Dieser Beitrag wird in Kürze aktualisiert. Solange möchten wir Sie darauf hinweisen, dass einzelne Informationen in diesem Artikel veraltet sein könnten.
Tipps zum Datenschutz für Webseitenbetreiber
Das Internet ist in der heutigen Gesellschaft kaum mehr wegzudenken. Unternehmensauftritte, Weblogs, Internetshops, Datenbanken, Foren, soziale Kommunikationsplattformen – das Internet ist ein digitaler Parallelkosmos aus mannigfaltigen Inhalten.
Wer etwas zu sagen, zu schreiben, zu zeigen oder preiszubieten hat, kommt heutzutage um einen eigenen Internetauftritt kaum mehr herum. Mit Blick auf die opulente Vielfalt an Content-Management-Systemen ist es mittlerweile kinderleicht eine Internetpräsenz zu erstellen. Viel zu oft geraten hierbei jedoch die datenschutzrechtlichen Pflichten, die mit der Unterhaltung einer Webseite einhergehen, in Vergessenheit. Einige damit einhergehende bedeutsame Aspekte sollen die nachfolgenden Zeilen erläutert.
Anbieterkennzeichnung
Die Anbieterkennzeichnung (landläufig als „Impressum“) ist ein wichtiger Teil der Informationspflicht. Sie muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. Die in einem Impressum vorzuhaltenden Pflichtangaben regeln § 5 TMG und § 55 RStV. Streng genommen ist die Pflicht zum Vorhalten der Anbieterkennzeichnung nicht dem datenschutzrechtlichen Pflichtenkreis zuzuordnen. Gleichwohl soll sie hier eine Erwähnung erfahren, da im folgenden Abschnitt auf sie Bezug genommen wird.
Datenschutzerklärung ist Pflicht für jeden Webseitenbetreiber
Auch die Datenschutzerklärung ist ein Pflichtbestandteil einer jeden Internetseite (Landgericht Köln, Urteil vom 26.11.2015, 33 O 230/15). Eine Datenschutzerklärung beinhaltet Angaben zur Erhebung und Verwendung personenbezogener Daten sowie zu Maßnahmen, die eine datenerhebende Stelle ergreift, um die Privatsphäre der Webseitennutzer zu wahren. Ihren Pflichtinhalt bestimmen § 13 Abs. 1, Abs. 6 S. 2 TMG sowie § 15 Abs. 3 TMG.
Eine Datenschutzerklärung muss immer leicht aufzufinden sein. Sie darf nicht etwa in den AGB oder in der Anbieterkennzeichnung einer Seite „versteckt“ werden. Gerade in der Darstellung auf mobilen Endgeräten muss auf die hinreichende Auffindbarkeit der Datenschutzerklärung geachtet werden.
Nach unserer Erfahrung aus der tagtäglichen anwaltlichen Beratungspraxis werden häufig Erklärungen zum Webtracking, zu Cookies und Plug-Ins in der Datenschutzerklärung vergessen.
Datenschutz und die Speicherung von IP-Adressen
Internetseitenbetreiber sollten sich immer wieder fragen, ob und zu welchem Zweck die IP-Adressen ihrer Besucher protokolliert werden. Da die IP-Adresse aus Sicht der datenschutzrechtlichen Aufsichtsbehörden als personenbezogenes Datum qualifiziert werden muss, sollte man als Webseitenbetreiber eine automatisierte Protokollierung von IP-Adressen vermeiden. IP-Adressen sollten, soweit deren Speicherung von Nöten ist (etwa beim Webtracking oder zum Schutz vor einer zweckentfremdeten Nutzung von Seitenfunktionen), allenfalls anonymisiert protokolliert werden.
Webtracking und Datenschutz
Der Einsatz sogenannter „Webtracker“ ist datenschutzrechtlich nicht unbeachtlich. Auf diese Thematik wird an anderer Stelle in unserem Blog eingegangen. Insoweit sei verwiesen auf das Kapitel „Der datenschutzkonforme Einsatz von Webtrackern“.
