Tipps für Website-Betreiber So machen Sie Ihre Seite DSGVO-fit
Nicht nur Unternehmens-Websites oder Onlineshops müssen den Anforderungen der Datenschutz-Grundverordnung (DSGVO) genügen, sondern in den allermeisten Fällen auch Blogs und Internetseiten von Vereinen. Denn ohne die Verarbeitung personenbezogener Daten, also Informationen jeglicher Art, die sich auf eine zumindest theoretisch identifizierbare natürliche Person beziehen, lässt sich keine Website betreiben.
Erwägungsgrund 30 der DSGVO stellt klar, dass auch IP-Adressen als "Online-Kennungen" und damit als personenbezogene Daten zu werten sind. Dies deckt sich mit der Rechtsprechung des Bundesgerichtshofs (BGH), der im Mai 2017 entschied, dass es sich auch bei dynamisch vergebenen IP-Adressen um personenbezogene Daten handelt. Da der Browser selbst bei einem reinen Lesezugriff auf eine Website die IP-Adresse übermittelt, ist allein schon deswegen der Anwendungsbereich der DSGVO eröffnet.
Wer seine Website im Zuge der Neuregelung des Datenschutzrechts noch nicht aktualisiert hat, muss damit rechnen, von Mitbewerbern abgemahnt zu werden. Hohe Streitwerte sind ein Anreiz sowohl für Unternehmen als auch für die anwaltliche Abmahnindustrie, im Web auf die Suche nach Datenschutzverstößen zu gehen.
Hier sind einige Tipps und Hinweise für Website-Betreiber:
- Datenschutzerklärung
Website-Betreiber müssen ihre Besucher mit einer Datenschutzerklärung (auch "Privacy Policy") über alle Vorgänge aufklären, bei denen sie personenbezogene Daten verarbeiten. Eine solche Erklärung ist schon lange obligatorisch, allerdings muss diese an die neuen rechtlichen Anforderungen angepasst werden. Artikel 13 der DSGVO erweitert den Umfang der Angaben gegenüber der alten Rechtslage erheblich.
So muss die Datenschutzerklärung nun die konkrete Rechtsgrundlage für die Datenverarbeitung aus Artikel 6 der DSGVO nennen. Rechtsgründe für die Verarbeitung können zum Beispiel die Bearbeitung eines Kaufvertrages in einem Onlineshop sein, aber auch berechtigte Interessen des Website-Betreibers.
Im letzteren Fall ist dann auch das konkret verfolgte Interesse zu formulieren. Bei Website-Betreibern kann das beispielsweise das Interesse an der Betriebssicherheit ihrer Homepages sein. Um Angriffe erkennen und abwehren zu können, dürfen sie dafür die IP-Adressen der Besucher für maximal 14 Tage speichern. Darauf muss in der Datenschutzerklärung hingewiesen werden. Ob und wie lange IP-Adressen der Nutzer gespeichert werden, erfährt man beim Webhoster seines Vertrauens.
Website-Betreiber sollten die Besucher darüber informieren, wo auf Besucher beziehbare Daten erhoben und verarbeitet werden. Neben Logfiles zählen auch Geolokalisierungsfunktionen dazu, Registrierungsmöglichkeiten, Kommentarfunktionen, das Abonnement von Newslettern, die Verwendung von Cookies, die Nutzung von Social-Sharing-Funktionen und die Verwendung von Analyse- und Trackingdiensten.
Website-Betreiber müssen auf Basis der DSGVO die Besucher ihrer Site wesentlich ausführlicher über ihre Rechte aufklären als bisher. Bestand zuvor die Pflicht, Besucher über deren Rechte auf Auskunft, Löschung, Berichtigung von Daten und Widerruf zu informieren, verlangt die DSGVO die Information über das Recht auf Einschränkung der Verarbeitung, das Widerspruchsrecht, das Beschwerderecht bei einer Aufsichtsbehörde sowie das Recht auf Datenübertragbarkeit.
