Das TTSDG – maßgebende Richtlinie für Webseiten-Betreiber
Das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) ist im Dezember 2021 in Kraft getreten und gilt voraussichtlich bis 2023.
Sie können es als Erweiterung der DSGVO sehen, die sich insbesondere auf den Datenschutz auf Webseiten bezieht. Der Fokus des TTDSG liegt auf Cookies – wer sich bisher noch um eine datenschutzkonforme Einbindung gedrückt hat oder die Einwilligung durch Tricks eingeholt hat, wird jetzt zum Handeln gezwungen.
Die drohende Abmahnung führt uns zu zwei wichtigen Fragen, deren Antworten Sie für eine DSGVO-konforme Webseite unbedingt wissen müssen:
- Wie sieht ein DSGVO-konformes Cookie-Banner aus?
- Und wann ist solch ein Cookie-Hinweis denn überhaupt nötig?
Cookies DSGVO-konform nutzen
Cookies ermöglichen es Ihnen als Webseitenbetreiber, Handlungen Ihrer Besucher nachzuvollziehen und die Nutzer besser kennenzulernen. Bei jedem Klick werden personenbezogene Daten gesammelt – die DSGVO räumt Usern deshalb das Recht ein, über die Sammlung ihrer Daten zu entscheiden.
Seit 2020 ploppt deshalb auf jeder Webseite das allseits bekannte Cookie-Banner auf. Cookies und Plug-Ins dürfen nur dann arbeiten, wenn der User ihnen ausdrücklich zugestimmt hat. Mit einem regelmäßigen Cookie-Check prüfen Sie schnell, ob Sie Cookies DSGVO-konform nutzen:
- Gehen Sie alle Dienste durch, die Sie auf Ihrer Webseite nutzen (und prüfen Sie dabei bitte direkt, ob die auch vollständig in der Datenschutzerklärung auftauchen)
- Erläutern Sie im Cookie-Banner, aus welchen Gründen Sie Cookies nutzen und welche Drittanbieter Daten erhalten?
- Übertragen Tools Daten in Drittländer wie die USA? Da dort nicht die DSGVO gilt, braucht eine Übertragung gesonderte Hinweise.
- Ist jede Option abwählbar? Die Einwilligung muss explizit und aktiv erfolgen. Vorausgewählte Einwilligungen oder das implizite Erteilen der Erlaubnis durch Schließen der Box/Weiterscrollen ist nicht erlaubt. Eine Cookie-Wall ist ebenfalls nicht gestattet – d.h. ein Fenster, das die Webseite blockiert, bis der Besucher die Cookies akzeptiert.
- Arbeiten wirklich nur die Cookies, die vom Nutzer akzeptiert wurden – und zwar erst ab dem Zeitpunkt, zu dem die Auswahl getroffen wurde?
- Entsprechen die Löschfristen dem Gesetz?
- Finden Nutzer schnell und einfach die Möglichkeit, ihre Einwilligung zu widerrufen und wird dann auch das Tracking deaktiviert?
Ist Ihnen das zu aufwendig, übernehme ich das im Rahmen meines Compliance-Checks gerne für Sie. Sie erhalten einen umfassenden Check Ihrer Webseite, Handlungsempfehlungen, angepasste Datenschutzhinweise sowie einen DSGVO-konformen Consent Manager.
Wann ist ein Cookie-Hinweis nötig?
Ein Cookie-Hinweis ist nur dann nötig, wenn Sie Nutzeraktivitäten tracken! Um zu entscheiden, ob Sie auf Ihrer Webseite ein Cookie-Banner benötigen, sollten wir einen Blick auf die Rechtsgrundlage werfen. Das allseits bekannte „Cookie-Urteil“ des EuGH, dass zu einer Flut von Cookie-Infos führte, wird häufig falsch verstanden. Es fordert nämlich nur ein Cookie-Banner, wenn die kleinen Datenpakete einwilligungspflichtig sind. Darunter fallen alle Dienste, die Aktivitäten auf Ihrer Webseite tracken oder solche, die auf Ihre Webseite leiten. Das sind zum Beispiel Google Analytics oder das Facebook Pixel.
Ihr Warenkorb-Cookie oder Cookies des berechtigten Interesses fallen nicht darunter. Sofern Sie keine Tracking-Tools jeglicher Art nutzen, ist also kein Cookie-Banner Pflicht. Alle anderen Dienste müssen Sie lediglich in Ihrer Datenschutzerklärung aufführen.
Das muss die Datenschutzerklärung Ihrer Webseite beinhalten
Eine Datenschutzerklärung brauchen Sie immer dann, wenn auf Ihrer Webseite personenbezogene Daten erhoben, gespeichert und verarbeitet werden. Es ist ganz egal, auf welche Weise das geschieht. Die Datenschutzerklärung laut DSGVO soll die Datenerhebung transparent gestalten, damit Nutzer nachvollziehen können, welche ihrer Daten zu welchem Zweck erhoben werden und wo diese Daten hingehen.
Zwei Grundsätze sollten Ihre Datenschutzhinweise erfüllen:
- Verständlichkeit: Leser sollten den Umfang der Datenerhebung auch verstehen, wenn Sie kein Anwaltssprech studiert haben.
- Aktualität: Jedes Tool, jedes Plug-In, das aktuell auf Ihrer Webseite läuft, muss aufgeführt sein. Jede Änderung sollte sofort übernommen werden.
In die Datenschutzerklärung gehört:
- Name und Kontaktmöglichkeiten des Verantwortlichen und – wenn vorhanden – des Datenschutzbeauftragten.
- Zwecke und Rechtsgrundlagen der Verarbeitung, basierend auf den Bedingungen aus Art. 6 DSGVO.
- Dienstleister und Tools, die die personenbezogenen Daten erheben oder erhalten.
- Hinweise auf Datenübermittlung in ein Drittland, falls dies erfolgt.
- Speicherdauer der Daten, die Sie erheben – und Bedingungen für das Löschen der Daten.
- Betroffenenrechte (Auskunftsrecht, Widerrufsrecht, Beschwerderecht)
- Hinweise zu einer automatisierten Entscheidungsfindung (z.B. Bonitätsprüfung)
Wer keine Datenschutzerklärung auf seiner Webseite einbindet, verstößt damit gegen die in der DSGVO verankerte Informationspflicht.
DSGVO-Checkliste für Ihre Webseite
Der Datenschutz auf der Webseite ist eine komplexe Aufgabe, die man zudem nie ganz abhaken kann. Möchten Sie einmal ganz grundsätzlich sicherstellen, ob Ihre Seite alle Anforderungen der DSGVO erfüllt, empfehle ich Ihnen meinen kostenlosen DSGVO-Webseiten-Check.