Icon IconsDer Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) überwacht als Aufsichtsbehörde auch die Einhaltung des Datenschutzes auf Websites von Hamburger Unternehmen und Freiberufler:innen. Website-Betreiber:innen müssen sicherstellen, dass insbesondere beim Einsatz von Drittdiensten und Tracking-Technologien alle datenschutzrechtlichen Anforderungen eingehalten werden.
Im Folgenden beantworten wir dazu häufig gestellte Fragen.
Wenn eine Website Inhalte von externen Anbietern (sogenannte Drittdienste) einbindet, zum Beispiel Dienste zur Analyse der Nutzungszahlen, Karten-Dienste, eingebundene Videos oder Social-Media-Buttons, werden auf der Website Technologien dieser externen Anbieter eingesetzt. Viele Drittdienste erfassen das Verhalten der Nutzenden und werten es aus.
Zwei Gesetze regeln die Datenverarbeitung beim Tracking:
Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) regelt alles, was mit dem Setzen und Auslesen von Informationen zu tun hat.
Beim Tracking werden im Gerät der Nutzenden (Computer, Tablet oder Smartphone) Daten gespeichert oder abgerufen. Das ist nur erlaubt, wenn die Nutzenden vorher dazu ihre Einwilligung erteilt haben. Wenn sie vorab nicht über das Tracking informiert wurden und die Datenspeicherung oder der Datenabruf stillschweigend geschieht, ist dies rechtswidrig. Ausnahmen von dieser Regelung gibt es nur für technisch notwendige Vorgänge. Beispielsweise beim Online-Shopping, wenn man als Nutzer:in etwas in den Warenkorb legt, oder beim Einloggen in den eigenen Account.
Die Kontrollfrage lautet: Könnten die Grundfunktionen der Website auch genutzt werden, wenn der Dienst ausgeschaltet wird? Wenn das der Fall ist, ist der Dienst nicht erforderlich.
Die Datenschutzgrundverordnung (DSGVO) regelt die beim Tracking vorgenommene Verarbeitung personenbezogener Daten.
Tracking-Technologien verarbeiten personenbezogene Daten und benötigen dafür eine rechtliche Erlaubnis. Dies gilt bereits für die IP-Adresse, mit der sich der Internetanschluss identifizieren lässt. Durch zusätzliche Informationen, wie Daten des Internetproviders, kann die IP-Adresse oftmals einer bestimmten Person zugeordnet werden. Auch Cookie-IDs dienen dazu, Personen zu identifizieren und wiederzuerkennen. Sie ermöglichen es Websites und Drittanbietern, das Verhalten einzelner Nutzender über verschiedene Besuche hinweg zu verfolgen. Diese Vorgänge sind nur mit Erlaubnis der Nutzer:innen gestattet, die selbst entscheiden können müssen, ob ihre Daten für Nutzungsprofile verwendet werden dürfen.
Besucher:innen einer Website müssen klar darüber informiert werden, wenn Drittanbieter auf ihre Geräte zugreifen und personenbezogene Daten zur Analyse des Nutzungsverhaltens verarbeitet werden sollen. Dies muss bereits erfolgen, bevor sie beginnen, auf einer Website zu interagieren. Das Cookie-Banner, das beim Aufruf der Seite erscheint, dient dazu, über die geplante Verarbeitung zu informieren. Es muss eine echte Wahlmöglichkeit bieten, Datenverarbeitungen zu akzeptieren oder abzulehnen. Die Informationen müssen verständlich sein und darüber Aufschluss geben, welche Daten von wem und zu welchem Zweck verarbeitet werden. Website-Betreiber:innen sind verpflichtet, die Rechtmäßigkeit der Datenverarbeitung und die wirksame Einholung der Einwilligung nachzuweisen.
Website-Betreiber:innen sind bezüglich Design, Farbe, Größe oder Kontrast weitgehend frei. Auch ist es zulässig, Informationen auf mehrere Unterseiten zu verteilen. Ein Cookie-Banner darf jedoch nicht verwirrend oder manipulativ gestaltet sein und zu einem bestimmten Verhalten – meistens zur Erteilung der Einwilligung – drängen.
Wenn von Nutzenden auf der ersten Ebene des Einwilligungsbanners die pauschale Zustimmung erbeten wird („Alles akzeptieren“), muss auf derselben Ebene auch die Möglichkeit bestehen, alles abzulehnen. Entscheidend ist dabei, dass das Banner mit der Auswahl „Alles ablehnen“ ebenso einfach geschlossen werden kann wie mit „Alles akzeptieren“. Darüber hinaus kann eine weitere Banner-Seite angeboten werden, auf der man Einstellungen vornehmen kann. Dort kann man dann beispielsweise auswählen, zu welchen Zwecken man Cookies ablehnen oder erlauben möchte, etwa zu Werbezwecken.
Auch wenn Sie bereits ein Einwilligungsbanner einsetzen, dürfen vor Erteilung der Einwilligung keine Zugriffe auf die Geräte von Nutzer:innen erfolgen und keine personenbezogenen Daten verarbeitet werden. Dies ist bei der technischen Ausgestaltung Ihres Angebots unbedingt zu beachten. Erst wenn Nutzende eine Wahl getroffen haben, dürfen zum Beispiel Cookies derjenigen Dienste eingebunden werden, für deren Einsatz die Zustimmung erteilt wurde.
Die festgestellten Mängel auf Ihrer Webseite sollten Sie schnellstmöglich beheben. Zu diesem Zwecke haben Sie folgende Möglichkeiten:
Allgemeine Informationen „Wie geht ein datenschutzkonformer Internetauftritt“
Informationen der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK)
„Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von digitalen Diensten“ (OH Digitale Dienste)
