Datenschutzkonforme Website und Angebote

Mal kurz vorweg: Wem das Folgende viel zu viel ist, wer seine Website ohnehin nicht geschäftlich nutzt, wer letztlich lediglich eine personalisierte E-Mail-Adresse oder einen Domain-Namen sichern will, kann sich viel Stress sparen: Die öffentliche Seite der Site (vorübergehend) vom Netz zu nehmen, ist auch ein realistischer Umgang mit dem Thema und ein effektiver Beitrag zur Datensparsamkeit.

Wird die eigene Website geschäftlich, also zur eigenen Darstellung und Kundenwerbung benutzt, ist es auch jenseits des Datenschutzthemas eine gute Idee, den Aufbau und die Betreuung Profis zu überlassen. Aber egal, ob selbst gestrickt oder vom Webdesigner betreut: Ihr müsst wissen, was auf der eigenen Seite passiert, weil ihr genau dafür verantwortlich seid und nach der DSGVO erklären müsst was dort mit personenbezogenen Daten passiert. - Auch deshalb kann es schlau sein, jetzt mal mit jemandem zu reden, der sich mit Webdesign auskennt und damit, was die einzelnen Programme, Module, Datenbanken und Plug-Ins eigentlich mit den Daten der Website-Besucher veranstalten. Ein Zeit-Artikel vom 18. Mai 2018 umreißt kurz die wichtigsten Schritte, auf die wir im Folgenden detaillierter eingehen: Datenschutzerklärung erstellen, Plugins prüfen, gegebenenfalls Auftragsdatenverarbeitungsvertrag schließen, (mindestens) bei Formularen eine Verschlüsselung aktivieren. Die entsprechenden Basis-Informationen verbreiten auch Webhoster (Beispiel: 1&1-Checkliste).

Die neuen Informationspflichten

Die Datenschutz-Grundverordnung bringt neue Anforderungen bei allen Webauftritten mit sich. Zu dem gehört erst einmal eine erweiterte Datenschutzerklärung, die per Mausklick von jeder einzelnen Webseite eines Internetauftrittes aus erreichbar sein muss. Es reicht, wenn auf jeder Webseite unten ein Link zu dieser Erklärung eingefügt wird. Damit sie von allen Lesenden verstanden wird, muss sie übersichtlich gestaltet und verständlich geschrieben sein.

Die Erklärung selber muss unter anderem darauf hinweisen, dass und welche personenbezogenen Daten erhoben werden. Also beispielsweise der Hinweis auf: Server-Logfiles, IP-Adressen, Datum und Dauer des Besuchs der Homepage, besuchte Seiten, Cookies, Google Analytics, Social-Media-Plug-Ins, Newsletteradressen, Daten aus Kontaktformularen, nicht anonyme Kommentar-/Bewertungsbereiche, geschützte Mitgliederbereiche etc. Für alle personenbezogenen Daten ist der Umgang mit ihnen zu beschreiben. Nochmal: Es geht nicht um jede Funktion der Seite, es geht um alle Bereich der Website, auf denen personenbezogene Daten verarbeitet werden.

Die Datenschutzerklärung bezieht sich auf alle Datenverarbeitungsvorgänge, die auf der Webseite stattfinden. Sie braucht aber kein juristisches oder technisches Kauderwelsch enthalten. Im Gegenteil: Sie muss allgemein verständlich, übersichtlich und ansprechend gestaltet sein. Alle darin enthaltenen Links müssen stimmen und nicht ins Leere führen.

Informationen auf beruflich genutzten Seiten

Wer geschäftliche Webseiten wie Online-Shops oder Online-Beratungen betreibt, hat umfassende Informationspflichten gegenüber den Nutzern. In diesem Fall muss die Datenschutzerklärung thematisieren und beantworten:

  • welche Art von Daten erhoben wird,
  • den Umfang der Daten,
  • den Zweck der Erhebung,
  • die konkrete Verarbeitung oder Nutzung der Daten,
  • die Rechtsgrundlage der Verarbeitung,
  • die Speicherdauer,
  • das Recht auf Auskunft, Berichtigung oder Löschung,
  • etwaige Widerrufsrechte,
  • Namen und die Kontaktdaten eines in der Firma für Datenschutz Verantwortlichen,
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten.

