Sie lassen gerade eine neue Webseite erstellen oder die vorhandene Seite überarbeiten?
Dieser Leitfaden beschreibt, worauf Sie aus Datenschutz-Sicht achten sollten. Ein anderer Leitfaden erläutert, wie Sie passende Datenschutz-Hinweise schreiben.
An der Entwlicklung einer Webseite Beteiligte
Falls Sie erst planen Ihre Webseite überarbeiten zu lassen, sollten Sie eine Anforderung in Ihre Ausschreibung aufnehmen: Im Idealfall sind Anforderungen bei der Agentur Auftragsvergabe berücksichtigt und Ist die Agentur schon beauftragt, sollten Sie die Anforderungen nachreichen und Mehrkosten abklären.
Das Lastenheft für die Agentur sollte nicht nur Funktion und Design festlegen, sondern auch Compliance bzgl. Datenschutz in konkreten Anforderungen festhalten. Beispiel-Formulierungen für eine Ausschreibung: Die Agentur…
Als "Experten" werden wir Datenschutzbeauftragte oft gebeten, Datenschutz-Hinweise zu schreiben. Meist ohne Informationen darüber, was die Ziele der Geschäftsführung waren, was Marketing für Ideen verfolgt, welche Tools die Agentur eingebaut hat oder bei welchem Anbieter die Webseite gehostet ist.
Der Sinn solcher Hinweise ist es, betroffenen Personen verständlich zu erläutern, zu welchen Zwecken welche Daten erhoben werden, an wen sie weitergegeben, wie lange sie gespeichert und wann sie gelöscht werden. Und welche Rechte man diesbezüglich hat.
Aussagekräftige Datenschutz-Hinweise entstehen nur, wenn alle Beteiligten ihren Teil dazu beitragen:
Einflussfaktoren auf Datenschutz-Hinweise
Aus unserer Sicht sind Datenschutz-Hinweise eine Chance, das Vertrauen der Webseitenbesucher, Geschäftspartner und Bewerber:innen zu gewinnen. Dazu müssen diese Hinweise im selben Stil wie die restliche Kommunikation geschrieben sein. Jedenfalls keine Platitüden und juristische Fachbegriffe!
Ideal wäre es, wenn Sie bei der Planung Ihrer Webseite auf datenschutzfreundliche Gestaltung achten. Dann steigen Sie bei Schritt 1 ein. Wenn die Webseite demnächst "live" geht steigen Sie bei Schritt 3 ein. Die Schritte sind Teil eines PDCA-Zyklus, der nach Schritt 4 zur Verbesserung in die nächste Runde startet.
Erfahrungsgemäß ist die Erstellung des Internetauftritts und der dazu passenden Datenschutz-Hinweise ein iterativer Prozess. Idealerweise wird mit Schritt 1 begonnen, in der Realität beginnt man häufig mit Schritt 3. Danach muss wenigstens ein Mal auch Schritt 1 (besser: der ganze Zyklus) durchlaufen werden!
Die Geschäftsführung formuliert wirtschaftliche Ziele, die (in Bezug auf die Webseite) erreicht werden sollen. Die Marketing-Abteilung leitet hieraus eine Marketing-Strategie und konkrete Maßnahmen ab, die z.T. über die Webseite abgebildet werden.
Die Marketing-Abteilung plant (ggf. zusammen mit der Agentur) Design, Text (hierzu gehören auch die Datenschutz-Hinweise), technische Umsetzung und welche Drittanbieter eingebunden werden sollen. Die Agentur macht auf dieser Grundlage Vorschläge und zeigt Umsetzbarkeit und Kosten auf.
Lassen Sie sich von Ihrer/Ihrem Datenschutzbeauftragten unterstützen. Evtl. wissen wir wie Andere Ihr Problem gelöst haben, kennen geeignete Dienstleister oder Tools. Idealerweise bewerten wir Ihre Ideen in einem frühen Stadium.
Die Agentur erstellt zusammen mit der Marketing-Abteilung den Internetauftritt. Hierbei werden Fakten zu allen an der Webseite beteiligten internen Systemen und extern eingebundenen Tools von den zuständigen Personen erfasst bzw. ergänzt: Im Verzeichnis der Verarbeitungstätigkeiten bzw. Serviceverzeichnis. Notwendige Verträge (Auftragsverarbeitung inkl. TOM, ggf. Verträge zur gemeinsamen Verantwortung und Standardvertragsklauseln) werden geprüft und ggf. nachverhandelt, abgeschlossen und im Vertragsmanagement abgelegt.
Die Übergabe von Daten an Prozesse wird eingerichtet ("Schnittstellen", z.B. Kontaktformular → Vertriebsinnendienst) und ebenso (nach)dokumentiert.
Parallel dazu werden die Datenschutz-Hinweise angelegt. Wer diese pflegt kann individuell entschieden werden. Das Marketing legt fest, in welchem Stil die Datenschutz-Hinweise geschrieben werden, z.B. aktive persönliche Ansprache mit "wir" und "Sie", jugendlich frech mit "du" oder ganz förmlich und eher passiv. Der Stil sollte zum restlichen Internetauftritt passen.
