Datenschutz bei Webseiten ‎

Webseiten unterliegen neuen ‎Anforderungen mit der DSGVO

Close-up of a browser window showing lock icon during SSL connection
© Marc Bruxelle

Webseitenbetreiber müssen seit dem 25. Mai 2018 besonders auf Datenschutz achten: Grund dafür ist die DSGVO, die den Schutz personenbezogener Daten regelt.

Inhaltsnavigation

Webseiten unterliegen neuen Anforderungen mit der DSGVO

Die Schonfrist ist abgelaufen, die Regeln der DSGVO (Datenschutzgrundverordnung) gelten seit dem 25. Mai 2018 einheitlich für alle im EU-Raum aktiven Unternehmen. Dies bedeutet: Soweit nicht Spezialregelungen (strittig bei TMG Telemediengesetz) greifen, sind die erhöhten Anforderungen der DSGVO zu beachten. Bei Missachtung der Datenschutz-Bestimmungen drohen empfindliche Geldstrafen von bis zu 20 Millionen Euro. Internetseiten unterliegen den datenschutzrechtlichen Bestimmungen, da dort stets personenbezogene Daten (z. B. eine IP-Adresse) verarbeitet werden. Dabei ist wichtig: Nach dem Datenschutzrecht ist eine Verarbeitung von Daten natürlicher Personen zunächst generell verboten, es sei denn ein Gesetz erlaubt dies ausdrücklich!

Für einen datenschutzkonformen Internetauftritt gibt es einiges zu beachten. Zum Beispiel ist eine rechtskonforme Datenschutzerklärung verpflichtend, die die nach DSGVO erweiterten Angaben beinhalten muss. Die folgenden Tipps der IHK München und Oberbayern helfen Unternehmen und Webseiten-Betreibern bei der Anpassung ihres Webauftritts an die neuen Regeln.

Tipps der IHK München für gängige Website-Techniken und Tools

Die datenschutzrechtlichen Vorgaben der DSGVO gelten, sobald es sich bei den verarbeiteten, insbesondere erhobenen, Daten um personenbezogene Daten handelt. Nach Art. 4 Nr.1 DSGVO sind alle Informationen personenbezogen, die sich auf eine identifizierbare oder identifizierte natürliche Person beziehen. Zu diesen Daten gehören:

  • Name und Anschrift
  • Angaben wie Alter, Geschlecht und Einkommen
  • Daten über das Surfverhalten wie Suchanfragen und Browserverlauf
  • IP-Adressen und sonstige User-Daten
  • E-Mails, Videos und Fotos
  • Daten, die mithilfe von Tracking-Software entstehen
  • Bestellverlauf in einem Online-Shop Im Rahmen der DSGVO müssen Betreiber von Webseiten aller Art ihren Internetauftritt auf Konformität prüfen und gegebenenfalls auch das Newsletter-System, sofern dies in den Internetauftritt integriert ist.

Website-Hosting und Hoster

Unternehmen mit Internetauftritt speichern die dort anfallenden Daten meist nicht auf einem eigenen Server, sondern nutzen den Service eines externen Dienstleisters (IT-Hoster). Der Content auf der Website ist über die Server des Providers öffentlich abrufbar. Alternativ hosten Unternehmen mit eigener IT-Abteilung und Hardware ihren Internetauftritt auf einem eigenen Server.

Was ist das Problem bei der Nutzung von Website-Hosting?

Im Rahmen des Hostings bei einem Provider speichert dieser unter anderem die Inhalte der Website und im Falle eines Online-Shops zudem Kunden- und Zahlungsdaten auf seinen Servern ab. Zum Teil logt dieser auch Tracking-Daten über das Besucherverhalten auf der Website. Daher findet eine Verarbeitung, insbesondere Erhebung und Übermittlung, der personenbezogenen Daten statt.

Ist ein AV-Vertrag mit dem Hoster notwendig?

