Für das Betreiben einer gewerblichen Website gibt es in Deutschland und der EU klare rechtliche Rahmenbedingungen.
Die rechtssichere Gestaltung einer Website stellt viele Seitenanbieter:innen vor eine echte Herausforderung. In der EU gelten hierfür spezifische Regeln und Bestimmungen, die es einzuhalten gilt. Wir erklären Ihnen die wichtigsten Grundlagen für eine rechtssichere Website und zeigen die wichtigsten Maßnahmen auf, mit denen Sie Ihre Website DSGVO-konform machen.
Die in diesem Dokument beschriebenen Rahmenbedingungen können sich immer wieder ändern. Für Ihre Zuverlässigkeit können wir keine Haftung übernehmen. Dieses Dokument erfüllt einen rein informativen Zweck und erhebt keinen Anspruch auf Vollständigkeit. Bitte beraten Sie sich für alle Fragen mit einem Rechtsbeistand. Stand: Juni 2022.
Das Wichtigste in Kürze
- Gewerbliche Websites müssen in Deutschland bestimmte Grundvoraussetzungen erfüllen (vollständiges Impressum, Datenschutzerklärung, Cookie-Informationen, Datensicherheit usw.)
- Für die Erhebung und Nutzung von personenbezogenen Daten gilt die Europäische Datenschutz-Grundverordnung (DSGVO).
- Die Weitergabe von Daten in Länder außerhalb der EU unterliegt sehr strengen Regeln und Beschränkungen.
- Für Unternehmen, die in Deutschland E-Commerce praktizieren, gelten alle anzuwendenden Regeln des europäischen und deutschen Rechts.
- Es ist aus technischen und rechtlichen Gründen geschickt, Hosting und digitale Infrastruktur in Europa anzulegen.
- Konventionen über Nutzung und Gestaltung von Websites unterscheiden sich in der EU deutlich von Websites z.B. in verschiedenen asiatischen Ländern.
Für wen gelten DSGVO & Co.?
Wer in Deutschland oder der EU eine gewerbliche Website betreibt, muss die geltenden rechtlichen Anforderungen erfüllen – unabhängig von Alter, Umfang und Funktion der Seite. Diese Vorschriften gelten in der Regel auch für Unternehmen, die zwar keinen eigenen Sitz in der EU haben, die aber über ihre Website mit EU-Bürger:innen oder Unternehmen in der EU in Geschäftsbeziehungen treten.
Als gewerblich gilt eine Website dann, wenn sie Teil eines Unternehmens ist oder wenn sie genutzt wird, um Einkommen zu generieren. Dabei kann selbst ein kleines Werbebanner oder ein Affiliate-Link auf einer Homepage ausreichen, um die Grenze vom privaten zum kommerziellen Gebrauch zu überschreiten.
Welche Regeln und Gesetze sind zu beachten?
Alle Unternehmen, die in Deutschland oder in der EU eine Website betreiben, die im Internet Waren oder Dienstleistungen anbieten wollen, muss sich genauso an bestimmte Regeln halten, wie diese auch in der realen Geschäftswelt außerhalb des World Wide Web gelten. Diese Regelungen haben ihren Ursprung z.B. im Wettbewerbsrecht oder im Handelsrecht; für Websites gilt zudem etwa das Telemediengesetz.
Die Nichteinhaltung dieser Regeln macht ein Unternehmen bzw. seine deutsche oder europäische Niederlassung rechtlich angreifbar. In diesem Fall drohen Abmahnungen und Schadenersatzforderungen. Die korrekte Einhaltung aller Vorschriften ist komplex und bietet viel Fehlerpotenzial. Es empfiehlt sich in jedem Fall, sich professionelle Unterstützung von einer Anwaltskanzlei zu suchen.
Ein besonders heikles Thema ist der Datenschutz. Was ihn anbelangt, gilt für alle digitalen Dienste, die in der EU angeboten werden, grundsätzlich die Europäische Datenschutz-Grundverordnung (kurz DSGVO bzw. englisch General Data Protection Regulation, kurz GDPR). Sie regelt einheitlich, welche Daten unter welchen Voraussetzungen erhoben und verarbeitet werden dürfen, was mit diesen Daten geschehen darf und in welcher Form die Nutzer:innen über die Verwendung vorab informiert sein müssen.
