Schriftzug LFD Niedersachsen Niedersachsen klar Logo

Informationen für Betreiber von Webseiten zur Anpassung an die DS-GVO

Ab dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DS-GVO) in allen Mitgliedstaaten der Europäischen Union und somit auch in Deutschland als unmittelbar geltendes Recht anzuwenden. Die Umsetzung dieser Vorschriften erfordert auch einige Anpassungen an Webseiten. Seit dem 1.12.2022 müssen Betreiber von Webseiten und Apps zusätzlich das neue Telekommunikations-Telemedien-Gesetz (TTDSG) beachten. In den §§ 19 bis 26 TTDSG sind spezifische Datenschutzvorschriften enthalten, die der Datenschutz-Grundverordnung grundsätzlich vorgehen. Ausführliche Informationen zum TTDSG finden Sie in unserem FAQ.

Anwendbarkeit des Telekommunikations-Telemedien-Gesetzes und der Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung ist gemäß Art. 2 Abs. 1 DS-GVO anzuwenden, wenn personenbezogene Daten verarbeitet werden. Grundsätzlich genießt diese europäische Verordnung einen Anwendungsvorrang vor nationalen Datenschutzgesetzen. Es sei denn es gibt spezifischer Vorschriften, die sich auf eine sogenannte Öffnungsklausel der Datenschutz-Grundverordnung stützen lassen. Dies bedeutet, dass der europäische Gesetzgeber den Mitgliedstaaten Regelungsbereiche oder Ausgestaltungsmöglichkeiten vorgegeben hat, in deren Rahmen nationale Vorschriften die Datenschutz-Grundverordnung ergänzen. Gibt es solche spezifischen nationalen Vorschriften in Deutschland, sind sie zu beachten.

Für Webseiten und Apps finden sich solche spezifischen Datenschutzvorschriften in den §§ 19 bis 26 TTDSG. Diese gelten für Anbieter von Telemedien. Gemäß § 1 Abs. 1 Telemediengesetz (TMG) sind Telemedien alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nummer 61 des Telekommunikationsgesetzes, telekommunikationsgestützte Dienste nach § 3 Nummer 63 des Telekommunikationsgesetzes oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind. Grundsätzlich stellt jede Webseite einen Telemediendienst dar. Der Gesetzgeber hat in der Begründung der Definition der Telemediendienste 2007 zudem die folgenden Beispiele aufgeführt:

  • Online-Angebote von Waren/Dienstleistungen mit unmittelbarer Bestellmöglichkeit (z.B. Angebot von Verkehrs-, Wetter-, Umwelt- oder Börsendaten, Newsgroups, Chatrooms, elektronische Presse, Fernseh-/Radiotext, Teleshopping)
  • Video auf Abruf, soweit es sich nicht nach Form und Inhalt um einen Fernsehdienst handelt,
  • Online-Dienste, die Instrumente zur Datensuche, zum Zugang zu Daten oder zur Datenabfrage bereitstellen (z.B. Internet-Suchmaschinen) sowie
  • die kommerzielle Verbreitung von Informationen über Waren-/Dienstleistungsangebote mit elektronischer Post (z.B. Werbe-Mails).

Die Vorschriften des Telekommunikations-Telemedien-Datenschutzgesetz gelten für alle Anbieter einschließlich der öffentlichen Stellen unabhängig davon, ob für die Nutzung ein Entgelt erhoben wird. Soweit Sie bei den folgenden Ausführungen relevant sind, werden die Regelungen des Telekommunikations-Telemedien-Datenschutzgesetz ergänzend dargestellt.

Da bereits die IP-Adresse als personenbeziehbares Datum anzusehen ist, ist der Anwendungsbereich der Datenschutz-Grundverordnung in Bezug auf Webseiten grundsätzlich immer gegeben.

Eine Ausnahme ist gemäß Art. 2 Abs. 2 Buchstabe c) DS-GVO vorgesehen, wenn natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten eine Webseite betreiben. Dies setzt voraus, dass die Webseite nur einem begrenzten und ausschließlich privaten und familiären Personenkreis zugänglich ist und jeder Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit fehlt. Die Ausnahmevorschrift greift nicht, wenn sich die Webseite an einen unbestimmten Personenkreis richtet und grundsätzlich für jeden Internetnutzer abrufbar ist. Dies ist bereits anzunehmen, wenn die Webseite über Suchmaschinen auffindbar ist.

Betreiber von Webseiten, die einer wirtschaftlichen oder geschäftlichen Tätigkeit dienen, müssen die Anforderungen der Datenschutz-Grundverordnung beachten. Dies gilt unabhängig davon, ob es sich um eine gewerbliche oder eine selbständige Tätigkeit handelt oder eine Gewinnerzielung vorliegt.