Ja, bei einer Auftragsverarbeitung lässt ein Unternehmen (Verantwortlicher) personenbezogene Daten durch eine andere externe Stelle verarbeiten. Das Unternehmen bestimmt allein über die Zwecke und Mittel der Verarbeitung. Ein IT-Hoster, der im Auftrag eines Unternehmens dessen Daten verarbeitet, insbesondere speichert, zählt zu Auftragsverarbeitern (weisungsgebundene Verarbeitung kundenbezogener Daten). Somit ist ein Vertrag über die Auftragsverarbeitung (AV-Vertrag) zu schließen.
Hinweis: Ebenso gelten Tätigkeiten wie Webdesign, Datenkonvertierung und das Erstellen von Back-ups im Sinne der DSGVO als Auftragsverarbeitung. Nur falls gar keine personenbezogenen Daten verarbeitet (z. B. erhoben) werden, handelt es sich nicht um einen Fall der Auftragsverarbeitung und es ist kein AV-Vertrag erforderlich.

Sie betreiben selbst einen Server?

Ein AV-Vertrag ist ebenfalls mit einem Dienstleister zu schließen, den Sie mit der Wartung Ihres Servers beauftragt haben, wenn dieser im Rahmen der Wartung auf personenbezogene Daten zugreifen kann. Die Möglichkeit des Zugriffs reicht bereits aus. Kann hingegen der Zugriff auf die personenbezogenen Daten vollumfänglich ausgeschlossen werden, liegt keine Auftragsverarbeitung vor.

Fazit

Webseiten-Hosting bedeutet, dass der Seitenbetreiber einen AV-Vertrag mit dem Hosting-Anbieter zu schließen hat. Die Provider stellen dafür AV-Verträge bereit.

SSL-Verschlüsselung (https)

Die SSL-Verschlüsselung ermöglicht die sichere Datenübertragung zwischen Client und Server, zum Beispiel sollten die Registrierung und der Einkauf bei einem Online-Shop über eine sichere Verbindung erfolgen.

Was ist das Problem bei nicht verschlüsselten Websites?

Füllt der Besucher einer Internetseite beispielsweise ein Kontaktformular aus und versendet dieses, findet die Datenübertragung vom Client des Anwenders zum Server statt. Geschieht die Datenübertragung unverschlüsselt über http, können zum Beispiel Cyberkriminelle die Daten abfangen und für kriminelle Zwecke missbrauchen.

Welche Lösungsansätze gibt es?

Zur sicheren Ende-zu-Ende-Datenübertragung zwischen Client und Server eignet sich daher die Möglichkeit zur Verschlüsselung. Empfohlen ist die Verschlüsselung mindestens mittels TLS 1.2 (Verfahren der Verschlüsselung) per https (SSL-verschlüsselte Transportverbindungen). Für die Verschlüsselung muss der Webseitenbetreiber ein SSL-Zertifikat erwerben. In der Regel ist ein solches Zertifikat kostenpflichtig oder im Angebot des Hosting-Providers enthalten.

Alternativ existieren zeitlich befristete Angebote von Dienstleistern, die Sie manuell verlängern müssen. Ein kostenloses und zeitlich limitiertes Zertifikat ist für Betreiber kleiner Websites mit begrenztem Budget interessant. Auf die Vertrauenswürdigkeit des Dienstleisters ist zu achten.

Fazit

Sobald Sie auf Ihrer Website personenbezogene Daten erheben, sollte der Datenaustausch per https abgesichert sein. Mit dem kostenlosen https-Check des Bayerischen Landesamts für Datenschutzaufsicht können Sie überprüfen, ob Ihre Website ausreichend verschlüsselt ist. Unter anderem ist die Verschlüsselung für Online-Shops verpflichtend, da Kontaktdaten und Zahlungsinformationen verarbeitet werden.

