Eine rechtssichere Website | 6 grundlegende Tipps

Nach wie vor entsprechen viele Internetauftritte nicht den Anforderungen der DSGVO. Meine Tipps können helfen, eine rechtssichere Website zu erstellen.

Aktualisiert am 28-04-2020, Ellena

Eine rechtssichere Website
Grafik: eb

Anforderungen an eine rechtssichere Website?

Nur alleine ein ansprechendes Design zeichnet noch keine gute Website aus. Die Besucher wünschen nicht nur eine intuitive Bedienbarkeit, Verschlüsselung, verlustfreie Anpassung an kleinere Bildschirme und kurze Ladezeit. Sondern sie erwarten auch einen verantwortungsvollen Umgang mit ihren persönlichen Daten.

Darüber hinaus kontrollieren die zuständigen Behörden zunehmend häufiger die Internetauftritte und ahnden jegliche Datenschutz-Verstöße. Deshalb sollte es im Interesse jedes Betreibers / Inhabers einer Website liegen, sich mit den Anforderungen an eine rechtssichere Website vertraut zu machen. Diese sind den folgenden Gesetzen zu entnehmen:

Grundsätzlich gelten diese Vorschriften sowohl für deutsche, europäische als auch für außereuropäische Internetauftritte.

Internetauftritte in Zahlen

Um einen Eindruck zu bekommen, wovon die Rede ist, hier ein kurzer Einblick in das World Wide Web. Begonnen hat alles 1990 und damals ahnte wahrscheinlich noch niemand, welcher Stein damit ins Rollen gebracht würde.

Der erste Internetauftritt ging am 13. November 1990 online. Er wurde vom damaligen CERN-Mitarbeiter Tim Berners-Lee entwickelt und veröffentlicht. Am 30. April 1993 kündigte das CERN an, dass das WWW von allen Interessierten frei nutzbar sein werde.

Quelle: arocom

Anfang 2020, also 30 Jahre später, gab/gibt es weltweit

  • 333,8 Millionen registrierte Domain-Namen (Anstieg um ca. 1 % / Jahr)
  • Insgesamt 1.744.517.326 Websites
  • mehr als 600 Millionen Blogs sowie
  • ca. 5.760.000 neue Blog-Beiträge pro Tag

Hinter diesen Zahlen verbergen sich natürlich alle Internetauftritte. Einerseits sind es Suchmaschinen wie Google oder Shops wie Amazon sowie Online-Nachrichten-Portale und Social Media Plattformen, andererseits aber auch Blogs oder kleine Homepages, die nur aus einer einfachen Landing Page bestehen. Darüber hinaus sind auch Websites mitgezählt, die zwar nicht mehr aktiv betrieben werden, aber auch (noch) nicht gelöscht wurden.

Betreiben einer Website

Immer noch nehmen es einige Betreibern nicht so genau mit dem Datenschutz und der Sicherheit. Neben Anbietern, die ihren Sitz außerhalb der EU haben, gehören dazu auch viele deutsche. Leider entfällt ein großer Anteil der mangelhaften Websites auf solche, deren Inhaber Baukasten-Systemen verwenden. Warum ist das so?

Von 1 Million Top-Websites wurden ungefähr 5,6 % mit Baukasten-Systemen erstellt, wobei Squarespace, Wix und Weebly die meistgenutzten sind. Ursächlich für die Mängel auf solchen Websites sind vermutlich sowohl die Unkenntnis der Website-Inhaber als auch unzureichende Informationen seitens der Baukasten-System-Anbieter.

Ist also die Erstellung durch einen Profi in jedem Fall die bessere Lösung? Im Prinzip ja, wenn du den „richtigen“ Webdesigner findest. Denn auch das Entwickeln einer Website von professionellen Webdesignern bedeutet nicht immer, dass am Ende auch eine rechtssichere Website dabei herauskommt (s. auch unter Cookies).

Wie sollte eine rechtssichere Website aussehen?

Grundsätzlich gelten die gesetzlichen Anforderungen für alle Websites, unabhängig von Umfang, Alter, Funktion oder Zielgruppe. Dabei spielt es keine Rolle, wer deine Website erstellt hat und wo sie angemeldet ist. Denn du als Betreiber / Inhaber haftest für Mängel oder Verstöße. Daraus folgt, dass auch bereits bestehende Internetauftritte entsprechend nachgebessert werden müssen, falls sie die Vorgaben (noch) nicht erfüllen.

