Eine Website muss den gesetzlichen Vorgaben und insbesondere der DSGVO genügen. Dieser Beitrag beleuchtet unter anderem die Verantwortung der Agenturen für die datenschutzkonforme Erstellung der Website.
Der Inhalt im Überblick
Voraussetzungen für eine datenschutzkonforme Website
Immer wieder und gerade jetzt nach dem BGH-Cookie-Urteil muss man feststellen, dass bei manchen Agenturen das Verständnis für die DSGVO und den eigenen Verantwortungsbereich fehlt. Oftmals wissen diese gar nicht, welche Cookies, Tracking-Tools, Pixels, Web-Beacons etc. in den Websites verbaut werden. Diese Unkenntnis schlägt sich auf den Auftraggeber durch, er bleibt mit dem Problem eine rechtssichere, d.h. vollständige, Datenschutzerklärung auf der Website zu implementieren, allein zurück.
Voraussetzungen aus anderen Rechtsgebieten
Neben den rechtlichen Gesichtspunkten aus der DSGVO gibt es auch aus anderen Rechtsgebieten Voraussetzungen für eine rechtskonforme Umsetzung einer Website. Unter anderem ist zu klären,
- ob es zu Kollisionen mit Dritten in Bezug auf den Domainnamen kommt?
- ob die erforderlichen Lizenzen für die Inhalte Dritter vorhanden sind?
- ob bei verwendeten Bildern die Urheberkennzeichnung existiert?
Datenschutzrechtliche Vorgaben
Zudem gibt es auch einige wesentliche Datenschutzvorgaben, die für eine rechtssichere Gestaltung der Website zu beachten sind.
1. Verschlüsselte Datenübermittlung
Auf der Website ist für eine verschlüsselte Übermittlung der Daten zu sorgen, wie dies in Art. 32 DSGVO als Sicherheitsmaßname ausdrücklich angeführt wird. Als Mindeststandard hat sich die Transportverschlüsselung mit HTTPS etabliert. Bei Kontaktformularen und ähnlichem ist eine Transport- und Inhaltsverschlüsselung geboten.
2. Rechtssicheres Impressum
Jede Website benötigt ein Impressum. Dies gilt grundsätzlich auch für Websites, die sich noch im Aufbau oder in der Wartung befinden. Die geschäftliche Tätigkeit, die die Impressumpflicht auslöst, kann auch darin gesehen werden, dass der Besucher nach dem Abschluss der Wartungsarbeiten, wieder auf die Seite zurückkehren soll.
Zu den Mindestvoraussetzungen eines rechtssicheren Impressums nach § 5 TMG gehören:
- Name und ladungsfähige Anschrift des Verantwortlichen ggf.mit dem juristischen Vertreter bei juristischen Personen
- Kontakt- bzw. Kommunikationsdaten, d.h. auch die elektronische Post
- Handelsregister / Genossenschaftsregister / Partnerschafts- oder Vereinsregister
- soweit vorhanden Umsatzidentifikations- oder Wirtschaftsidentifikationsnummer
- ggf. auch berufsständische Informationen
3. Datenschutzerklärung
Diese muss den Vorgaben aus Art. 13 DSGVO entsprechen. Folgende Punkte sind jedoch zwingend enthalten:
- Kontaktdaten des Verantwortlichen gem. Art. 4 Nr. 7 DSGVO und des Datenschutzbeauftragten
- Informationen über die Daten, die verarbeitet werden
- Zweck der Datenverarbeitung
- Rechtsgrundlage hierfür aus Art. 6 DSGVO
- Empfänger der Daten (hierunter fallen auch Cookies, Tracking Tools, Social Media Komponenten)
- Übermittlung an Drittländer
- Informationen zu den Rechten der Nutzer nach Art. 12 ff DSGVO
4. Cookie-Consent-Banner
Ein Cookie-Consent-Banner ist mittlerweile für viele unabdingbar. Dieses muss gleich beim erstmaligen Öffnen der Website erscheinen und darf den Zugang zur Datenschutzerklärung und Impressum nicht verdecken oder behindern. Vor der aktiven und informiert erteilten Einwilligung des Betroffenen dürfen nur die für die Funktionsfähigkeit der Website essentiell erforderlichen Cookies gesetzt werden. Empfehlenswert sind bereits am Markt erhältliche Consent-Management-Plattformen, die die Einwilligung und den Widerruf rechtssicher dokumentieren.
