Springe zum Inhalt

Häufig gestellte Fragen zum Datenschutz auf Webseiten

Dieser Artikel gibt Antworten auf die häufigsten Fragen zum Thema Datenschutz auf Webseiten.

Kontaktformulare

Was muss bei Kontaktformularen und Newsletter-Formularen beachtet werden? Der Nutzer muss aktiv einwilligen, bevor seine eingegebenen Daten wie Email-Adresse oder Name oder Pseudonym verwendet werden dürfen. Daher ist die Verwendung einer Checkbox (Kontrollkästchen) stark anzuraten, siehe Erwägungsgrund 32 der DSGVO. Diese muss vom Nutzer aktiv angehakt werden, bevor das Formular abgeschickt werden kann. An der Checkbox sollten folgenden Angaben gemacht werden:
  • Hinweis, dass die eingegebenen Daten zum Zwecke der Beantwortung der Anfrage (bei Kontaktformularen) bzw. zum Zusenden interessanter Informationen zu einem bestimmten Thema (Newsletter) erhoben, gespeichert und verarbeitet werden
  • Hinweis zum Widerrufsrecht der eingegebenen Daten. Bei Newslettern muss ein Opt-Out Link in jeder Newsletter-Mail vorhanden sein
  • Verlinkung auf die eigene Datenschutzerklärung, etwa mit dem Text Siehe auch unsere Datenschutzhinweise
Prinzip der Datenminimierung: Das Kontaktformular sollte weiterhin so wenige Daten wie nötig abfragen. Nicht unbedingt erforderliche Eingabefelder bitte entfernen oder schlechtestenfalls als optional definieren. Welche Formulare sind betroffen? Alle Formulare, also insbesondere
  • Kontaktformulare
  • Kommentarfunktionen
  • Newsletter-Registrierungen
  • Gästebücher
  • Bewerbungsformulare
  • Formular für Rückrufbitte

Wer haftet für eine Webseite?

Derjenige, der im Impressum genannt ist, ist verantwortlich für die Webseite. Gibt es auch redaktionelle Inhalte, wie etwa ein Blog oder sonstige subjektive Meinungsäußerungen, ist der redaktionell Verantwortliche der Verantwortliche. Dieser muss gesondert im Impressum genannt sein! Was ist, wenn ich einen Homepage Baukasten habe: Haftet dann 1&1 oder Jimdo? Nein, Sie haften. So einfach ist das. Es kann theoretisch sein, dass Sie den Anbieter des Webseiten-Baukastens mit verantwortlich machen können. Das muss Ihnen aber erst einmal gelingen (1&1 = viel Geld) und abgesehen davon haften sie dennoch.

Ihr Webmaster/Dienstleister weigert sich, die Datenschutzerklärung anzupassen

Wenn Sie (etwa über unseren Datenschutz-Service) Ihrem Webmaster oder Ihre Internet-Agentur eine Datenschutzerklärung weitergegeben haben, sollte Ihr Dienstleister diese selbstverständlich einbauen. Wenn er sich weigert, dann sollte er einen guten Grund haben - den gibt es aber nicht, denn:
  • wenn es um das Thema Haftung geht, soll er Sie um eine Haftungsfreistellung bitten (schriftlich zu vereinbaren)
  • wenn es ein Kostenfaktor ist (etwa bei monatlicher Bezahlung einer Pauschale): Pech gehabt für Ihren Dienstleister, er muss dann eben ausnahmsweise wegen einer Gesetzesänderung einen Mehraufwand von wenigen Stunden in Kauf nehmen. Dafür kann er wahrscheinlich monatelang mit recht wenig Arbeit gutes Geld verdienen
  • das Bundesdatenschutzgesetz fordert in vielen Punkten das gleiche. Hat sich Ihr Dienstleister da auich künstlich aufgeregt?

Einwilligung für Newsletter vor DSGVO

Ist eine Einwilligung für den Erhalt von Newsletter-Mails, die vor dem 25. Mai 2018 eingeholt wurde, auch ab dem 25. Mai 2018 gültig? Ja, grundsätzlich schon, wenn die Einwilligung ordentlich eingeholt wurde, der Nutzer als informiert war über das, worin er einwilligt. Außerdem muss der Newsletter per Double Opt-In bestätigt worden sein. Eine Einwilligung erlischt übrigens auch nicht, das hat der Bundesgerichtshof am 01. Februar 2018 (Urteil des III. Zivilsenats vom 1.2.2018 - III ZR 196/17) festgestellt und somit Klarheit geschaffen. Vor dem BGH-Urteil haben verschiedene Gerichte nämlich einen zeitlichen Ablauf zwischen niemals (AG Hamburg), vier Wochen (LG Stuttgart) oder bis zu 4 Jahren (AG Bonn) gesehen.