Zwar kann und darf ich keine rechtsverbindliche Beratung anbieten, aber trotzdem können dir meine Tipps helfen, deine Website auf Mängel zu überprüfen und in eine rechtssichere Website zu verwandeln. Falls du abgemahnt wirst/wurdest, müsstest du dich in jedem Fall an einen zugelassenen Rechtsanwalt wenden. Dieser sollte sich mit „Internet-Recht“ auskennen.

Impressum für eine rechtssichere Website

Die Impressumspflicht für (fast) alle deutschen Internetauftritte ergibt sich aus § 5 des Telemediengesetzes. Ausgenommen davon sind laut § 55 des Rundfunkvertrags nur Websites, die ausschließlich persönlichen oder familiären Zwecken dienen. Das Impressum muss jederzeit auffindbar sein und folgende Informationen enthalten:

  • Vor- und Nachname des Website-Betreibers /- Inhabers
  • bei Unternehmen: Firmenname sowie Vor- und Nachname eines Vertretungsberechtigten
  • Vollständige Anschrift (kein Postfach!)
  • (Aktuelle) E-Mail-Adresse und Telefonnummer
  • Umsatzsteuer-/Wirtschaftssteuer-Identifikationnummer*
  • Hinweis auf Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregistereintrag + Registernummer (falls vorhanden)

*Falls es sich um ein von der Umsatzsteuer befreites Unternehmen (angemeldetes Kleingewerbe) handelt, wäre ein Hinweis darauf sinnvoll. Außerdem gehört auch noch die Angabe des Namens des/der Datenschutzbeauftragten dazu.

Lege eine eigene Impressums-Seite an, gib ihr einen eindeutigen Titel und verlinke sie im Header-Menü und/oder Footer-Bereich deiner Website.

Beachtung des Urheberrechts

Obwohl die Reform des Urheberrechts momentan noch nicht abgeschlossen ist, ändert das nichts an den Basisbestimmungen. Denn normalerweise unterliegen alle Inhalte einer Website dem Urheberrecht.

§ 2 Geschützte Werke (1) Zu den geschützten Werken der Literatur, Wissenschaft und Kunst gehören insbesondere: 1 Sprachwerke, wie Schriftwerke, Reden und Computerprogramme; 2 Werke der Musik; … 5 Lichtbildwerke einschließlich der Werke, die ähnlich wie Lichtbildwerke geschaffen werden; 6 Filmwerke einschließlich der Werke, die ähnlich wie Filmwerke geschaffen werden; 7 Darstellungen wissenschaftlicher oder technischer Art, wie Zeichnungen, Pläne, Karten, Skizzen, Tabellen und plastische Darstellungen. (2) Werke im Sinne dieses Gesetzes sind nur persönliche geistige Schöpfungen.

Quelle: Bundesministerium für Justiz und für Verbraucherschutz

Urheberrecht bei Inhalten aus externen Quellen

Aus den gesetzlichen Vorgaben folgt, dass alle Inhalte mit einer Angabe der Quelle und gegebenenfalls des Namens des Rechteinhabers versehen werden müssen. So gehört zu jedem Zitat eine Quellenangabe. Falls du das Zitat einer Website entnommen hast, solltest du auch den entsprechenden Link hinzufügen. Dasselbe gilt für Videos, Musik o. ä.

Wenn du Bilder, Grafiken oder Piktogramme, die du nicht selbst angefertigt hast, verwendest, musst du ebenfalls die Quelle nennen. Unterhalb der Abbildung muss der Namen des Rechteinhabers und/oder der Agentur angegeben sein.

Zwar bieten einige Online-Plattformen auch lizenzfreie Bilder an. Jedoch bezieht sich dies meistens nur auf eine private Verwendung. Da eine Website i. d. R. öffentlich ist, kann die oft undurchsichtige Lizenzierung schnell zu Problemen führen.

Auch unter jedem Stockfoto muss zumindest der Hinweis auf die Plattform stehen, von der du es heruntergeladen hast. Falls es sich nicht um „lizenzfreie“ Bilder handelt, gehört auch noch der Name des Lizenzinhabers dazu.

