Die rechtssichere Gestaltung von Websites ist mittlerweile eine große Herausforderung. Nicht nur aus der DSGVO, sondern auch aus dem TTDSG ergeben sich diverse rechtliche Anforderungen, die einzuhalten sind. Dieser Artikel stellt die wichtigsten Aspekte dar, die aus datenschutzrechtlicher Sicht beim Betreiben einer Website zu beachten sind.
Der Inhalt im Überblick
- Die Website als Existenzgrundlage
- Das Zusammenspiel von DSGVO und TTDSG bei Websites
- Informationspflichten auch bekannt als Datenschutzhinweise
- Datenschutzrechtliche Prüfung am Maßstab von DSGVO & TTDSG
- Cookies (z.B. für Adsense, DoubleClick for Publishers, DoubleClick Ad Exchange, AdWords, etc.)
- Tracking- bzw. Analytic-Tools (z.B. Google Analytics, Matomo, Adobe Analytics, etc.)
- Drittinhalte wie Social Media Plug-Ins, iframes, Google Maps oder Fonts
- Facebook Connect oder Google Sign in
- Facebook Custom Audiences
- Einbindung von Videos auf eigenen Websites
- Anmelde- bzw. Kontaktformular
- Bereich „Karriere“ (Online-Bewerbungsverfahren)
- Webhosting
- Datenschutzanforderungen an Websites technisch umsetzen
- Welche Folgen drohen bei Verstößen?
Die Website als Existenzgrundlage
Jeder geschäftliche Auftritt eines Unternehmens wird heutzutage über eine Website dargestellt. Diese Kommunikationsform ist eine wesentliche Schnittstelle zu Kunden und Geschäftspartnern und eine wichtige „Visitenkarte“.
Neben dem rein informatorischen Charakter von Websites, steht der funktionelle Gebrauch von Webdiensten und -portalen immer mehr im Mittelpunkt des gesellschaftlichen und vor allem wirtschaftlichen Zusammenlebens. E-Commerce-, Dienst- und Serviceleistungen werden fast ausschließlich über Telemedien abgewickelt. Zu jedem Abwicklungsvorgang gehört hier stets auch die Übertragung von personenbezogenen Daten, welche nicht selten in großen Datenbanken des Betreibers gesammelt werden. Dazu kommen Tracking-, Social Media- Werbe- und weitere Tools von Drittanbietern, die für die Anlegung umfassender Nutzerprofile sorgen können.
Diese komplexen Verknüpfungen mit Diensten von Dritten und das Tracking von Usern werfen datenschutzrechtliche Fragen auf: Welche Dienste dürfen nach deutschem Datenschutzrecht überhaupt eingesetzt werden und wie müssen die Nutzer der Seite in den Datenschutzhinweisen informiert werden?
Das Zusammenspiel von DSGVO und TTDSG bei Websites
Die Anforderungen der DSGVO gelten für alle im EU-Raum aktiven Unternehmen. Internetseiten unterliegen den datenschutzrechtlichen Regelungen der DSGVO, da dort stets personenbezogene Daten – z. B. eine IP-Adresse – verarbeitet werden.
Seit 1. Dezember 2021 ist neben der DSGVO das TTDSG (Telekommunikations-Telemedien-Datenschutz-Gesetz) zu beachten, wenn sich die Website auch an deutsche Nutzer richtet. Das TTDSG schützt unter anderem mittelbar die Privatsphäre der Nutzer, indem es die informationelle Integrität seiner verwendeten Endgeräte, wie Smartphones oder PCs, schützt. Der Schutzbereich des TTDSG ist somit weiter als der der DSGVO, denn er umfasst alle Informationen (personenbezogene wie nicht-personenbezogene) und findet Anwendung bei allen Personen (natürlichen wie juristischen). Die DSGVO hingegen ist nur anwendbar auf personenbezogene Daten, also Informationen, die sich auf eine natürliche Personen beziehen und schützt somit deren Persönlichkeitsrecht und das Recht auf Informationelle Selbstbestimmung.
