datenschutzerklärung generator tracking cookies analytics cookies piwik

Anforderungen an eine Website aus Datenschutz-Sicht

/1 Kommentar/von

Heute hat nahezu jedes Unternehmen, jeder Verein, jede gemeinnützige Organisation einen Internetauftritt. Dieser wird für die unterschiedlichsten Zwecke genutzt: Von allgemeiner Selbstpräsentation über Werbung bis hin zur Plattform für die Kundenbetreuung oder den Verkauf von Waren im Onlineshop reicht die Palette. Eines haben alle eben genannten dabei gemeinsam: Sie verfolgen einen geschäftsmäßigen Zweck. Dabei ist zu beachten, dass mit „geschäftsmäßig“ nicht zwingend eine Gewinnerzielungsabsicht gemeint ist. Es dient lediglich der Abgrenzung zum privaten Bereich. Die Anforderungen an eine Webseite für den privaten Bereich (gemeint sind hier private Familien-Homepages und ähnliches) werden in diesem Artikel nicht weiter betrachtet.

Im geschäftlichen Bereich bestehen zahlreiche Anforderungen an eine Website. Diese sind mal explizit in Gesetzen und Vorschriften genannt, mal ergeben sie sich auch der bisherigen Rechtsprechung und in Teilen werden auch Anforderungen z. B. von den Aufsichtsbehörden für den Datenschutz formuliert.

Insgesamt bewegt sich jeder, der eine geschäftliche Website betreibt in einem Umfeld aus Urheberrecht, Strafrecht, Wettbewerbsrecht, Datenschutzrecht und vermutlich noch zahlreichen weiteren Rechtsgebieten. Es existieren also viele Fallen, in die man tappen kann. Auf einige dieser Fallen möchten wir in diesem Artikel eingehen – bitte beachten Sie, dass es uns nicht möglich ist, an dieser Stelle einen vollständigen Überblick über alle Anforderungen an eine Website zu geben. Diese hängen durchaus in vielen Fällen auch von den Inhalten oder eingesetzten Technologien ab. Mit der folgenden Übersicht zeigen wir aber zumindest einige der häufigsten Fallen auf, in die Sie als Website-Betreiber tappen können.

Das Impressum

Die meisten Websites enthalten mittlerweile ein Impressum. Dennoch existieren immer noch Seiten, die vollständig ohne Impressum online gehen. Aber auch wenn ein Impressum existiert ist das kein Garant dafür, dass alle Anforderungen erfüllt werden. Zu den inhaltlichen Anforderungen möchten wir uns hier gar nicht auslassen, dazu finden sich genügend Artikel im Internet. Zur Verlinkung des Impressums hingegen schon. Die allgemeine Auffassung der Gerichte und auch der Aufsichtsbehörden ist, dass das Impressum von jeder Seite des Internetauftritts mit nur einem Klick erreichbar sein muss. Das bedeutet letztlich, dass es entweder in den Header, das Menü (als direkt klickbarer Eintrag oder den Footer des Auftritts integriert wird. Häufig wird sogar die Meinung vertreten, das Impressum muss ohne zu scrollen erreichbar sein, was faktisch bedeutet, dass es am oberen Rand der Seiten zu verlinken ist.

Die Datenschutzerklärung

Die Form-Anforderungen an eine Datenschutzerklärung sind ähnlich der an das Impressum: Von jeder Seite mit nur einem Klick erreichbar. Vollständig und korrekt muss sie auch sein. Optimaler Weise wird sie nicht in andere Seiten (z. B. in das Impressum) integriert, sondern als gesonderte Seite zur Verfügung gestellt. Details zu den inhaltlichen Anforderungen haben wir vor kurzem in diesem Blog-Artikel erläutert.

