Anforderungen an eine rechtssichere Website
Nur alleine ein ansprechendes Design zeichnet noch keine gute Website aus. Die Besucher wünschen nicht nur eine intuitive Bedienbarkeit, Verschlüsselung, verlustfreie Anpassung an kleinere Bildschirme und kurze Ladezeit. Sondern sie erwarten auch einen verantwortungsvollen Umgang mit ihren persönlichen Daten.
Darüber hinaus kontrollieren die zuständigen Behörden zunehmend häufiger die Internetauftritte und ahnden jegliche Datenschutz-Verstöße. Deshalb sollte es im Interesse jedes Betreibers / Inhabers einer Website liegen, sich mit den Anforderungen an eine rechtssichere Website vertraut zu machen. Diese sind den folgenden Gesetzen zu entnehmen:
- › Staatsvertrag zur Modernisierung der Medianordnung in Deutschland (MStV),
- › Gesetz über Urheberrecht und verwandte Schutzrechte sowie
- › EU-Datenschutz-Grundverordnung (DSGVO)
Grundsätzlich gelten diese Vorschriften sowohl für deutsche, europäische als auch für außereuropäische Internetauftritte.
Internetauftritte in Zahlen
Um einen Eindruck zu bekommen, wovon die Rede ist, hier ein kurzer Einblick in das World Wide Web. Begonnen hat alles 1990 und damals ahnte wahrscheinlich noch niemand, welcher Stein damit ins Rollen gebracht würde.
„Der erste Internetauftritt ging am 13. November 1990 online. Er wurde vom damaligen CERN-Mitarbeiter Tim Berners-Lee entwickelt und veröffentlicht. Am 30. April 1993 kündigte das CERN an, dass das WWW von allen Interessierten frei nutzbar sein werde.“
Quelle: arocom
Laut › Website Hostingrating gab es Anfang 2020, also 30 Jahre später, weltweit
- 333,8 Millionen registrierte Domain-Namen (Anstieg um ca. 1 % / Jahr)
- Insgesamt 1.744.517.326 Websites
- mehr als 600 Millionen Blogs sowie
- ca. 5.760.000 neue Blog-Beiträge pro Tag
Hinter diesen Zahlen verbergen sich natürlich alle Internetauftritte. Einerseits sind es Suchmaschinen wie Google oder Shops wie Amazon oder Online-Nachrichten-Portale und Social Media Plattformen, andererseits aber auch Blogs oder kleine Websites, die nur aus wenigen Seiten bestehen. Darüber hinaus sind auch solche mitgezählt, die zwar nicht mehr aktiv betrieben werden, aber (noch) nicht gelöscht wurden.
Betreiben einer Website
Immer noch nehmen es einige Betreibern nicht so genau mit dem Datenschutz und der Sicherheit. Neben denjenigen, die ihren Sitz außerhalb der EU haben, gehören dazu auch viele deutsche, die keine rechtssichere Website betreiben.
In einer vom › Fachverband deutscher Webseiten-Betreiber (FdWB) im März 2020 durchgeführten Studie stellte sich heraus, dass 42 % der 2500 überprüften Websites fehlerhaft waren. Analysiert wurden Internetauftritte kleiner und mittlerer Unternehmen unterschiedlicher Branchen, die nach dem Zufallsprinzip ausgewählt wurden. Dabei richtete sich das Augenmerk des FdWB vor allem auf folgende Faktoren:
- Aktive und funktionierende SSL-Verschlüsselung
- Datenschutzerklärung: Enthält alle Unternehmensdaten und ist vorschriftsmäßig verlinkt
- Korrekter Cookie-Hinweis
- Vollständige Angaben im Impressum
Im einzelnen kam der Fachverband zu folgenden Ergebnissen (… % aller untersuchten Websites = … % aller fehlerhaften):
- 36 % = 87 % hatten kein / kein funktionierendes SSL-Zertifikat
- 14 % = 35 % wiesen in der Datenschutzerklärung unvollständige Angaben zum Unternehmen auf
- 13 % = 32 % verfügten über gar keine Datenschutzerklärung
- 11 % = 27 % nutzten Formulare mit einem oder mehreren Fehlern
- Fast 8 % = 19 % machten unvollständige Angaben im Impressum
- Bei 160 Websites = 16 % fehlte die korrekte Verlinkung der Datenschutzerklärung
- Ebenso viele zeigten Mängel beim Cookie-Banner, z. B. die fehlende Möglichkeit, Cookies abzulehnen
Ursache „kostenlose“ Baukasten-Systeme?
