Datenschutz-Compliance auf Webseiten

Inwiefern eine Webpräsenz den datenschutzrechtlichen Anforderungen entspricht, wird durch uns im Rahmen zahlreicher Webseitenaudits regelmäßig überprüft. Sehr oft machen wir dabei die Erfahrung, dass die Umsetzung der datenschutzrechtlichen Vorgaben den Verantwortlichen misslingt. Man muss aber auch zugeben: Die Materie ist nicht einfach und man kann tatsächlich enorm viel falsch machen.

Im Rahmen der Überprüfung von Webseiten orientieren wir uns dabei nicht nur an den Gesetzen sowie an denr einschlägigen Rechtsprechung und Literaturmeinung, sondern insbesondere auch an den aufsichtsbehördlichen Stellungnahmen und Orientierungshilfen, die durchaus wertvolle Hinweise und Empfehlungen zur rechtssicheren Gestaltung einer Webpräsenz liefern.

In unserem Beitrag vom 15.03.2022 haben wir uns beispielsweise mit der Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz bzw. DSK) für Anbieter*innen von Telemedien beschäftigt.

Die Orientierungshilfe der DSK erläutert die neue Rechtslage ab 2021 im Bereich der Telemedien (OH Telemedien) und grenzt insbesondere die Anwendungsbereiche des neuen Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) und der Datenschutz-Grundverordnung (DSGVO) voneinander ab.

Diese Orientierungshilfe wurde durch die DSK inzwischen aktualisiert und liegt in der Version 1.1 mit Stand Dezember 2022 vor. In dieser Orientierungshilfe geht die DSK am Beispiel von Webseiten und Apps auf die wesentlichen Fragen der Compliance im Bereich des Datenschutzes bei Webpräsenzen ein.

Anknüpfend an die oben genannte Orientierungshilfe der DSK bietet der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) eine weitere Hilfestellung für Betreiber von Webseiten und Entwickler von Smartphone-Apps in Form einer Liste mit häufig gestellten Fragen an (Frequently Asked Questions, FAQ), in der er auf Fragen eingeht, die im Zusammenhang mit dem Betrieb einer Webseite entstehen.

Die Ausführungen der DSK und des LfDI BW in den oben genannten Dokumenten sind sehr ausführlich und damit auch sehr umfangreich. Die OH Telemedien der DSK umfasst 42 Seiten sehr stark komprimierter Informationen und die FAQ des LfDI BW sind in der PDF-Version 39 Seiten stark. Zudem sind die Dokumente keine Anleitung im Sinne einer To-Do-Liste, die (auf das Wesentliche reduziert) Schritt für Schritt erklärt, wie bei einem Internetauftritt die datenschutzrechtlichen Anforderungen umgesetzt werden sollen und worauf ganz besonders zu achten wäre. Sie stellen vielmehr die Gesamtheit der Anforderungen aus Sicht der Aufsichtsbehörden dar und können die Unternehmen daher auch schnell überfordern.

Dieses Problem hat nun der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) erkannt und hat vor kurzem eine lediglich 6 Seiten umfassende Orientierungshilfe veröffentlicht. Darin betont der HmbBfDI, dass es der Behörde durchaus bewusst sei, dass die Materie nicht leicht zu verstehen ist und informiert mit seiner Handreichung über die wesentlichen Aspekte des Betriebs von Webseiten aus datenschutzrechtlicher Sicht. Ganz besonders achtet der HmbBfDI darauf, dass seine Information nicht nur von Rechtsexperten verstanden werden kann.

Freilich kann diese Handreichung, wie der HmbBfDI es auch selbst sagt, eine individuelle Beratung bzw. ein Webseitenaudit nicht ersetzen. Sie bietet jedoch eine sehr gute Übersicht über die Punkte, die im Rahmen des Betriebs einer Webpräsenz auf jeden Fall zu beachten sind und die nicht vergessen werden dürfen.

Um welche Themen geht es dabei konkret? Darauf möchten wir nachfolgend im Einzelnen eingehen und die Ausführungen des HmbBfDI um unsere Erfahrungswerte ergänzen.

