10 Tipps für eine datenschutzkonforme Webseite

Jeder Webseitenbetreiber, privat oder gewerblich, ist nach §13 Telemediengesetz (TMG) verpflichtet, den Nutzer „[…] zu Beginn des Nutzungsvorgangs über die Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten […] in allgemein verständlicher Form zu unterrichten […]. Der Inhalt der Untersuchung muss für den Nutzer jederzeit abrufbar sein.“

Übersetzt bedeutet diese Anforderung, dass jede Webseite eine Datenschutzerklärung benötigt und dass diese von jeder Unterseite aus einfach erreichbar sein muss. Es hat sich als praktikabel herausgestellt, die Datenschutzerklärung aus dem Footer einer Webseite zu verlinken, auch wenn bisher nicht abschließend geklärt ist, ob „zu Beginn“ vielleicht auch den Beginn der Webseite, also den Headerbereich meint.

Die Anforderungen an die Inhalte der Datenschutzerklärung sind hoch. Im Prinzip muss jede Verarbeitung von personenbezogenen Daten auf der Webseite beschrieben werden. Betroffene (Besucher), aber auch die Aufsichtsbehörden, haben umfangreiche Auskunftsrechte. Je transparenter und ausführlicher die Art und den Umfang, aber auch den Zweck, beschrieben werden, desto besser. Auch muss die Datenschutzerklärung in der Sprache verfasst sein, in der auch der sonstige Inhalt der Seite angeboten wird.

Eine Datenschutzerklärung muss in klarer und einfacher Sprache verfasst sein und zumindest folgende Informationen beinhalten:

• Name und Kontaktdaten der verantwortlichen Stelle
• Name und Kontaktdaten des bestellten Datenschutzbeauftragten (soweit vorhanden)
• Alle Zwecke der Datenverarbeitung
• Die Rechtsgrundlagen für die Datenverarbeitung
• Die Empfänger der Daten
• Die Information über eine Weitergabe von Daten an Dritte/Drittländer
• Die Speicherfrist oder Kriterien, die eine Frist bestimmen
• Information über das Recht auf Auskunft, Löschung sowie Widerspruch
• Information über Beschwerderecht bei einer Datenschutzaufsichtsbehörde

Das Telemediengesetzt TMG besagt in §5, dass geschäftsmäßige Webdienste Informationspflichten gegenüber Nutzern nachkommen und ein sog. Impressum veröffentlich müssen.

Zu den immer erforderlichen Angaben gehören der Name, die aktuelle Anschrift des Anbieters, die Rechtsform, die vertretungsberechtigten Personen sowie mindestens eine E-Mail-Adresse für eine „schnelle und einfache Kontaktaufnahme“. Ein Kontaktformular ersetzt eine E-Mail-Adresse im Impressum nicht. Je nach Unternehmensform und Angebot sind weitere Informationen notwendig, wie z.B. zuständige Aufsichtsbehörden, Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister, der inhaltlich Verantwortliche gemäß §55 RStV und die Umsatzsteuer- oder Wirtschafts-Identifikationsnummer.

Erreichbar muss das Impressum über maximal 2 Klicks sein, so dass man es auch als Unterseite des Punktes Kontakt verlinken kann.

Über ein Kontaktformular kann der Besucher auf sehr einfache Weise mit dem Betreiber der Webseite in Kontakt treten. Der Besucher füllt dabei ein Formular aus, die Webseite schickt dem Betreiber eine E-Mail mit den vom Besucher eingegebenen Daten. Diese weit verbreitete Funktion muss selbstverständlich auf konformen Datenschutz hin geprüft werden, schließlich gibt der Besucher seine persönlichen Daten an. Die folgenden Zeilen gelten im Übrigen für alle weiteren Formulare auf einer Webseite, z.B. Newsletter, Registrierung, Login, Checkout in einem Online-Shop, etc.

Der datenschutzkonforme Einsatz eines Kontaktformulars fängt bereits bei der Planung der abgefragten Felder an. Der Grundsatz der Datensparsamkeit besagt, dass nur diejenigen Daten erhoben werden dürfen, die auch tatsächlich für das jeweilige Anliegen benötigt werden. Daher muss bei einem Kontaktformular die Art und Anzahl der verpflichtend abgefragten Felder geprüft werden. Optionale zusätzliche Felder sind weiterhin möglich, allerdings müssen Pflichtfelder von optionalen Feldern klar zu unterscheiden sein.

Auch muss der Besucher, gemäß dem Gebot der Transparenz, in leicht verständlicher Sprache in der Datenschutzerklärung informiert werden, welche Angaben explizit erhoben und für welchen Zweck sie verwendet werden. Bei mehreren Formularen auf einer Webseite muss darauf geachtet werden, dass es für den Besucher unmissverständlich klar ist, auf welches Formular sich die Erklärung bezieht. Der Besucher sollte direkt unter dem Eingabefeld über den Zweck der Verarbeitung informiert werden (inkl. Link zur Datenschutzerklärung) und darf, im Idealfall, sein Einverständnis über eine Checkbox erklären.

Je nach eingesetztem Webseiten-System werden Anfragen zunächst in der Datenbank gespeichert, bevor sie per E-Mail an den Betreiber verschickt werden. Dabei ist der Grundsatz der Zweckbindung zu beachten: die Daten aus dem Kontaktformular dürfen nur für den Zweck der Kontaktaufnahme bzgl. der direkten Anfrage des Besuchers genutzt werden und sind somit nach der Übermittlung per E-Mail zu löschen.

Auch gilt für das Kontaktformular die Pflicht auf sichere Übertragung von Daten zwischen Computer und Server. Damit erfordert der Einsatz eines Formulars stets den Einsatz eines SSL-Zertifikats.

Die technischen und organisatorischen Maßnahmen (TOM) der DSGVO besagen, dass personenbezogene Daten bei der elektronischen Übertragung zwischen dem Computer und dem Server nicht von Unbefugten gelesen, kopiert, verändert oder gelöscht werden dürfen.

Eine Übertragung findet immer dann statt, wenn Benutzer Formulare ausfüllen und absenden. Dies können beispielsweise ein Kontaktformular, ein Bestellformular in einem Online-Shop, ein Anmeldeformular für einen Newsletter, ein Registrierungsformular für eine Community oder ein Login-Formular sein.

Für den oben beschriebenen Schutz wird der Einsatz einer Verschlüsselungstechnik als ausreichend angesehen. Die Verschlüsselung kann mit einem SSL (TLS) – Zertifikat durchgeführt werden. Ein SSL-Zertifikat („Secure-Sockets-Layer“) sorgt für eine verschlüsselte Kommunikation zwischen dem Computer und dem Server. Den Einsatz eines SSL-Zertifikats erkennen Sie anhand des vorangestellten „https“-Prefixes in der Adresszeile sowie, in den meisten Fällen, einer Grafik in Form eines Schlosses.

SSL-Zertifikate werden von Hostern gegen eine geringe Gebühr oder mittlerweile Dank „Lets Encrypt“-Technologie zum Teil kostenlos angeboten. Die Umstellung der Webseite auf https ist bei allen modernen Content-Management-Systemen möglich.

Kommunikation ist keine Einbahnstraße und viele Webseiten und Blogs leben vom Austausch der Besucher, welche Inhalte teilen oder kommentieren.

Da Besucher bei der Nutzung der Kommentarfunktion personenbezogene Daten eingeben (z.B. E-Mail-Adresse), muss der Einsatz sowie der Zweck einer Kommentarfunktion in der Datenschutzerklärung erwähnt sein. Es ist dem Webseitenbetreiber auch nicht gestattet die Daten zu einem anderen Zweck zu verwenden als in der Datenschutzerklärung beschrieben (Grundsatz der Zweckbindung). Zusätzlich müssen personenbezogene Daten über einen sicheren Weg zwischen Computer und Server übertragen werden, weshalb der Einsatz eines SSL-Zertifikats notwendig wird.

