Datenschutz auf der Website
Das Thema Datenschutz und Datensicherheit im Internet ist stark mit dem E-Commerce verknüpft. Spätestens mit Ankündigung der EU-Datenschutzgrundverordnung (DSGVO) sollte Datensicherheit und Datenschutz eine wichtige Angelegenheit eines jeden Online-Händlers und Unternehmens sein.
Datenschutz auf der Website ist vielseitig und besteht aus weit mehr als nur der DSGVO und der Datenschutzerklärung. Als Mitglied im Händlerbund helfen wir dir mit diesem und anderen Themen. Bereits ab 9,90 Euro* pro Monat erhältst du u.a. folgende Leistungen:
- Individuelle Erstellung der Datenschutzerklärung durch auf IT-Recht spezialisierte Anwälte
- Weitere Rechtstexte wie AGB, Impressum oder Widerrufsbelehrung im Paket enthalten
- Kostenloser Update-Service, selbstverständlich inkl. Haftungsübernahme
- Cookie Consent Tool inklusive
Wann brauche ich eine Datenschutzerklärung?
Ich brauche eine Datenschutzerklärung, wenn ich:
- meinen Usern ein Kontaktformular zur Verfügung stelle
- einen Online-Shop mit Warenkorbfunktion betreibe
- zur Auswertung meiner Seite Trackingtools wie u.a. Google Analytics, Matomo oder etracker nutze
- Plugins von Social-Media-Plattformen auf meiner Seite eingebunden habe
- Cookies, um meine Seite nutzerfreundlicher, effektiver und sicherer zu gestalten nutze
Individuell erstellte Rechtstexte für Händlerbund-Mitglieder
Unsere Rechtsexperten beraten dich und stellen dir individuell erstelle Rechtstexte zur Verfügung, die EU-weit gelten:
AGB (Allgemeine Geschäftsbedingungen)
Rechtssichere AGB für Online-Shops, Websites oder auf Verkaufsplattformen.
Datenschutzerklärung
Für alle, die auf deiner Online-Präsenz Daten erheben, speichern und verarbeiten.
Impressum (Gesetzliche Anbieterkennzeichnung)
Dein Impressum mit allen gesetzlich vorgeschriebenen Pflichtangaben.
Widerrufsbelehrung
Informiere deine Kunden mit der aktuellen Widerrufsbelehrung über das bestehende Widerrufsrecht.
Zahlungs- & Versandbedingungen
Das musst du bzgl. der Zahlungs- und Versandbedingungen beachten.
Weitere Leistungen des Händlerbunds
Abmahnung wegen fehlerhafter Datenschutzerklärung erhalten? Wir helfen sofort! Nutze unseren Abmahnungsupload und sende uns alle vorhanden Unterlagen zu. Wir vertreten dich auch rückwirkend bei Abmahnung – und das ohne zusätzliche Kosten.
Je nach gebuchtem Paket erhältst du eine Rechtsberatung per E-Mail oder per Telefon. Dabei steht dir während der gesamten Mitgliedschaft ein persönlicher Ansprechpartner zur Seite.
Website-Betreiber müssen über gesetzte Cookies umfassend informieren und eine Einwilligung über die Verarbeitung personenbezogener Daten von ihren Website-Besuchern einholen. In jedem unserer Mitgliedschaftspakete ist unser Cookie-Consent-Manager als zusätzliche Leistung mit einem Freikontingent an Seitenaufrufen enthalten.
Die Grundsätze des Datenschutzes
1. Datensparsamkeit
Es dürfen nur die Daten erhoben werden, die notwendig und dem Zweck angemessen sind, um eine gewünschte Handlung durchzuführen, z.B. Name und Anschrift bei einer Onlinebestellung.
2. Transparenz
Der User soll wissen, welche Daten von ihm erhoben werden und zu welchem Zweck dies geschieht. So muss in der Datenschutzerklärung über jede Form der Datenerhebung & Verarbeitung informiert werden.
3. Verbot mit Erlaubnisvorbehalt
Jede Art der Datenerhebung & Verarbeitung benötigt die Einwilligung des betroffenen Users. Eine Datenverarbeitung ohne Einwilligung ist nur mittels gesetzlicher Erlaubnis zulässig.
