Informationen für Betreiber von Webseiten zur Anpassung an die DSGVO

Bei der Gestaltung von Webseiten müssen die datenschutzrechtlichen Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des seit dem 13. Mai 2024 geltenden Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) beachtet und einge halten werden. Das Gesetz ist nahezu inhaltsgleich mit dem am 1. Dezember 2021 in Kraft getretenen Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). Das Ge setz wurde zum Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz umbenannt, um das deutsche Recht an den europäischen Digital Services Act (DSA) anzupassen. Te lemedien heißen nun durchgängig digitale Dienste. In den §§ 19 bis 26 TDDDG sind spezifische Datenschutzvorschriften enthalten, die der Datenschutz-Grundverordnung grundsätzlich vorgehen. Ausführliche Informationen zum TDDDG finden Sie in unserem FAQ.

Anwendbarkeit des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes und der Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung ist gemäß Art. 2 Abs. 1 DSGVO anzuwenden, wenn personenbezogene Daten verarbeitet werden. Grundsätzlich genießt diese europäische Verordnung einen Anwendungsvor rang vor nationalen Datenschutzgesetzen. Es sei denn es gibt spezifische Vorschriften, die sich auf eine sogenannte Öffnungsklausel der Datenschutz-Grundverordnung stützen lassen. Dies bedeutet, dass der europäische Gesetzgeber den Mitgliedstaaten Regelungsbereiche oder Ausgestal tungsmöglichkeiten vorgegeben hat, in deren Rahmen nationale Vorschriften die Datenschutz- Grundverordnung ergänzen. Gibt es solche spezifischen nationalen Vorschriften in Deutschland, sind sie zu beach ten

Für Webseiten und Apps finden sich solche spezifischen Datenschutzvorschriften in den §§ 19 bis 26 TDDDG. Diese gelten für Anbieter von digitalen Diensten. Im Telekommunikation-Digitale Dienste-Datenschutz-Gesetze sind digitale Dienste nicht definiert. Für die Definition ist nach § 1 Abs. 1 TDDDG auf § 1 Abs. 4 Digitale-Dienste-Gesetz (DDG) zurückzugreifen. Danach ist ein „digitaler Dienst“ ein Dienst im Sinne des Artikels 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1)“. Die Vorschrift verweist somit in Bezug auf die Definition des „digitalen Dienstes“ auf Art. 1 Abs. 1 Buchstabe b Info-RL (RL 2015/1535). Danach ist „Dienst“ im Sinne der RL eine Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Im Telekommunikation-Digitale-Dienste-Datenschutz-Gesetze sind die Vorschriften ansonsten bis auf weitere geringfügige redaktionelle Anpassungen unverändert geblieben. Der Gesetzgeber hat ausdrücklich darauf hingewiesen, dass die „Anpassungen in den übrigen Änderungsartikeln, in denen der Begriff der Telemedien gegen den der digitalen Dienste ersetzt wird“ „rein redaktioneller Art“ sei. Grundsätzlich stellen jede Webseite und jede App für mobile Endgeräte einen digitalen Dienst dar. Der Gesetzgeber hatte in der Begründung der Definition der Telemediendienste 2007 zudem die folgenden Beispiele aufgeführt:

• Online-Angebote von Waren/Dienstleistungen mit unmittelbarer Bestellmöglichkeit (z.B. Angebot von Verkehrs-, Wetter-, Umwelt- oder Börsendaten, Newsgroups, Chatrooms, elektronische Presse, Fernseh-/Radiotext, Teleshopping)
• Video auf Abruf, soweit es sich nicht nach Form und Inhalt um einen Fernsehdienst handelt,
• Online-Dienste, die Instrumente zur Datensuche, zum Zugang zu Daten oder zur Datenabfrage bereitstellen (z.B. Online-Suchmaschinen) sowie
• die kommerzielle Verbreitung von Informationen über Waren-/Dienstleistungsangebote mit elektronischer Post (z.B. Werbe-Mails).

Die Vorschriften des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes gelten für alle Anbieter einschließlich der öffentlichen Stellen unabhängig davon, ob für die Nutzung ein Entgelt erhoben wird.

Soweit sie bei den folgenden Ausführungen relevant sind, werden die Regelungen des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes ergänzend dargestellt.

Da bereits die IP-Adresse als personenbeziehbares Datum anzusehen ist, ist der Anwendungsbereich der Datenschutz-Grundverordnung in Bezug auf Webseiten und Apps grundsätzlich immer eröffnet. Eine Ausnahme ist gemäß Art. 2 Abs. 2 Buchstabe c) DSGVO vorgesehen, wenn natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten eine Webseite betreiben. Dies setzt voraus, dass die Webseite nur einem begrenzten und ausschließlich privaten und familiären Personenkreis zugänglich ist und jeder Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit fehlt. Die Ausnahmevorschrift greift nicht, wenn sich die Webseite an einen unbestimmten Personenkreis richtet und grundsätzlich für jeden Webnutzer abrufbar ist. Dies ist bereits anzunehmen, wenn die Webseite über Suchmaschinen auffindbar ist.

Betreiber von Webseiten und Apps, die einer wirtschaftlichen oder geschäftlichen Tätigkeit dienen, müssen die Anforderungen der Datenschutz-Grundverordnung beachten. Dies gilt unabhängig davon, ob es sich um eine gewerbliche oder eine selbständige Tätigkeit handelt oder eine Gewinnerzielung vorliegt.

Rechtmäßigkeit der Verarbeitung

Die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten bei der Nutzung von Webseiten und Apps ist nicht Gegenstand dieses Informationsblattes, sondern ist von dem Verantwortlichen vorab zu prüfen. Im Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz sind keine spezifischen Rechtsgrundlagen für die Verarbeitung von Bestands- und Nutzungsdaten, die typischerweise beim Betrieb von Webseiten anfallen, geregelt. Die Bewertung der Rechtmäßigkeit der Verarbeitung richtet sich demnach ausschließlich nach der Datenschutz-Grundverordnung.

Angebot zur anonymen oder pseudonymen Nutzung

Informationspflichten der Datenschutz-Grundverordnung

Die Informationspflichten der Datenschutz-Grundverordnung und des Telekommunikation-Digitale Dienste-Datenschutz-Gesetzes werden in der Regel durch eine Datenschutzerklärung auf der Webseite oder bei Apps sowohl im App-Store als auch in der App selbst umgesetzt.

Im Telekommunikation-Digitale Dienste-Datenschutz-Gesetz ist in § 19 Abs. 2 Satz 2 TDDDG eine spezifische Informationspflicht für Betreiber von Webseiten und Apps vorgesehen, die aus der Pflicht zum anonymen oder pseudonymen Nutzungsangebot resultiert. Gemäß § 19 Abs. 2 Satz 1 TDDDG haben Anbieter von digitalen Diensten Nutzer über die Möglichkeit der anonymen oder pseudonymen Nutzung der Webseite oder App zu Beginn des Nutzungsvorgangs zu informieren. Bei Apps ist diese Information vor der Installation der App auf dem Endgerät des Nutzers zu erteilen.

Weitere Pflichtinformationen, die der Betreiber einer Webseite oder App den Nutzern geben muss, ergeben sich aus Art. 13 DSGVO:

1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, zum Beispiel Art. 6 Abs. 1 Buchstabe b) DSGVO oder die Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a) DSGVO;
4. wenn die Verarbeitung auf Artikel 6 Abs. 1 Buchstabe f) DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, zum Beispiel das berechtige Interesse an der Abwehr von Angriffen auf die Webseite, die zur Überlastung des Servers führen
5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, zum Beispiel die konkret zu benennenden Betreiber von anderen Webseiten, deren Inhalte auf der eigene Webseite eingebunden werden, bei zugangsbeschränkten Internetportalen alle Nutzer des Portals oder bei allgemein im Internet veröffentlichten Daten alle Internetnutzer;
6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Land außerhalb der Europäischen Union zu übermitteln, und ob in diesen Fällen mit den jeweiligen Ländern entsprechende Datenschutzabkommen bestehen, mit denen ein ähnliches Schutzniveau wie innerhalb der EU gewährleistet werden soll, z.B. Privacy Shield Ab- kommen mit den USA,
7. ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission, insbesondere bei einer Übermittlung von Daten in die USA, oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Abs. 1 UnterAbs. 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
8. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
9. die Informationen über die Betroffenenrechte auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und Datenübertragbarkeit;
10. wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts auf jederzeitigen Widerruf der Einwilligung und den Hinweis, dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung unberührt bleibt;
11. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
12. ist die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich, besteht die Pflicht der betroffenen Person, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen hätte die Nichtbereitstellung und
13. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Absätze 1 und 4 DSGVO und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Die Informationen müssen der konkreten Ausgestaltung der Webseite oder App entsprechen. Es ist insbesondere darüber zu informieren,

• ob eigene oder Cookies von Drittanbietern gesetzt werden,
• Inhalte von anderen Webseiten oder Apps unmittelbar eingebunden sind, zum Beispiel Schriften, Wetterinformationen, Videos,
• Social-Plug-ins in die Webseite oder App eingebunden sind, zum Beispiel von X, Facebook, Youtube, Instagram,
• die Webseite oder App Möglichkeiten vorsieht, durch die der Nutzer direkt personenbezogene Daten auf der Webseite oder App eingibt und diese übermittelt, zum Beispiel Login-Verfahren, Kontaktformulare, Bestellformulare.

Im Zusammenhang mit dem Einsatz von Cookies, der Einbindung von Inhalten von anderen Webseiten oder Apps sowie von Social-Plug-ins ist immer auch § 25 TDDDG zu berücksichtigen. Ausführliche Informationen hierzu finden sich in der Orientierungshilfe der Datenschutzkonferenz (DSK) mit dem Titel „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von digitalen Diensten (OH Digitale Dienste) Version 1.2“ (OH Telemedien 2021),

Art. 12 Abs. 1 DSGVO schreibt vor, dass alle Informationen

• in präziser, transparenter, verständlicher und leicht zugänglicher Form

• in einer klaren und einfachen Sprache abzufassen sind.

