Webseiten: Datenschutz-Anforderungen nach DSGVO und TDDDG (bis 13.05.2024 TTDSG)
Webseitenbetreiber müssen besonders auf Datenschutz achten: Zentrale Datenschutzvorschrift ist die DSGVO, die den Schutz personenbezogener Daten regelt.
Zudem ist das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) zu beachten. Dieses ist am 14.05.2024 in Kraft getreten und hat das seit 01.12.2021 geltende Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) abgelöst.
Inhaltsnavigation
- Webseiten unterliegen Anforderungen mit der DSGVO und mit dem TDDDG
- Tipps der IHK München für gängige Website-Techniken und Tools
- Website-Hosting und Hoster
- SSL-Verschlüsselung (https)
- Log-Dateien auf dem eigenen Server
- Kontaktformulare in der Website
- Online-Handel mittels Gastzugang
- Tracking- und Analyse-Software
- Social Media Plugins wie Facebook & X
- Eingebundene Videos von Youtube & Vimeo
- Cookies und Cookie-Hinweise
- Externe Schriften und Dateien wie z. B. Google Fonts
- Datenschutzerklärung
- Datenweitergabe an externe Dienstleister
- Datenverarbeitungsverträge mit Auftragsverarbeitern
- Zusammenfassung
Webseiten unterliegen Anforderungen mit der DSGVO und dem TDDDG
Die Regeln der DSGVO (Datenschutzgrundverordnung) gelten seit dem 25. Mai 2018 einheitlich für alle im EU-Raum aktiven Unternehmen. Dies bedeutet: Soweit nicht Spezialregelungen greifen, sind die erhöhten Anforderungen der DSGVO zu beachten. Bei Missachtung der Datenschutz-Bestimmungen drohen empfindliche Geldstrafen von bis zu 20 Millionen Euro. Internetseiten unterliegen den datenschutzrechtlichen Bestimmungen, da dort stets personenbezogene Daten (z. B. eine IP-Adresse) verarbeitet werden. Dabei ist wichtig: Nach dem Datenschutzrecht ist eine Verarbeitung von Daten natürlicher Personen zunächst generell verboten, es sei denn ein Gesetz erlaubt dies ausdrücklich!
Neu: Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)
Zudem ist das Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) zu beachten. Dieses soll die Privatsphäre und Vertraulichkeit von Endeinrichtungen schützen, welche Endnutzer verwenden.
Dabei ist wichtig: Der Schutzbereich ist weiter, denn er umfasst alle Informationen (personenbezogene wie nicht-personenbezogene) und findet Anwendung bei allen Personen (natürlichen wie juristischen).
- Den Vorgaben des TDDDG unterliegen digitale Dienste ( bis 13.05.2024 Telemediendienste genannt) wie z. B. Websites, Online-Angebote, über die direkt Waren bzw. Dienstleistungen bestellt werden können, Internetsuchmaschinen und neu sog. Over-the-top-Dienste (OTT-Dienste) wie z. B. VoIP-Telefonie, Messenger-Dienste, Chat-Funktionen eines Online-Angebots, Videokonferenzsysteme und webbasierte E-Mail-Dienste.
- „Anbieter von digitalen Diensten“ ist jede natürliche oder juristische Person, die eigene oder fremde digitale Dienste erbringt, an der Erbringung mitwirkt (Neu: erweiterter Anwendungsbereich!) oder den Zugang zur Nutzung von eigenen oder fremden digitalen Diensten vermittelt“.
- Keine digitale Dienste und damit nicht vom TDDDG umfasst sind solche, die ausschließlich nur Inhalte (z. B. Nachrichtenportale) anbieten.
Was müssen Sie bei Ihrem Internetauftritt beachten?
Bei Missachtung des TDDDG drohen Geldbußen von bis zu 300.000,- EUR. Die Bußgeldsanktionen nach DSGVO und TDDDG stehen gleichberechtigt nebeneinander, können damit gleichzeitig von einer Datenschutzaufsichtsbehörde angewendet werden.
Für einen datenschutzkonformen Internetauftritt gibt es einiges zu beachten. Zum Beispiel ist eine rechtskonforme Datenschutzerklärung verpflichtend, welche die nach DSGVO erweiterten Angaben beinhalten muss.
Neu nach TDDDG haben Anbieter von digitalen Diensten (z. B. Website-Anbieter) für ihre digitalen Dienste Folgendes zu beachten:
- Technische und organisatorische Vorkehrungen (§ 19 TDDDG) Diese umfassen
- den Schutz der Nutzer gegen Kenntnisnahme Dritter
- die Möglichkeit, einen genutzten Dienst jederzeit beenden zu können
- die Möglichkeit einer anonymisierten oder pseudonymisierten Dienstenutzung, soweit dies technisch möglich und zumutbar ist
- Anzeigepflicht, bevor eine Verantwortliche Stelle (z. B. ein Websitebetreiber) Nutzer zu einem anderen Anbieter von digitalen Diensten weiterleitet
- Grundsätzlich besteht eine Einwilligungspflicht bei einem Zugriff auf ein Endgerät, sofern
- Informationen in einer Endeinrichtung eines Nutzers gespeichert oder auf die dort gespeicherten Informationen zugegriffen wird und
- keine der beiden Ausnahmen des § 25 Abs. 2 TDDDG greift, d. h,
- alleiniger Zweck des Zugriffs auf oder der Speicherung der Informationen in Endeinrichtungen betrifft die Übertragung der Nachricht über ein öffentliches Telekommunikationsnetzwerk oder
- Informationen (via Cookies und vergleichbaren Technologien eingeholt) sind unbedingt erforderlich, damit ein Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann.
Praxistipp
2-Stufen-Prüfung
Prüfen Sie zweistufig, wenn Sie Daten via Cookies oder vergleichbaren Technologien verarbeiten (u. a. erheben):
- Stufe 1:
Prüfung nach TDDDG – Speichern von und Zugriff auf Informationen (personenbezogene wie nicht-personenbezogene) in Endeinrichtungen:
Besteht Einwilligungspflicht oder Einwilligungsfreiheit nach TDDDG? - Stufe 2:
Prüfung nach DSGVO
Entspricht die Verarbeitung der so gewonnenen personenbezogenen Daten der DSGVO (u. a. auf welche Rechtsgrundlage wird die Datenverarbeitung gestützt?).
