Datenschutzkonforme Webseiten und Angebote
Kurz vorweg: Wem das Folgende viel zu viel ist, wer die eigene Website ohnehin nicht geschäftlich nutzt, wer letztlich lediglich eine personalisierte E-Mail-Adresse oder einen Domain-Namen sichern will, kann sich viel Stress sparen: Die öffentliche Seite der Site (vorübergehend) vom Netz zu nehmen ist auch ein realistischer Umgang mit dem Thema und ein effektiver Beitrag zur Datensparsamkeit. Ein anderer allerdings nicht kostenloser Weg selbst Zeit zu sparen, ist das ganze Thema DSGVO und Website mit professionellen Datenschutz-Berater*innen zu klären.
Wird die eigene Website geschäftlich, also zur eigenen Darstellung und Kundenwerbung benutzt, ist es auch jenseits des Datenschutzthemas eine gute Idee, den Aufbau und die Betreuung Profis zu überlassen. Aber egal, ob selbst gestrickt oder von der Webdesignerin betreut: Ihr müsst wissen, was auf der eigenen Seite passiert, weil ihr genau dafür verantwortlich seid und nach der DSGVO erklären müsst, was dort mit personenbezogenen Daten passiert. Auch deshalb kann es schlau sein, mal mit jemandem zu reden, der oder die sich mit Webdesign auskennt und damit, was die einzelnen Programme, Module, Datenbanken und Plugins eigentlich mit den Daten der Website-Besucher veranstalten. Ein Zeit-Artikel vom 18. Mai 2018 umreißt kurz die wichtigsten Schritte, auf die wir im Folgenden detaillierter eingehen: Datenschutzerklärung erstellen, Plugins prüfen, gegebenenfalls Vertrag zur Auftragsdatenverarbeitung schließen, (mindestens) bei Formularen eine Verschlüsselung aktivieren. Die entsprechenden Basis-Informationen verbreiten auch Webhoster (Beispiel: Ionos/1&1-Checkliste).
Die Informationspflichten
Die Datenschutz-Grundverordnung hat neue Anforderungen bei allen Webauftritten mit sich gebracht. Zu denen gehört erst einmal eine erweiterte Datenschutzerklärung, die per Mausklick von jeder einzelnen Webseite eines Internetauftritts aus erreichbar sein muss. Es reicht, wenn auf jeder Webseite unten ein Link zu dieser Erklärung eingefügt wird. Damit sie von allen Lesenden verstanden wird, muss sie übersichtlich gestaltet und verständlich geschrieben sein.
Die Erklärung selber muss unter anderem darauf hinweisen, dass und welche personenbezogenen Daten erhoben werden. Also beispielsweise der Hinweis auf: Server-Logfiles, IP-Adressen, Datum und Dauer des Besuchs der Homepage, besuchte Seiten, Cookies, Google Analytics, Social-Media-Plugins, Newsletteradressen, Daten aus Kontaktformularen, nicht anonyme Kommentar-/Bewertungsbereiche, geschützte Mitgliederbereiche etc. Für alle personenbezogenen Daten ist der Umgang mit ihnen zu beschreiben. Nochmal: Es geht nicht um jede Funktion der Seite, es geht um alle Bereich der Website, auf denen personenbezogene Daten verarbeitet werden.
Die Datenschutzerklärung bezieht sich auf alle Datenverarbeitungsvorgänge, die auf der Webseite stattfinden. Sie braucht aber kein juristisches oder technisches Kauderwelsch enthalten. Im Gegenteil: Sie muss allgemein verständlich, übersichtlich und ansprechend gestaltet sein. Alle darin enthaltenen Links müssen stimmen und sollten nicht ins Leere führen.