Informationen zum Widerspruchsrecht müssen sogar optisch hervorgehoben werden, etwa durch Fettdruck oder eine Umrahmung. Ebenfalls neu: Hat das Unternehmen einen Datenschutzbeauftragten, muss die Datenschutzerklärung diesen benennen.
Richtet sich die Website an eine internationale Klientel, so sollte die Datenschutzerklärung nicht nur in deutscher Sprache vorliegen, sondern auch in allen infrage kommenden Übersetzungen.
Letztlich muss die Privacy Policy "in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache" bereitgestellt werden. Bei umfangreichen Datenschutzerklärungen bietet es sich an, Details auszugliedern und über Links an separater Stelle verfügbar zu machen.
Wer für diese anspruchsvolle Aufgabe nicht gleich einen Datenschutzrechtler beauftragen möchte, kann einen Online-Generator nutzen. Mithilfe dieser Tools kann man sich die DSGVO-konforme Datenschutzerklärung in wenigen Schritten zusammenklicken. Empfehlenswert ist der Datenschutzgenerator von Rechtsanwalt Thomas Schwenke .
- Webformulare verschlüsseln
Bietet die Website Nutzern die Möglichkeit, ihre personenbezogenen Daten in Webformulare einzugeben - zum Beispiel in einem Onlineshop während des Bestellprozesses -, muss dieser Vorgang verschlüsselt ablaufen. Das folgt aus dem in der DSGVO geregelten Grundsatz der Integrität und Vertraulichkeit, wonach personenbezogene Daten in einer Weise verarbeitet werden müssen, "die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung [...]."
Webmaster dürfen nach dem Grundsatz der Datenminimierung nur die Daten anfordern, die sie für die jeweilige Aufgabe benötigen. Bei Newsletter-Anmeldungen sollten sie beispielsweise nicht das Geburtsdatum oder die postalische Adresse abfragen.
- Cookies unerwünscht
Der Einsatz von Cookies sorgt schon länger für Verunsicherung bei Website-Verantwortlichen. Viele Sites weisen derzeit durch Banner oder Popup-Fenster Besucher darauf hin, dass sie Cookies verwenden, wobei diese Hinweisschilder in vielen Fällen entweder nicht erforderlich oder rechtlich nicht einwandfrei gestaltet sind. Da die Cookie-Thematik sehr komplex ist, findet sich im "c't"-Sonderheft zur DSGVO auf Seite 92 ein eigener Text zum Thema.
- Vorsicht bei Plugins
Soll eine Website Social-Media-Plugins wie Facebooks Like-Button einsetzen, werden die Nutzer unserer Ansicht nach ihre Zustimmung dazu abgeben müssen. Denn diese Tools übertragen auch ohne einen Klick auf "Gefällt mir" oder "Teilen" ungefragt Informationen an die entsprechenden Anbieter. Das entspricht deutscher Rechtsprechung nach dem alten Bundesdatenschutzgesetz. So hat das Landgericht Düsseldorf mit Urteil vom 9.3.2016 (Aktenzeichen 12 O 151/15) entschieden, dass die Einbindung derartiger Facebook-Tools ohne Zustimmung nicht erlaubt ist. Im Rahmen der erwähnten Interessenabwägung wird sich der Einsatz solcher Buttons also nicht legitimieren lassen.
Website-Betreiber sollten deswegen auf die mittlerweile weit verbreitete Shariff-Lösung von "c't" zurückgreifen, die dafür sorgt, dass soziale Netzwerke erst dann Daten von Nutzern abfragen können, wenn diese auf den entsprechenden Button klicken. Das ändert aber nichts an dem Umstand, dass der Nutzer beim Klick auf einen Button weiterhin nicht weiß, welche konkreten Daten Facebook erhält und was mit diesen passiert.
