Wo wird der Datenschutz für Websites geregelt?
Wer das Internet nutzt, gibt persönliche Daten preis. Es ist sehr schwierig bis unmöglich, den Überblick darüber zu behalten, wer was mit den eigenen Daten macht. Aus diesem Grund hat der Gesetzgeber eine Vielzahl von Gesetzen verfasst, die Internetnutzer schützen sollen.
Deutsche Gesetze
Viele deutsche Gesetze enthalten Paragraphen, die sich mit dem Datenschutz auf Internetseiten beschäftigen. Besonders wichtig sind das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG). Das TMG betrifft alle Telemedien. Dazu gehören auch Internetauftritte. Viele Paragraphen des TMG geben vor, wie die Betreiber von Telemedien mit personenbezogenen Daten umzugehen haben. So enthält beispielsweise § 13 Absatz 1 TMG Informationspflichten des Anbieters gegenüber den Nutzer.
Zweck des BDSG ist es, den Nutzern von Medien ein möglichst großes Selbstbestimmungsrecht bezüglich ihrer Daten zu geben. Um dieses Ziel zu erreichen, gibt es beispielsweise vor, dass so wenig Daten wie möglich erhoben und die Nutzer darüber informiert werden sollen. Laut § 1 Absatz 1 Satz 2 BDSG gelten die Vorschriften nicht nur für öffentliche, sondern auch für nichtöffentliche Stellen.
Vorgaben der Europäischen Union
Die wichtigsten und bekanntesten Regelungen befinden sich in der Datenschutzgrundverordnung (DSGVO). Sie vereinheitlicht seit dem 25. Mai 2018 die rechtliche Lage bezüglich vieler Bereiche des Datenschutzes in allen 27 Mitgliedsstaaten der Europäischen Union. In Deutschland hat ihr inkrafttreten für große Unsicherheit bei den Betreibern von Internetseiten gesorgt, da viele Vorschriften komplett neu oder deutlich schärfer waren, als die deutschen Regelungen. Außerdem war teilweise unklar, wie die einzelnen Vorschriften umzusetzen sind. Mittlerweile haben sich die meisten Fragen geklärt. Die Relevanz der DSGVO hat sich jedoch nicht verringert. Ein Großteil der folgenden Vorschriften, ergeben sich aus der DSGVO.
Gelten diese Regeln auch für rein private Websites?
Bevor wir auf die einzelnen Regeln eingehen, beantworten wir die Frage, wer sich überhaupt an sie halten muss. Alle oben genannten Gesetze richten sich an alle Betreiber von Internetseiten, die personenbezogene Informationen sammeln, speichern oder verarbeiten. Dazu gehören, ausnahmslos alle geschäftsmäßigen Websites, wie beispielsweise Online-Shops. Aber auch die meisten privaten Websites fallen darunter, da oftmals die IP-Adressen der Besucher erfasst werden.
Was ist eine Datenschutzerklärung und was sind personenbezogene Daten?
Die Datenschutzerklärung hat den Zweck den Besucher einer Website genauestens darüber zu informieren, welche personenbezogenen Daten er preisgibt und wie diese genutzt werden. Mit personenbezogenen Daten sind sämtliche Informationen über den Nutzer der Website gemeint. Dazu gehören beispielsweise der Name und die Kontaktdaten. Ebenfalls darunter fallen die IP-Adresse und die Interessen, die durch die Klicks auf bestimmte Links oder Websites offengelegt werden. Für die Definition der personenbezogenen Daten ist es irrelevant, ob der Nutzer die Informationen freiwillig und bewusst hergibt oder nur unbewusst durch Nutzung des Angebots.
Wo muss die Datenschutzerklärung platziert werden?
Der Gesetzgeber gibt nicht nur vor, dass jede Website eine Datenschutzerklärung haben und was sie enthalten muss, sondern auch wie sie zu erreichen sein sollte. Wichtig ist, dass die Datenschutzerklärung mit im besten Fall nur einem einzigen Klick von jeder Stelle Ihrer Website aus zu erreichen ist. Die gängige Lösung ist eine Fußzeile, die auf allen Unterseiten auftaucht und von der ein Link zur Datenschutzerklärung führt. Diese Fußzeile darf auf keiner Unterseite fehlen. Viele Anbieter vergessen zu kontrollieren, ob der Link auch im laufenden Bestellvorgang sichtbar ist und funktioniert. Ein weiterer häufiger Fehler sind Banner: Auch sie dürfen den Link nicht verdecken.
Was ist bei der Datenweitergabe an externe Dienstleister, wie Newsletter-Anbieter, zu beachten?
Die gesammelten personenbezogenen Daten werden häufig weitergegeben. Dafür gibt es viele Gründe: Die Daten sollen in einer externen Cloud gespeichert werden, der Paketdienst braucht die Adresse des Kunden, um die Ware zuzustellen oder der Website-Betreiber verkauft die Daten an Dritte. Nicht jede Weitergabe von Daten ist illegal. Allerdings braucht der Website-Betreiber immer eine gesetzliche Grundlage für die Weitergabe.