Digitale Dienste - Prüfschritte und Vorgehensweise
- Verschaffen Sie sich einen Überblick über Zugriffe auf Endeinrichtungen
- Bewerten Sie die Dienste neu gem. TDDDG (1. Stufe)
- Grundsatz der Einwilligungspflicht (§ 25 Abs. 1 TDDDG)
- Prüfen Sie, ob Ausnahmen von der Einwilligungspflicht einschlägig sind (§ 25 Abs. 2 TDDDG)
Nur bei technisch notwendigen Cookies und vergleichbaren Technologien
- Sicht des Nutzers maßgeblich bei „technisch notwendig“
=> Dieser Maßstab gilt auch für Sicherheits-Cookies/vergleichbare Technologie - Alleiniger Zweck? Vorsicht bei Mehrzweckcookies!
- Unbedingt erforderlich? – Ausnahme greift nur für diese Zugriffe
- Kein Abgleich mit anderen Verarbeitungen
- Gültigkeitsdauer begrenzen
- Datenschutzerklärung ggf./ Consent- Banner anpassen
Beispiele für notwendige Cookies
z. B.
klassische Session-Cookies (Warenkorb, User-Input), Authentifizierung, Anpassung der Benutzeroberfläche, Sicherheit (ACHTUNG: Sicht des Nutzers!)
Beispiele für nicht notwendige Cookies
z. B.:
Tracking-Cookies (Verfolgung des Nutzerverhaltens für Marketingzwecke im Internet), Cookies zur Reichweitenmessung und Websitenoptimierung; Cookies zur Einbindung von Drittinhalten oder Drittdiensten
Tipps der IHK München für gängige Website-Techniken und Tools
Die folgenden Tipps der IHK München und Oberbayern helfen Unternehmen und Webseiten-Betreibern bei der Anpassung ihres Webauftritts an die neuen Regeln.
Die datenschutzrechtlichen Vorgaben der DSGVO gelten, sobald es sich bei den verarbeiteten, insbesondere erhobenen, Daten um personenbezogene Daten handelt. Nach Art. 4 Nr. 1 DSGVO sind alle Informationen personenbezogen, die sich auf eine identifizierbare oder identifizierte natürliche Person beziehen. Zu diesen Daten gehören:
- Name und Anschrift
- Angaben wie Alter, Geschlecht und Einkommen
- Daten über das Surfverhalten wie Suchanfragen und Browserverlauf
- IP-Adressen und sonstige User-Daten
- E-Mails, Videos und Fotos
- Daten, die mithilfe von Tracking-Software entstehen
- Bestellverlauf in einem Online-Shop
- Im Rahmen der DSGVO müssen Betreiber von Webseiten aller Art ihren Internetauftritt auf Konformität prüfen und gegebenenfalls auch das Newsletter-System, sofern dies in den Internetauftritt integriert ist.
Die datenschutzrechtlichen Vorgaben des TDDDG gelten für Anbieter von digitalen Diensten und schützen die Privatsphäre und Vertraulichkeit von Endeinrichtungen. Eine "Endeinrichtung“ ist jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten; sowohl bei direkten als auch bei indirekten Anschlüssen kann die Verbindung über Draht, optische Faser oder elektromagnetisch hergestellt werden; bei einem indirekten Anschluss ist zwischen der Endeinrichtung und der Schnittstelle des öffentlichen Netzes ein Gerät geschaltet.
Beispiele:
Zu Endeinrichtungen nach TDDDG gehören u. a. die Kommunikation über das Telefon, die Internetkommunikation über Laptops und sonstige mobile Endgeräte, Smart TV und smarte Anwendungen (IoT)
Website-Hosting und Hoster
Unternehmen mit Internetauftritt speichern die dort anfallenden Daten meist nicht auf einem eigenen Server, sondern nutzen den Service eines externen Dienstleisters (IT-Hoster). Der Content auf der Website ist über die Server des Providers öffentlich abrufbar. Alternativ hosten Unternehmen mit eigener IT-Abteilung und Hardware ihren Internetauftritt auf einem eigenen Server.
Was ist das Problem bei der Nutzung von Website-Hosting?
Im Rahmen des Hostings bei einem Provider speichert dieser unter anderem die Inhalte der Website und im Falle eines Online-Shops zudem Kunden- und Zahlungsdaten auf seinen Servern ab. Zum Teil logt dieser auch Tracking-Daten über das Besucherverhalten auf der Website. Daher findet eine Verarbeitung, insbesondere Erhebung und Übermittlung, der personenbezogenen Daten statt.
Ist ein AV-Vertrag mit dem Hoster notwendig?
Ja, bei einer Auftragsverarbeitung lässt ein Unternehmen (Verantwortlicher) personenbezogene Daten durch eine andere externe Stelle verarbeiten. Das Unternehmen bestimmt allein über die Zwecke und Mittel der Verarbeitung. Ein IT-Hoster, der im Auftrag eines Unternehmens dessen Daten verarbeitet, insbesondere speichert, zählt zu Auftragsverarbeitern (weisungsgebundene Verarbeitung kundenbezogener Daten). Somit ist ein Vertrag über die Auftragsverarbeitung (AV-Vertrag) zu schließen.
Hinweis: Ebenso gelten Tätigkeiten wie Webdesign, Datenkonvertierung und das Erstellen von Back-ups im Sinne der DSGVO als Auftragsverarbeitung. Nur falls gar keine personenbezogenen Daten verarbeitet (z. B. erhoben) werden, handelt es sich nicht um einen Fall der Auftragsverarbeitung und es ist kein AV-Vertrag erforderlich.
Sie betreiben selbst einen Server?
Ein AV-Vertrag ist ebenfalls mit einem Dienstleister zu schließen, den Sie mit der Wartung Ihres Servers beauftragt haben, wenn dieser im Rahmen der Wartung auf personenbezogene Daten zugreifen kann. Die Möglichkeit des Zugriffs reicht bereits aus. Kann hingegen der Zugriff auf die personenbezogenen Daten vollumfänglich ausgeschlossen werden, liegt keine Auftragsverarbeitung vor.
Fazit
Webseiten-Hosting bedeutet, dass der Seitenbetreiber einen AV-Vertrag mit dem Hosting-Anbieter zu schließen hat. Die Provider stellen dafür AV-Verträge bereit.
SSL-Verschlüsselung (https)
Die SSL-Verschlüsselung (Secure Sockets Layer) ermöglicht die sichere Datenübertragung zwischen Client und Server, zum Beispiel sollten die Registrierung und der Einkauf bei einem Online-Shop über eine sichere Verbindung erfolgen. Diese Art der verschlüsselten Verbindung ist nicht nur an der Bezeichnung „https“ zu erkennen, sondern auch an dem grünen Schloss neben der URL im Browser. Innerhalb der SSL-Zertifikate gibt es drei verschiedene Sicherheitsstufen, wobei die sicherste Stufe an einer grünen Adressleiste zu erkennen ist. Damit ist die Sicherheit auch nach außen hin sichtbar.
Was ist das Problem bei nicht verschlüsselten Websites?
