Springe zum Inhalt

Die Datenschutzerklärung auf Webseiten: Das muss drinstehen

Auf jeder Webseite muss eine Datenschutzerklärung vorhanden sein. Sie muss neben Standardtexten auch Erklärungen zu verwendeten Komponenten wie Google Analytics enthalten. Wie findet man heraus, welche Komponenten verwendet werden?

website Bild

Das Problem

Eine Datenschutzerklärung muss vollständig sein, ansonsten ist sie angreifbar: Es drohen Abmahnungen, Bußgelder und im harmlosesten Fall Prüfungen von Behörden. Genau wie eine Steuerprüfung ist eine Datenschutzprüfung keine lustige Angelegenheit und man freut sich, wenn sie vermieden werden kann.

Vollständig kann eine Datenschutzerklärung nur sein, wenn alle auf der Website verwendeten Komponenten Dritter dort aufgeführt sind. Beispiele für solche Komponenten:

  • Karten: Google Maps, Bing Maps, OpenStreetMap
  • Analyseprodukte: Google Analytics, eTracker, WebTrekk, Piwik, Quantcast, WebTrends, Outbrain, INFOnline, Wiredminds
  • Social Media Widgets: Facebook Like Button, Twitter Share Button, XING Share Button, AddToAny
  • Newsletter Formulare: Mailchimp, Cleverreach
  • Chat-Widgets zur Kundeninteraktion: Tawn Live Chat, Zendesk
  • Videos: YouTube, Vimeo, Veeseo, Lemonwhale
  • Werbeeinblendungen: Google AdSense, AdTech, Meetrics, Affilinet, Adition, Adsnapper, Storify, Doubleclick
  • Alle über IFRAME eingebundenen Inhalte wie Booking.com, Google Search API, Google Docs Formulare, Paypal Bezahlformulare

Zu Analysewerkzeugen und anderen Komponenten, die Daten erheben, muss dem Nutzer eine Abwahlmöglichkeit (Opt-Out) zur Verfügung gestellt werden.

Neben diesen spezifischen Angaben müssen eine Reihe von allgemeinen Informationen abrufbar sein. Dazu gehören:

  • Server Logs: Welche Protokolldaten werden beim Aufruf einer Seite erzeugt?
  • Auskunftsrecht über gespeicherte personenbezogene Daten
  • Widerruftsrecht zu gespeicherten Daten
  • Recht auf Löschung von gespeicherten Daten
  • Recht auf Sperrung gegen erneute Speicherung personenbezogener Daten

Weitere Empfehlungen für die Erklärung sind am Ende dieses Artikels zu finden.

Datenschutzinhalte hängen von der Website ab

Der Inhalt der Datenschutzseite hängt also maßgeblich davon ab, wie die Website aufgebaut ist und welche Bestandteile sie besitzt. Diese Erkenntnis klingt logisch, wird aber von fast keiner deutschen Website praktisch umgesetzt.
Eine Webseite besteht im Schnitt aus ca. 300 Seiten. Niemand ist in der Lage, diese Anzahl an Seiten manuell vernünftig zu untersuchen. Ganz zu schweigen davon, dass manche Bibliotheken sich nur identifizieren lassen, wenn man den Quellcode einer Seite durchsucht.

Konsequenzen bei Verstößen

Bei Verstößen gegen Datenschutzgrundsätze drohen Bußgelder aus Ordnungswidrigkeiten (§ 16 TMG) von aktuell bis zu  50000 Euro. Mit Einzug der Datenschutzreform DS-GVO können diese Bußgelder sicher höher ausfallen, zumal ab 25. Mai 2018 die Beweislast umgekehrt wird. Weiterhin können wettbewerbsrechtliche Abmahnungen die Folge sein (§ 4 UWG).

Die Lösung

Für kleine Webseiten mit wenigen Seiten (Pages) kann man manuell schnell ermitteln, welche sichtbaren Komponenten verwendet werden. Bei größeren Webpräsenzen ist das manuell kaum möglich. Ein technisches Grundverständnis ist dabei immer hilfreich und teils notwendig.

Unsichtbare Bibliotheken und Tools wie Google Analytics oder andere Tracker kann man zu einem guten Teil leicht zusammensuchen, wenn ein Content Management System (CMS) verwendet wird. Bei WordPress etwa zeigt die Plugin-Übersicht, welche Komponenten eingesetzt werden. Doch diese Methode ist mit Vorsicht zu genießen:

Erstens verwenden manche Plugins im Hintergrund Drittbibliotheken, ohne dass dies erkennbar wäre. Zweitens kann im Quellcode eines Beitrags eine Komponente über ein Script eingebunden sein. Das würde man nur erkennen, wenn man sich jeden Beitrag anschaut. Und drittens laden manche Komponenten wie der Google Tag Manager Bibliotheken dynamisch nach.