Log-Dateien auf dem eigenen Server

Mit Log-Dateien überwachen und protokollieren Webseitenbetreiber die Aktivitäten der Seitenbesucher. Es findet die Speicherung aller Anfragen und Zugriffe auf Unterseiten mit Statusmeldungen statt. Die gesammelten Daten haben für Administratoren großen Wert, denn mithilfe der Log-Dateien lässt sich jeder erfolgreiche und erfolglose Zugriff nachvollziehen. Die Protokollierung ist ein bewährtes Mittel, um Fehler aufzuspüren und zum Beispiel 404-Fehler zu beseitigen (wenn Besucher eine nicht existierende Unterseite öffnen möchten).

Was ist das Problem mit Log-Dateien?

Eine Log-Datei dient der Speicherung personenbezogener Daten, genauer werden folgende Daten protokolliert:

  • Uhrzeit zum Zeitpunkt des Seitenzugriffs
  • URL der besuchten Website
  • Menge der übertragenen Daten in Byte
  • Information über die Quelle, über die Besucher auf die Seite gelangen
  • Angabe des Browsers
  • Information zum Betriebssystem
  • Speicherung der IP-Adresse des Besuchers (in anonymisierter Form)

Die Verarbeitung dieser Daten darf wie auch sonst nur erfolgen, sofern es hierfür eine Rechtsgrundlage gibt. Ein Beispiel ist das berechtigte Interesse für statistische Auswertungen.

Welche Lösungen gibt es für den Umgang mit Log-Dateien?

In der Datenschutzerklärung ist der Besucher der Website über die jeweilige Rechtsgrundlage zu informieren. Dabei gilt: Daten dürfen verarbeitet (insbesondere erhoben und ausgewertet) werden, wenn diese für die Sicherheit und Funktionsfähigkeit einer Website erforderlich sind. Derartige Daten dürfen nicht zur Auswertung der Verhaltensweisen der Besucher oder zur Profilbildung zum Einsatz kommen.

Fazit

Log-Dateien verarbeiten Informationen wie die IP-Adressen von Seitenbesuchern. Über die Nutzung der Log-Dateien müssen Sie in der Datenschutzerklärung informieren. Die Erklärung unterrichtet über die Verwendungszwecke der Server-Logfiles und der dort protokollierten Daten.

Kontaktformulare in der Website

Das Kontaktformular ist ein verbreiteter Service und vereinfacht Seitenbesuchern die Kontaktaufnahme mit dem Kundenservice des Unternehmens bzw. Betreibers der Website. Da Daten wie Name und Kontaktdaten abgefragt werden, erheben Sie mit einem Kontaktformular persönliche Daten und müssen Seitenbesucher deshalb zu Beginn der Nutzung über Art, Umfang und Zweck der Datenerfassung informieren. Dabei gilt:

  • Nur notwendige Angaben abfragen (Grundsatz der Datenminimierung)
  • Bei der Abfrage optionaler Angaben diese als freiwillig kennzeichnen
  • Übermittlung der Daten möglichst über eine verschlüsselte Datenleitung („https“)
  • Hinweis zu Kontaktformular in der Datenschutzerklärung

Was gibt es bei Kontaktformularen nach DSGVO zu beachten?

Die Datenschutzvorschriften sind bei personenbezogenen Daten und damit für Kontaktformulare auf Websites relevant. Auf die richtige technische (eine verschlüsselte Datenverbindung) und inhaltliche Umsetzung ist zu achten.

Welche Lösungsansätze kommen infrage?

Die Verarbeitung personenbezogener Daten ist erlaubt, wenn es hierfür eine Rechtsgrundlage (z. B. Vertrag bzw. Vorvertrag oder Einwilligung) gibt (Art. 6 Abs. 1 DSGVO). Wie bisher sollte das Versenden der personenbezogenen Daten angemessen verschlüsselt per https erfolgen. Die Verschlüsselung über das SSL-Protokoll sollte dem aktuellen Stand der Technik entsprechen und mindestens per TLS 1.2 erfolgen.

