Das TTSDG – maßgebende Richtlinie für Webseiten-Betreiber

Das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) ist im Dezember 2021 in Kraft getreten und gilt voraussichtlich bis 2023.

Sie können es als Erweiterung der DSGVO sehen, die sich insbesondere auf den Datenschutz auf Webseiten bezieht. Der Fokus des TTDSG liegt auf Cookies – wer sich bisher noch um eine datenschutzkonforme Einbindung gedrückt hat oder die Einwilligung durch Tricks eingeholt hat, wird jetzt zum Handeln gezwungen.

Denn das TTDSG schreibt vor: Das Einverständnis zu Cookies muss

  • informiert
  • freiwillig
  • ausdrücklich
  • aktiv
  • jederzeit widerrufbar

gegeben werden. Phrasen wie „Mit der Nutzung unserer Webseite stimmen Sie Cookies zu“ oder vorausgewählte Cookies sind damit endgültig vom Tisch.

Klar – das war auch schon vorher der Fall. Was sich jetzt jedoch ändert: Die Schonfrist bei Verstößen ist vorbei. Das haben die Behörden unmissverständlich kommuniziert. Zuwiderhandlungen werden gleich mit mehreren Bußgeldern geahndet:

  1. Verstoß gegen die DSGVO – bis 20 Millionen Euro oder bis zu vier Prozent Ihres Jahresumsatzes.
  2. Verstoß gegen das TTDSG – bis 300.000 Euro.
  3. Abmahnung, falls Sie DSGVO-konformes Cookie-Banner einsetzen.

Die drohende Abmahnung führt uns zu zwei wichtigen Fragen, deren Antworten Sie für eine DSGVO-konforme Webseite unbedingt wissen müssen:

  1. Wie sieht ein DSGVO-konformes Cookie-Banner aus?
  2. Und wann ist solch ein Cookie-Hinweis denn überhaupt nötig?

Cookies DSGVO-konform nutzen

Cookies ermöglichen es Ihnen als Webseitenbetreiber, Handlungen Ihrer Besucher nachzuvollziehen und die Nutzer besser kennenzulernen. Bei jedem Klick werden personenbezogene Daten gesammelt – die DSGVO räumt Usern deshalb das Recht ein, über die Sammlung ihrer Daten zu entscheiden.

Seit 2020 ploppt deshalb auf jeder Webseite das allseits bekannte Cookie-Banner auf. Cookies und Plug-Ins dürfen nur dann arbeiten, wenn der User ihnen ausdrücklich zugestimmt hat. Mit einem regelmäßigen Cookie-Check prüfen Sie schnell, ob Sie Cookies DSGVO-konform nutzen:

  • Gehen Sie alle Dienste durch, die Sie auf Ihrer Webseite nutzen (und prüfen Sie dabei bitte direkt, ob die auch vollständig in der Datenschutzerklärung auftauchen)
  • Erläutern Sie im Cookie-Banner, aus welchen Gründen Sie Cookies nutzen und welche Drittanbieter Daten erhalten?
  • Übertragen Tools Daten in Drittländer wie die USA? Da dort nicht die DSGVO gilt, braucht eine Übertragung gesonderte Hinweise.
  • Ist jede Option abwählbar? Die Einwilligung muss explizit und aktiv erfolgen. Vorausgewählte Einwilligungen oder das implizite Erteilen der Erlaubnis durch Schließen der Box/Weiterscrollen ist nicht erlaubt. Eine Cookie-Wall ist ebenfalls nicht gestattet – d.h. ein Fenster, das die Webseite blockiert, bis der Besucher die Cookies akzeptiert.
  • Arbeiten wirklich nur die Cookies, die vom Nutzer akzeptiert wurden – und zwar erst ab dem Zeitpunkt, zu dem die Auswahl getroffen wurde?
  • Entsprechen die Löschfristen dem Gesetz?
  • Finden Nutzer schnell und einfach die Möglichkeit, ihre Einwilligung zu widerrufen und wird dann auch das Tracking deaktiviert?

Ist Ihnen das zu aufwendig, übernehme ich das im Rahmen meines Compliance-Checks gerne für Sie. Sie erhalten einen umfassenden Check Ihrer Webseite, Handlungsempfehlungen, angepasste Datenschutzhinweise sowie einen DSGVO-konformen Consent Manager.

Wann ist ein Cookie-Hinweis nötig?

Ein Cookie-Hinweis ist nur dann nötig, wenn Sie Nutzeraktivitäten tracken! Um zu entscheiden, ob Sie auf Ihrer Webseite ein Cookie-Banner benötigen, sollten wir einen Blick auf die Rechtsgrundlage werfen. Das allseits bekannte „Cookie-Urteil“ des EuGH, dass zu einer Flut von Cookie-Infos führte, wird häufig falsch verstanden. Es fordert nämlich nur ein Cookie-Banner, wenn die kleinen Datenpakete einwilligungspflichtig sind. Darunter fallen alle Dienste, die Aktivitäten auf Ihrer Webseite tracken oder solche, die auf Ihre Webseite leiten. Das sind zum Beispiel Google Analytics oder das Facebook Pixel.

Ihr Warenkorb-Cookie oder Cookies des berechtigten Interesses fallen nicht darunter. Sofern Sie keine Tracking-Tools jeglicher Art nutzen, ist also kein Cookie-Banner Pflicht. Alle anderen Dienste müssen Sie lediglich in Ihrer Datenschutzerklärung aufführen.

