Datenschutz bei Webseiten und Apps - 10 Themen, die Sie beachten sollten (Checkliste/DSGVO)

Photo by UX Store on Unsplash
Dr. Thomas Helbing

Dieser Beitrag gibt einen Überblick über Anforderungen des Datenschutzrechts (DSGVO) bei der Gestaltung von Webseiten, Apps und Online-Plattformen.

Er richtet sich an alle Personen, die Webseiten konzipieren, beauftragen, entwickeln oder verantworten oder zum Datenschutz beraten (z.B. Auftraggeber von Webseitenprojekten in Unternehmen, Online- und Web-Agenturen, Softwareentwickler, Datenschutzbeauftragte, Rechtsanwälte und Datenschutzberater).

Der Beitrag ist bewusst so geschrieben, dass er kein vertieftes technisches oder juristisches Vorwissen voraussetzt. Dies und die Komplexität des Themas bedingen jedoch eine gewisse Verallgemeinerung und vereinfachte Darstellung. Ziel des Beitrags ist es, Bewusstsein für relevante Themen zu schaffen und nicht, sämtliche datenschutzrechtliche Fragen eingehend zu behandeln.

Inhaltsübersicht

  1. Datenschutzhinweise
  2. Auftragsverarbeiter
  3. Tracking
  4. Cookies und Cookie-Banner
  5. E-Mail Werbung / Newsletter
  6. Eingabeformulare
  7. Anbieter außerhalb der EU/des EWR
  8. Plugins
  9. Verzeichnis der Verarbeitungstätigkeiten
  10. Apps

1. Datenschutzhinweise

Enthält die Webseite aktuelle Datenschutzhinweise, die die konkreten Webseiten-Funktionen erläutern und alle gesetzlichen Pflichtangaben enthalten?

Die Webseite muss Datenschutzhinweise enthalten, d.h. einen Text, der den Umgang mit personenbezogenen Daten erklärt. Andere Bezeichnungen sind „Datenschutzerklärungen“, „Datenschutzinformationen“ oder „Privacy Policies“.

Bereits das Speichern der IP-Adresse eines Seitenbesuchers in einem Logfile stellt eine Verarbeitung personenbezogener Daten dar, über die zu informieren ist.

Für jede Webseitenfunktion (z.B. Kontaktformular, Bestellformular, Tracking) müssen folgende Fragen beantwortet werden:

  • Welche Daten werden erhoben?
  • Wofür werden die Daten genutzt?
  • Wie lange werden die Daten gespeichert?
  • Welche internen und externen Stellen erhalten die Daten?
  • Was ist die rechtliche Grundlage der Verarbeitung?

„Webseiten-Funktionen“ meint alle Funktionalitäten und Techniken einer Webseite, bei denen personenbezogene Daten verarbeitet werden. Webseiten-Funktionen sind z.B.

  • Eingabeformulare (Kontaktformular, Bestellformular für Newsletter)
  • Techniken zur Analyse des Verhaltens von Besuchern der Webseite (z.B. Logfiles, Tracking-Tools von Google, e-Tracker oder Adobe) , und
  • die Einbindung von Social-Media Plugins (z.B. Like-Buttons) und Marketing Tags (z.B. Google Remarketing).

Eine Übersicht über weitere mögliche Webseiten-Funktionen gibt mein „Formular/Checkliste zu Erfassung von Webseiteninhalten für Datenschutzerklärungen“. Das Formular kann genutzt werden, um alle für die Erstellung von Datenschutzhinweisen erforderliche Informationen abzufragen und dies zu dokumentieren.

Bei neuen oder geänderten Webseiten-Funktionen (z.B. Eingabeformulare, Tracking-Tools) müssen die Datenschutzhinweise ggf. angepasst werden.

2. Auftragsverarbeiter

Wurde mit allen Dienstleistern, die als Auftragsverarbeiter tätig sind (z.B. Hoster, Tracking-Tool Anbieter) entsprechende Datenschutzverträge geschlossen und wurden die Dienstleister geprüft?