Füllt der Besucher einer Internetseite beispielsweise ein Kontaktformular aus und versendet dieses, findet die Datenübertragung vom Client des Anwenders zum Server statt. Geschieht die Datenübertragung unverschlüsselt über http, können zum Beispiel Cyberkriminelle die Daten abfangen und für kriminelle Zwecke missbrauchen.
Welche Lösungsansätze gibt es?
Zur sicheren Datenübertragung zwischen Client und Server eignet sich daher die Möglichkeit zur Verschlüsselung. In der Regel reicht hier eine Transportverschlüsselung. Das BSI empfiehlt als angemessene und dem Stand der Technik entsprechend eine Verschlüsselung mindestens mittels TLS 1.2 (Verfahren der Verschlüsselung) per https (SSL-verschlüsselte Transportverbindungen). Für die Verschlüsselung muss der Webseitenbetreiber ein SSL-Zertifikat erwerben. In der Regel ist ein solches Zertifikat kostenpflichtig oder im Angebot des Hosting-Providers enthalten.
Alternativ existieren zeitlich befristete Angebote von Dienstleistern, die Sie manuell verlängern müssen. Ein kostenloses und zeitlich limitiertes Zertifikat ist für Betreiber kleiner Websites mit begrenztem Budget interessant. Auf die Vertrauenswürdigkeit des Dienstleisters ist zu achten.
Bei sensiblen Daten (z. B. solchen, die einem Berufsgeheimnis unterliegen) ist eine Datenübertragung über eine Ende-zu-Ende-Verschlüsselung (Inhaltsverschlüsselung) zu sichern.
Fazit
Sobald Sie auf Ihrer Website personenbezogene Daten erheben, sollte der Datenaustausch per https abgesichert sein. Mit dem kostenlosen https-Check des Bayerischen Landesamts für Datenschutzaufsicht können Sie überprüfen, ob Ihre Website ausreichend verschlüsselt ist. Unter anderem ist die Verschlüsselung für Online-Shops verpflichtend, da Kontaktdaten und Zahlungsinformationen verarbeitet werden.
Log-Dateien auf dem eigenen Server
Mit Log-Dateien überwachen und protokollieren Webseitenbetreiber die Aktivitäten der Seitenbesucher. Es findet die Speicherung aller Anfragen und Zugriffe auf Unterseiten mit Statusmeldungen statt. Die gesammelten Daten haben für Administratoren großen Wert, denn mithilfe der Log-Dateien lässt sich jeder erfolgreiche und erfolglose Zugriff nachvollziehen. Die Protokollierung ist ein bewährtes Mittel, um Fehler aufzuspüren und zum Beispiel 404-Fehler zu beseitigen (wenn Besucher eine nicht existierende Unterseite öffnen möchten).
Was ist das Problem mit Log-Dateien?
Eine Log-Datei dient der Speicherung personenbezogener Daten, genauer werden folgende Daten protokolliert:
- Uhrzeit zum Zeitpunkt des Seitenzugriffs
- URL der besuchten Website
- Menge der übertragenen Daten in Byte
- Information über die Quelle, über die Besucher auf die Seite gelangen
- Angabe des Browsers
- Information zum Betriebssystem
- Speicherung der IP-Adresse des Besuchers (in anonymisierter Form)
Die Verarbeitung dieser Daten darf wie auch sonst nur erfolgen, sofern es hierfür eine Rechtsgrundlage gibt.
Welche Lösungen gibt es für den Umgang mit Log-Dateien?
In der Datenschutzerklärung ist der Besucher der Website über die jeweilige Rechtsgrundlage zu informieren. Dabei gilt: Daten dürfen verarbeitet (insbesondere erhoben und ausgewertet) werden, wenn diese für die Sicherheit und Funktionsfähigkeit einer Website erforderlich sind. Derartige Daten dürfen nicht zur Auswertung der Verhaltensweisen der Besucher oder zur Profilbildung zum Einsatz kommen.
Fazit
Log-Dateien verarbeiten Informationen wie die IP-Adressen von Seitenbesuchern. Über die Nutzung der Log-Dateien müssen Sie in der Datenschutzerklärung informieren. Die Erklärung unterrichtet über die Verwendungszwecke der Server-Logfiles und der dort protokollierten Daten.
Kontaktformulare in der Website
Das Kontaktformular ist ein verbreiteter Service und vereinfacht Seitenbesuchern die Kontaktaufnahme mit dem Kundenservice des Unternehmens bzw. Betreibers der Website. Da Daten wie Name und Kontaktdaten abgefragt werden, erheben Sie mit einem Kontaktformular persönliche Daten und müssen Seitenbesucher deshalb zu Beginn der Nutzung über Art, Umfang und Zweck der Datenerfassung informieren. Dabei gilt:
- Nur notwendige Angaben abfragen (Grundsatz der Datenminimierung)
- Bei der Abfrage optionaler Angaben diese als freiwillig kennzeichnen
- Übermittlung der Daten möglichst über eine verschlüsselte Datenleitung („https“)
- Hinweis zu Kontaktformular in der Datenschutzerklärung
Was gibt es bei Kontaktformularen nach DSGVO und nach dem TDDDG zu beachten?
Die Datenverarbeitung, welche über Kontaktformulare auf Websites abgewickelt wird, ist personenbezogenen und damit in der Datenschutzerklärung zu beschreiben. Auf die richtige technische (eine verschlüsselte Datenverbindung) und inhaltliche Umsetzung ist zu achten.
Ferner ist diese einzelne Funktion „Kontaktformular“, welche nicht zum Kernbereich des Online-Angebots zählt, dahin zu prüfen, ob es sich hierbei um einen digitalen Dienst handelt, der ausdrücklich vom Nutzer gewünscht ist und damit einwilligungsfrei (s. o.) zur Verfügung gestellt werden kann.
Welche Lösungsansätze kommen infrage?
Die Verarbeitung personenbezogener Daten ist erlaubt, wenn es hierfür eine Rechtsgrundlage (z. B. Vertrag bzw. Vorvertrag oder Einwilligung) gibt (Art. 6 Abs. 1 DSGVO). Wie bisher sollte das Versenden der personenbezogenen Daten angemessen verschlüsselt per https erfolgen. Die Verschlüsselung über das SSL-Protokoll sollte dem aktuellen Stand der Technik entsprechen und mindestens per TLS 1.2 erfolgen.
Fazit
Betreiber einer Internetseite bieten Besuchern als Serviceleistung und Angebot (Rechtsgrundlage: vorvertragliches Schuldverhältnis) eine einfache Möglichkeit der Kontaktaufnahme. Hierbei sollten Websitebetreiber darauf achten, dass die Übertragung der persönlichen Daten über eine angemessen verschlüsselte Verbindung erfolgt. Die Datenschutzerklärung muss Informationen über die Zwecke sowie über Art und Weise der Datenverarbeitung enthalten.
