03586 – 3684921
support@seo-lausitz.de
Seit dem 01. Dezember ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft. Kleine Änderungen bringen für Webseitenbetreiber zum Teil große Herausforderungen. Wir erklären worum es geht und unterstützen Sie bei der Lösung. Entspricht Ihre Seite den aktuellen Anforderungen?
Webseite jetzt prüfen!
Bereits seit Ende 2021 gilt in der Bundesrepublik Deutschland das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Im Groben regelt es Bestimmungen beim Fernmeldegeheimnis sowie den Datenschutz bei Telekommunikations- und Telemediendiensten.
Vieles ist dabei nicht neu! Da es die Datenschutzregelungen aus dem Telekommunikationsgesetz und dem Telemediengesetz ersetzt, sind viele Bestandteile übernommen, die durch die TTDSG an die aktuellen DSGVO-Bestimmungen angepasst worden sind.
Entsprechend § 1 Abs. 3 TTDSG gilt das Gesetz für "alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes [...] eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen.". Kurz: Es gilt für alle Personen und Unternehmen mit Sitz in Deutschland. Sogar eine Zweigniederlassung in Deutschland genügt, um durch das TTDSG erfasst zu werden. Zusätzlich sind alle Unternehmen erfasst, die Waren in Deutschland verkaufen. Es reicht also nicht aus, seinen Onlineshop einfach nach Tschechien oder Polen zu verlagern, wenn man den deutschen Markt bedienen möchte.
Aber was bedeutet das nun konkret für Sie als Webseitenbetreiber? Dürfen jetzt also keine Cookies mehr gesetzt werden? Dürfen Sie das Nutzerverhalten von Besuchern Ihrer Webseite nicht mehr auswerten? Keine Panik! So schlimm ist es nicht. Damit Sie die Veränderung verstehen können, müssen wir uns mit dem Zustand vor der Einfügung des TTDSG beschäftigen.
In der ePrivacy Richtlinie (2009/136/EG) Art. 66 wurde eine Einwilligung zum Setzen von Cookies verlangt, insofern diese nicht essenziell für den Betrieb einer Webseite erforderlich waren. Wenn das Cookie gesetzt wurde, um beispielsweise ein Tracking durchzuführen (Google Analytics), musste unbedingt eine Einwilligung erfolgen.
Gerade dieses Thema hat in der Vergangenheit für sehr viel Streit gesorgt. Zur Verarbeitung von personenbezogenen Daten wurde eine Rechtsgrundlage (Artikel 6 der DSGVO) benötigt. Beispiel Kontaktformular: Ohne die Zustimmung des Nutzers durften die Formulardaten nicht verwendet werden. Deshalb wurden die Formulare mit einer zusätzlichen Abfrage ausgestattet, welche einen Link zur ausführlichen Datenschutzerklärung beinhaltete.
Problemfall externe Einbindung: Da die IP-Adresse des Benutzers ebenfalls ein personenbezogenes Datum darstellt, bedarf es auch hierzu einer gesonderten Genehmigung bei der Verarbeitung. Wenn Ihre Webseite also zum Beispiel externe Schriften vom Google-Server bezieht, oder die Seite eine Google-Maps-Karte eingebunden hat, wird bei einem Seitenaufruf automatisch die IP-Adresse des Besuchers an die Google-Server übermittelt. Wozu? Stellen Sie sich die IP-Adresse wie eine Postadresse vor. Google muss wissen, wohin die angeforderte Schrift oder die Karte geliefert werden soll. Problematisch ist dabei, dass Google über die IP-Adresse ebenfalls ein Profiling betreiben kann. Selbiges ergibt sich auch für Facebook-Einbindungen, YouTube, etc.
Muss es nicht. Bei der DSGVO (oder ePrivacy-Richtlinie aus dem Jahr 2009) handelt es sich um eine Art Handlungsorientierung. Normalerweise muss jedes Land in Europa dies nach spätestens 2 Jahren in nationales Recht umwandeln. Deutschland hat das ganze "nur" 12 Jahre später geschafft. In der Zwischenzeit haben sich viele Anwälte, Gerichte und Datenschützer mit Einzelentscheidungen zu helfen gewusst. Was für Webseitenbetreiber blieb, war dennoch eine sehr unbefriedigende und unklare Rechtslage.