Auffällig ist, dass viele mangelhafte Websites mit sogenannten Baukasten-Systemen erstellt sind. Woran könnte das liegen?
Von 1 Million Top-Websites wurden ungefähr 5,6 % mit Baukasten-Systemen erstellt, wobei Squarespace, Wix und Weebly die meistgenutzten sind. Ursächlich für die Mängel auf so erstellten Websites sind vermutlich sowohl die Unkenntnis der Website-Inhaber bzw. -Ersteller als auch unzureichende Informationen seitens der Baukasten-System-Anbieter.
Ist also die Erstellung durch einen Profi in jedem Fall die bessere Lösung? Im Prinzip ja, wenn du den „richtigen“ Webdesigner findest. Denn auch das Entwickeln einer Website von professionellen Webdesignern bedeutet nicht immer, dass am Ende auch eine rechtssichere Website dabei herauskommt (s. auch unter Cookies).
Wie sollte eine rechtssichere Website aussehen?
Grundsätzlich gelten die gesetzlichen Anforderungen für alle Websites, unabhängig von Umfang, Alter, Funktion oder Zielgruppe. Dabei spielt es keine Rolle, wer deine Website erstellt hat und wo sie angemeldet ist. Denn du als Betreiber / Inhaber haftest für Mängel oder Verstöße. Daraus folgt, dass auch bereits bestehende Internetauftritte entsprechend nachgebessert werden müssen, falls sie die Vorgaben (noch / nicht mehr) nicht erfüllen.
Zwar kann und darf ich keine rechtsverbindliche Beratung anbieten, aber trotzdem können dir meine folgenden Tipps helfen, deine Website auf Mängel zu überprüfen und diese in eine rechtssichere Website umzuwandeln. Falls du abgemahnt wirst/wurdest, müsstest du dich in jedem Fall an einen zugelassenen Rechtsanwalt wenden. Dieser sollte sich mit IT-Recht auskennen.
Impressum für eine rechtssichere Website
Die Impressumspflicht für (fast) alle deutschen Internetauftritte ergibt sich aus dem Digitale-Dienste-Gesetz (DDG) § 5 bzw. dem Medienstaatsvertrag. Ausgenommen davon sind nur Websites, die ausschließlich persönlichen oder familiären Zwecken dienen. Das Impressum muss jederzeit auffindbar sein und folgende Informationen enthalten:
- Vor- und Nachname des Website-Betreibers /- Inhabers
- bei Unternehmen: Firmenname sowie Vor- und Nachname eines Vertretungsberechtigten
- Vollständige Anschrift (kein Postfach!)
- (Aktuelle) E-Mail-Adresse und Telefonnummer
- Umsatzsteuer-/Wirtschaftssteuer-Identifikationnummer [1]
- Hinweis auf Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregistereintrag + Registernummer (falls vorhanden)
- Namens des/der Datenschutzbeauftragten
[1] Falls es sich um ein von der Umsatzsteuer befreites Unternehmen (angemeldetes Kleingewerbe) handelt, wäre ein Hinweis darauf sinnvoll.
Impressum
Lege dafür eine eigene Seite an, gib ihr einen eindeutigen Titel und verlinke sie im Header-Menü und/oder Footer-Bereich deiner Website.
Beachtung des Urheberrechts
Obwohl die Reform des Urheberrechts momentan noch nicht abgeschlossen ist, ändert das nichts an den Basisbestimmungen. Denn normalerweise unterliegen alle Inhalte und das Design einer Website dem Urheberrecht.