Kontakt- und sonstige Formulare

Jedes Formular, in das personenbezogene Daten eingegeben werden können stellt besondere Herausforderungen an die technische Umsetzung. Diese Daten müssen nämlich vor der unbefugten Weitergabe an Dritte geschützt werden. Diese unbefugte Weitergabe erfolgt potenziell wenn die Daten beim Senden des Formulars unverschlüsselt an den Server übertragen werden. Es ist also notwendig, alle Formulardaten verschlüsselt zu übertragen. Standard hierfür ist der Einsatz von SSL-Zertifikaten. In den meisten Fällen ist allerdings einfacher, nicht nur die genutzten Formulare zu verschlüsseln, sondern einfach den gesamten Internetauftritt. Es kursieren Gerüchte, dass Seiten, die Verschlüsselung unterstützen von Google auch etwas besser gerankt werden. Ob das tatsächlich so ist, dazu können Sie sicher Ihren Dienstleister für die Suchmaschinenoptimierung befragen. Schaden wird eine „Vollverschlüsselung“ jedenfalls sicher nicht.

Social Media Plugins

Jeder Webseitenbetreiber möchte seine Seiten und Artikel gerne in den sozialen Netzwerken promoten. Hierzu wird häufig Javascript-Code oder Plugins von den Social Media Plattformen eingebunden, der dann Like-, Share-, Tweet- und sonstige Widgets einblendet und auch gleich anzeigt, wie häufig der entsprechende Artikel bereits geteilt wurde. In der Form, wie die Social Media Plattformen ihre Plugins oder Code-Schnipsel standardmäßig zur Verfügung stellen, sollten diese allerdings nicht genutzt werden. Denn bei jedem Aufruf einer Seite, die solche Widgets enthält werden bereits beim Seitenaufbau Daten über den Nutzer (mind. die IP-Adresse und die Seite, die gerade geladen wird) an die Social Media Plattform gesendet. Ist der Nutzer bei den Social Media Plattformen gerade angemeldet, können diese Daten direkt seinem Profil zugeordnet werden. Darüber können Plattformen wie z. B. Facebook komplette Surf-Profile erstellen und daraus wiederum Ableitungen über Interessen, Altersgruppe, Bildungsstand und andere sozio-ökonomische Faktoren treffen.

Letztlich ist diese Art der Datenweitergabe an Dritte ein Datenschutzverstoß. Insbesondere dann, wenn die Datenschutzerklärung in Bezug hierauf vielleicht lückenhaft sein sollte. Für die Einbindung von Social Media Plugins existieren einige datenschutzkonforme Lösungen, wie z. B. das Shariff-Plugin des Heise-Verlage, über das wir bereits hier berichtet hatten.

User Tracking

Um zu verfolgen, wie der Internetauftritt genutzt wird, um Kundenwünsche zu verstehen, oder um einfach nur zu erfahren, um welche Uhrzeit die Serverlast am höchsten ist, werden Tracking-Tools eingesetzt. Gemeint sind hier z. B. Google Analytics, eTracker oder auch Piwik. Ähnlich wie die Social Media Plugins werden hier durchaus personenbezogene Daten gesammelt. Daher haben die Aufsichtsbehörden für den Datenschutz die Anforderung gestellt, dass diese Daten zu anonymisieren sind. Beim Einsatz von Dienstleistern sind auch vertragliche Regelungen (Datenverarbeitung im Auftrag, § 11 BDSG) zu schaffen. Darüber hinaus muss das User Tracking natürlich auch in der Datenschutzerklärung erwähnt werden und der Nutzer muss eine Widerspruchsmöglichkeit haben.

Cookies

In der Richtlinie 2009/136/EG (häufig auch als sog. Cookie-Richtlinie bezeichnet) schreibt die EU-Gesetzgebung vor, dass der Einsatz von Cookies nur noch nach Einwilligung des Nutzers erlaubt ist. Umgesetzt wurde diese Richtlinie im Telemediengesetz (TMG) – allerdings leicht „fehlerhaft“, denn aus dem Opt-In des Nutzers wude in Deutschland ein Opt-Out. Letztlich ist aber der Nutzer über die Tatsache des Einsatzes von Cookies zu informieren. Zusätzlich muss er eine Möglichkeit bekommen, dem Setzen von Cookies zu widersprechen. Auch in der Datenschutzerklärung muss die Nutzung von Cookies erläutert werden.