Neben der Einwilligung zur Verarbeitung von personenbezogenen Daten regelt das TTDSG jetzt, wie die Einverständniseinholung bei Cookies auszusehen hat. Deshalb bezeichnen viele das Gesetz auch ziemlich treffend als "Cookie-Gesetz". Worauf muss der Betreiber einer Webseite also besonders achten?
Am wichtigsten sind folgende Punkte:
Nachrichtenübermittlung mit Zwischenspeicherung (§6): Einfach erklärt - jede Webseite, welche personenbezogene Daten z.B. über ein Kontaktformular übermittelt, muss Maßnahmen ergreifen, um diese Übermittlung gegen unbefugte Zugriffe zu schützen. Technisch wird dies durch ein gültiges SSL-Zertifikat erreicht. Durch dieses entsteht zwischen dem Seitenbesucher und der Webseite eine verschlüsselte Verbindung, die als "Abhörsicher" gilt. Viele Webhoster bieten kostenfreie Zertifikate an, die einfach eingebunden werden können. Danach muss die Seite entsprechend auf den SSL-Kanal umgestellt werden.
Cookies, Fingerprints und Co. (§25): Ohne die eindeutige, aktive Zustimmung darf auf dem Endgerät kein Cookie oder Ähnliches hinterlegt werden. Die Einwilligung muss auf Grundlage einer umfassenden Erklärung erfolgen. Ausnahme: Es handelt sich um technisch notwendige Cookies, die zur Durchführung einer Nachrichtenübertragung dienen bzw. ohne welche die Webseite nicht korrekt funktioniert. Bestes Beispiel ist ein Session-Cookie in einem Onlineshop. Ohne diesen würde ein Warenkorb bei jedem Mausklick den Inhalt "vergessen". Der Webseitenbetreiber kommt um ein Consent-Tool nicht herum, wenn ein externes Tracking genutzt wird.
Externe Einbindungen (DSGVO): Die Grundlage galt vorher, sollte aber trotzdem noch einmal ins Gedächtnis gerufen werden. Jede Art einer externen Einbindung bedarf einer vorherigen Einwilligung des Nutzers. Vorher darf weder Schrift, noch Karte, noch Javascript geladen werden. Wird nur eines dieser Elemente zum Bestandteil der Webseite, muss unbedingt ein Consent-Tool eingesetzt werden.
Bisher war es tatsächlich relativ unwahrscheinlich, wegen eines Verstoßes gegen die DSGVO geahndet zu werden. Zwar wurden mit Einführung der DSGVO auch schon mit hohen Strafsummen gedroht, diese wurden aber gegen kleinere Webseitenbetreiber nie verhängt, weil die Rechtslage eher unklar gewesen ist.
Damit ist nun aber Schluss: Seit dem 01.12.2021 können Verstöße entsprechend §28 Absatz 2 mit bis zu 300.000 EUR geahndet werden. Das kuriose dabei: Diese Strafe hebt eine Strafe gemäß der DSGVO nicht auf. Es kann also theoretisch passieren, dass man für ein Vergehen doppelt bestraft wird.
Es ist davon auszugehen, dass diese genauere Definition der Rechtslage auch Abmahnkanzleien auf dem Plan ruft.
Auf jeden Fall sollte Ihre Webseite auf eventuelle Rechtsverstöße geprüft werden. Nach einer genauen Analyse kann geklärt werden, welche Schritte für eine konkrete Absicherung notwendig sind. Gerne können wir dies für Sie übernehmen!
SEO Lausitz übernimmt gerne die Prüfung Ihrer Webseite. Teilen Sie uns dazu einfach Ihre Webadresse mit! Damit wir Ihnen das Resultat zukommen lassen können, benötigen wir außerdem eine E-Mail-Adresse.