Voraussetzungen für eine datenschutzkonforme Website

1. April 2024

Eine Website muss den gesetzlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) genügen. Bei Missachtung der Datenschutz-Bestimmungen drohen empfindliche Bußgelder von bis zu 20 Millionen Euro. Die folgenden Tipps helfen Unternehmen und Website-Betreibern, eine datenschutzkonforme Website zu erstellen.

10 Tipps für eine datenschutzkonforme Website

1. Website-Hosting und Hoster

Unternehmen mit einer Online-Präsenz speichern die dort anfallenden Daten meist nicht auf einem eigenen Server, sondern nutzen für den Betrieb ihrer Website den Service eines externen IT-Hosters. Die Inhalte sind über die Server des IT-Hosters öffentlich abrufbar. Dieser agiert im Auftrag des Webseitenbetreibers und verarbeitet kundenbezogene Daten. Daher ist es notwendig, einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abzuschließen. Beachten Sie, dass auch Tätigkeiten wie Webdesign, Datenanalyse und Back-up-Erstellung als Auftragsverarbeitung im Sinne der DSGVO gelten.

2. Verschlüsselte Datenübermittlung (https)

Der Webseitenbetreiber muss sicherstellen, dass Daten gemäß Artikel 32 der DSGVO verschlüsselt übertragen werden. Hierfür eignet sich die SSL-Verschlüsselung (Secure-Sockets-Layer), welche eine sichere Datenübertragung zwischen dem Nutzercomputer und dem Server ermöglicht. Die Verwendung dieser Verschlüsselung erkennen Sie an der „https“-Kennzeichnung in der URL und dem grünen Schlosssymbol im Browser. Ein SSL-Zertifikat ist erforderlich und wird in der Regel vom Hosting-Anbieter kostenpflichtig oder als Teil des Angebots bereitgestellt. Die SSL-Verschlüsselung sollte nicht nur auf der Hauptseite, sondern auch auf sämtlichen Unterseiten und Sub-Domains verfügbar sein.

3. Kontaktformulare

Das Kontaktformular vereinfacht der betroffenen Person (Seitenbesucher) die Kontaktaufnahme mit dem Betreiber der Website. Da Daten wie Name und Kontaktdaten abgefragt werden, sind Nutzer zu Beginn über Art, Umfang und Zweck der Datenerfassung zu informieren. Dabei gilt:

    • Nur notwendige Angaben abfragen (Grundsatz der Datenminimierung)
    • Bei der Abfrage optionaler Angaben diese als freiwillig kennzeichnen
    • Übermittlung der Daten möglichst über eine verschlüsselte Datenleitung („https“)
    • Hinweis zu Kontaktformular in der Datenschutzerklärung

4. Datenschutzerklärung

Jede Website muss eine klare und verständliche Datenschutzerklärung gemäß Artikel 13 der DSGVO für die betroffenen Personen bereithalten. Die Datenschutzerklärung muss Folgendes beinhalten:

    • Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
    • Informationen über die erhobenen Daten, Verarbeitungszweck und Rechtsgrundlage 
    • Hinweise zu den Empfängern der Daten
    • Informationen zur Übermittlung an Empfänger in Drittländern
    • Erläuterungen zu den Betroffenenrechten gemäß Art. 12 ff. DSGVO
    • Leichte Erreichbarkeit der Datenschutzerklärung von jeder Unterseite durch Verlinkung im Footer- oder Header-Bereich der Website 

5. Cookie-Consent-Banner

Heute nutzen fast alle Webseiten Cookies. Cookies legen Informationen auf dem Rechner des Webseitenbesuchers ab und werden in Form von Textdateien abgespeichert. Mit Cookies können Besucher identifiziert und wiedererkannt werden. Seit Wirksamwerden der DSGVO sieht man ein Cookie-Consent-Banner auf den meisten Websites beim ersten Aufruf. Oftmals lassen sie sich einfach wegklicken, bei anderen ist das Ablehnen sehr umständlich und in den wenigsten Fällen kann man seine abgegebene Einwilligung nachträglich widerrufen. 