Werden Webseiten-Funktionen (z.B. Plugins) von externen Anbietern bereitgestellt und dabei personenbezogene Daten verarbeitet oder haben die Anbieter Zugriff auf die Daten, so liegt häufig eine Auftragsverarbeitung vor. Mit den Anbietern müssen dann Auftragsverarbeitungsverträge geschlossen werden und die Datensicherheit der Anbieter muss geprüft und dokumentiert werden. Bei der Anbieterauswahl sollte abgefragt und berücksichtigt werden, ob diese entsprechende Verträge anbieten und eine Dokumentation ihrer Datensicherheitsmaßnahmen vorweisen können.

Beispiele

  • Tracking-Anbieter wie Google Analytics, Adobe oder eTracker
  • Anbieter von Funktionen zur Integration von Online-Bewerbungen in die eigene Webseite
  • Anbieter von Newsletter-Anmelde-Funktionen, die in die eigene Webseite integriert werden
  • Anbieter von Newsletter-Tools (z.B. MailChimp, CleverReach)
  • Anbieter von Online-Umfragen (z.B. Rogator)
  • Hosting-Anbieter (nicht: bloße Anbieter von Housing/Co-Location Diensten, die keinen Zugriff auf die Daten haben)

Auch Anbieter, die im Rahmen ihrer Leistungserbringung Zugriff auf personenbezogene Daten nehmen, sind Auftragsverarbeiter (z.B. Web-Agentur oder Entwickler mit Zugriff auf die Datenbank, Webserver oder Analytics-Daten).

Keine Auftragsverarbeiter sind Anbieter, die Daten in eigner Verantwortung nutzen, z.B. Google bei der Bereitstellung von Google Maps, Facebook bei der Bereitstellung von Like-Buttons. In diesen Fällen kann der Abschluss spezieller Vereinbarungen  zur gemeinsamen Verantwortlichkeit (Joint-Controller Agreements) nötig sein.

3. Tracking

Ist die datenschutzrechtliche Zulässigkeit beim Einsatz von Tracking-Technologien sichergestellt?

Mit „Tracking-Technologien“ sind Verfahren gemeint, mit denen das Verhalten von Webseitenbesuchern oder E-Mail Empfängern erfasst, gespeichert und ausgewertet wird. Entsprechende Tools sind zum Beispiel Matomo/Piwik, Google Analytics, Adobe Analytics oder HubSpot.

Sofern die Daten über das Nutzungsverhalten mit einer namentlich bekannten Person verknüpft werden (z.B. E-Mail Adresse eines Kunden oder Interessenten), muss vorher eine explizite und informierte Einwilligung eingeholt werden. Die Umsetzung einer solchen Einwilligung ist beim Tracking von Webseitenbesuchern mit technischem Aufwand verbunden und schränkt den Umfang des Trackings stark ein, da ohne Einwilligung kein Tracking erfolgen darf.  Für die Einwilligung muss der Nutzer eine aktive Handlung vornehmen (z.B. Häkchen setzen). Der Hinweis, dass ein Weitersurfen als Einwilligung gilt, genügt nicht.

Wenn keine Einwilligung eingeholt werden soll, sind dennoch nachfolgende vier Punkte zu beachten:

  • Die Nutzungsdaten dürfen nicht einer Person direkt zugeordnet werden, sondern sind unter einem Pseudonym zu speichern. Pseudonym bedeutet eine Kennzahl oder eine Cookie-ID. Ergänzend ist sicherzustellen, dass das Pseudonym nicht mit unmittelbar identifizierenden Angaben zur Person (z.B. Name, Depotnummer, E-Mail Adresse) zusammengeführt wird.
  • Die Nutzungsdaten dürfen keine IP Adressen enthalten oder die IP-Adressen dürfen nur verkürzt gespeichert werden.
  • Der Nutzer muss die Möglichkeit haben, dem Tracking zu widersprechen (z.B. über einen Link in den Datenschutzhinweisen, wodurch ein Opt-Out-Cookie gesetzt wird).
  • Über Umfang, Speicherdauer und Verwendungszweck ist in den Datenschutzhinweisen zu informieren, ebenso über die Widerspruchsmöglichkeit.

Hierdurch kann das Risiko eines Datenschutzverstoßes reduziert werden. Die datenschutzrechtliche Zulässigkeit und die Anforderungen an den Einsatz von Trackingverfahren sind derzeit aber nicht abschließend geklärt, sodass ein Restrisiko verbleibt. Insbesondere nehmen Datenschutz-Aufsichtsbehörden in Deutschland teilweise an, dass auch bei einem pseudonymisierten Tracking eine Einwilligung der Kunden nötig sei, jedenfalls bei Webseiten- und geräteübergreifendem Tracking (etwa. Universal Analytics von Google). Diese Ansicht ist jedoch umstritten.