„§ 2 Geschützte Werke (1) Zu den geschützten Werken der Literatur, Wissenschaft und Kunst gehören insbesondere: 1 Sprachwerke, wie Schriftwerke, Reden und Computerprogramme; 2 Werke der Musik; … 5 Lichtbildwerke einschließlich der Werke, die ähnlich wie Lichtbildwerke geschaffen werden; 6 Filmwerke einschließlich der Werke, die ähnlich wie Filmwerke geschaffen werden; 7 Darstellungen wissenschaftlicher oder technischer Art, wie Zeichnungen, Pläne, Karten, Skizzen, Tabellen und plastische Darstellungen. (2) Werke im Sinne dieses Gesetzes sind nur persönliche geistige Schöpfungen.“
Quelle: BUNDESMINISTERIUM FÜR JUSTIZ UND VERBRAUCHERSCHUTZ
Urheberrecht bei Inhalten aus externen Quellen
Aus den gesetzlichen Vorgaben folgt, dass alle Inhalte mit einer Angabe der Quelle und gegebenenfalls des Namens des Rechteinhabers versehen werden müssen. So gehört zu jedem Zitat eine Quellenangabe. Falls du das Zitat einer Website entnommen hast, bedeutet das für eine rechtssichere Website, dass du auch den entsprechenden Link hinzufügst. Dasselbe gilt für Videos, Musik, o. ä.
Wenn du Bilder, Grafiken oder Piktogramme und das Webdesign nicht selbst „erdacht“ bzw. angefertigt hast, musst du ebenfalls die Quelle nennen. Beispielsweise muss unter jeder Abbildung der Namen des Rechteinhabers und/oder der Agentur / des Designers angegeben sein.
Zwar bieten einige Online-Plattformen auch lizenzfreie Bilder an. Jedoch bezieht sich dies meistens nur auf eine private Verwendung. Da eine Website i. d. R. öffentlich ist, kann die oft undurchsichtige Lizenzierung schnell zu Problemen führen.
Copyright für eigene Inhalte
Auch alle von dir selbst erstellten Inhalte unterliegen natürlich dem Urheberrecht. Deshalb gibst du über/unter jedem Beitrag deinen Namen als Autor an. Genauso verfährst du mit deinen Abbildungen, Videos und sonstigen Werken auf deiner Website. Obwohl es eigentlich zum Allgemeinwissen gehören sollte, dass alle Inhalte einer Website urheberrechtlich geschützt sind und nicht einfach kopiert (geklaut) werden dürfen, passiert dies dennoch nicht selten. Deshalb kannst du zusätzlich einen separaten Copyright-Hinweis schreiben, der für die Website selbst und alle eigenen Inhalte gilt.
Wenn du dafür keine eigene Seite erstellen möchtest, könntest du die Informationen zum Urheberrecht auf der Impressums-Seite hinzufügen. Des Weiteren bietet es sich an, dort auch noch eine Erklärung bezüglich des Haftungsausschlusses anzuhängen.
Bildquelle unter jeder Abbildung
Auch unter jedem Stockfoto muss zumindest der Hinweis auf die Plattform stehen, von der du es heruntergeladen hast. Falls es sich nicht um „lizenzfreie“ Bilder handelt, gehört auch noch der Name des Lizenzinhabers dazu. Bei einem Cover- oder Hintergrundbild z. B. auf deiner Startseite sowie bei Piktogrammen ist eine Quellenangabe unterhalb der Abbildungen nicht üblich und meistens auch nicht möglich. Entweder du fügst dann einen Hinweis auf den externen Rechteinhaber am Ende der Seite ein oder du erwähnst es in deinem Urheberrechts-Hinweis.
Datenschutz
Seit dem 25.05.2018 ist die Datenschutz-Grundverordnung (EU-DSGVO) für alle Internetauftritte bindend. Zusätzlich gilt das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, vor Mai 2024 TTDSG genannt). In erster Linie dienen sie dem Schutz der Verbraucher bzw. Besucher u. a. von Websites. Eine rechtssichere Website zeichnet sich dadurch aus, dass sie dem Besucher die Selbstbestimmung und Kontrolle über seine persönlichen Daten ermöglicht. Dazu ist folgendes zu beachten:
- Zweckbindung und Datenminimierung: Erfassung nur absolut notwendiger Daten und deren ausschließlich zweckgebundene Verarbeitung.
- Privacy by Design: Sicherstellung des Schutzes der Privatsphäre der Besucher, z. B. durch Pseudonymisierung oder ähnliche technische Maßnahmen bereits beim Erstellen einer Website.
