Verantwortung Datenschutz Agentur

Verantwortung von Agenturen für den Datenschutz einer Website

Als Agentur oder Webdesigner müssen Sie Ihrem Auftraggeber ein Produkt (z. B. eine Webseite) erstellen, das frei von Mängeln ist und nicht gegen die geltenden Gesetze verstößt. Bei der kreativen Unterstützung werden rechtliche Fragen oftmals vernachlässigt.  Wer ist für die Einhaltung des Datenschutzes auf der Website verantwortlich? Trägt die Agentur die Verantwortung für den Datenschutz? Müssen Webdesigner für eine erstellte Website haften? Welche DSGVO-Themen muss meine Agentur erfüllen? Dieser Beitrag gibt Antworten auf die wichtigsten Fragen.

DSGVO Agentur – Pflicht zur Erstellung einer (datenschutzkonformen) Website?

Eine Website muss den gesetzlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) entsprechen. Dies gilt sowohl für die eigene Online-Präsenz als auch für die erstellte Kundenwebseite. Bei Missachtung der Datenschutzvorgaben drohen Abmahnungen und hohe Bußgelder von bis zu 20 Millionen Euro. Die Vorgaben der DSGVO gelten in allen Mitgliedstaaten der Europäischen Union.

Agentur oder Kunde – Wer ist für den Datenschutz auf der Website verantwortlich?
Aus datenschutzrechtlicher Sicht ist klar, dass der Betreiber gem. Art. 4 Nr. 7 i.V.m. Art. 25 DSGVO für die Webseite verantwortlich ist, auch wenn diese von der Agentur erstellt wird. Problematisch ist, dass der verantwortliche Betreiber oft nicht im Bilde darüber ist, welches soziale Netzwerk, Tracking- und Analyse-Tool, Zählpixel, Web-Beacons oder Cookies von der Agentur verwendet werden. Häufig sind sich Agenturen nicht über die datenschutzrechtlichen Auswirkungen beim Einsatz der eingesetzten Tools bewusst.

Müssen Agenturen bzw. Webdesigner für eine erstellte Website haften?
Ja, als Agentur oder Webdesigner sind Sie grundsätzlich für Mängel haftbar. Die Verantwortung für den Datenschutz liegtalso auch bei der Agentur. Die Ursache dafür liegt darin, dass die Agentur beziehungsweise der Webdesigner dafür verantwortlich ist, dem Auftraggeber ein Produkt zu liefern – beispielsweise eine Website – das frei von Sachmängeln ist und keine Verstöße gegen geltende rechtliche Vorgaben aufweist. Die Haftung ist auch abhängig von der Art getroffenen vertraglichen Vereinbarungen: Dienstvertrag, Werkvertrag oder „Webdesign-Vertrag“. Wenn die Agentur oder der Webdesigner sich nicht durch klare und verbindliche vertragliche Regelungen abgesichert hat, könnte dies kostspielige Konsequenzen nach sich ziehen. Dies könnte Abmahnkosten, Schadensersatzansprüche, Bußgelder sowie möglicherweise einen langwierigen und kostenintensiven Rechtsstreit umfassen, der dazu dient, die Haftung vor Gericht verbindlich zu klären. 

Was ist für Agenturen im Hinblick auf den Datenschutz zu tun?
Die Verantwortung für den Datenschutz liegt bei der Agentur. Agenturen sollten sich mit den rechtlichen Gesichtspunkten aus der DSGVO im Hinblick auf die datenschutzkonforme Erstellung der Website auseinandersetzen. Darüber hinaus sollten Agenturen transparent handeln und ihre Auftraggeber proaktiv über die eingesetzten Technologien informieren. Somit stehen die Chancen gut, dass die DSGVO-Vorgaben bei Ihrem Auftraggeber umgesetzt werden und Streitigkeiten vermieden werden.

Agentur DSGVO- 12 Tipps für eine datenschutzkonforme Webseite

Die Verantwortung für den Datenschutz liegt bei der Agentur. Daher müssen Agenturen sich mit den Pflichten des Datenschutzes aus der DSGVO und dem BDSG auseinandersetzen. Als Agentur sollten Sie darauf hinwirken, dass die nachfolgenden Datenschutz-Anforderungen bei Ihren Auftraggeberns umgesetzt werden.

1.    Website-Hoster – Auftrasgverarbeitungsvertrag zur Datenverarbeitung abschließen

Unternehmen mit Online-Präsenz speichern die dort anfallenden Daten routinemäßig meist nicht auf einem eigenen Server, sondern nutzen für den Betrieb ihrer Website den Service eines externen IT-Hosters. Die Webseiteninhalte sind über die Server des IT-Hosters öffentlich abrufbar. Dieser agiert im Auftrag des Webseitenbetreibers und verarbeitet kundenbezogene Daten. Agenturen bzw. Webdesigner sollten ihre Auftraggeber erinnern, einen Vertrag über Auftragsverarbeitung (AV-Vertrag) abzuschließen.

2.    Verschlüsselte Übermittlung der Daten (https) sicherstellen

Als Agentur bzw. Webdesigner sollten Sie für Ihren Auftraggeber sicherstellen, dass dieser eine verschlüsselte Datenübertragung etabliert. Für diesen Zweck eignet sich die SSL-Verschlüsselung, welche eine sichere Datenübertragung zwischen dem Client und dem Server ermöglicht. Diese Art der Verschlüsselung erkennen Sie neben der „https“-Kennzeichnung in der URL auch an dem grünen Schlosssymbol im Browser. In der Regel können solche Zertifikate kostenpflichtig bei den Hosting-Providern erworben werden.

3.    Kontaktformulare schlank halten

Bei der Nutzung von Kontaktformularen müssen Seitenbesucher („betroffene Person“) zu Beginn über die Art, den Umfang und den Zweck der Datenerhebung informiert werden. Weiterhin muss in diesem Zusammenhang der Grundsatz der Datenminimierung beachtet werden, indem nur die erforderlichen Daten abgefragt und optionale Angaben als freiwillig gekennzeichnet werden. Dies gilt auch im Rahmen vorvertraglicher Maßnahmen.

4.    Datenschutzerklärung einbinden

Jede Webseite muss eine klare und verständliche Datenschutzerklärung gemäß Artikel 13 der DSGVO bereithalten. Die Datenschutzerklärung muss Folgendes beinhalten:

• Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
• Informationen über die erhobenen Daten, Zweck der Datenverarbeitung und Rechtsgrundlage
• Angaben zu den Empfängern der Daten
• Informationen zur Übermittlung an Empfänger in Drittländern
• Erläuterungen zu den Betroffenenrechten gemäß Art. 12 ff. DSGVO
• Leichte Erreichbarkeit der Datenschutzerklärung von jeder Unterseite durch entsprechenden Link im Footer- oder Header-Bereich der Website

5.    Rechtssicheres Impressum einbinden

Neben einer Datenschutzinformation muss jede Website auch ein Impressum bereithalten. Dieses sollte so gestaltet sein, dass Nutzer es maximal zwei Klicks von jeder Unterseite aus erreichen können. Dies gilt nicht nur für die Website selbst, sondern auch für geschäftliche Social-Media-Kanäle. Durch das Impressum kann ein Websitebesucher auf den ersten Blick erkennen, wer für die Inhalte einer Webseite die Verantwortung trägt. Auf den sozialen Medien sollte das Impressum im Profil verlinkt werden. Die meisten Plattformen bieten auch schon die Möglichkeit, in einem dafür vorgesehenen Feld, das Impressum der Website zu verlinken.

Darüber hinaus sollte das Impressum aktualisiert werden, sofern bisher auf die veraltete Rechtsgrundlage § 5 TMG verwiesen wurde. Die Impressumspflicht ergibt sich seit dem 14.05.2024 aus dem sogenannten Digitale-Dienste-Gesetz (DDG). Zuvor ergab sich die Pflicht, auf Ihrer Webseite ein Impressum einzubinden aus § 5 Telemediengesetz (TMG). Es handelt sich somit lediglich um eine redaktionelle Änderung. Inhaltlich hat sich nichts an der Impressumspflicht geändert.

6.    Cookie-Consent-Banner einrichten

Heute nutzen fast alle Webseiten Cookies. Beim Einsatz von technisch nicht notwendigen Cookies ist ein Cookie-Consent-Banner unerlässlich. Dieser Banner muss beim ersten Besuch der Website angezeigt werden und bestimmten Anforderungen genügen:

• Der Banner darf den Zugang zur Datenschutzerklärung und zum Impressum nicht verdecken oder beeinträchtigen
• Ohne ausdrückliche Einwilligung des Nutzers dürfen nur technisch notwendige Cookies gesetzt werden
• Die Erklärung zur Einwilligung zur Verarbeitung der Daten muss den Anforderungen des Artikel 7 der DSGVO entsprechen
• Die Widerrufsmöglichkeit der erteilten Einwilligungen muss genauso einfach sein wie die Erteilung
• Separate Auflistung und Auswahlmöglichkeit der verwendeten Dienste ist erforderlich.

7.    Ausdrückliche Einwilligung einholen bei Nutzer-Tracking und -Analyse

Die Nutzung von Tracking- und Analyse-Software wie Google Analytics und Matomo ermöglicht es Websitebetreibern, Informationen über ihre Besucher zu sammeln und die Website gezielt zu optimieren. Die Aufsichtsbehörden haben sich bundesweit dahin verständigt, dass Dienste zur statistischen Analyse nicht unbedingt erforderlich sind (vgl. DSK-Orientierungshilfe für Anbieter von Telemedien). Die erteilte Einwilligung des Nutzers ist für den Einsatz von sämtlichen Tracking-Tools erforderlich. Die Einholung der Einwilligung erfolgt mithilfe des Cookie-Consent-Banners.

8.    Externe Schriften z. B. Google Fonts offline einbinden

Externe Schriften wie Google Fonts werden oft von Google-Servern außerhalb der Europäischen Union nachgeladen, was zu einer Übertragung von Nutzerdaten an Google führt. Der Abruf externer Schriftarten von Google-Servern kann nur mit ausdrücklicher Einwilligung der Nutzer gemäß § 25 Abs. 1 TDDDG geschehen. Es sollte gewährleistet sein, dass die Schriftarten erst nach der Einwilligung des Nutzers geladen werden. Ein Problem besteht darin, dass bei Verweigerung der Einwilligung Darstellungsprobleme beim Aufruf der Webseite auftreten können. Eine Lösung zur Vermeidung dieser Datenschutzprobleme besteht darin, die Schriftarten lokal auf dem eigenen Webserver zu speichern und von dort aus zu verwenden. Dadurch werden die Schriftarten nicht mehr von den Google-Servern geladen, und die IP-Adresse des Nutzers wird nicht mehr übertragen.

9.    Videos datenschutzkonform einbinden, z. B. YouTube & Vimeo

Webseiten, die Videos integriert haben, erfassen bereits beim Laden der Seite die IP-Adresse des Nutzers. Diese Erfassung geschieht unabhängig davon, ob der Besucher das Video aktiv anklickt oder nicht. Aufgrund der Einordnung von IP-Adressen als personenbezogene Daten ist die Einhaltung der Datenschutzbestimmungen erforderlich und der Nutzer muss ausdrücklich einwilligen, dass er mit der Erhebung der Daten einverstanden ist. Es gibt zwei Möglichkeiten, den Einsatz von Cookies und das Speichern von IP-Adressen zu verhindern:

• Einbetten mit erweiterten Datenschutzmodus:
  Diverse Videoanbieter, wie etwa YouTube, ermöglichen die Generierung eines Einbettungs-Codes, der keine Cookies setzt. Um in den „erweiterten Datenschutzmodus“ zu wechseln, öffnen Sie die YouTube-Seite des Videos, klicken Sie auf „Teilen“ > „Einbetten“ und wählen Sie „Mehr anzeigen“. Dort finden Sie die Option „Erweiterten Datenschutzmodus aktivieren“. Bei korrekter Anwendung zeigt der Einbettungs-Code für die Website „www.youtube-nocookie.com“.
• Verwendung der Zwei-Klick-Lösung:
  Eine Alternative ist die Zwei-Klick-Lösung, bei der der Cookie erst nach dem Klick gesetzt wird und nicht bereits beim Aufruf der Internetseite. Für Content-Management-Systeme wie WordPress und Joomla! existieren entsprechende Plugins, wie zum Beispiel das Plugin „Embed videos and respect privacy“ für WordPress.

10.                 E-Mail-Newsletter DSGVO-konform gestalten

Das Versenden von Werbemails ist nur dann erlaubt, wenn die ausdrückliche, informierte und freiwillige Einwilligung des Empfängers vorliegt. Dies gilt sowohl für den Versand von Werbemails an Unternehmer als auch an Verbraucher. Die entsprechende Einwilligung muss unter Hinweis auf die jederzeitige Widerrufsmöglichkeit erfolgen und vom Verantwortlichen dokumentiert werden. Eine rechtssichere Einwilligung lässt sich nur mithilfe des sog. Double-Opt-in-Verfahrens einholen. Auch wettbewerbsrechtliche Gründe verlangen, dass die Betroffenen jederzeit Widerspruch einlegen und sich vom Newsletter abmelden können, indem der Empfänger beispielsweise am Ende des Newsletters auf den Abmeldelink klickt.

11.                 Auftragsverarbeitungsverträge (AV-Vertrag) abschließen

Sobald Sie als Webdesigner oder Agentur (potenzielle) Zugriffsrechte auf Analysetools oder E-Mail-Adressen haben, etwa zur Erstellung einer Newsletter-Marketing-Kampagne, verarbeiten Sie kundenbezogene Daten im Auftrag. Es handelt sich um eine Auftragsverarbeitung nach Art. 28 DSGVO. Darauf folgt die Verpflichtung zum Abschluss von einem Vertrag über Auftragsverarbeitung zwischen Ihrer Agentur und Ihrem Auftraggeber. Darüber hinaus haben Sie als Webdesigner oder Agentur einen besseren Überblick über die vom Auftraggeber genutzten Dienste und Tools, die im Auftrag personenbezogene Daten verarbeiten. Daher sollten Sie Ihren Auftraggeber über möglicherweise abzuschließende Auftragsverarbeitungsverträge mit Hosting-Anbietern, Newsletter-Providern und Cloud-Diensteanbietern informieren.

12.                 Urheberrechtsverletzungen vermeiden

Auch wenn dies nicht zur Verantwortung Datenschutz einer Agentur gehört: Achten Sie darauf, dass der auf der Website Ihre Kunden keine Urheberrechtsverletzungen provozieren, indem Sie urheberrechtlich geschützte Bilder, Videos, Texte verwenden. Selbst auf kostenlosen Bildplattformen unterliegen Bilder und Videos dem Urheberrecht. Wenn Sie Content nicht selbst erstellen, sondern erwerben, prüfen Sie sorgfältig, ob dieser rechtmäßig genutzt werden darf.

Was ist eine Auftragsverarbeitung? 

Daten werden nicht nur intern im Unternehmen verarbeitet. Unternehmen verfügen häufig nicht über ausreichende personelle Kapazitäten, um den zunehmenden Betreuungsaufwand rund um ihre Webseite, immer komplexere Verfahren und sich rasant entwickelnden eingesetzten Tools und Technologien selbst zu verwalten. Der Verantwortung für den Datenschutz sollte die Agentur demzufolge nachkommen.

Auftragsverarbeitung im Sinne des Datenschutzrechts bedeutet die künftige Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter (regelmäßig ein entsprechender Dienstleister) im Auftrag eines verantwortlichen Unternehmens. Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen ein Dienstleister im Schwerpunkt mit der manuellen oder automatisierten Verarbeitung personenbezogener Daten beauftragt wird, z. B.