Copyright für eigene Inhalte

Auch alle von dir erstellten Inhalte unterliegen natürlich dem Urheberrecht. Deshalb gibst du über/unter jedem Beitrag deinen Namen als Autor an. Genauso verfährst du mit deinen Abbildungen, Videos und sonstigen Werken auf deiner Website. Darüber hinaus kannst du einen separaten Copyright-Hinweis schreiben, der für die Website selbst und alle eigenen Inhalte gilt.

Wenn du dafür keine eigene Seite erstellen möchtest, könntest du die Informationen zum Copyright auf der Impressums-Seite hinzufügen. Des Weiteren bietet es sich an, dort auch noch eine Erklärung bezüglich des Haftungsausschlusses anzuhängen.

Bei einem Cover-Bild z. B. auf deiner Startseite sowie Piktogrammen ist eine Quellenangabe unterhalb der Abbildungen nicht üblich und meistens auch nicht möglich. Entweder du fügst dann einen Hinweis auf den externen Rechthaber am Ende der Seite ein oder du erwähnst es in deinem Copyright-Hinweis. Für eigene Bilder reicht letzteres.

Datenschutz

Seit dem 25.05.2018 ist die Datenschutz-Grundverordnung (EU-DSGVO) für alle Internetauftritte bindend. In erster Linie dient sie dem Schutz der Verbraucher bzw. Besucher von Websites. Eine rechtssichere Website zeichnet sich dadurch aus, dass sie dem Besucher die Selbstbestimmung und Kontrolle über seine persönlichen Daten ermöglicht. Dazu ist folgendes zu beachten:

  • Zweckbindung und Datenminimierung: Erfassung nur absolut notwendiger Daten und deren ausschließlich zweckgebundene Verarbeitung.
  • Privacy by Design: Sicherstellung des Schutzes der Privatsphäre der Besucher, z. B. durch Pseudonymisierung oder ähnliche technische Maßnahmen bereits beim Erstellen einer Website.
  • Einwilligung zur Datenverarbeitung: Diese muss freiwillig, aktiv und für unterschiedliche Vorgänge einzeln möglich sein.

Datenschutzerklärung für eine rechtssichere Website

Wenn du eine rechtssichere Website betreibst, erhebst du nur die für die Nutzung deiner Website / dein Geschäft tatsächlich benötigten personenbezogenen Daten (Namen, Passwörter, E-Mail-Adressen, Telefonnummern, Bankdaten …). Darüber hinaus gewährst du den Besuchern das Recht auf

  • Information und Auskunft
  • Berichtigung und Löschung
  • Einwilligung
  • Widerruf
  • Widerspruch sowie
  • die Mitnahme ihrer Daten.

Um diese Rechte wahrnehmen zu können, benötigt deine Website eine klar gegliederte Datenschutzerklärung, geschrieben in einer leicht verständlichen Sprache. Neben deinem Namen und deiner Adresse (bzw. einem Verweis auf dein Impressum s. o.) enthält sie auch den Namen des Ansprechpartners für Fragen des Datenschutzes.

Außerdem gehören dazu alle Informationen über die Erfassung von Daten, deren Zweck und deren Verarbeitung. Einerseits gilt dies für alle von dir aktiv abgefragten Daten (Anmeldung auf deiner Website, Kontaktdaten, Rechnungs- oder Versanddaten). Andererseits betrifft es aber auch automatisch gespeicherte (technische) Daten wie z. B. Log-Files und Cookies.

Somit reicht der kurzer Satz „Diese Website erhebt und speichert keine persönlichen Daten“ o. ä. selbst bei einer Website, die „auf den ersten Blick“ keine Daten sammeln, für eine rechtssichere Website nicht aus!

Muster für eine Datenschutzerklärung

Für eine einfache Website findest du recht gute Vorlagen im Internet (z. B. bei eRecht24). Die Betonung liegt dabei jedoch auf Muster. Denn du solltest sie nicht eins-zu-eins übernehmen, sondern sorgfältig an deine Gegebenheiten anpassen.

Dasselbe gilt auch auch für solche, die du bei einem Baukasten-System angeboten bekommst. Häufig wird dort z. B. auf Analyse-Tools verwiesen. Deshalb überprüfe, ob die Analyse auch deine Website einschließt. Wenn nicht, musst du es nur erwähnen, wenn du selbst ein solches Tool installiert hast. Falls deine Website umfangreicher ist oder es sich z. B. um einen Online-Shop handelt, ist es ratsam, einen Rechtsanwalt zu konsultieren.