- Einwilligung zur Datenverarbeitung: Diese muss freiwillig, aktiv und für unterschiedliche Vorgänge einzeln möglich sein.
Datenschutzerklärung für eine rechtssichere Website
Wenn du eine rechtssichere Website betreibst, solltest du auch nur die für die Nutzung deiner Website / deines Angebots tatsächlich benötigten personenbezogenen Daten (Namen, Passwörter, E-Mail-Adressen, Telefonnummern, Bankdaten, …) abfragen und speichern. Darüber hinaus gewährst du den Besuchern / Kunden das Recht auf
- Information und Auskunft
- Berichtigung und Löschung
- Einwilligung
- Widerruf
- Widerspruch sowie
- die Mitnahme ihrer Daten.
Um diese Rechte wahrnehmen zu können, benötigt eine rechtssichere Website eine klar gegliederte Datenschutzerklärung, geschrieben in einer leicht verständlichen Sprache. Neben deinem Namen und deiner Adresse (bzw. einem Verweis auf dein Impressum s. o.) enthält sie auch den Namen, die Adresse sowie die Telefonnummer und/oder E-Mail-Adresse des Ansprechpartners für Fragen des Datenschutzes.
Außerdem gehören alle Informationen über die Erfassung von Daten, deren Zweck und deren Verarbeitung in die Datenschutzerklärung für eine rechtssichere Website. Einerseits gilt dies für alle von dir aktiv abgefragten Daten (Anmeldung auf deiner Website, Kontaktdaten, Rechnungs- oder Versanddaten). Andererseits betrifft es aber auch automatisch gespeicherte (technische) Daten wie z. B. Log-Files und Cookies.
Somit reicht der kurzer Satz „Diese Website erhebt und speichert keine persönlichen Daten“ o. ä. selbst bei Websites, die „auf den ersten Blick“ keine Daten speichern, für eine rechtssichere Website nicht aus!
Alle Webdites sammeln Daten
Grundsätzlich erfassen alle Websites (persönliche) Daten der Besucher. Ohne dies wäre ein Aufrufen / Ausliefern einer Website technisch gar nicht möglich. Der Unterschied besteht lediglich darin, dass rein technische Daten nicht eines separaten Cookie-Hinweises bedürfen, während alle anderen erfassten Daten einzeln dem Besucher bekannt gemacht werden und deren Erfassung von ihm ggf. ablehnbar sein muss, bevor er die Website aktiv nutzt.
Muster für eine Datenschutzerklärung
Für eine einfache rechtssichere Website findest du recht gute Vorlagen im Internet (z. B. bei eRecht24). Die Betonung liegt dabei jedoch auf Muster. Denn du solltest sie nicht eins-zu-eins übernehmen, sondern sorgfältig an deine Gegebenheiten anpassen.
Dasselbe gilt auch auch für solche Datenschutz-Seiten, die du von einem Baukasten- / Redaktionssystem angeboten bekommst, denn der Anbieter ist nicht verpflichtet dir automatisch eine rechtssichere Website zur Verfügung zu stellen. Häufig wird dort z. B. auf Analyse-Tools verwiesen. Deshalb überprüfe, ob die Analyse auch deine Website einschließt. Wenn nicht, musst du es nur erwähnen, wenn du selbst ein solches Tool installiert hast. Ähnliches gilt, wenn du zusätzliche, vom Anbieter nicht berücksichtigte, Funktion integrierst. Auch um diese musst du natürlich deine Datenschutzerklärung ergänzen.
Falls deine Website umfangreicher ist oder es sich z. B. um einen Online-Shop handelt, der naturgemäß einer Reihe von persönlichen Daten erfasst, ist es ratsam, einen Rechtsanwalt zu konsultieren, um eine Datenschutzerklärung für eine rechtssichere Website erstellen zu können.