Online-Handel mittels Gastzugang
Die Datenschutzaufsichtsbehörden (DSK) haben sich in ihrem DSK-Beschluss vom 24.03.2022 "Datenschutzkonformer Online-Handel mittels Gastzugang" darauf verständigt, dass Online-Händler/-innen auch den Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c) DS-GVO) berücksichtigen müssen. Damit haben diese stets ein Gastzugang anzubieten.
Denn sie dürfen für die Abwicklung eines einzelnen Geschäfts nur erforderliche Daten erheben. Dazu muss der Kunde bzw. die Kundin entscheiden, ob er/sie im Einzelfall insbesondere einmalig einen Vertrag abschließen oder eine dauerhafte Geschäftsbeziehung eingehen möchte. Grundsätzlich müssen Kunden und Kundinnen stets und für jede Bestellung frei entscheiden können, ob sie hierfür als sogenannter temporärer Gast geführt werden möchten oder ob sie bereit sind, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kunden- bzw. Kundinnenkonto verbunden ist.
Tracking- und Analyse-Software, Software zur Reichweitenmessung
Mithilfe von Tracking- und Analyse-Software wie Google Analytics und Matomo (ehemals Piwik) lernen Websitebetreiber viel über die Besucher ihrer Website und können ihren Internetauftritt zielgruppenspezifisch optimieren.
Was ist das Problem mit Tracking- und Analyse-Software sowie mit Software zur Reichweitenmessung?
Ist Software wie Google Analytics oder Matomo auf Ihrer Website aktiv, werden immer personenbezogene Daten (IP-Adressen) der Websitebesucher verarbeitet. Damit sind die Datenschutzbestimmungen zu beachten. Um die Dienste rechtskonform zu gestalten, müssen Sie Folgendes beachten.
Wie lassen sich Tracking- und Analyse-Software sowie Software zur Reichweitenmessung datenschutzkonform einsetzen?
Die Aufsichtsbehörden haben sich bundesweit dahin verständigt, dass Dienste zur statistischen Analyse nicht unbedingt erforderlich und damit nach TDDDG einwilligungspflichtig sind. Für eine Weiterverarbeitung dieser Daten benötigen verantwortliche Stellen ebenfalls eine Rechtsgrundlage (z. B. Einwilligung, Vertrag).
Software zur Reichweitenmessung
Die Tracking-Tools zur reinen Reichweitenmessung (Auswertung: ausschließlich das Nutzerverhalten auf der Website für den Websitebetreiber) werden nunmehr einwilligungspflichtig. Die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom November 2024 (OH Digitale Dienste 2024) führt hierfür eine Vielzahl von Begründungen auf, ohne konkrete Beispielsfälle für eine noch einwilligungsfreie reine Reichweitenmessung nach TDDDG zu nennen. Rechtsgrundlage hierfür ist § 25 Abs. 1 TDDDG. Die vor dem 01.12.2021 akzeptierte Opt-out-Möglichkeit wird nicht mehr als TDDDG-konform angesehen. Informationen zum Opt-Out-Verfahren.
Tracking- und Analyse-Software
Die Tracking-Tools, die nicht nur das reine Nutzerverhalten auf der Website tracken, sondern zudem ein umfassendes "Internetprofil" eines Websitennutzers erstellen, dürfen wie bereits bisher nur noch mit einer Einwilligung der Nutzer eingesetzt werden. Rechtsgrundlage hierfür ist § 25 Abs. 1 TDDDG.
Praxistipp
- Einholung einer Einwilligung über ein Consent-Banner
(ggf. auch für die auf eine Einwilligung gestützte Weiterverarbeitung dieser Daten) - Information über die Rechtsgrundlagen in der Datenschutzerklärung
- Dokumentation der Rechtsgrundlagen in der Verarbeitungsbeschreibung im Verzeichnis von Verarbeitungstätigkeiten
- Eine wirksame Einwilligung setzt voraus, dass die Nutzer vorab über die geplante Verarbeitungstätigkeit vollständig informiert werden und aktiv zustimmen. Vielfach dürfte eine Einwilligung nicht wirksam eingeholt werden können, weil Websitenbetreiber nicht wissen und damit Websitenbesucher auch nicht darüber informieren können, welche Daten genau ein Tracking-Tool-Dienstleister zu welchen Zwecken verarbeitet ("freiwillige informierte Einwilligung").
Google Analytics
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mit Beschluss vom 12.05.2020 den Einsatz von Google Analytics neu bewertet. Die DSK hat klargestellt, dass Google Analytics so weiterentwickelt wurde, dass Google hierüber für eigene Zwecke Daten (z. B. Nutzerdaten oder personenbeziehbare Gerätedaten) erhebt und verarbeitet. Damit agiert Google nicht mehr wie ein Auftragsverarbeiter. Die DSK sieht Google und den Anwender von Google-Analytics als zwei gemeinsam für die Verarbeitung Verantwortliche an. Die DSK fordert, dass Google hierfür einen Joint Controllership-Vertrag nach Art. 26 DSGVO anbietet, der die Verantwortlichkeit beider Parteien regelt. Google sieht sich bei Google Analytics partiell als Auftragsverarbeiter und bietet Anwendern einen Vertrag über Auftragsverarbeitung an.
Weitere Informationen finden Sie in der Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 15. November 2019 und in dem Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden vom 12. Mai 2020.
Fazit
Ein rechtskonformer Einsatz eines Tracking-Tools setzt Folgendes voraus:
- Einwilligung - wirksam und vorab vom Nutzer eingeholt
- Anonymisierung der IP-Adresse (Grundsatz der Datensparsamkeit)
- AV (sofern personenbezogene Daten auf Server des Tracking-Tool-Anbieters gespeichert werden) und im Bedarfsfall angemessene Garantien für Drittstaatentransfers.
Social Media Plugins wie Facebook & X
Social Media Plugins wie der Like- und Share-Button von Facebook kommen auf Webseiten aller Art zum Einsatz. Die Betreiber erhoffen sich dadurch eine Vergrößerung der Reichweite und mehr Traffic, da Seitenbesucher die Inhalte „liken“ und mit ihrem sozialen Netzwerk teilen.
Was ist das Problem bei der Verwendung von Social Media Plugins?
Datenschützer stören sich schon seit einiger Zeit an dem Datenhunger der Plugins. Warum? Die Plugins verarbeiten personenbezogene Daten und erstellen Persönlichkeitsprofile. Nutzer werden darüber nicht informiert. Bei jedem Aufruf der Website mit direkt eingebundenem Social Media Plugin verschickt dieses automatisch Daten an den Social-Media-Anbieter. Das geschieht unabhängig davon, ob ein Webseiten-Besucher auf diesem Social-Media-Kanal registriert ist oder nicht. Das Problem ist, dass Daten über Seitenbesucher bereits beim Laden der Website erfasst und übertragen werden.