Wie bei jedem anderen Formular sollte direkt unter der Eingabemaske eine Information über die Speicherung und Verwendung der eingegebenen Daten mit einer Verlinkung auf die Datenschutzerklärung eingebunden werden.

Darüber hinaus stellt sich die Frage, welche zusätzlichen Schritte der Seitenbetreiber ergreifen kann um das Datenschutzniveau zu erhöhen. So könnte er beispielsweise Kommentare erst nach einer inhaltlichen Prüfung veröffentlichen. Des Weiteren könnten Klarnamen durch Abkürzungen oder Pseudonyme ersetzt werden.

Die Möglichkeit der Auswertung und Analyse der Besucher sowie ihr Surfverhalten tragen entscheidend zum Erfolg eines Webangebots bei. Webtracker, wie Google Analytics oder Matomo (ehemals Piwik), bieten für diesen Zweck professionelle und einfach zu implementierende Lösungen an.

Dabei gibt es einen großen Unterschied: bei der Nutzung von Drittanbietern (hier Beispiel Google Analytics) werden Daten an Dritte übermittelt. Bei den sog. „Selfhosting-Lösungen“, wie die von Matomo, erfolgt keine Übermittlung an Dritte, da die Software vollständig auf dem eigenen Server installiert wird.

In jedem Fall gelten auch hier besondere Spielregeln. So dürfen IP-Adressen nur anonymisiert gespeichert werden. Google Analytics bietet hier mit der Funktion anonymizeIP eine entsprechende Option an.

Die Datenschutzerklärung muss über einen Passus erweitert werden, in dem exakt angegeben wird, wie und zu welchem Zweck die Besucherdaten gespeichert werden, sowie die Angabe, an wen sie weitergegeben werden. Auch muss es jederzeit möglich sein, der Erfassung der Daten über eine sog. „Opt-Out“-Funktion zu widersprechen.

Da es sich beispielsweise beim Einsatz von Google Analytics um eine Weitergabe von Daten an Dritte handelt, muss ein entsprechender Auftragsverarbeitungsvertrag mit Google geschlossen werden. Dieser Vertrag kann ausgedruckt und unterschrieben an Google zugeschickt oder direkt auf der Webseite von Google Analytics (Kontoeinstellungen > Zusatz anzeigen) online geschlossen werden.

Hinweis: Tracking nur noch mit Einwilligung

Am 26. April 2018 hat die Datenschutzkonferenz (DSK) ein Positionspapier zum Umgang mit personenbezogenen Daten veröffentlicht.

Unter anderem wurde auch das Thema Tracking behandelt. Die DSK ist der Auffassung, dass Tracking nur noch einer legitimen Zustimmung des Nutzers (Einwilligung) einsetzbar ist. Dieses Positionspapier ist unter Juristen und Datenschutzexperten höchst umstritten. Erst richterliche Urteile werden das Thema wohl abschließend klären. Strittig ist zudem auch, ob diese Auffassung auch für selbst gehostete Tracker wie Matomo gilt. Hierbei werden keine Daten weitergegeben, es erfolgt demnach keine Analyse eines Surfverhaltens.

Es ergeben sich daher folgende Risikoszenarien:

• Einsatz von Google Analytics mit Opt-Out
  Gehostet bei einem Drittanbieter
  Möglichkeit der Analyse des Surfverhaltens über die eigene Webseite hinweg
  » hohes Risiko

• Einsatz von Matomo mit Opt-Out
  Gehostet auf eigenem Server
  Keine Weitergabe an Dritte
  Keine Möglichkeit der Analyse
  » erhöhtes Risiko

• Einsatz von Google Analytics oder Matomo mit Opt-In (Einwilligung)
  Tracking darf erst nach informierter Einwilligung eingesetzt werden
  Kopplungsverbot muss beachtet werden
  » Gemäß DSK unstrittig

Ein Newsletter ist ein bewährtes Mittel, um Kunden und Besucher über Neuigkeiten auf dem Laufenden zu halten. Da wir hier im Bereich der Werbung sind, müssen neben der DSGVO auch andere Rechtsvorschriften (Telemediengesetz TMG sowie das Gesetz gegen unlauteren Wettbewerb UWG) beachtet werden.