Informationen auf beruflich genutzten Seiten
Wer geschäftliche Webseiten wie Online-Shops oder Online-Beratungen betreibt, hat umfassende Informationspflichten gegenüber den Nutzerinnen und Nutzern. In diesem Fall muss die Datenschutzerklärung thematisieren und beantworten:
- welche Art von Daten erhoben wird,
- den Umfang der Daten,
- den Zweck der Erhebung,
- die konkrete Verarbeitung oder Nutzung der Daten,
- die Rechtsgrundlage der Verarbeitung,
- die Speicherdauer,
- das Recht auf Auskunft, Berichtigung oder Löschung,
- etwaige Widerrufsrechte,
- Namen und die Kontaktdaten eines in der Firma für Datenschutz Verantwortlichen,
- gegebenenfalls die Kontaktdaten des oder der Datenschutzbeauftragten.
Sich um diese Pflichten zu kümmern, ist sehr sinnvoll, weil nicht nur (potenzielle) Kunden, sondern auch Mitbewerber darauf einen Anspruch haben könnten. Das ist durchaus umstritten, aber ein Teil der Literatur und erste Urteile besagen: Auch Mitbewerber können wettbewerbsrechtlich gegen Seiten vorgehen, etwa wenn diese keine oder nur eine unvollständige Datenschutzerklärungen enthalten. Am ehesten gibt es natürlich Probleme, wenn gar keine Datenschutzerklärung existiert, Fehler und oder fehlende Angaben hingegen werden nach Umfang der tatsächlichen Auswirkungen sanktioniert. So hat etwa das Landgericht Würzburg Mitte September 2018 entschieden Az. 11 O 1741/18, dass Mitbewerbern bei Verstößen ein Abmahnanspruch nach § 8 Abs. 1 UWG zusteht. In diesem Fall haben sich zwei Rechtsanwälte beharkt, dem Unterlegenen wurde ohne weitere Begründung, warum das Wettbewerbsrecht hier greift, gerichtlich "für jeden Fall der Zuwiderhandlung die Verhängung eines Ordnungsgeldes von bis zu 250.000,00 €, ersatzweise Ordnungshaft bis zu 2 Jahren, sowie die Verhängung einer Ordnungshaft von bis zu 6 Monaten angedroht". Entgegengesetzt entschied Anfang August 2018 das Landgericht Bochum (Az. I-12 O 85/18): Nach dessen Ansicht steht einem Mitbewerber kein Unterlassungsanspruch zu, "weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält". In der Folge haben auch das LG Magdeburg, Wiesbaden und im April 2019 schließlich das LG Stuttgart entsprechend entschieden. Das OLG Stuttgart hingegen stellte am 27.2.2020 (Az. 2 U 257/19) fest, dass eine (in diesem Fall für ebay-Angebote fehlende) Datenschutzerklärung sehr wohl auch durch Mitbewerber abmahnfähig ist". – Einstweilen bleibt daher strittig, ob die Konkurrenz DSGVO-Verstöße abmahnen darf oder dies ein Privileg von Behörden und Verbänden ist und es führt so oder so (eben auch aus wettbewerbsrechtlichen Gründen) kein Weg daran vorbei, eine Erklärung zu erstellen. Ob ein Wettbewerber die Angaben im Detail überhaupt überprüfen und entsprechend angreifen kann, ist eine andere Frage. Hier empfiehlt es sich, im Zweifel nicht zu detaillierte Beschreibungen zu erstellen, sondern dort nur absolute Basics zu beschreiben.
Muster-Datenschutzerklärungen
Es gibt verschiedene Muster und Vorlagen, die in der Regel auch selbst auf ihren größten Haken hinweisen: Die Datenschutzerklärung muss immer auf die eigenen Gegebenheiten angepasst werden. Das bedeutet konkret, dass der Umgang mit den Zugriffsdaten, Cookies etc. vor dem Erstellen der Datenschutzerklärung eigentlich mit dem Websitebetreiber oder Seitenprovider geklärt werden muss. Wer auf die Schnelle irgendeine beliebige Erklärung aus einem Muster zusammenschustert, um beispielsweise ein Abmahnrisiko zu mindern, muss daher zügig das Problem heilen und eine korrekte Erklärung auf die Seite bringen.