Rechtmäßigkeit der Verarbeitung

Die Rechtsmäßigkeit der Verarbeitung von personenbezogenen Daten bei der Nutzung von Webseiten ist nicht Gegenstand dieses Informationsblattes, sondern ist von dem Verantwortlichen vorab zu prüfen. Im Telekommunikations-Telemedien-Datenschutzgesetz sind keine spezifischen Rechtsgrundlagen für die Verarbeitung von Bestands- und Nutzungsdaten, die typischerweise beim Betrieb von Webseiten anfallen, geregelt. Die Bewertung der Rechtsmäßigkeit der Verarbeitung richtet sich demnach ausschließlich nach der Datenschutz-Grundverordnung.


Informationspflichten der Datenschutz-Grundverordnung

Die Informationspflichten der Datenschutz-Grundverordnung und des Telekommunikations-Telemedien-Datenschutzgesetzes werden in der Regel durch eine Datenschutzerklärung auf der Webseite umgesetzt.

Im Telekommunikations-Telemedien-Datenschutzgesetz ist in § 19 Abs. 2 Satz 2 TTDSG eine spezifische Informationspflicht für Betreiber von Webseiten vorgesehen. Gemäß § 19 Abs. 2 Satz 1 TTDSG haben Anbieter von Telemedien die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Über die Möglichkeit der anonymen oder pseudonymen Nutzung der Webseite ist der Nutzer zu Beginn des Nutzungsvorgangs zu informieren.

Weitere Pflichtinformationen, die der Betreiber einer Webseite den Nutzern geben muss, ergeben sich aus Art. 13 DS-GVO:

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, zum Beispiel Art. 6 Abs. 1 Buchstabe b) DS-GVO oder die Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a) DS-GVO;
  4. wenn die Verarbeitung auf Artikel 6 Abs. 1 Buchstabe f) DS-GVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, zum Beispiel das berechtige Interesse an der Abwehr von Angriffen auf die Webseite, die zur Überlastung des Servers führen
  5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, zum Beispiel die konkret zu benennenden Betreiber von anderen Webseiten, deren Inhalte auf der eigene Webseite eingebunden werden, bei zugangsbeschränkten Internetportalen alle Nutzer des Portals oder bei allgemein im Internet veröffentlichten Daten alle Internetnutzer;
  6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Land außerhalb der Europäischen Union zu übermitteln, und ob in diesen Fällen mit den jeweiligen Ländern entsprechende Datenschutzabkommen bestehen, mit denen ein ähnliches Schutzniveau wie innerhalb der EU gewährleistet werden soll, z.B. Privacy Shield Abkommen mit den USA,
  7. ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission, insbesondere bei einer Übermittlung von Daten in die USA, oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Abs. 1 UnterAbs. 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
  8. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  9. die Informationen über die Betroffenenrechte auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und Datenübertragbarkeit;
  10. wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts auf jederzeitigen Widerruf der Einwilligung und den Hinweis, dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung unberührt bleibt;
  11. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  12. ist die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich, besteht die Pflicht der betroffenen Person, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen hätte die Nichtbereitstellung und
  13. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Absätze 1 und 4 DS-GVO und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Die Informationen müssen der konkreten Ausgestaltung der Webseite entsprechen.

Es ist insbesondere darüber zu informieren,

  • ob eigene oder Cookies von Drittanbietern gesetzt werden,
  • Inhalte von anderen Webseiten unmittelbar eingebunden sind, zum Beispiel Schriften, Wetterinformationen, Videos,
  • Social Plugs-In in die Webseite eingebunden sind, zum Beispiel von Twitter, Facebook, Youtube, Instagram,
  • die Webseite Möglichkeiten vorsieht, durch die der Nutzer direkt personenbezogene Daten auf der Webseite eingibt und diese übermittelt, zum Beispiel Login-Verfahren, Kontaktformulare, Bestellformulare.

Im Zusammenhang mit dem Einsatz von Cookies, der Einbindung von Inhalten von anderen Webseiten sowie von Social Plug-Ins ist immer auch § 25 TTDSG zu berücksichtigen. Ausführliche Informationen hierzu finden sich in der Orientierungshilfe der Datenschutzkonferenz (DSK) für „Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ (OH Telemedien 2021),

Art. 12 Abs. 1 DS-GVO schreibt vor, dass alle Informationen

  • in präziser, transparenter, verständlicher und leicht zugänglicher Form
  • in einer klaren und einfachen Sprache abzufassen sind.