Folgende Gesichtspunkte muss der Cookie-Consent-Banner zwingend enthalten:
- Einholen der Einwilligung
- Benennung des Verantwortlichen
- Zweck der Datenverarbeitung
- Information über die Rechte des Betroffenen: hierfür bietet sich ein Link auf die Datenschutzerklärung an
- Widerrrufsmöglichkeit der Einwilligung, die so einfach sein muss, wie die Erteilung
- Auflistung und Auswahlmöglichkeit der Dienste, die verwendet werden. Für jeden der Dienste muss eine eigene Einwilligung eingeholt werden.
Wer ist für die Website verantwortlich?
1. Verantwortlicher nach DSGVO
Datenschutzrechtlich ist die Sache klar. Verantwortlich für die Website ist gem. Art. 4 Nr. 7 i.V.m. Art. 25 DSGVO der Websitebetreiber, auch wenn die Website von der Agentur erstellt wird und diese die Cookies, Tracking- und Analyse-Tools, Zählpixel, Web-Beacons etc. über den Programmierer implementieren hat lassen.
Problematisch ist, dass der verantwortliche Betreiber gar nicht weiß, welche Cookies durch die Agentur und den Programmierer verwendet werden. Oft sind die Agenturen hier auch sehr flapsig und behaupten, ohne es eigentlich zu wissen, dass keine weiteren, außer die schon dem Betreiber bekannten Cookies/Tracking-Tools verwendet werden.
Blindes Vertrauen ist hier nicht angeraten. Kontrolle ist besser! Es gibt auf dem Markt etablierte Tools mit deren Hilfe die Website seitens des Verantwortlichen auf Cookies etc. geprüft werden kann und man stellt oft genug fest, dass die Angaben der Agenturen nicht mit den tatsächlichen Gegebenheiten übereinstimmen.
Als Verantwortlicher sollte man seine Website auch regelmäßig überprüfen, denn ein Verstoß kann gem. Art. 83 DSGVO teuer werden und oftmals übersieht man bei Änderungen an der Website, dass dies Auswirkungen auf den Cookie-Consent-Banner und die Datenschutzerklärung hat. Zum anderen gilt es, die Agenturen in die Pflicht zu nehmen, damit die Informationen hierzu dem Websitebetreiber gesammelt und vollständig zur Verfügung gestellt werden.
2. Vertragliche Verantwortung der Agentur?
Bliebe zu klären, ob die Agentur vom Websitebetreiber zur Verantwortung gezogen werden kann, wenn die Website nicht datenschutzkonform ist, weil die Datenschutzerklärung nicht alle Cookies, Tracking-Tools etc. umfasst oder Analyse-Tools ohne Kürzung der IP-Adresse eingebaut wurden bzw. keine notwendige Einwilligung eingeholt wurde, weil der Verantwortliche gar nicht wusste, dass ein einwilligungsbedürftiges Tool verwendet wurde.
In den meisten Fällen wird es sich bei dem Vertrag zur Erstellung einer Website zwischen dem Websitebetreiber und der Agentur um einen Werkvertrag und den sich hieraus ergebenden Verpflichtungen gem. §§ 631, 633 BGB handeln.
Beschaffenheitsvereinbarung im Werkvertrag
Wird zwischen dem Verantwortlichen und der Agentur in dem Werkvertrag vereinbart, dass die Website datenschutzkonform zu erstellen ist, dann dürfte für die rechtskonforme Einbindung von Tools die Agentur aufgrund der fehlenden Beschaffenheit nach § 633 Abs. 2 Nr. 1 BGB einzustehen haben. Eine Vereinbarung über die Datenschutzkonformität dürfte meist jedoch nicht explizit getroffen worden sein.