Wir empfehlen die unseren Muster-Rahmen für Datenschutz-Hinweise als Struktur zu verwenden. Unser Datenschutz-Hinweise-Beispiel) wurde nach diesem Schema erstellt. Für einfache/typische Fälle können Sie sich von Generatoren wie datenschutz-generator.de oder DS-GVO.clever inspirieren lassen.
Die in den Verfahren erfassten Informationen werden aus Betroffenensicht zusammengefasst. Falls Datenschutz-Hinweise nachträglich zu einem bereits bestehenden Internetauftritt erfasst werden sollen, können die Hilfsmittel zur technischen Prüfung aus Schritt 3 genutzt werden.
Parallel dazu wird ermittelt, ob Einwilligungen erforderlich sind – für Verarbeitungen gemäß DSGVO und für Cookies gemäß TTDSG. Optimal wäre es ohne Einwilligungen auszukommen. Lesen Sie hierzu unseren Leitfaden zur Erstellung oder Vermeidung von Consent-Bannern.
Natürlich sollte vor allem die Funktion der Webseite inkl. der Schnittstellen geprüft werden. Dies kann durch "Ausprobieren", aber auch systematisch durch ein Testkonzept erfolgen. Da bei viele und z.T. komplexe Komponenten verwendet werden, ist auch eine Überprüfung der IT-Sicherheit "Pflicht" – beauftragen Sie einen professionellen Penetrationstest!
Im Idealfall noch vor dem "live" schalten der Webseite wird der zuvor erstellte oder aktualisierte Text der Datenschutz-Hinweise überprüft. Er sollte folgende Fragen beantworten:
Die erste Frage meint interne Daten wie Session-Cookies von WordPress und Protokolle beim Hoster.
Ihre Agentur sollte die zweite Frage beantworten. Gemeint ist jegliches Nachladen von weiteren Servern.
Die dritte Frage richtet sich an Fachabteilungen: Bewerbungen → HR, Kontaktformular → Vertrieb.
Für alle Datenarten sollte es eine Aussage zur Löschung geben. Es reicht, die Betroffenenrechte kurz zu benennen. Interne Sicherheitmechanismen müssen nicht öffentlich dargelegt werden.
Zusätzlich zur Textprüfung ist eine technische Prüfung sinnvoll. Nicht selten findet man weitere Tools, an die niemand gedacht hatte:
Es ist zu prüfen, ob die zuvor gefundenen Verabeitungen dem entsprechen, was vereinbart war und dokumentiert ist. Werden Daten verarbeitet, die nicht gewünscht oder erforderlich sind, ist dies wieder abzustellen. Im einfachsten Fall können alle Abweichungen von der Agentur behoben werden.
Falls die Abweichungen gewollt sind, müssen sie dokumentiert werden. Oft sind weitere Verträge zu schließen und Hinweise an Nutzer:innen zu ergänzen. Wenn Zwecke hinzugekommen sind, sind auch die Verfahrensbeschreibungen anzupassen. Für die Änderungen sind alle Schritte erneut zu durchlaufen.
Berücksichtigen Sie, dass jede Änderung zu erheblichem Folgeaufwand führen kann: Eine neue Verarbeitung kann eine Einwilligung erforderlich machen, was wiederum das aktuelle Konzept des Consent-Banners zunichte macht. Daher muss der Webseiten-Betreiber entscheiden.
Typischerweise nimmt Ihre Agentur immer wieder Änderungen (z.B. an Templates) vor. Diese haben oft Auswirkungen auf die Datenverarbeitung im Zusammenhang mit Ihrem Internetauftritt. Möglicherweise bekommen Sie das gar nicht mit. Im schlechtesten Fall werden danach Inhalte von Drittanbietern (aus einem unsicheren Drittland) auf Ihrer Webseite nachgeladen, für die Sie die Einwilligung der Nutzer:innen einholen müssen. Zumindest müssen die Nutzer:innen aber über die neue Verarbeitung in den Datenschutz-Hinweisen informiert werden.
Auch wenn Sie selbst Änderungen an Ihrem Internetauftritt vornehmen, kann es – je nach Tool, das Sie dafür nutzen – passieren, dass unbeabsichtigt Inhalte von Drittanbietern nachgeladen werden.
Eine Möglichkeit, dem ersten Fall vorzubeugen, ist, die Agentur (bereits bei Vertragsabschluss) anzuweisen, jegliche Änderungen mitzuteilen. Des Weiteren können unangenehme Überraschungen vermieden werden, den Internetauftritt regelmäßig z.B. mithilfe der in Schritt 3 aufgeführten Analyse-Tools zu prüfen und dem Zyklus entsprechend weiter vorzugehen.
Lizenz: CC BY-SA 4.0 DE = darf kommerziell verwendet werden, wenn Sie auf diese Seite verlinken.
Stand: 16.08.2023. Wir freuen uns aber über fachliche Anmerkungen und Verbesserungsvorschläge.