Unter welchen Voraussetzungen dürfen Daten weitergegeben werden?
Es gibt drei in der Praxis regelmäßig relevante Voraussetzungen für eine legale Weitergabe der personenbezogenen Daten. Davon muss lediglich eine vorliegen.
- Der Inhaber der Daten hat in die Weitergabe eingewilligt. An die Einwilligung sind hohe Anforderungen geknüpft. Außerdem ist sie widerrufbar. Über letzteres muss die Person bei der Abgabe der Einwilligung informiert werden.
- Die Weitergabe der Daten ist zur Erfüllung des Vertrages notwendig.
- Es besteht ein berechtigtes Interesse an der Weitergabe der Daten. Der Kunde muss über die Weitergabe der Daten und über sein Widerspruchsrecht informiert werden.
Was ist aus datenschutzrechtlicher Sicht beim Hosting einer Website zu beachten?
Jede Website ist auf einem Server gespeichert. Größere Unternehmen habe teilweise einen eigenen Server, aber die meisten Betreiber einer Website nutzen den Server eines Dienstleister. Das nennt sich Hosting und der Dienstleister wird als IT-Hoster bezeichnet. Beim Hosting werden immer personenbezogene Daten weitergegeben, weil sie jedenfalls zunächst auf dem Server des IT-Hosters gespeichert werden. Rechtskonform ist dies nur, wenn der Betreiber der Website mit dem IT-Hoster einen Vertrag über die Auftragsverarbeitung schließt (AV).
Wann ist ein Vertrag zur Auftragsverarbeitung notwendig?
Ein AV muss immer dann geschlossen werden, wenn der Betreiber Dienste oder Tools nutzt, die personenbezogene Daten verarbeiten. So muss ein AV mit dem IT-Hoster, dem Newsletter-Provider oder auch mit einem Cloud-Dienst geschlossen werden. Viele der Anbieter haben eigene Vertragsvorlagen. Falls ihr Anbieter diesbezüglich noch nicht auf dem aktuellen stand ist, sollten Sie Kontakt mit ihm aufnehmen und ihm einen Vertrag vorlegen. Mehr zum Datenschutz beim Newsletter erfahren Sie im verlinkten Beitrag.
Warum sollte die eigene Website eine SSL-Verschlüsselung haben?
Manchmal gelangen Dritte ohne die Zustimmung des Betreibers der Website an die Daten der Nutzer. Dafür ist der Betreiber jedenfalls dann verantwortlich, wenn er die Daten nicht ausreichend geschützt hat.
Wie können Dritte an die Daten meiner Nutzer gelangen?
Ohne einen triftigen Grund und ohne Ihre Zustimmung, sollte selbstverständlich niemand an die personenbezogenen Daten gelangen. Im Internet können Daten jedoch abgefangen werden. Wenn Sie beispielsweise ein Kontaktformular auf Ihrer Website haben, müssen die dort eingegebenen Informationen vom Client zum Server übertragen werden. Unverschlüsselte Daten können dabei abgefangen werden.
Wie kann ich Daten vor dem Zugriff Dritter schützen?
Die Daten lassen sich durch eine Verschlüsselung schützen. Dazu ist der Betreiber verpflichtet, wenn er die Nutzer auffordert, Daten in einem Kontaktformular anzugeben.Es lässt sich leicht überprüfen, ob eine Website diese Anforderung erfüllt. Beginnt die URL mit https? Dann sind die Daten ausreichend verschlüsselt. Beginnt die URL anders, sollte der Betreiber die Website umstellen. Dies geht mit Hilfe oftmals kostenloser SSL-Zertifikate. Das hat neben der Datensicherheit einen weiteren Vorteil: Google bevorzugt verschlüsselte Websites. Das heißt, dass die Website nach der Umstellung tendenziell weiter oben im Google-Ranking erscheinen.
Welche Rolle spielen externe Tracking Tools beim Datenschutz auf Websites?
Betreiber von Websites können verschiedene Tools verwenden, um nachzuverfolgen, wie sich die Nutzer ihrer Website verhalten. Mit Hilfe der gesammelten Informationen kann beispielsweise die Website attraktiver gestaltet und die Zielgruppe konkretisiert werden. Problematisch ist jedoch, dass auch hierfür eine Gesetzesgrundlage benötigt wird. Die Aufsichtsbehörden differenzieren zwischen Tracking-Tools zur reinen Reichweitenmessung und sonstigen Analyse-Tools. An der Verwendung von ersteren hat der Betreiber meist ein berechtigtes Interesse. Das heißt, er braucht keine Einwilligung. Er darf jedoch nur anonymisierte IP-Adressen verwenden und muss sowohl auf das Tracking-Tool als auch auf das Widerspruchsrecht in der Datenschutzerklärung hinweisen. Für die Verwendung aller anderen Webanalyse-Tools ist nach DSGVO eine Einwilligung erforderlich.
Was haben Social Media-Plugins und eingebettete Videos mit Datenschutz bei einer Website zu tun?
