Es befinden sich keine Produkte im Warenkorb.
Website Datenschutz
Die 5 wichtigsten Punkte für den datenschutzkonformen Betrieb
Die Regeln zum Datenschutz auf der Website ändern sich für den Betreiber immer wieder. Die letzte breit diskutierte Gesetzesänderung war die gemeinsame Datenschutz-Grundverordnung (EU-DSGVO). Sie hatte zum Ziel, EU-weit gleiche Bedingungen und gemeinsame Standards zu schaffen. Doch seitdem hat sich einiges getan. Der folgende Beitrag erklärt, anhand von fünf ausgewählten Bereichen, die aktuellen Bestimmungen für eine Website beim Datenschutz.
Die EU-DSGVO ist nun schon länger in Kraft und längst kein großes Thema mehr. Allerdings geben rund 60 Öffnungsklauseln den Mitgliedsstaaten die Möglichkeit, bestimmte Regelungsbereiche individuell auszugestalten. Davon hat der deutsche Gesetzgeber regen Gebrauch gemacht und das derzeitige Bundesdatenschutzgesetz (BDSG) überarbeitet.
Seit Dezember 2021 gilt in Deutschland zudem ein neues Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Dieses betrifft nicht nur Web-Shops sondern ganz generell Unternehmensseiten. Entsprechend sind fast alle Seitenbetreiber angehalten, auf ihrer Website den Datenschutz zu prüfen, da sie zu den Telemediendiensten gezählt werden.
Unterstützung beim Datenschutz anfordern1. Datenschutz auf der Website bei Einsatz von Cookies
Cookies dürfen weiterhin nur dann ohne Einwilligung eingesetzt werden, wenn sie technischer oder essentieller Natur sind. Für alles andere muss eine eindeutige Einwilligung erfolgen. Dabei gilt die Opt-In Pflicht für Cookies, die dem Zweck der Marktforschung oder des Marketings dienen. Das heißt konkret: Nutzerinnen und Nutzer müssen klar zu erkennen geben, dass sie mit diesem Zweck der Datenverarbeitung einverstanden sind.
Viele Seiten nutzen bereits neue Cookie-Banner, die den aktiven Opt-In einfach ermöglichen. Wenn das auf Ihrer Seite noch nicht eingeführt ist, wird es Zeit, das nachzuholen. Wir unterstützen Sie gern dabei.
Ganz neu ist auch die Möglichkeit der Nutzung von sogenannten Diensten zur Einwilligungsverwaltung. Das bedarf allerdings noch einer genaueren Ausarbeitung durch die Gesetzgebung. Gemeint ist, dass Nutzerinnen und Nutzer mit diesen Dienste an einer zentralen Stelle Einstellung bezüglich Cookies und Co. verwalten können. Zum Beispiel über den Browser. Die Dienste geben dann an die jeweilige Website die Datenschutz – Einstellungen weiter. Dadurch entfällt das Ausfüllen der Banner, da dies im Hintergrund bereits über die Dienste zur Einwilligungsverwaltung geschieht.
2. Datenschutz auf Website bei personenbezogenen Daten für Werbezwecke
In der EU-DSGVO gibt es interessanterweise keine detaillierten Regelungen für Werbemaßnahmen. Vielmehr gelten die allgemeinen Bestimmungen, die die Verarbeitung personenbezogener Daten regeln. In Art. 5 Abs. 1 heißt es dazu unter anderem:
- Die Daten müssen nachvollziehbar verarbeitet werden (Datentransparenz) und dem Zweck angemessen sein.
- Sie dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden sowie auf das Nötigste beschränkt sein (Datenminimierung).
Ansonsten ist für die Werbebranche Art. 6 wichtig, der die Rechtmäßigkeit der Verarbeitung personenbezogener Daten regelt. Dort heißt es sinngemäß: Werbung ist dann zulässig, wenn entweder eine wirksame Einwilligungserklärung vorliegt oder eine Interessenabwägung vorgenommen wurde. Einer Form der Information bedarf es in jedem Fall. Das heißt: Für Personen, die personenbezogene Werbung bekommen, muss deren Erhalt vernünftigerweise erwartbar sein. Hinweise zum Beispiel in der Datenschutzerklärung, die die Verwendung der Daten klar und transparent kommunizieren, könnten ein solcher Fall sein.
Auf der sicheren Seite ist man, wenn man sich eine eindeutige Zustimmung geben lässt. Das kann über Cookie-Banner, Bestätigungs-E-Mails, ein analoges Formular o.ä. erfolgen. Je nachdem wie der Einsatz personenbezogener Daten für die Werbung gestaltet ist, können sich unterschiedliche Formen anbieten. Bei Newslettern gibt es beispielsweise den Double-Opt-In. Das heißt, nach Eintragung für den Newsletter erfolgt eine Bestätigungsanfrage per E-Mail.
Zusätzlich wird in Art. 21, der das Widerspruchsrecht regelt, die Direktwerbung ausdrücklich erwähnt. Dort heißt es in Abs. 2: „Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.“
Werbung rechtskonform angehen3. Recht auf Löschung und digitales Erbe
Mit der DSGVO machte die EU einen großen Schritt in Richtung „Recht auf Vergessenwerden“. So geht aus Art. 17 DSGVO hervor, dass dieses Recht zwar naturgemäß besonders für das Internet bedeutend ist, aber grundsätzlich auf alle personenbezogenen Datenverarbeitungsprozesse anzuwenden ist.
