Webseiten datenschutzkonform gestalten

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat am 21.04.2023 eine hilfreiche Handreichung zur Gestaltung datenschutzkonformer Internetauftritte veröffentlicht. Die Handreichung befasst sich mit zentralen Themen wie der Erforderlichkeit einer Einwilligung, der rechtskonformen Gestaltung von Einwilligungsbannern, der Einbindung von Drittinhalten, den Informationspflichten, dem technischen Betrieb und der Konsequenzen bei Missachtung dieser Pflichten. Wir fassen die Kernaussagen zusammen.

1. Wann ist eine Einwilligung erforderlich?

Eine Einwilligung ist immer dann einzuholen, bevor Cookies und ähnliche Technologien gesetzt werden, die für den technischen Betrieb des Internetauftritts nicht zwingend erforderlich sind. Dem TTDSG folgend gilt diese Pflicht unabhängig von der Verarbeitung personenbezogener Daten.

2. Wie sollte ein Einwilligungsbanner gestaltet sein?

Eingeholt wird die Einwilligung durch ein Einwilligungsbanner. Wichtig: auf der ersten Ebene sollten in einheitlicher Ausgestaltung drei Möglichkeiten angezeigt werden. Die Funktion „alles Akzeptieren“, „alles Ablehnen“ und „Weitere Informationen“. Auf weiteren Ebenen muss sodann über die Datenverarbeitung informiert werden.

3. Wie können Drittinhalte eingebunden werden?

Drittinhalte – darunter sind Inhalte zu verstehen, die von anderen Anbietern zur Verfügung gestellt und in die eigene Webseite eingebunden werden, z.B. Videos, Karten etc. – bedürfen für ihre Einbindung der Einwilligung der Nutzenden. Diese kann über das Einwilligungsbanner oder einen sog. Content-Blocker eingeholt werden.

4. Worüber müssen die Nutzenden informiert werden?

Über welche Angaben Nutzende in den Datenschutzbestimmungen zu informieren sind, richtet sich nach Art. 12 und 13 DSGVO. Wichtig: die Datenschutzbestimmungen dürfen durch das Einwilligungsbanner nicht verdeckt werden.

5. Worauf ist beim technischen Betrieb zu achten?

Beim technischen Betrieb ist insbesondere auf die Transportverschlüsselung und das Server-Logging zu achten.

6. Was droht, wenn Pflichten missachtet werden?

„Das TTDSG sieht in § 28 vor, dass mit einer Geldbuße von bis zu 300.000 Euro bestraft werden kann, wer die in Abschnitt 1 erwähnten gesetzlichen Pflichten missachtet. Die DSGVO sieht umsatzabhängig ggf. höhere Geldbußen vor. Zudem kann die zuständige Aufsichtsbehörde die Herstellung eines rechtskonformen Betriebs verbindlich anordnen.“