Webseiten

Praxisratgeber

Logo Datenschutz im Ehrenamt

Datenschutzhinweise sind unerlässlich

Die Vereinswebseite muss Datenschutzhinweise enthalten. Die Datenschutzhinweise dienen der Information der Webseitenbesucher über die Verarbeitung ihrer Daten. Diese Information muss in einer klaren und einfachen Sprache erfolgen. Die Datenschutzhinweise müssen präzise,  transparent, verständlich und leicht zugänglich sein. Weitere Informationen finden Sie hier.

Über eine Webseite werden einerseits häufig unmittelbar personenbezogene Daten verarbeitet, z.B. durch die Veröffentlichung von Kontaktdaten oder Fotos. Andererseits werden bei dem Besuch einer Webseite viele Daten im Hintergrund erzeugt und erfasst, z.B. Datum und Uhrzeit des Besuchs der Webseite. Diese so genannten Metadaten werden beim Anbieter der Webseite (Provider) gespeichert und sind für den Verein einsehbar.

Hinweis
„Metadaten“: Nicht unmittelbare erkennbare Daten und Informationen über den Besuch von Webseiten.

Welche Daten können verarbeitet werden?

Je nachdem welche Funktionen und Informationen eine Webseite bereithält, werden unterschiedlich viele persönliche Daten der Besucher verarbeitet. Selbst bei einer rein informativen Vereinsseite werden im Rahmen des Besuchs folgende Informationen jedes Besuchers abgefragt und in einem Protokoll beim Provider gespeichert:

  • IP-Adresse des Gerätes (PC, Laptop, Smartphone)
  • Verwendeter Browser (Name und Version)
  • Verwendetes Betriebssystem (z.B. Windows, Linux)
  • Datum und Uhrzeit des Besuchs
  • Verweildauer auf den einzelnen Seiten

Wo sollten Datenschutzhinweise platziert werden?

Die Datenschutzhinweise müssen für den Webseitenbesucher leicht zugänglich sein. Aus praktischen Überlegungen enthalten viele Webseiten den Link zu den Datenschutzhinweisen im unteren Teil der Webseite neben dem Impressum. Empfohlen wird die Bezeichnung „Datenschutzhinweise“. Bezeichnungen wie „Datenschutzrichtlinie“ oder „Datenschutzerklärung“ suggerieren, dass es sich bei den Texten um Erläuterungen oder vereinsinterne Regelungen handelt, nicht aber um die erforderliche Mitteilung zur Datenverarbeitung. Daher ist davon abzuraten. Die Datenschutzhinweise sollten zudem getrennt von dem Impressum platziert werden.

Die Webseiten-Besucher müssen mit den Datenschutzhinweisen weder einverstanden sein, noch müssen sie diese aktiv durch das Setzen eines Häkchens akzeptieren. Es reicht vielmehr, dass die Datenschutzhinweise an einer geeigneten Stelle auf der Webseite zu finden sind.

Cookie- oder Einwilligungsbanner

Sobald Webseiten die Besucherdaten detailliert analysieren oder kleine Dateien (Cookies) auf dem Gerät des Besuchers platzieren, benötigen diese ein sogenanntes Cookie-Banner. Eine solche Analyse oder Speicherung auf den Geräten darf nur erfolgen, wenn der Besucher dazu eine Einwilligung erteilt hat.

§ 25 Abs. 1 TTDSG (Telekommunikations-Telemedien-Datenschutz-Gesetz)

Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der DSGVO zu erfolgen.

Das Cookie-Banner beinhaltet einen Hinweis auf den Einsatz von Cookies, eine Verlinkung zu den Datenschutzhinweisen und eine Entscheidungsmöglichkeit für den Besucher. Die Besucher müssen aktiv die Wahl zwischen Akzeptieren und Ablehnen haben.

  • Ablehnung muss möglich sein
  • Hinweis/Link zu den Datenschutzhinweisen
  • Maximal zwei Klicks zum Abwählen der Cookies
  • Transparenzgebot - keine Irreführung durch farbliche Hervorhebungen oder Schriftgrößen
  • Nur „notwendige Cookies“ dürfen bereits aktiviert sein („Opt-In“ durch den Besucher)
  • Erneuter Aufruf der Einstellungen für Änderungen muss möglich sein

Wann ist ein Cookie-Banner erforderlich?

Ein Cookie-Banner ist erforderlich, wenn sogenannte Dritt-Partei-Cookies eingesetzt werden.

Beispiele:

  • Analysetools (Google Analytics, Matomo, Adobe Analytics)
  • Web-Fonts (Web-Schriftarten z.B. Google Web Fonts „Roboto“, „Open Sans“, „Lato“, „Oswald“)
  • Einbindung von Videos über Youtube oder Vimeo usw.
  • Einbindung von Karten-Diensten (z.B. Google Maps)
  • Einbindung von Kalenderdiensten

Einige Dienste unterstützen eine anonymisierte Verarbeitung. In diesen Fällen sind keine Einwilligungen durch die Nutzer erforderlich. Sind keine Dritt-Partei-Cookies auf der Webseite implementiert, ist auch kein Cookie-Banner erforderlich.