Sich um diese Pflichten zu kümmern, ist sehr sinnvoll, weil nicht nur (potenzielle) Kunden sondern auch Mitbewerber darauf einen Anspruch haben könnten. Das ist durchaus umstritten, aber ein Teil der Literatur und erste Urteile besagen: Auch Mitbewerber können wettbewerbsrechtlich gegen Seiten vorgehen, etwa wenn die keine oder nur eine unvollständige Datenschutzerklärungen enthalten. So hat etwa das Landgericht Würzburg Mitte September 2018 entschieden Az: 11 O 1741/18, dass Mitbewerbern bei Verstößen ein Abmahnanspruch nach § 8 Abs. 1 UWG zusteht. In diesem Fall haben sich zwei Rechtsanwälte beharkt, dem Unterlegenen wurde ohne weitere Begründung, warum das Wettbewerbsrecht hier greift, gerichtlich "für jeden Fall der Zuwiderhandlung die Verhängung eines Ordnungsgeldes von bis zu 250.000,00 €, ersatzweise Ordnungshaft bis zu 2 Jahren, sowie die Verhängung einer Ordnungshaft von bis zu 6 Monaten angedroht". Entgegengesetzt entschied Anfang August das Landgericht Bochum (Az: I-12 O 85/18): Nach dessen Ansicht steht einem Mitbewerber kein Unterlassungsanspruch zu, "weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält". - Einstweilen bleibt also strittig, ob die Konkurrenz DSGVO-Verstöße abmahnen darf, oder dies ein Privileg von Behörden und Verbänden ist.

Muster-Datenschutzerklärungen

Es gibt verschiedene Muster und Vorlagen, die in der Regel auch selbst auf ihren größten Haken hinweisen: Die Datenschutzerklärung muss immer auf die eigenen Gegebenheiten angepasst werden. Das bedeutet konkret, dass der Umgang mit den Zugriffsdaten, Cookies etc. vor dem Erstellen der Datenschutzerklärung eigentlich mit dem Websitebetreiber oder Seitenprovider geklärt werden muss. Wer auf die Schnelle irgendeine beliebige Erklärung aus einem Muster zusammenschustert, um beispielsweise ein Abmahnrisiko zu mindern, muss daher zügig das Problem heilen und eine korrekte Erklärung auf die Seite bringen.

Die kursierenden Vorlagen – insbesondere solche mit Erläuterungen – aber auch Erklärungen von Kolleginnen helfen, in das Thema Datenschutz einzusteigen. Ein relativ kurzes, verständliches Muster gibt es bei datenschutz.org, ein ausführliches Muster bei der Uni Münster. Wiederum eine Basic-Vorlage gibt's als Standard-Erklärung von Lexware. - Wer auf die Schnelle eine konkrete, auf die eigene Seite besser zugeschnittene Erklärung basteln will, kann hierfür Internet-Tools ausprobieren, beispielsweise den datenschutz-generator.de. (Der ist für Kleinunternehmen und Privatpersonen kostenlos.)

Nochmal: Es bleibt eure Pflicht dafür so sorgen, dass die Erklärung auch die Realität der eigenen Seite abbildet. Es reicht nicht, nicht zu wissen, was auf der Website im Hintergrund an Datenerhebungen passiert. Und es gibt keine Möglichkeit, eigene Informationspflichten ganz oder teilweise durch (vermeintliche) Willenserklärungen der Nutzer zu umgehen.

Verschlüsselung von Kontakt- und Bestelldaten

Auf einer Website sind Kontakt- und Bestelldaten die dort eingegeben werden besonders gefährdete personenbezogene Daten. Um sie zu schützen, ist eine SSL/TSL-Verschlüsselung (siehe Wikipedia-Erläuterungen) zumindest für die Kontakt- und Bestelldatenformulare erforderlich. Diese externe Hintergrundinformation erläutert das Thema.