Auch für externen Social-Media-Content gibt es mittlerweile eine Lösung. Das "c't"-Projekt "Embetty" ermöglicht es, YouTube-Videos, Vimeo-Videos, Facebook-Videos und Tweets datenschutzfreundlich einzubinden. Die Videos kommen zwar noch vom jeweiligen Webdienst, nicht aber das Vorschaubild. Der Browser spricht den externen Dienst erst an, wenn der Nutzer den entsprechenden Inhalt angeklickt hat. Den Quellcode beider Tools hat c't auf Github veröffentlicht.
Vorsichtig sollte man auch beim Einsatz anderer Plugins oder Templates sein. Überlegen Sie, ob Sie alle Funktionen ihres modularen Website-Baukastens benötigen. Einzelne Tools müssen auf ihre Datenschutzkonformität hin geprüft werden. Problematisch ist es zum Beispiel, wenn ein Plugin zur Spamvermeidung bei Kommentarfunktionen Daten aus den Eingabefeldern zum Spam-Abgleich mittels Big Data an Server in die USA überträgt.
- Webhosting und Webhousing
Ein Website-Betreiber darf nicht ohne Weiteres personenbezogene Daten auf einem von Dritten bereitgestellten Webspace speichern. Beauftragt er einen Dienstleister mit dem Hosting seiner Seiten, muss er dafür die Einwilligung der Besucher einholen oder eine andere Rechtsgrundlage schaffen.
Da es unrealistisch ist, jeden einzelnen Besucher nach seiner Einwilligung zu fragen, ist es sinnvoll den Hoster mit einer Auftragsverarbeitung (vormals Auftragsdatenverarbeitung) nach Artikel 28 DSGVO einzubinden. Diese erlaubt dem Webhoster personenbezogene Daten "gemäß den Weisungen des für die Verarbeitung Verantwortlichen" - also des Website-Betreibers zu verarbeiten.
Im Rahmen dieses Konstrukts gilt der Webhoster rechtlich nicht mehr als außenstehender Dritter, es bezieht ihn in den Verantwortungsbereich des Website-Betreibers ein. Der bleibt damit also selbst "Herr der Daten".
Mietet der Website-Betreiber nur Server in einem Rechenzentrum an, ohne dass der Hoster selbst die Daten verarbeitet (Housing), benötigt er keine derartige Vereinbarung.
Etliche Webhoster bieten eigene Formulare für die Auftragsverarbeitung an. Achten Sie bei Ihrem Hoster darauf, dass dessen Formular die neue Rechtslage berücksichtigt. Ist im Formular noch von Auftragsdatenverarbeitung die Rede und findet sich kein Hinweis auf die DSGVO, so ist dies ein Anzeichen dafür, dass die Formulare noch nicht aktualisiert wurden. Haben Sie im Rahmen Ihres bestehenden Webhosting-Vertrages eine solche "Alt-Vereinbarung" unterzeichnet, sollten Sie Ihren Anbieter kontaktieren, um diese durch eine neue Vereinbarung zu ersetzen.
Neu ist, dass man Vereinbarungen zur Auftragsverarbeitung nun auch elektronisch abschließen kann, sogar mit Firmen, die außerhalb der EU ihren Sitz haben. Wer seine Website bei einem US-amerikanischen Hoster unterbringen will, muss sicherstellen, dass dieser sich dem Privacy Shield unterworfen hat, einem Abkommen zwischen der EU und den USA. Damit verpflichtet er sich, europäische Datenschutzstandards einzuhalten. Da es aber alles andere als sicher ist, ob das Privacy-Shield-Abkommen langfristig weiterbesteht, sollten sich Website-Verantwortliche die Beauftragung eines amerikanischen Webhosters gründlich überlegen.
Hier folgen ergänzend vier konkrete Fragen und Antworten zum Thema:
- Wo platziere ich am besten die Datenschutzerklärung auf meiner Website?