Verschlüsselung der Webseite

Um personenbezogene Daten bei der Übertragung von Webseiten zu schützen, bietet sich das Einrichten einer Transportverschlüsselung auf dem Server an. Erkennbar ist dies am https:// zu Beginn von Webadressen. Notwendig ist dies vor allem dann, wenn Websitebesucher im Rahmen von Kontaktformularen oder Login-Bereichen Daten an den Server übertragen. Aber auch beim reinen Abruf von Webseiten kann es bereits schutzwürdige Interessen geben. Da die Hürden zum Einrichten einer solchen Verschlüsselung seit einigen Jahren kaum noch existieren, gehört dies inzwischen zum Stand der Technik und sollte in jedem Fall eingerichtet werden. Bei einigen Webhostern werden die hierfür notwendigen Zertifikate automatisch installiert, vielfach muss dies aber manuell über das Kundenmenü aktiviert werden. Da solche Zertifikate über den gemeinnützigen Dienst Let’s Encrypt kostenlos erhältlich sind, bieten viele Webhoster diesen Service nun ebenfalls kostenlos für ihre Kunden an. Vereine sollten sich im Hilfe-Bereich Ihres Webhoster danach umsehen und gegebenenfalls beim Support nachfragen.

Veröffentlichung von Fotos

Vor der Veröffentlichung von Fotos ist sicherzustellen, dass eine entsprechende Rechtsgrundlage (berechtigtes Interesse, Einwilligung) vorliegt. Fotos von Veranstaltungen, in denen nicht die einzelnen Personen im Vordergrund der Fotografie stehen, können unter Umständen auch ohne Einwilligung veröffentlicht werden. Im Rahmen der Veröffentlichung von Bildern mit Kindern wird empfohlen, eine Einwilligung der Eltern einzuholen. Näheres zu dem Thema Foto finden Sie hier.

Nutzung von Social-Media Plugins

Einige Webseiten binden sogenannte Social-Media-Plugins ein. Besucher der Webseite können über einen Button einen Beitrag des Vereins direkt mit z.B. Facebook oder Twitter teilen. Diese Tools werden aus datenschutzrechtlicher Sicht kritisch beurteilt. Selbst ohne Nutzerzugang übermittelt dieses Tool häufig Daten aller Webseitenbesucher, sobald die Vereinswebseite aufgesucht wird. Eine datenschutzkonforme Verwendung ist nur möglich, wenn derartige Buttons zunächst deaktiviert auf der Webseite platziert sind und erst nach einer Freischaltung durch den Besucher unter Verwendung eines „Warnhinweises“ aktiviert werden. Auch in diesen Fällen muss zusätzlich ein Vertrag zur Auftragsverarbeitung mit dem Anbieter geschlossen werden.

  • Die automatisierte Datenübermittlung der Social-Media-Plugins muss grundsätzlich deaktiviert sein.
  • Ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) mit dem Anbieter ist erforderlich.
  • 2-Klick-Lösung (Einzeleinwilligung zum Datentransfer). Erst nach der ausdrücklichen Einwilligung darf der Dienst aktiviert werden.

Hinweis
„2-Klick-Lösung“: Nach einem Klick auf einen Social-Media-Button durch den Nutzer z.B. Like oder Teilen erscheint eine Einwilligungsabfrage. In der Abfrage muss der Nutzer auf den Datentransfer zum Anbieter und ggf. über einen Datentransfer in ein unsicheres Drittland inklusive möglicher Risiken hingewiesen werden. Erst nach erneuter Betätigung eines Buttons oder Setzen eines Häkchens wird das Plugin aktiviert.

Kontaktformulare

Bei der Erfassung von Daten in einem Kontaktformular sollte der Grundsatz der Datenminimierung beachtet werden. Es dürfen nur die Daten erfasst werden, die unbedingt erforderlich sind. Geht es lediglich darum, einen ersten Kontakt zum Verein herzustellen, reicht es in der Regel aus, über das Formular den Namen (optional) und eine E-Mail-Adresse des Besuchers zu erfassen. Mehr Daten sind nicht erforderlich. Wichtig ist, dass transparent über die Verarbeitung der entsprechenden Daten informiert werden.

In Kontaktformularen kann zur Sicherstellung der Transparenz eine Verlinkung zu den Datenschutzhinweisen erfolgen. Der Nutzer muss die Datenschutzhinweise aber weder bestätigen noch einer Verarbeitung der Daten zustimmen. Die Erfassung der Daten in einem Kontaktformular erfolgt häufig auf der Grundlage einer Vertragsanbahnung oder eines berechtigten Interesses (Art. 6 Abs. 1 lit. b/f DSGVO) und nur in Ausnahmefällen aufgrund einer Einwilligung.

  • Nur notwendige Daten erfragen. Für die alleinige Kontaktaufnahme ist die Abfrage der E-Mail-Adresse und ein Nachrichtenfeld ausreichend.
  • Es ist keine Bestätigung der Datenschutzhinweise oder eine Zustimmung erforderlich.
  • Eine Verlinkung zu den Datenschutzhinweisen ist sinnvoll, aber nicht notwendig.
  • Dient das Kontaktformular nicht nur der Kontaktaufnahme (z.B. Anmeldung zu Veranstaltungen) sind zusätzliche Datenschutzhinweise entsprechend des Zwecks (Teilnahmeanmeldung) unterhalb der Anmeldung erforderlich.

Muss eine Vereinswebseite ein Impressum haben?

Auch die Webseiten von Vereinen unterliegen der Impressumspflicht nach dem Telemediengesetz. In der Fußzeile oder im Menü der Webseite sollte eine Verlinkung zum Impressum vorhanden sein. Das Impressum muss leicht und von jeder Unterseite aus erreichbar sein. Folgende Mindestangaben sind im Impressum zu hinterlegen:

  • Vereinsname und Rechtsform (siehe Vereinsregister)
  • Vollständige Anschrift
  • Kontaktdaten wie Telefonnummer, E-Mail-Adresse
  • Vereinsvorstandschaft (Vollständiger Name und Funktion)
  • Registergericht und Vereinsregisternummer

Autorin: Jacqueline Vogel

…oder in verwandten Einträgen

Prev
Next