Web-Hosting und Analysetools

Für den eigenen Webauftritt werden zumeist die Angebote von externen Dienstleister genutzt, die sowohl den Webauftritt technisch betreuen wie auch die Speicherkapazität zur Verfügung stellen. In einem solchen Fall liegt eine Auftragsverarbeitung vor und es muss beim Verarbeiten personenbezogener Daten unbedingt ein entsprechender Vertrag geschlossen werden. Größere Provider haben hier eigene Muster, die lediglich unterschrieben werden müssen. Allerdings heißt das nicht, dass nun der Provider die Verantwortung für alle Datenpannen übernimmt: Datenschutzrechtlich bleibt der Auftraggeber der Verarbeitung verantwortlich. - Der Frage "Brauche ich einen Vertrag über Auftragsverarbeitung?" widmet die Seite Onlinehändler-News.

Auch die Weitergabe von Nutzungsdaten bei der Verwendung von Google Analytics sehen Datenschützer als eine Auftraggeber- und Auftragnehmerbeziehung beim Datentransfer. Auf dieses Thema stürzen sich auch Abmahnanwälte - siehe bspw. hier - und es macht absolut Sinn, Analytics nicht mehr zu verwenden, wenn es nicht gebraucht wird oder aber mit Google einen Vertrag zur Auftragsverarbeitung abzuschließen sowie ein paar Anpassungen bei Analytics und bei der eigenen Datenschutzerklärung vorzunehmen. - Eine leicht lesbare umfassende Anleitung hierzu findet sich bei datenschutzbeauftragter-info.de. Eine weitere gute Quelle zum gleichen Thema ist datenschutz.org.

Erste Informationen, wie wettbewerbsrechtliche Abmahnungen eingeschätzt werden können finden sich hier bei WBS-law und hier bei e-recht24 und natürlich auch bei vielen anderen auf IT-Recht spezialisierten Kanzleien. Letztlich wird man - solange die Gemengelage nicht ansatzweise geklärt ist - zur Abwehrung von Abmahnungen auch anwaltliche Hilfe brauchen. Zurzeit (September 2018) sehen die meisten Juristen aber eine Entspannung beim Thema Abmahnungen. Nicht zuletzt, weil nicht klar ist, ob Verstöße gegen die Informationspflichten überhaupt von Wettbewerbern abgemahnt werden dürfen, ist die befürchtete Abmahnwelle bislang ausgebliegen. Im Einzelfall raten die meisten Juristen, bei einer Abmahnung auf keinen Fall eine Unterlassungserklärung zu unterzeichnen, jedoch die abgemahnten Mängel umgehend zu beheben und zu überlegen, ob sich eine Zahlungsverweigerung der Anwaltsgebühr lohnt.

Blogs und Newsletter

Ein Blog benötigt wie jede Website eine Datenschutzerklärung, die von jeder Webseite des Blogs direkt erreichbar ist. Ein Newsletter muss datenschutzrechtlich drei Dinge erfüllen:

  • Ein Newsletter darf nur verschickt werden, wenn der Empfänger ausdrücklich zu gestimmt hat. Die Mehrheitsmeinung zu den bereits vor der DSGVO erfassten Newsletter-Abos lautet: Die dürfen fortgeführt werden, wenn die Erhebung datenschutzrechtlich korrekt erfolgte und die damalige Zustimmung nachweisbar ist.
  • Eine Online-Anmeldung muss bei neuen Abonnements auf jeden Fall bestätigt werden – etwa durch eine Mail an den Besteller, in der dieser die Anmeldung ausdrücklich bestätigen muss.
  • Empfänger müssen sich jederzeit und einfach vom Newsletter abmelden können.

Weitere Infomationen

Zusätzliche, teilweise ausführliche und abstraktere Beschreibungen der datenschutzrechtlichen Anforderungen bei eigenen Website, Blogs, Newsletter usw. finden sich unter folgenden Links:



Weitere Detailinformationen
Datenschutz - Sonderregeln für Medien, Probleme bei Fotos


Druckversion dieser Seite   |   Datenschutzerklärung