Datenschutz und Websites: Auf diese Stolperfallen sollten Unternehmen achten

Datenschutz und Websites: Auf diese Stolperfallen sollten Unternehmen achten

Beitrag vom 25.11.2022

Zur Themenwelt Datenschutz

Websites, DSGVO und TTDSG: Wie Internetseiten Datenschutzanforderungen erfüllen

Vier Jahre seit Inkrafttreten der DSGVO ist es fast schon eine Binsenweisheit: Unternehmens-Websites müssen nicht nur gut aussehen, benutzerfreundlich sein und wertvolle Informationen transportieren. Sie müssen auch geltende Datenschutzanforderungen erfüllen.  

Doch obwohl diese Tatsache bekannt ist, sind lange nicht alle Unternehmens-Websites datenschutzkonform.  

Im Gegenteil: Datenschutzbeauftragter Karsten Schulz stellt in der Praxis immer wieder fest, dass zwar Benutzeroberfläche und Bedienung von Consent Managern datenschutzfreundlich gestaltet sind. Wenn man überprüfe, was der Browser so treibt, sehe die Sache allerdings anders aus.  

Im Folgenden gehen wir darauf ein,  

  • welche Datenschutzverstöße bei Websites verbreitet sind, 

  • warum der zentrale Grund dafür oft schlechte Kommunikation ist und 

  • wie Unternehmen Fallstricke umgehen und ihren Internetauftritt datenschutzkonform gestalten

Wichtige rechtliche Grundlagen für den Datenschutz auf Websites: DSGVO und TTDSG

Für den Datenschutz auf Websites sind vor allem zwei Gesetze beziehungsweise Verordnungen relevant:  

  1. Die seit dem 25. Mai 2018 geltende europäische Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten in der EU. Für alle Websites, die nicht ausschließlich private Zwecke verfolgen, schreibt sie unter anderem eine DSGVO-konforme Datenschutzerklärung, technische Datenschutzmaßnahmen und Cookie-Hinweise vor.  

  1. Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) trat am 1. Dezember 2021 in Kraft. Seitdem steht fest, dass für Tracking-Dienste und die meisten Cookies eine Einwilligung „auf der Grundlage von klaren und umfassenden Informationen“ erforderlich ist (§ 25 TTDSG). Einfache Cookie-Banner reichen nicht mehr aus. Websites brauchen Consent Manager, die Besucher:innen unter anderem genau über eingesetzte Tools und ihren Zweck informieren.  

Wichtig: Viele gängige Cookie Consent Tools ermöglichen es, die Anforderungen der DSGVO und des TTDSGs umzusetzen. Sie tun dies aber nicht automatisch. Betreiber:innen beziehungsweise Agenturen müssen die richtigen Einstellungen auswählen.  

Häufige Fehlerquellen bei der Gestaltung von Websites

Wir haben es angesprochen: Das Bewusstsein dafür, wie wichtig Datenschutz im Internet ist, ist in den letzten Jahren gestiegen. Dennoch erfüllen viele Websites die Vorgaben der DSGVO und des TTDSGs nur unzureichend. 

Besonders häufig beobachtet Karsten Schulz folgende Verstöße: 

  • Dynamisches Einbinden von Google Fonts 
    Im Januar 2022 stellte das Landgericht München fest: Das dynamische Einbinden von Google Fonts in Websites ist ohne Einwilligung von Besucherinnen und Besuchern datenschutzwidrig. Dennoch werden Google Fonts oft nicht auf lokalen Servern gespeichert.  
  • Laden von YouTube-Videos ohne Einwilligung 
    Auf vielen Websites, so Karsten Schulz, frage der Consent Manager zwar, ob YouTube-Cookies gesetzt werden dürfen. „Bevor die Antwort erfolgt, ist aber das Video schon vorgeladen und wird das Startbild angezeigt. Juristisch ist die Sache damit gelaufen.“ 
  • Verwenden von Consent-Dialogen US-amerikanischer Anbieter 
    Schließlich verwenden viele Website-Betreiberinnen und -–Betreiber Cookie Consent Tools von US-Anbietern. Um diese zu laden, wäre nach DSGVO eine Einwilligung der Besucherin oder des Besuchers notwendig. „Da beißt sich die Katze in den Schwanz“, konstatiert Karsten Schulz. 

Datenschutzanforderungen richtig umsetzen – so beugen Unternehmen Lücken vor

Unzureichender Datenschutz auf Websites hat laut Karsten Schulz vor allem einen Grund: eine mangelhafte Kommunikation zwischen der Agentur, die die Website erstellt, und der Person auf Unternehmensseite, die für die Inhalte verantwortlich ist. „Beide sprechen nicht über die Problematik.“ 

Um dieses Dilemma zu lösen, rät Karsten Schulz zu einem dreistufigen Prozess: 

Datenschutzbeauftragte ins Boot holen

Unternehmen sollten ihre:n Datenschutzbeauftragte:n von Beginn an in die Erstellung der Website einbinden. Falls erforderlich empfiehlt Karsten Schulz, weitere Fachleute hinzuzuziehen, die sich mit der Thematik auskennen.  

Agentur zu Auflistung verpflichten

Kaum eine Agentur lässt sich vertraglich dazu verpflichten, eine datenschutzkonforme Website zu erstellen. Aber Unternehmen können sie auffordern, alles aufzulisten, was vielleicht für den Datenschutz relevant ist (welche Cookies die Website setzt, welche Schriftarten sie wie verwendet etc.).  

Website überprüfen

Wenn der Prototyp abgeliefert oder die Website frisch online ist, rät Karsten Schulz, zu überprüfen, was die Seite macht, und die Ergebnisse mit der Datenschutzerklärung abzugleichen. Dazu genügen Browsertools. Am besten wiederholen Datenschutzverantwortliche diesen Prozess in regelmäßigen Abständen.

Spezialthema Google Analytics: Wann und wie ist Tracking erlaubt?

Tracking Tools sind verbreitet auf Unternehmens-Websites. Besonders beliebt: Google Analytics.  

Der Haken dabei: Für die Verwendung solcher Tracking Tools ist eine Einwilligung notwendig. Und selbst dann stellt das Tracking mit Drittland-Tools wie Google Analytics eine juristische Grauzone dar.  

Möchten Unternehmen nur herausfinden, wie gut ihre Website funktioniert, empfiehlt Karsten Schulz deshalb Matomo. Dabei handelt es sich um eine Open-Source-Plattform, die sich auf einem eigenen Server betreiben lässt und eine einfache Anonymisierung der IP-Adresse der Seitennutzerinnen und -nutzer anbietet.  

Sobald Unternehmen Werbenetzwerke wie Google Ads oder Facebook Ads verwenden, reicht diese Lösung nicht mehr aus. Dann müssen sie für Tracking Tools die Einwilligung von Besucherinnen und Besuchern einholen – unter dem Risiko, dass diese sie verweigern. 

Abmahnwellen könnten in Zukunft zunehmen

Ist eine Unternehmenswebsite nicht datenschutzkonform, kann dies verschiedene Folgen haben. Gegenüber Datenschutzbehörden ist es vor allem wichtig, nachzuweisen, dass man sich um den Datenschutz bemüht hat. Gelingt dies, halten sich die Konsequenzen im Regelfall in Grenzen. 

Karsten Schulz rät Webseitenbetreiberinnen und -betreibern aber, noch eine andere Gefahr auf dem Schirm zu behalten. Denn in der jüngsten Vergangenheit akzeptierten deutsche Gerichte immer häufiger immaterielle Schadensersatzansprüche auf Basis von DSGVO-Verstößen. Damit steigt das Risiko von Abmahnwellen, wenn die Anforderungen der DSGVO auf Websites nicht eingehalten werden oder die Anforderungen des TTDSGs für Cookies ignoriert werden. Abmahnungen aber können neben Kosten hohen Aufwand verursachen. Schließlich verspielen Unternehmen das Vertrauen von Webseitenbesucherinnen und -besuchern, wenn sie nachlässig mit personenbezogenen Daten umgehen. 

Es lohnt sich also aus vielen Gründen, öfter mal zu überprüfen, was die eigene Website mit Besucherdaten macht.