Die Datenschutzerklärung auf der Webseite muss einfach aufzufinden und durch die Bezeichnung klar als solche erkennbar sein. Sie sollte auf einer Webseite dargestellt werden, ohne übermäßiges Scrollen des Bildschirms zu erfordern. Die Sprache ist dem Adressatenkreis anzupassen, insbesondere wenn sich eine Webseite an Kinder und Jugendliche richtet. Richtet sich die Webseite auch an ausländische Nutzer, ist die Datenschutzerklärung entsprechend auch in weiteren Sprachen zur Verfügung zu stellen.

Sofern Nutzer der Webseiten auf eine andere Webseite weitergeleitet werden, zum Beispiel durch die Einbindung eines Links einer anderen Webseite, ist diese Weitervermittlung zu einem anderen Anbieter von Telemedien dem Nutzer gemäß § 19 Abs. 3 TTDSG anzuzeigen.


Technische und organisatorische Maßnahmen

Art. 25 Abs. 1 DS-GVO verpflichtet den verantwortlichen Anbieter einer Webseite, geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Anforderungen der Datenschutz-Grundverordnung zu treffen. Eine für Webseiten spezifische Regelung für Telemedien findet sich in § 19 TTDSG. Danach ist jeder Betreiber einer Webseite verpflichtet, sicherzustellen, dass

  • der Nutzer von Telemedien die Nutzung des Dienstes jederzeit beenden kann und
  • Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch genommen werden können.

Anbieter von geschäftsmäßig angebotene Telemedien müssen zusätzlich sicherstellen, dass

  • kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
  • diese gegen Störungen gesichert sind, auch soweit sie durch äußere Angriffe bedingt sind.

Alle technischen Maßnahmen müssen dem Stand der Technik entsprechen.

Sieht die Webseite die Möglichkeit vor, dass Nutzer personenbezogene Daten auf der Webseite eingeben können, dürfen diese nur verschlüsselt an den Verantwortlichen übermittelt werden. Demnach ist es wie schon bisher gemäß § 19 Abs. 4 Satz 3 TTDSG erforderlich, dass das https-Protokoll mit einer dem Stand der Technik entsprechenden sicheren Verschlüsselung zur Übermittlung der Daten eingesetzt wird.

Art. 25 Abs. 2 DS-GVO verpflichtet den verantwortlichen Anbieter einer Webseite zudem Voreinstellungen auf der Webseite so zu wählen, dass nur für die Nutzung der Webseite erforderliche personenbezogene Daten verarbeitet werden. Einstellungsoptionen finden sich zum Beispiel auf einer anmeldepflichtigen Webseite, auf der angemeldete Nutzer personenbezogene Inhalte einstellen können, hinsichtlich der Sichtbarkeit der Inhalte. Differenziert wird häufig zwischen sichtbar für „ausgewählte angemeldete Nutzer der Webseite“, „alle auf der Webseite angemeldete Nutzer“ oder „im gesamten Internet“. Die Voreinstellung muss dann auf „ausgewählte angemeldete Nutzer der Webseite“ gesetzt sein. Eine weitere Auswahloption ist häufig die Auffindbarkeit der nutzergenerierten Inhalte für Suchmaschinen. Diese ist in der Voreinstellung inaktiv zu schalten.

Anforderungen aus anderen Gesetzen

Häufig müssen bei der Gestaltung einer Webseite zusätzlich zu diesen Verpflichtungen aus der Datenschutz-Grundverordnung und dem Telekommunikations-Telemedien-Datenschutzgesetz Anforderungen aus weiteren Gesetzen beachtet werden.

Dies sind zum Beispiel:

  • Impressumspflicht gemäß § 5 Telemediengesetz (TMG)
  • Informationspflichten bei kommerzieller Kommunikation gemäß § 6 TMG
  • Informationspflichten gemäß § 27 a Umsatzsteuergesetz und § 139 c Abgabenordnung
  • Berufsrechtliche Regelungen für freie Berufe, zum Beispiel Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Ärzte, Zahnärzte, Architekten, beratende Ingenieure: Bundesrechtsanwaltsordnung (BRAO) Berufsordnung (BORA) Fachanwaltsordnung (FAO) Rechtsanwaltsvergütungsgesetz (RVG) Berufsregeln der Rechtsanwälte der Europäischen Union (CCBE), Musterberufsordnung für Ärzte.

Stand: 15.2.2022


PDF-Download (nicht vollständig barrierefrei) dieses Informationsblattes.

zum Seitenanfang
zur mobilen Ansicht wechseln