Arbeitshilfe "Erstellung einer datenschutzfreundlichen Webseite" – Datenschutz individuell

Erstellung einer datenschutzfreundlichen Webseite

Sie lassen gerade eine neue Webseite erstellen oder die vorhandene Seite überarbeiten?
Dieser Leitfaden beschreibt, worauf Sie aus Datenschutz-Sicht achten sollten. Ein anderer Leitfaden erläutert, wie Sie passende Datenschutz-Hinweise schreiben.

Erstellung und Nachbesserung der Datenschutz-Hinweise aufgrund sich ändernder Rahmenbedingungen

An der Entwlicklung einer Webseite Beteiligte

Falls Sie erst planen Ihre Webseite überarbeiten zu lassen, sollten Sie eine Anforderung in Ihre Ausschreibung aufnehmen: Im Idealfall sind Anforderungen bei der Agentur Auftragsvergabe berücksichtigt und Ist die Agentur schon beauftragt, sollten Sie die Anforderungen nachreichen und Mehrkosten abklären.

Das Lastenheft für die Agentur sollte nicht nur Funktion und Design festlegen, sondern auch Compliance bzgl. Datenschutz in konkreten Anforderungen festhalten. Beispiel-Formulierungen für eine Ausschreibung: Die Agentur…

schlägt ein zu den Zielen passende Software-Architektur vor und verwendet dazu nur Komponenten, die vom Hersteller supported werden bzw. deren Projekt Schwachstellen behebt und lässt jede zusätzliche Komponente vom Marketing freigeben
lässt jede Komponente, die Verbindung zu anderen Servern aufbaut, vom IT-Sicherheitsbeauftragten und vom Datenschutz-Team freigeben
verwendet Komponenten, die nur notwendige personenbezogene Daten verarbeitet und die geforderte Funktionalität erbringen, idealerweise solche die keine Einwilligung benötigen
gestaltet Startseite, Landingpages und alle Seiten mit rechtlichen Hinweisen so, dass dort keine Einwilligung erforderlich ist.
setzt erforderliche Einwilligungen einzeln um: Einwilligungen für die gesamte Seite werden getrennt von für einzelne Elementen erforderlichen Einwilligungen eingeholt

Verständlich, nicht juristisch!

Als "Experten" werden wir Datenschutzbeauftragte oft gebeten, Datenschutz-Hinweise zu schreiben. Meist ohne Informationen darüber, was die Ziele der Geschäftsführung waren, was Marketing für Ideen verfolgt, welche Tools die Agentur eingebaut hat oder bei welchem Anbieter die Webseite gehostet ist.

Der Sinn solcher Hinweise ist es, betroffenen Personen verständlich zu erläutern, zu welchen Zwecken welche Daten erhoben werden, an wen sie weitergegeben, wie lange sie gespeichert und wann sie gelöscht werden. Und welche Rechte man diesbezüglich hat.

Aussagekräftige Datenschutz-Hinweise entstehen nur, wenn alle Beteiligten ihren Teil dazu beitragen:

Einflussfaktoren auf Datenschutz-Hinweise

Aus unserer Sicht sind Datenschutz-Hinweise eine Chance, das Vertrauen der Webseitenbesucher, Geschäftspartner und Bewerber:innen zu gewinnen. Dazu müssen diese Hinweise im selben Stil wie die restliche Kommunikation geschrieben sein. Jedenfalls keine Platitüden und juristische Fachbegriffe!

Ideal wäre es, wenn Sie bei der Planung Ihrer Webseite auf datenschutzfreundliche Gestaltung achten. Dann steigen Sie bei Schritt 1 ein. Wenn die Webseite demnächst "live" geht steigen Sie bei Schritt 3 ein. Die Schritte sind Teil eines PDCA-Zyklus, der nach Schritt 4 zur Verbesserung in die nächste Runde startet.

Ideale Vorgehensweise aus Datenschutz-Sicht

Erfahrungsgemäß ist die Erstellung des Internetauftritts und der dazu passenden Datenschutz-Hinweise ein iterativer Prozess. Idealerweise wird mit Schritt 1 begonnen, in der Realität beginnt man häufig mit Schritt 3. Danach muss wenigstens ein Mal auch Schritt 1 (besser: der ganze Zyklus) durchlaufen werden!

Schritt 1 («Plan»): Gestaltung des Internetauftritts und Technologieauswahl

Die Geschäftsführung formuliert wirtschaftliche Ziele, die (in Bezug auf die Webseite) erreicht werden sollen. Die Marketing-Abteilung leitet hieraus eine Marketing-Strategie und konkrete Maßnahmen ab, die z.T. über die Webseite abgebildet werden.

Die Marketing-Abteilung plant (ggf. zusammen mit der Agentur) Design, Text (hierzu gehören auch die Datenschutz-Hinweise), technische Umsetzung und welche Drittanbieter eingebunden werden sollen. Die Agentur macht auf dieser Grundlage Vorschläge und zeigt Umsetzbarkeit und Kosten auf.