Lassen Sie sich beraten

Wie schon geschrieben: Es gibt weitere Dinge, die beim Betrieb einer Website aus Datenschutzsicht zu beachten sind. Wir können Ihnen nur raten, sich zu diesem Thema professionell beraten zu lassen. Erster Anlaufpunkt sollte Ihr Datenschutzbeauftragter sein. Sollte in Ihrem Unternehmen kein Datenschutzbeauftragter bestellt sein, sollten Sie sich externe Unterstützung, z. B. bei uns, holen. Alternativ können Sie auch – speziell bei der Neukonzeption eines Auftritts – Ihre Web-Agentur konsultieren. Professionell aufgestellte Agenturen können Ihnen hier sicher weiter helfen. Wir kooperieren z. B. seit längerem mit Qubidu, die Webseiten und Apps für kleine und mittlere Kunden anbieten.

Am hart umkämpften Markt der Webagenturen hat Qubidu ein unserer Meinung nach einzigartiges Dienstleistungsangebot. Qubidu Webseiten werden ganz individuell auf der gleichnamigen eigenen Content-Management-Plattform umgesetzt. Kunden profitieren nicht nur von der permanenten Weiterentwicklung, sondern müssen sich nicht selbst um die wichtige Wartung ihrer Software kümmern. Sicherheitsupdates werden automatisch von Qubidu gemacht, so dass die Seiten technisch immer auf einem aktuellen Stand sind. Für uns aus Datenschutzsicht ein ganz wesentlicher Vorteil. Darüber hinaus hat Qubidu gemeinsam mit uns ein Konzept für die datenschutzkonforme Gestaltung von Homepages entwickelt, welches in die Beratung zum Seitendesign einfließt. Außerdem hat Qubidu gemeinsam mit uns datenschutzkonforme Standard-Module für User Tracking, die Einbindung von Social Media Widgets sowie die Umsetzung der EU-Cookie-Richtlinie entwickelt. Qubidu-Kunden müssen sich also deutlich weniger Gedanken über eine datenschutzkonforme Umsetzung ihrer Homepage machen. Für alle weiteren Fragen im Bereich Datenschutz stehen wir zur Verfügung.

Das könnte Sie auch interessieren
beschwerde aufsicht 77Serie Betroffenenrechte: Das Recht auf Beschwerde bei der Aufsicht nach Art. 77 DSGVO
auftragsverarbeitung vertrag informationspflichten ausnahmenAuftragsverarbeitungsvertrag durch Nichthandeln und ohne Unterschrift?
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-inDSGVO von EU-Parlament verabschiedet
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselungKeine Auskunft nach Art. 15 DS-GVO „aus Datenschutzgründen“?
test echtdaten datenschutz datenübertragbarkeit portabilität bcr binding corporate rules datenschutzerklärung homepageTest mit Echtdaten und der Datenschutz
WeihnachtenMauß Datenschutz wünscht frohes Fest!
1 Kommentar
  1. Winfried Wengenroth sagte:

    Als Agentur müssen wir die rechtlichen und datenschutzkonformen Bedingungen einer Webseite regelmäßig anpassen. Vielen Dank an Ihren tollen Beitrag „Anforderungen an eine Website aus Datenschutz Sicht“, der uns wirklich in aktuellen Belangen wirklich geholfen hat.

Kommentare sind deaktiviert.

Sicherheit der Verarbeitung gemäß Art. 32 DSGVOsicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21 betriebsrattest echtdaten datenschutz datenübertragbarkeit portabilität bcr binding corporate rules datenschutzerklärung homepageTest mit Echtdaten und der Datenschutz