Fazit

Betreiber einer Internetseite bieten Besuchern als Serviceleistung und Angebot (Rechtsgrundlage: vorvertragliches Schuldverhältnis) eine einfache Möglichkeit der Kontaktaufnahme. Hierbei sollten Websitebetreiber darauf achten, dass die Übertragung der persönlichen Daten über eine angemessen verschlüsselte Verbindung erfolgt. Die Datenschutzerklärung muss Informationen über die Zwecke sowie über Art und Weise der Datenverarbeitung enthalten.

Tracking- und Analyse-Software

Mithilfe von Tracking- und Analyse-Software wie Google Analytics und Matomo (ehemals Piwik) lernen Websitebetreiber viel über die Besucher ihrer Website und können ihren Internetauftritt zielgruppenspezifisch optimieren.

Was ist das Problem mit Tracking- und Analyse-Software?

Ist Software wie Google Analytics oder Matomo auf Ihrer Website aktiv, werden personenbezogene Daten (IP-Adressen) an Dritte übertragen. Damit sind die Datenschutzbestimmungen zu beachten. Um die Dienste rechtskonform zu gestalten, müssen Sie Folgendes beachten.

Wie lassen sich Tracking- und Analyse-Software datenschutzkonform einsetzen?

Wichtig ist die Einbindung eines Opt-Out-iFrames, damit Besucher das Tracken deaktivieren können. Für Google Analytics arbeiten Sie mit der Anleitung zum Deaktivieren des Trackings, Matomo bietet das Plugin „AnonymizeIP“ an, das der Admin aktivieren muss. In den FAQs von Matomo finden Sie weitere Informationen zum Opt-Out-Verfahren. Tracking-Tools zur Reichweitenmessung sind zur ausschließlich statistischen Analyse zulässig. Rechtsgrundlage hierfür ist ein „berechtigtes Interesse“ nach Art. 6 Abs. 1 f DSGVO, d. h. erforderlich sind zum einen eine Vorabinformation der Seitenbesucher (z. B. über Datenschutzerklärung) und eine Möglichkeit, einem anonymisierten Tracken zu widersprechen.

Fazit

Ein rechtskonformer Einsatz setzt Folgendes voraus:

  • Hinweis in der Datenschutzerklärung
  • Anonymisierung der IP-Adresse
  • Möglichkeit zum Widerspruch gegen anonymisiertes Tracken
  • AV (sofern personenbezogene Daten auf Server des Tracking-Tool-Anbieters gespeichert werden)

Social Media Plugins wie Facebook & Twitter

Social Media Plugins wie der Like- und Share-Button von Facebook kommen auf Webseiten aller Art zum Einsatz. Die Betreiber erhoffen sich dadurch eine Vergrößerung der Reichweite und mehr Traffic, da Seitenbesucher die Inhalte „liken“ und mit ihrem sozialen Netzwerk teilen.

Was ist das Problem bei der Verwendung von Social Media Plugins?

Datenschützer stören sich schon seit einiger Zeit an dem Datenhunger der Plugins. Warum? Die Plugins verarbeiten personenbezogene Daten und erstellen Persönlichkeitsprofile. Nutzer werden darüber nicht informiert. Bei jedem Aufruf der Website mit direkt eingebundenem Social Media Plugin verschickt dieses automatisch Daten an den Social-Media-Anbieter. Das geschieht unabhängig davon, ob ein Webseiten-Besucher auf diesem Social-Media-Kanal registriert ist oder nicht. Das Problem ist, dass Daten über Seitenbesucher bereits beim Laden der Website erfasst und übertragen werden.

Welche Lösungen gibt es?

Für die rechtssichere Einbindung der Social Media Plugins sind drei Varianten empfohlen.