Lassen Sie sich von Ihrer/Ihrem Datenschutzbeauftragten unterstützen. Evtl. wissen wir wie Andere Ihr Problem gelöst haben, kennen geeignete Dienstleister oder Tools. Idealerweise bewerten wir Ihre Ideen in einem frühen Stadium.

Dos and Don'ts

Teilen Sie Ihrer Agentur die Erwartungen in Bezug auf Datenschutz bereits im Auftrag mit, z.B. "Einwilligungs-Banner nach TTDSG und DSGVO möglichst vermeiden und nur nach Rücksprache"
Unterschätzen Sie nicht den z.T. erheblichen (und wiederkehrenden) Aufwand für die Prüfung externer Tools, insb. bei Drittländern, egal ob unmittelbar (z.B. LinkedIn), aufgrund der Konzernmutter (z.B. Amazon) oder wegen vieler Unternauftragnehmer (z.B. Stripe)
Vermeiden Sie Anbieter, die personenbezogene Daten auch zu eigenen Zwecken verwenden, da hier eine Einwilligung (Opt-In) nötig ist, bevor deren Inhalte angezeigt werden dürfen (z.B. SocialWall)

Alternative Tools

Videos: mit HTML5-Player direkt von der Webseite laden, Streaming-Anbieter wie 3Q statt Vimeo, YouTube mit PlugIns wie WP YouTube Lyte oder wenigstens im erweitertem Datenschutzmodus
Kartendienste: smartmaps statt Google Maps oder nur ein Link zu Google Maps
Nutzungsanalyse: Basis-Statistik ohne Einwilligung mit Matomo (lokal gehostet), Alternativen zu Google Analytics wie Piwik Pro, Fathom oder eTracker, B2B-Tracker wie SalesViewer
Schriftarten: lokal einbinden, für Google Fonts erlaubt, ggf. Lizenz kaufen statt pay-per-use
CAPTCHA: eigene lokale Rätsel-Abfrage statt Google reCAPTCHA, Alternativen wie Friendly Captcha

Schritt 2 («Do»): Erstellung des Internetauftritts und der Hinweise

Die Agentur erstellt zusammen mit der Marketing-Abteilung den Internetauftritt. Hierbei werden Fakten zu allen an der Webseite beteiligten internen Systemen und extern eingebundenen Tools von den zuständigen Personen erfasst bzw. ergänzt: Im Verzeichnis der Verarbeitungstätigkeiten bzw. Serviceverzeichnis. Notwendige Verträge (Auftragsverarbeitung inkl. TOM, ggf. Verträge zur gemeinsamen Verantwortung und Standardvertragsklauseln) werden geprüft und ggf. nachverhandelt, abgeschlossen und im Vertragsmanagement abgelegt.

Die Übergabe von Daten an Prozesse wird eingerichtet ("Schnittstellen", z.B. Kontaktformular → Vertriebsinnendienst) und ebenso (nach)dokumentiert.

Parallel dazu werden die Datenschutz-Hinweise angelegt. Wer diese pflegt kann individuell entschieden werden. Das Marketing legt fest, in welchem Stil die Datenschutz-Hinweise geschrieben werden, z.B. aktive persönliche Ansprache mit "wir" und "Sie", jugendlich frech mit "du" oder ganz förmlich und eher passiv. Der Stil sollte zum restlichen Internetauftritt passen.

Wir empfehlen die unseren Muster-Rahmen für Datenschutz-Hinweise als Struktur zu verwenden. Unser Datenschutz-Hinweise-Beispiel) wurde nach diesem Schema erstellt. Für einfache/typische Fälle können Sie sich von Generatoren wie datenschutz-generator.de oder DS-GVO.clever inspirieren lassen.

Die in den Verfahren erfassten Informationen werden aus Betroffenensicht zusammengefasst. Falls Datenschutz-Hinweise nachträglich zu einem bereits bestehenden Internetauftritt erfasst werden sollen, können die Hilfsmittel zur technischen Prüfung aus Schritt 3 genutzt werden.

Parallel dazu wird ermittelt, ob Einwilligungen erforderlich sind – für Verarbeitungen gemäß DSGVO und für Cookies gemäß TTDSG. Optimal wäre es ohne Einwilligungen auszukommen. Lesen Sie hierzu unseren Leitfaden zur Erstellung oder Vermeidung von Consent-Bannern.

Schritt 3 («Check»): Prüfung der Verarbeitung personenbezogener Daten

Natürlich sollte vor allem die Funktion der Webseite inkl. der Schnittstellen geprüft werden. Dies kann durch "Ausprobieren", aber auch systematisch durch ein Testkonzept erfolgen. Da bei viele und z.T. komplexe Komponenten verwendet werden, ist auch eine Überprüfung der IT-Sicherheit "Pflicht" – beauftragen Sie einen professionellen Penetrationstest!