4. Zweckbindung
Die erhobenen Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben worden sind. Die Daten dürfen auch nicht ohne Zustimmung an Dritte weitergegeben oder anderweitig genutzt werden.
5. Datensicherheit
Um den Schutz der zu verarbeitenden Daten gewährleisten zu können, müssen geeignete organisatorische und technische Maßnahmen getroffen werden. Eine solche Maßnahme ist zum Beispiel eine SSL-Verschlüsselung für deine Webseite.
Warum Datenschutz und Datensicherheit so wichtig sind ...
Der Datenschutz ist insbesondere in Online-Shops von größter Bedeutung. Die User hinterlegen wichtige persönliche Daten, wie Ihre Anschrift oder ihre Kontodaten, damit du die Bestellungen in Auftrag geben können. Damit vertrauen deine Kunden in die Sicherheit deines Online-Shops und ein sorgsamer Umgang mit ihren Daten ist zwingend erforderlich.
Vorteile der Händlerbund-Mitgliedschaft:
- Erstellung einer rechtssicheren Datenschutzerklärung
- Kostenloser Update-Service, selbstverständlich inkl. Haftungsübernahme
- Cookie-Banner-Lösung inklusive
- Inklusive weiterer Rechtstexte wie z.B. AGB, Widerrufsbelehrung & Impressum
Brauche ich einen Datenschutzbeauftragten?
Die DSGVO regelt klar, in welchem Fall ein Online-Shop oder Unternehmen einen Datenschutzbeauftragten stellen muss. Privatpersonen und Kleinunternehmer, die eine Website oder Online-Shop betreiben, brauchen in der Regel keinen Datenschutzbeauftragten. Wenn du allerdings einen großen Online-Handel oder ein Unternehmen betreibst, bei dem mehr als 20 Mitarbeiter personenbezogene Daten verarbeiten, benötigst du vermutlich einen Datenschutzbeauftragten.
Kostenloser Quick-Check vom Anwalt
Du hast mehr als 10 Mitarbeiter und willst endlich Sicherheit bei Datenschutzfragen? Unser Quick-Check gibt einen Kurzüberblick über die typischsten Datenschutz-Fehler. Jetzt kostenlosen Termin vereinbaren!
Wissenswertes zum Thema Datenschutz bei Websites
Wo wird der Datenschutz für Websites geregelt?
Wer das Internet nutzt, gibt persönliche Daten preis. Es ist sehr schwierig bis unmöglich, den Überblick darüber zu behalten, wer was mit den eigenen Daten macht. Aus diesem Grund hat der Gesetzgeber eine Vielzahl von Gesetzen verfasst, die Internetnutzer schützen sollen.
Deutsche Gesetze
Viele deutsche Gesetze enthalten Paragraphen, die sich mit dem Datenschutz auf Internetseiten beschäftigen. Besonders wichtig sind das Digitale-Dienste-Gesetz (DDG) und das Bundesdatenschutzgesetz (BDSG). Das DDG betrifft alle Telemedien. Dazu gehören auch Internetauftritte. Viele Paragraphen des DDG geben vor, wie die Betreiber von Telemedien mit personenbezogenen Daten umzugehen haben. So enthält beispielsweise § 13 Absatz 1 DDG Informationspflichten des Anbieters gegenüber den Nutzer.
Zweck des BDSG ist es, den Nutzern von Medien ein möglichst großes Selbstbestimmungsrecht bezüglich ihrer Daten zu geben. Um dieses Ziel zu erreichen, gibt es beispielsweise vor, dass so wenig Daten wie möglich erhoben und die Nutzer darüber informiert werden sollen. Laut § 1 Absatz 1 Satz 2 BDSG gelten die Vorschriften nicht nur für öffentliche, sondern auch für nichtöffentliche Stellen.