  • Die Shariff-Lösung
    Diese Lösung ist eine Weiterentwicklung der 2-Klick-Lösung. Ein Skript ruft ab, wie häufig eine Seite getwittert oder „geliked“ wurde. Dabei erfolgt eine Übertragung der IP-Adresse des Webseiten-Servers und nicht der IP-Adresse des Rechners des Besuchers. Eine Verbindung zwischen den Social-Media-Anbietern und Seitenbesuchern findet erst statt, wenn diese aktiv werden und die Plugins aktiv nutzen (z. B. durch Anklicken). Die Social-Media-Buttons von Shariff schützen die Privatsphäre der Besucher so gut wie das 2-Klick-Verfahren, bei diesen ist jedoch kein zweiter Klick nötig. Bei den Schaltflächen handelt es sich um HTML-Links, die Sie mit CSS individuell gestalten können.
  • Die 2-Klick-Lösung
    Bei dieser Variante muss der Seitenbesucher erst ein Symbol anklicken, um dieses Social Media Plugin zu aktivieren. Um das Social Media Plugin zu nutzen, muss der Webseiten-Besucher ein weiteres Mal darauf klicken. Erst dann werden seine Nutzerdaten an den Social Media-Anbieter übertragen.
  • Vollständiger Verzicht
    Ein Verzicht auf die Social Media Plugins ist die einfache Lösung, für Webseitenbetreiber aufgrund der verminderten Marketing-Möglichkeiten jedoch nicht attraktiv.

Fazit

Social Media Plugins eröffnen Webseiten-Betreibern wertvolle Möglichkeiten des Marketings. Statt auf die Verwendung zu verzichten, ist die Shariff-Lösung für die Einbettung der Social Media Plugins empfohlen und besser als die 2-Klick-Lösung. Die Verwendung von Social Media Plugins ist in der Datenschutzerklärung zu erläutern.

Eingebundene Videos von Youtube & Vimeo

Neben Bildern eignen sich Videos besonders gut für die Gestaltung von Internetseiten und die Bereitstellung von Informationen. Die Einbindung von Videos in Webseiten sollte datenschutzkonform erfolgen.

Was ist das Problem mit Videos von Youtube & Vimeo?

Wie bei den Social Media Plugins speichert eine Internetseite mit eingebundenem Video die IP-Adresse des Nutzers bereits beim Laden der Seite. Die Speicherung erfolgt unabhängig davon, ob der Besucher das Video anklickt oder nicht. Da IP-Adressen zu den personenbezogenen Daten gehören, sind die Datenschutzvorgaben zu beachten.

Wie lassen sich Videos von Videoplattformen rechtssicher einbinden?

Mit den folgenden zwei Möglichkeiten vermeiden Webmaster das Setzen der Cookies und Speichern der IP-Adresse beim Laden der Seite:

  • Videos mit erweiterter Datenschutzeinstellung einbetten
    Videoanbieter wie z. B. YouTube bieten zum Teil die Möglichkeit, Videos ohne das Setzen von Cookies einzubinden. Sie erreichen den „erweiterten Datenschutzmodus“, indem Sie z. B. bei YouTube die YouTube-Seite zum Video öffnen und dann auf „Teilen“ > „Einbetten“ und „Mehr anzeigen“ klicken. Dort erscheint die Option „Erweiterten Datenschutzmodus aktivieren“. Bei korrekter Verwendung steht im Einbettungs-Code für die Website „www.youtube-nocookie.com“.
  • Die Zwei-Klick-Lösung
    Die Alternative ist die Zwei-Klick-Lösung. Der Cookie wird erst nach dem Klick und nicht nach dem Aufruf der Internetseite gesetzt. Für Content Management Systeme wie WordPress und Joomla! gibt es entsprechende Plugins, ein Beispiel ist das Plugin „Embed videos and respect privacy“ für Wordpress.

Fazit

Werden Videos auf einer Internetseite eingebunden, findet eine Speicherung der IP-Adresse des Seitenbesuchers bereits beim Laden der Seite statt. Da es sich bei IP-Adressen um personenbezogene Daten handelt, ist dieser Vorgang datenschutzkonform zu gestalten. Zum Einbinden auf Internetseiten bieten einige Anbieter daher Videos mit erweiterten Datenschutzeinstellungen an. Eine Alternative ist die Zwei-Klick-Lösung. Ein entsprechender Hinweis über die Art und Weise der Video-Einbindung ist in die Datenschutzerklärung aufzunehmen.