Ist ein Websitebetreiber hierfür verantwortlich?
Aktuell - EuGH, Urteil vom 29.07.2019, C-40/17, Celex-Nr. 62017CJ0040 - „Fashion ID“
Der EuGH hatte folgende Rechtsfragen zu Social Plugin zu entscheiden: Bezogen auf das direkte Einbinden eines „Gefällt-mir-Buttons“ von Facebook auf eine Unternehmenswebsite hatte das OLG Düsseldorf den EuGH im Wege einer Vorlageentscheidung um Entscheidung gebeten, ob und in welchem Umfang ein Betreiber einer Website gemeinsam mit einem Anbieter eines Social Plugins für Datenschutzverstöße des Anbieters (mit-)verantwortlich ist und welche Pflichten den Betreiber einer Website dann treffen.
Der EuGH hat entschieden, dass eine Mitverantwortlichkeit eines Websitebetreibers nur für die Verarbeitungsvorgänge besteht und Rechtsfolgen auslöst, für die ein Websitebetreiber tatsächlich die Mittel und Zwecke festlegt (Erheben und Weitergabe der Daten an den Social Media Anbieter). Für weitere Verarbeitungen durch den Social Media Anbieter trifft den Websitebetreiber keine Verantwortung und auch keine Rechtspflicht (differenzierte Verantwortlichkeit).
Sachverhalt – Worum ging es?
Im vom EuGH entschiedenen Fall ging es um ein Social Plugin, das direkt auf der Website eines Unternehmens eingebunden war. Dies hatte zur Folge, dass der Browser personenbezogene Daten von Besuchern der Website (unabhängig davon, ob die Besucher bei dem Social Media Anbieter registriert waren) abgefragt und an den Social Media Anbieter weitergeleitet hat, so dass dieser die Daten der Websitebesucher weiterverarbeiten konnte.
Der EuGH hat die Rechtsfragen zu Social Plugin in dem Zwischenstreit wie folgt entschieden:
- Bindet ein Unternehmen auf seiner Website ein Social Plugin direkt ein, so ist es gemeinsam mit dem Anbieter dieses Social Plugin mitverantwortlich dafür, dass der Anbieter hierüber personenbezogene Daten erhebt und ein Websitebetreiber ihm durch Übermittlung diese Daten weitergibt. Die Mitverantwortung erstreckt sich nicht darauf, was der Social Media Anbieter anschließend mit diesen Daten tut.
- Die Verantwortung eines Betreibers einer Website ist begrenzt auf die Vorgänge, auf die er tatsächlich Einfluss hat, d. h. in denen er über Mittel und Zwecke (mit-)entscheidet.
- Mittel: „Gefällt-mir-Button“ von Facebook
- Zwecke: Optimierung von Werbung und Produktabsatz über das Social Media
- Jeder, der gemeinsam mit anderen für eine Verarbeitung personenbezogener Daten verantwortlich ist, benötigt eine Rechtsgrundlage, welche die Datenverarbeitung im jeweiligen Einzelfall erlaubt.
- Mögliche Rechtsgrundlage für die Einbindung des Social Plugin:
jeweils ein berechtigtes Interesse an der Datenverarbeitung - Mögliche Rechtsgrundlage für Websitebetreiber für eine Weiterleitung der personenbezogenen Daten an den Social Media Anbieter:
Einwilligung der Besucher (begrenzt auf seinen Verantwortungsbereich, d. h. Erheben und Weiterleiten der Daten) oder eine andere zulässige Rechtsgrundlage (z. B. im überwiegenden Interesse des Besuchers):
Hier bleibt abzuwarten, wie die Datenschutzaufsichtsbehörden sich hierzu äußern.
- Mögliche Rechtsgrundlage für die Einbindung des Social Plugin:
- Den Betreiber einer Website trifft eine Informationspflicht – allerdings nur bezogen auf seinen Mitverantwortungsbereich. Der Websitebetreiber hat den Besucher seiner Website hierüber sofort zu informieren, d. h. zum Zeitpunkt der Erhebung der personenbezogenen Daten. Es bleibt abzuwarten, welche technischen Lösungen die Datenschutzaufsichtsbehörden hier akzeptieren werden. Derzeit sind dies die 2-Klick-Lösung und die Shariff-Lösung.
Welches Recht lag der Entscheidung des EuGH zugrunde?
Der Sachverhalt beruht auf einem Rechtsstreit aus 2015. Daher hatte der EuGH die Rechtsfragen anhand der Datenschutzregelungen zu entscheiden, die vor der DSGVO maßgebend waren (Richtlinie 95/46/EG).
Offen ist, ob diese Rechtsfragen im Lichte der DSGVO ebenso zu entscheiden wären oder ob Begrifflichkeiten der DSGVO in Einzelaspekten anders gesehen werden müssen.
Welche Lösungen gibt es jetzt?
Die Einbindung ist rechtmäßig möglich, soweit vorher eine Einwilligung des Nutzers eingeholt und in der Datenschutzerklärung über den Einsatz informiert wird.
Für die rechtssichere Einbindung der Social Media Plugins sind drei Varianten empfohlen.
- Die Shariff-Lösung
Diese Lösung ist eine Weiterentwicklung der 2-Klick-Lösung. Ein Skript ruft ab, wie häufig eine Seite auf X geteilt oder „geliked“ wurde. Dabei erfolgt eine Übertragung der IP-Adresse des Webseiten-Servers und nicht der IP-Adresse des Rechners des Besuchers. Eine Verbindung zwischen den Social-Media-Anbietern und Seitenbesuchern findet erst statt, wenn diese aktiv werden und die Plugins aktiv nutzen (z. B. durch Anklicken). Die Social-Media-Buttons von Shariff schützen die Privatsphäre der Besucher so gut wie das 2-Klick-Verfahren, bei diesen ist jedoch kein zweiter Klick nötig. Bei den Schaltflächen handelt es sich um HTML-Links, die Sie mit CSS individuell gestalten können. - Die 2-Klick-Lösung
Bei dieser Variante muss der Seitenbesucher erst ein Symbol anklicken, um dieses Social Media Plugin zu aktivieren. Um das Social Media Plugin zu nutzen, muss der Webseiten-Besucher ein weiteres Mal darauf klicken. Erst dann werden seine Nutzerdaten an den Social Media-Anbieter übertragen. - Vollständiger Verzicht
Ein Verzicht auf die Social Media Plugins ist die einfache Lösung, für Webseitenbetreiber aufgrund der verminderten Marketing-Möglichkeiten jedoch nicht attraktiv.