Mit Einführung des § 25 Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) Ende 2021 ist eine strenge Einwilligungspflicht für Cookies in Kraft getreten. Seitdem ist beim Einsatz von Cookies, die technisch nicht notwendig sind, ein Cookie Banner unverzichtbar. Dieser Banner muss beim erstmaligen Besuch der Website angezeigt werden und insbesondere folgende Anforderungen erfüllen: 

    • Der Banner darf den Zugang zur Datenschutzerklärung und zum Impressum nicht verdecken oder beeinträchtigen
    • Ohne aktive und wirksame Einwilligung des Nutzers, dürfen nur technisch notwendige Cookies gesetzt werden, die für die Funktionsfähigkeit der Website erforderlich sind
    • Eine Einwilligungserklärung muss den Anforderungen des Art. 7 DSGVO erfüllen (Opt-In) 
    • Die Widerrufsmöglichkeit der Einwilligung muss so einfach sein wie die Erteilung
    • Separate Auflistung und Auswahlmöglichkeit der Dienste, die verwendet werden

Sofern nur technisch notwendige Cookies eingesetzt werden und kein Tracking erfolgen soll, kann auf einen Cookie-Banner verzichtet werden.

6. Tracking-Tools 

Nutzen Sie Analyse-Tools wie Google Analytics oder Matomo? Wenn ja, gibt es datenschutzrechtlich einiges zu beachten. Beim Analysieren von Besucherzahlen und dem Nutzungsverhalten wird die IP-Adresse des Nutzers erhoben und an die Server von Google bzw. Matomo übertragen. 

Einerseits muss in der Datenschutzerklärung auf den Einsatz dieser Tracking Tools hingewiesen werden.  Andererseits dürfen sämtliche Tools erst mit dem Tracking beginnen, wenn der Nutzer in die Erhebung seiner IP-Adresse eingewilligt hat. Die Aufsichtsbehörden haben sich bundesweit darauf verständigt, dass Dienste zur statistischen Analyse nicht unbedingt erforderlich sind und deshalb stets einer Einwilligung bedürfen (vgl. DSK Orientierungshilfe für Anbieter von Telemedien).

Die Einholung der Einwilligung erfolgt mithilfe des Cookie-Consent-Banners. 

Um sicherzustellen, dass Daten nicht länger als erforderlich gespeichert werden, sollte die Speicherdauer in den Einstellungen des Tool möglichst begrenzt werden. Des Weiteren ist im Sinne der Datenminimierung auch die Aktivierung der IP-Anonymisierung dringend zu empfehlen. 

7.Externe Schriften wie z. B. Google Fonts

Wenn externe Schriften wie Google Fonts auf einer Webseite eingebunden werden, erfolgt in der Regel ein Datenaustausch zwischen der Website und Google. Die Einbindung solcher externen Schriften erfordert die vorherige Zustimmung der Nutzer gemäß § 25 Abs. 1 TTDSG. Dies ist jedoch wenig sinnvoll, insbesondere dann, wenn ein Webseitenbesucher die Einwilligung nicht erteilt und die Schriften der Webseite nicht geladen werden. Eine Lösung, um Datenschutzprobleme zu vermeiden, besteht darin, die Schriftarten lokal auf dem eigenen Webserver zu speichern und von dort aus zu verwenden.

8. Eingebundene Videos z. B. YouTube & Vimeo

Webseiten mit eingebundenem Video erfassen bereits beim Laden der Webseite die IP-Adresse der betroffenen Person (Webseitenbesucher) und senden diese an die Server der Videoplattform. Die Speicherung der IP-Adresse erfolgt immer, egal ob der Besucher das Video anklickt oder nicht. IP-Adressen gehören zu den personenbezogenen Daten, weshalb die Datenschutzvorgaben beachtet werden müssen. 

