Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Checkliste für Webseiten-Betreiber: So prüfen Sie, ob Ihre Webseite Datenschutzprobleme enthält und Ihre Internet-Agentur haftet

0

Wird Ihre Webseite von einer Agentur betreut? Ist Ihnen klar, wer bei Datenschutzproblemen haftet? Erfahren Sie, wie Sie Datenschutzprobleme finden und die Haftungsfrage mit Ihrer Agentur klären können.

Superschnellstart

  1. Führen Sie einen online DSGVO-Schnelltest für Ihre Webseite aus: Schnelltest ausführen
  2. Bitten Sie Ihre Agentur um Stellungnahme, falls im Schnelltest Probleme gemeldet wurden
  3. Sollte Ihre Agentur die Probleme abstreiten, schreiben Sie mir (oder Ihrem DSB) und erhalten Sie eine Argumentationshilfe für konkrete Probleme. Argumentationshilfe anfordern

Probleme auf Ihrer Webseite, die Ihre Agentur zu vertreten hat, sollten kostenfrei behoben werden. Vor allem betrifft dies ohne Einwilligung des Besuchers Ihrer Webseite geladene Tools wie von Google oder um sogenannte Cookie Popups, die oft rechtswidrig gestaltet sind.

Schnellstart

  1. Fragen Sie Ihre Agentur um Auskunft über alle auf Ihrer Webseite eingebundenen Dienste (Tools) und Marketing-Cookies
  2. Prüfen Sie, welcher Vertrag mit Ihrer Internet-Agentur geschlossen wurde: AGB, Individualvertrag oder ohne schriftliche Dokumente
  3. Führen Sie einen online DSGVO-Schnelltest für Ihre Webseite aus
  4. Entfernen Sie alle nicht wirklich benötigten Dienste von Ihrer Webseite
  5. Ersetzen Sie alle Dienste, die eine Einwilligung benötigen, durch datenschutzfreundliche Alternativen, so dass Sie nach Möglichkeit ohne Consent Popup auskommen
  6. Behauptet Ihre Agentur, etwas sei unproblematisch, lassen Sie sich eine Haftungsübernahme durch Ihre Agentur bescheinigen
  7. Lassen Sie ggfs. den Vertrag mit Ihrer Agentur anpassen

Ihr Datenschutzbeauftragter unterstützt Sie sicher bei der Argumentation gegenüber Ihrer Agentur. Zusätzlich finden Sie auf der Webseite von Dr. DSGVO zahlreiche Rechtsgrundlagen für Cookies und populäre Tools wie Google Analytics, Google Maps, Google reCAPTCHA, Google Fonts, YouTube Videos, Vimeo Videos, OpenStreetMap usw., sowie eine Checkliste für Cookie Popups.

Einleitung

Wenn Ihre Webseite von einem Dienstleister betreut wird, besteht ein Vertragsverhältnis mit diesem für die Erstellung und meistens auch die Pflege und Wartung der Webseite. Dies beinhaltet das Einspielen vpn Updates, aber auch das Administrieren von Berechtigungen und gelegentlich auch das Pflegen von Inhalten (Content).

Viele Internet-Agenturen verwenden vorgefertigte Verträge, sogenannte Allgemeine Geschäftsbedingungen (AGB). Eine AGB ist also (auch) ein Vertrag.

Manche Agenturen arbeiten statt dessen mit Individualverträgen. Letztere haben für die Agentur den Vorteil, dass eine Haftung für die Agentur weiter reduziert werden kann. Andererseits muss ein Individualvertrag tatsächlich individuell formuliert sein. Es reicht hierfür nicht aus, einen AGB-Text zu nehmen und ihn leicht zu modifizieren. Hat eine Agentur also viele Kunden, sind Individualverträge eher nicht die Regel. Bei kleinen Agenturen mit wenigen Kunden wären sie eher möglich, sind aufgrund der fehlenden rechtlichen Kompetenz aber wohl auch dann nicht besonders häufig anzutreffen, da die Angst vor Formfehlern in Verträgen bei kleineren Agenturen dem entgegen stehen mag.

Gibt es keinen schriftlichen Vertrag, liegt eine stillschweigende Vereinbarung vor, auch als konkludentes oder schlüssiges Handeln bezeichnet. In diesem Fall greifen die gesetzlich pauschal definierten Regeln. Hier haftet die Agentur für gewöhnlich eher als bei einem schriftlichen Vertrag.