Der Website-Besucher muss die Datenschutzerklärung einfach finden können, Sie sollten sie daher nicht irgendwo auf der Site verstecken. Der Link zur Erklärung gehört direkt auf die Startseite. Idealerweise platziert man ihn im Footer, sodass die Informationen auch von jeder Unterseite aus mit einem Klick erreichbar sind. Der Linktext sollte aussagekräftig sein, zu empfehlen sind Formulierungen wie "Datenschutz", "Datenschutzhinweis" oder am besten "Datenschutzerklärung".
In das Impressum gehört die Datenschutzerklärung nicht. Für beide Pflichtinformationen sollte man jeweils eine einzelne Seite anlegen. Da fehlende oder versteckte Datenschutzerklärungen zu den meist verbreitetsten Abmahngründen in Bezug auf Datenschutzverletzungen von Website-Betreibern gehören, sollten diese Grundsätze zwingend berücksichtigt werden. Denken Sie auch daran, einen Link zur Datenschutzerklärung in den geschäftlich genutzten Social-Media-Profilen zu platzieren.
- Benötige ich für meine private Website auch eine Datenschutzerklärung?
Lediglich Webangebote, die ausschließlich familiären oder persönlichen Zwecken dienen, sind vom Anwendungsbereich der DSGVO ausgenommen. Das trifft etwa auf private Social-Media-Profile zu. Für öffentlich zugängliche Websites dürfte das Haushaltsprivileg in der Regel jedoch nicht zur Geltung kommen. Denkbar wäre aber beispielsweise ein Archiv von Bildern der eigenen Katzen für Freunde und Verwandte. Aber Vorsicht: Es genügt, auf derartigen Seiten Bannerwerbung zu schalten oder Affiliate-Links zu verwenden, um die Grenze zur kommerziellen Nutzung zu überschreiten und den Vorschriften der DSGVO zu unterliegen.
- Reicht es aus, wenn ich bei Formularfeldern auf meiner Website einen Link zur Datenschutzerklärung setze?
Überall dort, wo Website-Besucher aktiv personenbezogene Daten eingeben können, wie bei Kontaktformularen, Online-Bestellungen oder im Rahmen von Registrierungsfunktionen, sollten Sie neben dem Link zur Datenschutzerklärung auch einen erläuternden Hinweis zur jeweiligen Datenverarbeitung hinzufügen. Als Faustformel gilt: Eine Verlinkung ist immer nur dann ausreichend, wenn der Nutzer mit der entsprechenden Datenverarbeitung rechnen darf. Im Umkehrschluss bedeutet dies, dass die Datenschutzerklärung keine überraschenden Verarbeitungsvorgänge enthalten darf.
Da die Abgrenzung schwierig ist, sollten Sie lieber einmal zu viel Informationen bereitstellen als zu wenig. Insbesondere wenn Einwilligungen auf der Website eingeholt werden, reicht ein einfacher Link zur Datenschutzerklärung nicht aus.
- Ich habe auf meiner Website ein Kontaktformular. Benötige ich die Einwilligung des Nutzers, damit ich ihm antworten kann?
Immer wieder finden sich bei Kontaktformularen auf Websites kleine Checkboxen, die man anklicken muss, um eine datenschutzrechtliche Einwilligung zur Beantwortung des Anliegens zu erteilen. Dies ist allerdings unnötig. Man sollte sogar darauf verzichten. Das Problem ist, dass eine Einwilligung jederzeit widerrufbar ist, erst ab dem 16. Lebensjahr wirksam erteilt werden kann und vom Verantwortlichen dokumentiert werden muss.
Die Beantwortung einer Nutzeranfrage wird entweder durch eine (vor-)vertragliche Beziehung oder durch die berechtigten Interessen des Website-Betreibers legitimiert. Weil der Nutzer eine Verarbeitung seiner Daten zum Zwecke der Beantwortung erwartet, reicht insoweit ein kurzer Hinweis mit Verweis auf die Datenschutzerklärung aus.
