erstellung datenschutzkonforme website

Leitfaden zum Erstellen einer Website

Wer sich über ein Thema, ein Produkt oder eine Dienstleistung informieren möchte, wird zu diesem Zweck in aller Regel als erstes das Internet aufsuchen. Ein ansprechender, funktionaler und benutzerfreundlicher Internetauftritt ist also eine wichtige Voraussetzung dafür, einen positiven Eindruck bei interessierten Personen zu hinterlassen, sich über die Angebote eines Unternehmens zu informieren und somit auch die eigenen unternehmerischen oder projektbezogenen Ziele umsetzen zu können.
Dieser Leitfaden Website soll dabei helfen, Websites oder Online-Shops zu erstellen, die den gültigen Datenschutzregeln gem. der DSGVO und des TTDSG sowie dem TMG entsprechen und gleichzeitig einige Aspekte erläutern, über die sich bereits vor dem Erteilen eines Auftrags an eine Dienstleisterin Gedanken gemacht werden sollten.

Folgen Sie folgenden Schritten in dieser Reihenfolge für die Erstellung einer Website:

  1. Bestimmen Sie notwendigen Funktionen: Kontaktformular, Analyse
    Tools, etc.
  2. Stellen Sie den Inhalt zusammen: Text, Bilder, Grafiken, Videos, Logos
    etc.
  3. Erstellen Sie das Design erst auf Basis der ersten beiden Schritte.

Schaffung der rechtlichen Grundlagen

Keine Auftragserteilung ohne Rechtsgrundlage für die Datenverarbeitung und Lizenzierungen von urheberrechtlich-geschützten Werken und Leistungen!

AV-Verträge und / oder SCC mit allen Dienstleister : innen, die am Projekt beteiligt sind, mit Unterstützung des Datenschutzbeauftragten, prüfen oder neu abschließen:

  • Web-Hoster
  • Mail-Hoster
  • Agentur
  • Drittanbieter Tools (Youtube, Maps, etc.)

Oftmals werden die rechtlichen Aspekte beim Erstellen einer Website nicht ausreichend beachtet. Jedoch handelt es sich hierbei um eine unerlässliche Voraussetzung, um die Sicherheit und die (Persönlichkeits-)Rechte der Websitebesucher : innen bei der Nutzung zu gewährleisten und sich vor möglichen Abmahnungen und Bußgeldern schützen zu können. Es ist also wichtig, sich vor Augen zu führen, dass man als Eigentümer : in und verantwortliche Stelle einer Website unter anderem personenbezogene Daten der Nutzer : innen verarbeitet. Das mindeste, was an personenbezogenen Daten technisch notwendig erhoben wird, ist die IP-Adresse. Dies ist notwendig, da ein internetfähiges Gerät, beispielsweise ein Computer, über diese adressierbar ist und damit auch rückverfolgbar ist. Es lässt sich über die IP-Adresse unter Umständen herausfinden, wo ein : e Nutzer : in sich aufhält und was für ein Gerät genutzt wird. Per Definition handelt es sich deshalb bei IP-Adressen um personenbezogene Daten. Darüber hinaus können auf einer Website weitere personenbezogene Daten erhoben werden.
Datenschutzrechtlich ist der / die Eigentümer : in einer Website die sogenannte verantwortliche Stelle, denn er / sie trägt die Verantwortung dafür, dass die Daten, die in seinem / ihrem Namen erhoben werden, ausreichend geschützt und nur, gemäß vorliegender Rechtsgrundlage, zweckgebunden verwendet werden. Zusätzlich muss die verantwortliche Stelle gewährleisten, dass auch alle an dem Projekt (Entwicklung und Betrieb der Website) beteiligten Dienstleister : innen oder Agenturen sind, die Daten mindestens ebenso gut schützen (gleiches Schutzniveau), wie der / die Eigentümer : in selbst es tut.
Sofern diese rechtlichen Rahmenbedingungen nicht erfüllt sind, wird auch eine Datenschutzerklärung auf einer Website nicht nach den Vorgaben der DSGVO angefertigt werden können.

Was ist eine IP-Adresse?

Eine IP-Adresse (Internet Protocol-Adresse) ist eine eindeutige numerische Kennung, die einem Gerät in einem Computernetzwerk zugewiesen wird. Sie dient zur Identifizierung und Lokalisierung von Geräten innerhalb eines Netzwerks, sei es das Internet oder ein lokales Netzwerk (LAN). IP-Adressen sind personenbezogene Daten.

Relaunch oder Neuentwicklung

In diesem Kontext ist es wichtig zu differenzieren, ob ein Relaunch einer bereits vorhandenen Website geplant ist, oder es sich um eine Neuentwicklung handelt.