Darf man zu viele Datenschutztexte einbauen?

Wir sagen: Ja. Denn erstens könnte es ja sein, dass man eine Komponente noch kürzlich verwendet hat und jetzt nicht mehr. Diese Komponente könnte sich noch im Google Cache (Zwischenspeicher) befinden, was u.U. als Abmahngrund gelten kann. Und zweitens sind Datenschutztexte in übersichtlichen Abschnitten gegliedert. Es sollte wirklich jedem zumutbar sein, einen Abschnitt, der den jeweiligen Leser nicht interessiert, zu überspringen. Sie sollten nur darauf achten, nicht jeden Begriff bis ins letzte zu erklären, Ihre Datenschutztexte ordentlich zu strukturieren und nicht übermäßig viel zu erklären. Wenn man die DSGVO-Vorgaben ganz streng auslegen würde (alles muss erklärt werden, alles muss verständlich erklärt werden, alles muss so kurz wie möglich erklärt werden, alles muss Zielgruppen-gerecht erklärt werden), dann wäre es nahezu unmöglich, eine DSGVO-konforme Datenschutzerklärung zu erstellen.

Bezahlung von Daten: Freebies

Bisher wr es üblich, gegen Herausgabe der Email-Adresse des Nutzers diesem ein kleines Geschenk (Freebie) zu gewähren. Mit der DSGVO wird das Kopplungsverbot eingeführt. Es verbietet es, solche kleinen Geschenke im Gegenzug für eine Email-Adresse zu gewähren. Die Email-Adresse als Lead Magnet hat also ausgedient, könnte man meinen. Das Kopplungsverbot kann auf mehreren Wegen entschärft werden:
  • Das Freebie kann kostenfrei durch Herausgabe einer Mailadresse oder kostenpflichtig durch Bezahlen erworben werden. Es gibt also zwei (oder mehr) Möglichkeiten, von denen der Nutzer eine frei wählen kann. Mindestens eine Möglichkeit muss den Erhalt der Freebies (was ja keines mehr ist, wenn der Nutzer dafür mit Geld oder Daten bezahlt) ohne Datenherausgabe beinhalten
  • Es handelt sich um eine Leistung, für die die Mailadresse zwingend erforderlich ist (was bei einem eBook in PDF-Form offensichtlich nicht der Fall ist)
  • Man bietet einen Newsletter an und gibt nach der Anmeldung (und nach Bestätigen der Mailadresse durch Double Opt-In) ein Freebies in Form eines Geschenks oder einen Tipp in Form eines eBooks als Ergänzung zum Newsletter. Das Freebie darf dann aber nicht ohne Newsletter erhältlich sein (dieser Weg ist nicht absolut rechtssicher, aber relativ risikofrei, insbesondere wenn der Newsletter im Mittelpunkt steht)
  • Man bietet das Freebie so an und fragt optional nach einer Mailadresse (wenn der Nutzer diese nicht angibt, hat man Pech gehabt)

Facebook Pixel

Darf der Facebook Pixel weiterhin eingesetzt werden? Wahrscheinlich ja. Sie müssen auf jeden Fall einen Datenschutztext für den Facebook Pixel in Ihrer Datenschutzerklärung angeben. Dort müssen Sie auch eine Abwahlmöglichkeit (Opt-Out) für den Pixel integrieren, siehe unsere Anleitung. Der Erweiterte Abgleich muss deaktiviert sein (ist aktuell im Facebook Standard so). Sie sollten Custom Audiences nicht verwenden. Genauer wissen wir es nach dem ersten Urteil ab dem 25. Mai 2018, aktuell reden wir von einer Mehrheitsmeinung.

