8. August 2023

Datenschutz & Recht für sichere Webseiten (DSGVO, TTDSG & Privacy Shield)

Webseiten sind für Unternehmen nicht nur ein Aushängeschild und ein wichtiger Marketing-Kanal, sondern müssen auch vielen rechtlichen Anforderungen entsprechen. Webseiten verarbeiten, Daten sammeln und Informationen von Nutzern und Kunden unterliegen deshalb Verordnungen wie zum Beispiel der DSGVO oder dem TTDSG. Was sich dahinter konkret verbirgt und was man als Webseitenbetreiber beachten sollte, erfahren Sie in diesem Beitrag.

Warum Datenschutz und Recht bei Webseiten so wichtig ist

Webseiten verarbeiten Daten. Daten werden dabei für verschiedene Zwecke gesammelt und verwertet: zur Auswertung, zur Sicherstellung und Ausführung von Services, zum Tracking, für Marketing oder schlicht zur technischen Verarbeitung. Denn selbst wenn keine Tools zur Analyse oder zum Tracking in die Webseite eingebunden werden, verarbeitet die Webseite trotzdem personenbezogene Daten – beispielsweise in Form der IP-Adresse.

Welche Richtlinien sind zu beachten?

Es gibt eine Vielzahl an Richtlinien und Gesetzen, die den Datenschutz bei Webseiten regeln und zu beachten sind. Durch den schnellen Fortschritt der Technologie und das ständige Abwägen verschiedener Interessen ändern sich die Rahmenbedingungen regelmäßig, sodass es sehr wichtig ist, hier auf dem neuesten Stand zu bleiben. Grundsätzlich gibt es aktuell folgende drei Richtlinien, die Webseiten-Betreiber kennen und beachten sollten:

1) DSGVO: Einheitliche Datenschutzregeln in der EU

Die Regeln der DSGVO (Datenschutzgrundverordnung) gelten seit dem 25. Mai 2018 verbindlich für alle Unternehmen, die in der EU aktiv sind. Die DSGVO hat die Anforderungen an den Datenschutz erhöht und für den EU-Raum vereinheitlicht. Verstöße oder Missachtung können mit hohen Geldstrafen geahndet werden, die bis in den Millionenbereich gehen.

Kern der DSGVO ist, dass die Verarbeitung personenbezogener Daten grundsätzlich nicht erlaubt ist, beziehungsweise einer ausdrücklichen Erlaubnis und Information der Betroffenen bedarf. Konkret auf Webseiten bezogen hat die DSGVO verschiedene Folgen und stellt diverse konkrete Anforderungen, wie zum Beispiel die verpflichtende Erstellung einer DSGVO-konformen Datenschutzerklärung für die Webseite. Näheres zu ein paar konkreten Anwendungsbeispielen der DSGVO auf der Webseite finden Sie weiter unten in diesem Beitrag.

2) TTDSG: Datenschutz und Schutz der Privatsphäre in der Telekommunikation

Das TTDSG (Telekommunikations-Telemedien-Datenschutz-Gesetz) ist am 1. Dezember 2021 in Kraft getreten und setzt europäische Richtlinien in nationales Gesetz um. Als „Telemediendienst“ unterliegt die Webseite dem TTDSG genauso wie beispielsweise Suchmaschinen, Videokonferenzsysteme oder webbasierte E-Mail-Dienste.

Unser Tipp: Mehr über die Auswirkungen und Anforderungen von DSGVO und TTDSG auch über die Webseite hinaus erfahren Sie in unserem Seminar „Recht der elektronischen Kommunikation“. Unsere Expert:innen geben Ihnen praktische Tipps und Lösungen, wie Sie alle rechtlichen Anforderungen erfüllen können und Datenschutzverletzungen vermeiden.

Das TTDSG ist zusätzlich zur DSGVO zu beachten und bezieht sich im Gegensatz zu dieser auf alle Informationen (personenbezogen wie nicht-personenbezogen) und alle Personen (natürlich wie juristisch). Der Anwendungsbereich unterscheidet sich kurz gesagt folgendermaßen: Während die DSGVO den Schutz von personenbezogenen Daten gewährleistet, verlangt das TTDSG eine Einwilligung, unabhängig davon, ob personenbezogene Daten anfallen.

Auf die Webseite bezogen bedeutet das beispielsweise, dass Cookies und vergleichbare Dienste immer eine ausdrückliche Einwilligung erfordern. Bei einer Missachtung des TTDSG drohen Geldstrafen, je nach Fall bis zu 300.000 Euro.

