Leitfaden für eine datenschutzkonforme Webseite – Teil 1
Geschrieben von Anna Tiede, veröffentlicht am 30.06.2020Verantwortlicher und Programmierer einer Website geraten bei Inbetriebnahme einer Webseite auf vielfältigste Art und Weise in Kontakt mit dem Datenschutzrecht. Denn aus der DSGVO ergeben sich auch für den elektronischen Geschäftsverkehr zahlreiche Pflichten und Anforderungen. Die Einhaltung dieser ist von Beginn an in Layout und Funktionen zu implementieren. Dieser Blogbeitrag soll einen kurzen Überblick über die wichtigsten Aspekte verschaffen und fungiert gleichzeitig als Navigationshilfe um vertiefende, frühere Artikel von uns zu verlinken.
Im hier vorliegenden Teil 1 soll es neben den rechtlichen Grundlagen, die sich aus dem Telemediengesetz ergeben insbesondere um Datenschutzaspekte hinsichtlich der Usability der Webseite gehen. Beispielsweise wird diskutiert, wie und unter welchen rechtlichen Bedingungen soziale Medien auf Webseiten einzubinden sind.
Informationspflichten und notwendige Angaben
Bei den Informationspflichten gegenüber Nutzern einer Webseite ist nicht die DSGVO erster gesetzlicher Anknüpfungspunkt, sondern das Telemediengesetz (TMG). Dieses setzt im Recht der elektronischen Kommunikation den grundsätzlichen Rahmen und gibt Betreibern von Webseiten diverse Informationspflichten vor.
Aufgelistet werden diese Informationspflichten in § 5 TMG – und aus dem ersten Absatz dieser Vorschrift leitet sich – im Zusammenspiel mit § 312c BGB – die Impressumspflicht ab: Der Verantwortliche muss die vom Gesetzgeber dezidiert vorgegebenen Kontaktdaten prominent und einfach erreichbar auf der Webseite einbinden (idealerweise innerhalb von zwei Klicks). Außerdem zu hinterlegen sind – ganz abhängig von Art der Webseite – ggf. die AGB, der Gerichtsstand und Angaben zur Streitschlichtung.
In das Datenschutzrecht wird durch §13 Abs. 1 TMG eingewirkt. Der Websitebetreiber muss demnach direkt zu Beginn einer Datenverarbeitung umfassend über Art, Umfang, Verwendung und Zwecke der Datenerhebung unterrichten. Für die Praxis bedeutet das, dass jede Webseite eine so genannte Datenschutzerklärung zum Abruf bereithalten muss. (Blogbeitrag: https://webersohnundscholtz.de/datenschutzerklaerung-unterschied-zu-agb/). Denn einer Datenschutzerklärung kommt die Bedeutung zu, die Datenverarbeitungen umfassend zu erklären und dem Betroffen, im Rahmen dessen, die zugrunde liegenden Rechtsgrundlagen, die Verantwortlichkeiten sowie seine Rechte darzulegen.
Cookies
Zur benutzerfreundlichen Konfiguration einer Webseite ist es nahezu unerlässlich Cookies einzusetzen. Diese kleinen Textdateien, die im Browser gespeichert werden, ermöglichen das Markieren und Wiedererkennen eines Nutzers. Auf diese Weise können etwa Warenkörbe und LogIn-Details seitenübergreifend gespeichert werden, es ist aber auch möglich, durch Cookies eine Analyse des Nutzungsverhaltens oder Werbe- und Marketingmaßnahmen durchzuführen.
Die Rechtslage hat sich erst kürzlich deutlich verschärft: So ist nun das Einholen einer Einwilligung erforderlich, sofern es sich nicht um technisch notwendige Cookies handelt. Daher muss unbedingt ein Consent-Banner eingebettet werden, welcher sicherstellt, dass einwilligungspflichtige Cookies wirklich erst dann gesetzt werden, wenn der Nutzer seine Zustimmung erteilt hat (sogenannter Opt-In). Eine Übersicht über Beispiele für nicht unter dem Einwilligungsvorbehalt stehende Varianten hat unlängst der Datenschutzbeauftragte Baden Württembergs in einem FAQ aufgestellt. Für alle anderen Cookies gilt die grundsätzliche Unzulässigkeit, sofern der Nutzer nicht eingewilligt hat.
Dieser Grundsatz erstreckt sich übrigens nicht nur auf Cookies, sondern auch auf alle anderen Verarbeitungen, die den Browser des Nutzers involvieren; wie etwa Fingerprints oder das Verarbeiten von IP-Adressen.
Anmeldung auf der Website: Kontakt, Registrierung, Bewerbungen
Wird dem Nutzer die Möglichkeit gegeben, einen eigenen Account auf der Webseite anzulegen, so ist auch hier der Datenschutz zu beachten. Es gelten beim Konfigurieren eines Kontaktformulars oder Anmeldeformulars und ähnlicher Eingabemasken die Gebote von Datenminimierung (nur so viel erheben wie notwendig) und Speicherbegrenzung (Löschung nach abgeschlossenem Vorgang oder einer bestimmten Zeit). Außerdem sind dem Nutzer auch an dieser Stelle Links bereitzustellen, die auf Datenschutzerklärung, Impressum und AGB verweisen. Wichtig: Die vom Nutzer eingegebenen Daten sollten verschlüsselt werden. Dies kann etwa durch das SSL Zertifikat der Webseite erfolgen um eine sichere End-to-end Übertragung zu gewährleisten. Wird ein solcher Verschlüsselungsmechanismus nicht eingesetzt, liegt hierin ein potenzieller Abmahnungsgrund.
Die gesetzliche Rechtfertigung für die Datenverarbeitung hängt ganz vom zugrundliegenden Zweck ab. Im Falle einer Kontaktanfrage oder der Registrierung kann von einer (vor)vertraglichen Maßnahme nach Art. 6 Abs. 1 S.1 lit. b) DSGVO ausgegangen werden. Bei Daten, die der Nutzer im Rahmen einer Bewerbung angegeben hat, ist hingegen Art. 88 DSGVO i.V.m. § 26 BDSG einschlägig.
Newsletter
Ein beliebtes Mittel um Kunden, Besucher und Interessierte auf dem Laufenden zu halten, sind Newsletter. Durch diese kann (zumeist in Form einer E-Mail) der akquirierte Empfängerkreis über Neuigkeiten, spezielle Aktionen und sonstige Inhalte informiert werden.
Allerdings werden Newsletter durch den Gesetzgeber stark reglementiert. Sowohl das Gesetz gegen den unlauteren Wettbewerb (UWG), als auch die DSGVO setzen klare Grenzen. §7 Abs. 2 Nr. 3 UWG i.V. m. §7 Abs. 3 UWG legt etwa fest, dass Werbung in elektronischer Form nur versandt werden darf, wenn der Betroffene hierzu eingewilligt hat (Opt-In) oder als Bestandskunde hiermit rechnen muss, da er bei Vertragsschluss über diese Möglichkeit informiert wurde (Soft-Opt-In).
Wird der Versand eines Newsletters durch eine Einwilligung legitimiert, ist die DSGVO einschlägig und die in Art. 7 DSGVO genannten Kriterien für eine wirksame Einwilligung müssen eingehalten werden: Freiwilligkeit, Nachweisbarkeit, Widerrufbarkeit und Bestimmtheit. Das bedeutet etwa, dass der Newsletter erst nach einem Double-Opt-In versendet werden darf, der Nutzer also eine zweite Bestätigung erteilen muss. Für weitere Informationen empfehlen wir unseren Blogbeitrag: Zulässigkeit von Newslettern.
Oftmals werden Newsletter über Versanddienstleister wie etwa MailChimp oder Emarsys realisiert. Diese müssen – neben der genauen Erläuterung der Double-Opt-In bzw. Soft-Opt-In Logik – daher auch unbedingt in der Datenschutzerklärung aufgeführt werden.
Blog
Sollen die Kunden und Interessenten nicht nur über einen Newsletter auf dem Laufenden bleiben, sondern auch in Form eines Blogs Informationen zu neuen Entwicklungen, Leistungen oder Produkten erhalten, sind wiederum datenschutzrechtliche Maßstäbe einzuhalten.
Zunächst ist hierbei ganz entscheidend, in welcher Form der Blog betrieben wird: Rein informierend oder interaktiv? Denn hiervon hängt ab, inwiefern es zur Verarbeitung personenbezogener Daten kommt und damit zur Anwendung der DSGVO. Sofern der Blog keine Kommentarfunktion für Nutzer bietet und gleichsam einer gewöhnlichen Website nur Texte, Bilder etc. enthält, liegt kein dem Datenschutz unterfallendes Instrument vor.
Wenn der Blog aber eine Kommentarfunktion enthält, dann liegt in aller Regel die Verarbeitung personenbezogener Daten vor. Denn zumeist wird ein solcher Kommentar mit einem Namen oder zumindest Pseudonym verbunden und beim Absenden der Nachricht können Daten wie etwa die IP-Adresse, der Standort sowie Identifikationsmerkmale von verwendeter Hardware und Browser erhoben und verarbeitet werden. Wie im Absatz zu den Cookies beschrieben, gelten auch solche technischen Parameter und Identifikatoren schon als einwilligungspflichtige Daten und unterfallen damit Art. 6 Abs. 1 S.1 lit. a) DSGVO.
Als Faustregel gilt somit, dass sämtliche Datenverarbeitungen im Rahmen der Kommentarfunktion eines Blogs nur zulässig sind, wenn der Nutzer in diese zugestimmt hat.
Online Shop
Viele Webseiten dienen dem Zweck, Produkte zu bewerben und zu vertreiben. Auch solche Online-Shops sind an datenschutzrechtlicher Kompatibilität zu messen. Schließlich werden spätestens beim Kauf personenbezogene Daten des Kunden erhoben und weiterverarbeitet: Ohne Adresse, Zahlungsmittel, und Kontaktangaben wie etwa die E-Mail-Adresse lässt sich ein Kauf nur schwer abwickeln.
Schon im Shop selbst, vor Bestellabschluss, lauern aber einige Tücken. So werden zur benutzerfreundlichen und seitenübergreifenden Ausgestaltung der Customer Journey im Online-Shop, in aller Regel Cookies eingesetzt, die den Warenkorb abspeichern oder vom Kunden eingegebene Suchanfragen oder Produktspezifikationen wie Größe, Farbe etc. Abspeichern. Diese Cookies sind differenziert zu bewerten. Speichern sie lediglich Produkte im Warenkorb ab, so sind sie al technisch-notwendig anzusehen und können damit auf Grundlage des berechtigten Interesses aus Art. 6 Abs. 1 S. 1 lit. f) legitimiert werden. Eine Analyse des Kaufverhaltens, um zum Beispiel späteres Retargeting (bewerben des vom Kunden angeschauten, aber nicht gekauften Produktes) zu betreiben, ist jedoch unzulässig, sofern keine Einwilligung des Betroffenen nach Art. 6 Abs. 1 S. lit. a) vorliegt. Idealerweise sollten diese Verarbeitungen daher im Cookie Banner thematisiert und über eine Einwilligung legitimiert werden.
Wenn es zur Bestellung kommt, liegt eine vorvertragliche Maßnahme vor, die es i. S. d. Art. 6 Abs. 1 S.1 lit. b) DSGVO möglich macht, die zur Bestellung erforderlichen Daten zu erheben. Hierzu zählen etwa die Postanschrift (erforderlich für den Warenversand) und die E-Mail-Adresse (erforderlich für die Bestellbestätigung). Ob dies auch für weitere Informationen wie etwa Telefonnummer, Anrede oder alternative Kontaktmöglichkeiten muss im Einzelfall für den jeweiligen Online Shop geprüft werden.
Auch die mit der Zahlungsart verbundenen Datenerhebungen sind zur Vertragsabwicklung in aller Regel erforderlich. Werden Drittanbieter (z.B. Klarna, PayPal) eingesetzt, müssen mit diesen Drittanbietern Auftragsverarbeitungsverträge gem. Art. 28 DSGVO geschlossen werden. Eine Verwendung von Auskunfteien wie etwa der SCHUFA oder Creditreform ist zur reinen Vertragserfüllung häufig nicht unbedingt erforderlich. Daher ist in diesem Fall die Einwilligung des Kunden zur Legitimierung der Verarbeitung erforderlich.
Social Media:
Wenn Sie Ihre Social Media-Auftritte auf Ihrer Webseite integrieren möchten, gibt es datenschutzrechtlich wichtige Vorgaben, die Sie beachten sollten.
Sofern Ihr Social Media-Auftritt mittels eines Social Plugins integriert wird, sind Sie als Webseitenbetreiber und der Social Media-Dienst nach aktuellster EuGH-Rechtsprechung (Urteil vom 29. Juli 2019) gemeinsam für die Datenverarbeitung verantwortlich. Das heißt, dass Sie als Webseitenbetreiber für die Datenerhebung und Datenübermittlung auf der Webseite Verantwortung tragen und der Social Media-Dienst für die weitere Verarbeitung der Daten.
Da Social Plugins bereits Nutzerdaten von der Webseite generieren, obwohl der Social Media-Button noch gar nicht vom Nutzer angeklickt wurde, bedarf es für das Setzen solcher Plugins einer Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO. Gleiches gilt, wenn Sie ein Video einer Social Media-Plattform (z.B. YouTube, Vimeo) mittels eines Social Plugins auf Ihrer Webseite einbinden möchten. Eine datenschutzkonforme Umsetzung kann auf unterschiedlichen Wegen erfolgen:
- Sie können Ihre Webseite so einstellen, dass zunächst ein Cookie-Banner geschaltet wird, der über die Social Plugins und Cookies informiert und mit einem „Zustimmen“-Button für das Setzen von Plugins versehen ist. Ihr Programmierer muss dann Ihre Webseite so einstellen, dass die Social Plugins erst nach dem Klicken des Nutzers auf den „Zustimmen“-Button gesetzt werden.
- Eine technische Lösung, die diesen Anforderungen gerecht wird, ist die 2-Klick-Lösung. Dabei wird der Social Media-Button oder das Video zunächst nur als Bild ohne Funktion eingebunden. Klickt der Nutzer dann auf das Bild, wird die Einwilligung eingeholt, mit der dann der echte Button nachgeladen wird.
Mögliche Dienste, die Sie für diese Variante einbinden können, sind: Shariff und AMPZ. - Sie können auf das Verwenden von Social Plugin auf Ihrer Webseite verzichten und stattdessen von dieser lediglich auf Ihren Social Media Auftritt verlinken. In diesem Fall findet keine automatische Übertragung von Besucherdaten statt und es besteht keine gemeinsame Verantwortlichkeit für die Datenverarbeitung.
Sie müssen außerdem in Ihrer Datenschutzerklärung ausdrücklich darauf hinweisen, dass Daten erhoben und dem jeweiligen Social Media-Anbieter weitergeleitet werden. Das hat der EuGH ausdrücklich entschieden. Für einen Überblick lesen Sie auch gern unseren Blogbeitrag: https://webersohnundscholtz.de/eugh-entscheidung-einwilligung-fuer-social-plugins/
In unserem zweiten Teil des Leitfadens wird es dann unter anderem um Analyse- und Marketingtools und die Tell-a-friend-Funktion gehen.