Bei der Datenschutzerklärung muss es sich um eine eigene Seite mit einer eindeutigen Bezeichnung handeln. So reicht ein kurzer Datenschutz-Hinweis im Impressum, wie noch häufig zu sehen, nicht aus! Außerdem muss sie von jeder beliebigen Stelle deiner Website direkt erreichbar sein. Und sie muss alle für deine Website relevanten Informationen enthalten – nicht mehr, aber auch nicht weniger.

Nutzung von Diensten Dritter

Ein weiterer kritischer Punkt ist die Verknüpfung deiner Website mit externen Dienstleistern. Hierzu gehören unter anderem

  • Teilen-Buttons und direktes Einbinden von sozialen Netzwerken
  • Google Maps und YouTube-Videos
  • Analyse-Tools wie Google Analytics
  • Google-Fonts
  • Werbe-Einblendungen sowie
  • Affiliate Links, z. B. zu Amazon.

Außerdem sind auch zahlreiche WordPress-Plugins (Sicherheit, Statistik, Formulare, …) nicht DSGVO-konform. Zwar wurden einige inzwischen dahingehend aktualisiert, dass du sie in den jeweiligen Einstellungen entsprechend anpassen kannst. Aber das trifft bei weitem noch nicht auf alle zu. Darüber hinaus fügen diese Drittanbieter deiner Website u. U. eigene Cookies hinzu (s. u.).

Wenn diese Dienste Daten deiner Besucher sammeln und auf ihren Servern speichern, brauchst du in jedem Fall einen Auftragsdatenverarbeitungsvertrag (ADV Vertrag) mit dem jeweiligen Anbieter. Des weiteren musst du diese Dienste natürlich in deiner Datenschutzerklärung angeben.

Überprüfe alle Verknüpfungen mit Drittanbietern sowie Plugins, ob und welche Daten sie sammeln und ob sie die Anforderungen der DSGVO einhalten. Falls du ein Plugin nicht anpassen kannst, verwende eine Alternativlösung. Ansonsten verzichte darauf zu Gunsten von mehr Datenschutz.

Cookies

Grundsätzlich setzt jede Website beim Aufrufen Cookies. Hierbei handelt es sich zunächst um relativ harmlose Session- und technische Cookies . Einerseits dienen sie der Gewährleistung der Funktion der Website, wie z. B. dem Aufrechterhalten der Sitzung. Andererseits ermöglichen sie das schnellere Laden bei weiteren Besuchen oder ersparen das wiederholte Einloggen. Da sie entweder auf dem Gerät des Besuchers oder beim Website-Betreiber gespeichert sind, werden viele beim Verlassen der Website automatisch gelöscht. Andere kann der Besucher in seinem Browser jederzeit selbst löschen.

Etwas problematischer sind Analyse-Cookies, da sie auch Daten erfassen können, die u. U. Rückschlüsse auf den Besucher zulassen. Am unkritischsten sind Analyse-Tools wie Matomo, die auf der Datenbank des Website-Betreibers installiert sind. Denn sie speichern nur anonymisierte Daten, die sich keiner konkreten Person zuordnen lassen.

Wesentlich kritischer sind alle Drittanbieter- bzw. Tracking-Cookies, deren gesammelte Informationen von externen Diensten ausgewertet werden. Dazu gehören die Google Dienste (Analytics, YouTube, Maps …), aber auch soziale Netzwerke, allen voran Facebook. Des Weiteren sind auch Werbeeinblendungen (Ads) als kritisch zu betrachten.

Wenn du diese direkt in deine Website einbettest, wird oft schon in dem Moment ein Cookie gesetzt, in dem ein Besucher deine Website öffnet. Somit verfolgt der Drittanbieter alle Besucher deiner Website, unabhängig davon, ob deine Besucher überhaupt auf Inhalte des Drittanbieters klicken.

Aufklärung über Cookies

Bisher leitet sich die Pflicht zur Aufklärung über Cookies aus der DSGVO und dem Telemediengesetz ab, die die e-Privacy-Verordnung ergänzen soll(te). Jedoch ist diese Zusatz-Verordnung noch immer nicht endgültig in Kraft getreten. Dennoch müssen schon jetzt Website-Betreiber über Cookies in leicht verständlicher Form aufklären.