Zentrale Themen aus Sicht des HmbBfDI

In seiner Information konzentriert sich der HmbBfDI auf folgende zentrale Themen bzw. Fragen, auf die es ankommt, und zwar:

„1. Wann ist eine Einwilligung erforderlich?

2. Wie sollte ein Einwilligungsbanner gestaltet sein?

3. Wie können Drittinhalte eingebunden werden?

4. Worüber müssen die Nutzenden informiert werden?

5. Worauf ist beim technischen Betrieb zu achten?

6. Was droht, wenn Pflichten missachtet werden?“

Zur Erforderlichkeit einer Einwilligung:

Verantwortliche müssen prüfen, ob eine Einwilligung der betroffenen Personen (der Nutzenden) erforderlich ist und, sofern dies der Fall ist, einen Prozess zur Einholung der Einwilligung implementieren.

Grundsätzlich können Webseiten betrieben werden, ohne dass die Verantwortlichen dabei irgendwelche Einwilligungen der Webseitenbesucher*innen einholen müssen. Doch oft wollen Verantwortliche Dienste und Techniken einsetzen, die nicht „unbedingt erforderlich“ sind, um den Webauftritt den Nutzenden zur Verfügung zu stellen oder deren alleiniger Zweck nicht in der Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz besteht. Denn nur unter diesen Voraussetzungen ist gemäß § 25 Abs. 2 Nr. 1 und 2 TTDSG der Einsatz einer Technologie, bei der Informationen in der Endeinrichtung des Endnutzers gespeichert werden oder der ein Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, erfolgt, ohne eine Einwilligung möglich. Das gilt ganz unabhängig davon, ob es sich dabei um personenbezogene oder nicht personenbezogene Daten handelt und ob Cookies zum Einsatz kommen oder nicht. Denn ein sogenanntes Browser-Fingerprinting, das ohne Cookie-Einsatz durchgeführt werden kann, bedarf ebenfalls einer Einwilligung.

Und wenn es dabei um personenbezogene Daten geht, die verarbeitet werden sollen, reicht das zum Teil speziell im Bereich der Webseiten wirklich sehr stark überdehnte „berechtigte Interesse“ gem. Art. 6 Abs. 1 lit. f DSGVO dann doch nicht aus, um den Einsatz eines Dienstes oder einer Technologie ohne vorherige Einwilligung durch die Nutzer*innen zu rechtfertigen.

Zu den nach dem TTDSG und der DSGVO einwilligungspflichtigen Verarbeitungen gehören typischerweise Tracking-Tools, Drittanbieterdienste wie beispielsweise Kartendienste, Fonts, Social-Media-Einbindungen, Widgets. Wobei zu beachten ist, dass bei vielen Technologien die Einwilligungsbedürftigkeit nur deshalb bestehen wird, weil Daten in ein Drittland (beispielsweise USA, China, Indien, Türkei) übermittelt werden. Teilweise vertreten die Aufsichtsbehörden diesbezüglich die Auffassung, dass eine Einwilligung in die Datenübermittlung in ein Drittland nicht möglich sei. Diese Auffassung halten wir für zu restriktiv, ist diese Möglichkeit doch in Art. 49 Abs. 1 lit a DSGVO explizit vorgesehen. Bitte jubeln Sie jetzt nicht zu früh: Es handelt sich um eine Ausnahmeregelung, die mit hohen Hürden bezüglich der Informationspflichten versehen ist. Speziell diese Informationspflichten dürften den Webseitenbetreiber*innen in vielen Fällen gar nicht gefallen. Interessant ist, dass die Ansicht des HmbBfDI hier nicht so restriktiv wie die seiner Kollegen zu sein scheint. Auf Seite 3 seiner vorgenannten Handreichung führt er den Drittlandtransfer als Beispiel für eine Zweckangabe im Einwilligungs-Manager auf. Das spricht dafür, dass er eine Einwilligung in den Drittlandstransfer im Rahmen der Datenverarbeitung auf einer Webseite nicht grundsätzlich ausschließt. Zur Möglichkeit, diese Einwilligung bezüglich der Drittstaatentransfers im Einwilligungs-Manager rechtskonform einzuholen hatten wir uns im letzten Abschnitt dieses Artikels schon ausführlich geäußert.