Nach Artikel 6 Absatz 1 der neuen Datenschutzgrundverordnung müssen Interessenten dem Empfang eines Newsletters ausdrücklich zustimmen. Dies geschieht, falls keine andere Rechtsgrundlage vorliegt, in den meisten Fällen über eine Einwilligung, die der Benutzer Ihnen als Webseiten-Betreiber gegenüber abgibt. Im konkreten Fall muss der Besucher aktiv seine E-Mail-Adresse eingeben bzw. bei einem Kaufprozess, den Newsletter über das aktive Anklicken einer Checkbox „bestellen“. Ein „Opt-Out“-Verfahren bzw. „Soft-Opt-In“ (bereits vorgesetztes Häkchen beim Abschluss eines Kaufprozesses oder Ausfüllen eines Kontaktformulars) entspricht nicht den Anforderungen der DSGVO.

Zusätzlich müssen Webseiten-Betreiber die Einwilligung nachweisen. Als sicherer Weg hat sich hier das sog. „Double-Opt-In“-Verfahren durchgesetzt. Der Interessent erhält nach seiner Anmeldung eine E-Mail, in der er seine Newsletter-Bestellung bestätigen muss. Diese Bestätigung müssen Webseiten-Betreiber protokollieren.

Des Weiteren muss der Newsletter-Abonnent jederzeit die Möglichkeit haben, sich vom Newsletter wieder auszutragen (Widerrufsrecht). Diese Information muss zwingend zum Zeitpunkt der Anmeldung sowie in jedem verschickten Newsletter enthalten sein. Wird der Newsletter über einen Dienstleister (z.B. Newsletter2Go, CleverReach, Rapidmail oder Mailchimp) versendet, muss der Newsletter-Empfänger über diese Weitergabe unterrichtet werden. Darüber hinaus ist eine Auftragsvereinbarungsverarbeitung mit dem Dienstleister notwendig. Selbstverständlich muss die Datenschutzerklärung um einen entsprechenden Passus ergänzt werden.

Um über die Webseite direkt mit sozialen Netzwerken zu interagieren, bieten Plattformen wie Facebook, Twitter oder Instagram sogenannte „Share“-Buttons an. Personenbezogene Daten des Besuchers werden, nicht anonymisiert, direkt beim Aufruf der Webseite an den Anbieter übermittelt und häufig genutzt, um Profile zu Werbezwecken zu generieren. Da für die Übermittlung der Daten zum Zeitpunkt der Nutzung keine gültige Einwilligung vorliegt, ist der direkte Einsatz dieser Share-Buttons selbst bei einer ausreichenden Information in der Datenschutzerklärung nicht DSGVO-konform.

Für den Einsatz von Social Plugins gibt es aktuell folgende Ansätze:

2-Klick-Lösung (Einwilligung auf der Webseite)

Bei dieser werden auf der Webseite lediglich funktionslose Grafiken mit einem Link zum sozialen Netzwerk eingebunden. Beim Klick auf die Grafik wird der Besucher über die Weitergabe seiner personenbezogenen Daten informiert und gibt dafür seine Einwilligung. Erst nach der Abgabe wird eine Verbindung zum sozialen Netzwerk hergestellt. Problematisch an dieser Lösung ist, dass Webseiten-Betreiber den Besucher vollständig über Umfang und Zweck der Datenverarbeitung aufklären müssen. Da aber oftmals Informationen seitens der Betreiber von Social Media Plattformen fehlen, kann eine abgegebene Einwilligung sehr schnell unwirksam sein.