Informationspflichten auch bekannt als Datenschutzhinweise
Die Pflicht, eine Datenschutzerklärung auf der Website einzubinden, ergibt sich aus Art. 13 DSGVO. Danach muss der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten außerhalb der EU bzw. des EWR unterrichten. Eine Anleitung, was bei der Einbindung von Datenschutzhinweisen auf Websites zu beachten ist, haben wir hier zusammengestellt.
Datenschutzrechtliche Prüfung am Maßstab von DSGVO & TTDSG
In diesem Blogartikel finden Sie eine Übersicht, welche Aspekte im Fokus der datenschutzrechtlichen Überprüfung einer Website besonderes beachtet werden sollten.
Cookies (z.B. für Adsense, DoubleClick for Publishers, DoubleClick Ad Exchange, AdWords, etc.)
Die größte Veränderung, die es in rechtlicher Hinsicht für den Einsatz von Cookies letztes Jahr gab, war sicherlich das Inkrafttreten des TTDSG. Dieses setzt unter anderem die Regelungen zur Verwendung von Cookies aus der ePrivacy-Richtlinie aus dem Jahr 2002 bzw. ihrer Novelle aus dem Jahr 2009 um. Spätestens seit dem „Planet49-Urteil“ des EuGH vom 01.10.2019 war eigentlich klar, dass der Einsatz von Cookies, welche nicht unbedingt für den Betrieb einer Website erforderlich sind, einer ausdrücklichen Einwilligung des Nutzers bedürfen. Dies wurde im neuen TTDSG auch ausdrücklich geregelt.
Die Website-Besucher sollten in der Datenschutzerklärung bzw. im Consent Managemet Tool (Cookie Banner) über die Nutzung von Cookies und ähnlicher Technologien inkl. der Widerspruchsrechte informiert werden. Mehr zum Thema Cookies können Sie hier nachlesen:
Tracking- bzw. Analytic-Tools (z.B. Google Analytics, Matomo, Adobe Analytics, etc.)
Tracking-Tools sind datenschutzrechtlich dann nicht bedenklich, wenn bestimmte rechtliche Anforderungen eingehalten werden. In diesem Bereich muss genau auf den Funktionsumfang und -weise des Tools geachtet werden. Dabei unterscheiden wir hier im Blog den Funktionsumfang mit den Begriffen Tracking und Webanalyse. Spätestens seit der Geltung des TTDSG dürfte klar sein, dass das Erstellen von individuellen Nutzerprofilen eine Einwilligung der Website-Besucher bedarf. Damit die Einwilligung als rechtmäßige Rechtsgrundlage in Betracht kommt, müssen die Voraussetzungen des Art. 7 DSGVO eingehalten werden. Eine Einwilligung setzt die aktive Zustimmung des Website-Besuchers voraus.
Die deutschen Aufsichtsbehörden vertreten beim Einsatz von Google Analytics und anderen Tools zur Webanalyse eine sehr restriktive Auffassung und fordern meist eine Einwilligung (Rn. 88). Google Analytics bewertete man in der Vergangenheit pauschal als einwilligungsbedürftig. Innerhalb der EU gehen die Standpunkte der Aufsichtsbehörden bei diesem Thema jedoch auseinander: So sprechen sich die französische und die italienische Aufsichtsbehörde bei der Frage nach der Einwilligungsbedürftigkeit von Google Analytics zur Webanalyse für eine differenziertere Bewertung aus. (Der Vollständigkeit halber sei erwähnt, dass bei Google Analytics aktuell zudem das Problem der Übermittlung von Daten in die USA besteht, welches nur schwer zu lösen ist.)
Stattdessen treffen einige deutsche Aufsichtsbehörden diese Differenzierung bei der Funktionsweise des Tools zur Webanalyse. Werden durch das Tool keine Informationen vom Endgerät des Nutzers zielgerichtet erhoben oder gespeichert, fällt es dadurch aus dem Anwendungsbereich des TTDSG und es gibt nach deren Auffassung durchaus Möglichkeiten, die Webanalyse ohne eine Einwilligung des Website-Besuchers durchzuführen.