In keinem Fall solltest du die Datenschutzerklärung einer anderen Website, selbst wenn diese vergleichbare Inhalte hat, kopieren. Einerseits liegt „der Teufel oft im Detail“ (s. o.). Andererseits stellt dies eine Urheberrechtsverletzung, die auch für Datenschutzerklärungen und ähnliche Pflichtseiten gilt, dar. Wurde der kopierte Text im Original gar von einem Rechtsanwalt erstellt, kann das im Falle einer Abmahnung durch diesen, ausgesprochen teuer werden.
eigenständige Datenschutz-Seite
Bei der Datenschutzerklärung muss es sich um eine eigene Seite mit einer eindeutigen Bezeichnung handeln. So reicht ein kurzer Datenschutz-Hinweis im Impressum, wie noch häufig zu sehen, für eine rechtssichere Website nicht aus! Außerdem muss sie von jeder beliebigen Stelle deiner Website direkt erreichbar sein. Und sie muss alle für deine Website relevanten Informationen enthalten – nicht mehr, aber auch nicht weniger.
Nutzung von Diensten Dritter
Ein weiterer kritischer Punkt für eine rechtssichere Website ist die Verknüpfung deiner Website mit externen Dienstleistern. Hierzu gehören unter anderem
- Teilen-Buttons und direktes Einbinden von sozialen Netzwerken
- Google Maps und YouTube-Videos
- Analyse-Tools wie Google Analytics
- Google-Fonts
- Werbe-Einblendungen sowie
- Affiliate Links, z. B. von Amazon.
Außerdem sind auch zahlreiche WordPress-Plugins (Sicherheit, Statistik, Formulare, …) nicht DSGVO-konform. Zwar wurden einige inzwischen dahingehend aktualisiert, dass du sie in den jeweiligen Einstellungen entsprechend anpassen kannst. Aber das trifft bei weitem noch nicht auf alle zu. Darüber hinaus fügen diese Drittanbieter deiner Website u. U. eigene Cookies hinzu (s. u.).
AV-Vertrag nicht vergessen
Wenn externe Dienste Daten deiner Besucher sammeln und auf ihren Servern speichern, brauchst du in jedem Fall einen › Auftragsdatenverarbeitungsvertrag (AV Vertrag) mit dem jeweiligen Anbieter. Des weiteren musst du diese Dienste natürlich in deiner Datenschutzerklärung angeben.
Privacy-Shield / Data Privacy Framework
War die Verknüpfung mit Dienstleistern aus den USA bisher vor allem aufgrund der von diesen gesetzten (Tracking-) Cookies problematisch, wird sie bis auf weiteres aus Gründen des Datenschutzes so gut wie unmöglich sein. Da die Datenschutz-Bestimmungen in den USA wesentlich „großzügiger“ ausgelegt sind, als die der EU-DSGVO, haben zwar einige größere US-Unternehmen eine Vereinbarung mit der EU getroffen (DPF Data Privacy Framework), wonach sie versichern, die Daten von EU-Bürgern DSGVO-konform zu verarbeiten.
Dennoch ist die Rechtmäßigkeit der Übertragung von Daten von EU-Bürgern z. B. in die USA aufgrund des auch weiterhin bestehenden Unterschieds in der Datenschutz-Gesetzgebung, nach wie vor umstritten. Da alle US-Unternehmen, selbst wenn sie die “ DPF Vereinbarung“ unterzeichnet haben, letztendlich der US-Gesetzgebung unterliegen, können sie auch beispielsweise die Verwendung der dortigen Überwachungsprogramme seitens der Regierung nicht sicher verhindern. Außerdem haben auch weiterhin Europäer kaum eine Möglichkeit gegen eine missbräuchliche Verarbeitung ihrer Daten in den USA zu klagen.
Konsequenzen aus dem EuGH-Urteil
Um eine rechtssichere Website zu betreiben, solltest du folglich auf häufig in Websites eingebundene Drittanbieter-Dienste verzichten, auch wenn dank des Data Privacy Frameworks 2.0 eine Datenübertragung unter bestimmten Vorraussetzungen wieder möglich wäre. Ob und wann der EuGH dieses neue Data Privacy Framework auch wieder kippt, ist noch ungewiss. Zu den kritischen Diensten gehören u. a.
- Dienste von Google wie Analytics, Ads, Doubleclick, Fonts, Maps, reCAPTCHA , YouTube etc.
- Social Media Plugins von Facebook, Instagram, LinkedIn, Pinterest, Tumblr und Twitter.
- Das Amazon Partnerprogramm.
