Niedersachen klar Logo

Informationen für Betreiber von Webseiten zur Anpassung an die DS-GVO

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DS-GVO) in allen Mitgliedstaaten der Europäischen Union und somit auch in Deutschland als unmittelbar geltendes Recht anzuwenden. Die Umsetzung dieser Vorschriften erfordert auch einige Anpassungen an Webseiten.


Anwendbarkeit der Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung ist gemäß Art. 2 Abs. 1 DSGVO anzuwenden, wenn personenbezogene Daten verarbeitet werden. Da bereits die IP-Adresse als personenbeziehbares Datum anzusehen ist, ist der Anwendungsbereich der Datenschutz-Grundverordnung in Bezug auf Webseiten grundsätzlich immer gegeben.

Eine Ausnahme ist gemäß Art. 2 Abs. 2 Buchstabe c) DSGVO vorgesehen, wenn natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten eine Webseite betreiben. Dies setzt voraus, dass die Webseite nur einem begrenzten und ausschließlich privaten und familiären Personenkreis zugänglich ist und jeder Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit fehlt. Die Ausnahmevorschrift greift nicht, wenn sich die Webseite an einen unbestimmten Personenkreis richtet und grundsätzlich für jeden Internetnutzer abrufbar ist. Dies ist bereits anzunehmen, wenn die Webseite über Suchmaschinen auffindbar ist.

Betreiber von Webseiten, die einer wirtschaftlichen oder geschäftlichen Tätigkeit dienen, müssen die Anforderungen der Datenschutz-Grundverordnung beachten. Dies gilt unabhängig davon, ob es sich um eine gewerbliche oder eine selbständige Tätigkeit handelt oder eine Gewinnerzielung vorliegt.


Rechtmäßigkeit der Verarbeitung

Die Rechtsmäßigkeit der Verarbeitung von personenbezogenen Daten bei der Nutzung von Webseiten ist nicht Gegenstand dieses Informationsblattes, sondern ist von dem Verantwortlichen vorab zu prüfen.


Informationspflichten der Datenschutz-Grundverordnung

Die Informationspflichten der Datenschutz-Grundverordnung werden in der Regel durch eine Datenschutzerklärung auf der Webseite umgesetzt.

Die Pflichtinformationen, die der Betreiber einer Webseite den Nutzern geben muss, ergeben sich aus Art. 13 DSGVO:

1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, zum Beispiel Art. 6 Abs. 1 Buchstabe b) DSGVO oder die Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a) DSGVO;

4. wenn die Verarbeitung auf Artikel 6 Abs. 1 Buchstabe f) DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, zum Beispiel das berechtige Interesse an der Abwehr von Angriffen auf die Webseite, die zur Überlastung des Servers führen

5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, zum Beispiel die konkret zu benennenden Betreiber von anderen Webseiten, deren Inhalte auf der eigene Webseite eingebunden werden, bei zugangsbeschränkten Internetportalen alle Nutzer des Portals oder bei allgemein im Internet veröffentlichten Daten alle Internetnutzer;

6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Land außerhalb der Europäischen Union zu übermitteln, und ob in diesen Fällen mit den jeweiligen Ländern entsprechende Datenschutzabkommen bestehen, mit denen ein ähnliches Schutzniveau wie innerhalb der EU gewährleistet werden soll, z.B. Privacy Shield Abkommen mit den USA,

7. ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission, insbesondere bei einer Übermittlung von Daten in die USA, oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Abs. 1 UnterAbs. 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

8. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

9. die Informationen über die Betroffenenrechte auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und Datenübertragbarkeit;

10. wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts auf jederzeitigen Widerruf der Einwilligung und den Hinweis, dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung unberührt bleibt;

11. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

12. ist die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich, besteht die Pflicht der betroffene Person, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen hätte die Nichtbereitstellung und

13. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Absätze 1 und 4 DSGVO und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Die Informationen müssen der konkreten Ausgestaltung der Webseite entsprechen.

Es ist insbesondere darüber zu informieren,

  • ob eigene oder Cookies von Drittanbietern gesetzt werden,

  • Inhalte von anderen Webseiten unmittelbar eingebunden sind, zum Beispiel Schriften, Wetterinformationen, Videos,

  • Social Plugs-In in die Webseite eingebunden sind, zum Beispiel von Twitter, Facebook, Youtube, Instagram,

  • die Webseite Möglichkeiten vorsieht, durch die der Nutzer direkt personenbezogene Daten auf der Webseite eingibt und diese übermittelt, zum Beispiel Login-Verfahren, Kontaktformulare, Bestellformulare.

Art. 12 Abs. 1 DSGVO schreibt vor, dass alle Informationen

  • in präziser, transparenter, verständlicher und leicht zugänglicher Form

  • in einer klaren und einfachen Sprache abzufassen sind.

Die Datenschutzerklärung auf der Webseite muss einfach aufzufinden und durch die Bezeichnung klar als solche erkennbar sein. Sie sollte auf einer Webseite dargestellt werden, ohne übermäßiges Scrollen des Bildschirms zu erfordern. Die Sprache ist dem Adressatenkreis anzupassen, insbesondere wenn sich eine Webseite an Kinder und Jugendliche richtet. Richtet sich die Webseite auch an ausländische Nutzer, ist die Datenschutzerklärung entsprechend auch in weiteren Sprachen zur Verfügung zu stellen.


Technische und organisatorische Maßnahmen

Art. 25 Abs. 1 DSGVO verpflichtet den verantwortlichen Anbieter einer Webseite, geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Anforderungen der Datenschutz-Grundverordnung zu treffen. Sieht die Webseite die Möglichkeit vor, dass Nutzer personenbezogene Daten auf der Webseite eingeben können, dürfen diese nur verschlüsselt an den Verantwortlichen übermittelt werden. Demnach ist es wie schon bisher erforderlich, dass das https-Protokoll mit einer dem Stand der Technik entsprechenden sicheren Verschlüsselung zur Übermittlung der Daten eingesetzt wird.

Art. 25 Abs. 2 DSGVO verpflichtet den verantwortlichen Anbieter einer Webseite Voreinstellungen auf der Webseite so zu wählen, dass nur für die Nutzung der Webseite erforderliche personenbezogene Daten verarbeitet werden. Einstellungsoptionen finden sich zum Beispiel auf einer anmeldepflichtigen Webseite, auf der angemeldete Nutzer personenbezogene Inhalte einstellen können, hinsichtlich der Sichtbarkeit der Inhalte. Differenziert wird häufig zwischen sichtbar für „ausgewählte angemeldete Nutzer der Webseite“, „alle auf der Webseite angemeldete Nutzer“ oder „im gesamten Internet“. Die Voreinstellung muss dann auf „ausgewählte angemeldete Nutzer der Webseite“ gesetzt sein. Eine weitere Auswahloption ist häufig die Auffindbarkeit der nutzergenerierten Inhalte für Suchmaschinen. Diese ist in der Voreinstellung inaktiv zu schalten.

Anforderungen aus anderen Gesetzen

Häufig müssen bei der Gestaltung einer Webseite zusätzlich zu diesen Verpflichtungen aus der Datenschutz-Grundverordnung Anforderungen aus weiteren Gesetzen beachtet werden.

Dies sind zum Beispiel:

  • Impressumspflicht gemäß § 5 Telemediengesetz (TMG)

  • Informationspflichten bei kommerzieller Kommunikation gemäß § 6 TMG

  • Informationspflichten gemäß § 27 a Umsatzsteuergesetz und § 139 c Abgabenordnung

Berufsrechtliche Regelungen für freie Berufe, zum Beispiel Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Ärzte, Zahnärzte, Architekten, beratende Ingenieure: Bundesrechtsanwaltsordnung (BRAO) Berufsordnung (BORA) Fachanwaltsordnung (FAO) Rechtsanwaltsvergütungsgesetz (RVG) Berufsregeln der Rechtsanwälte der Europäischen Union (CCBE), Musterberufsordnung für Ärzte.

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511 120-4500
Fax 0511 120-4599
E-Mail an Ansprechpartner schreiben
Buchstaben Datenschutz-DSGVO  
Information für Betreiber von Webseiten

 Informationen für Betreiber von Webseiten

zum Seitenanfang
zur mobilen Ansicht wechseln