Cookies und Cookie-Hinweise

Heute nutzen fast alle Webseiten Cookies. Cookies sind kleine Textdateien, die Informationen auf dem Rechner eines Webseitenbesuchers ablegen. Mithilfe von Cookies lassen sich Besucher identifizieren und wiedererkennen. So müssen Besucher zum Beispiel nicht bei jedem Seitenbesuch die Anmeldedaten erneut eingeben, wenn in deren Browser ein entsprechendes Cookie gesetzt ist. Ein Cookie-Banner ist heute beim Besuch einer Website der Standard, der rechtlich erforderliche Hinweis nervt jedoch die meisten Nutzer.

Was ist das Problem bei der Verwendung von Cookies?

Mithilfe der Cookies werden personenbezogene Daten erhoben, deren Verarbeitung meist ohne Zustimmung der Seitenbesucher nicht erlaubt ist. Deutschland hat die EU-Cookie-Richtlinie nicht in nationales Recht umgesetzt. Offen ist, ob die DSGVO Fragen der Nutzung von Cookies regelt, ferner ob und wie die geplante ePrivacy-Verordnung den Einsatz von Cookies regeln wird.

Welche Lösungsansätze gibt es?

Zunächst ist nach der Art des Cookies zu unterscheiden. Hierbei gilt: Cookies sind zulässig, soweit diese für notwendige (Gewährleistung der Sicherheit der Website oder der Seitennavigation) oder nützliche Funktionen (Warenkorbfunktion im Online-Shop) erforderlich sind.

Im Übrigen (z. B. wenn auf der Basis von Cookies webseiten- oder geräteübergreifende Nutzungsprofile erstellt oder Daten an Dritte übermittelt werden) sollten Seitenbetreiber für sonstige Cookies die Einwilligung der Nutzer einholen. Diese Auslegung ist strittig. Zum Teil wird die Auffassung vertreten, dass der Einsatz derartiger Cookies auch auf die Rechtsgrundlage „berechtigtes Interesse“ oder „Vertrag“ gestützt werden kann.

Fazit

Damit die Verwendung von Cookies legitim ist, muss deren Einsatz auf eine Rechtsgrundlage (s. o.) gestützt werden können. Ferner ist ein Cookie-Banner auf der Website einzusetzen. Zudem muss der Websitebetreiber in der Datenschutzerklärung über Art, Umfang und Zwecke der eingesetzten Cookies informieren.

Externe Schriften und Dateien wie z. B. Google Fonts

Neben den Standardschriften gibt es tausende weiterer Schriften, die online kostenlos oder kostenpflichtig angeboten werden. Ein Anbieter solcher Schriften ist Google mit den Google Fonts.

Welche Probleme gibt es mit externen Schriften wie Google Fonts?

Wenn auf einer Website externe Schriften wie Google Fonts zum Einsatz kommen, werden diese üblicherweise beim Laden der Seite vom Google Server nachgeladen und es findet ein Datenaustausch zwischen der Website und Google statt.

Wie lassen sich externe Schriften und Dateien rechtskonform nutzen?

Die Datenübermittlung ist aus Datenschutzsicht unerwünscht. Die Lösung: Externe Schriften müssen nicht von einem Server nachgeladen werden, sie können alternativ lokal auf dem eigenen Server gespeichert sein. Webseitenbetreiber müssen zunächst die benötigten Schriften identifizieren, können diese anschließend herunterladen und zum eigenen Server hochladen. Im Anschluss passen Sie den CSS-Code entsprechend an und tragen die neue Quelle der Fonts ein.

Fazit

Werden auf einer Website externe Schriften und Dateien eingesetzt, findet beim Nachladen der Daten ein aus Datenschutzsicht unzulässiger Datenaustausch statt. Um die Schriften und Dateien zu nutzen und den Regeln der DSGVO zu entsprechen, sollten Sie den Datenaustausch mit externen Servern unterbinden und die Daten stattdessen lokal in Ihrem Webspace speichern und von dort verwenden.