Auftragsverarbeitungs-Verträge (AV-Verträge)

In beiden Fällen, also sowohl bei einem Relaunch als auch bei einer Neuentwicklung, ist es wichtig, mindestens Auftragsverarbeitungs-Verträge (AV-Verträge) mit dem Webhoster, gegebenenfalls dem Mailhoster sowie allen an der Entwicklung beteiligten Agenturen und Dienstleister : innen abzuschließen. Über einen AV-Vertrag wird sichergestellt, dass Auftragsverarbeitungsnehmer : innen die personenbezogenen Daten, die sie im Auftrag der Auftragsverarbeitungsgeber : innen als verantwortliche Stelle verarbeiten, in einem dokumentierten und angemessenen Maße schützen.
Dies sichert Sie als Auftragsverarbeitungsgeber : in, in dessen / deren Namen die Daten erhoben wurden, im Falle einer Datenpanne, die durch den Auftragsverarbeitungsnehmer : in versursacht wurde, ab, indem Sie diesen in die Verantwortung durch einen Schadensersatzanspruch nehmen können. Dies ermöglicht den Besucher : innen Ihrer Website eine rechtlich sichere Nutzung. Befindet sich ein : e Dienstleister : in in einem Drittland, also weder in Deutschland, noch in der EU, wird statt eines AV-Vertrags ein Vertrag auf Basis der EU-Standardvertragsklausel (SCC) abgeschlossen. Dieser sollte ebenso wie die AV-Verträge von dem / der zuständigen Datenschutzbeauftragten geprüft werden.

Somit schützt dieses Vorgehen durch die Schaffung der notwendigen Rechtsgrundlage zwischen Auftragsverarbeitungsnehmer : in und -geber : in, vor Bußgeldern und Abmahnungen.

Was ist ein Auftragsverarbeitungsgeber bzw. -nehmer?

Der / Die Auftragsverarbeitungsgeber : in ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten durch einen Dienstleister verarbeiten lässt. Der /  Die Auftragsverarbeitungsnehmer :in ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die vom Auftragsverarbeitungsgeber beauftragt wurde, personenbezogene Daten zu verarbeiten.

Relaunch

Bei einem Relaunch, also einer erneuten Veröffentlichung einer bereits vorhandenen Website, ist bereits eine Domain mit einer entsprechenden URL sowie ein Hoster vorhanden. Trifft dies auf Ihre Website zu, sollten Sie sich die Frage stellen, ob Sie Ihren bisherigen Hoster behalten wollen, oder ein Umzug des Hosters geplant ist. Überprüfen Sie bei einem Relaunch, ob in der Vergangenheit mit den neuen und / oder alten Dienstleister : innen, Hostern oder Agenturen AV-Verträgen oder SCC nach den aktuellsten Vorgaben geschlossen worden sind.

Neuentwicklung

Bei einer Neuentwicklung handelt es sich um eine ganz neu angelegte Website

Die folgenden Fragen sollten Sie sich hierbei im Vorfeld stellen:
• Wer registriert die Domain / URL?
• Wo soll die Website gehostet werden?
• Sollen im Namen der Domain (bspw. www.meinewebsite.de) auch EMails (bspw. info@meinedomain.de) geschickt und / oder empfangen
werden können?

Interne Abstimmung bei der Erstellung einer Website

Bei der Beantwortung dieser Fragen sollten Sie sich mit der Fachabteilung Ihres Unternehmens abstimmen, noch bevor die Registrierung der Domain oder der Abschluss eines Vertrags mit einem Web- und / oder Mailhoster erfolgt. Es ist wichtig, dass sichergestellt ist, dass die Domain dem Unternehmen gehört und eigenverantwortlich vollumfänglich betrieben wird. Admin- / Super-Admin-Zugänge müssen dem Unternehmen vorliegen.
Was sind Admin- bzw. Super-Admin-Zugänge?

Ein Admin-Zugang ist ein Benutzerkonto mit erweiterten Berechtigungen und Zugriffsrechten, um administrative Aufgaben in einem Computersystem oder einer Softwareanwendung auszuführen. Ein SuperAdmin-Zugang ist ein besonders privilegierter Admin-Zugang mit umfassenden Rechten und Kontrollmöglichkeiten über das gesamte System.
Wichtig: Schließen Sie keine Verträge mit Diensten wie z. B. Web- und /oder Mailhostern oder Agenturen ab, ohne dass die AV- oder SCCVerträge zuvor durch den zuständigen Datenschutzbeauftragten geprüft wurden!
Dieser Punkt ist besonders wichtig, da Sie als Websitebetreiber, wie bereits erwähnt, personenbezogene Daten verarbeiten und gem. der DSGVO auch dafür verantwortlich sind, was mit diesen geschieht. Durch die AV-Verträge oder SCC wird sichergestellt, dass auch die Auftragsverarbeitungsnehmer : innen in der Verantwortung sind und der gleichen Sorgfaltspflicht unterliegen wie die verantwortliche Stelle als Auftragsverarbeitungsgeber : in selbst. Bevor ein Auftrag gegeben werden kann, muss daher also zunächst vertraglich die Rechtsgrundlage geschaffen werden, die eine datenschutzkonforme Zusammenarbeit ermöglicht.