Sie sollten zuerst prüfen, welche Art von Vertrag Sie mit Ihrer Internet-Agentur geschlossen haben, nämlich:

  1. Allgemeiner, vorformulierter Vertrag (AGB). Wird oft ohne konkrete Nennung des Vertragspartners genutzt
  2. Individualvertrag
  3. Stillschweigender Vertrag ohne schriftliche Fixierung

Für die Betreuung einer Webseite liegt normalerweise ein Dienstvertrag vor. Ein Werkvertrag hingegen würde zur üblicherweise einmaligen Erstellung einer Webseite abgeschlossen. Bei einem Dienstvertrag können Schadenersatzansprüche bis drei Jahre nach Kenntnisnahme des den Anspruch begründenden Umstands geltend gemacht werden, bei einem Werkvertrag sind es zwei Jahre nach Abnahme des gelieferten Werks.

Als Kunde haben Sie einen Anspruch darauf, dass Ihre Agentur Ihnen eine rechtskonforme Webseite liefert, soweit dies in der Macht der Agentur liegt.

Nur von ihnen selbst zu verantwortende Umstände sind von Ihnen alleine zu vertreten.

Eine Internet-Agentur, die spezialisiert auf das Erstellen von Webseiten ist, muss die einschlägigen Datenschutzregeln kennen. Dies bedeutet nicht, dass eine Agentur ein Jurastudium absolviert haben muss, wohl aber grundlegende Datenschutzregeln und die DSGVO-konforme Handhabung häufig eingesetzter Tools kennen muss.

Wenn eine Agentur nicht weiß, dass Google Analytics (mit Cookies) ohne Einwilligung rechtswidrig ist, hat die Agentur ein Problem – und Sie auch! Wenn Ihre Agentur auf Ihrer Webseite Google Analytics einbaut und nicht bemerkt, dass dieser Dienst trotz ebenfalls eingebauter Einwilligungabfrage rechtswidrig geladen wird, hat die Agentur ein Problem – und Sie auch! Sie sind zunächst der alleine Haftende und müssen Ihre Agentur in Mithaftung nehmen, wenn Sie angegangen werden. Handeln Sie daher frühzeitig und bringen Sie Ihre Agentur durch Aufzeigen des Haftungsrisikos dazu, dass diese ihre Arbeit ordentlich, gewissenhaft und vor allem datenschutzkonform erledigt

Generell kann die Haftung bei Vorsatz nicht ausgeschlossen werden. Handelt Ihr Dienstleister also vorsätzlich, haftet er dafür mindestens zusammen mit Ihnen. Es ist wichtig zu wissen, dass die DSGVO (Datenschutzgrundverordnung) eine gemeinsame Verantwortlichkeit benennt. Hierzu besagt Art. 26 DSGVO, dass bei gemeinsamer Bestimmung der Mittel für die Datenverarbeitung beide Partner haften. Konkret bedeutet das: Wenn Ihre Agentur Ihnen etwas nahelegt, weil es anders nicht möglich sei, dann liegt meiner Ansicht nach eine gemeinsame Verantwortlichkeit zwischen Ihnen und der Agentur vor, sofern Sie der Agentur nicht widersprechen. Andererseits gilt kann sicher, dass die Agentur mindestens mit haftet, wenn der Agentur bekannt war, dass der Ihnen für Ihre Webseite vorgeschlagene Dienst (Beispiel: Google Analytics mit Cookies, ohne Einwilligung) rechtswidrig ist. Für Homepage Baukästen wie von Ionos kann teilweise die Einbindung externer Google Fonts (ohne Einwilligung) nicht verhindert werden, auch wenn dies rechtswidrig ist, wie man zeigen kann. Wenn Ihre Agentur Ihnen einen solchen, per se nur rechtswidrig betreibbaren Homepage-Baukasten, empfohlen hat, haftet Ihre Agentur nach meiner Einschätzung mit.

Eine Haftung bei grober Fahrlässigkeit kann in AGB kaum ausgeschlossen werden, in Individualverträgen hingegen schon. Haben Sie einen Individualvertrag mit Ihrer Agentur geschlossen, sollten Sie prüfen, ob dieser Haftungsausschluss existiert. Existiert er, sollten sie auf einer Vertragsänderung bestehen oder sich eine neue Agentur suchen. Denn grobe Fahrlässigkeit liegt meiner Ansicht nach bei einer Vielzahl von Datenschutzproblemen vor, die auf Webseiten anzutreffen sind, weil Agenturen bestimmte Tools auf die Webseiten ihrer Kunden mogeln. Manchmal weiß die Agentur nicht einmal etwas davon, dass sie ein rechtswidriges Tool, wie etwa Gravatare ohne Einwilligung, auf eine Kunden-Webseite gebracht hat. Unwissen schützt allerdings vor Strafe nicht. Für viele Beispiele, wie Gravatare, kann unterstellt werden, dass eine Agentur dies wissen muss und somit grob fahrlässig handeln würde, wenn sie sich als Spezialist für WordPress-Webseiten dieses wichtige Allgemeinwissen nicht angeeignet hat.