Vorgaben der Europäischen Union
Die wichtigsten und bekanntesten Regelungen befinden sich in der Datenschutzgrundverordnung (DSGVO). Sie vereinheitlicht seit dem 25. Mai 2018 die rechtliche Lage bezüglich vieler Bereiche des Datenschutzes in allen 27 Mitgliedsstaaten der Europäischen Union. In Deutschland hat ihr Inkrafttreten für große Unsicherheit bei den Betreibern von Internetseiten gesorgt, da viele Vorschriften komplett neu oder deutlich schärfer waren, als die deutschen Regelungen. Außerdem war teilweise unklar, wie die einzelnen Vorschriften umzusetzen sind. Mittlerweile haben sich die meisten Fragen geklärt. Die Relevanz der DSGVO hat sich jedoch nicht verringert. Ein Großteil der folgenden Vorschriften, ergeben sich aus der DSGVO.
Gelten diese Regeln auch für rein private Websites?
Bevor wir auf die einzelnen Regeln eingehen, beantworten wir die Frage, wer sich überhaupt an sie halten muss. Alle oben genannten Gesetze richten sich an alle Betreiber von Internetseiten, die personenbezogene Informationen sammeln, speichern oder verarbeiten. Dazu gehören, ausnahmslos alle geschäftsmäßigen Websites, wie beispielsweise Online-Shops. Aber auch die meisten privaten Websites fallen darunter, da oftmals die IP-Adressen der Besucher erfasst werden.
Was ist eine Datenschutzerklärung und was sind personenbezogene Daten?
Die Datenschutzerklärung hat den Zweck den Besucher einer Website genauestens darüber zu informieren, welche personenbezogenen Daten er preisgibt und wie diese genutzt werden. Mit personenbezogenen Daten sind sämtliche Informationen über den Nutzer der Website gemeint. Dazu gehören beispielsweise der Name und die Kontaktdaten. Ebenfalls darunter fallen die IP-Adresse und die Interessen, die durch die Klicks auf bestimmte Links oder Websites offengelegt werden. Für die Definition der personenbezogenen Daten ist es irrelevant, ob der Nutzer die Informationen freiwillig und bewusst hergibt oder nur unbewusst durch Nutzung des Angebots.
Wo muss die Datenschutzerklärung platziert werden?
Der Gesetzgeber gibt nicht nur vor, dass jede Website eine Datenschutzerklärung haben und was sie enthalten muss, sondern auch wie sie zu erreichen sein sollte. Wichtig ist, dass die Datenschutzerklärung mit im besten Fall nur einem einzigen Klick von jeder Stelle Ihrer Website aus zu erreichen ist. Die gängige Lösung ist eine Fußzeile, die auf allen Unterseiten auftaucht und von der ein Link zur Datenschutzerklärung führt. Diese Fußzeile darf auf keiner Unterseite fehlen. Viele Anbieter vergessen zu kontrollieren, ob der Link auch im laufenden Bestellvorgang sichtbar ist und funktioniert. Ein weiterer häufiger Fehler sind Banner: Auch sie dürfen den Link nicht verdecken.
Was ist bei der Datenweitergabe an externe Dienstleister, wie Newsletter-Anbieter, zu beachten?
Die gesammelten personenbezogenen Daten werden häufig weitergegeben. Dafür gibt es viele Gründe: Die Daten sollen in einer externen Cloud gespeichert werden, der Paketdienst braucht die Adresse des Kunden, um die Ware zuzustellen oder der Website-Betreiber verkauft die Daten an Dritte. Nicht jede Weitergabe von Daten ist illegal. Allerdings braucht der Website-Betreiber immer eine gesetzliche Grundlage für die Weitergabe.
Unter welchen Voraussetzungen dürfen Daten weitergegeben werden?
Es gibt drei in der Praxis regelmäßig relevante Voraussetzungen für eine legale Weitergabe der personenbezogenen Daten. Davon muss lediglich eine vorliegen.
- Der Inhaber der Daten hat in die Weitergabe eingewilligt. An die Einwilligung sind hohe Anforderungen geknüpft. Außerdem ist sie widerrufbar. Über letzteres muss die Person bei der Abgabe der Einwilligung informiert werden.
- Die Weitergabe der Daten ist zur Erfüllung des Vertrages notwendig.
- Es besteht ein berechtigtes Interesse an der Weitergabe der Daten. Der Kunde muss über die Weitergabe der Daten und über sein Widerspruchsrecht informiert werden.
Was ist aus datenschutzrechtlicher Sicht beim Hosting einer Website zu beachten?
Jede Website ist auf einem Server gespeichert. Größere Unternehmen habe teilweise einen eigenen Server, aber die meisten Betreiber einer Website nutzen den Server eines Dienstleister. Das nennt sich Hosting und der Dienstleister wird als IT-Hoster bezeichnet. Beim Hosting werden immer personenbezogene Daten weitergegeben, weil sie jedenfalls zunächst auf dem Server des IT-Hosters gespeichert werden. Rechtskonform ist dies nur, wenn der Betreiber der Website mit dem IT-Hoster einen Vertrag über die Auftragsverarbeitung schließt (AV).
Wann ist ein Vertrag zur Auftragsverarbeitung notwendig?
Ein AV muss immer dann geschlossen werden, wenn der Betreiber Dienste oder Tools nutzt, die personenbezogene Daten verarbeiten. So muss ein AV mit dem IT-Hoster, dem Newsletter-Provider oder auch mit einem Cloud-Dienst geschlossen werden. Viele der Anbieter haben eigene Vertragsvorlagen. Falls dein Anbieter diesbezüglich noch nicht auf dem aktuellen stand ist, solltest du Kontakt mit ihm aufnehmen und ihm einen Vertrag vorlegen. Mehr zum Datenschutz beim Newsletter erfährst du im verlinkten Beitrag.
Warum sollte die eigene Website eine SSL-Verschlüsselung haben?
Manchmal gelangen Dritte ohne die Zustimmung des Betreibers der Website an die Daten der Nutzer. Dafür ist der Betreiber jedenfalls dann verantwortlich, wenn er die Daten nicht ausreichend geschützt hat.
Wie können Dritte an die Daten meiner Nutzer gelangen?
Ohne einen triftigen Grund und ohne deine Zustimmung, sollte selbstverständlich niemand an die personenbezogenen Daten gelangen. Im Internet können Daten jedoch abgefangen werden. Wenn du beispielsweise ein Kontaktformular auf deiner Website hast, müssen die dort eingegebenen Informationen vom Client zum Server übertragen werden. Unverschlüsselte Daten können dabei abgefangen werden.
Wie kann ich Daten vor dem Zugriff Dritter schützen?
Die Daten lassen sich durch eine Verschlüsselung schützen. Dazu ist der Betreiber verpflichtet, wenn er die Nutzer auffordert, Daten in einem Kontaktformular anzugeben. Es lässt sich leicht überprüfen, ob eine Website diese Anforderung erfüllt. Beginnt die URL mit https? Dann sind die Daten ausreichend verschlüsselt. Beginnt die URL anders, sollte der Betreiber die Website umstellen. Dies geht mit Hilfe oftmals kostenloser SSL-Zertifikate. Das hat neben der Datensicherheit einen weiteren Vorteil: Google bevorzugt verschlüsselte Websites. Das heißt, dass die Website nach der Umstellung tendenziell weiter oben im Google-Ranking erscheinen.
Welche Rolle spielen externe Tracking Tools beim Datenschutz auf Websites?
Die Bedeutung von Social Media-Plattformen kann kaum unterschätzt werden. Aus diesem Grund nutzen viele Betreiber von Internetseiten die Möglichkeit sogenannte Social Media-Plugins in ihre Website zu integrieren. Dadurch kann beispielsweise eine Facebook-Fanseite direkt von der Website aus geliked und ein Youtube-Video ohne den Umweg auf Youtube angesehen werden. Problematisch ist jedoch, dass durch das Besuchen der Internetseite mit dem Plugin oder Video automatisch die Daten des Nutzers an die jeweilige Social Media-Plattform übertragen werden. Die Social Media-Plattformen nutzen die Daten zur Erstellung individueller Nutzerprofile. Dies ist nicht mit der DSGVO vereinbar.
Ist es möglich Social Media-Plugins zu verwenden, ohne gegen die DSGVO zu verstoßen?
Die einfachste und sicherste Lösung des Problems ist der Verzicht auf die Plugins. Aber insbesondere Unternehmen, die sehr aktiv auf Social Media sind, wollen die Plugins verständlicherweise gerne weiterverwenden. Für diesen Fall gibt es zwei weitere Lösungswege:
Die erste Variante ist die "Zwei-Klick-Lösung". Dabei wird dem Social Media-Plugin ein Symbol vorgeschaltet. Solange der Seitennutzer dieses ignoriert, werden seine Daten nicht an die 1. Social Media Plattform übermittelt. Durch einen Klick auf das Symbol aktiviert er das Plugin. Er nutzt das Plugin, indem er auch dieses anklickt. Erst danach beginnt die Datenübertragung.
2. Eine ähnliche, aber weiterentwickelte Lösung bieten die Plugins von Shariff. Im ersten Schritt findet nur eine Übertragung der IP-Adresse des Seitenbetreibers statt. Der Nutzer der Website muss den Plugin aktiv nutzen, damit auch seine Daten übertragen werden.
Ist es möglich Youtube-Videos rechtskonform in die eigene Website einzubinden?
Bei einem Video beginnt die Datenübertragung bereits dadurch, dass das Video geladen wird. Dies geschieht in der Regel mit dem Öffnen der Internetseite und nicht erst mit dem Abspielen des Videos. Der erweiterte Datenschutzschutzmodus reicht aufgrund der DSGVO in der Regel nicht aus. Vielmehr sollte man auch bei eingebundenen Videos auf eine "Zwei-Klick-Lösung" setzen, die z.B. in unseren Mitgliedschaftspaketen mit dem Consentmanager enthalten ist.
Was sind Cookies und wann spielen sie für den Datenschutz auf einer Website eine Rolle?
Cookies sind Textdateien, die personenbezogene Daten verarbeiten. Oftmals erfüllen Sie eine notwendige oder für den Nutzer sinnvolle Funktion. So können beispielsweise individuelle Einstellungen während des gesamten Besuchs oder sogar über mehrere Besuche hinweg beibehalten werden. Manche Cookies dienen aber auch anderen Zwecken, wie beispielsweise individueller Werbung. In die Nutzung der meisten Cookies muss der Nutzer vorher einwilligen. In der Regel wird die Einwilligung mit Hilfe von Bannern eingeholt. Nicht notwendig ist die Einwilligung für Cookies, die für Funktionen der Website notwendig oder für den Nutzer nützlich sind. Ein Beispiel dafür ist die Warenkorbfunktion. In jedem Fall sollten alle Cookies in der Datenschutzerklärung aufgeführt werden. Dazu gehören auch eine Begründung für die Verwendung des Cookies, sowie eine genaue Auflistung aller durch den jeweiligen Cookie gesammelten Daten, deren Verwendung und Speicherdauer.
Was droht bei Verstößen gegen Vorschriften zum Datenschutz?
Die Einhaltung vieler Datenschutz-Vorschriften liegt im Interesse des Website-Betreibers. Einige Vorschriften schützen auch die Daten des Betreibers. Außerdem sind viele Kunden gut informiert und wissen es zu schätzen, wenn ihre Daten beim Betreiber gut aufgehoben sind. Umgekehrt können negative Schlagzeilen über mangelnden Datenschutz zu einem starken Rückgang von Besuchern führen.
Der deutsche Gesetzgeber und die Europäische Union haben mehrere Mechanismen entwickelt, um die Betreiber zur Einhaltung der Vorschriften zu motivieren. So können sie mit teilweise sehr hohen Bußgeldern belegt werden, wenn sie bestimmte Vorschriften gar nicht oder fehlerhaft umsetzen. Darüber hinaus können sie von Verbraucherschutzverbänden, Konkurrenten und Anwälten beispielsweise für eine fehlerhafte Datenschutzerklärung kostenpflichtig abgemahnt werden. Um sich Probleme und Kosten zu ersparen, ist es deshalb sinnvoll, einmal Zeit und Geld in den Datenschutz der Website zu investieren und später regelmäßig zu kontrollieren, ob alle Angaben aktuell sind und mit der möglicherweise neuen Gesetzeslage übereinstimmen.
* Alle Preise netto zuzüglich gesetzliche Mehrwertsteuer. Die Mindestlaufzeit beträgt 12 Monate.
** Hilfe bei Abmahnungen ist eine freiwillige solidarische Unterstützungsleistung für Mitglieder des Händlerbund e.V. Die Bedingungen der Abmahnhilfe ergeben sich aus der Rechtsschutzordnung des Händlerbund e.V.