Datenschutz-Hinweise für eine Webseite erstellen

DIESER TEXT WIRD GERADE NEU ZUSAMMENGESTELLT UND ÜBERARBEITET. Bis zur Linie ist er halbwegs fertig, der Rest sind Fragemente früherer (anders strukturierter) Dokumente.

In unseren anderen Arbeitshilfen zu Informationspflichten erläutern wir, dass es sinnvoll ist, diese Hinweise nicht nur für die Webseite, sondern für alle Geschäftsprozesse zu erstellen. In dieser Anleitung geht es jedoch nur um die –zuweilen komplexe- Datenverarbeitung durch eine Webseite.

Eine Webseite ist zunächst die Visitenkarte einer Organisation. Unternehmen stellen ihre Produkte und Leistungen dar, Gemeinden ihre Dienstleistungen, Vereine ihr Anliegen. Um dies ansprechend zu gestalten werden Agenturen eingeschaltet, die oft auf vorgefertigte Komponenten zurückgreifen.

Da werden Youtube-Videos, Instagram-Posts und Google-Karten eingebunden. Die Interaktion aus cross-medialen Kampagnen auf LinkedIn und facebook wird analysiert, wie auch das Verhalten der Nutzer auf der Webseiten selbst. Und natürlich wird über den eingebundenen Shop auch verkauft, Kontakt hergestellt, Reklamationen abgewickelt, Termine vereinbart - alles idealerweise so dass der Besucher gar nichts merkt, dass Teile des Inhalts oder der Funktionalität von Dritten stammt.

Egal ob die Webseite schon besteht oder ganz neu erstellt wird: Wenn auch nur ein Teil dessen auf Ihre Webseite zutrifft, sind Sie bei dieser Anleitung richtig. Damit erfassen Sie Schritt für Schritt alle nötigen Informationen, inkl. Tipps und Links zu Tools.

Stakeholder an einen Tisch bringen

Als Datenschutzbeauftragte werden wir oft gebeten, Hinweise für eine Webseite zu schreiben. Das Problem: Es geht nicht um einen Mustertext, sondern um echte Informationen für die Besucher der Webseite. Diese liegen uns nicht vor und müssten uns mitgeteilt werden.

Es geht um die Beantwortung von Fragen wie: Was genau ist "die Webseite"? Welche Daten werden "erhoben" und durch sie "verarbeitet"? Welche Dienstleister sind beteiligt? Welche Daten gehen an welche Geschäftsprozesse? Warum sind sie erforderlich und wozu werden sie genutzt?

Oft gibt es in einer Organisation nicht eine Person, die all diese Fragen beantworten kann. Zuweilen weiß das Marketing nicht einmal welches CMS die Agentur einsetzt, welche WordPress-PlugIns installiert sind, dass der Chat Inhalte bei einem CDN nachlädt oder ein Drittanbieter die SocialWall zusammenstellt.

Wie soll da ein:e Datenschutzbeauftragte:r aussagekräftige Informationen aus dem Hut zaubern?

Am besten funktioniert es, wenn –möglichst frühzeitig- Kontakt zwischen allen Beteiligten hergestellt wird. In einem KickOff sollte der Auftraggeber die zu erreichenden Business-Ziele umreißen, das Datenschutz-Team typische technische und rechtliche Herausforderungen erläutern. Während der Umsetzung sollten alle Beteiligten direkt miteinander kommunizieren.

Aus Datenschutz-Sicht ideal wäre eine datenschutzfreundlich programmierte Webseite. Oft kann oder möchte man dieses Ideal jedoch nicht vollumfänglich umsetzen. Gerade dann braucht die Agentur auch Datenschutz-Know-How und einen entsprechenden Auftrag an die Agentur.

Zuordnung zu Geschäftsprozessen

Um Aussagen über die Datenverarbeitung durch eine Webseite machen zu können, muss zunächst eine Bestandsaufnahme gemacht werden. Hierbei ist es günstig, die Funktionen der Webseite zunächst zu beschreiben und Geschäftsprozessen und damit deren Prozessverantwortlichen zuzuordnen.

Stellen Sie dazu Fragen wie diese:

• Wer braucht diese Seite bzw. dieses Element auf der Seite?
• In welchem der (zu beschreibenden) Geschäftsprozesse wird die Seite bzw. das Element genutzt?

Damit kommen Sie beispielsweise zu solchen Antworten:

• Empfang "Postverteilung": Allgemeines Kontaktformular
• Verkauf "Kundenservicecenter": Web-Chat auf der Start- und Kontaktseite sowie im Shop
• Verkauf "Internet-Shop": Shop (in Webseite integriert), Reklamationsformular
• Personal "Mitarbeitergewinnung": Karriere-Portal eines Drittanbieters (in Webseite integriert)
• Marketing "Bestellte Newsletter": Newsletter-Formular (ext. Mail-Dienstleister, DOI)
• Marketing "Allgemeine Werbemaßnahmen": Startseite, Über uns, Produktportfolio (außer Shop), Pressematerial, rechtliche Seiten, alle bisher nicht aufgeführten Seiten

Auf diese Weise können Sie schnell und einfach ermitteln, welche Personen Sie hinzuziehen müssen, wenn Sie bestimmte Seiten oder Inhalte analysieren. Im Beispiel gehen wir davon aus, dass die in Anführungszeichen genannten Prozesse im Verzeichnis der Verarbeitungstätigkeiten beschrieben sind.

Vorhandene Texte zu Einwilligungen und Datenschutz

Falls Ihre Webseite schon besteht, suchen Sie dort nach Informationen, wo Daten erhoben werden. Steht über dem Absende-Button des Kontakt- oder Bestellformulars etwas zum Datenschutz? Geben die Webinarbedingungen Auskunft zur weiteren Verwendung der Daten?

Extrahieren Sie aus einer vorhandenen Datenschutzerklärung konkrete sachliche Aussagen, sofern diese darin enthalten sind. Interessant sind z.B. Zwecke der Datenverarbeitung, Speicherfristen, externe Dienstleister, etc. Ordnen Sie diese Informationen den obigen Seiten bzw. Elementen zu.

Auch Ihr Consent-Banner kann –je nach Ausprägung– gute Hinweise enthalten. Je nach Anbieter werden hier z.B. Cookies aufgelistet. Ob diese tatsächlich gesetzt werden oder ob es sich um Altlasten handelt oder gar tatsächlich gesetzte Cookies fehlen, zeigt anschließend die technische Analyse.

Werkzeuge zur technischen Analyse

Danach ist es sinnvoll, einfach mal die Motorhaube aufzumachen und zu schauen was man sieht. Je nach (nicht) vorhandener Expertise und Erfahrung kann man unterschiedliche Mittel nutzen:

• Bordmittel (Browser-Entwicklerkonsole, Browser-AddOns)
• Scan-Webseiten (kostenfrei oder kommerziell)
• spezielle Software (kostenfrei oder kommerziell)
• externe Dienstleister (wie Datenschutz individuell)

Unsere Empfehlung: Lassen Sie es uns gemeinsam machen! Sie binden die Stakeholdern ein, Ihre Agentur liefert Technikwissen und wir Datenschutz-Experten zeigen, wie eine verständliche Information entsteht. Denn dabei lernen alle viel, das spart anschließend Zeit!

webbkoll.dataskydd.net: Simuliert den Besuch der Startseite (ggf. vor dem Erteilen von Einwilligungen) mit einem normalen Browser mit deaktiviertem Do Not Track (Standardeinstellung) und ohne Erweiterungen.

Werkzeuge für Web-Entwickler (Strg.+Umschalttaste+I im Browser)

AddOns, z.B. Ghostery oder Privacy Badger – Fokus aber eher auf Blocken von Trackern

ggf. tiefergehende Analyse mit DSGVO-Scan.de oder mit einem Bezahl-Tool, z.B. decareto – lohnt sich nur für mehrere Websites mit regelmäßigem Änderungsbedarf

---

Wie bei jeder Prüfung muss man zunächst wissen, nach was man sucht. Hier beschreiben wir die Suche nach Datenverarbeitungen, die datenschutzrechtlich problematisch sein könnten. Dazu muss man etwas ausholen. Wir suchen nach:

Die Analyse bezieht sich vor alle vor allem systematisch erfolgen und dokumentiert werden. erforderlich und mit erfolgen sollte vor allem die Funktion der Webseite inkl. der Schnittstellen geprüft werden. Dies kann durch "Ausprobieren", aber auch systematisch durch ein Testkonzept erfolgen. Da bei viele und z.T. komplexe Komponenten verwendet werden, ist auch eine Überprüfung der IT-Sicherheit "Pflicht" – beauftragen Sie einen professionellen Penetrationstest!

Im Idealfall noch vor dem "live" schalten der Webseite wird der zuvor erstellte oder aktualisierte Text der Datenschutz-Hinweise überprüft. Er sollte folgende Fragen beantworten:

• Was wird wozu durch die Webseite selbst verarbeitet?
• Welche Widgets und externen Tools werden wozu genutzt?
• Wo werden Daten weitergegeben oder -verarbeitet?
• Wie lange bleiben welche Daten gespeichert?
• Welche Rechte stehen mir als Betroffener zu?

Die erste Frage meint interne Daten wie Session-Cookies von WordPress und Protokolle beim Hoster.
Ihre Agentur sollte die zweite Frage beantworten. Gemeint ist jegliches Nachladen von weiteren Servern.
Die dritte Frage richtet sich an Fachabteilungen: Bewerbungen → HR, Kontaktformular → Vertrieb.
Für alle Datenarten sollte es eine Aussage zur Löschung geben. Es reicht, die Betroffenenrechte kurz zu benennen. Interne Sicherheitmechanismen müssen nicht öffentlich dargelegt werden.

Zusätzlich zur Textprüfung ist eine technische Prüfung sinnvoll. Nicht selten findet man weitere Tools, an die niemand gedacht hatte:

• webbkoll.dataskydd.net: Simuliert den Besuch der Startseite (ggf. vor dem Erteilen von Einwilligungen) mit einem normalen Browser mit deaktiviertem Do Not Track (Standardeinstellung) und ohne Erweiterungen.
• Werkzeuge für Web-Entwickler (Strg.+Umschalttaste+I im Browser)
• AddOns, z.B. Ghostery oder Privacy Badger – Fokus aber eher auf Blocken von Trackern
• ggf. tiefergehende Analyse mit DSGVO-Scan.de oder mit einem Bezahl-Tool, z.B. decareto – lohnt sich nur für mehrere Websites mit regelmäßigem Änderungsbedarf

SCHREIBEN

Es gibt keine Vorgaben zur Form: Seien Sie mutig und nutzen Sie auch für die Hinweise den Stil Ihrer Webseite. Wenn es zur Ihrer Zielgruppe passt können duzen oder die Hinweise als Video bereitstellen. Alles ist besser als ein langweiliger Rechtstext. Ideal ist, wenn das Lesen der Hinweise Spaß macht!

Schritt 4 («Act»): Ermittlung des Änderungsbedarfs

Es ist zu prüfen, ob die zuvor gefundenen Verabeitungen dem entsprechen, was vereinbart war und dokumentiert ist. Werden Daten verarbeitet, die nicht gewünscht oder erforderlich sind, ist dies wieder abzustellen. Im einfachsten Fall können alle Abweichungen von der Agentur behoben werden.

Falls die Abweichungen gewollt sind, müssen sie dokumentiert werden. Oft sind weitere Verträge zu schließen und Hinweise an Nutzer:innen zu ergänzen. Wenn Zwecke hinzugekommen sind, sind auch die Verfahrensbeschreibungen anzupassen. Für die Änderungen sind alle Schritte erneut zu durchlaufen.