Datenschutzerklärung

Jede Website muss über ein Impressum und eine Datenschutzerklärung verfügen, sobald diese personenbezogene Daten verarbeitet. Die Erklärung informiert Besucher der Website ausführlich über die Art und Weise der Verarbeitung (z. B. Erheben, Auswerten) der personenbezogenen Daten sowie über die Verarbeitungszwecke.

Welches Problem gibt es mit der Datenschutzerklärung?

Bereits sehr einfache Webseiten verarbeiten personenbezogene Daten, weshalb die Datenschutzregelungen für fast alle Internetauftritte gelten. Ohne korrekte Umsetzung der Bestimmungen droht dem Betreiber der Website ggf. eine Abmahnung und/oder eine Geldbuße. Spätestens seit dem 25. Mai 2018 muss die obligatorische Datenschutzerklärung an die neuen Anforderungen der DSGVO angepasst sein.

Wie wird die Datenschutzerklärung richtig umgesetzt?

Die neue Datenschutzerklärung muss die nach Artikel 13 DSGVO bestehenden Informationspflichten beachten. Damit ist sie deutlich umfangreicher. Folgende Pflichten müssen umgesetzt sein:

  • Die Rechtsgrundlage für die Datenverarbeitung muss genannt sein, es gilt nach wie vor der Grundsatz des Verbots mit Erlaubnisvorbehalt. Personenbezogene Daten dürfen daher nicht erhoben werden, außer der Nutzer stimmt explizit zu oder das Gesetz gestattet dies.
  • Ausnahmen sind in Artikel 6 DSGVO definiert: Die Datenverarbeitung ist zum Beispiel erlaubt, wenn die Daten zur Vertragserfüllung benötigt werden. Zu den Ausnahmen gehört zudem die „Wahrung berechtigter Interessen“.
  • Auf die Rechtsgrundlage „Wahrung berechtigter Interessen“ lässt sich die Verarbeitung solcher personenbezogener Daten stützen, die für die Gewährleistung der Website-Sicherheit erforderlich sind. Hierzu zählt unter anderem die temporäre Speicherung von IP-Adressen, beispielsweise zum Schutz einer Website vor Angriffen. Die IP-Speicherung sollte in der Regel 14 Tage nicht überschreiten.
  • Neu sind die Informationspflichten bezüglich der Rechte der Seitenbesucher. Die Datenschutzerklärung muss über alle Rechte Betroffener (z. B. auf Auskunft, auf Berichtigung, Recht auf Beschwerde bei einer Aufsichtsbehörde sowie ein Recht auf Löschung und Einschränkung und ggf. auf Datenübertragbarkeit) geben. Einen Mustertext finden Sie hier.
  • Gibt es in einem Unternehmen einen Datenschutzbeauftragten, muss dieser in der Erklärung genannt und eine Kontaktmöglichkeit gegeben sein. Hierbei reicht eine Funktionsangabe aus, eine namentliche Nennung ist nicht erforderlich.

Im Netz gibt es Datenschutz-Generatoren, mit den Sie kostenlos eine einfache Datenschutzerklärung für Ihre Website erstellen können.

Fazit

Eine Datenschutzerklärung auf der eigenen Website ist seit vielen Jahren obligatorisch. Durch Inkrafttreten der DSGVO ist die Erklärung jetzt viel umfangreicher und detaillierter. Im Internet gibt es verschiedene Anbieter, mit denen Webseitenbetreiber eine individuelle Datenschutzerklärung generieren können.

Datenweitergabe an externe Dienstleister

Die Weitergabe von Daten an Dritte ist schnell erfolgt und gilt zum Beispiel schon dann, wenn die Bearbeitung von Rechnungen in der Cloud eines externen Anbieters stattfindet. Typisch ist die Datenweitergabe auch bei Online-Shops, die in der Regel auf dem Server eines Webseiten-Hosters betrieben werden.

Was ist das Problem der Datenweitergabe an externe Dienstleister?