Die Regelungen der DSGVO sowie der Europäischen ePrivacy-Richtlinie sind mit dem Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in deutsches Recht umgesetzt worden, das seit 1. Dezember 2021 in Kraft ist.
Hier können Sie mehr über die Neuerungen des TTDSG lesen.
Ein Impressum ist für jede gewerbliche Website verpflichtend
Jede gewerbliche Website braucht ein Impressum, was im Telemediengesetz, kurz TMG, geregelt ist. Aus dem Impressum (auch “Anbieterkennzeichnung” genannt) muss die Identität des Seitenbetreibers klar hervorgehen. Es muss leicht und jederzeit aufrufbar sein, darf also nicht versteckt oder unklar bezeichnet sein.
Am besten sollte das Impressum unter einer klickbaren Verlinkung mit der entsprechenden Bezeichnung “Impressum” auf jeder Seite Ihrer Website enthalten und jederzeit durch einen gut sichtbaren Button mit höchstens zwei Klicks “barrierefrei” aufrufbar sein. Eine gängige Praxis ist es, das Impressum im Footer zu platzieren, oder es als eigenen Menüpunkt direkt in die Haupt-Navigationsstruktur aufzunehmen.
Welche Angaben das Impressum beinhalten muss, ist ebenfalls im Telemediengesetz geregelt. Die wichtigsten sind:
- Name und Anschrift (Person, Firma, Unternehmensname)
- Rechtsform des Unternehmens (z.B. GmbH, GbR, AG, usw.)
- Vertretungsberechtigte Person(en)
- Kontaktdaten (Telefonnummer, Email-Adresse)
- Registereintrag (Amtsgericht und Nummer, evtl. Handelsregister oder Vereinsregister)
- Umsatzsteuer-Identifikationsnummer, wenn vorhanden
Bei Gewerben mit behördlicher Genehmigung oder zulassungspflichtigen Berufen sind zudem Angaben zur Berufsaufsichtsbehörde und etwaige berufsspezifische Informationen erforderlich.
Wenn Sie internationale Kundschaft haben, sollten Sie Ihr Impressum auch in englischer Sprache bereithalten.
DSGVO: Welche datenschutz-relevanten Inhalte sind verpflichtend?
Die DSGVO besagt unter anderem, dass bestimmte Dokumente in Textform auf einer Unternehmens-Website vorhanden sein müssen. Je nach Unternehmensart können darüber hinaus noch weitere rechtliche Informationen notwendig sein, z.B. bei der Ausführung eines bestimmten Gewerbes oder im E-Commerce. Im Mittelpunkt steht dabei vor allem der Schutz von personenbezogenen Daten.
Was sind personenbezogene Daten?
Personenbezogen sind Daten, wenn sie auf die Identität einer bestimmten Person hinweisen können. Der Begriff der “personenbezogenen Daten” ist dabei recht weit gefasst und meint alle Informationen, die sich (auch erst mit einiger Mühe) auf diese Person zurückführen lassen können. Dazu zählen z.B. auch nicht-anonymisierte IP-Adressen.
Unternehmen könnten diese Daten nutzen, um mehr über das Kaufverhalten ihrer Kund:innen zu erfahren und damit zielgerichtete Werbekampagnen auszuspielen. Die Aggregation solcher Daten ermöglicht zudem die Erstellung von Nutzungsprofilen und kann es somit erlauben, Rückschlüsse auf Interessen und Vorlieben, ggf. aber auch auf Details des persönlichen Lebens zu ziehen. Aus diesem Grund haben persönliche Daten eine besondere Brisanz.
In der Praxis dürfte es kaum Internetseiten geben, die gänzlich ohne die Verarbeitung solcher personenbezogenen Daten auskommen, da diese bereits beim Lesezugriff auf eine Website vom Browser übermittelt werden.
Datenschutzerklärung
Als Websiteanbieter:in müssen Sie nach der DSGVO eine Datenschutzerklärung bereitstellen. In dieser müssen Sie Ihre Nutzer:innen über alle datenschutz-relevanten Vorgänge bei der Nutzung Ihrer Website aufklären – also über Art, Umfang und Zweck der Erfassung und Verwendung von Nutzungsdaten. Wichtig ist dabei, dass diese Erklärung bereits zu Beginn eines Nutzungsvorgangs verfügbar sein muss, also sobald ein:e Besucher:in auf Ihre Website gelangt.
Ebenso wie das Impressum muss die Datenschutzerklärung auf Ihrer Website von allen Seiten aus erreichbar sein. Es bietet sich an, die Datenschutzerklärung auf Ihrer Internetseite neben die Verlinkung zum Impressum zu setzen. Mitunter sind Impressum und Datenschutzerklärung zusammengefasst unter einem entsprechenden Punkt “Impressum/Datenschutz” zu finden. Sinnvoller ist es aber, die beiden Dokumente gesondert auszuweisen.
Die Datenschutzerklärung muss u.a. folgende Informationen beinhalten und detailliert beschreiben:
- Was sind Zweck und Umfang der Datenverarbeitung?
- Sind Dienstleistende beauftragt? Wenn ja, welche?
- Welche Daten werden ggf. an Drittanbieter weitergegeben, und zu welchen Verwendungszwecken?
- Was sind die Betroffenenrechte?
Die Erstellung einer korrekten Datenschutzerklärung erfordert juristisches und technisches Fachwissen. Es gibt allerdings online einige Angebote, mit denen sich die Texte weitgehend automatisiert erstellen lassen – hier wird vorab z.B. abgefragt, welche konkreten Analytics-Tools und sonstigen externe Systeme eingebunden werden. Beispiele dafür sind z.B. der Datenschutz-Generator von Dr. Thomas Schwenke oder das entsprechende Tool von e-recht24.de.
Cookie-Hinweis
Ein weitere Pflichtangabe sind Informationen zu Cookies, also kleinen lokal gespeicherten Textdateien, die das individuelle Verhalten der Websitebesucher:innen protokollieren.
Cookies dürfen grundsätzlich nur nach ausdrücklicher Zustimmung der Nutzer:innen gespeichert werden. Ausgenommen sind jene Daten, die für die technische Funktionsfähigkeit der Website notwendig sind. Was genau dabei als notwendig betrachtet wird, ist juristisch umstritten, sollte im Zweifel aber eher sehr eng ausgelegt werden.
Ein entsprechendes Cookie-Banner, mit dem es Nutzer:innen möglich sein muss, die Speicherung von nicht notwendigen Cookies abzulehnen, sollte Besucher:innen direkt beim Landen auf Ihrer Website erscheinen – und zwar unbedingt, bevor erste Cookies gesetzt werden.
Um die rechtlichen Bedingungen einzuhalten, empfiehlt sich der Einsatz einer Lösung zum Consent Management.
Gute Cookie-Banner bringen bessere Daten Konkrete Zahlen: Wie viele stimmen Cookies zu?
DSGVO bei Kontaktformularen und Newslettern
Auch für den Einsatz von Kontaktformularen und Newslettern gilt die DSGVO. Hier gilt der Grundsatz der Datenminimierung, d.h. Sie sollten nur jene Daten anfordern, die Sie für eine bestimmte Aufgabe wirklich benötigen.
Kontaktformulare
Nahezu jede Website bietet Besuchenden die Möglichkeit, über ein Formular schriftliche Anfragen abzuschicken. Wichtig ist dabei, dass direkt im Formular ein Datenschutzhinweis erfolgt, und dass nur solche Informationen abgefragt werden, die für die Zweckerfüllung im Erstkontakt zwingend notwendig sind.
Außerdem sind Sie als Anbieter dazu angehalten, die Daten aus Ihren Anfragen nicht länger als vereinbart zu speichern und diese nach dieser Frist zu löschen bzw. nach Erfüllung der Anfrage zu löschen.
Newsletter
Auch für den Versand von Newslettern per E-Mail gibt es klare Vorschriften. Der Eintrag in eine E-Mail-Liste muss über die entsprechende E-Mail-Adresse ausdrücklich noch einmal bestätigt werden (Double-Opt-In-Verfahren). Jeder versandte Newsletter muss einen Verweis auf Ihr Impressum und Ihre Datenschutzerklärung enthalten sowie die Möglichkeit bieten, sich unproblematisch vom Newsletter wieder abzumelden.
Sollten Sie Dienste nutzen, um den Erfolg (z.B. Öffnungs- und Klickrate) des Newsletters zu messen, so müssen die Nutzer:innen vorab darüber informiert werden. Auch hier gelten grundsätzlich die Regeln über die Weitergabe von Daten an Dienstleister außerhalb der EU (siehe unten).
Optimierte Newsletter Fünf Metriken, mit denen Sie Ihre Newsletter auswerten und verbessern
Richtlinien für Handel und E-Commerce
Für den Online-Handel gibt es in der EU klare Regeln, die dafür sorgen sollen, dass die Nutzer:innen bzw. Käufer:innen zu jedem Zeitpunkt klar informierte Entscheidungen treffen können. Diese Regelungen haben Konsequenzen in unterschiedlichen Richtungen und haben ihren Ursprung z.B. im Wettbewerbsrecht und Handelsrecht, die im World Wide Web selbstverständlich genauso gelten wie in der analogen Geschäftswelt.
Die Nichteinhaltung dieser Regeln macht ein Unternehmen bzw. seine deutsche oder europäische Niederlassung rechtlich angreifbar. In diesem Fall drohen Abmahnungen und Schadenersatzforderungen. So fallen Betreiber:innen von Onlineshops und reinen Werbeseiten unter eine gesonderte Informationspflicht und müssen oder sollten neben den üblichen Pflichtangaben einer Unternehmenswebsite zusätzliche Angaben zur Verfügung stellen:
Widerrufsbelehrung
Im E-Commerce steht Verbraucher:innen grundsätzlich ein Recht auf Widerruf zu. Sie als Anbieter haben die Aufgabe, Ihre Kund:innen über dieses Recht klar und verständlich zu informieren. Es reicht nicht aus, eine Widerrufsbelehrung einfach in Ihre AGB aufzunehmen, sondern diese muss separat zur Verfügung stehen.
Allgemeine Geschäftsbedingungen (AGB)
Allgemeine Geschäftsbedingungen sind einseitig gestellte Vertragsbedingungen vom jeweiligen Seitenanbieter und ein gängiges Mittel, um Verträge im Geschäftsverkehr zu standardisieren. Das gilt insbesondere für Unternehmen, die eine hohe Zahl an Verträgen mit verschiedenen Kund:innen abschließen und so ihre Prozesse vereinfachen möchten.
Man ist nicht verpflichtet, AGB in eigener Form bereitzustellen. Gerade für Unternehmen, die eine hohe Zahl an Verträgen mit verschiedenen Kund:innen abschließen, sind AGB aber sinnvoll. Sie sind ein einfacher und effektiver Weg, Ihre Informationspflichten zu erfüllen, indem Sie diese Informationen in Ihre AGB mit aufnehmen. Bei Vertragsabschlüssen werden diese AGB mit einbezogen und in der Regel von beiden Vertragsparteien akzeptiert, und gelten somit als Nachweis, dass Sie Ihre Informationspflicht erfüllt haben.
Tracking, Datenweitergabe und externe Dienste
Sobald Sie externe Tools wie beispielsweise das beliebte Google Analytics einsetzen, wird es bezüglich Datenschutz besonders komplex.
Grundsätzlich gilt: Daten, die auf einer EU-Website gesammelt wurden, dürfen nur unter sehr stark begrenzten Voraussetzungen in Länder außerhalb der EU weitergegeben werden.
Das “Privacy Shield”-Abkommen, das die Weitergabe von Daten an US-Unternehmen erlaubte, wenn bestimmte Regeln eingehalten wurden, wurde in dieser Form 2020 vom EuGH sogar für ungültig erklärt. Ein Nachfolgeabkommen hierzu ist derzeit in Arbeit und könnte Ende des Jahres 2022 kommen. Genaueres zum aktuellen Stand finden Sie hier.