Datenschutzerklärung und Impressum

Erstellt Ihre Agentur für Sie oder zusammen mit Ihnen eine Datenschutzerklärung, dann haftet die Agentur möglicherweise zusammen mit Ihnen. Liegt kein schriftlicher Vertrag vor, haftet die Agentur normalerweise mit.

Haft die Agentur eine Erklärung für eine Datenverarbeitung erstellt, deren Details nur die Agentur überblicken kann, haftet die Agentur unabhängig vom Vertragswerk hierfür mit, wenn entweder eine vorsätzliche Falscherklärung vorliegt oder eine grob fahrlässige Pflichtverletzung vorliegt, die nicht über einen Individualvertrag ausgeschlossen wurde.

Analog verhält es sich mit dem Impressum. Prüfen Sie doch mal, ob in Ihrem Impressum der Hinweis auf den redaktionell Verantwortlichen vorhanden ist, der laut §18 MStV für jede öffentliche Webseite vorgeschrieben ist. Falls vorhanden, ist dort eine falsche, weil veraltete Referenz auf § 55 Abs. 2 RStV vorhanden? haben Sie die Änderung gemacht, ist es Ihr Problem. War die Agentur daran beteiligt, sollten Sie ein Gespräch führen.

Kurz gesagt: Die Mitwirkung der Agentur an Datenschutzhinweisen oder an der Erstellung des Impressums führt in der Regel zu einer Mithaftung der Agentur. Das Impressum enthält zwar auf überraschend vielen Webseiten Formfehler, es ist jedoch erstens kein Datenschutzthema und zweitens höchstens ein Angriffsziel von abmahnenden Wettbewerbern.

Sehen Sie davon ab, Mustertexte von Datenschutzgeneratoren zu verwenden. Schreiben Sie Ihre eigenen Texte, vor allem, wenn es sich um Erklärungen zu Tools wie Google Analytics, Google Maps u.a. geht. Ein blindes Vertrauen auf Mustertexte ist erstens fahrlässig und fällt zweitens auf Sie als Verantwortlichen zurück. Können Sie einen Text für ein Tool nicht schreiben, sollten Sie das Tool nicht verwenden. Viele Tools werden auf den meisten Webseiten schlichtweg nicht benötigt, auch wenn manche etwas anderes behaupten. Schreiben Sie im Zweifel Ihren DSB oder mich an, um Alternativen oder eine Begründung zu erhalten.

Hinterfragen Sie den tatsächlichen Nutzen jedes auf Ihrer Webseite eingesetzten Tools. Sie haften dafür (und ggfs. auch Ihre Agentur).

Einfache Maßnahme zur Reduktion von Haftung

Nimmt Ihre Internet-Agentur Datenschutz ernst?

Wenn Sie das Gefühl haben, dass etwas auf Ihrer Webseite nicht datenschutzkonform ist, dann fragen Sie Ihre Agentur folgendes:

  1. Welche Dienste (Tools) werden auf der Webseite eingeseztzt?
  2. Falls Cookie Popup vorhanden: Benötigt die Webseite unbedingt eine Einwilligungsabfrage bzw. wie kann diese vermieden werden?
  3. Welche technisch nicht notwendigen Cookies werden verwendet?

Erhalten Sie als Antwort, alles sei in Ordnung, dann verlangen Sie eine Haftungsübernahme. Die Reaktion Ihrer Agentur wird Ihnen erstens zeigen, wie ernst deren Aussage zu datenkritischen Vorgängen gemeint war und zweitens, ob Ihre Agentur bereit ist, eine Mithaftung zu tragen.

Wenn Ihre Agentur meint, Sie benötigen unbedingt ein Cookie Popup, ist die Antwort oft nicht zutreffend. Die meisten kleineren Webseiten benötigen kein Cookie Popup.

Wissen Sie nicht, ob Ihre Webseite möglicherweise Datenschutzprobleme aufweist, dann fragen Sie Ihren Datenschutzbeauftragten (DSB) nach seiner Einschätzung. Der DSB kann zumindest eine kurze Sichtprüfung vornehmen. Bitte erwarten Sie vom DSB nicht, dass er die Arbeit Ihrer Agentur macht.