Im Idealfall noch vor dem "live" schalten der Webseite wird der zuvor erstellte oder aktualisierte Text der Datenschutz-Hinweise überprüft. Er sollte folgende Fragen beantworten:

Was wird wozu durch die Webseite selbst verarbeitet?
Welche Widgets und externen Tools werden wozu genutzt?
Wo werden Daten weitergegeben oder -verarbeitet?
Wie lange bleiben welche Daten gespeichert?
Welche Rechte stehen mir als Betroffener zu?

Die erste Frage meint interne Daten wie Session-Cookies von WordPress und Protokolle beim Hoster.
Ihre Agentur sollte die zweite Frage beantworten. Gemeint ist jegliches Nachladen von weiteren Servern.
Die dritte Frage richtet sich an Fachabteilungen: Bewerbungen → HR, Kontaktformular → Vertrieb.
Für alle Datenarten sollte es eine Aussage zur Löschung geben. Es reicht, die Betroffenenrechte kurz zu benennen. Interne Sicherheitmechanismen müssen nicht öffentlich dargelegt werden.

Zusätzlich zur Textprüfung ist eine technische Prüfung sinnvoll. Nicht selten findet man weitere Tools, an die niemand gedacht hatte:

webbkoll.dataskydd.net: Simuliert den Besuch der Startseite (ggf. vor dem Erteilen von Einwilligungen) mit einem normalen Browser mit deaktiviertem Do Not Track (Standardeinstellung) und ohne Erweiterungen.
Werkzeuge für Web-Entwickler (Strg.+Umschalttaste+I im Browser)
AddOns, z.B. Ghostery oder Privacy Badger – Fokus aber eher auf Blocken von Trackern
ggf. tiefergehende Analyse mit DSGVO-Scan.de oder mit einem Bezahl-Tool, z.B. decareto – lohnt sich nur für mehrere Websites mit regelmäßigem Änderungsbedarf

Schritt 4 («Act»): Ermittlung des Änderungsbedarfs

Es ist zu prüfen, ob die zuvor gefundenen Verabeitungen dem entsprechen, was vereinbart war und dokumentiert ist. Werden Daten verarbeitet, die nicht gewünscht oder erforderlich sind, ist dies wieder abzustellen. Im einfachsten Fall können alle Abweichungen von der Agentur behoben werden.

Falls die Abweichungen gewollt sind, müssen sie dokumentiert werden. Oft sind weitere Verträge zu schließen und Hinweise an Nutzer:innen zu ergänzen. Wenn Zwecke hinzugekommen sind, sind auch die Verfahrensbeschreibungen anzupassen. Für die Änderungen sind alle Schritte erneut zu durchlaufen.

Berücksichtigen Sie, dass jede Änderung zu erheblichem Folgeaufwand führen kann: Eine neue Verarbeitung kann eine Einwilligung erforderlich machen, was wiederum das aktuelle Konzept des Consent-Banners zunichte macht. Daher muss der Webseiten-Betreiber entscheiden.

Die Eigendynamik Ihrer Webseite im Blick behalten

Typischerweise nimmt Ihre Agentur immer wieder Änderungen (z.B. an Templates) vor. Diese haben oft Auswirkungen auf die Datenverarbeitung im Zusammenhang mit Ihrem Internetauftritt. Möglicherweise bekommen Sie das gar nicht mit. Im schlechtesten Fall werden danach Inhalte von Drittanbietern (aus einem unsicheren Drittland) auf Ihrer Webseite nachgeladen, für die Sie die Einwilligung der Nutzer:innen einholen müssen. Zumindest müssen die Nutzer:innen aber über die neue Verarbeitung in den Datenschutz-Hinweisen informiert werden.

Auch wenn Sie selbst Änderungen an Ihrem Internetauftritt vornehmen, kann es – je nach Tool, das Sie dafür nutzen – passieren, dass unbeabsichtigt Inhalte von Drittanbietern nachgeladen werden.

Eine Möglichkeit, dem ersten Fall vorzubeugen, ist, die Agentur (bereits bei Vertragsabschluss) anzuweisen, jegliche Änderungen mitzuteilen. Des Weiteren können unangenehme Überraschungen vermieden werden, den Internetauftritt regelmäßig z.B. mithilfe der in Schritt 3 aufgeführten Analyse-Tools zu prüfen und dem Zyklus entsprechend weiter vorzugehen.

zurück zur Übersichtseite

Lizenz: CC BY-SA 4.0 DE = darf kommerziell verwendet werden, wenn Sie auf diese Seite verlinken.
Stand: 16.08.2023. Wir freuen uns aber über fachliche Anmerkungen und Verbesserungsvorschläge.