3) Privacy Shield 2.0: Das neue Privacy Framework

Wer Tracking-, Marketing- und Analysetools von US-Unternehmen wie beispielsweise Google nutzt, der ist außerdem von der Privacy Richtlinie betroffen. Der Datenaustausch zwischen der EU und den USA ist von juristischen Auseinandersetzungen geprägt, die bereits einige Jahre anhalten. Kurz zusammengefasst: Das Datenschutzabkommen Privacy Shield trat 2016 in Kraft, nachdem die Vorgängerregelung Safe Harbour vom Europäischen Gerichtshof gekippt worden war. 2020 wurde auch der Privacy Shield für unrechtmäßig erklärt. Drei Jahre später ist nun im Juli 2023 ein neues Privacy Shield in Kraft getreten, das den Datenaustausch zwischen EU und USA rechtskonform regeln soll.

Der neue Datenschutzrahmen nennt sich „Data Privacy Framework“ und stellt den EU-US-Datenverkehr auf eine neue rechtliche Basis, die einen Angemessenheitsbeschluss beinhaltet. Das bedeutet, dass das Schutzniveau eines Nicht-EU-Landes (in diesem Fall die USA) den europäischen Standards gleichwertig gestellt wird. Für Unternehmen ist dies zunächst eine gute Nachricht, da künftig keine Einzelfallprüfungen mehr notwendig sind, sondern Dienste und Tools von US-Unternehmen wieder rechtssicher genutzt werden können, sofern diese an dem Datenschutzabkommen teilnehmen. Allerdings wird auch das neue Abkommen von Datenschützern kritisiert und voraussichtlich wieder vor Gericht landen.

Vier konkrete Beispiele für die gängigsten Anwendungen

In der praktischen Umsetzung sind verschiedenste Bereiche von den Richtlinien und Regelwerken betroffen. Bezogen auf die Webseite gibt es einige typische Anwendungsbereiche wie zum Beispiel folgende vier:

  1. SSL: Webseiten müssen SSL-verschlüsselt sein. Das bedeutet, dass die Datenübertragung sicher verschlüsselt wird, beispielsweise wenn Daten über ein Kontaktformular versendet werden. Eine gesicherte Verbindung erkennt man an der Bezeichnung https in der URL. Viele Browser warnen inzwischen, wenn man versucht, eine unverschlüsselte Seite zu öffnen.
  2. Cookies: Cookies sind kleine Textdateien, die Informationen im Browser des Nutzers abspeichern, sodass dieser zum Beispiel Anmeldedaten nicht erneut eingeben muss. So gut wie jede Webseite nutzt Cookies. Deren Nutzung muss jedoch zugestimmt werden, weshalb die meisten Webseiten beim ersten Aufruf ein Cookie Banner anzeigen, in dem man seine Einwilligung geben oder ablehnen kann.
  3. Einbinden von externen Inhalten wie Videos oder Social Media Inhalte: Wenn in der Webseite Videos oder andere Inhalte von externen Plattformen eingebunden sind, werden beim Abruf Daten übertragen. Beispielsweise wird bei einem eingebundenen Video direkt beim Laden der Seite die IP-Adresse des Nutzers übertragen. Um hier die explizite Einwilligung zu gewährleisten, wird zum Beispiel eine Zwei-Klick-Lösung implementiert, bei der Nutzer zunächst dem Laden des Videos zustimmen und es dann mit einem zweiten Klick starten können.
  4. Google Fonts: Auf vielen Webseiten werden externe Schriften eingebunden, die beim Laden der Seite mitgeladen werden. Ein bekannter Anbieter ist Google Fonts. Beim Laden der Schrift werden jedoch Daten zwischen der Webseite und Google übermittelt, was ohne Einwilligung nicht rechtskonform ist und im letzten Jahr zu einer Abmahnwelle geführt hat. Schriften müssen deshalb lokal in die Webseite eingebunden und vom eigenen Server geladen werden. 

Tipps zur praktischen Umsetzung in unserem Seminar 

Aus den verschiedenen rechtlichen Rahmenwerken ergeben sich mehrere Anforderungen, die Webseitenbetreiber beachten müssen. Einen Überblick über die Zusammenhänge und Tipps und Lösungen zur praktischen Umsetzung erhalten Sie in unserem Seminar „Datenschutzkonforme Webseiten“. Dieses Seminar richtet sich an Webentwickler, Webdesigner, Projektleiter Webentwicklung, Datenschutzbeauftragte und Webseiten-Administratoren, sodass Grundkenntnisse in der Webentwicklung von Vorteil sind.

Mehr Informationen, die aktuellen Termine und die Anmeldung finden Sie direkt auf unserer Seminarseite: Datenschutzkonforme Webseiten

geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security

Immer auf dem Laufenden:
News direkt in Ihr Postfach.

Unser Angebot in einer Broschüre

Laden Sie sich jetzt kostenlos unsere umfassende Weiterbildungsbroschüre herunter:

Zur Bestätigung Ihrer E-Mail-Adresse senden wir Ihnen zunächst einen Bestätigungslink. Anschließend erhalten Sie umgehend die Broschüre. Mit der Bestätigung melden Sie sich zu unserem E-Mail-Verteiler an & erhalten unsere Weiterbildungs-News direkt in Ihr Postfach. Dieser Nutzung kann jederzeit widersprochen werden.