Ein online DSGVO-Schnelltest Ihrer Webseite zeigt sofort, ob Handlungsbedarf besteht.

Haftung für externe Links und Inhalte

Grundsätzlich haftet zunächst niemand für Inhalte Dritter. Wenn auf Ihrer Webseite ein gewöhnlicher Link auf eine andere Webseite vorhanden ist, müssen Sie datenschutzrechtlich hierbei fast nichts beachten.

Sobald bekannt wird, dass der verlinkte Inhalt rechtswidrig sein könnte, sollte der Link von Ihrer Webseite umgehend entfernt werden. Wenn aus dem Linkziel bereits hervorgehen könnte, dass ein rechtswidriger Inhalt bestehen könnte, sollte der verlinkte Inhalt untersucht werden. Es empfiehlt sich generell, alle verlinkten Inhalte zu prüfen und Verlinkungen nicht einfach so und unreflektiert von Dritten per Copy & Paste einzufügen.

Wenn Ihre Agentur einen Link auf Ihrer Webseite eingebracht hat, den Sie nicht veranlasst haben, ist die Agentur dafür mit verantwortlich und kann sich schlechterdings auf einen Haftungsausschluss im Vertrag, den die Agentur möglicherweise mit Ihnen geschlossen hat, berufen.

Das Einbinden von externe Inhalten über IFRAMES ist noch kritischer zu beurteilen. Hieraus entstehen nämlich nicht nur Fragen zum Urheberrecht, sondern auch zum Datenschutz. Mehr dazu erfahren Sie in einem eigenen Beitrag zu IFRAMES.

Vermeiden Sie sogenannte Disclaimer, die meist im Impressum angebracht werden. En Disclaimer ist ein erklärter Haftungsausschluss, der aber oft unwirksam ist. Schließlich regelt das Gesetz bereits, wo die Haftungsgrenzen liegen. Diese Haftungsgrenzen lassen sich nicht einfach durch eine Erklärung zu Ihren Gunsten verschieben.

Mehr zu schädlichen Disclaimern:

Haftung für Cookie Banner

Sogenannte Cookie Banner werden auch als Cookie Popups oder Consent Tools bezeichnet. Cookie Banner sollen eine Einwilligungs vom Besucher Ihrer Webseite abfragen, bevor kritische Daten verarbeitet werden. Kritische Daten sind in diesem Sinne alle Datenerhebungen, die einer Einwilligung bedürfen. Oft wird nur von Cookies gesprochen, was falsch ist. Auch einwilligungspflichtig sind beispielsweise externe Google Fonts oder YouTube Videos ohne Cookies. Die Gründe hierfür sind in Kürze:

Sie sehen, es geht nicht nur um Cookies. Wenn Ihre Agentur das nicht weiß, sollten Sie sich eine Zusatzberatung oder eine andere Agentur suchen. Das berechtigte Interesse für kritische Datenverarbeitungen gemäß Art. 6 Abs. 1 f DSGVO wird gerne als Notnagel und Ausrede für eine Rechtfertigung angeführt. gehen Sie davon aus, dass dies oft nicht gültig ist. lassen Sie sich im Zweifel schriftlich und verbindlich, am besten mit Haftungszusage, eine derartige Aussage bestätigen und sehen Sie selbst, was davon übrig bleibt.

Vermeiden Sie Cookie Banner, wenn immer es geht. Die meisten Webseiten benötigen keine Cookie Banner, weil sie auf einwilligungspflichtige Tools verzichten können.

Anscheinend ein Geheimnis, welches nicht so viele zu kennen scheinen

Eine Haftungsfrage aufgrund einer Einwilligungsabfrage kann u.a. aus folgenden rechtlichen Verpflichtungen entstehen:

  • Sie müssen die Zwecke der Datenverarbeitung konkret benennen. Dies bedeutet insbesondere:
    • Nennung der Zwecke eingesetzter Dienste (ein Dienst ist ein Tool, beispielsweise Google Analytics). Rechtsgrundlage: Art. 13 Abs. 1 c DSGVO
    • Nennung der Zwecke verwendeter Cookies, und zwar auch für Cookies, die von Diensten Dritter, welche Sie auf Ihrer Webseite einsetzen, genutzt werden. Rechtsgrundlage: Art. 13 Abs. 1 c DSGVO
  • Sie müssen weitere Angaben zur Datenverarbeitung machen, u.a.
  • Dort, wo die Einwilligung abgefragt wird, muss ein Hinweis auf das Widerrufsrecht genannt werden (Art. 7 Abs. 3 DSGVO)
  • Der Widerruf muss so einfach wie die Einwilligung ausführbar sein (Art. 7 Abs. 3 DSGVO)
  • Die Einwilligung muss freiwillig erfolgen, d.h., die Ablehnung muss möglich sein, ohne Nachteile zu erleiden. Ist für die Einwilligung nur ein Klick erforderlich, für die Ablehnung hingegen zwei Klicks, widerspricht das dem Prinzip der Freiwilligkeit. Das LG Rostock hat dies bereits geurteilt (Urteil vom 15.09.2020 – 3 O 762/19).

Sie sehen, bei Cookie Bannern kann man mehr falsch als richtig machen. Den meisten Webseiten gelingt es nicht, die Regeln auch nur annähernd einzuhalten.

Hat Ihre Agentur Ihnen ein Cookie Banner auf’s Auge gedrückt und Sie nicht ausreichend über die Risiken informiert, haftet die Agentur nach meiner Ansicht mit. Haben Sie selbst das Cookie Banner beauftragt oder wurden über die Risiken ausreichend aufgeklärt, dann haften Sie eher alleine. Hierbei spielt es meiner Ansicht nach keine Rolle, was im Vertrag steht.

Checkliste: Testen Sie Ihre Internet-Agentur

  1. Führen Sie einen Webseiten-Check aus
  2. Bitten Sie Ihre Agentur, Ihnen eine Aufstellung aller Tools zu geben, die auf Ihrer Webseite installiert sind.
  3. Gleichen Sie diese Liste mit dem Ergebnis aus dem obigen Webseiten-Check ab (der Webseiten-Check prüft nur einen Teil Ihrer Webseite, ist also u.U. unvollständig. Was dort genannt ist, sollte mindestens auch von Ihrer Agentur an Sie kommuniziert worden sein)
  4. Fragen Sie Ihre Agentur, welche externe Schriften, Hilfsdateien (CSS, JavaScript, Bilder) eingebunden werden und warum keine lokalen Dateien verwendet werden
  5. Fragen Sie Ihre Agentur, welche Tools ohne Einwilligung geladen werden und wer dafür haftet
  6. Fragen Sie Ihre Agentur, welche Datenerhebungen durch die eingesetzten Tools stattfinden
  7. Entfernen Sie alle Tools, deren Nutzen Sie nicht verstehen
  8. Haben Sie ein Cookie Popup, dann prüfen Sie dieses mit der Checkliste für Einwilligungsabfragen auf Rechtssicherheit
  9. Entfernen Sie das Cookie Popup, wenn Sie auf alle einwilligungspflichtigen Dienste verzichten können. Zu 90% sollte dies auch für Ihre Webseite möglich sein
  10. Nach Anpassung Ihrer Webseite: Führen Sie erneut einen Webseiten-Check aus
  11. Falls weiter Probleme existieren, fragen Sie Ihre Agentur erneut und bitten Sie erneut um Anpassung. Zurück zum vorigen Schritt
  12. Meint Ihre Agentur, ein Datenschutzproblem sein kein Problem: Lassen Sie sich von Ihrer Agentur eine Haftungsübernahme unterschreiben und/oder fragen Sie Ihren DSB oder mich nach einer Einschätzung und Nennung von Rechtsgrundlagen, die Sie Ihrer Agentur vorlegen können.

Netzwerkadressen sind personenbezogene Daten. Bei jedem Abruf eines Tools, wie etwa dem Google Tag Manager, werden personenbezogene Daten von Webseitenbesuchern an Dritte übertragen!

Ein Fakt, der Vielen unbekannt zu sien scheint.

Vor allem Punkt 12 ist wichtig. Oft streiten Agenturen ab, dass Datenschutzprobleme vorliegen oder sagen, es sei ja alles nicht so schlimm. Das ist auch richtig, wenn man nicht selbst für eine Webseite haftet. Haften Sie als Verantwortlicher? Ja, das tun sie. Erklären Sie es mal der Aufsichtsbehörde oder der Privatperson, die Sie abmahnt, dass alles nicht so schlimm sei und dass Ihre Agentur das auch meint.

Beispiele für Tools, für die eine Einwilligung erforderlich ist (jeweils mit Angabe einer Alternative, die datenschutzfreundlich ist):

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Artikel 25 DSGVO-Gesetz: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen