expertenaustausch > soc.* > soc.datenschutz

Jack.Ryan (02.06.2020, 12:13)
Eine Website muss den gesetzlichen Vorgaben und insbesondere der DSGVO genügen. Dieser
Beitrag beleuchtet unter anderem die Verantwortung der Agenturen für die
datenschutzkonforme Erstellung der Website.

Voraussetzungen für eine datenschutzkonforme Website
Immer wieder und gerade jetzt nach dem BGH-Cookie-Urteil muss man feststellen, dass bei
manchen Agenturen das Verständnis für die DSGVO und den eigenen Verantwortungsbereich
fehlt. Oftmals wissen diese gar nicht, welche Cookies, Tracking-Tools, Pixels, Web-
Beacons etc. in den Websites verbaut werden. Diese Unkenntnis schlägt sich auf den
Auftraggeber durch, er bleibt  mit dem Problem eine rechtssichere, d.h. vollständige,
Datenschutzerklärung auf der Website zu implementieren, allein zurück.

Voraussetzungen aus anderen Rechtsgebieten

Neben den rechtlichen Gesichtspunkten aus der DSGVO gibt es auch aus anderen
Rechtsgebieten Voraussetzungen für eine rechtskonforme Umsetzung einer Website. Unter
anderem ist zu klären,

- ob es zu Kollisionen mit Dritten in Bezug auf den Domainnamen kommt?
- ob die erforderlichen Lizenzen für die Inhalte Dritter vorhanden sind?
- ob bei verwendeten Bildern die Urheberkennzeichnung existiert?

Datenschutzrechtliche Vorgaben

Zudem gibt es auch einige wesentliche Datenschutzvorgaben, die für eine rechtssichere
Gestaltung der Website zu beachten sind.

1. Verschlüsselte Datenübermittlung
Auf der Website ist für eine verschlüsselte Übermittlung der Daten zu sorgen, wie dies
in Art. 32 DSGVO als Sicherheitsmaßname ausdrücklich angeführt wird. Als
Mindeststandard hat sich die Transportverschlüsselung mit HTTPS etabliert. Bei
Kontaktformularen und ähnlichem ist eine Transport- und Inhaltsverschlüsselung geboten.

2. Rechtssicheres Impressum
Jede Website benötigt ein Impressum. Dies gilt grundsätzlich auch für Websites, die sich
noch im Aufbau oder in der Wartung befinden. Die geschäftliche Tätigkeit, die die
Impressumpflicht auslöst, kann auch darin gesehen werden, dass der Besucher nach dem
Abschluss der Wartungsarbeiten, wieder auf die Seite zurückkehren soll.

Zu den Mindestvoraussetzungen eines rechtssicheren Impressums nach § 5 TMG gehören:

- Name und ladungsfähige Anschrift des Verantwortlichen
ggf.mit dem juristischen Vertreter bei juristischen Personen
- Kontakt- bzw. Kommunikationsdaten, d.h. auch die elektronische Post
- Handelsregister / Genossenschaftsregister / Partnerschafts-
oder Vereinsregister
- soweit vorhanden Umsatzidentifikations- oder
Wirtschaftsidentifikationsnummer
- ggf. auch berufsständische Informationen

3. Datenschutzerklärung
Diese muss den Vorgaben aus Art. 13 DSGVO entsprechen. Folgende Punkte sind jedoch
zwingend enthalten:

- Kontaktdaten des Verantwortlichen gem. Art. 4 Nr. 7 DSGVO
und des Datenschutzbeauftragten
- Informationen über die Daten, die verarbeitet werden
- Zweck der Datenverarbeitung
- Rechtsgrundlage hierfür aus Art. 6 DSGVO
- Empfänger der Daten (hierunter fallen auch Cookies,
Tracking Tools, Social Media Komponenten)
- Übermittlung an Drittländer
- Informationen zu den Rechten der Nutzer nach Art. 12 ff DSGVO

4. Cookie-Consent-Banner
Ein Cookie-Consent-Banner ist mittlerweile unabdingbar. Dieses muss gleich beim
erstmaligen Öffnen der Website erscheinen und darf den Zugang zur Datenschutzerklärung
und Impressum nicht verdecken oder behindern. Vor der aktiven und informiert erteilten
Einwilligung des Betroffenen dürfen nur die für die Funktionsfähigkeit der Website
essentiell erforderlichen Cookies gesetzt werden. Empfehlenswert sind bereits am Markt
erhältliche Consent-Management-Plattformen, die die Einwilligung und den Widerruf
rechtssicher dokumentieren.