AV-Vertrag

Die im Anhang eines AV- oder SCC-Vertrags zwingend notwendig angeführten Technischen und Organisatorischen Maßnahmen (TOM) zum Schutz der Daten bei dem / der Auftragsverarbeitungsnehmer : in müssen dem Schutzniveau der zu verarbeitenden Daten angemessen sein. Die technischen und organisatorischen Maßnahmen im Datenschutzkonzept des/der Auftragsverarbeitungsgeber : in definieren einen Mindeststandard an Schutz, die ein : e Auftragsverarbeitungsnehmer : in mindestens auch erfüllen muss. Das Datenschutzniveau darf durch eine : n Auftragsverarbeitungsnehmer : in nicht unterschritten werden.

Unterliegt ein : e Auftragsverarbeitungsgeber : in besonderen gesetzlichen Geheimhaltungspflichten, z. B. gem. § 203 StGB, so muss sichergestellt werden, dass ein : e Auftragsverarbeitungsnehmer : in diesen Geheimhaltungspflichten ebenfalls nachkommt.
Ein Verstoß kann einen Straftatbestand erfüllen!

Was sind Technische und Organisatorische Maßnahmen (TOM)?

Technische und Organisatorische Maßnahmen (TOM) sind Vorkehrungen, die Unternehmen und Organisationen ergreifen, um die Sicherheit von personenbezogenen Daten zu gewährleisten. Dies umfasst sowohl technische Maßnahmen wie Verschlüsselung, Zugriffskontrollen und Firewall-Systeme als auch organisatorische Maßnahmen wie Richtlinien, Schulungen und Kontrollmechanismen, um den Schutz personenbezogener Daten zu gewährleisten.

Was ist ein Hoster?

Ein Hoster, auch bekannt als Webhosting-Anbieter oder Webhost, ist ein Unternehmen, das die erforderliche Infrastruktur und Dienstleistung bereitstellt, um eine Website oder eine Anwendung im Internet zugänglich zu machen. Ein Hoster stellt die notwendigen Ressourcen und Technologien bereit, damit eine Website auf Servern gespeichert und über das Internet abgerufen werden kann.

Bekannte Hoster sind beispielsweise:

  • IONOS
  • Strato
  • Hetzner

Website im Spannungsfeld von Funktionen, Inhalten und Design

Sobald geklärt ist, ob Sie einen Relaunch oder eine Neuentwicklung planen, ist es an der Zeit, sich Gedanken darüber zu machen, welche Funktionen und Inhalte Ihre Website bieten und wie sie designt sein soll. Dies ist auch deshalb wichtig, weil sich aus der Beantwortung dieser Fragen zugleich das Briefing für die Agentur ergibt, die für die Umsetzung der Websiteerstellung zuständig ist. Aus allen diesen Aspekten, also Funktionen, Inhalt und Design, können sich weitere datenschutzrechtliche Konsequenzen ergeben. Zusätzlich müssen bei der Definition dieser Aspekte neben den datenschutzrechtlichen Konsequenzen auch urheberrechtliche und lizenzrechtliche Fragestellungen bedacht und beantwortet werden.

Achten Sie also immer auf eine datenschutzkonforme Umsetzung von Funktionen, Inhalten und Design!

Funktionen

Folgende Beispiele können als Anregung für Funktionen Ihrer Website dienen:
• Kontaktformular
• Cookie Consent
• Analyse-Tools
• SSL (Secure-Sockets-Layer) zur Datenverschlüsselung
• Backup-Routinen
• Benutzer : innenberechtigungskonzept
• Download-Bereich
• Kund : innen Login
• Mehrsprachigkeit
• Einbinden von Karten (z. B. Maps)
• Bezahlfunktionen (z. B. PayPal, Spenden-Button) oder
Versandoptionen