Shariff-Lösung

Diese Variante ist eine Weiterentwicklung der 2-Klick-Lösung. Hier wird der Besucher aber nicht um eine Einwilligung auf der jeweiligen Webseite gebeten, sondern direkt in einem neuen Fenster zum sozialen Netzwerk weitergeleitet. Ab diesem Moment greift die Informationspflicht des jeweiligen Anbieters, so dass keine direkte Weitergabe personenbezogener Daten stattfindet. Es müssen entsprechend auch keine weiteren Angaben zur Verwendung von Social Plugins in der Datenschutzerklärung abgegeben werden.

Moderne Webseiten binden eine Vielzahl zusätzlicher Bibliotheken, Plugins und Addons ein. Dazu gehören beispielsweise Kartendienste, Videodienste, externe Schriftbibliotheken, Chat-Dienste oder auch Captcha-Funktionalitäten zum Schutz vor Spam.

Für all diese Dienste gilt es zu prüfen, ob und in welchem Umfang personenbezogene Daten verarbeitet und an den jeweiligen Dienstleister weitergegeben werden. Bei einer Weitergabe ist eine entsprechende Auftragsverarbeitungsvereinbarung zu schließen. Ebenso muss der Besucher in der Datenschutzerklärung über den Einsatz der Bibliotheken informiert und über sein Widerspruchsrecht (Opt-out) aufgeklärt werden.

Abschließend möchten wir auf die bereits mehrfach erwähnten Auftragsverarbeitungsvereinbarungen (AVV) eingehen. Diese müssen mit allen „Dritten“ geschlossen werden, an die personenbezogene Daten für die Erfüllung von Dienstleistungen fließen. Dies gilt insbesondere bei der Einbindung von Besuchertrackern (z.B. Google Analytics), dem Versand von Newslettern (z.B. Mailchimp) aber gleichermaßen für Ihren Webhoster.

Das Thema wird noch komplexer, wenn Dienstleister ihren Sitz außerhalb der europäischen Union haben. In diesem Fall muss geprüft werden, ob sich der Dienstleister in einem als sicher eingestuften Drittland befindet. Andernfalls müssen Webseiten-Betreiber vor der ersten Weitergabe von Daten prüfen, ob ein geeignetes Schutzniveau vorliegt.

Kernbestandteile der „AVVs“ sind Gegenstand und Dauer der Vereinbarung, Art und Zweck der Verarbeitung personenbezogener Daten, die Rechte und Pflichten des Auftraggebers, die Pflichten des Auftragnehmers, die Dokumentations- und Mitwirkungspflichten sowie technische und organisatorische Maßnahmen.

Ohne Vorliegen einer gültigen Auftragsverarbeitungsvereinbarung (oder eines entsprechenden Standarddatenschutzvertrages) ist die Weitergabe von Daten verboten und wird, im Prüfungsfall, zu erheblichen Geldbußen führen. Viele Anbieter von Cloud-Diensten bieten bereits eine an die DSGVO angepasste AVV an.

Das waren unsere 10 Tipps für eine datenschutzkonforme Webseite. Die Umsetzung der EU-Datenschutzgrundverordnung stellt Webseitenbetreiber vor große Herausforderungen. Trotzdem sollten wir uns alle bewusst sein, dass der Schutz unserer persönlichen Daten für jedes Unternehmen höchste Priorität genießen muss. Verfügbarkeit, Integrität oder Ausfallsicherheit sowie der Schutz vor unerlaubtem Zugriff oder Löschen gehören zu den Prinzipien des Datenschutzes. Jeder Webseitenbetreiber ist für die Einhaltung dieser Prinzipien verantwortlich. Auch wenn viele Bestimmungen von Seiten des Gesetzgebers noch nicht final geklärt sind und Gerichtsurteile in den kommenden Monaten und Jahren erst wirkliche Rechtsklarheit und damit Sicherheit bringen werden, müssen wir jetzt handeln, da bei Verstößen (oder Unterlassungen) hohe Bußgelder oder Abmahnungen drohen.