Bei externen Tracking-Anbietern ist zudem in der Regel ein Auftragsverarbeitungsvertrag zu schließen.

Die Einhaltung dieser Anforderungen sollte bereits bei der Anbieterauswahl geprüft und berücksichtigt werden.

4. Cookies und Cookie-Banner

Wird der Einsatz von Cookies erläutert und wird - soweit erforderlich - eine Einwilligung des Nutzers vor Setzen des Cookies eingeholt?

Die Rechtslage in Bezug auf Cookies ist in Deutschland aufgrund der fehlenden bzw. unzureichenden Umsetzung der ePrivacy-Richtlinie ins deutsche Recht und der noch im EU-Gesetzgebungsverfahren befindlichen ePrivacy Verordnung unklar.

Sofern Cookies der Verarbeitung personenbezogener Daten dienen, muss deren Einsatz jedenfalls in den Datenschutzhinweisen erläutert werden.

Ergänzend ist im Einzelfall zu prüfen, ob vor dem Setzen eines Cookies eine Einwilligung des Nutzers eingeholt werden muss:

  • Cookies, die zur technischen Bereitstellung der Webseite erforderlich sind, und bei Schließen des Browserfenster gelöscht werden, bedürfen in der Regel keiner Einwilligung (z.B. Session-Cookies, Cookies zur Realisierung von Warenkörben oder zur Nutzerauthentifizierung, Cookies zur Lastverteilung von Webservern).  
  • Auch Cookies, die Einstellungen des Nutzers betreffend die Benutzeroberfläche speichern, sind in der Regel ohne Einwilligung zulässig (z.B. gewählte Sprache oder Schriftgröße).
  • Cookies, die Marketingzwecken dienen und auch an Dritte (z.B. Google) übermittelt werden und bei Schließen des Browser nicht gelöscht werden, bedürfen möglicherweise einer Einwilligung.

Sofern eine Einwilligung erforderlich ist, gilt:

  • Der Cookie darf erst gesetzt werden, wenn eine aktive Zustimmungshandlung des Nutzers vorliegt (z.B. Klicken eines Buttons oder Setzen eines Häkchens). Schweigen oder „Weitersurfen“ ist keine Einwilligung.
  • Der Hinweis in einem „Cookie Banner“, wonach die weitere Nutzung der Webseite als Zustimmung zum Setzen von Cookies gewertet wird, ist mit Blick auf die Eindeutigkeit und Nachweisbarkeit der Einwilligung als ungenügend anzusehen.

5. E-Mail Werbung / Newsletter

Werden bei der Erfassung und Nutzung der E-Mail Adresse für Werbe-E-Mails die Anforderungen des Datenschutzes beachtet?

Zu den datenschutzrechtlichen Anforderungen siehe bitte meine bald erscheinende Handreichung „Datenschutz bei Direktwerbung“.

Sofern ein Tracking das Nutzungsverhalten von E-Mail Empfängern verfolgt, sind ergänzend die Anforderungen aus dem Abschnitt „Tracking“ zu beachten. Beispiele für ein solches Tracking sind die Erfassung und Auswertung, wann welche E-Mails geöffnet, gelesen oder weitergeleitet wurden oder welche Links in E-Mails angeklickt wurden. Sofern diese Informationen einer konkreten E-Mail Adresse zugeordnet werden können, bedarf das Tracking einer vorherigen informierten datenschutzrechtlichen Einwilligung. Diese Einwilligung sollte unabhängig von der Einwilligung in die Zusendung von Werbemails erteilt und widerrufen werden können.

6. Eingabeformulare

Werden mittels Eingabeformularen nur die notwendigen Daten erhoben und ist die Datenverwendung transparent?

Bei allen Online-Formularen, über die Besucher personenbezogene Daten eingeben können, sind für jedes Datenfeld die folgenden Anforderungen zu beachten (Beispiele für Online-Formulare sind Kontakt- und Feedbackformulare, Umfragen, Newsletter-Bestellungen oder Formulare zum Download von Infomaterialien):

  • Ist ersichtlich wofür die Information benötigt wird (Nutzungszweck)?
  • Wenn die Information nicht zwingend benötigt wird, ist die Eingabe dann optional ausgestaltet?
  • Ist ersichtlich, ob es sich um ein Pflichtfeld oder ein freiwilliges Feld handelt?