Die kursierenden Vorlagen – insbesondere solche mit Erläuterungen – aber auch Erklärungen von Kolleginnen helfen, in das Thema Datenschutz einzusteigen. Ein relativ kurzes, verständliches Muster gibt es bei datenschutz.org, ein ausführliches Muster bei der Uni Münster. Wiederum eine Basic-Vorlage gibt's als Standard-Erklärung von Lexware. – Wer auf die Schnelle eine konkrete, auf die eigene Seite besser zugeschnittene Erklärung basteln will, kann hierfür Internet-Tools ausprobieren, beispielsweise den datenschutz-generator.de. (Der ist für Kleinunternehmen und Privatpersonen kostenlos.)
Nochmal: Es bleibt eure Pflicht dafür zu sorgen, dass die Erklärung auch die Realität der eigenen Seite abbildet. Es reicht nicht, nicht zu wissen, was auf der Website im Hintergrund an Datenerhebungen passiert. Und es gibt keine Möglichkeit, eigene Informationspflichten ganz oder teilweise durch (vermeintliche) Willenserklärungen der Nutzerinnen und Nutzer zu umgehen.
Verschlüsselung von Kontakt- und Bestelldaten
Auf einer Website sind Kontakt- und Bestelldaten, die dort eingegeben werden, besonders gefährdete personenbezogene Daten. Um sie zu schützen, ist eine SSL/TSL-Verschlüsselung (siehe Wikipedia-Erläuterungen) zumindest für die Kontakt- und Bestelldatenformulare erforderlich. Diese externe Hintergrundinformation erläutert das Thema.
Web-Hosting und Analysetools
Für den eigenen Webauftritt werden zumeist die Angebote von externen Dienstleistern genutzt, die sowohl den Webauftritt technisch betreuen wie auch die Speicherkapazität zur Verfügung stellen. In einem solchen Fall liegt eine Auftragsverarbeitung vor und es muss beim Verarbeiten personenbezogener Daten unbedingt ein entsprechender Vertrag geschlossen werden. Größere Provider haben hier eigene Muster, die lediglich unterschrieben werden müssen. Allerdings heißt das nicht, dass nun der Provider die Verantwortung für alle Datenpannen übernimmt: Datenschutzrechtlich bleibt der Auftraggeber der Verarbeitung verantwortlich. – Der Frage "Brauche ich einen Vertrag über Auftragsverarbeitung?" widmet sich die Seite Onlinehändler-News.
Auch die Weitergabe von Nutzungsdaten bei der Verwendung von Google Analytics sehen Datenschützer als eine Auftraggeber- und Auftragnehmerbeziehung beim Datentransfer. Auf dieses Thema stürzen sich auch Abmahnanwälte – siehe bspw. hier – und es macht absolut Sinn, Analytics nicht mehr zu verwenden, wenn es nicht gebraucht wird oder aber mit Google einen Vertrag zur Auftragsverarbeitung abzuschließen sowie ein paar Anpassungen bei Analytics und bei der eigenen Datenschutzerklärung vorzunehmen. – Eine leicht lesbare umfassende Anleitung hierzu findet sich bei datenschutzbeauftragter-info.de. Eine weitere gute Quelle zum gleichen Thema ist datenschutz.org.