Die Datenschutzerklärung zur Webseite oder zur App muss einfach aufzufinden und durch die Bezeichnung klar als solche erkennbar sein. Sie sollte auf einer Webseite sowie im App-Store und in der App dargestellt werden, ohne übermäßiges Scrollen des Bildschirms zu erfordern. Die Sprache ist dem Adressatenkreis anzupassen, insbesondere wenn sich eine Webseite oder App an Kinder und Jugendliche richtet. Richtet sich die Webseite oder App auch an ausländische Nutzer, ist die Datenschutzerklärung entsprechend auch in weiteren Sprachen zur Verfügung zu stellen.

Sofern Nutzer der Webseiten oder Apps auf andere digitale Dienste weitergeleitet werden, zum Beispiel durch die Einbindung eines Links auf eine andere Webseite oder durch In-App-Käufe, ist diese Weitervermittlung zu einem anderen Anbieter von digitalen Diensten dem Nutzer gemäß § 19 Abs. 3 TDDDG anzuzeigen.

Technische und organisatorische Maßnahmen

Art. 25 Abs. 1 DSGVO verpflichtet den verantwortlichen Anbieter einer Webseite oder App, geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Anforderungen der Datenschutz-Grundverordnung zu treffen. Eine für Webseiten und Apps spezifische Regelung für digitale Dienste findet sich in § 19 TDDDG. Danach ist jeder Betreiber einer Webseite oder App verpflichtet, sicherzustellen, dass

• der Nutzer von digitalen Diensten die Nutzung des Dienstes jederzeit beenden kann und
• digitale Dienste geschützt gegen Kenntnisnahme Dritter in Anspruch genommen werden können.

Anbieter von geschäftsmäßig angebotenen digitalen Diensten müssen zusätzlich sicherstellen, dass

• kein unerlaubter Zugriff auf die technischen Einrichtungen, die sie für das Angebot ihrer digitalen Dienste nutzen, möglich ist und
• die technischen Einrichtungen nach Nummer 1 gesichert sind gegen Störungen, auch gegen solche, die durch äußere Angriffe bedingt sind.

Alle technischen Maßnahmen müssen dem Stand der Technik entsprechen.

Sieht die Webseite oder App die Möglichkeit vor, dass Nutzer personenbezogene Daten eingeben können, dürfen diese nur verschlüsselt an den Verantwortlichen übermittelt werden. Demnach ist es wie schon bisher gemäß § 19 Abs. 4 Satz 3 TDDDG erforderlich, dass das https-Protokoll mit einer dem Stand der Technik entsprechenden sicheren Verschlüsselung zur Übermittlung der Daten eingesetzt wird.

Art. 25 Abs. 2 DSGVO verpflichtet den verantwortlichen Anbieter einer Webseite oder App zudem Voreinstellungen auf der Webseite oder in der App so zu wählen, dass nur für die Nutzung der Webseite erforderliche personenbezogene Daten verarbeitet werden. Einstellungsoptionen finden sich zum Beispiel auf einer anmeldepflichtigen Webseite, auf der angemeldete Nutzer personenbezogene Inhalte einstellen können, hinsichtlich der Sichtbarkeit der Inhalte. Differenziert wird häufig zwischen sichtbar für „ausgewählte angemeldete Nutzer der Webseite“, „alle auf der Webseite angemeldete Nutzer“ oder „im gesamten Internet“. Die Voreinstellung muss dann auf „ausgewählte angemeldete Nutzer der Webseite“ gesetzt sein. Eine weitere Auswahloption ist häufig die Auffindbarkeit der nutzergenerierten Inhalte für Suchmaschinen. Diese ist in der Voreinstellung inaktiv zu schalten.

Anforderungen aus anderen Gesetzen

Häufig müssen bei der Gestaltung einer Webseite zusätzlich zu diesen Verpflichtungen aus der Datenschutz-Grundverordnung und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz Anforderungen aus weiteren europäischen und nationalen Gesetzen beachtet werden.

Dies sind zum Beispiel:

• Digital Services Act – Verordnung (EU) 2022/2065 des europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste), insbesondere

• Art. 26 DSA Werbung auf Online-Plattformen
• Art. 27 DSA Transparenz für Empfehlungssysteme auf Online-PlattformenArt. 28 DSA Online-Schutz Minderjähriger

• Digital Market Act – Verordnung (EU) 2022/1925 des europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte)

• Impressumspflicht gemäß § 5 Digitale-Dienste-Gesetz (DDG)
• Informationspflichten bei kommerzieller Kommunikation gemäß § 6 TMG
• Informationspflichten gemäß § 27 a Umsatzsteuergesetz und § 139 c Abgabenordnung
• Berufsrechtliche Regelungen für freie Berufe, zum Beispiel Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Ärzte, Zahnärzte, Architekten, beratende Ingenieure: Bundesrechtsanwaltsordnung (BRAO) Berufsordnung (BORA) Fachanwaltsordnung (FAO) Rechtsanwaltsvergütungsgesetz (RVG) Berufsregeln der Rechtsanwälte der Europäischen Union (CCBE), Musterberufsordnung für Ärzte.

Stand: Juli 2025