Datenschutz beim Betrieb einer Webseite

Datenschutz beim Betrieb einer Webseite

Es ist stets aktuelles Thema: der Datenschutz beim Betrieb einer Webseite. So schweifen die ersten Blicke beim Besuch einer Webseite mit dem Datenschutz im Blick meist zum Cookie-Banner, zu den eingesetzten Cookies sowie zum Datenschutzhinweis.

Wer eine Webseite betreibt, muss allerdings nicht nur auf diese drei oben genannten Bestandteile des datenschutzkonformen Betriebes einer Webseite achten. Was noch im Speziellen bei Organisation der Webseite dazu gehört, betrachten wir im Folgenden näher.

Informationspflicht

Wann immer eine Person eine Webseite aufruft, werden ihre Daten verarbeitet. Dabei handelt es sich u. a. auch um ihre personenbezogenen Daten. Hierbei ist das wohl prominenteste personenbezogene Datum die IP-Adresse. Bei Besuch einer Webseite ist die IP-Adresse allerdings nicht das einzige Datum, welches der Webseiten-Betreiber erhebt. Hinzukommt kommt die Verarbeitung folgender Daten:

1) Browserversion,

2) verwendetes Betriebssystem,

3) Referrer-URL sowie

4) Hostname des zugreifenden Rechners und

5) Uhrzeit der Anfrage.

Über die Verarbeitung von personenbezogenen Daten muss ein Webseiten-Betreiber die betroffenen Personen gemäß Art. 13 DSGVO informieren. Dies geschieht über den Datenschutzhinweis – meist „Datenschutzerklärung“ genannt. Auf dieses Thema gehen wir in unserem Beitrag „Datenschutzerklärungen auf Webseiten“ genauer ein.

Rechtmäßigkeit der Verarbeitung

Auch die Verarbeitung dieser Daten muss rechtmäßig sein. Dabei ist zu beachten, dass nicht die gleiche Rechtsgrundlage für jede Nutzergruppe anzuwenden ist. Bei den Nutzerdaten kann es mehrere zutreffende Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten geben. Folglich kann die Verarbeitung u. a. auf einer Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO), der Erfüllung (vor-)vertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b) DSGVO) oder auch dem berechtigten Interesse (Art. 6 Abs. 1 lit. f) DSGVO) beruhen. Der Betreiber der Webseite verarbeitet beispielsweise auch die personenbezogenen Daten des Webseiten-Designers, der Arbeiten an der Webseite gemäß dem Dienstleistungsvertrag vornimmt (Art. 6 Abs 1 lit. b) DSGVO). Die von Beschäftigten verarbeiteten Daten hingegen können auf § 26 Abs. 1 BDSG beruhen. Dies allerdings nur soweit die Verarbeitung für das Beschäftigungsverhältnis erforderlich ist. So kann dies zutreffend sein, wenn ein Beschäftigter für beispielsweise die inhaltliche Aktualisierung der Webseite zuständig ist.

Cookie-Banner

Falls ein Webseiten-Betreiber die Entscheidung trifft, auf seiner Webseite optionale Cookies für das Marketing, die Analyse, das Tracking etc. einzusetzen, gilt es, zusätzliche Pflichten einzuhalten. Hierbei wird dann auch § 25 TTDSG relevant. Damit ist es essentiell, sofern optionale Cookies zum Einsatz kommen sollen, auf der Webseite einen Cookie-Banner einzubauen. Dieser muss es Nutzern ermöglichen, sich zum Einsatz von Cookies auf der Webseite zu informieren, den Einsatz von Cookies abzulehnen, zu akzeptieren oder eine Auswahl bzgl. den Cookies zu treffen. Mehr zum datenschutzkonformen Einsatz von Cookies können Interessentieren in folgenden Beiträgen erfahren: „Datenschutz: Manche Cookies kosten“, „Cookies – Bußgelder beim Einsatz vermeiden“, „Cookies – Einwilligung oder berechtigtes Interesse“, „BGH: Cookie-Einwilligung von Webseiten“.

Verschlüsselung der Webseite

Kryptographische Funktionen haben beim Betreiben einer Webseite zunehmend an Bedeutung gewonnen. Demnach ist es inzwischen gängig am Anfang einer Webseiten-Adresse die Abkürzung „https“ (Hyper Text Transfer Protocol Secured Socket Layer, auf Deutsch: sicheres Hypertextübertragungsprotokoll) zu sehen. Ziel ist es dabei, die Daten, u. a. auch personenbezogene Daten, bei der elektronischen Übertragung und bei ihrer Speicherung vor unbefugtem Zugriff zu schützen.

Zugriffsberechtigungen

Es ist unbedingt zu klären, wer Zugriff auf das Backend der Webseite hat und benötigt. Das bedeutet, es ist zu regeln, wer Änderungen an der Webseite vornehmen darf. Demnach sollte ein Webseiten-Betreiber auch abwägen, wer Programmierungen vornehmen und wer beispielsweise Kontaktdaten, also ausschließlich Webseiten-Inhalte aktualisieren darf. Die Zugriffsregelungen muss ein Webseiten-Betreiber in einem Berechtigungskonzept dokumentieren. So kann er als Verantwortlicher dann auch nachweisen, dass er seinen Pflichten gemäß Art. 5 Abs. 1 lit. f) DSGVO i. V. m. Art. 32 Abs. 1 lit. b) DSGVO nachkommt.

Löschen von personenbezogenen Daten

Bei Besuch der Webseite verarbeiten Webseiten-Betreiber sowohl die personenbezogenen Daten der Besucher als auch die der Personen mit Zugriff auf das Backend. Auch die Verarbeitung dieser Daten beruht auf bestimmten Rechtsgrundlagen. Erlischt der Zweck und damit die Rechtsgrundlage der Verarbeitung, sind die Daten also zu löschen, um u. a. Art. 5 Abs. 1 lit. b), c), e) DSGVO gerecht zu werden. Demnach ist auch dieser Vorgang in einem Löschkonzept zu regeln und zu dokumentieren.

Funktion der Webseite

Jeder Webseiten-Betreiber verfolgt mit dem Betrieb der Webseite ein Ziel. Solch ein Ziel kann sein, eine weitere Erreichbarkeit für Webseiten-Besucher anzubieten, die Präsenz einer Einrichtung zu erhöhen sowie Neukunden zu gewinnen oder beispielsweise auch Produkte zu verkaufen. Folglich kommen eventuelle weitere Webseiten-Funktionen dazu. Was ein Betreiber eines Online-Shops beachten muss, erläutern wir in diesem Beitrag.

Fazit

Sind die oben genannten Aspekte die einzigen, die ein Webseiten-Betreiber behandeln muss? Nein, denn es gibt weitaus mehr Themen zu behandeln. So ist es beispielsweise auch wichtig, eventuell datenschutzrechtlich notwendige Verträge (Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO, Vertrag zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO) zu prüfen oder zu erstellen und abzuschließen. Aufgrund der Verarbeitung von personenbezogenen Daten beim Betrieb einer Webseite, ist auch diese Tätigkeit im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) festzuhalten. Schließlich sind bei Bedarf zusätzliche technische und organisatorische Maßnahmen (Art. 32 DSGVO) zum Datenschutz und zur -sicherheit zu ergreifen und zu dokumentieren.

Bei der Umsetzung der DSGVO – und auch des TTDSG – beim Betrieb einer Webseite können wir Sie unterstützen. Kontaktieren Sie uns also am besten noch heute für ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.