Cookies

Dürfen Cookies weiterhin eingesetzt werden? Ja, selbstverständlich, sofern dies technisch notwendig ist. Und zwar gilt dies insbesondere für sogenannte Session Cookies, wie sie WordPress verwendet. Wenn Tracker wie Google Analytics ein Cookie setzen, sieht es schon anders aus. Hier gehen die Meinungen auseinander, auch wenn die absolute Mehrheit das Cookie Thema entspannt sieht. Die DSK (Datenschutzkonferenz) hat erst am 26. April 2018 ihre Meinung kundgetan, dass für Tracking Cookies eine vorige Einwilligung des Nutzers erforderlich sei - nach deren Meinung! Bei normalen Cookies (ohne Tracking) sollten Sie Ihre Nutzer nach aktueller Rechtslage nur informieren, ohne deren Einwilligung einzuholen. Übrigens sind Sie als Webseitenbetreiber erst einmal für gesetzte Cookies verantwortlich, auch wenn diese über ein Script kommen, dass ein Dritter Ihnen bereitstellt. Brauche ich einen Cookie Popup Hinweis? Wenn Sie Google Produkte einsetzen, dann schreibt Google dies in den Nutzungsbedingungen vor. Wenn Sie Tracking Cookies verwenden (also solche, die durch Analyse-Tools oder Tracking Pixel gesetzt werden), dann laut Meinung der Datenschutzkonferenz (DSK) vom 26.04.2018 ebenfalls ja. Wir empfehlen, einen Hinweis zu Cookies immer dann einzubauen, wenn Sie Cookies verwenden. Das ist insbesondere der Fall, wenn Sie WordPress, Typo3 oder ein anderes System dieser Art einsetzen. Achten Sie darauf, dass das Cookie Popup Banner die Links zu Impressum und Datenschutzerklärung nicht verdeckt!

Externe Dateien wie Bilder und Scripte

Müssen externe Dateien lokal auf meinem Server abgelegt werden? Nicht unbedingt, aber es ist sehr zu empfehlen. Das bedeutet: Wenn Sie Bilder, Scripte, Schriftarten, Videos oder andere Ressourcen von einem Server Dritter abrufen, sollten Sie diese nach Möglichkeit herunterladen und lokal auf Ihrem Server ablegen. Fazit: Sie sollten Bilder auf jeden Fall auf Ihrer Webseite (= Ihrem Server) ablegen und NICHT von externen Webseiten verlinken! Bei Google Fonts ist die Umsetzung technisch schwierigier, sollte aber vorgenommen werden. Wer vertraut bei der Firma Google darauf, dass alle Datenschutzgesetze transparent eingehalten werden? Was Videos angeht: Diese können wahrscheinlich auf YouTube abgelegt bleiben, wenn Sie den erweiterten Datenschutzmodus beim Abrufen des YouTube-Einbettungscodes aktivieren und in der Datenschutzerklärung die Verwendung dieser Videos ordentlich angeben. Wie legt man externe Dateien auf seiner Webseite lokal ab? Die Antwort ist für einen Webseiten-Experten einfach, daher fragen Sie diesen bitte, wenn Sie einen haben (Ihr Dienstleister sollte dies sein - oder Sie selbst, wenn Sie keinen Dienstleister haben). Das bedeutet konkret: Laden Sie die externe Datei herunter, speichern Sie diese lokal auf Ihrem Webspace (= Ihr Server) ab und binden Sie die nun lokal auf Ihrem Webspace vorhandene Datei ein. Was muss man ansonsten bei Bildern beachten? Sie müssen nicht mehr beachten, als bisher auch: Bilder dürfen nur verwendet werden, wenn dies urheberrechtlich erlaubt ist und wenn keine Persönlichkeitsrechts verletzt werden. Das war schon immer so.

Google Schriftarten

Zumindest für WordPress gibt es eine Lösung, Google Fonts lokal auf dem eigenen Webserver abzulegen anstatt sie von einem Google Server abzurufen. Man muss allerdings wissen, welche Schriftarten man einsetzt. Dazu den kostenfreien Dienst Google Webfonts Helper aufrufen. Dort links auf der Seite alle benötigten Schriftarten anklicken. Danach im Hauptbereich der Seite runterscrollen und auf den Button im Abschnitt Download files klicken. Die erhaltene Datei öffnen, es ist ein ZIP-Archiv. Den Inhalt dieser Archivdatei auf den eigenen Webspace in das Verzeichnis fonts hochladen. Hierzu ist etwas technisches Verständnis notwendig. Auf der Seite von Google Webfonts Helper ist unter Abschnitt 3 . Copy CSS ein Code angegeben. Diesen per Copy & Paste in WordPress in das Layout übernehmen. Dazu im WordPress Dashboard im Menü Designs das aktive Thema durch Klicken auf Customizer wählen. Danach im erscheinenden Vorschaubereich links auf Zusätzliches CSS klicken und im erscheinenden Eingabebereich den Code reinkopieren. Um zu verhindern, dass bisher über Google abgerufene Schriften geladen werden, verwendet man das Plugin Remove Google Fonts References. Es kann genutzt werden, auch wenn es schon etwas älter ist.

