Datenschutz online – die eigene WebSite

HMDATA Datenschutz-Newsletter 05/2024, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Es wird immer noch heiß diskutiert: was muss die eigene WebSite an datenschutzrechtlichen Grundsätzen beachten?
Vorab sollte beachtet werden, dass ein Unternehmen, das eine Online-Präsenz betreibt, grundsätzlich zwei (verschiedene) "Datenschutzerklärungen" benötigt: Unternehmensprozesse und Betrieb der eigenen WebSite. Das sind zwei völlig unterschiedliche Themenwelten, das eine hat mit dem anderen nichts zu tun.
Zumal im Sinne des Kopplungsverbotes sowieso angebracht wäre, für unterschiedliche Verarbeitungszwecke auch unterschiedliche rechtliche Grundlagen und eigenständige ggf. Notwendige Einwilligungen einzuholen.
Es geht rein formal auch nicht um eine "Datenschutzerklärung" sondern hauptsächlich um das Erfüllen der Informations- und Transparenzpflicht vor Erhebung personenbezogener Daten im Sinne des Art. 12 DSGVO.

Reduce to the max

Vorab aber sollte die Frage gestellt werden: welche personenbezogenen Daten soll die WebSite überhaupt verarbeiten, die letztlich unter die DSGVO fallen? Oft kommt es in der Praxis vor, dass ein klassischer Tracking-Dienst betrieben wird, dieser aber von keiner Person im Unternehmen weiter analysiert wird. Sinn macht ein Tracking-Dienst nur, wenn auch Maßnahmen an Hand der Nutzungsdaten überprüft werden. Das ist meist nur der Fall, wenn auch Online-Kampagnen geplant, redaktioneller Unique-Content erstellt, Zielgruppen definiert und bekannt sind, Conversion-Rates gemonitored werden, A/B-Analysen durchgeführt, AdWords- oder AdSense-Maßnahmen betrieben werden, AdClicks oder Kampagnen monetarisiert werden oder gegenüber Werbepartnern dokumentiert werden müssen. Sollte das nicht der Fall sein, kann man sich Google-Analytics, Facebook-Pixel & Co. sparen.

Die Integration von Drittanbieter-Tools wäre in diesem Falle auch nicht notwendig und man könnte sich auch den Consent-Layer sparen.

Wenn also keine datenverarbeitenden Tools eingesetzt werden, werden keine personenbezogenen Daten verarbeitet und man muss sich werder um Consent-Layer noch um DSGVO kümmern. Das dürfte bei den meisten WebSites der Fall sein, die nur Visitenkarte, Unternehmeninformation und Kontaktformular enthalten. Wer also keinen Shop betreibt, kann meist auf Consent-Layer und Datenschutzhinweise verzichten. Insofern rentiert sich also das "ausmisten" der WebSite und vereinfacht den datenschutzrechtlichen Aufwand erheblich.

Bliebe noch der Betrieb der obligatorischen "Server-LogFiles" übrig, die aber einerseits anonymisiert betrieben werden können, mit automatisierten Löschfristen von 7 bis 14 Tagen versehen sind und deren Verarbeitung notfalls auch mit dem berüchtigten "berechtigten Interesse" nach Art. 6 Abs. 1 lit. f DSGVO mit Hinweis auf technische Sicherheit und Weiterentwicklung verarbeitet werden könnten.

Datenschutz im Einzelfall

Sollten bspw. im Kontaktformular Kundendatenerfasst werden, so können diese im Einzelfall per Einwilligung (inkl. "aktiv bestätigender Handlung") eingeholt werden, solange die Informations- und Transparenzpflichten nach Art. 12 DSGVO erfüllt sind.

Bereitstellen von Videos oder ähnlicher Social-Media-Tools klappt am besten auch immer per individueller Einwilligung vor dem "Einbinden / Abspielen" per sog. 2-Click-Lösung: also erst abspielen, wenn zuvor eine explizite Einwilligung per Click eingeholt wurde. Das ist mittlerweile ein gängiges Verfahren, um die leidige Consent-Layer-Darstellung zu verhindern. Optisch gut gemacht merkt der Anwender normerweise keinen Unterschied.

Nicht nur Datenschutz: technische Sicherheit

Zudem darf aber nicht vernachlässigt werden, dass die Sicherheit der WebSite nach "Stand der Technik" gewährleistet werden muss. Es ist also regelmäßig darauf zu prüfen, ob das eingesetzte CMS noch aktuell und up-to-date ist, die verwendeten PlugIns regelmäßig gepatcht werden, die eingesetzten Tools und Programmierumgebungen auf aktuellem Stand sind und der Server regelmäßige Updates erhält.