- Cloudflare (CDN), MailChimp, WordPress Stats, Adobe Fonts, Vimeo, SoundCloud und Spotify sowie
- Videokonferenz-Tools wie GoToMeeting, Microsoft Teams, Skype for Business und Zoom.
Theoretisch wäre es zwar denkbar, mittels einer Einblendung wie dem Cookie-Hinweis eine Einwilligung der Besucher der Website zur Datenübertragung einzuholen. Praktisch ist dies für eine rechtssichere Website jedoch aus folgenden Gründen nur sehr begrenzt umsetzbar.
- Beispielsweise beginnt die Datenübertragung beim Einsatz von Google Fonts bereits während des Aufbaus der Seite, noch bevor der Besucher den Hinweis sieht und entsprechend agieren kann.
- Du müsstest über jeden verknüpften Dienst einzeln informieren und eine eigene Zustimmen- bzw. Ablehnen-Schaltfläche anbieten. Die daraus resultierende Größe des Hinweis-Feldes wirkt störend und kann den einen oder anderen Besucher zum direkten Verlassen der Website veranlassen.
- Auch in der Datenschutzerklärung müsstest du für jeden einzelnen Dienst ausführlich über die Datenübertragung, deren Zweck und den Empfänger aufklären.
- Zuletzt ist es auch sehr fraglich, ob eine Einwilligung in eine Rechtsverletzung, nämlich dem Zugriff auf in den USA gespeicherte Daten z. B. durch dortige Behörden oder die Verarbeitung von Daten außerhalb der EU, eigentlich überhaupt rechtswirksam möglich ist.
Alle Datensammler auf der Website ausfindig machen
Überprüfe alle Verknüpfungen mit Drittanbietern sowie Plugins dahingehend, ob und welche Daten sie sammeln, wohin die Daten übertragen werden und ob sie die Vorschriften der DSGVO einhalten.
Falls du ein Plugin nicht anpassen kannst und ein Dienst eine Datenverarbeitung ausschließlich auf EU-Servern nicht garantieren kann, verwende eine Alternativlösung. Sollte es die nicht geben, verzichte auf solche Plugins/Dienste zu Gunsten des Datenschutzes und deiner Geldbörse. Denn auch in diesem Fall drohen bei Verstößen erhebliche Bußgelder
Cookies
Grundsätzlich setzt jede Website beim Aufrufen Cookies. Hierbei handelt es sich zunächst um relativ harmlose Session- und technische Cookies, die für eine rechtssichere Website kein Problem darstellen. Einerseits dienen sie der Gewährleistung der Funktion der Website, wie z. B. dem Aufrechterhalten der Sitzung. Andererseits ermöglichen sie das schnellere Laden bei weiteren Besuchen oder ersparen das wiederholte Einloggen. Da sie entweder auf dem Gerät des Besuchers oder beim Website-Betreiber gespeichert sind, werden viele beim Verlassen der Website automatisch gelöscht. Andere kann der Besucher in seinem Browser jederzeit selbst löschen.
Etwas problematischer sind Analyse-Cookies, da sie auch Daten erfassen können, die u. U. Rückschlüsse auf den Besucher selbst zulassen. Am unkritischsten sind Analyse-Tools wie Matomo, die auf der Datenbank des Website-Betreibers installiert sind. Denn sie speichern nur anonymisierte Daten, die sich keiner konkreten Person zuordnen lassen.
Wesentlich kritischer sind alle Drittanbieter- bzw. Tracking-Cookies, deren gesammelte Informationen von externen Diensten ausgewertet werden. Dazu gehören die Google Dienste (Analytics, YouTube, Maps …), aber auch soziale Netzwerke, allen voran Meta/Facebook. Des Weiteren sind auch Werbeeinblendungen (Ads) als kritisch zu betrachten (s. auch unter „Privacy-Shield-Vereinbarung„).
Wenn du diese direkt in deine Website einbettest, wird oft schon in dem Moment ein Cookie gesetzt, in dem ein Besucher deine Website öffnet. Somit verfolgt der Drittanbieter alle Besucher deiner Website, unabhängig davon, ob deine Besucher überhaupt auf Inhalte des Drittanbieters klicken. Dies entspricht nicht den Anforderungen an eine rechtssichere Website.