Folgende Gesichtspunkte muss der Cookie-Consent-Banner zwingend enthalten:

- Einholen der Einwilligung
- Benennung des Verantwortlichen
- Zweck der Datenverarbeitung
- Information über die Rechte des Betroffenen: hierfür bietet
sich ein Link auf die Datenschutzerklärung an
- Widerrrufsmöglichkeit der Einwilligung, die so einfach
sein muss, wie die Erteilung
- Auflistung und Auswahlmöglichkeit der Dienste, die
verwendet werden. Für jeden der Dienste muss eine eigene
Einwilligung eingeholt werden.

Wer ist für die Website verantwortlich?

1. Verantwortlicher nach DSGVO

Datenschutzrechtlich ist die Sache klar. Verantwortlich für die Website ist gem. Art. 4
Nr. 7 i.V.m. Art. 25 DSGVO der Websitebetreiber, auch wenn die Website von der Agentur
erstellt wird und diese die Cookies, Tracking- und Analyse-Tools, Zählpixel, Web-Beacons
etc. über den Programmierer implementieren hat lassen.

Problematisch ist, dass der verantwortliche Betreiber gar nicht weiß, welche Cookies
durch die Agentur und den Programmierer verwendet werden. Oft sind die Agenturen hier
auch sehr flapsig und behaupten, ohne es eigentlich zu wissen, dass keine weiteren,
außer die schon dem Betreiber bekannten Cookies/Tracking-Tools verwendet werden.

Blindes Vertrauen ist hier nicht angeraten. Kontrolle ist besser! Es gibt auf dem Markt
etablierte Tools mit deren Hilfe die Website seitens des Verantwortlichen auf Cookies
etc. geprüft werden kann und man stellt oft genug fest, dass die Angaben der Agenturen
nicht mit den tatsächlichen Gegebenheiten übereinstimmen.

Als Verantwortlicher sollte man seine Website auch regelmäßig überprüfen, denn ein
Verstoß kann gem. Art. 83 DSGVO teuer werden und oftmals übersieht man bei Änderungen an
der Website, dass dies Auswirkungen auf den Cookie-Consent-Banner und die
Datenschutzerklärung hat. Zum anderen gilt es, die Agenturen in die Pflicht zu nehmen,
damit die Informationen hierzu dem Websitebetreiber gesammelt und vollständig zur
Verfügung gestellt werden.
2. Vertragliche Verantwortung der Agentur?

Bliebe zu klären, ob die Agentur vom Websitebetreiber zur Verantwortung gezogen werden
kann, wenn die Website nicht datenschutzkonform ist, weil die Datenschutzerklärung nicht
alle Cookies, Tracking-Tools etc. umfasst oder Analyse-Tools ohne Kürzung der IP-Adresse
eingebaut wurden bzw. keine notwendige Einwilligung eingeholt wurde, weil der
Verantwortliche gar nicht wusste, dass ein einwilligungsbedürftiges Tool verwendet wurde.

In den meisten Fällen wird es sich bei dem Vertrag zur Erstellung einer Website zwischen
dem Websitebetreiber und der Agentur um einen Werkvertrag und den sich hieraus
ergebenden Verpflichtungen gem. §§ 631, 633 BGB handeln.

Beschaffenheitsvereinbarung im Werkvertrag

Wird zwischen dem Verantwortlichen und der Agentur in dem Werkvertrag vereinbart, dass
die Website datenschutzkonform zu erstellen ist, dann dürfte für die rechtskonforme
Einbindung von Tools die Agentur aufgrund der fehlenden Beschaffenheit nach § 633 Abs. 2
Nr. 1 BGB einzustehen haben. Eine Vereinbarung über die Datenschutzkonformität dürfte
meist jedoch nicht explizit getroffen worden sein.