Berücksichtigen Sie, dass jede Änderung zu erheblichem Folgeaufwand führen kann: Eine neue Verarbeitung kann eine Einwilligung erforderlich machen, was wiederum das aktuelle Konzept des Consent-Banners zunichte macht. Daher muss der Webseiten-Betreiber entscheiden.

Die Eigendynamik Ihrer Webseite im Blick behalten

Typischerweise nimmt Ihre Agentur immer wieder Änderungen (z.B. an Templates) vor. Diese haben oft Auswirkungen auf die Datenverarbeitung im Zusammenhang mit Ihrem Internetauftritt. Möglicherweise bekommen Sie das gar nicht mit. Im schlechtesten Fall werden danach Inhalte von Drittanbietern (aus einem unsicheren Drittland) auf Ihrer Webseite nachgeladen, für die Sie die Einwilligung der Nutzer:innen einholen müssen. Zumindest müssen die Nutzer:innen aber über die neue Verarbeitung in den Datenschutz-Hinweisen informiert werden.

Auch wenn Sie selbst Änderungen an Ihrem Internetauftritt vornehmen, kann es – je nach Tool, das Sie dafür nutzen – passieren, dass unbeabsichtigt Inhalte von Drittanbietern nachgeladen werden.

Eine Möglichkeit, dem ersten Fall vorzubeugen, ist, die Agentur (bereits bei Vertragsabschluss) anzuweisen, jegliche Änderungen mitzuteilen. Des Weiteren können unangenehme Überraschungen vermieden werden, den Internetauftritt regelmäßig z.B. mithilfe der in Schritt 3 aufgeführten Analyse-Tools zu prüfen und dem Zyklus entsprechend weiter vorzugehen.

Scratchpad

Häufig erleben wir es so: Die Geschäftsleitung formuliert Ziele, das Marketing wählt Methoden, eine Agentur programmiert. Anschließend soll der DSB die DSH schreiben. Bei der Verbesserung der Funktionalität und auch während der Programmierung werden Tool-Entscheidungen getroffen, die Auswirkung auf die Datenverarbeitung und damit auf die Datenschutz-Hinweise haben.

Schritt 1 («Plan»): Gestaltung des Internetauftritts und Technologieauswahl

Die Geschäftsführung formuliert wirtschaftliche Ziele, die (in Bezug auf die Webseite) erreicht werden sollen. Die Marketing-Abteilung leitet hieraus eine Marketing-Strategie und konkrete Maßnahmen ab, die z.T. über die Webseite abgebildet werden.

Die Marketing-Abteilung plant (ggf. zusammen mit der Agentur) Design, Text (hierzu gehören auch die Datenschutz-Hinweise), technische Umsetzung und welche Drittanbieter eingebunden werden sollen. Die Agentur macht auf dieser Grundlage Vorschläge und zeigt Umsetzbarkeit und Kosten auf.

Lassen Sie sich von Ihrer/Ihrem Datenschutzbeauftragten unterstützen. Evtl. wissen wir wie Andere Ihr Problem gelöst haben, kennen geeignete Dienstleister oder Tools. Idealerweise bewerten wir Ihre Ideen in einem frühen Stadium.

Dos and Don'ts

• Teilen Sie Ihrer Agentur die Erwartungen in Bezug auf Datenschutz bereits im Auftrag mit, z.B. "Einwilligungs-Banner nach TTDSG und DSGVO möglichst vermeiden und nur nach Rücksprache"
• Unterschätzen Sie nicht den z.T. erheblichen (und wiederkehrenden) Aufwand für die Prüfung externer Tools, insb. bei Drittländern, egal ob unmittelbar (z.B. LinkedIn), aufgrund der Konzernmutter (z.B. Amazon) oder wegen vieler Unternauftragnehmer (z.B. Stripe)
• Vermeiden Sie Anbieter, die personenbezogene Daten auch zu eigenen Zwecken verwenden, da hier eine Einwilligung (Opt-In) nötig ist, bevor deren Inhalte angezeigt werden dürfen (z.B. SocialWall)