Die einzige halbwegs zuverlässige Möglichkeit, die verwendeten Tools auf einer Webseite zu ermitteln, ist ein automatischer Scan. Um die Zuverlässigkeit zu steigern, muss im Anschluss eine manuelle Nachprüfung stattfinden. Erst dann besteht eine hohe Sicherheit, eine vollständige und somit rechtmäßige, abmahnsichere Datenschutzerklärung zu erhalten.

Unser Webseitenschutzpaket bietet genau das:

  1. Automatischer Scan einer gesamten Webseite mit allen erreichbaren Seiten
  2. Automatischer Scan von Spezialseiten, die normalerweise nicht zugänglich sind
  3. Manuelle Prüfung wichtiger Kriterien, wie Erreichbarkeit des Impressums
  4. Manuelle Prüfung aller verwendeten Komponenten und Gegenprüfung der Datenschutzerklärung
  5. Konkrete Empfehlungen und Lösungen für unvollständige Datenschutzerklärungen
  6. Konfigurationshinweise für rechtswidrig eingesetzte Komponenten

Zum letzten Punkt ein Beispiel: Der Facebook Like-Button darf in seiner von Facebook angebotenen Form nicht auf Webseiten für den deutschen Markt verwendet werden.

Weil juristische Expertise bei Empfehlungen für den Datenschutz eine Rolle spielt, arbeiten wir mit einer Anwaltskanzlei für IT-Recht zusammen. Unsere Erfahrung zeigt, dass Websites, die nur von Anwälten betreut werden, fast immer gravierende Verstöße enthalten. Die Reaktion der Anwälte, die wir mit diesen Verstößen und einem Angebot zur Behebung dieser konfrontieren ist dann oft, dass sie geltendes Recht abstreiten oder meinen, die Probleme selbst lösen zu können, die sie bisher nicht lösen konnten.

Entscheiden Sie selbst und nehmen Sie unser risikoloses Angebot in Anspruch: Finden wir keine gravierenden Verstöße, erhalten Sie unsere Leistung kostenfrei, hilfreiche und konstruktive Hinweise inklusive.

Weitere Empfehlungen

Es ist grundsätzlich nicht verboten, die Datenschutzerklärung in Form eines eigenen Abschnitts im Impressum unterzubringen. Wir raten jedoch dazu, die Erklärung auf einer eigenen Seite unterzubringen oder zumindest über einen eigenen Link von jeder Seite aus aufrufbar zu machen.

Der Link zur Datenschutzerklärung muss mit maximal zwei Klicks erreichbar sein. Bei responsivem Design für Smartphones sollte der Link nicht nur über ein Hamburger-Menü angezeigt werden, sondern auch immer sichtbar in der Fusszeile. Vergleiche diese Webpräsenz: In der Desktop-Auflösung ist der Datenschutzlink ganz oben und ganz unten zu sehen. In der mobilen Ansicht verschwindet der obere Link im zugeklappten Menü und der Fusszeilenlink ist weiterhin permanent sichtbar.

Der Link zur Datenschutzerklärung sollte eindeutig benannt sein, also mit Datenschutzerklärung, Datenschutz o.ä. Es sollte sich um einen eigenen Link handeln, zusätzlich zu dem für das Impressum.

In der Erklärung sollte die Art der Datenverwendung genannt sein. Werden personenbezogene Daten erhoben, muss der Zweck genannt werden. Bei Newslettern oder Kontaktformularen sind Standardklauseln oft geeignet, müssen aber geprüft und ggf. angepasst werden.

Nennen Sie den Datenschutzbeauftragten auf Ihrer Webseite! Sie sind dazu zwar nicht direkt gesetzlich verpflichtet, können damit aber Ihren Kunden zeigen, dass Sie Datenschutz ernst nehmen. Im Zweifel ist es auch die sicherere Variante, falls es zu einem Streitfall kommt. Einen Datenschutzbeauftragten (DSB) muss jede Firma stellen, die mehr als neun Mitarbeitern regelmäßig mit der Verarbeitung personenbezogener Daten beauftragt. Das ist so gut wie immer der Fall, wenn die genannte Anzahl an Mitarbeitern einen Computerarbeitsplatz besitzt. Firmen mit mehr als 250 Mitarbeitern müssen ebenfalls einen DSB bestellen. Außerdem jeder Betrieb, der regelmäßig personenbezogene Daten verarbeitet. Zu dieser Kategorie gehören nach unserer Auffassung alle Betriebe mit einer öffentlichen Website, weil seit 2017 Internetadressen als personenbezogene Daten angesehen werden müssen.

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen