Zum Inhalt springen

Datenschutz

Datenschutz und Websites: Auf diese Stolperfallen sollten Unternehmen achten

Immer noch sind viele Unternehmens-Websites nicht datenschutzkonform. Wir zeigen Ihnen, wie Sie es besser machen.

Zum Blog Wissen kompakt
Person programmiert auf einem Laptop, bunte Codezeilen sind auf dem Bildschirm sichtbar.
25. November 2022

Websites, DS-GVO und TDDDG: Wie Internetseiten Datenschutzanforderungen erfüllen

Vier Jahre seit Inkrafttreten der DS-GVO ist es fast schon eine Binsenweisheit: Unternehmens-Websites müssen nicht nur gut aussehen, benutzerfreundlich sein und wertvolle Informationen transportieren. Sie müssen auch geltende Datenschutzanforderungen erfüllen.

Doch obwohl diese Tatsache bekannt ist, sind lange nicht alle Unternehmens-Websites datenschutzkonform. 

Im Gegenteil: Datenschutzbeauftragter Karsten Schulz stellt in der Praxis immer wieder fest, dass zwar Benutzeroberfläche und Bedienung von Consent Managern datenschutzfreundlich gestaltet sind. Wenn man überprüfe, was der Browser so treibt, sehe die Sache allerdings anders aus. 

Im Folgenden gehen wir darauf ein, 

  • welche Datenschutzverstöße bei Websites verbreitet sind,
  • warum der zentrale Grund dafür oft schlechte Kommunikation ist und
  • wie Unternehmen Fallstricke umgehen und ihren Internetauftritt datenschutzkonform gestalten. 

Wichtige rechtliche Grundlagen für den Datenschutz auf Websites: DS-GVO und TDDDG

Für den Datenschutz auf Websites sind vor allem zwei Gesetze beziehungsweise Verordnungen relevant:  

  1. Die seit dem 25. Mai 2018 geltende europäische Datenschutz-Grundverordnung (DS-GVO) regelt die Verarbeitung personenbezogener Daten in der EU. Für alle Websites, die nicht ausschließlich private Zwecke verfolgen, schreibt sie unter anderem eine DS-GVO-konforme Datenschutzerklärung, technische Datenschutzmaßnahmen und Cookie-Hinweise vor.  
  2. Das Telekommunikation-Digitale Dienste-Datenschutz-Gesetz (TDDDG) trat am 1. Dezember 2021 in Kraft. Seitdem steht fest, dass für Tracking-Dienste und die meisten Cookies eine Einwilligung „auf der Grundlage von klaren und umfassenden Informationen“ erforderlich ist (§ 25 TDDDG). Einfache Cookie-Banner reichen nicht mehr aus. Websites brauchen Consent Manager, die Besucher:innen unter anderem genau über eingesetzte Tools und ihren Zweck informieren.  

Wichtig: Viele gängige Cookie Consent Tools ermöglichen es, die Anforderungen der DS-GVO und des TDDDGs umzusetzen. Sie tun dies aber nicht automatisch. Betreiber:innen beziehungsweise Agenturen müssen die richtigen Einstellungen auswählen.

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

Vielfalt

Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.

Flexibilität

Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.

Qualität

Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Häufige Fehlerquellen bei der Gestaltung von Websites

Wir haben es angesprochen: Das Bewusstsein dafür, wie wichtig Datenschutz im Internet ist, ist in den letzten Jahren gestiegen. Dennoch erfüllen viele Websites die Vorgaben der DS-GVO und des TDDDGs nur unzureichend. 

Besonders häufig beobachtet Karsten Schulz folgende Verstöße: 

  • Dynamisches Einbinden von externen Schriftarten wie Google Fonts
    Im Januar 2022 stellte das Landgericht München fest: Das dynamische Einbinden von Google Fonts in Websites ist ohne Einwilligung von Besucherinnen und Besuchern datenschutzwidrig. Dennoch werden Google Fonts oft nicht auf lokalen Servern gespeichert.
  • Laden von YouTube-Videos ohne Einwilligung
    Auf vielen Websites, so Karsten Schulz, frage der Consent Manager zwar, ob YouTube-Cookies gesetzt werden dürfen. „Bevor die Antwort erfolgt, ist aber das Video schon vorgeladen und wird das Startbild angezeigt. Juristisch ist die Sache damit gelaufen.“
  • Verwenden von Consent-Dialogen US-amerikanischer Anbieter
    Schließlich verwenden viele Website-Betreiberinnen und -–Betreiber Cookie Consent Tools von US-Anbietern. Um diese zu laden, wäre nach DS-GVO je nach Anbieter eine Einwilligung der Besucherin oder des Besuchers notwendig. „Da beißt sich die Katze in den Schwanz“, konstatiert Karsten Schulz. 