Der Nutzungszweck kann in den Datenschutzhinweisen erläutert werden. Es empfiehlt sich, unterhalb des Formulars einen Link auf die jeweilige Passage der Datenschutzhinweise zu integrieren (z.B. „Einzelheiten zur Nutzung Ihrer Kontaktdaten finden Sie in Ziffer 5 der Datenschutzhinweise.“). Der Nutzungszweck kann auch bei einzelnen Feldern als Erläuterung oder „Tooltip“ erklärt werden (z.B. „Ihr Geburtsdatum nutzen wir, um Ihr Alter für die Volljährigkeitsprüfung zu ermitteln.“).

Eine explizite Bestätigung oder Einwilligung in die Datenschutzhinweise innerhalb eines Formulars ist unnötig und falsch (Falsch:„[  ] Ich akzeptiere die Datenschutzhinweise“). Ausnahmen gelten nur dann, wenn für eine bestimmte Datennutzung ausnahmsweise eine Einwilligung nötig ist (etwa bei der werblichen Nutzung).

7. Anbieter außerhalb des EWR

Werden bei der Nutzung von Anbietern außerhalb des Europäischen Wirtschaftsraums (EWR) die besonderen Anforderungen an den Datenexport gewahrt?

Wenn Tools oder Technologien von Anbietern außerhalb des EWR genutzt werden (heißt die EU plus Norwegen, Island, Liechtenstein) und diese Zugriff auf personenbezogene Daten erhalten (z.B. mit IP-Adressen verknüpfte Daten), liegt ein sogenannter „Datenexport in ein unsicheres Drittland“ vor (sofern es sich nicht um bestimmte „sichere“ Drittländer handelt wie die Schweiz, Israel oder Japan).

Ein solcher Datenexport ist nur unter besonderen Voraussetzungen zulässig. Die besonderen Anforderungen gelten auch, wenn es sich um einen EU-Anbieter handelt, der für die Diensteerbringung auf Leistungen eines Unternehmens in einem Drittland zugreift (z.B. US-Muttergesellschaft).

Beispiele: Nutzung von Amazon Web Services, Dienste der Google LLC, MailChimp.

Bei Anbietern in den USA genügt eine Selbstzertifizierung nach dem Privacy Shield. Ob eine solche vorliegt, kann über die Datenschutzerklärung des Anbieters oder über https://www.privacyshield.gov/list ermittelt werden. Liegt eine solche Zertifizierung nicht vor, sind in der Regel von der EU-Kommission vorgegebene Vertragsklauseln (sog. „EU Standardvertragsklauseln“) mit dem Anbieter zu vereinbaren.

Die Datenübermittlung in ein Drittland ist zudem in den Datenschutzhinweisen näher zu erläutern.

Vor dem Einsatz von Anbietern in Drittländern sollte die Einhaltung dieser Anforderungen abgeklärt werden.

8. Plugins

Wurde bei der Einbindung von Plugins eine „Zwei-Klick Lösung“ umgesetzt?

Werden Bausteine Dritter (Plugins, Skripte, Ein-Pixel-Bilder, iFrames oder ähnliches) in die eigene Webseite integriert, führt dies häufig dazu, dass beim Aufruf der eigenen Seite eine direkte Verbindung zwischen dem Browser des Besuchers und dem Server des Anbieters hergestellt wird. Hierbei kann der Anbieter die IP-Adressen des Besuchers ermitteln, Nutzungsdaten erfassen oder Cookies setzen.

Beispiele für solche Bausteine sind Social Media Plugins von Facebook, Google oder Twitter (z.B. Share oder Like Buttons), Google Maps oder der YouTube Player.

Der Einsatz dieser Bausteine ist datenschutzrechtlich oft kritisch, wenn die Verantwortungsverteilung zwischen dem Webseitenbetreiber und dem Anbieter und damit die vertraglichen Anforderungen unklar sind (Auftragsverarbeitung, gemeinsame oder getrennte Verantwortlichkeit). Zudem stellt der Anbieter häufig nur unzureichende Informationen zum Datenumgang bereit oder der Datenumgang durch den Anbieter entspricht nicht den Anforderungen der DSGVO.