Aufklärung über Cookies
Bisher leitet sich die Pflicht zur Aufklärung über Cookies aus der DSGVO und dem Telemediengesetz bzw. aus dem Medienstaatsvertrag ab, die die e-Privacy-Verordnung ergänzen soll(te). Jedoch ist diese Zusatz-Verordnung noch immer nicht endgültig in Kraft getreten. Dennoch müssen schon jetzt Website-Betreiber für eine rechtssichere Website über Cookies in leicht verständlicher Form aufklären.
Außerdem ist eine aktive Zustimmung (Opt-in) der Besucher vor dem Setzen von Tracking- und Analyse-Cookies notwendig. Des weiteren solltest du sicherstellen, dass dein Cookie-Consent-Tool auch ordnungsgemäß arbeitet. Nicht selten existiert zwar ein solcher Hinweis, eine Interaktion damit hat aber keine Auswirkung auf die Cookies deiner Website. „Bestenfalls“ erscheint eine Fehlermeldung, nicht selten wird aber die Sicherheit vor Datensammlern und Tracking nur vorgespiegelt.
Auch ein einfacher Link zur Datenschutz-Erklärung ohne die oben genannten Zustimmungs-/Ablehnungs-Optionen, wie er immer wieder auf Websites zu sehen ist, reicht nicht aus.
Cookie-Hinweise ähnlich dem Beispiel im dunkelgrünen Bereich sind zwar sehr minimalistisch, aber soweit noch in Ordnung, sofern für Statistik und Marketing nur je ein zusätzliches Cookie gesetzt wird. Falls es mehrere wären, müssten sie jeweils einzeln benannt und ablehnbar sein, um eine rechtssichere Website zu betreiben. Wenn du nur essenzielle Cookies verwendest, benötigst du derzeit eigentlich gar keinen Hinweis. Aus Transparenzgründen wäre jedoch ein Hinweis wie der im hellgrünen Bereich nicht verkehrt.
Der Hinweis im hellgrün-gelben Bereich wäre (auch) noch ausreichend, obwohl im Beispiel links ein Statistik-Tool (Matomo) verwendet wird, denn alle Daten werden damit anonymisiert und nur auf dem Server der betreffenden Website gespeichert, also nicht an Dritte weitergegeben.
Beim zweiten Hinweis im gelben Bereich fehlt die Angabe des Statistik-Tools und der „Ablehnen“-Button. Das einzig positive an den Cookie-Hinweisen im roten Bereich ist, dass sie zumindest vorhanden sind, was leider immer noch nicht selbstverständlich ist. Allerdings entsprechen sie in keiner Weise den Vorschriften für eine rechtssichere Website und können somit nur der Information dienen, sofern wirklich außer den technisch notwendigen keine anderen Cookies gesetzt werden.
Um einen Eindruck von der Umsetzung des Cookie-Hinweises (Cookie-Notice) zu bekommen, habe ich mir 88 Internetauftritte von Webdesignern, die auf den ersten 20 Seiten der Suchmaschine (Startpage) erscheinen, angesehen. Zwar ist diese Untersuchung nicht repräsentativ, aber deshalb nicht weniger aussagekräftig.
- 37 % sind im grünen,
- 24 % im gelb-orangen Bereich und
- bei 27 % fehlt ein Hinweis auf Cookies ganz, obwohl Cookies gesetzt sind.
Trotz des Setzens von z. T. sogar Tracking-Cookies, erscheint auf fast einem Drittel der untersuchten Websites gar kein Hinweis. Oder die Betreiber informieren nur kurz in ihrer Datenschutzerklärung darüber. Eine rechtssichere Website sieht anders aus.
Ob deine Website neben den Session-Cookies noch andere setzt, kannst du in deinem Browser herausfinden. Dazu rufst du deine Website auf und klickst in der Suchleiste auf das Schloss bzw. auf das Schild links neben der URL. Anschließend siehst du wie viele und welche Cookies gesetzt sind, d. h. ob es sich diesbezüglich um eine rechtssichere Website handelt.