Datenschutzanforderungen richtig umsetzen – so beugen Unternehmen Lücken vor

Unzureichender Datenschutz auf Websites hat laut Karsten Schulz vor allem einen Grund: eine mangelhafte Kommunikation zwischen der Agentur, die die Website erstellt, und der Person auf Unternehmensseite, die für die Inhalte verantwortlich ist. „Beide sprechen nicht ausreichend über die Problematik.“ 

Um dieses Dilemma zu lösen, rät Karsten Schulz zu einem dreistufigen Prozess

1. Datenschutzbeauftragte ins Boot holen

Unternehmen sollten ihre:n Datenschutzbeauftragte:n von Beginn an in die Erstellung der Website einbinden. Falls erforderlich empfiehlt Karsten Schulz, weitere Fachleute hinzuzuziehen, die sich mit der Web-Technologie auskennen.

2. Agentur zu Auflistung verpflichten

Kaum eine Agentur lässt sich vertraglich dazu verpflichten, eine datenschutzkonforme Website zu erstellen. Aber Unternehmen können sie auffordern, alles aufzulisten, was vielleicht für den Datenschutz relevant ist (welche Cookies die Website setzt, welche Schriftarten sie wie verwendet, mit welchen externen Stellen die Webseite beim Laden Kontakt aufnimmt, etc.).

3. Website überprüfen

Wenn der Prototyp abgeliefert oder die Website frisch online ist, rät Karsten Schulz, zu überprüfen, welche Cookies gesetzt werden und zu welchen externen Stellen beim Laden Netzwerkverbindungen aufgebaut werden, und die Ergebnisse mit der Datenschutzerklärung abzugleichen. Dazu genügen Browsertools. Am besten wiederholen Datenschutzverantwortliche diesen Prozess in regelmäßigen Abständen.

Spezialthema Google Analytics: Wann und wie ist Tracking erlaubt?

Tracking Tools sind verbreitet auf Unternehmens-Websites. Besonders beliebt: Google Analytics.  

Der Haken dabei: Für die Verwendung solcher Tracking Tools ist eine Einwilligung notwendig. Und selbst dann stellt das Tracking mit Drittland-Tools wie Google Analytics eine juristische Grauzone dar.  

Möchten Unternehmen nur herausfinden, wie gut ihre Website funktioniert, empfiehlt Karsten Schulz deshalb Matomo. Dabei handelt es sich um eine Open-Source-Plattform, die sich auf einem eigenen Server betreiben lässt und eine einfache Anonymisierung der IP-Adresse der Seitennutzerinnen und -nutzer anbietet.  

Sobald Unternehmen Werbenetzwerke wie Google Ads oder Facebook Ads verwenden, reicht diese Lösung nicht mehr aus. Dann müssen sie für Tracking Tools die Einwilligung von Besucherinnen und Besuchern einholen – unter dem Risiko, dass diese sie verweigern. 

Abmahnwellen könnten in Zukunft zunehmen

Ist eine Unternehmenswebsite nicht datenschutzkonform, kann dies verschiedene Folgen haben. Gegenüber Datenschutzbehörden ist es vor allem wichtig, nachzuweisen, dass man sich um den Datenschutz bemüht hat. Gelingt dies, halten sich die Konsequenzen im Regelfall in Grenzen.

Karsten Schulz rät Webseitenbetreiberinnen und -betreibern aber, noch eine andere Gefahr auf dem Schirm zu behalten. Denn in der jüngsten Vergangenheit akzeptierten deutsche Gerichte immer häufiger immaterielle Schadensersatzansprüche auf Basis von DS-GVO-Verstößen. Damit steigt das Risiko von Abmahnwellen, wenn die Anforderungen der DS-GVO auf Websites nicht eingehalten werden oder die Anforderungen des TDDDGs für Cookies ignoriert werden. Abmahnungen aber können neben Kosten hohen Aufwand verursachen. Schließlich verspielen Unternehmen das Vertrauen von Webseitenbesucherinnen und -besuchern, wenn sie nachlässig mit personenbezogenen Daten umgehen.

Es lohnt sich also aus vielen Gründen, öfter mal zu überprüfen, was die eigene Website mit Besucherdaten macht.  

Fachwissen für Ihre berufliche Weiterbildung

Wissen kompakt

Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.

Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.

Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.

Ihre Ansprechpartnerin

Melanie Braunschweig, Mitarbeiterin der TÜV NORD Akademie

Melanie Braunschweig

Produktmanagerin Datenschutz und Informationsmanagement