Was konkret bei den populärsten Tracking- oder Analyse-Tools zu beachten ist, können Sie hier nachlesen:
Darüber hinaus sind beim Einsatz von Analytics-Tools folgende Punkte zu beachten:
- Prüfen, ob Daten in unsichere Drittländer wie die USA übertragen werden
- Vertrag zur Auftragsverarbeitung abschließen
- Aufbewahrungsdauer der Daten festlegen
- Einwilligung vor dem Beginn des Tracking einholen
- IP-Anonymisierung (bei GA4 per default an)
- Datenschutzerklärung bzw. Consent-Tool Text anpassen
Drittinhalte wie Social Media Plug-Ins, iframes, Google Maps oder Fonts
Aufsichtsbehördlich wird eine eigene Verantwortlichkeit des Betreibers einer Unternehmenswebsite für die Datenverarbeitung angenommen, welche aufgrund der Einbindung des Like-Buttons erfolgt, und zwar unabhängig davon, ob dies über eine 2-Klick-Lösung realisiert worden ist. Dies begründet man damit, dass der Websitebetreiber durch die Einbindung des Social Plugin in die eigene Website sehr wohl Einfluss auf den Datenverarbeitungsprozess hat. Wird durch die Konfiguration und Gestaltung einer Website ein Datenverarbeitungsprozess bei einem weiteren Dienstleister (z.B. Facebook) ausgelöst, trägt der Websitebetreiber die datenschutzrechtliche (zumindest Mit-) Verantwortung für die dadurch ausgelöste (unzulässige) Verarbeitung. In einem Urteil vom 09.03.2016 (AZ: 12 O 151/15) hat das LG Düsseldorf entschieden, dass die bloße Einbindung des Facebook Like-Button auf Websites ohne die Einwilligung der betroffenen Seitenbesucher und ohne Angabe über Zweck und Funktionsweise des Buttons rechtswidrig ist.
Diese Argumentation lässt sich von Social Plugins auf alle Websites eingebundene Drittinhalte wie iframes oder Kartendienste übertragen, sodass mit dem Einbinden von solchen eine gemeinsame Verantwortlichkeit begründet werden kann.
Generell sollten Nutzer über die die Einbindung des Drittinhaltes und die zu verantwortende Datenverarbeitung in der Datenschutzerklärung informiert werden und mit dem Anbieter der Drittinhalte ein Vertrag über die gemeinsame Verantwortung nach Artikel 26 DSGVO geschlossen werden. Darüber hinaus ist bei den erwähnten Diensten zu empfehlen,
- auf die sog. Shariff-Lösung oder Embetty-Lösung zu setzen.
- Google Fonts lokal auf seinem Webserver zu hosten.
- Alternativen zu Google Maps in Betracht ziehen oder zumindest eine 2-Klick-Lösung nutzen.
Facebook Connect oder Google Sign in
Durch die Einbindung von Facebook Connect ist es möglich, die Registrierung für einen Dienst zu beschleunigen. Durch die Verknüpfung des Dienstes mit Facebook ist die Eingabe der Daten nicht mehr notwendig. Die benötigten Daten werden dem Anbieter von Facebook mitgeteilt. Im Gegenzug erhält Facebook aber auch Informationen zu der Nutzung des neuen Dienstes durch den User. Zur datenschutzkonformen Anwendung ist eine Einwilligung des Nutzers notwendig und eine entsprechende Ergänzung der Datenschutzerklärung.
Facebook Custom Audiences
Mittels Custom Audiences kann ein Unternehmen einen Abgleich seiner Kundendaten mit bei Facebook gespeicherten Nutzerdaten vornehmen, um bei den betroffenen Kunden, die zugleich Facebook-Nutzer sind, entsprechend beworben werden zu können. Bei Facebook Custom Audiences ist mangels anderer hinreichender Rechtsgrundlage eine Einwilligung des Betroffenen zwingende Voraussetzung für den Einsatz. Vollständigkeitshalber muss noch erwähnt werden, dass die europäischen Datenschutzbehörden davon ausgehen (Rn. 62), dass eine Gemeinsame Verantwortlichkeit zwischen Werbenden und Meta, dem Anbieter von Facebook, vorliegt. Da Meta aber nur einen (unzureichenden) Vertrag zur Auftragsverarbeitung anbietet und die Problematik des Drittlandtransfers in die USA weiterhin aktuell ist, ist Custom Audiences derzeit nicht rechtskonform und nur mit entsprechender Risikobereitschaft einsetzbar. Mehr dazu können Sie hier lesen.
Einbindung von Videos auf eigenen Websites
Möchte ein Website-Anbieter auf Ihre Website Videos einbinden, gibt es mehrere Möglichkeiten.
Es ist nicht immer notwendig, Videos aus externen Quellen wie Vimeo oder YouTube auf der Website einzubinden bzw. nachzuladen. Anstatt ein Video aus einer externen Quelle einzubinden, kann dies also direkt über die eigene Website erfolgen, indem das Video auf dem eigenen Webserver gehostet wird. Dies setzt allerdings voraus, dass dafür genug Speicherplatz und Bandbreite zur Verfügung stehen. Mit dieser Maßnahme wäre sichergestellt, dass keine problematische Übermittlung personenbezogener Daten an Drittanbieter stattfinden.
Werden die Videos aus YouTube oder Vimeo auf der Website eingebunden, sollte die Zwei-Klick-Lösung zum Einsatz kommen: Es sollte zunächst eine Vorschau mit einem Hinweis auf die ab jetzt folgenden externen Inhalten angezeigt werden. Dieser Hinweis sollte den Website-Besuchern verständlich machen, dass beim Abspielen des eingebetteten Videos beispielsweise YouTube die Information, wer welche Webseite gerade aufgerufen hat, erhält und eine Verknüpfung mit bereits vorhandenen Daten möglich ist. Erst wenn ein Website-Besucher aktiv auf die Vorschau klickt, um das Video abzuspielen, dürfen der Videoplattform-Betreiber die IP-Adresse, Browser-Informationen oder andere persönliche Informationen erhalten.
Zusätzlich sind immer die Vorgaben aus TTDSG zu beachten. Mehr zum Thema Einbindung von Videos auf der Website finden Sie im Beitrag Videos auf der eigenen Webseite richtig einbinden.
Anmelde- bzw. Kontaktformular
Haben Sie einen Anmelde- oder Kontaktformular auf Ihrer Website, dann müssen Sie insbesondere darauf achten, dass die Daten verschlüsselt übermittelt werden. Die Pflicht eines Website-Betreibers im Rahmen der Verwendung von Kontaktformularen zur Übertragung von personenbezogenen Daten ein anerkanntes Verschlüsselungsverfahren zu implementieren, ergibt sich aus Art. 32 DSGVO.
Das Standard-Verschlüsselungsverfahren für Datennetzwerke ist derzeit Transport Layer Security (TLS). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt mit einer Technischen Richtlinie Empfehlungen für den Einsatz des kryptographischen Protokolls TLS, welches der sicheren Übertragung von Informationen in Datennetzwerken und damit dem Schutz der Vertraulichkeit, Integrität und Authentizität der übertragenen Informationen dient.
Darüber hinaus sind im Bereich Anmelde- und Kontaktformular folgende Aspekte zu berücksichtigen:
- Unterscheidung zwischen Pflichtangaben und freiwilligen Angaben;
- Datenschutzhinweis in Bezug auf die Erhebung und Nutzung der Daten.
Bereich „Karriere“ (Online-Bewerbungsverfahren)
Auch im Bereich der Karriere ist darauf zu achten, dass die Bewerbungen samt Anlagen verschlüsselt übermittelt werden. Insoweit gilt hier nichts anderes als bei den Anmelde- und Kontaktformularen.
Webhosting
Wird die Webseite bei einem externen Dienstleister gehostet, ist mit dem Dienstleister eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO abzuschließen.
Wird ein Dienstleister im Bereich Content Delivery Network (CDN) eingesetzt, so muss auch mit diesem eine Vereinbarung nach Art. 28 DSGVO abgeschlossen werden. Handelt es sich um einen US-amerikanischen Dienstleister, so ist neben dem Abschluss der EU-Standardvertragsklauseln ein Transfer Impact Assessment durchzuführen und ggf. zusätzliche Schutzmaßnahmen zu prüfen. Mehr dazu können Sie hier lesen.
Datenschutzanforderungen an Websites technisch umsetzen
Die gesetzlichen Vorgaben der datenschutzgerechten Gestaltung der Website müssen auch technisch korrekt umgesetzt werden. Hier sind insbesondere folgende Punkte zu beachten:
- Korrekte technische Implementierung von Consent-Management-Tools (keine Datenverarbeitung vor Abgabe der Einwilligung)
- Technische Implementierung von Drittinhalten mittels Shariff- oder Embetty-Lösung
- Technische Implementierung von rechtskonformem Einsatz von Tracking-Tools
- Leichte Erreichbarkeit der Datenschutzerklärung: Bezüglich einer möglichen Verlinkung der Datenschutzhinweise ist nach der Rechtsprechung des BGH zu beachten, dass die erforderlichen Informationen nach maximal 2 Klicks erreichbar sei müssen, um die Anforderungen an eine leichte Erkennbarkeit und unmittelbare Erreichbarkeit zu erfüllen.
Welche Folgen drohen bei Verstößen?
Wer den Nutzer nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet oder personenbezogene Daten unrechtmäßig verarbeitet, dem droht ein Bußgeld von bis zu 20 Mio €, Art. 83 DSGVO. Wie die Google Fonts Entscheidung des LG München gezeigt hat, sind auch Schadenersatzansprüche der Website-Besucher möglich.
Eine fehlende oder dann fehlerhafte Datenschutzerklärung stellt darüber hinaus wahrscheinlich einen Verstoß gegen das Wettbewerbsrecht (§ 4 Nr. 11 UWG) dar und kann daher abgemahnt werden kann (vgl. OLG Hamburg, Urt. v. 25.10.2018 – Az.: 3 U 66/17, OLG Köln, Urt. vom 11.06.2016 – Az.: 6U121/15). Die abschließende Klärung dieses Sachverhalts hat der BGH gerade dem EuGH vorgelegt (BGH, Beschluss vom 12.01.2023 – Az.: I ZR 222/19 und I ZR 223/19).
Wie sieht es dann nach der DSGVO aus? Danke!
Dieser Beitrag wurde umfassend überarbeitet und neu veröffentlicht.
Schöner Artikel, aber es geht auch deutlich schlanker: Wir setzen für unsere Gesellschaften in Abstimmung mit der Aufsichtsbehörde auf einen Cookieless Tracking Anbieter [konkreter Anbieter von der Redaktion wegen Verdacht auf Werbung entfernt] und verzichten gänzliche auf US Anbieter und umstrittene Tools. Unter dem berechtigten Interesse kann der deutsche Anbieter ohne die bei Nutzer:innen verhassten Consent-Banner eingesetzt werden. Die Kolleg:innen im Marketing sind auch happy und wir in der Compliance erst Recht.
Hallo Dr. Datenschtutz,
mich hätte schon sehr interessiert welcher Anbietr von Chris eingesetzt wird. Sie setzen sich doch auch mit Anbietern wie Adobe, Google oder Matomo auseinander. Ein kurzer Kommentar Ihrerseits wäre hilfreicher als eine Streichung. Schade, aber geben Sie grne meine E-mail weiter, dann finde ich das selbst bei Chris raus.
Danke.
Einige Anbieter finden Sie in dem (auch oben) verlinkten Beitrag zum Cookieless Tracking, andere technische Lösungen, für die Sie keinen Dritten Dienstleister brauchen, finden Sie in der ebenfalls oben verlinkten Handreichung des LfDI BW.