gekennzeichnet.
Jede Webseite muss eine Datenschutzerklärung vorweisen. Diese sollte von jeder Seite aus zugänglich sein, mindestens aber nach spätestens zwei Klicks. Zahlreiche Webseiten halten diese Vorgabe nicht ein.
Einleitung
Als Webseite gilt im Zusammenhang mit diesem Beitrag jede Webseite, die einen Zweck verfolgt. Man könnte auch Angebot statt Zweck sagen. Der Zweckbegriff stammt aus der DSGVO, der des Angebots aus dem TMG (und in Teilen auch aus der DSGVO). Die Webseite muss öffentlich zugänglich sein, ist also nicht mit einem Passwort geschützt.
Das Impressum soll mit maximal zwei Klicks erreichbar sein, sagt der BGH im Urteil vom 20.07.2006 – I ZR 228/03. Zur Datenschutzerklärung sind mir keine Urteile bekannt, die dies ebenso aussagen. Allerdings denke ich, dass die Datenschutzerklärung für Privatpersonen faktisch noch wichtiger ist, weil dort u. a. die Betroffenenrechte und auch die Verantwortliche Stelle zu nennen sind. Insofern behaupte ich, dass auch die Datenschutzerklärung mit maximal zwei Klicks und am besten von jeder Seite einer Webseite aus erreichbar sein muss bzw. zumindest sein sollte. Nur dann gilt sie jedenfalls rechtssicher als verfügbar und erreichbar.
Das OLG Hamburg hat im Urteil vom 27.06.2013 – 3 U 26/12 klargestellt, dass die Datenschutzrichtlinie gemäß § 13 TMG a.F. zu Beginn des Besuchs auf einer Webseite zugänglich zu machen ist. Das spricht für die Annahme, dass max. zwei Klicks zumutbar sind. Allerdings ist das Urteil aus dem Jahr 2013, bevor die DSGVO in Kraft trat. Laut Beschluss des OLG Hamburg (10.12.2019 – 15 U 90/19) gilt die DSGVO vor § 13 Abs. 1 TMG a.F. Auch das OLG Stuttgart hat dies bestätigt (27.02.2020 – 2 U 257/19).
Artikel 13 DSGVO thematisiert auch die Informationspflichten. Auch dort wird eine schnelle Aufklärung gefordert, indem als Zeitpunkt hierfür der "Zeitpunkt der Erhebung" der personenbezogenen Daten genannt ist, was dem Einstieg in eine Webseite gleicht (weil IP-Adressen personenbezogene Daten sind). Dies betrifft jede öffentlich zugängliche Webseite, egal ob leer oder bestehend aus einer Seite oder bestehend aus 1000 Unterseiten, egal ob privat oder kommerziell.
Jede öffentlich zugängliche Webseite muss eine Datenschutzerklärung vorhalten.
Jede Webseite = Jede Webseite.
Ich hatte gelegentlich Diskussionen mit Personen, die eine minimalistische private, aber öffentlich zugängliche, Webseite betreiben und der Meinung sind, ihre Webseite benötige keine Datenschutzerklärung. Das ist m. E. grober Unsinn. Beispielsweise sieht es der Betreiber von LucaTrack so, der eine Sicherheitslücke in der Luca App gefunden hat. Auf meinen Hinweis hin hat er das Impressum ergänzt, sich aber geweigert, eine Datenschutzerklärung vorzuhalten.
Hier noch mal die Argumentation:
- IP-Adressen sind personenbezogene Daten (EuGH-Urteil vom 19.10.2016 – C-582/14, BGH-Urteil vom 16.05.2017 – VI ZR 135/13)
- Beim Aufruf einer beliebigen Webseiten wird zwangsweise die IP-Adresse des Besuchers an den Betreiber der Webseite übertragen. Vgl. das Internet Protokoll, ein Beweis im Browser durch Inaugenscheinnahme des Netzwerkverkehrs über die Entwicklerkonsole ist ebenfalls möglich
- Webseiten unterliegen einem Zweck (falls nicht, liegt keine Webseite im Sinne dieses Beitrags vor)
- Der Betreiber einer Webseite bestimmt die Mittel. Bei Webseiten ist dies das Internet bzw. das Konstrukt der Webseite
- Somit liegt eine Verantwortlichkeit für die Verarbeitung personenbezogener Daten beim Betreiber der Webseite vor (da in den o.g. Fällen keine Datenschutzerklärung vorhanden ist, gibt es auch keine Nennung eines Verantwortlichen, der dann erst einmal gleich dem Betreiber der Webseite ist). Vgl. Art. 4 Nr. 7 DSGVO
- Die Verarbeitung von Daten wiederum ist in Art. 4 Nr. 2 DSGVO definiert, die beim Erhalt einer IP-Adresse vorliegt. Die Datenerhebung als erste Datenverarbeitungsform liegt bei Webseiten vor.
- Somit muss eine Datenschutzerklärung gemäß Art. 13 DSGVO vorgehalten werden.
- Es spielt keine Rolle, welche Inhalte die Webseite hat
- Es spielt keine Rolle, ob die Webseite ein Kontaktformular enthält oder nicht
- Es spielt keine Rolle, ob die Webseite Dateien von Dritten abruft oder nicht
Erreichbarkeit der Datenschutzerklärung
Damit die Datenschutzerklärung zu Beginn des Besuchs einer Webseite erreichbar ist, sollte sie auf jeder Unterseite einer Homepage vorhanden sein. Hieran scheitern bereits viele Webseiten. Die Betreiber glauben es meistens nicht, wenn ich so etwas behaupte.
Hier ist meine Begründung, warum viele Webseiten nicht auf jeder Unterseite eine Datenschutzerklärung vorweisen.
Anmeldeseiten
Viele Webseiten nutzen Content Management Systeme (CMS) wie WordPress, Typo3, , Joomla oder Drupal. Nahezu jedes CMS bietet die Möglichkeit für Administratoren und Redakteure, sich am System mit einem Passwort anzumelden. Hierfür wird eine Login-Seite bereitgestellt. Die Login-Seite ist meist etwas versteckt bzw. soll eigentlich nur von berechtigten Nutzern aufgerufen werden.
Allerdings folgen die Adressen der Link-Seiten Konventionen. So gibt es beispielsweise folgende Namenskonventionen für die Login-Seiten verschiedener Webseiten-Systeme:
- WordPress: /wp-admin/
- Typo3: /typo3/
- Joomla: /administrator/
- Drupal: /user/login/
Je nach Version des CMS kann die Konvention anders sein. Für manche Systeme, wie etwa für Magento, kann die Adresse individuell angepasst werden.
Für WordPress ist die Anmeldeseite für die Webseite www.zyxdfg.de also unter www.zyxdfg.de/wp-admin/ erreichbar.
Auf dieser Anmeldeseite sollte (selbstverständlich, sage ich) auch eine Datenschutzerklärung verlinkt sein. Dies ist oft nicht der Fall, wie man feststellen kann. Sehr viele Webseiten nutzen WordPress oder Typo3, was die Anzahl der Kandidaten in die Höhe treibt.
Hier sehen Sie eine typische Typo3-Anmeldeseite, die auf vielen Webseiten, die mit Typo3 erstellt wurden, zu finden ist:
Wie zu sehen ist, fehlt der Link auf die Datenschutzerklärung. Auch der Link zum Impressum fehlt. Ob letzterer notwendig ist, ist ein anderes Thema. Alleine aus wettbewerbsrechtlichen Erwägungen würde ich dazu raten, ein Impressum auch auf Spezialseiten wie den oben genannten vorzuhalten.
Diese Anmeldeseiten habe ich übrigens auch in meinem Betrag thematisiert, der beschreibt, wie man Cookies auf Webseiten finden kann.
Bei WordPress-Webseiten sieht die Anmeldeseite oft wie folgt aus:
Auch hier fehlen die Links zu den Datenschutzhinweisen und zum Impressum.
Im WordPress-Dashboard kann der Link auf die Datenschutzhinweise wie folgt zur Anmeldeseite hinzugefügt werden:
- Menü Einstellungen
- Menüpunkt Datenschutz
- Seite für die Datenschutzerklärung auswählen
- Klick auf "Diese Seite benutzen"
Sonstige Spezialseiten
Neben Login-Seiten gibt es oft weitere Sonderseiten. Beispielsweise haben viele Webseiten eine sogenannte 404-Seite, die erscheint, wenn eine Seite nicht gefunden wurde. Wenn die 404-Seite aus einem harten Server-Fehler besteht, muss m.E. keine Verlinkung angegeben werden. Besteht die 404-Seite allerdings aus eigenem Inhalt, sollten die Verlinkungen da sein.
Eine Seite wie die folgende sollte meiner Meinung nach ebenfalls einen Link auf die Datenschutzerlärung enthalten:
Sicher wird niemand widersprechen, wenn ich behaupte, dass ein Link auf eine Datenschutzerklärung auf solchen Seiten die Rechtssicherheit erhöht.
Manche Webseiten enthalten charakteristich anders gestaltete Seiten als es beim Kerninhalt der Webseite der Fall ist. Beispielsweise 3d-Planer von Küchenstudios, Produktseiten, Bildergalerien etc. Auch hier gilt das Gesagte zur Datenschutzrichtlinie.
Bei hinreichend großen Webseiten hilft m.E. nur ein automatisierter Scan der Webseite, um fehlende Verlinkungen praktikabel erkennen zu können. Die Software, die meinem Online Webseiten Check zugrunde liegt, kann das.
Viele Anmeldeseiten enthalten keine Datenschutzerklärung
Meine Beobachtung
Responsive Ansichten
Responsiv heißt, dass eine Webseite für die Darstellung auf allen möglichen gängigen Endgeräten optimiert ist. Auf einem Smartphone wird häufig statt eines voll sichtbaren Menüs eines zum Ausklappen verwendet, welches aufgrund der drei horizontalen Striche auch als Hamburger-Menü bezeichnet wid.
Hier sehen Sie die Ansicht meiner Webseite für kleinere Bildschirme:
Ist die Datenschutzerklärung nur über das Hamburger-Menü erreichbar, sind zum Aufrufen dieser zwei Klicks erforderlich. Kommt der Nutzer von einer Spezialseite ohne diesen Link, muss er bereits dreimal klicken. Das wäre nach gängiger Rechtsprechung wohl unzumutbar. Somit gälte die Datenschutzerklärung als nicht verfügbar.
Responsive Webseiten verlängern oft den Weg zum Aufruf der Datenschutzerklärung
Tatsache aufgrund des Hamburger-Menüs und fehlender doppelter verlinkung
Auf meiner Webseite sind nur zur Sicherheit die Verlinkungen auf die Datenschutzerklärung und das Impressum auch in der Fußzeile vorhanden, die auf allen Endgeräten direkt und ohne weitere Klicks sichtbar ist.
In einem eigenen Artikel habe ich mehr zu responsivem Design und zur Erreichbarkeit der Datenschutzerklärung aufgeschrieben (dieser Artikel hier ist neuer, der verlinkte ein wenig älter).
Cookie Popups
Wenn Sie sich Ärger ins Haus holen möchten, verwenden Sie Consent Tools. Lesen Sie meine Beiträge, um zu verstehen, dass dies ein Faktum ist, keine Annahme oder Behauptung.
Viele Consent Tools sorgen dafür, dass die Datenschutzerklärung erst einsehbar ist, nachdem das Consent Tool weggeklickt wurde. Das ist hochproblematisch und meines Erachtens oft nicht erlaubt. Hier kommt es auf die Betrachtung des Einzelfalls an.
Wenn auf einem Smartphone der ganze Bildschirm mit einem Cookie Popup ausgefüllt ist, während die Seite mit der Datenschutzerklärung offen ist, kann letztere nicht gelesen werden.
Fazit
Jede Seite einer Webseite sollten einen Link auf die Datenschutzerklärung enthalten. Jede Seite! Dies gilt für jede Webseite, die öffentlich zugänglich ist. Für jede Webseite!
Auch Spezialseiten sollten diese Vorgabe erfüllen. Ich gebe zu bedenken, dass auch Spezialseiten über Suchmaschinen oder über das Internet Archiv indiziert sein können. Man kann also nicht einfach unterstellen, dass jemand eine Anmeldeseite durch manuelle Adresseingabe aufgerufen hat.
Ein Test der Erreichbarkeit der Datenschutzerklärung sollte einen Aufruf der Webseite auf verschiedenen Endgeräten beinhalten. Die Datenschutzerklärung sollte insgesamt mit maximal zwei Klicks von jeder beliebigen Seite aus aufrufbar sein.
Ich empfehle doppelte Verlinkungen, um Probleme mit responsiven Webseiten zu vermeiden. Das heißt nicht, dass jede Webseite dies so anbieten muss. Wer weiß, was er tut, kommt sicher auch ohne doppelte Links aus.
Kernaussagen dieses Beitrags
Jedes öffentlich zugängliche Website, egal wie klein oder groß, muss eine leicht auffindbare Datenschutzerklärung haben.
Webseitenbetreiber müssen eine Datenschutzerklärung bereitstellen, da IP-Adressen personenbezogene Daten sind und beim Besuch einer Webseite erfasst werden.
Auf Webseiten sollten Links zu Datenschutzbestimmungen immer leicht zugänglich sein, idealerweise direkt auf jeder Seite sichtbar.
Auf jeder Webseite sollte ein Link zur Datenschutzerklärung leicht zugänglich sein, am besten mit maximal zwei Klicks von jeder Seite aus.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die 
Hallo Herr Meffert,
das ist ein Beispiel, wie undurchdacht Gesetzte sind, gerade wenn diese mit IT zu tun haben. Mal wieder existiert kein Praxisbezug und entsprechenden Einschränkungen der technologischen Machbarkeit.
Datenschutzrichtlinie auf einer Login-Seite einer Applikation bedingt, dass dieses durch den Entwickler überhaupt vorgesehen ist.
In der 401, 404, etc. keinen Datenschutzerklärung? Was ist dann aber mit Ressourcen wie CSS-Dateien und Images. Technisch kein Link möglich? Interessiert das Gesetz doch nicht! Umsetzen!
Spinnen wir das weiter, kommen wir z.B. auch zu RestFul-Services.Diese sind durch die Verwendung von HTTP einer Web-Seite sogar noch relativ ähnlich. Also Datenschutzerklärung in jede JSON-Antwort einbauen.
Weiter geht es mit dem ssh-login auf dem Server. Wie etwa keine Datenschutzerklärung, wenn jemand versucht sich einzuloggen. Oben bei der HML-Anwendung muss man es doch auch haben. Das Gesetz macht doch keine Einschränkung auf HTTP, wieso sollte das bei ssh jetzt anders sein, ist doch auch öffentlich zugänglich und die IP wird übertragen. Das lässt sich natürlich auf alle Dienste wie z.B. FTP,SMB, SAMBA , etc. übertragen.
Hier fehlt der klare Ausschluss von öffentlich erreichbaren Diensten, welche nicht für die Benutzung der Öffentlichkeit vorgesehen sind.
Viele Grüße
Torsten
Vielen Dank für Ihre Rückmeldung.
Ganz so kritisch sehe ich es nicht.
Ein Impressum (oder eine Datenschutzerklärung) würde ich nur auf Seiten erwarten, die auch ordentlich und auf "normalem" Wege, etwa über eine Suchmaschine, zugänglich sind.
Eine CSS-Datei ruft ja kein normaler Mensch direkt auf. Wenn es eine technisch versierte Person tut, dann nicht in der Erwartung, Web-Inhalte (Texte etc.) angezeigt zu bekommen und auch nicht, in der Erwartung, ein Impressum vorzufinden.
Letzendlich muss der gesunde Menschenverstand als Maßstab angesetzt werden, denn dem folgen in der Regeln auch Gerichte. Umso höher die Gerichtsinstanz, desto höher die Wahrscheinlichkeit, dass diese Aussage zutrifft
Der gesunde Menschenverstand sagt einem auch, dass man im Adminbereich einer Website wp-admin, als normaler Nutzer nichts zu suchen hat… Trotzdem wird das hier moniert. In meinen Augen wird hier mit Kanonen auf Spatzen geschossen. Klar am Ziel vorbei. Im Übrigen ist es ein Armutszeugnis, wenn der Gesetzgeber dem Nutzer nicht zutraut ein Menü aufzuklappen und dort auf Datenschutzerklärung zu klicken.
Zunächst ist nicht der Gesetzgeber derjenige, der Nutzern etwas nicht zutraut oder zutraut. Es ist die Rechtsprechung, die dies in diesem Fall festlegt.
Dann ist es so, dass WordPress eine einfache Möglichkeit anbietet, die Datenschutzhinweisseite anzugeben, so dass für diese von WordPress automatisch eine Verlinkung auf der wp-admin Seite eingebaut wird.
Warum macht WordPress das wohl? Anscheinend sehe nicht nur ich es so, dass dort für eine höchstmögliche Rechtssicherheit ein solcher Link sein sollte.
Weiterhin kann die wp-admin Seite auch aus Suchmaschinen heraus gefunden werden.