Die Bedeutung von Social Media-Plattformen kann kaum unterschätzt werden. Aus diesem Grund nutzen viele Betreiber von Internetseiten die Möglichkeit sogenannte Social Media-Plugins in ihre Website zu integrieren. Dadurch kann beispielsweise eine Facebook-Fanseite direkt von der Website aus geliked und ein Youtube-Video ohne den Umweg auf Youtube angesehen werden. Problematisch ist jedoch, dass durch das Besuchen der Internetseite mit dem Plugin oder Video automatisch die Daten des Nutzers an die jeweilige Social Media-Plattform übertragen werden. Die Social Media-Plattformen nutzen die Daten zur Erstellung individueller Nutzerprofile. Dies ist nicht mit der DSGVO vereinbar.
Ist es möglich Social Media-Plugins zu verwenden, ohne gegen die DSGVO zu verstoßen?
Die einfachste und sicherste Lösung des Problems ist der Verzicht auf die Plugins. Aber insbesondere Unternehmen, die sehr aktiv auf Social Media sind, wollen die Plugins verständlicherweise gerne weiterverwenden. Für diesen Fall gibt es zwei weitere Lösungswege:
Die erste Variante ist die "Zwei-Klick-Lösung". Dabei wird dem Social Media-Plugin ein Symbol vorgeschaltet. Solange der Seitennutzer dieses ignoriert, werden seine Daten nicht an die 1. Social Media Plattform übermittelt. Durch einen Klick auf das Symbol aktiviert er das Plugin. Er nutzt das Plugin, indem er auch dieses anklickt. Erst danach beginnt die Datenübertragung.
2. Eine ähnliche, aber weiterentwickelte Lösung bieten die Plugins von Shariff. Im ersten Schritt findet nur eine Übertragung der IP-Adresse des Seitenbetreibers statt. Der Nutzer der Website muss den Plugin aktiv nutzen, damit auch seine Daten übertragen werden.
Ist es möglich Youtube-Videos rechtskonform in die eigene Website einzubinden?
Bei einem Video beginnt die Datenübertragung bereits dadurch, dass das Video geladen wird. Dies geschieht in der Regel mit dem Öffnen der Internetseite und nicht erst mit dem Abspielen des Videos. Der erweiterte Datenschutzschutzmodus reicht aufgrund der DSGVO in der Regel nicht aus. Vielmehr sollte man auch bei eingebundenen Videos auf eine "Zwei-Klick-Lösung" setzen, die z.B. in unseren Mitgliedschaftspaketen mit dem Consentmanager enthalten ist.
Was sind Cookies und wann spielen sie für den Datenschutz auf einer Website eine Rolle?
Cookies sind Textdateien, die personenbezogene Daten verarbeiten. Oftmals erfüllen Sie eine notwendige oder für den Nutzer sinnvolle Funktion. So können beispielsweise individuelle Einstellungen während des gesamten Besuchs oder sogar über mehrere Besuche hinweg beibehalten werden. Manche Cookies dienen aber auch anderen Zwecken, wie beispielsweise individueller Werbung. In die Nutzung der meisten Cookies muss der Nutzer vorher einwilligen. In der Regel wird die Einwilligung mit Hilfe von Bannern eingeholt. Nicht notwendig ist die Einwilligung für Cookies, die für Funktionen der Website notwendig oder für den Nutzer nützlich sind. Ein Beispiel dafür ist die Warenkorbfunktion. In jedem Fall sollten alle Cookies in der Datenschutzerklärung aufgeführt werden. Dazu gehören auch eine Begründung für die Verwendung des Cookies, sowie eine genaue Auflistung aller durch den jeweiligen Cookie gesammelten Daten, deren Verwendung und Speicherdauer.
Was droht bei Verstößen gegen Vorschriften zum Datenschutz?
Die Einhaltung vieler Datenschutz-Vorschriften liegt im Interesse des Website-Betreibers. Einige Vorschriften schützen auch die Daten des Betreibers. Außerdem sind viele Kunden gut informiert und wissen es zu schätzen, wenn ihre Daten beim Betreiber gut aufgehoben sind. Umgekehrt können negative Schlagzeilen über mangelnden Datenschutz zu einem starken Rückgang von Besuchern führen.
Der deutsche Gesetzgeber und die Europäische Union haben mehrere Mechanismen entwickelt, um die Betreiber zur Einhaltung der Vorschriften zu motivieren. So können sie mit teilweise sehr hohen Bußgeldern belegt werden, wenn sie bestimmte Vorschriften gar nicht oder fehlerhaft umsetzen. Darüber hinaus können sie von Verbraucherschutzverbänden, Konkurrenten und Anwälten beispielsweise für eine fehlerhafte Datenschutzerklärung kostenpflichtig abgemahnt werden. Um sich Probleme und Kosten zu ersparen, ist es deshalb sinnvoll, einmal Zeit und Geld in den Datenschutz der Website zu investieren und später regelmäßig zu kontrollieren, ob alle Angaben aktuell sind und mit der möglicherweise neuen Gesetzeslage übereinstimmen.