Skip to main content

FAQs zum Thema Webseiten nach der neuen Datenschutz-Grundverordnung

Die Verwirrung ist groß, wenn es um die Umsetzung der DS-GVO in den Webseiten geht.
 
Deshalb haben wir die wichtigsten Fragen und Antworten im Folgenden für Sie zusammengestellt:

  • Einwilligung in Mailings u.ä. 

Frage: Müssen Einwilligungen ausdrücklich erteilt werden (sogenanntes Opt-In-Verfahren)?
Oder reicht es, wenn der Empfänger bloß aktiv werden muss, wenn er Ihre Mailings nicht mehr erhalten möchten?
 
Antwort: Die DS-GVO spricht sich eindeutig für die ausdrückliche Einwilligung aus. Sie sagt nämlich:
 
"Erwägungsgrund 32
Einwilligung*
Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. 6Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen."
 
Richtig ist daher, dass die Einwilligung ausdrücklich erklärt werden muss. Bloßes Untätigbleiben reicht hingegen nicht aus.
 
Allerdings weisen solche Mailings aus folgendem Grund einen erhöhten Schwierigkeitsgrad auf:
Wenn ein Nutzer beispielsweise auf Ihrer Webseite oder im Rahmen einer Unterschriften-Aktion eine E-Mail-Adresse hinterlässt, mag das zwar eine Einwilligung sein; Sie wissen dann aber noch nicht, ob die Person, die die Einwilligung erteilt hat, identisch ist mit der, die die Adresse auch tatsächlich nutzt.
 
Aus diesem Grund hat sich in Deutschland schon vor Jahren das sog. Double-Opt-In-Verfahren etabliert. Dabei senden Sie zunächst eine E-Mail an die Ihnen genannte Adresse, in der zunächst nur ein Link enthalten ist, durch den der E-Mail-Empfänger noch einmal bestätigen kann, Ihr Mailing erhalten zu wollen. Erst wenn diese Einwilligungserklärung vorliegt, dürfen Sie den Newsletter versenden.

  • Cookies und andere Tracking-Maßnahmen (insb. GoogleAnalytics, Piwik etc.pp.)

Auch beim Tracking von Nutzerverhalten werden personenbezogene oder zumindest beziehbare Daten erhoben. Obwohl die Technologien sich teilweise unterscheiden, ist das Prinzip dasselbe: Von jedem Webseiten-Nutzer werden mindestens so viele Daten erhoben, dass er individualisierbar ist. Dazu gehören häufig auch Informationen über die regionale Herkunft bzw. den Standort der Nutzer.
 
Frage: Gilt auch hier das gerade beschriebene Opt-In-Verfahren? Oder reicht das Opt-Out-Verfahren?
 
Antwort: Bislang galt in Deutschland § 15 Abs. 3 des Telemediengesetzes (TMG). Dort hieß es:
 
„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“
 
Eine ausdrückliche Einwilligung war also nicht erforderlich.
 
Nach herrschender Ansicht wird § 15 Abs. 3 TMG aber von den Vorschriften der DS-GVO verdrängt.
Das bedeutet: Für die Erhebung personenbezogener Daten beim Betreiben einer Webseite gelten die gleichen Regelung, wie sonst auch. Sofern also keine gesetzliche Ermächtigungsgrundlage eingreift, brauchen Sie also eine ausdrückliche Einwilligung.
 
Soweit, so gut. Spätestens an dieser Stelle beginnt aber der Streit: Während die einen glauben, dass der Webseitenbetreiber ein berechtigtes Interesse an der Erhebung dieser Daten hat, das das Interesse des Nutzers an seiner Privatsphäre übertrifft, hat sich die Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder folgendermaßen geäußert:
 
„Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“
 
Diese Aussage wird allgemein so interpretiert, dass das Tracking von Nutzern nur noch durch eine explizite Zustimmung legitimiert werden kann. Und zwar auch dann, wenn das Tracking lediglich in pseudonymisierter Form erfolgt (die Kürzung der IP um das letzte Oktett ist bei Google Analytics ja inzwischen fast Standard).
Sicherlich ist diese Position nicht unumstritten. Dies nicht nur aus wirtschlichen und politischen Gründen, sondern auch, weil die Datenschutzbeauftragten zwar die Aufsichtsbehörden sind, die Auslegung von Gesetzen (oder eben von Verordnungen) aber Sache der Gerichte ist und bleibt.
 
Wer auf Nummer sicher gehen will, sollte aber zunächst entweder auf Trackingmaßnahmen verzichten oder diese erst aktivieren (also beispielsweise den Cookie erst setzen), nachdem der Nutzer eingewilligt hat.

  • Social Plugins (z.B. der „Like-Button“ von Facebook)

Social Plugins sind Erweiterungen für Webseiten, die ein Teilen der Inhalte mit sozialen Gruppen ermöglichen sollen. Das wohl am weitesten verbreitete Social Plugin ist der Like-Button von Facebook.
 
Frage: Unter welchen Voraussetzungen sind Social Plugins weiterhin zulässig?
 
Antwort: Bei den Social Plugins haben wir im Prinzip ein ähnliches Thema wie bei den Cookies.
 
Die Einbettung eines Plugins hat zur Folge, dass bei jedem Aufruf der Internetseite automatisch und unabhängig davon, ob die Funktion „Gefällt mir“ oder „Teilen“ durch Anklicken genutzt wird, Daten an den Anbieter des Plugins (also z.B. Facebook oder Google+) übertragen werden.
 
In jedem Fall werden mit Aufruf einer Seite bestimmte Grunddaten übermittelt, jedenfalls die dynamische IP-Adresse des Nutzers (die ja ein personenbezogenes Datum sein kann).
Das Problem von Social Plugins ist dem Cookie-Problem also sehr ähnlich: Bei einer Einbindung der Social Buttons auf Ihrer Webseite wird bereits beim „Betreten“ der Webseite eine Verbindung zu den sozialen Netzwerken hergestellt, so dass Facebook & Co (vom Webseitenbesucher unbemerkt) Daten der Nutzer erheben und deren Nutzerverhalten tracken.
 
Sie haben sicherlich gemerkt: Ohne Einwilligung kann das nicht rechtmäßig sein.
 
Das haben die Gerichte in Deutschland schon vor Jahren erkannt. Aus diesem Grund gibt es beispielsweise die sog. 2-Klick-Lösungen oder die von c’t entwickelte Lösung „Shariff“.
 
Bei der 2-Klick-Lösung erscheint beim Seitenaufruf nicht unmittelbar das Social Plugin des sozialen Netzwerks, sondern zunächst ein Hinweis, dass ein Symbol angeklickt werden muss, um die Verknüpfung zum sozialen Netzwerk zu aktivieren. Klickt ein Nutzer sodann auf dieses Symbol, „entsperrt“ er sozusagen das Plugin. Erst wenn er durch einen 2. Klick bestätigt, dass personenbezogene Daten im Falle des Aktivierens des Social Plugins übertragen werden, wird das betreffende Social Plugin nachgeladen und eine Informationsübertragung an das soziale Netzwerk aufgebaut.

 
Wenn Sie in diesen oder anderen Fragen immer noch unsicher sind, unterstützen wir Sie gerne bei der datenschutzkonformen Gestaltung Ihrer Prozesse. Ansprechpartnerin ist Frau Rechtsanwältin Lydia Voß, die auch eine Zusatzausbildung zur Datenschutzbeauftragten hat.


Bettina Steinberg          Dr. Mona Geringhoff          Lydia Voß

  • Erstellt am .