Übliche Beschaffenheit nach Art des Werkes

Häufiger hingegen wird vereinbart, dass die Website dem „Stand der Technik“ entsprechen
soll. Darunter versteht man eine funktionale zweckgerichtete Qualitätsaussage zu einer
technischen oder organisatorischen Maßnahme gem. Art. 25 Abs. 1 DSGVO. Keinesfalls ist
hiermit der neueste und beste Entwicklungsstand der Technik gemeint, vielmehr jedoch
muss zum Übergabezeitpunkt die Technik einen Stand aufweisen, der auf einem neuesten von
Technik und Wissenschaft gesicherten Erkenntnisstand beruht und in der Praxis
ausreichend verbreitet ist. Im Übrigen kann auch nur eine datenschutzkonforme Website
von mittlerer Art und Güte, d.h. eine Beschaffenheit aufweisen, die üblicherweise von
dem Besteller bei derartigen Werken gem. § 633 Abs. 2 S. 2 Nr. 2 BGB erwartet werden
kann.

Wie oben dargelegt richtet sich die DSGVO an den Verantwortlichen als Normadressat,
allerdings hat dieser oftmals gar keine Ahnung, was die Agentur und der Programmierer in
der Website einbauen und kann so gar nicht einschätzen, ob Privacy by Design und Privacy
by Default eingehalten sind. Die Agentur ist jedoch indirekt nach den Grundsätzen des
Art. 25, 32 DSGVO i.V.m. ErwG 78 verpflichtet, grundsätzlich die Website nach dem Stand
der Technik herzustellen d.h. den Datenschutz zu berücksichtigen, so dass sie im
Einzelfall durchaus belangt werden kann.
Wie oben dargelegt richtet sich die DSGVO an den Verantwortlichen als Normadressat,
allerdings hat dieser oftmals gar keine Ahnung, was die Agentur und der Programmierer in
der Website einbauen und kann so gar nicht einschätzen, ob Privacy by Design und Privacy
by Default eingehalten sind. Die Agentur ist jedoch indirekt nach den Grundsätzen des
Art. 25, 32 DSGVO i.V.m. ErwG 78 verpflichtet, grundsätzlich die Website nach dem Stand
der Technik herzustellen d.h. den Datenschutz zu berücksichtigen, so dass sie im
Einzelfall durchaus belangt werden kann.

Vertraglich vorausgesetzte Eigenschaft

Die nicht datenschutzkonforme Erstellung der Website könnte auch einen Mangel nach § 633
Abs. 2 S.2 Nr. 1 BGB darstellen, denn eine Website, die nicht der DSGVO entspricht, darf
nicht betrieben werden. Lt. Rechtsprechung gehört es zu den Aufgaben der Agentur, die
vorgeschlagene Werbung auf die Zulässigkeit zu prüfen und den Verantwortlichen auf
bedenkliche Werbemaßnahmen hinzuweisen. In der Konsequenz und gedanklichen Fortführung
fällt darunter auch die Ausgestaltung der Website, so dass nicht richtig eingebundene
Tools, durchaus einen von der Agentur zu vertretenden Mangel darstellen können.

Was ist zu tun?

Die Agenturen sind daher gehalten Ihr Wissen und Know-How, auch auf gewisse
datenschutzrechtliche Belange hin, auszubauen, ebenso wie die Verantwortlichen gehalten
sind, bei der Auswahl und Vertragsgestaltung mit den Agenturen mehr das Augenmerk darauf
zu legen, dass die Agenturen in diesem Bereich Hilfestellung bieten und den
Verantwortlichen nicht im Regen stehen lassen.

Source:

datenschutz-einer-website/
Alexander Goetzenstein (02.06.2020, 13:15)
Hallo,

Am 02.06.20 um 12:13 schrieb Jack.Ryan:
> Verantwortung der Agenturen


so richtig habe ich das nicht erfasst: was für Agenturen sind damit gemeint?
Jack.Ryan (03.06.2020, 12:12)
Alexander Goetzenstein <alexander_goetzenstein> wrote:
> so richtig habe ich das nicht erfasst: was für Agenturen sind damit gemeint?


Es handdelt sich darum, wenn Dritte (natürlich auch inhouse) eine Webseite
ertellen/programmieren.

Dieser Beitrag beleuchtet unter anderem die Verantwortung der Agenturen für die
datenschutzkonforme Erstellung der Website.

Oftmals ist dem Auftraggeber nicht bekannt, welche Cookies, Tracking-Tools, Pixels,
Web-
Beacons etc. in den Websites verbaut werden, aber er haftet als Betreiber für die
Webseite.
Ähnliche Themen