Außerdem ist eine aktive Zustimmung (Opt-in) der Besucher vor dem Setzen von Tracking- und Analyse-Cookies notwendig. Ob die Aufklärung und Zustimmung auch für Session-Cookies gelten soll, ist noch umstritten.

eine rechtssichere Website Cookies
Screenshots: eb

Um einen Eindruck von der Umsetzung des Cookie-Hinweises (Cookie-Notice) zu bekommen, habe ich mir 88 Internetauftritte von Webdesignern, die auf den ersten 20 Seiten der Suchmaschine (Startpage) erscheinen, angesehen. Zwar ist diese Untersuchung nicht repräsentativ, aber deshalb nicht weniger aussagekräftig.

  • 37 % sind im grünen,
  • 24 % im gelb-orangen Bereich und
  • bei 27 % fehlt ein Hinweis auf Cookies ganz, obwohl Cookies gesetzt sind.

Zwar ist der unterste Cookie-Hinweis (orange) sehr grenzwertig, da er nur das Ausblenden des Banners erlaubt, aber er ist wenigstens vorhanden. Obwohl z. T. sogar Tracking-Cookies gesetzt werden, erscheint auf fast einem Drittel der untersuchten Websites gar kein Hinweis. Oder die Betreiber informieren nur kurz in ihrer Datenschutzerklärung darüber. Eine rechtssichere Website sieht anders aus.

Ob deine Website neben den Session-Cookies noch andere setzt, kannst du in deinem Browser herausfinden. Dazu rufst du deine Website auf und klickst in der Suchleiste auf das Schloss links neben der URL. Anschließend siehst du wie viele und welche Cookies vorhanden sind.

Der Cookie-Hinweis sollte zumindest über Tracking-Cookies informieren und einen Opt-in und einen Opt-out Button sowie einen Link zur Datenschutzerklärung anbieten. Des Weiteren sollte er so gestaltet sein, dass der Besucher gezwungen wird, ihn zu beachten / zuzustimmen oder Cookies abzulehnen, bevor er die Website tatsächlich nutzt.

Ist eine rechtssichere Website wichtig?

Natürlich kümmert manche der Datenschutz weniger als andere. Das betrifft anscheinend aber nicht nur die Internet-Nutzer, sondern genauso die Betreiber von Websites. Einerseits scheinen sich einige in der rechtlichen Grauzone relativ sicher zu fühlen. Andererseits fehlt manchmal wohl auch die Fachkenntnis, um aus einem Internetauftritt eine rechtssichere Website zu machen.

Doch wie bei anderen Gesetzen und Vorschriften schützt auch hier Unwissenheit nicht vor Strafe. Denn die Kontrollen sowie die Strafverfolgung erfolgen unabhängig davon, wie groß die Website und/oder ein Unternehmen ist. Deshalb kann sich eigentlich keiner in Sicherheit wiegen. Verstöße können sehr teuer sein:

  • Beim Impressum als Ordnungswidrigkeit = bis zu 50 000 Euro
  • und bei der DSGVO = bis zu 20 Millionen Euro.*

*Bei größeren Unternehmen beträgt der Bußgeldrahmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist. Angesichts dieser Summen ist es schon verwunderlich, dass sich immer noch relativ viele Betreiber und sogar Fachkollegen von mir so wenig um die Rechtssicherheit ihrer Internetauftritte kümmern.

Fazit

Auch wenn es schwierig sein mag, eine rechtssichere Website zu erstellen, die alle Vorschriften zu 100 % erfüllt, solltest du es zumindest versuchen. Denn insbesondere fehlende oder unzureichende Datenschutzerklärungen sollten inzwischen der Vergangenheit angehören. Während über Form und Inhalt des Cookie-Hinweises noch diskutiert wird, ist das Gesetz bzgl. des Datenschutzes eindeutig.

Abwarten und hoffen, dass keiner die Mängel bemerkt, ist sicher der falsche Weg. Darüber hinaus zeugt es von wenig Respekt gegenüber den Nutzern deines Angebots und deren Recht auf Auskunft über den Umgang mit ihren persönlichen Daten. Deshalb hoffe ich, dass dir die Tipps in meinem Beitrag dabei helfen, in Zukunft eine rechtssichere Website zu betreiben.


Auch interessant

Share Buttons
Sicheres Teilen mit Shariff
SSL
Website verschlüsseln – so geht’s
EU Recht
Hat die DSGVO Websites verändert?