Auch hier ist es wichtig, die rechtlichen Aspekte zu beachten. So werden etwa bei der Nutzung eines Kontaktformulars, bei Käufen in Ihrem Online-Shop oder aber auch bei der Verwendung einer Mehrsprachigkeitsfunktion
personenbezogene Daten der Websitenutzer : innen abgefragt. Wenn Sie also Funktionen auf Ihrer Website einbinden, ist der / die Anbieter : in dieser ein : e Auftragsverarbeiter : in (AV-Verarbeiter : in) und es ist notwendig, gegebenenfalls mit diesen Drittanbieter : innen einen AV-Vertrag bzw. SCC abzuschließen, um den Schutz der personenbezogenen Daten der Websitenutzer : innen zu gewährleisten. Insbesondere trifft dies bei der Einbindung von Google Maps, YouTube-Videos und Analyse-Tools wie Google Analytics zu. Für den Einsatz dieser Funktionen muss in jedem Fall ein AV-Vertrag oder SCC abgeschlossen werden. Bei Google beispielsweise, da es sich hier um einen Anbieter aus einem Drittland handelt, wäre ein SCC abzuschließen.

Inhalte auf der Website

Ebenso wie bei den Funktionen gilt es, auch die Inhalte Ihrer Website datenschutzkonform zu gestalten. Unter datenschutzrelevante Inhalte würden beispielsweise die Vorstellung Ihres Teams und / oder Ihrer Kooperationspartner : innen fallen. Bereits die Darstellung von Fotos, Alter, Adresse und Telefonnummer, Jubiläen, Geburtstagen oder die Nennung von Namen von Mitarbeiter : innen kann datenschutzrelevant sein. Gleiches gilt für lokal gehostete Karten, Videos und Audiodateien.

Hier noch einige weitere Beispiele für Websiteinhalte:

  • Beschreibung der Leistungen
  • Über uns
  • Karriereseite und Stellenausschreibungen
  • Qualitätssiegel
  • Blog / Aktuelles
  • Impressum
  • Einbinden von Videos, Bildern / Fotos und Audiodateien
  • Datenschutzerklärung

Design

Auch die Erstellung eines Designs kann rechtliche Konsequenzen nach sich ziehen. Hier ist insbesondere das Urheber : innenrecht zu berücksichtigen.
Da es sich bei der Erstellung eines Designs um eine kreative Leistung handelt, ist diese Leistung urheberrechtlich geschützt.

In Europa ist das Urheber:innenrecht nicht veräußerbar.

Daher können Sie als Auftraggeber : in einer Website lediglich die Auswertungsrechte eines Design erwerben. Die Übertragung von Auswertungsrechten obliegt zeitlichen, örtlichen und inhaltlichen Dimensionen die im Auftrag und in der Auftragabestätigung berücksichtigt werden sollten.

Das bedeutet hier konkret:

Wenn Sie eine : n Designer : in beauftragen, sollten Sie nicht nur den Auftrag erteilen, sondern auch die Nutzungsrechte über die oben genannten Dimensionen und gegebenenfalls zusätzliche Vergütungen für diese Auswertungsrechte definieren. Lizenzrechtliche Aspekte beim Design können ferner bei der Auswahl von genutzten Schriftarten sowie Bildern oder Videos aus Stock-Material relevant werden. Stellen Sie auch sicher, dass es entsprechende betriebliche Vereinbarungen gibt, die Ihnen die Nutzung von Fotos, die von Mitarbeiter : innen erstellt worden sind, erlauben. Datenschutzrechtliche Aspekte beim Design können sich dann ergeben, wenn Konterfeis von Menschen in einem Logo verarbeitet werden (z. B. Brand Zwieback und Kinder Schokolade Nirvana Album Cover).

Datenschutzerklärung

Die Datenschutzerklärung Ihrer Website ergibt sich schließlich als Konsequenz Ihrer abgeschlossenen AV-Verträge oder SCC sowie der Funktionen, die für eine datenschutzkonforme und sichere Nutzung Ihrer Website notwendig sind. Eine Datenschutzerklärung kann nur dann rechtskräftig gültig sein, wenn mindestens alle in diesem Leitfaden angeführten Aspekte Berücksichtigung gefunden haben.
Weitere interessante Lerninhalte zu diesem Thema finden Sie hier:

 

Copyright liegt bei Wiemer Arndt UG. Diese Informationen stellen keine Rechtsberatung dar. Dieses Dokument übernimmt keine rechtliche Gewährleistung, da sich die Rechtslage jederzeit ändern kann. Die Aussagen entsprechen dem Stand zum Zeitpunkt der Erstellung des Dokuments. Sie können aufgrund künftiger Entwicklungen überholt sein, ohne dass das Dokument geändert wurde. Erstellungszeitpunkt: 09.01.24

Anforderung Handreichung für eine datenschutzkonforme Website

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!