Externe Links

Verweise auf Webseiten Dritter sind erlaubt. Selbstverständlich ist der Inhaber der Webseite, auf die Sie verlinken, für seine Inhalte selbst verantwortlich und nicht Sie (auch wenn Sie darauf verlinken). Sie müssen Links auf externe Webseiten allerdings entfernen, wenn Sie Kenntnis erlangt haben, dass es sich um rechtswidrige Inhalte handelt.

Links auf YouTube-Kanal usw.

Selbstverständlich dürfen Sie auf Ihren YouTube Kanal, Ihre Facebook Fanpage oder Ihre Twitter Seite verlinken. Dafür müssen Sie keine Datenschutzerklärung angeben und nichts weiter beachten. Wir empfehlen allerdings, in Ihrer Datenschutzerklärung einen allgemeinen Passus einzubauen, den wir Ihnen im Rahmen unseres Datenschutz-Services liefern bzw. geliefert haben.

Affiliate Links

Sie sollten Werbe-Links als solche kennzeichnen, indem Sie auf der Seite mit dem Affiliate-Link einen Text wie Diese Seite enthält Werbe-Links anbringen. Sie können zusätzlich am Affiliate-Link einen Stern anbringen, der ebenfalls am genannten Text vorhanden ist, um die Rechtssicherheit weiter zu erhöhen. Am besten ist allerdings, direkt am Link anzugeben, dass es ein Werbe-Link ist (was zwar rechtlich am sichersten, aus Gründen der Vermarktung aber nicht unbedingt die beste Lösung ist). Links auf Webseiten Dritter, zu denen neben Affiliate Links auch ganz gewöhnliche Links zählen, sind an sich unproblematisch.

URL-Verkürzer wie bit.ly

Sie sollten URL Verkürzer von außereuropäischen Anbietern nicht mehr einsetzen, da beim Klick auf einen gekürzten Link der Anbieter des Kürzungsservices sowohl die Ursprungsseite als auch die Zielseite als auch die IP-Adresse des Nutzers erhält. Das kann man schon in gewisser Weise als Tracking bezeichnen. Unsere Empfehlung: Services wie bit.ty nicht mehr verwenden, suchen Sie sich einen anderen passensen Service aus Europa, wenn er unbedingt benötigt wird - und stellen Sie sicher, dass dieser Service eine Datenschutzerklärung bereithält, die DSGVO-konform ist.

Mehrsprachige Webseiten

Muss die Datenschutzerklärung auf Webseiten, die sich an mehrere Länder richten, in mehreren Sprachen bereitgestellt werden? Allgemein kann man diese Frage so beantworten - eine fallweise Betrachtung muss durch einen Anwalt erfolgen: Für alle Primärmärkte ist eine Datenschutzerklärung in der offiziellen Landessprache des Zielmarktes vorzuhalten. Für Sekundärmärkte reicht eine (generische) Datenschutzerklärung in englischer Sprache.

Was ist mit WordPress-Plugins?

Sie dürfen an sich Plugins einsetzen, müssen aber darauf achten, dass dadurch keine Daten an Dritte weitergegeben werden. Bei Anti-Spam Plugins etwa dürfen Sie die Option für eine globale Anti-Spam Datenbank nicht setzen, da dadurch die IP-Adressen Ihrer Nutzer an Dritte weitergegeben werden (von denen man nicht weiß, ob diese sich an unsere strengen Datenschutzregeln halten). Siehe auch unsere Infoseite für WordPress Plugins. Die meisten Plugins arbeiten im Hintergrund, d.h., auf Ihrem Server und nicht per Script im Browser Ihrer Webseiten-Besucher. Diese im Hintergrund arbeitenden Plugins können wir meist nicht untersuchen. Für einige geben wir allerdings dennoch Empfehlungen und Hinweise (siehe Link im Absatz vorher).