Fazit
Social Media Plugins eröffnen Webseiten-Betreibern wertvolle Möglichkeiten des Marketings. Statt auf die Verwendung zu verzichten, ist die Shariff-Lösung für die Einbettung der Social Media Plugins empfohlen und besser als die 2-Klick-Lösung. Die Verwendung von Social Media Plugins ist in der Datenschutzerklärung zu erläutern. Ferner bleibt abzuwarten, wie das OLG Düsseldorf, an das der EuGH den Fall zurückverwiesen hat, den Sachverhalt abschließend entscheiden wird.
Eingebundene Videos von YouTube & Vimeo
Neben Bildern eignen sich Videos besonders gut für die Gestaltung von Internetseiten und die Bereitstellung von Informationen. Die Einbindung von Videos in Webseiten sollte datenschutzkonform erfolgen.
Was ist das Problem mit Videos von YouTube & Vimeo?
Wie bei den Social Media Plugins speichert eine Internetseite mit eingebundenem Video die IP-Adresse des Nutzers bereits beim Laden der Seite. Die Speicherung erfolgt unabhängig davon, ob der Besucher das Video anklickt oder nicht. Da IP-Adressen zu den personenbezogenen Daten gehören, sind die Datenschutzvorgaben zu beachten.
Wie lassen sich Videos von Videoplattformen rechtssicher einbinden?
Zunächst darf das Video erst dann starten, wenn der Nutzer das Video durch einen extra Klick startet. Startet das Video automatisch, kann der Nutzer eine Datenverarbeitung durch externe Anbieter nicht verhindern. Außerdem sind Dienste Dritter im Rahmen der Datenschutzerklärung der Webseite zu berücksichtigen.
Nach TTDSG sind ggf. Anzeigepflichten und Einwilligungserfordernisse zu beachten:
- Anzeigepflicht, dass auf der Unternehmens-Webseite ein Link abrufbar ist, der zu einer Webseite eines Drittanbieters mit dessen Videodienst führt.
- Keine Anzeigepflicht besteht, wenn auf der Website die Drittinhalte (etwa einen Karten- oder Videodienst) ohne Verlinkung eingebunden sind und ein Nutzer das Onlineangebot des Unternehmens nicht verlässt.
Grund: In diesem Fall findet keine technische Weiterleitung statt.
Achtung: Erfolgt bei der Einbindung der Drittdienste oder Drittinhalte zugleich eine Übermittlung von personenbezogenen Daten an Drittanbieter, so bedarf es hierfür einer vorherigen Einwilligung der Nutzerinnen und Nutzer, sollte die Weiterleitung sich nicht auf eine andere Rechtsgrundlage (z. B. Vertrag) stützen lassen.
Mit den folgenden zwei Möglichkeiten vermeiden Webmaster das Setzen der Cookies und Speichern der IP-Adresse beim Laden der Seite:
- Videos mit erweiterter Datenschutzeinstellung einbetten
Videoanbieter wie z. B. YouTube bieten zum Teil die Möglichkeit, Videos ohne das Setzen von Cookies einzubinden. Sie erreichen den „erweiterten Datenschutzmodus“, indem Sie z. B. bei YouTube die YouTube-Seite zum Video öffnen und dann auf „Teilen“ > „Einbetten“ und „Mehr anzeigen“ klicken. Dort erscheint die Option „Erweiterten Datenschutzmodus aktivieren“. Bei korrekter Verwendung steht im Einbettungs-Code für die Website „www.youtube-nocookie.com“. - Die Zwei-Klick-Lösung
Die Alternative ist die Zwei-Klick-Lösung. Der Cookie wird erst nach dem Klick und nicht nach dem Aufruf der Internetseite gesetzt. Für Content Management Systeme wie WordPress und Joomla! gibt es entsprechende Plugins, ein Beispiel ist das Plugin „Embed videos and respect privacy“ für Wordpress.
Fazit
Werden Videos auf einer Internetseite eingebunden, findet eine Speicherung der IP-Adresse des Seitenbesuchers bereits beim Laden der Seite statt. Da es sich bei IP-Adressen um personenbezogene Daten handelt, ist dieser Vorgang datenschutzkonform zu gestalten. Zum Einbinden auf Internetseiten bieten einige Anbieter daher Videos mit erweiterten Datenschutzeinstellungen an. Eine Alternative ist die Zwei-Klick-Lösung. Ein entsprechender Hinweis über die Art und Weise der Video-Einbindung ist in die Datenschutzerklärung aufzunehmen.
Cookies / sonstige Technologien und "Cookie-Hinweise"
Heute nutzen fast alle Webseiten Cookies. Cookies sind kleine Textdateien, die Informationen auf dem Rechner eines Webseitenbesuchers ablegen. Mithilfe von Cookies lassen sich Besucher identifizieren und wiedererkennen. So müssen Besucher zum Beispiel nicht bei jedem Seitenbesuch die Anmeldedaten erneut eingeben, wenn in deren Browser ein entsprechendes Cookie gesetzt ist. Nicht jede Website benötigt ein Cookie-Banner. Dies ist nur dann der Fall, wenn Cookies und sonstige Technologien (z. B. Fingerprinting) verwendet werden, für deren Einsatz vorab eine Einwilligung des Websitebesuchers eingeholt werden muss.
Was ist das Problem bei der Verwendung von Cookies?
Mithilfe der Cookies werden personenbezogene Daten erhoben, deren Verarbeitung meist ohne Zustimmung der Seitenbesucher nicht erlaubt ist. Deutschland hat die EU-Cookie-Richtlinie nicht in nationales Recht umgesetzt. Der BGH hat nun mit Urteil vom 28.05.2020 entschieden, dass § 15 Abs. 3 Satz 1 TMG a. F. richtlinienkonform ausgelegt werden kann. Mit Einführung des TDDDG zum 01.12.2021 ist dieser Rechtsstreit obsolet. Denn der Gesetzgeber hat Art. 5 Abs. 3 der ePrivacy-Richtlinie in § 25 TTDSG umgesetzt. § 25 TDDDG ist daher immer zu prüfen, wenn Technologien eingesetzt werden, die Informationen aus Endeinrichtungen auslesen oder auf diesen speichern.
Welche Lösungsansätze gibt es?
Zunächst ist nach der Art des Cookies zu unterscheiden. Hierbei gilt:
- Cookies sind einwilligungsfrei zulässig, soweit diese aus Nutzersicht (!) unbedingt, d. h. technisch (nicht: wirtschaftlich!) erforderlich sind.
Beispiele für notwendige Cookies: Seitennavigation, Warenkorbfunktion im Online-Shop.
- Der Einsatz von nicht notwendigen Cookies ist nach TDDDG einwilligungspflichtig.
Beispiel hierfür sind Tracking-Cookies, über die webseiten- oder geräteübergreifende Nutzungsprofile erstellt oder Daten an Dritte übermittelt werden sollten Seitenbetreiber haben für nicht notwendige Cookies stets vorab (z. B. über ein Cookie-Banner) die Einwilligung der Nutzer einholen.
Fazit
Damit die Verwendung von Cookies legitim ist, muss in einer ersten Stufe nach TDDDG geprüft werden, ob der Einsatz des Cookies einwilligungspflichtig (Grundsatz) oder einwilligungsfrei (Ausnahme) ist. Ferner ist ein Cookie-Banner in Form eines Cookie-Consent-Banners auf der Website einzusetzen, falls Cookies und sonstige Technologien verwendet werden, für deren Einsatz vorab eine Einwilligung eingeholt werden muss. Zudem muss der Websitebetreiber in der Datenschutzerklärung über Art, Umfang, Zwecke und Speicherdauer der eingesetzten Cookies informieren.
Externe Schriften und Dateien wie z. B. Google Fonts
Die Einbindung derartiger externer Schriften und Dateien ist nach § 25 Abs. 1 TDDDG einwilligungspflichtig.
Neben den Standardschriften gibt es tausende weiterer Schriften, die online kostenlos oder kostenpflichtig angeboten werden. Ein Anbieter solcher Schriften ist Google mit den Google Fonts.
Welche Probleme gibt es mit externen Schriften wie Google Fonts?
Wenn auf einer Website externe Schriften wie Google Fonts zum Einsatz kommen, werden diese üblicherweise beim Laden der Seite vom Google Server nachgeladen und es findet ein Datenaustausch zwischen der Website und Google statt.
Wie lassen sich externe Schriften und Dateien rechtskonform nutzen?
Die Datenübermittlung ist aus Datenschutzsicht unerwünscht. Die Lösung: Externe Schriften müssen nicht von einem Server nachgeladen werden, sie können alternativ lokal auf dem eigenen Server gespeichert sein. Webseitenbetreiber müssen zunächst die benötigten Schriften identifizieren, können diese anschließend herunterladen und auf den eigenen Server hochladen. Im Anschluss passen Sie den CSS-Code entsprechend an und tragen die neue Quelle der Fonts ein.
Was kann passieren, wenn Webfonts nicht rechtskonform eingebunden werden?
- Betroffene können Schadenersatz wegen fordern wegen Verletzung des Datenschutzrechts. Dies hat das LG München I mit Urteil vom 20.01.2022 (Az. 3 O 17493/20) so entschieden.
- Bekommen Unternehmen Schadenersatzforderungen, welche sich auf dieses Urteil stützen, sollten sie prüfen, ob sie der Zahlungsaufforderung Folge leisten und ggf. anwaltliche Hilfe zu Rate ziehen.
Prüfkriterien - Ist die Schadenersatzforderung berechtigt?
- Stimmen die Angaben in der Zahlungsaufforderung?
D. h. setzen Sie Webfonts (z. B. Google Fonts) auf Ihrer Website nicht rechtskonform ein?
- Rat: Dann umgehende Anpassung (Bitte auch die Datenschutzerklärung)!
- Prüfen Sie, ob es rechtskonforme Alternativen gibt, welche ggf. eingesetzt werden könnten. - Leistet man der Zahlung Folge?
Rat: Vorabklärung über Höhe und umfassender Anspruchsabgeltung - Besteht ausnahmsweise Verdacht auf Rechtsmissbrauch?
Deutscher Schutzverband gegen Wirtschaftskriminalität e.V. (DSW) zu Rechtsmissbrauch
Indizien können hierfür sein ein als Serienbrief erscheinende Zahlungsaufforderung i. H. v. 100,- € mit kurzer Fristaufforderung.
Betroffenen steht es frei, den Sachverhalt unabhängig von einer Zahlung der zuständigen Datenschutzaufsicht zu melden, also sich über den Rechtsverstoß zu beschweren, oder das Unternehmen zu verklagen.
Fazit
Werden auf einer Website externe Schriften und Dateien eingesetzt, findet beim Nachladen der Daten ein aus Datenschutzsicht unzulässiger Datenaustausch statt. Um die Schriften und Dateien zu nutzen und den Regeln der DSGVO zu entsprechen, sollten Sie den Datenaustausch mit externen Servern unterbinden und die Daten stattdessen lokal in Ihrem Webspace speichern und von dort verwenden. Denken Sie zudem daran, vorab von den Nutzern eine Einwilligung hierfür eine Einwilligung einzuholen.
Datenschutzerklärung
Jede Website muss über ein Impressum und eine Datenschutzerklärung verfügen, sobald diese personenbezogene Daten verarbeitet. Die Erklärung informiert Besucher der Website ausführlich über die Art und Weise der Verarbeitung (z. B. Erheben, Auswerten) der personenbezogenen Daten sowie über die Verarbeitungszwecke.
Welches Problem gibt es mit der Datenschutzerklärung?
Bereits sehr einfache Webseiten verarbeiten personenbezogene Daten, weshalb die Datenschutzregelungen für fast alle Internetauftritte gelten. Ohne korrekte Umsetzung der Bestimmungen droht dem Betreiber der Website ggf. eine Abmahnung und/oder eine Geldbuße. Spätestens seit dem 25. Mai 2018 muss die obligatorische Datenschutzerklärung an die neuen Anforderungen der DSGVO angepasst sein.
Wie wird die Datenschutzerklärung richtig umgesetzt?
Eine DSGVO-konforme Datenschutzerklärung muss die nach Artikel 13 DSGVO bestehenden Informationspflichten beachten. Damit ist sie deutlich umfangreicher. Folgende Pflichten müssen umgesetzt sein:
- Die Rechtsgrundlage für die Datenverarbeitung muss genannt sein. Es gilt nach wie vor der Grundsatz des Verbots mit Erlaubnisvorbehalt. Personenbezogene Daten dürfen nicht erhoben werden, außer der Nutzer stimmt explizit zu oder das Gesetz gestattet dies.
- Gesetzlich zulässige Verarbeitungen (Rechtsgrundlagen) sind in Artikel 6 DSGVO definiert: Die Datenverarbeitung ist zum Beispiel erlaubt, wenn die Daten zur Vertragserfüllung benötigt werden. Zu den Ausnahmen gehört zudem die „Wahrung berechtigter Interessen“.
