25 Abs. 1 TDDDG. Dies ist jedoch wenig sinnvoll, insbesondere dann, wenn ein Webseitenbesucher die Einwilligung nicht erteilt und die Schriften der Webseite nicht geladen werden. Eine Lösung, um Datenschutzprobleme zu vermeiden und eine datenschutzkonforme Website zu betreiben, besteht darin, die Schriftarten lokal auf dem eigenen Webserver zu speichern und von dort aus zu verwenden.
8. Eingebundene Videos z. B. YouTube & Vimeo
Webseiten mit eingebundenem Video erfassen bereits beim Laden der Webseite die IP-Adresse der betroffenen Person (Webseitenbesucher) und senden diese an die Server der Videoplattform. Die Speicherung der IP-Adresse erfolgt immer, egal ob der Besucher das Video anklickt oder nicht. IP-Adressen gehören zu den personenbezogenen Daten, weshalb die Datenschutzvorgaben beachtet werden müssen. Mit den folgenden zwei Möglichkeiten kann das Setzen der Cookies und Speichern der IP-Adresse beim Laden der Seite vermieden werden, um eine datenschutzkonforme Website zu erreichen:
- Einbetten mit erweiterten Datenschutzeinstellung:
Videoanbieter wie z. B. YouTube bieten die Möglichkeit, einen Einbettungs-Code zu erzeugen, der keine Cookies setzt. Um den „erweiterten Datenschutzmodus“ zu aktivieren, öffnen Sie die entsprechende YouTube-Seite des Videos, klicken Sie auf „Teilen“ > „Einbetten“ und dann auf „Mehr anzeigen“. Dort finden Sie die Option „Erweiterten Datenschutzmodus aktivieren“. Bei richtiger Anwendung wird im Einbettungs-Code für die Website „www.youtube-nocookie.com“ angezeigt. - Die Zwei-Klick-Lösung:
Die Alternative zur erweiterten Datenschutzeinstellung ist die Zwei-Klick-Lösung, in der der Cookie erst nach dem Klick gesetzt wird, und nicht nach dem Aufruf der Internetseite. Für Content-Management-Systeme wie WordPress und Joomla! gibt es entsprechende Plugins (auch viele kostenlose Tools), wie zum Beispiel das Plugin „Embed videos and respect privacy“ für WordPress.
9. E-Mail-Newsletter DSGVO-konform gestalten
Das Versenden von Werbemails ist nur dann erlaubt, wenn die ausdrückliche, informierte und freiwillige Einwilligung des Empfängers vorliegt. Dies gilt sowohl für den Versand von Werbemails an Unternehmer als auch an Verbraucher. Diese Anforderungen ergeben sich unter anderem auch aus dem Gesetz gegen den unlauteren Wettbewerb (UWG). Die Einwilligung muss unter Hinweis auf die jederzeitige Widerrufsmöglichkeit erfolgen und vom Verantwortlichen dokumentiert werden. Eine rechtssichere Einwilligung lässt sich nur mithilfe des sog. Double-Opt-in-Verfahrens einholen.
10. Auftragsverarbeitungsverträge (AV-Vertrag)
Webseitenbetreiber nutzen diverse Dienste und Tools, die im Auftrag personenbezogene Daten verarbeiten. Zu den Dienstleistern zählen Hosting-Anbieter, Newsletter-Tool-Anbieter und Cloud-Services und viele mehr. Viele Anbieter stellen Auftragsverarbeitungsverträge zum Download bereit, die jedoch vor der Unterzeichnung auf DSGVO-Konformität geprüft werden sollten. Sofern Sie sich für einen Auftragsverarbeiter mit Ansässigkeit außerhalb der Europäischen Union entscheiden, sollten Sie zusätzlich die sog. Standarddatenschutzklauseln einbeziehen.
Weitere Tipps zur Vermeidung von Abmahnungen und Haftungsfallen:
1. Rechtssicheres Impressum
Neben einer korrekten Datenschutzerklärung ist auch ein vollständiges Impressum Pflicht. Dieses sollte so gestaltet sein, dass Nutzer es maximal zwei Klicks von jeder Unterseite aus erreichen können. Dies gilt nicht nur für die Website selbst, sondern auch für geschäftliche Social-Media-Kanäle. Das Impressum hat den Zweck, dass Websitebesucher auf den ersten Blick erkennen können, wer für die Inhalte der Seite verantwortlich ist. Bisher ergab sich die Pflicht, auf Ihrer Webseite ein Impressum einzubinden aus § 5 TMG. Ab sofort findet sich die Impressumspflicht in § 5 Digitale-Dienste-Gesetz (DDG). Sofern das Impressum einen Verweis auf das TMG enthält, besteht redaktioneller Handlungsbedarf.
2. Urheberrechtsverletzungen
Achten Sie darauf, dass der auf Ihrer Website verwendete Inhalt (Bilder, Videos, Texte) keine Urheberrechtsverletzungen darstellt. Selbst auf kostenlosen Bildplattformen unterliegen Bilder und Videos dem Urheberrecht. Wenn Sie Content nicht selbst erstellen, sondern erwerben, prüfen Sie sorgfältig, ob dieser rechtmäßig genutzt werden darf. Entgegen der allgemeinen Kenntnis sind Haftungsausschlüsse (sog. Disclaimer) auf der Webseite wirkungslos und teilweise sogar schädlich für Webseitenbetreiber, da Sie Abmahnungen provozieren.
3. Verstöße gegen fremde Marken- & Namensrechte
Verstöße gegen geschützte Marken- und Namensrechte können schwerwiegende Folgen haben, einschließlich der Entfernung von Domains, Umbenennung von Webseiten und teuren Abmahnungen. Die Kosten einer solchen Abmahnung können sich schnell summieren – denn sie bemessen sich am zugrundeliegenden Streitwert. Im Markenrecht liegt dieser nicht selten bei 100.000 Euro.