Beim Datenschutz auf der Website spielt auch das eine Rolle. So müssen Daten gelöscht werden, wenn der Zweck für die Datenverarbeitung weggefallen ist, der Betroffene seine Einwilligung widerruft oder die Daten unrechtmäßig verarbeitet wurden. Das schließt jetzt neu ein, dass ein Unternehmen künftig auch Dritte über die gewünschte Datenlöschung informieren muss. Ausnahmen zu Art. 17 gibt es aber im Rahmen der Pressefreiheit, zu Forschungszwecken oder wenn Interessen der Allgemeinheit zu berücksichtigen sind.
Das neue TTDSG regelt seit neuestem auch den digitalen Nachlass. Nach umstrittenen Gerichtsverfahren reagiert man mit dem Gesetz endlich auf diese Frage. Soweit von der betreffenden Person zu Lebzeiten keine anderweitige Erklärung abgegeben wurde, erhalten Erben Zugriff auf alle digitalen Rechtspositionen. Anbieter müssen Ihnen daher den Zugang beispielsweise zur Bestellhistorie, den Chatverläufen und Guthaben gewähren.
Auch für Online-Dienste bedeutet das eine bessere Rechtsicherheit und erspart ihnen individuelle Abwägungen. Nach Vorlage entsprechender Dokumente müssen sie den Erben den Zugang ermöglichen. Rechte aus dem Fernmeldegeheimnis wurden ebenso mit dem neuen Gesetz geregelt. Auch sie gehen auf die Erben über.
4. Umgang mit Datenpannen
Nach wie vor wird der Umgang mit Datenpannen maßgeblich von der DSGVO geregelt. Mit Art. 33 und 34 DSGVO sieht diese eine verstärkte Meldepflicht in dem Bereich vor. So muss eine Meldung an die Aufsichtsbehörde immer erfolgen, es sei denn, es gibt voraussichtlich kein Risiko für Betroffene. Eine direkte Information Betroffener muss aber nur dann erfolgen, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht.
Zudem sind die Art der Daten sowie der Grund für die Schutzverletzung personenbezogener Daten unerheblich. Eine Meldung ist in jedem Fall nötig. Diese kann auch kumulativ erfolgen. Das ist zum Beispiel wichtig, wenn zu Beginn noch nicht alle Einzelheiten klar sind oder sich mit der Zeit neue Informationen ergeben.
5. Wann ist ein Beauftragter für den Datenschutz auf der Website nötig?
Für Unternehmen und andere Organisationen in Deutschland ergeben sich in Bezug auf den Datenschutzbeauftragten durch die DSGVO kaum neue Regelungen. Ein Datenschutzbeauftragter muss weiterhin bestellt werden, wenn mindestens zehn Personen ständig damit beschäftigt sind, personenbezogene Daten automatisiert zu verarbeiten. Für Handwerksbetriebe sowie kleine und mittlere Unternehmen gilt dabei eine Ausnahme. Sie müssen erst ab 20 Beschäftigten in diesen Bereich einen Datenschutzbeauftragten ernennen.
Unabhängig von der Mitarbeiteranzahl ist ein Datenschutzbeauftragter unter anderem dann nötig, wenn personenbezogene Daten für Zwecke der Markt- und Meinungsforschung verwendet werden.
Sanktionen bei Verstößen beim Datenschutz auf der Website
Bei Datenpannen und Datenschutzverstößen kann es richtig teuer werden. Insbesondere die Sanktionen bei Verstößen gegen die DSGVO sind oft kostspielig. Art. 83 Abs. 4 bis 6 DSGVO erläutert die Bedingungen für eine Geldstrafe. Im drastischsten Fall sieht die EU-Verordnung einen Bußgeldrahmen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes vor – je nachdem welcher Betrag höher ist.
Diese werden durch neuere Bestimmungen wie dem neuen TTDSG nicht ausgehebelt. Hier sind die Bußgelder zwar verhältnismäßig gering, können aber zusätzlich zur Sanktion nach DSGVO erhoben werden.
Besonders interessant ist, dass die DSGVO ausdrücklich betont, dass bei weltweit tätigen Unternehmen tatsächlich der Jahresumsatz der gesamten Unternehmensgruppe gemeint ist.
Erschwerend wirken sich beispielsweise frühere Verstöße aus, mildernd dagegen, wenn ein betroffenes Unternehmen mit der Aufsichtsbehörde zusammenarbeitet und kooperativ Auskünfte im Rahmen einer Untersuchung erteilt.
Die weitgehenden Sanktionsmöglichkeiten machen eines deutlich – Verstöße gegen den Datenschutz werden inzwischen empfindlich geahndet. Konzerne, mittelständische Unternehmen und Kleinbetriebe sind daher genauso wie Vereine und Verbände gut beraten, sich möglichst schnell mit den neuen Datenschutzvorgaben zu beschäftigen.
- Barrierefreiheitsstärkungsgesetz Gesetzliche Pflicht zur Barrierefreiheit: Was das BFSG 2025 für Websites bedeutet
- Usability und User Experience (UX) einer Website Auf Bedienungsfreundlichkeit getrimmte Webseiten sind ultimativ erfolgreicher
- Employer Branding Jobbörsen oder eigene Website – was Ihr Employer Branding optimal unterstützt
- Google My Business heißt jetzt Google Business Profile Präzises „Google Business Profile“ – für Unternehmen so wichtig
- Werbung auf Instagram Werbung auf Instagram – welches Potential steckt in der lebhaften App?
- WordPress Agentur Augsburg 1ste Wahl WordPress – was unsere Agentur daraus macht
- Google Werbung professionell betreuen Google zertifiziert OUTLINE offiziell als Partner Agentur
- Go-digital Förderung 2024 Förderprogramm Go Digital 2024 beendet
- Webdesign Inspiration Inspiration fürs Webdesign: Mit knalligen Farben zur echten Hingucker-Website