Ausführlicher Cookie-Hinweis
Der Cookie-Hinweis muss zumindest über Tracking-Cookies informieren und einen Opt-in und einen Opt-out Button – möglichst im selben Design – sowie einen Link zur Datenschutzerklärung anbieten. Des Weiteren sollte er so gestaltet sein, dass die Besucher gezwungen werden, ihn zu beachten / zuzustimmen oder Cookies abzulehnen, bevor sie die Website tatsächlich nutzen.
Gesetz über digitale Dienste
Es wäre ja schön, wenn das alle Regelungen gewesen wäre. Doch Anfang 2024 ist eine neue Vorschrift dazu gekommen – der Digital Services Act (DSA). Es gilt für alle digitalen Dienste, die Waren, Dienstleistungen oder Inhalte vermitteln – also eigentlich für alle Websites. Es soll die Entfernung illegaler Inhalte vereinfachen und verpflichtet zur Risikoanalyse und Risikominimierung.
„[…] sollen illegale Inhalte auf Plattformen besser bekämpft werden. Dies betrifft neben Hassrede beispielsweise auch gefälschte Produkte, die zum Kauf angeboten werden. Zudem soll die Entscheidungsfreiheit und Autonomie der Nutzerinnen und Nutzer gestärkt werden, beispielsweise durch das Verbot sogenannter dark patterns, bei denen Nutzerinnen und Nutzer zu Entscheidungen verleitet werden können, die sie nicht frei getroffen hätten.“
Quelle: Bundesregierung
Es wurde Beschwerdestellen eingerichtet, an die sich die Besucher von Websites wenden können und Verstöße werden ggf. strafrechtlich verfolgt.
Ist eine rechtssichere Website wichtig?
Natürlich kümmert manche die Rechtssicherheit weniger als andere. Das betrifft anscheinend aber nicht nur die Internet-Nutzer, sondern genauso die Betreiber von Websites. Einerseits scheinen sich einige in der rechtlichen Grauzone relativ sicher zu fühlen. Andererseits fehlt manchmal wohl auch die Fachkenntnis, um aus ihrem Internetauftritt eine rechtssichere Website zu machen.
Doch wie bei anderen Gesetzen und Vorschriften schützt auch hier Unwissenheit nicht vor Strafe. Denn die Kontrollen sowie die Strafverfolgung erfolgen unabhängig davon, wie groß die Website und/oder ein Unternehmen ist. Deshalb kann sich eigentlich keiner in Sicherheit wiegen und Verstöße können sehr teuer sein:
- Beim Impressum als Ordnungswidrigkeit = bis zu 50 000 Euro,
- bei der DSGVO = bis zu 20 Millionen Euro.*
- und bzgl. des DSA drohen Strafen von bis 6 % des weltweiten Jahresumsatzes.
* Bei größeren Unternehmen können › Bußgelder von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr verhängt werden, je nachdem, welcher Wert der höhere ist.
Angesichts dieser Summen ist es schon verwunderlich, dass immer noch relativ viele Betreiber, Hoster und sogar Fachkollegen von mir so wenig Wert auf die Rechtssicherheit ihrer und der von ihnen erstellten Websites legen und nicht von vornherein eine rechtssichere Website anbieten.
Eine rechtssichere Website – Zusammenfassung
Auch wenn es schwierig bzw. aufwendig(er) sein mag, eine rechtssichere Website zu erstellen, die alle Vorschriften zu 100 % erfüllt, solltest du es zumindest versuchen. Denn insbesondere fehlende oder unzureichende Datenschutzerklärungen sollten inzwischen der Vergangenheit angehören.
Während die Vorschriften hinsichtlich Form und Inhalt des Cookie-Hinweises noch immer regelmäßig angepasst werden, ist das Gesetz bzgl. des Datenschutzes und Urheberrechts eindeutig.
Fazit
Abwarten und hoffen, dass keiner die Mängel bemerkt, ist sicher der falsche Weg. Deshalb sollen dir die Tipps in meinem Beitrag dabei helfen, in Zukunft eine rechtssichere Website zu betreiben. Darüber hinaus zeugen diesbezügliche Nachlässigkeiten von wenig Respekt gegenüber den Nutzern deines Angebots und deren Recht auf vertrauenswürdigen Umgang mit ihren persönlichen Daten und seriöse Inhalte.
© eb | › Externe Verlinkungen: Dieser Beitrag enthält keine Affiliate-/Partner-Links.