Auf der Homepage, auf Produktseiten und anderen Internetauftritten werden personenbezogene Daten verarbeitet – in jedem Fall zumindest die IP-Adresse der Nutzer. Deshalb muss z.B. neben dem Telemedien- auch das Datenschutz-Recht beachtet werden. Und das ist manchmal gar nicht so einfach.
Einige der häufigsten Fehler beim Betrieb von Internetauftritten sind:
- Google Analytics ohne Einwilligung (oder andere Tracking-Werkzeuge ohne Einwilligung)
Wenn Sie das Online-Verhalten von Nutzern nachvollziehen wollen, müssen Sie dafür vorab die Einwilligung der Nutzer einholen. Das kann beispielsweise über so genannte „Cookie-Banner“ erfolgen.
- Google Web-Fonts sind dynamisch eingebunden
Kommen spezielle Schriftarten zum Einsatz, sollten die Schriftart-Dateien immer auf dem eigenen Webserver liegen. Denn ansonsten erhält Google zwangsläufig die IP-Adresse der Nutzer, was ohne vorherige Einwilligung der Seitenbesucher rechtswidrig ist. Dies war bereits Anlass für Abmahnungen.
- Datenschutz-Informationen sind unvollständig
Alle Datenverarbeitungen auf der Website müssen für Nutzer offengelegt, d.h. in der Datenschutzerklärung benannt werden. Das betrifft insbesondere eingesetzte Drittdienste. Zudem müssen die Zwecke aller Cookies erläutert werden. Wirklich aller Cookies, und das können ganz schön viele sein.
- YouTube-Videos sind unmittelbar eingebunden
Besser ist es, zunächst einen Platzhalter anzuzeigen. Erst nachdem ein Nutzer bestätigt, dass er das Video sehen möchte und er bereit ist, seine Daten zur Videoplattform in die USA übertragen zu lassen, dürfen Inhalte von YouTube geladen und angezeigt werden. Alternative: Sie hosten das Video selbst; dann kann die Abfrage entfallen.
- Google Maps sind unmittelbar eingebunden
Hier gilt dasselbe: Zunächst sollte ein Platzhalter angezeigt werden. Von Google-Servern dürfen erst dann Daten geladen werden, nachdem der Nutzer seine Einwilligung gegeben hat.
- Kontakt-Formulare haben zu viele Pflichtfelder
Sie dürfen Nutzer in Formularen nach allem fragen. Die verpflichtend auszufüllenden Felder müssen jedoch auf ein Minimum beschränkt bleiben. Nur wenn eine Anfrage ansonsten nicht verarbeitet werden kann, ist ein Pflichtfeld zulässig. Manchmal bleibt nur die Angabe einer Mail-Adresse als Pflichtfeld übrig.
- Internetpräsenzen in sozialen Medien enthalten keine eigene Datenschutzerklärung
Sie und der Plattformbetreiber (z.B. Facebook, Instagram, Xing) gelten als gemeinsam Verantwortliche. Deshalb müssen auch Sie für jeden Auftritt in sozialen Netzwerken eine eigene Datenschutzerklärung bereithalten – binden Sie hierzu Ihre Datenschutzbeauftragte ein.
Achtung: Ob der Einsatz von Facebook-Fanpages insgesamt zulässig ist, wird gerade geprüft. Die Datenschutz-Aufsicht hat dem Bundespresseamt den Einsatz im Februar 2023 untersagt. Es wird erwartet, dass Gerichte darüber entscheiden werden, aber das kann noch dauern.
Was man besser machen kann
Sie können schon viele Fehler vermeiden, indem Sie folgendes beachten
- Behalten Sie den Überblick über alles, was im Zusammenhang mit dem Internetauftritt datenschutzrelevant sein kann. Führen Sie z.B. eine Liste:
Welche Cookies kommen zum Einsatz und für welche Zwecke? Welche Drittdienste werden eingesetzt?
Beachten Sie dabei insbesondere auch Plugins und Add-ons. Wenn Sie mit einer Web-Agentur zusammenarbeiten, kann auch diese die Informationen bereitstellen. - Werden wirklich Einwilligungen von den Seitenbesuchern eingeholt für alle Cookies und Drittdienste, die nicht unbedingt erforderlich sind für das Funktionieren der Website?
- In der Datenschutzerklärung müssen alle Drittdienste und Zwecke von Cookies auf dem Internetauftritt genannt werden. Achten Sie darauf, dass die Erklärung nach Änderungen angepasst werden muss.
- Binden Sie die Datenschutzbeauftragte ein, zumindest wenn sich Änderungen ergeben oder Sie Fragen haben. Das gilt selbstverständlich für alle Datenschutz-Themen
Zusammenfassung:
Wichtig ist es, einen Überblick zu haben, welche Daten wie auf der eigenen Internetpräsenz verarbeitet werden. Nur dann kann man sie auch datenschutzkonform gestalten. Die Datenschutzbeauftragten beraten gerne, wenn sie einbezogen werden. Und das am liebsten, bevor irgendwelche Änderungen umgesetzt werden.