AV-Verträge

AV-Verträge müssen ab dem 25.05.2018 nicht mehr unbedingt schriftlich vorliegen, sondern können auch in elektronischer Form geschlossen werden (siehe Art. 28, Abs. 9 DSGVO). Bis dahin gilt noch das BDSG (schriftliche Vertragsform). WordPress Themes und harmlose Plugins dürfen Sie für gewöhnlich ohne AV-Vertrag verwenden. Auch wenn Sie auf Digistore ein Produkt verkaufen, brauchen Sie dafür keinen AV-Vertrag. Denn: Ihre Kunden kaufen ja selbständig auf Digistore24 ein und geben ihre Daten selbst an, ohne dass Sie dies fordern. Mit Email Marketing Anbietern wie Klick Tipp sollten Sie einen AV-Vertrag abschließen. Wenn Sie einen Homepage-Baukasten wie 1&1 MyWebsite oder Jimdo nutzen, sollten Sie mit dem jeweiligen Anbieter einen AV-Vertrag abschließen.

WordPress: Anmeldemaske anpassen

Wenn Sie WordPress einsetzen, sollten Sie auf der Anmeldeseite (Login Seite) Ihr Impressum, aber vor allem, Ihre Datenschutzerklärung verlinken. Dies können Sie tun, indem Sie in der Datei functions.php Ihres WordPress Themes eine Ergänzung vornehmen. Sie gelangen zur Bearbeitung dieser Datei über das Menü Design, Untermenü Editor. Dort wählen Sie das akrtive Theme aus (falls noch nicht vorausgewählt). Dann rechts die Datei functions.php Dort fügen Sie folgenden Code ein:
add_action('login_footer', 'km_addition_to_login_footer');
function km_addition_to_login_footer() {
     echo '<div style="text-align: center;"><a href="/impressum/">Impressum</a> | <a href="/datenschutz/">Datenschutzerklärung</a></div>';
     echo '<div style="text-align: center;">Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden, erklären Sie sich damit einverstanden.</div>';
}
Bitte passen Sie danach die Verweise auf Impressum und Datenschutzerklärung an.

Wie setze ich notwendige Änderungen um?

Wenn Sie ein System wie WordPress einsetzen, helfen meistens Plugins (Erweiterungen). Erfahrenere Programmierer können auch sogenannte Hooks verwenden, die WordPress bereitstellt. Wenn Sie einen Homepage Baukasten einsetzen, sind die Änderungen dann einfach, wenn der Baukasten diese unterstützt. Bietet der Baukasten keine Änderungsmöglichkeit, haben Sie mehr oder weniger verloren (Sie sollten dann beim Anbieter des Baukastens, etwa für MyWebsite bei 1&1, nachfragen). Bei rein HTML-basierten Webseiten müssen Sie leider jemanden finden, der Ihnen die Änderungen einbaut.

Was ist beim Email-Verkehr zu beachten?

In Emails sollten Sie unbedingt eine Anbieterkennzeichnung (also Ihre komplette Firmierung) angehen. Mails von Interessenten (die keine Kunden werden) sollten sie nach angemessener Frist (etwa 30 Tage) löschen.

Brauche ich einen Datenschutzbeauftragten?

Das kommt darauf an. Wir können hierzu keine Beratung geben. Fragen Sie im Zweifel einen Anwalt oder die IHK. Ausschlaggebend sind mehrere Faktoren, u.a.
  • die Anzahl der regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter
  • welche Daten Sie verarbeiten, also beispielsweise ob es sich um sensible Daten wie Gesundheitsdaten oder Bankdaten handelt
Normalerweise benötigt ein Einzelunternehmer keinen Datenschutzbeauftragten (DSB). Sollten Sie einen DSB haben, sollten Sie dessen Kontaktdaten an Ihre zuständige Aufsichtsbehörde in Ihrem Bundesland melden! Wenn Sie einen DSB haben, nennen Sie ihn namentlich auf Ihrer Webseite in der Datenschutzerklärung und geben Sie dessen Anschrift und/oder Email-Adresse an. Wir empfehlen, alle Kontaktdaten anzugeben, alleine schon, um Ihren Kunden zu signalisieren, dass Sie Datenschutz ernst nehmen.

Website-Schutzpaket

  • Individuelle Datenschutzerklärung
  • Prüfung Ihrer gesamten Website
  • Kein Fragebogen: Wir machen die Arbeit
  • Empfehlungen für maximale Rechtssicherheit
  • Prüfbericht und Nachprüfung nach Umsetzung