Mit den folgenden zwei Möglichkeiten kann das Setzen der Cookies und Speichern der IP-Adresse beim Laden der Seite vermieden werden:

    • Einbetten mit erweiterten Datenschutzeinstellung 

Videoanbieter wie z. B. YouTube bieten die Möglichkeit, einen Einbettungs-Code zu erzeugen, der keine Cookies setzt. Um den „erweiterten Datenschutzmodus“ zu aktivieren, öffnen Sie die entsprechende YouTube-Seite des Videos, klicken Sie auf „Teilen“ > „Einbetten“ und dann auf „Mehr anzeigen“. Dort finden Sie die Option „Erweiterten Datenschutzmodus aktivieren“. Bei richtiger Anwendung wird im Einbettungs-Code für die Website „www.youtube-nocookie.com“ angezeigt.

    • Die Zwei-Klick-Lösung

Die Alternative zur erweiterten Datenschutzeinstellung ist die Zwei-Klick-Lösung, in der der Cookie erst nach dem Klick gesetzt wird, und nicht nach dem Aufruf der Internetseite. Für Content-Management-Systeme wie WordPress und Joomla! gibt es entsprechende Plugins (auch viele kostenlose Tools), wie zum Beispiel das Plugin „Embed videos and respect privacy“ für WordPress.

9. E-Mail-Newsletter DSGVO-konform gestalten

Das Versenden von Werbemails ist nur dann erlaubt, wenn die ausdrückliche, informierte und freiwillige Einwilligung des Empfängers vorliegt. Dies gilt sowohl für den Versand von Werbemails an Unternehmer als auch an Verbraucher. Diese Anforderungen ergeben sich unter anderem auch aus dem Gesetz gegen den unlauteren Wettbewerb (UWG).  Die Einwilligung muss unter Hinweis auf die jederzeitige Widerrufsmöglichkeit erfolgen und vom Verantwortlichen dokumentiert werden. Eine rechtssichere Einwilligung lässt sich nur mithilfe des sog. Double-Opt-in-Verfahrens einholen.

10. Auftragsverarbeitungsverträge (AV-Vertrag)

Webseitenbetreiber nutzen diverse Dienste und Tools, die im Auftrag personenbezogene Daten verarbeiten. Zu den Dienstleistern zählen Hosting-Anbieter, Newsletter-Tool-Anbieter und Cloud-Services und viele mehr. Viele Anbieter stellen Auftragsverarbeitungsverträge zum Download bereit, die jedoch vor der Unterzeichnung auf DSGVO-Konformität geprüft werden sollten. Sofern Sie sich für einen Auftragsverarbeiter mit Ansässigkeit außerhalb der Europäischen Union entscheiden, sollten Sie zusätzlich die sog. Standarddatenschutzklauseln einbeziehen. 

Weitere Tipps zur Vermeidung von Abmahnungen und Haftungsfallen:

 1. Rechtssicheres Impressum

Neben einer korrekten Datenschutzerklärung ist auch ein vollständiges Impressum Pflicht. Dieses sollte so gestaltet sein, dass Nutzer es maximal zwei Klicks von jeder Unterseite aus erreichen können. Dies gilt nicht nur für die Website selbst, sondern auch für geschäftliche Social-Media-Kanäle. Das Impressum hat den Zweck, dass Websitebesucher auf den ersten Blick erkennen können, wer für die Inhalte der Seite verantwortlich ist. 

2. Urheberrechtsverletzungen

Achten Sie darauf, dass der auf Ihrer Website verwendete Inhalt (Bilder, Videos, Texte) keine Urheberrechtsverletzungen darstellt. Selbst auf kostenlosen Bildplattformen unterliegen Bilder und Videos dem Urheberrecht. Wenn Sie Content nicht selbst erstellen, sondern erwerben, prüfen Sie sorgfältig, ob dieser rechtmäßig genutzt werden darf. Entgegen der allgemeinen Kenntnis sind Haftungsausschlüsse (sog. Disclaimer) auf der Webseite wirkungslos und teilweise sogar schädlich für Webseitenbetreiber, da Sie Abmahnungen provozieren. 

3. Verstöße gegen fremde Marken- & Namensrechte

Verstöße gegen geschützte Marken- und Namensrechte können schwerwiegende Folgen haben, einschließlich der Entfernung von Domains, Umbenennung von Webseiten und teuren Abmahnungen. Die Kosten einer solchen Abmahnung können sich schnell summieren – denn sie bemessen sich am zugrundeliegenden Streitwert. Im Markenrecht liegt dieser nicht selten bei 100.000 Euro.

FAQ zu datenschutzkonforme Website

Braucht jede Webseite eine Datenschutzerklärung?

Ja, jede Webseite benötigt eine Datenschutzinformation. Selbst bei rein informativer Nutzung einer Webseite werden personenbezogene Daten, wie beispielsweise die IP-Adresse, über Server-Logfiles erfasst. Es gehört daher zu den grundlegenden Verpflichtungen eines Webseitenbetreibers, im Rahmen einer Datenschutzerklärung über Art, Zweck und Umfang der Datenverarbeitung zu informieren.

Braucht jede Webseite einen Cookie Banner?

Nein, beim ausschließlichen Einsatz von technisch notwendigen Diensten auf der Webseite ist ein Cookie-Consent-Banner tatsächlich verzichtbar. Sobald jedoch zusätzlich Tracking-Tools und Dienste zur Reichweitenmessung eingesetzt werden, wird ein Cookie-Banner für diese Marketing-, Third-Party- oder Tracking-Cookies benötigt. Dies ergibt sich insbesondere aus § 25 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG).

Welche Cookies benötigen eine Einwilligung?

Webseiten benötigen einen Cookie-Einwilligungsbanner, wenn „technisch nicht erforderliche Cookies“ gesetzt werden. Technisch nicht erforderlich sind insbesondere Performance-, Marketing- und Third-Party-Cookies.

Welche Cookies benötigen keine Einwilligung?

Auf der Webseite wird kein Cookie-Einwilligungsbanner benötigt, wenn nur „technisch notwendige Cookies“ gesetzt werden, die allein für die Funktionen und den Betrieb einer Webseite erforderlich sind.

Braucht jede Webseite ein Impressum?

Jede Online-Präsenz, die gewerblichen Zwecken dient, benötigt ein Impressum. Webseiten oder Social-Media-Kanäle, die ausschließlich privaten Zwecken dienen, benötigen hingegen kein Impressum.

Mit wem muss ich einen AV-Vertrag abschließen?

Generell müssen Sie einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit Dienstleistern abschließen, die personenbezogene Daten für Sie verarbeiten. Dazu gehören beispielsweise WordPress und Analysetools wie Google Analytics, Matomo, HubSpot, Hotjar Sales Viewer, aber auch Kampagnen-Tools wie z.B. Cleverreach, Mailchimp.

UNVERBINDLICHES UND KOSTENLOSES ERSTGESPRÄCH VEREINBAREN

About the author

Yanick Röhricht

Yanick Röhricht ist Senior Consultant bei ALPHATECH Consulting. Als Berater unterstützt er Unternehmen bei der Umsetzung gesetzlicher Datenschutzvorgaben sowie beim Aufbau eines Informationssicherheits-Managements. Als Wirtschaftsjurist (LL.M.) und mit Zertifizierungen als Datenschutzbeauftragter (TÜV) und IT-Sicherheitsbeauftragter (DGI) verfügt er über fundierte Fachkenntnisse und langjährige Erfahrung in diesem Bereich.

Mehr zu diesem Thema erfahren

Verwandte Blogbeiträge

Kontaktieren Sie uns!
Gerne beantworten wir Ihre Fragen zum Thema Datenschutz und IT-Sicherheit.

Ihr Ansprechpartner

Yanick Röhricht LL.M.

Zertifizierter Datenschutzbeauftragter (TÜV), zertifizierter Informationssicherheitsbeauftragter (DGI)

ALPHATECH
Consulting GmbH

Querstraße 2
65203 Wiesbaden

Telefon

+49 611 445 010 04

Wir arbeiten zertifiziert

Social Media