Zusätzlich wird diese Seite von allen Menschen aufgerufen, die einen Zugang zur Seite haben. Auch diese Menschen haben ein Recht auf Datenschutzhinweise, die ordentlich erreichbar sind, nämlich leicht auffindbar und mit max. 2 Klicks auf jedem Endgerät.
Im Übrigen ist es kritischer, wenn Webseiten Plugins ohne Rechtsgrundlage einbinden (etwa, weil die Einwilligung des Nutzers fehlt), als wenn Datenschutzhinweise fehlen. Es ist aber sehr einfach, diese Hinweise zu geben, wenn man keine wilden Dinge tut. Man kann sich darüber aufregen, dass Verlinkungen auf der gesamten Website zu geben sind; oder man verlinkt einfach alle Seiten (jedenfalls fast alle, es gibt nur wenige Ausnahmen, wo dies schwieriger ist).
Hallo Herr Meffert,
in Ihrem Artikel ist in der Zeile (ca. kurz vor Schluss des Dokuments) „In einem eigenen Artikel habe ich nehr zu responsivem Design…“ ist ein kleiner Typo, da sollte es wohl „mehr“ heißen.
Besten Gruss und wiedermal Danke für diesen sehr ausführlichen Artikel
hjr
Vielen Dank.
Der Typo ist korrigiert 🙂
Ich teile die Einschätzung nicht, dass jede Webseite eine Datenschutzerklärung vorweisen muss. Laut Art. 2 Abs. 1 der DSGVO: "Diese Verordnung gilt für […] personenbezogener Daten […], die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.". Wenn die IP also nur verarbeitet wird um die Webseite zu betreiben und keine Speicherung erfolgt findet die DSGVO auch keine Anwendung. Ob jetzt schon eine Logging Datei (z.B. zur Brute-Force-Protection) des Servers, welche gegebenen falls Nutzer IPs enthält, als Dateisystem im Sinne der DSGVO zählt ist dabei aber sicherlich eine interessante Frage.
Die DSGVO gilt auch dann, wenn eine teil- oder vollautomatisierte Verarbeitung stattfindet.
Verarbeitung beinhaltet bereits den potentiell gewollten Erhalt der IP-Adresse. Eine Speicherung ist nicht nötig, damit eine Verarbeitung vorliegt.
Ok, ja. Ich habe gerade noch einmal den Paragrafen gelesen. Der Nebensatz "die in einem Dateisystem…" bezieht sich nur auf die nicht automatisierte Verarbeitung und damit gilt die DSGVO bei automatischer Verarbeitung immer, unabhängig von der Speicherung. Danke für die Klärung!
Hallo,
der Einschätzung dass jede Website auch eine Datenschutzerklärung haben muss teile ich nicht. Betreibe auch privat eine Website, keine Werbung, keine externen Inhalte, kein Typo / WordPress / was auch immer – eigener Server natürlich und kein Logging von IP's, weder bitte um ich Geld noch gibt es irgendwo Affiliate Links.
Außer "Ich erhebe und verarbeite keine Daten" wäre die Erklärung ziemlich leer. Genauso dass angeblich überall ein Impressum notwendig wäre, nein ist es nicht.
Jede öffentlich zugängliche Website verarbeitet personenbezogene Daten nach DSGVO und zwar zu Zwecken, de nicht privat sind.
Rein private Webseiten fragen direkt bei Aufruf (serverseitig) nach einem Passwort oder sind so versteckt ist, dass sie nur durch Geheimwissen auffindbar sind.
Jede Website verarbeitet personenbezogene Daten, alleine schon wegen des Erhalts (=Verarbeitung!) der IP-Adresse.
Personenbezogene Daten: Siehe Art. 4 Nr. 1 DSGVO
Verarbeitung: Siehe Art. 4 Nr. 2 DSGVO
Datenschutzhinweis-Pflicht: Siehe Art. 12 DSGVO
Also entweder Website rein privat gestaltet = Passwortschutz oder sehr gut verstecken.
Oder Dateschutzhinweise angeben.
Die Dateschutzhinweise sollen ja auch gerade dann, wenn personenbezogenen Daten angeblich "kaum" verarbeiotet werden, darüber informieren, warum dies angeblich so ist. Machen Sie Ihre Behauptung in den Datenschutzhinweisen plausibel. Das ist einer der ZWecke der Datenschutzhinweise!