Es ist im Rahmen einer Abwägung zu bewerten, ob der Baustein tatsächlich eingesetzt werden soll. Statt einer interaktiven Einbindung besteht zum Beispiel häufig die Möglichkeit, einen externen Link zu setzen (z.B. Link auf Google Maps mit der anzuzeigenden Adresse, Like-Link statt Like-Button).

Fällt die Entscheidung für ein Plugin aus, sollten folgende Vorkehrungen zur Reduzierung des datenschutzrechtlichen Risikos erwogen werden, insbesondere wenn keine Auftragsverarbeitung vorliegt:

  • Der Nutzer muss das Plugin durch einen Klick aktivieren, erst dann wird das Plugin integriert. Bis dahin wird nur ein Vorschaubild angezeigt (z.B. Zwei-Klick Lösung bei Like-Buttons oder c’ts Shariff Lösung).
  • In den Datenschutzhinweisen wird über die Funktionsweise des Plugins und die Aktivierung informiert.
  • Der Datenumgang durch den Anbieter wird in den Datenschutzhinweisen erläutert und ergänzend auf die Datenschutzhinweise des Anbieters verwiesen.

9. Verzeichnis der Verarbeitungstätigkeiten

Sind die Webseiten-Funktionen im „Verzeichnis der Verarbeitungstätigkeiten“ dokumentiert?

Webseiten-Funktionen können eine sogenannte „Verarbeitungstätigkeit“ darstellen, die in dem „Verzeichnis der Verarbeitungstätigkeiten“ des Webseitenbetreibers zu dokumentieren ist.  Hierbei handelt es sich um eine von der DSGVO geforderte Dokumentation, die faktisch jedes Unternehmen führen muss.

Nicht jedes Eingabeformular oder Tool muss jedoch in das Verzeichnis aufgenommen werden. Von einer Dokumentationspflicht ist aber dann auszugehen, wenn Funktionen der Webseite einem übergeordneten „größeren“ Zweck dienen oder Teil eines anderen (Offline-)Verfahrens sind.

Beispiele für Verarbeitungen mit Webseiten-Bezug, die im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren sind: Newsletter-Abonnenten-Verwaltung, Online-Bewerbungsplattform oder Tools zur Analyse der Webseitenbesucher.

10. Apps

Wenn das Unternehmen Kunden bzw. Nutzern eine native-App (z.B. für iOS oder Android) bereitstellt und nach außen als App-Anbieter auftritt: Wurden die besonderen datenschutzrechtlichen Anforderungen an Apps erfüllt?

Beispiele für solche Apps sind Self-Service-Apps für Mitarbeiter, Kunden-Apps oder Konferenz-Apps für Teilnehmer von Veranstaltungen.

Für die Apps bedarf es spezieller Datenschutzhinweise, die bereits vor Herunterladen der App im AppStore sowie später jederzeit aus der App heraus aufrufbar sein müssen. Der Entwickler oder Anbieter der App sollte hierzu dem Unternehmen Mustertexte oder Hintergrundinformationen zum Datenschutz bereitstellen. Zudem sind die Apps auf ihre Datenschutzkonformität hin zu prüfen.

Besonderes Augenmerk sind dabei auf folgende Datenschutzaspekte zu legen: Die App darf nicht mehr Berechtigungen als notwendig verlangen (z.B. Standortermittlung, Zugriff auf Kontakte) und es muss in den Datenschutzhinweisen erklärt sein, wann und wofür die Berechtigungen genutzt werden. Es muss deutlich sein, welche Daten erfasst und wo sie gespeichert werden (auf dem Smartphone oder in einem Backend). Die Kommunikation mit dem Backend muss verschlüsselt sein. Der Zugriff auf Gerätekennungen wie IMEI oder UDID ist restriktiv zu handhaben. Der Einsatz von Trackingtools ist kritisch zu hinterfragen.

Apps bedürfen daher spezieller Datenschutzhinweise. Ein bloßer Link auf die Datenschutzhinweise der Unternehmens-Webseite genügt nicht.

Stichwörter:
Webseiten Tracking Auftragsverarbeitung Datenschutzhinweise Newsletter Werbung Internationaler Datentransfer Apps Verzeichnis der Verarbeitungstätigkeiten Plugins Cookies
Rechtsgebiet
Datenschutzrecht