Wichtig ist, dass die Einbindung der einwilligungsbedürftigen Dienste und Technologien nicht erfolgt, bevor die Einwilligung auch tatsächlich erteilt ist. Das ist ein Fehler, den wir besonders oft feststellen müssen.

Zur der Gestaltung eines Einwilligungs-Managers:

Hat ein Verantwortlicher festgestellt, dass eine Einwilligung erforderlich ist, muss er sie auch datenschutzkonform einholen. Das erfolgt (siehe oben) regelmäßig mit Hilfe sogenannter Einwilligungs-Manager. In der Regel wird hierbei auf fertige Produkte, die es am Markt gibt, zurückgegriffen.

Entscheidend ist die richtige Darstellungen der Informationen im Einwilligungs-Manager. Denn eine Einwilligung muss informiert erfolgen und hierzu sind sehr viele Einzelangaben erforderlich (siehe hierzu Ziffer 1 bis 4 auf Seite 3 der vorgenannten Handreichung des HmbBfDI), die jedoch recht schwer in ein relativ kleines Fenster des Einwilligungs-Managers zu zwängen sind. Dies ist aber auch nicht erforderlich, denn die Informationen können mehrstufig erteilt werden. Zudem dürfen die Nutzer*innen nicht beeinflusst werden und so müssen die Auswahlbuttons gemäß Aussagen der Aufsichtsbehörden einheitlich gestaltet werden. Farbliche Hervorhebungen führen schnell dazu, dass man in den Bereich des sogenannten Nudgings kommt, so dass eine Einwilligung allein dadurch unwirksam werden kann.

Zur Einbindung von Drittinhalten:

Sofern Drittinhalte in eine Webseite eingebunden werden (beispielsweise Kartendienste, Widgets, Videos, Social-Media-Dienste), kann eine Einwilligung auch „direkt am Objekt“ eingeholt werden, also dort wo der jeweilige Dienst oder die jeweilige Technologie angeboten wird. Der jeweiligen Dienst muss dann sozusagen „freigeklickt“ werden. Ein Karteninhalt wird beispielsweise zunächst ausgeblendet und nur symbolisch dargestellt und erst nach Anklicken des Symbols wird der eigentliche Karteninhalt präsentiert.

Und auch hierbei gilt: Keine Einbindung der Drittanbieterinhalte (und damit keine externen Aufrufe zu dem jeweiligen Anbieter im Hintergrund) vor Erteilung einer Einwilligung.

Zur Information der Nutzer*innen:

Die Nutzer*innen einer Webseite müssen gem. Artt. 12 ff. DSGVO über die stattfindende Verarbeitung ihrer personenbezogenen Daten ausführlich informiert werden. Das kann dadurch umgesetzt werden, dass ein Link zu den Datenschutzhinweisen gesetzt wird, in denen jede Verarbeitung, die auf der Webseite erfolgt, beschrieben und bei Bedarf aktualisiert wird. Diese Datenschutzhinweise müssen von jeder Seite eines Webangebots aus leicht zugänglich und nicht (beispielsweise durch einen Einwilligungs-Manager) verdeckt sein. Ganz wesentlich sind die Informationen über etwaige Datenempfänger (insbesondere in Drittländern) und Angaben zu den Löschfristen sowie Betroffenenrechten gemäß Artt. 15 bis 22 DSGVO.

Die Datenschutzinformationen sollten auch nicht „Datenschutzerklärung“, „Datenschutzrichtlinien“ oder „Datenschutzbestimmungen“ heißen, denn aus diesen Bezeichnungen leitet die Rechtsprechung teilweise einen Regelungsgehalt ab und macht aus bloßen Datenschutzinformationen allgemeine Geschäftsbedingungen im Sinne des § 305 ff. BGB (siehe Urteil des KG Berlin vom 27.12.2018, Az.: 23 U 196/13; abrufbar unter: https://openjur.de/u/2251783.html). Das hat insbesondere zur Folge, dass die Datenschutzinformationen durch den jeweiligen Verantwortlichen nicht einseitig abgeändert werden können.

Jeder Bezug zu den AGB oder Umstände, die nahelegen könnten, dass die Datenschutzhinweise als AGB eingestuft werden könnten, sollten daher unbedingt vermieden werden. Auch sollten in den Datenschutzhinweisen keine Formulierungen enthalten sein, die als verbindliche (AGB-)Regelung ausgelegt werden könnte.

Die Kenntnisnahme der Datenschutzhinweise durch die Nutzer*innen muss nicht dokumentiert werden. Abfragen in Form einer Checkbox, mit der man die Datenschutzhinweise akzeptiert oder eine Einwilligung erteilt, sollten vermieden werden. Auch dies birgt wieder die Gefahr der Geltung der AGB-Kontrolle.

Zu den Nuancen beim technischen Betrieb:

Bei der Gestaltung eines Internetauftritts ist die Regelung des § 19 TTDSG zu beachten. Dieses Gesetz fordert von Webseitenbetreibern insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens, um sicherzustellen, dass kein unerlaubter Zugriff auf die genutzten technischen Einrichtungen möglich ist und diese Einrichtungen gegen Störungen gesichert sind. Diese Vorgabe ist regelmäßig ohne großen technischen und finanziellen Aufwand umzusetzen und die Provider können das problemlos sicherstellen.

Zu beachten ist auch, dass die meisten Web-Server Protokolle der einzelnen Seitenzugriffe erstellen und diese in den Log-Files abspeichern. Solche Log-Files haben regelmäßig Personenbezug, wenn sie die IP-Adresse von Nutzer*innen enthalten oder wenn Request- oder Referrer-Informationen enthalten sind, die auf die Nutzer*innen schließen lassen (beispielsweise Nutzer-ID, Name, Suchbegriff mit Personenbezug). Die Log-Files sind nach Erreichung des Zwecks (meist wird hier der sichere Betrieb der Webseite genannt), zu dem sie gespeichert wurden, zu löschen. Hierbei gilt nach Angaben des HmbBfDI die Frist von 7 Tagen als Richtwert. Dies halten wir für extrem kurz. Wenn es darum geht, Angriffe, die erst spät entdeckt werden, nachzuvollziehen, kann es notwendig sein, Log-Files mehrere Monate zu speichern. In diesem Fall wird es allerdings notwendig sein, die Log-Files mit zunehmendem Alter um einen Teil der enthaltenen Informationen zu bereinigen. Hierzu gehört beispielsweise die Referrer-URL, die für eine Aufklärung von Angriffen kaum wertvolle Informationen liefert. Aber bereits die übergebenen Parameter in der eigentlichen aufgerufenen URL können für die Rekonstruktion eines Angriffs erforderlich oder nützlich sein.

Unzulässig ist es, die Daten aus den Log-Files mit sonstigen Daten der Nutzenden zu verknüpfen, es sei denn es liegt eine wirksame Einwilligung hierzu vor.

Fazit

Es ist durchaus schwierig, eine rechtskonforme Webseite zu gestalten. Unmöglich ist dies jedoch nicht. Um insbesondere Sanktionen der Aufsichtsbehörden und gegebenenfalls Schadenersatzansprüche betroffener Personen zu vermeiden, empfiehlt es sich, die gesetzlichen Vorgaben aus TTDSG, DSGVO und BDSG korrekt umzusetzen. Mit Hilfe der oben genannten Hilfestellungen der Aufsichtsbehörden und unserer Ausführungen kann dies den Verantwortlichen gelingen. Und wenn nicht? – Wenden Sie sich einfach mit Ihren Fragen an uns!

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.