Werden personenbezogene Daten weitergeleitet oder ist eine bloße Möglichkeit der Kenntnisnahme durch Dritte gegeben, handelt es sich um Datenverarbeitungen mit Erlaubnispflicht. Die Weitergabe ist erlaubt, sofern die Weitergabe auf eine Rechtsgrundlage gestützt werden kann.

Welche Lösungen gibt es für die Datenweitergabe an Dritte?

Im Unternehmensalltag spielen v. a. folgende Rechtsgrundlagen eine Rolle.

  • Einwilligung
    Eine Möglichkeit ist es, die Einwilligung zur Datenweitergabe von den Betroffenen einzuholen. Diese können der Weitergabe nach Art. 6 Abs. 1 lit. a DSGVO zustimmen. Für die Einwilligung gelten jedoch hohe Anforderungen.
  • Vertragserfüllung
    Zulässig ist die Weitergabe, falls diese zur Vertragserfüllung erforderlich ist und den Interessen der betroffenen Person entspricht.
  • Bei berechtigten Interessen an der Weitergabe
    Auch ohne Einwilligung und Vertrag kann die Datenweitergabe erlaubt sein. Diese Forderung ist zum Beispiel erfüllt, wenn ein Online-Shop die Kontaktdaten eines Kunden an einen Paketzustelldienst übermittelt, der Kunde vorab hierüber informiert worden ist und nicht widersprochen hat.
    Interessen an der Kostensenkung, Gewinnmaximierung, Steigerung der Nutzerfreundlichkeit und Optimierung der Dienste zählen ebenfalls zu den berechtigten Interessen. Bei der Abwägung dieser kommt es auf die Art der Daten, den Zweck der Weitergabe und die möglichen Risiken für Betroffene an. Der Verkauf von Adressen von einem Online-Shop an einen Adressen-Händler ist damit nicht erlaubt.

Fazit

Die Weitergabe personenbezogener Daten an Dritte ist nach der DSGVO nur erlaubt, sofern eine gesetzliche Regelung dies erlaubt. Im Unternehmensalltag kommen hierbei meist folgende Rechtsgrundlagen zur Anwendung: wenn die Weitergabe zur Vertragserfüllung notwendig ist, ein berechtigtes Interesse besteht oder bei expliziter Einwilligung durch die Betroffenen‎.

Datenverarbeitungsverträge mit Auftragsverarbeitern

Betreiber von Webseiten nutzen diverse Dienste und Tools, die im Auftrag personenbezogene Daten verarbeiten. Zu den Dienstleistern zählen unter anderem Hosting-Anbieter, Newsletter-Provider und Cloud-Dienste. Viele Anbieter stellen noch keine Verträge zur Auftragsverarbeitung zum Download bereit. Hier finden Sie eine Liste mit AV-Verträgen. Notwendig ist solch ein Vertrag immer, wenn Unternehmen im Auftrag des Webseitenbetreibers Daten verarbeiten und als „Auftragsverarbeiter“ agieren.

Zusammenfassung

Sofern nicht spezialgesetzliche Regelungen greifen, müssen Betreiber von Webseiten bei der Verarbeitung aller personenbezogenen Daten die neuen Bestimmungen der DSGVO beachten, bei Nichtbeachtung ist eine Geldbuße eine mögliche Folge. Die Regeln betreffen die Zusammenarbeit mit einem Hosting-Anbieter, die Notwendigkeit der verschlüsselten Datenübertragung, den richtigen Umgang unter anderem mit Log-Dateien, Kontaktformularen, Tracking-Software, Social Media Plugins, eingebundenen Videos und Cookies. Wichtig ist zudem die Anpassung der obligatorischen Datenschutzerklärung. Mit Hilfe von sog. Datenschutz-Generatoren können Unternehmen meist kostenlos Datenschutzerklärungen für ihre Website erstellen. Prüfen Sie z. B. über dieIHK-Checkliste „Datenschutzerklärung“, ob Ihre Datenschutzerklärung alle erforderlichen Punkte umfasst.