• Software as a Service (SaaS) wie (z. B. Newsletter-Tools, Dropbox etc.)
• Cloudbasierte CRM-Tools
• Verarbeitung von Werbeadressen in einem Lettershop
• Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten
• Externer Betrieb oder Wartung von Servern
• Nutzung von externen Rechenzentren
• externes Lohnbuchhaltungsbüro
• Agenturen für Marketing, Vertrieb und Digitalisierung, wenn diese Zugriff auf die Systeme und/oder Daten des Auftraggebers haben
• Weitere Beispiele im FAQ zur Auftragsverarbeitung des ByLDA vom 20.07.2018

Dagegen liegt keine Auftragsverarbeitung vor, wenn kein Zugriff auf personenbezogene Daten des Auftraggebers möglich ist. Beispiele hierfür sind eigenständig agierende Berufsgruppen, z. B. Berufsgeheimnisträger wie etwa Ärzte, Steuerberater, Wirtschaftsprüfer und Rechtsanwälte, Bankinstitute für Überweisungen oder die Post für ihre Dienstleistungen.

Wann ist eine Agentur ein Auftragsverarbeiter?

Die Inanspruchnahme von Dienstleistungen einer Agentur ist dann als Auftragsverarbeitung zu qualifizieren, wenn sich die vertraglich vereinbarte Leistung auf die Verarbeitung personenbezogener Daten bezieht. Generell werden Auftraggeber vor der Beauftragung einer Agentur prüfen, ob der Agentur die Möglichkeit zum Zugriff auf personenbezogene Daten eingeräumt wird. Vor dem Start der Zusammenarbeit sollten auch Agenturen prüfen, ob sie als Auftragsverarbeiter nach Art. 28 DSGVO einzuordnen sind. Die nachfolgenden Fragen können als Indikatoren für die Beurteilung herangezogen werden. Je mehr Fragen mit „Ja“ beantwortet werden können, umso mehr spricht für das Vorliegen einer Auftragsverarbeitung:

1. Erhalten die Mitarbeiter der Agentur Einblicke in die Datenbestände des Kunden, z. B. Kunden- oder Mailinglisten, Nutzeranalysen, Interviews, o. ä.?
2. Erhalten die Mitarbeiter der Agentur Zugangsdaten zu den Content Management Systemen (z. B. WordPress), Analyse Tools (z. B. Google Analytics, Google Search Console, Matomo etc.) oder den sozialen Medien (Instagram, Facebook, TikTok etc.)?
3. Beschließt der Kunde bzw. Auftraggeber, welche operativen oder organisatorischen Maßnahmen durch die Agentur umgesetzt werden?
4. Ist die Agentur weisungsgebunden bei der Erbringung der vertraglichen Leistung?
5. Hat der Kunde bzw. Auftraggeber ein wirtschaftliches Interesse an der Nutzung personenbezogener Daten oder dem Ergebnis der Datenverarbeitung?

Die Bewertung, ob eine Auftragsverarbeitung vorliegt, sollte für jedes einzelne Vertragsverhältnis anhand der tatsächlichen Umstände zusammen mit dem Datenschutzbeauftragten bewertet werden. Die Verantwortung für den Datenschutz liegt bei der Agentur und dem Auftraggeber.

Pflichten der Agentur als Auftragsverarbeiter

Sobald eine Agentur weisungsgebunden im Auftrag personenbezogene Daten verarbeitet, gilt dies als Auftragsverarbeitung. Die Agentur wird bei einer derartigen Verarbeitung mit den Vorgaben des Art. 28 DSGVO stärker in die Pflicht genommen und ist für die Datenschutzkonformität während der Leistungserbringung mitverantwortlich. Die Verantwortung für den Datenschutz liegt also immer auch bei der Agentur Für Agenturen ergeben sich insbesondere die folgenden Pflichten:

• Auftragsverarbeitungsvertrages (AVV) abschließen:
  Liegt ein Auftragsverarbeitungsverhältnis vor, muss ein Auftragsverarbeitungsvertrag in schriftlicher oder digitaler Form abgeschlossen werden. Jeder Vertrag über Auftragsverarbeitung muss den Anforderungen des Art. 28 DSGVO standhalten. Es empfiehlt sich daher die Erstellung bzw. Prüfung durch den internen oder externen Datenschutzbeauftragten.
• Technische und organisatorische Maßnahmen ergreifen:
  Die Agentur muss dafür sorgen, dass dem Risiko angemessene  Maßnahmen im Sicherheitsbereich ergriffen werden, um die Daten des Kunden ausreichend zu schützen. Die Dokumentation des Datensicherheitskonzepts wird üblicherweise als Anlage in den AV-Vertrag miteinbezogen, sodass der verantwortliche Auftraggeber sich vom Datenschutz der Agentur vorab überzeugen kann.
• Verarbeitungsverzeichnis erstellen:
  Die Agentur ist als Auftragsverarbeiter nicht immer nur für die Datenverarbeitung verantwortlich, sondern auch für die Datenschutzkonformität der Verarbeitungsprozesse mitverantwortlich. Daraus ergibt sich für die Agentur die Pflicht zur Erstellung eines Verarbeitungsverzeichnisses (Art. 30 Abs. 2 DSGVO). Das Verarbeitungsverzeichnis enthält alle datenschutzrelevanten Geschäftsprozesse in der Eigenschaft als Auftragsverarbeiter.
• Mitarbeiter auf Vertraulichkeit verpflichten:
  Die von der Agentur erfassten Informationen sind vertraulich zu behandeln. Deshalb muss die Agentur sicherstellen, dass die Verarbeitung nur von geschulten Mitarbeitern durchgeführt wird, das zur Wahrung der Vertraulichkeit verpflichtet wurde. Diese Vertraulichkeitsverpflichtung wird üblicherweise schriftlich zwischen der Geschäftsleitung der Agentur und dem betreffenden Mitarbeiter festgehalten.
• Unterstützung des Kunden im Umgang mit Anfragen von Betroffenen:
  Die Agentur darf Anfragen von jeder betroffenen Person, die sich an den Auftraggeber richtet, nicht eigenständig beantworten. Allerdings müssen Agenturen dem Kunden helfen, die Anfrage der Betroffenen beantworten zu können. Stellt ein betroffener  Newsletter-Empfänger eine Auskunfts- oder Löschanfrage und geht diese zunächst einem Agenturmitarbeiter zu, muss diese unverzüglich an den Ansprechpartner des Auftraggebers weitergegeben werden.
• Unterstützung des Kunden im Umgang mit Datenpannen:
  Die Agentur in der Eigenschaft als Auftragsverarbeiter muss den Auftraggeber bei der Beseitigung der Datenpanne sowie ihrer Folgen, als auch bei der Einhaltung seiner Meldepflichten unterstützen. Erkennen die Mitarbeiter der Agentur eine potenzielle Datenpanne in der Sphäre des Kunden, müssen sie den Auftraggeber unverzüglich informieren. Ansonsten verstoßen Agenturen gegen die vertraglichen und gesetzlichen Pflichten  (Art. 28 Abs. 3 S. 2 lit. f. DSGVO).

Neben den Daten, die Agenturen während der Auftragserfüllung von ihren Kunden erhalten, verarbeiten sie auch die eigenen Personaldaten. In der Eigenschaft als datenschutzrechtlich Verantwortlicher sehen sich Agenturen daher mit vielen Fragen zum Datenschutz konfrontiert. Einen Überblick über die Datenschutz-Pflichten und konkrete Praxistipps für die Umsetzung der DSGVO in Agenturen finden Sie in dem gleichnamigen Artikel.

Wir unterstützen Sie!

Unsere externen Datenschutzbeauftragten stehen Ihner Agentur bei allen Fragen des Datenschutzes zur Seite. Unser Angebot zur Benennung zum externen Datenschutzbeauftragten kombiniert Datenschutz-Fachwissen mit rechtlichen, betriebswirtschaftlichen und technischen Kenntnissen. Alle unsere Datenschutzberater sind zertifiziert und besitzen eine umfassende Fachkunde auf dem Gebiet des Datenschutzrechts. Mit uns erfüllen Sie alle Vorgaben der Datenschutz-Grundverordnung.

FAQ zu Datenschutz Verantwortung Agentur