Übliche Beschaffenheit nach Art des Werkes
Häufiger hingegen wird vereinbart, dass die Website dem „Stand der Technik“ entsprechen soll. Darunter versteht man eine funktionale zweckgerichtete Qualitätsaussage zu einer technischen oder organisatorischen Maßnahme gem. Art. 25 Abs. 1 DSGVO. Keinesfalls ist hiermit der neueste und beste Entwicklungsstand der Technik gemeint, vielmehr jedoch muss zum Übergabezeitpunkt die Technik einen Stand aufweisen, der auf einem neuesten von Technik und Wissenschaft gesicherten Erkenntnisstand beruht und in der Praxis ausreichend verbreitet ist. Im Übrigen kann auch nur eine datenschutzkonforme Website von mittlerer Art und Güte, d.h. eine Beschaffenheit aufweisen, die üblicherweise von dem Besteller bei derartigen Werken gem. § 633 Abs. 2 S. 2 Nr. 2 BGB erwartet werden kann.
Wie oben dargelegt richtet sich die DSGVO an den Verantwortlichen als Normadressat, allerdings hat dieser oftmals gar keine Ahnung, was die Agentur und der Programmierer in der Website einbauen und kann so gar nicht einschätzen, ob Privacy by Design und Privacy by Default eingehalten sind. Die Agentur ist jedoch indirekt nach den Grundsätzen des Art. 25, 32 DSGVO i.V.m. ErwG 78 verpflichtet, grundsätzlich die Website nach dem Stand der Technik herzustellen d.h. den Datenschutz zu berücksichtigen, so dass sie im Einzelfall durchaus belangt werden kann.
Vertraglich vorausgesetzte Eigenschaft
Die nicht datenschutzkonforme Erstellung der Website könnte auch einen Mangel nach § 633 Abs. 2 S.2 Nr. 1 BGB darstellen, denn eine Website, die nicht der DSGVO entspricht, darf nicht betrieben werden. Lt. Rechtsprechung gehört es zu den Aufgaben der Agentur, die vorgeschlagene Werbung auf die Zulässigkeit zu prüfen und den Verantwortlichen auf bedenkliche Werbemaßnahmen hinzuweisen. In der Konsequenz und gedanklichen Fortführung fällt darunter auch die Ausgestaltung der Website, so dass nicht richtig eingebundene Tools, durchaus einen von der Agentur zu vertretenden Mangel darstellen können.
Was ist zu tun?
Die Agenturen sind daher gehalten Ihr Wissen und Know-How, auch auf gewisse datenschutzrechtliche Belange hin, auszubauen, ebenso wie die Verantwortlichen gehalten sind, bei der Auswahl und Vertragsgestaltung mit den Agenturen mehr das Augenmerk darauf zu legen, dass die Agenturen in diesem Bereich Hilfestellung bieten und den Verantwortlichen nicht im Regen stehen lassen.
> Ein Cookie-Consent-Banner ist mittlerweile unabdingbar.
Das würde ich anders sehen.
Wer seine Seite frei von Scripten Dritter betreibt und seine Besucher nicht aushorchen möchte, braucht keinen Cookie Consent.
Da haben Sie natürlich Recht. Für viele geschäftsmäßige Websiteanbieter, dürfte dies dennoch unabdingbar sein. Aber absolute Aussagen treffen selten in allen Fällen zu. Wir haben den Satz daher leicht ergänzt.
Das kann an so eigentlich auch nicht bewerten. Cookies haben erst mal nichts mit „aushorchen“ zu tun. Es reicht schon, wenn man Benutzer erkennen will, um personalisierte Inhalte zu zeigen. Da steckt keine große „Aushorchung“ o.ä. drin, sondern die Grundfunktionalität vieler Websites.
Das wird i.d.R. mit Sessions gelöst und die verwenden hauptsächlich…(Trommelwirbel) …Cookies ;-)
Die Welt da draußen sollte mal lernen, wie man Cookies verwaltet, dann braucht man auch keine Consent und deren Vorschriften mehr.