Alternative Tools

• Videos: mit HTML5-Player direkt von der Webseite laden, Streaming-Anbieter wie 3Q statt Vimeo, YouTube mit PlugIns wie WP YouTube Lyte oder wenigstens im erweitertem Datenschutzmodus
• Kartendienste: smartmaps statt Google Maps oder nur ein Link zu Google Maps
• Nutzungsanalyse: Basis-Statistik ohne Einwilligung mit Matomo (lokal gehostet), Alternativen zu Google Analytics wie Piwik Pro, Fathom oder eTracker, B2B-Tracker wie SalesViewer
• Schriftarten: lokal einbinden, für Google Fonts erlaubt, ggf. Lizenz kaufen statt pay-per-use
• CAPTCHA: eigene lokale Rätsel-Abfrage statt Google reCAPTCHA, Alternativen wie Friendly Captcha

Schritt 2 («Do»): Erstellung des Internetauftritts und der Hinweise

Die Agentur erstellt zusammen mit der Marketing-Abteilung den Internetauftritt. Hierbei werden Fakten zu allen an der Webseite beteiligten internen Systemen und extern eingebundenen Tools von den zuständigen Personen erfasst bzw. ergänzt: Im Verzeichnis der Verarbeitungstätigkeiten bzw. Serviceverzeichnis. Notwendige Verträge (Auftragsverarbeitung inkl. TOM, ggf. Verträge zur gemeinsamen Verantwortung und Standardvertragsklauseln) werden geprüft und ggf. nachverhandelt, abgeschlossen und im Vertragsmanagement abgelegt.

Die Übergabe von Daten an Prozesse wird eingerichtet ("Schnittstellen", z.B. Kontaktformular → Vertriebsinnendienst) und ebenso (nach)dokumentiert.

Parallel dazu werden die Datenschutz-Hinweise angelegt. Wer diese pflegt kann individuell entschieden werden. Das Marketing legt fest, in welchem Stil die Datenschutz-Hinweise geschrieben werden, z.B. aktive persönliche Ansprache mit "wir" und "Sie", jugendlich frech mit "du" oder ganz förmlich und eher passiv. Der Stil sollte zum restlichen Internetauftritt passen.

Wir empfehlen die unseren Muster-Rahmen für Datenschutz-Hinweise als Struktur zu verwenden. Unser Datenschutz-Hinweise-Beispiel) wurde nach diesem Schema erstellt. Für einfache/typische Fälle können Sie sich von Generatoren wie datenschutz-generator.de oder DS-GVO.clever inspirieren lassen.

Die in den Verfahren erfassten Informationen werden aus Betroffenensicht zusammengefasst. Falls Datenschutz-Hinweise nachträglich zu einem bereits bestehenden Internetauftritt erfasst werden sollen, können die Hilfsmittel zur technischen Prüfung aus Schritt 3 genutzt werden.

Parallel dazu wird ermittelt, ob Einwilligungen erforderlich sind – für Verarbeitungen gemäß DSGVO und für Cookies gemäß TTDSG. Optimal wäre es ohne Einwilligungen auszukommen. Lesen Sie hierzu unseren Leitfaden zur Erstellung oder Vermeidung von Consent-Bannern.

Anleitungen Dritter

Es gibt viel Anleitungen zur Erstellung von Datenschutz-Hinweise für Webseiten. Viele davon bewerben allerdings Datenschutz-Erklärungs-Generatoren, wie z.B. der der Datenschutzkanzlei.

zurück zur Übersichtseite

Lizenz: CC BY-SA 4.0 DE = darf kommerziell verwendet werden, wenn Sie auf diese Seite verlinken.
Stand: 16.08.2023. Wir freuen uns aber über fachliche Anmerkungen und Verbesserungsvorschläge.