Das muss die Datenschutzerklärung Ihrer Webseite beinhalten

Eine Datenschutzerklärung brauchen Sie immer dann, wenn auf Ihrer Webseite personenbezogene Daten erhoben, gespeichert und verarbeitet werden. Es ist ganz egal, auf welche Weise das geschieht. Die Datenschutzerklärung laut DSGVO soll die Datenerhebung transparent gestalten, damit Nutzer nachvollziehen können, welche ihrer Daten zu welchem Zweck erhoben werden und wo diese Daten hingehen.

Zwei Grundsätze sollten Ihre Datenschutzhinweise erfüllen:

  1. Verständlichkeit: Leser sollten den Umfang der Datenerhebung auch verstehen, wenn Sie kein Anwaltssprech studiert haben.
  2. Aktualität: Jedes Tool, jedes Plug-In, das aktuell auf Ihrer Webseite läuft, muss aufgeführt sein. Jede Änderung sollte sofort übernommen werden.

In die Datenschutzerklärung gehört:

  • Name und Kontaktmöglichkeiten des Verantwortlichen und – wenn vorhanden – des Datenschutzbeauftragten.
  • Zwecke und Rechtsgrundlagen der Verarbeitung, basierend auf den Bedingungen aus Art. 6 DSGVO.
  • Dienstleister und Tools, die die personenbezogenen Daten erheben oder erhalten.
  • Hinweise auf Datenübermittlung in ein Drittland, falls dies erfolgt.
  • Speicherdauer der Daten, die Sie erheben – und Bedingungen für das Löschen der Daten.
  • Betroffenenrechte (Auskunftsrecht, Widerrufsrecht, Beschwerderecht)
  • Hinweise zu einer automatisierten Entscheidungsfindung (z.B. Bonitätsprüfung)

Wer keine Datenschutzerklärung auf seiner Webseite einbindet, verstößt damit gegen die in der DSGVO verankerte Informationspflicht.

DSGVO-Checkliste für Ihre Webseite

Cookie-Consent-Banner

  • Cookies werden wirklich erst dann aktiviert, wenn ein Nutzer sie auswählt
  • In der Grundeinstellung sind alle optionalen Cookies deaktiviert
  • Die Webseite kann auch genutzt werden, wenn ein User alle optionalen Cookies ablehnt

Datenschutzerklärung

  • Ihre Datenschutzerklärung ist deutlich sichtbar verlinkt – z.B. im Footer-Menü – und kann an jeder Stelle auf Ihrer Seite mit maximal zwei Klicks erreicht werden
  • Sie schafft Transparenz über die Datenerhebung
  • Sie enthält Kontaktmöglichkeiten, Verarbeitungsgrundlage, Datenempfänger, Speicherdauer, Betroffenenrechte und weitere notwendige Angaben

Impressum

  • Sobald Sie Produkte/Dienstleistungen anbieten oder journalistisch-redaktionelle Inhalte veröffentlichen, ergänzen Sie Ihre Webseite um ein Impressum
  • Es enthält Kontaktmöglichkeiten des Seitenbetreibers, Unternehmensvertreter, Rechtsform, Register/Registernummer und Umsatzsteuer-Identifikationsnummer

Webseite-Verschlüsselung

  • Ihre Seite ist inklusive aller Unterseiten durch ein HTTPS-Protokoll (SSL-Zertifikat) verschlüsselt

Kontaktformulare

  • Sie fragen nur notwendige Daten ab
  • Sie verarbeiten Daten nur im Rahmen des angegebenen Zwecks
  • Die Datenschutzerklärung wurde verlinkt

Newsletter-Anmeldung

  • Sie fragen nur notwendige Daten ab
  • Die Datenschutzerklärung wurde verlinkt
  • Empfänger landen nur in dem Verteiler, zu dem sie sich (wissentlich) angemeldet haben
  • Die persönliche Anmeldung wird durch ein Double-Opt-In überprüft

Social-Media-Anbindung

  • Share-Buttons werden über den Consent Manager gesteuert – sie tracken erst nach Einwilligung
  • Videos wurden DSGVO-konform eingebunden

Auftragsverarbeitungsvereinbarung

Nur notwendig, wenn Sie erhobene Daten durch externe Dienstleister verarbeiten lassen

  • Name und Kontaktdaten vom Verantwortlichen und Verarbeitenden
  • Weisungsbefugnisse und Verpflichtungen des Verarbeitenden
  • Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • TOM
  • Hinweise zur Tätigkeitsdokumentation des Verarbeitenden
  • Ansprüche der Betroffenen
  • Hinweise zum Umgang mit der Meldepflicht bei Verstößen
  • Pflichten des Verarbeitenden, wenn Weisungen gegen die DSGVO verstoßen
  • Umgang mit erhobenen Daten nach Ablauf der Auftragsverarbeitung
  • Kontrollmöglichkeiten des Auftraggebers
  • Garantie des Datenschutzes bei Vermittlung in Drittländer

Der Datenschutz auf der Webseite ist eine komplexe Aufgabe, die man zudem nie ganz abhaken kann. Möchten Sie einmal ganz grundsätzlich sicherstellen, ob Ihre Seite alle Anforderungen der DSGVO erfüllt, empfehle ich Ihnen meinen kostenlosen DSGVO-Webseiten-Check.