- Auf die Rechtsgrundlage „Wahrung berechtigter Interessen“ lässt sich die Verarbeitung solcher personenbezogener Daten stützen, die für die Gewährleistung der Website-Sicherheit erforderlich sind. Hierzu zählt unter anderem die temporäre Speicherung von IP-Adressen, beispielsweise zum Schutz einer Website vor Angriffen. Die IP-Speicherung sollte in der Regel 7 Tage nicht überschreiten.
- Neu sind die Informationspflichten bezüglich der Rechte der Seitenbesucher. Die Datenschutzerklärung muss über alle Rechte Betroffener (z. B. auf Auskunft, auf Berichtigung, Recht auf Beschwerde bei einer Aufsichtsbehörde sowie ein Recht auf Löschung und Einschränkung und ggf. auf Datenübertragbarkeit) geben. Einen Mustertext finden Sie hier.
- Gibt es in einem Unternehmen einen Datenschutzbeauftragten, muss dieser in der Erklärung genannt und eine Kontaktmöglichkeit gegeben sein. Hierbei reicht eine Funktionsangabe aus, eine namentliche Nennung ist nicht erforderlich.
Im Netz gibt es Datenschutz-Generatoren, mit denen Sie kostenlos eine einfache Datenschutzerklärung für Ihre Website erstellen können.
Fazit
Eine Datenschutzerklärung auf der eigenen Website ist seit vielen Jahren obligatorisch. Seit Inkrafttreten der DSGVO muss die Erklärung jetzt viel umfangreicher und detaillierter sein. Im Internet gibt es verschiedene Anbieter, mit denen Webseitenbetreiber eine individuelle Datenschutzerklärung generieren können.
Datenweitergabe an externe Dienstleister
Die Weitergabe von Daten an Dritte ist schnell erfolgt und gilt zum Beispiel schon dann, wenn die Bearbeitung von Rechnungen in der Cloud eines externen Anbieters stattfindet. Typisch ist die Datenweitergabe auch bei Online-Shops, die in der Regel auf dem Server eines Webseiten-Hosters betrieben werden.
Was ist das Problem der Datenweitergabe an externe Dienstleister?
Werden personenbezogene Daten weitergeleitet oder ist eine bloße Möglichkeit der Kenntnisnahme durch Dritte gegeben, handelt es sich um Datenverarbeitungen mit Erlaubnispflicht. Die Weitergabe ist erlaubt, sofern die Weitergabe auf eine Rechtsgrundlage gestützt werden kann.
Das TDDDG sieht zudem eine Anzeigepflicht vor, bevor ein Nutzer zu einem anderen digitalen Dienst weitergeleitet wird.
Welche Lösungen gibt es für die Datenweitergabe an Dritte?
Im Unternehmensalltag spielen v. a. folgende Rechtsgrundlagen eine Rolle.
- Einwilligung
Eine Möglichkeit ist es, die Einwilligung zur Datenweitergabe von den Betroffenen einzuholen. Diese können der Weitergabe nach Art. 6 Abs. 1 lit. a DSGVO zustimmen. Für die Einwilligung gelten jedoch hohe Anforderungen. Diese kann jederzeit widerrufen (damit nicht belastbar) werden. - Vertragserfüllung
Zulässig ist die Weitergabe, falls diese zur Vertragserfüllung erforderlich ist und den Interessen der betroffenen Person entspricht. - Bei berechtigten Interessen an der Weitergabe
Auch ohne Einwilligung und Vertrag kann die Datenweitergabe erlaubt sein. Diese Forderung ist zum Beispiel erfüllt, wenn ein Online-Shop die Kontaktdaten eines Kunden an einen Paketzustelldienst übermittelt, der Kunde vorab hierüber informiert worden ist und nicht widersprochen hat.
Interessen an der Kostensenkung, Gewinnmaximierung, Steigerung der Nutzerfreundlichkeit und Optimierung der Dienste zählen ebenfalls zu den berechtigten Interessen. Bei der Abwägung dieser kommt es auf die Art der Daten, den Zweck der Weitergabe und die möglichen Risiken für Betroffene an. Der Verkauf von Adressen von einem Online-Shop an einen Adressen-Händler ist damit nicht erlaubt.
Fazit
Die Weitergabe personenbezogener Daten an Dritte ist nach der DSGVO nur erlaubt, sofern eine gesetzliche Regelung dies erlaubt. Im Unternehmensalltag kommen hierbei meist folgende Rechtsgrundlagen zur Anwendung: wenn die Weitergabe zur Vertragserfüllung notwendig ist, ein berechtigtes Interesse besteht oder bei expliziter Einwilligung durch die Betroffenen.
Datenverarbeitungsverträge mit Auftragsverarbeitern
Betreiber von Webseiten nutzen diverse Dienste und Tools, die im Auftrag personenbezogene Daten verarbeiten. Zu den Dienstleistern zählen unter anderem Hosting-Anbieter, Newsletter-Provider und Cloud-Dienste. Viele Anbieter stellen noch keine Verträge zur Auftragsverarbeitung zum Download bereit. Hier finden Sie eine Liste mit AV-Verträgen. Notwendig ist solch ein Vertrag immer, wenn Unternehmen im Auftrag des Webseitenbetreibers Daten verarbeiten und als „Auftragsverarbeiter“ agieren.
Zusammenfassung
Sofern nicht spezialgesetzliche Regelungen greifen, müssen Betreiber von Webseiten bei der Verarbeitung aller personenbezogenen Daten die Bestimmungen der DSGVO und neu seit 01.12.2021 des TDDDG beachten, bei Nichtbeachtung ist eine Geldbuße eine mögliche Folge. Die Regeln betreffen die Zusammenarbeit mit einem Hosting-Anbieter, die Notwendigkeit der verschlüsselten Datenübertragung, den richtigen Umgang unter anderem mit Log-Dateien, Kontaktformularen, Tracking-Software, und Cookies sowie vergleichbare Technologien (z. B. Fingerprinting). Wichtig ist zudem die Anpassung der obligatorischen Datenschutzerklärung sowie im Falle einer Einwilligungspflicht nach TDDDG der rechtskonformen Implementierung eines sog. Cookie-Banners. Die Datenschutzaufsichtsbehörden bieten Handreichungen für Anbieter:innen von digitalen Diensten vom November 2024 (DSK OH Digitale Dienste 2024) sowie Checklisten und Beispielsfälle (z. B. die Orientierungshilfe des Bayerischen Landesbeauftragten für den Datenschutz, Stand: 01.12.2021). Mit Hilfe von sog. Datenschutz-Generatoren können Unternehmen meist kostenlos Datenschutzerklärungen für ihre Website erstellen. Prüfen Sie z. B. über dieIHK-Checkliste „Datenschutzerklärung“, ob Ihre Datenschutzerklärung alle erforderlichen Punkte umfasst.