Erste Informationen, wie wettbewerbsrechtliche Abmahnungen eingeschätzt werden können, finden sich hier bei WBS-law und hier bei e-recht24 und natürlich auch bei vielen anderen auf IT-Recht spezialisierten Kanzleien. Letztlich wird man – solange die Gemengelage nicht ansatzweise geklärt ist – zur Abwehrung von Abmahnungen auch anwaltliche Hilfe brauchen. Im September 2018 sahen die meisten Juristen aber eine Entspannung beim Thema Abmahnungen. Nicht zuletzt, weil zu diesem Zeitpunkt nicht klar war, ob Verstöße gegen die Informationspflichten überhaupt von Wettbewerbern abgemahnt werden dürfen, war die befürchtete Abmahnwelle ausgeblieben. Im Einzelfall raten die meisten Juristen, bei einer Abmahnung auf keinen Fall eine Unterlassungserklärung zu unterzeichnen, jedoch die abgemahnten Mängel umgehend zu beheben und zu überlegen, ob sich eine Zahlungsverweigerung der Anwaltsgebühr lohnt.
Cookie-Hinweise
(Nicht nur) wer Analysetools einsetzt muss zusätzlich beachten: Am 1.10.2019 entschied der Europäische Gerichtshof (EuGH) dass Cookies, die für den Betrieb der Website nicht notwendig sind, nur mit aktiver Einwilligung des Webseiten-Besuchers gesetzt werden dürfen (Rechtssache C 673/17). Der Bundesgerichtshof (BGH) der um diese Entscheidung gebeten hatte, hat anschließend am 28.5.2020 sein entsprechendes Urteil (Az. I ZR 7/16) gesprochen.
Der Sachverhalt und die Urteilsbegründung klingen ein wenig kompliziert, aber es geht im Kern darum, wie die BGH-Pressemitteilung am Urteilstag schreibt, "dass keine wirksame Einwilligung ... vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss".
In der Praxis bedeutet das, so die kurze Zusammenfassung von SOS Datenschutz (der ausführliche, lesenswerte Informationen zum Cookie-Thema folgen), dass ein Hinweis auf jede Website gehört, die solche kleinen Textschnipsel verwendet, ohne dass das "unbedingt erforderlich ist", damit die Website das tut kann, was die Nutzenden ausdrücklich wünschen. Das gilt beispielsweise für den Cookie, den wir für den Login auf den geschützten Seiten dieses Ratgebers verwenden. Nicht notwendig hingegen sind alle Werbe- und Tracking-Cookies. Als Beispiele solcher Cookies nennt SOS Datenschutz: "Cookies aus Social-Media Plug-Ins wie Facebook, Instagram oder Google+ sowie Tracking- und Analysetools (z.B. Google Analytics). Wenn Sie diese setzen wollen, ist nun die informierte, aktive Einwilligung des Users erforderlich."
Blogs und Newsletter
Ein Blog benötigt wie jede Website eine Datenschutzerklärung, die von jeder Webseite des Blogs direkt erreichbar ist. Ein Newsletter muss datenschutzrechtlich drei Dinge erfüllen:
- Ein Newsletter darf nur verschickt werden, wenn der Empfänger bzw. Empfängerin ausdrücklich zugestimmt hat. Die Mehrheitsmeinung zu den bereits vor der DSGVO erfassten Newsletter-Abos lautet: Die dürfen fortgeführt werden, wenn die Erhebung datenschutzrechtlich korrekt erfolgte und die damalige Zustimmung nachweisbar ist.
- Eine Online-Anmeldung muss bei neuen Abonnements auf jeden Fall bestätigt werden – etwa durch eine Mail an den Besteller, in der dieser die Anmeldung ausdrücklich bestätigen muss.
- Empfänger*innen müssen sich jederzeit und einfach vom Newsletter abmelden können.
Weitere Informationen
Zusätzliche, teilweise ausführliche und abstraktere Beschreibungen der datenschutzrechtlichen Anforderungen bei eigenen Websites, Blogs, Newslettern usw. finden sich unter folgenden Links:
- Infos des Bundesministeriums für Wirtschaft
- ver.di-Medienzeitschrift zur Website-Anpassung
- Datenschutzerklärung für Website, Blog und Co. (datenschutz.org)
- Datenschutzkonformer Netzauftritt – unter technischen Gesichtspunkten (security-insider)
- Datenschutzbeauftragter Check (juraforum)