Spamfilter im Fokus des Datenschutzes
Um sich vor Kommentar- und Trackback-Spam zu schützen, kann ein Betreiber einer Internetseite einen Spamfilter einsetzen. Weblog-Systeme wie WordPress bringen bereits einen vorinstallierten Spamfilter mit. Dabei speichern nahezu alle gängigen Spamfilter Modelle die IP-Adressen von Kommentatoren und gleichen diese mit einer „Blacklist“ ab. Dies kann sich als problematisch erweisen, wenn hierzu IP-Adressdaten (und damit personenbezogene Daten) in Länder übermittelt werden, die aus Sicht der EU Kommission als Staat ohne angemessenes Datenschutzniveau eingestuft wurden (etwa die USA). Mangels einer legitimierenden Rechtsvorschrift wäre hierfür eine Einwilligung des Kommentierenden notwendig, wobei u.a. auf die Voraussetzungen der elektronischen Einwilligung (§ 13 Abs. 2 TMG) geachtet werden müsste. Einem jeden Webseitenbetreiber sei vor diesem Hintergrund der Einsatz datenschutzrechtlich unbedenklicher Plugins angeraten.
Kommunikations- und Interaktionsfunktionen
Die für Spamfilter ausgesprochene Empfehlung kann uneingeschränkt für alle Plugins und Widgets ausgesprochen werden, die datenschutzrechtlich bedenkliche Funktionen beherbergen. Gerade Kommunikations- und Interaktionsapplikationen wie Chat-Programme, Kommentarfunktionen oder Schnittstellen-Plugins sozialer Netzwerke sollten tunlichst mit Bedacht ausgewählt werden. Viele der Programme sind „out-of-the-box“ nicht mit den deutschen Datenschutzbestimmungen in Einklang zu bringen.
Schutz der Webseite vor Fremdzugriffen
Eine jeder Internetauftritt sollte mit einem hinreichenden Brute Force Schutz versehen sein und überdies eine verschlüsselte Übertragung von Passwörtern und Datensätzen innerhalb des Backends „spendiert“ bekommen. Gerade Weblogs geraten immer wieder in den Fokus von Cyberkriminellen, die sich über ein „Datenleck“ oder eine Systemschwachstelle administrativen Zugang zum Blog verschaffen.
Datenschutz und die Inhalte des Webauftritts
Mit Rücksicht auf die datenschutzrechtliche Grundkonzeption der Datensparsamkeit sollte sich ein Internetseiteninhaber stets die Frage stellen, welche personenbezogenen Daten für eine Anwendung tatsächlich notwendig sind. Viel zu oft sieht man im Internet Kontaktformularfelder, die als Pflichtangabe neben der E-Mail-Adresse eines Nutzers auch dessen Telefonnummer abfragen.
Überdies mag sich ein jeder Webseitenbetreiber auch vergegenwärtigen, dass das datenschutzrechtliche Gebot der Zweckbindung gewährleisten soll, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben worden sind.
Pflichten des Webseitenbetreibers bei Cookies
Die EU Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 (sog. „Cookie-Richtlinie“), sieht eine gesetzliche Regulierung für die Verwendung von Cookies (insbesondere sogenannten Tracking Cookies) vor. Webseitennutzer sollen zum einen auf die Verwendung von Cookies hingewiesen werden und eine entsprechende Einwilligung in die Nutzung von Cookies geben.
Nationale Rechtsgrundlage für die Hinweispflicht ist § 13 Abs. 1 TMG. Die Pflicht zur Einholung einer entsprechenden Einwilligung des Webseitenbesuchers ergibt sich aus § 12 Abs. 1 TMG. Entsprechende Plugins zur Erfüllung der Pflichten eines Webseitenbetreibers bei der Verwendung von Cookies finden sich mittlerweile für jedes CMS System.
Fazit zum Datenschutz für Webseitenbetreiber
Bedenkt man, dass Datenschutzverstöße nicht nur teure Bußgelder, sondern gar eine datenschutzmotivierte Abmahnung nach sich ziehen können, so sollte jeder Webseitenbetreiber sich für datenschutzrechtliche Belange sensibilisieren.