Insbesondere bei nicht-europäischen Zahlungsdiensten muss in vielen Fällen davon ausgegangen werden, dass die Regeln der DSGVO nicht eingehalten werden, u.a. weil z.T. eine Weitergabe von Daten an staatliche Behörden explizit als Möglichkeit in deren Datenschutzbestimmungen angesprochen wird bzw. eine solche Weitergabe durch die rechtlichen Rahmenbedingungen in den jeweiligen Staaten nicht ausgeschlossen werden kann.
Die Einbindung von externen Diensten (z.B. Facebook, YouTube, Google Maps) kann nur rechtskonform erfolgen, wenn eine ausdrückliche Zustimmung der Nutzer:innen zu evtl. zu setzenden Cookies erfolgt und wenn die eingebundenen Dienstleister ebenfalls DSGVO-konform arbeiten. Dies gilt auch für Dienste wie z.B. Google Analytics. Derzeit ist aufgrund der Einschätzungen mehrerer Europäischer Datenschutzbehörden unklar, ob die Nutzung von Google Analytics DSGVO-konform durchgeführt werden kann.
Auch der Einsatz von Tracking Tools, die das Nutzungsverhalten von Websitebesucher:innen verfolgen, unterliegt den Bestimmungen der DSGVO.
Technischer Schutz: Auch die Infrastruktur muss rechtssicher sein
Der Anspruch an rechtliche Sicherheit Ihrer Website bezieht sich nicht nur darauf, welche Inhalte Sie dort wie integrieren müssen. Auch aus technischer Sicht gibt es Einiges zu beachten.
Zum Datenschutz gehört es (nicht erst seit der DSGVO) selbstverständlich auch dazu, persönliche Daten und die Datenübertragung technisch abzusichern und vor dem Zugriff Dritter zu schützen.
Verschlüsselung der Website
Eine der wichtigsten technischen Maßnahmen ist die HTTPS-Verschlüsselung der Website. Sie sichert die Datenübertragung ab. Die Verschlüsselung erfolgt über die sogenannte Transport Layer Security (kurz TLS, Nachfolge von SSL) und ist daran zu erkennen, dass die URL in der Browserzeile mit dem Kürzel „https“ beginnt.
Die Verschlüsselung einer Website gilt mittlerweile immer dann als zwingend, wenn personenbezogene Daten übertragen werden. Dies gilt schon bei Kontaktformularen, die eine E-Mail-Adresse erbitten, umso mehr aber bei hochsensiblen Daten wie bei Bezahldiensten oder finanziellen Informationen.
Hosting
Für Websites, die vor allem deutsche bzw. europäische Nutzer:innen ansprechen sollen, ist es sinnvoll, auch das Hosting im entsprechenden geographischen Raum zu nutzen. So kann beispielsweise die DSGVO-Konformität leichter hergestellt werden – zum einen, weil die Daten tatsächlich im Europäischen Raum verbleiben, zum anderen, weil die meisten Hosting-Unternehmen sich hier ihrerseits um die Umsetzung der DSGVO kümmern.
Fazit
Es ist nicht immer leicht, das Dickicht an einzuhaltenden Regeln zu durchblicken, und die sich ständig ändernde Gesetzgebung macht diese Aufgabe nicht leichter. Umso wichtiger ist es, sich beim eigenen Internetauftritt von Beginn an um eine sorgfältige und lückenlose Beachtung der rechtlichen Rahmenbedingungen zu kümmern.
Holen Sie sich dazu am besten professionelle Unterstützung von kompetenten Fachleuten, um die volle Rechtskonformität Ihrer Website zu gewährleisten. Verfolgen Sie außerdem immer die neuesten Entwicklungen der Rechtsprechung und überprüfen Sie regelmäßig die rechtlich relevanten Aspekte Ihrer Website auf Aktualität.
Auf der sicheren Seite sind Sie, wenn Sie den Grundsätzen von Datenminimierung und Informationstransparenz folgen, und Ihre Seite regelmäßig einem gründlichen Rechtscheck unterziehen.