Beim Betrieb einer Homepage werden regelmäßig personenbezogene Daten der Besucher erhoben und verarbeitet. Den Betreiber der Homepage treffen daher verschiedene allgemeine und bereichsspezifische Kennzeichnungs- sowie Informationspflichten.
Auch wenn keine Kontaktformulare oder andere Funktionalitäten zur Datenverarbeitung eingebunden sind, können bereits die IP-Adressen ein personenbezogenes Datenelement darstellen. Die datenschutzrechtlichen Bestimmungen der DSGVO sind damit grundsätzlich bei jeder Internetpräsenz zu beachten. Darüber hinaus gelten die Bestimmungen des zum 1. Dezember 2021 in Kraft getretenen "Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien" (TTDSG), das insbesondere Regelungen für die Verwendung von Cookies und ähnlichen Technologien enthält. Es sind zahlreiche Vorgaben zu beachten.
Im Folgenden wird nur auf die bedeutendsten Aspekte eingegangen, was folgende Themen umfasst:
- Datenschutzerklärung,
- Onlineformulare,
- Verwendung von Cookies und ähnlichen Technologien,
- Reichweitenanalyse und
- Social Plug-ins.
2.1.1 Datenschutzerklärung
Bei der Erhebung von personenbezogenen Daten über die Homepage – was grundsätzlich der Fall ist – werden die allgemeinen Informationspflichten nach den Art. 12–14 der DSGVO ausgelöst. Hinsichtlich der zu veröffentlichenden Pflichtinhalte wird auf die Ausführungen zu den Informationspflichten in Informations- und Auskunftspflichten bei der Datenerhebung verwiesen.
Entscheidend ist in diesem Zusammenhang, dass die Informationspflichten vorgeben, dass vollumfänglich über Art und Umfang der Datenverarbeitung informiert wird. Die Datenschutzerklärung muss somit über alle Funktionen (bspw. Onlineformulare und implementierte Dienste) Auskunft geben. Eine Datenschutzerklärung muss somit immer individuell für jede Webseite erstellt werden.
Um die geforderte leicht zugängliche Form der Informationen zu gewährleisten, empfiehlt sich deren Verlinkung unter "Datenschutz" analog zum Impressum auf jeder Seite des Internetauftritts. Wenn eine Consent-Management-Plattform, auch "Cookie-Banner" genannt, implementiert ist, muss gewährleistet sein, dass diese Informationen dennoch jederzeit eingesehen werden können.
Ein Verstoß gegen die DSGVO aufgrund einer unzureichenden Datenschutzerklärung kann nach Art. 83 Abs. 5 lit. b DSGVO ebenfalls mit einer Geldbuße bestraft werden.
2.1.2 Onlineformulare
Onlineformulare wie beispielsweise ein allgemeines Kontaktformular oder ein Reparaturauftrag stellen eine einfache Möglichkeit dar, mit dem Betreiber der Website Kontakt aufzunehmen. Dabei sind insbesondere die nachstehenden Aspekte zu beachten.
2.1.2.1 Datenschutzerklärung/Transparenz der Datenverarbeitung (Art. 5 Abs. 1 lit. a DSGVO)
Für den Benutzer muss transparent sein, ob und welche personenbezogenen Daten erhoben und wie sie genutzt werden. Dies ergibt sich aus dem Transparenzprinzip, das zu den bereits genannten Informationspflichten führt.
In der Datenschutzerklärung müssen demnach Ausführungen über Art, Umfang und Zweck der Onlineformulare enthalten sein. In den Formularen selbst muss auf die Datenschutzerklärung verwiesen werden.
2.1.2.2 Grundsatz der Datenminimierung (Art. 5 Abs. 1 DSGVO)
Nach Art. 5 Abs. 1 DSGVO müssen personenbezogene Daten dem Zweck nach angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
Nur notwendige Daten
Die Formulare sollten nur Eingabefelder für solche Daten enthalten, die notwendig sind, um den Sinn und Zweck der Kontaktaufnahme zu erfüllen. Werden darüber hinaus weitere Angaben abgefragt, sollte klargestellt sein, dass diese auf freiwilliger Basis erfolgen.
2.1.2.3 Vertraulichkeit und Integrität (Art. 5 Abs. 1 lit. f DSGVO)
Durch geeignete technische und organisatorische Maßnahmen (vgl. Art. 25 und 32 DSGVO) ist eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten.
Informationen, die ohne Verschlüsselung über das Internet gesendet werden, können während der Übertragung unberechtigt gelesen werden. Um die Integrität der erfassten Daten zu gewährleisten, sollten Kontaktformulare auf https-verschlüsselten Seiten bereitgestellt werden. Das Kommunikationsprotokoll (https – Hypertext Transfer Protocol Secure) dient dem Schutz vor unerlaubtem Abhören der ausgetauschten Daten und stellt die Authentifizierung der kommunizierenden Parteien (Server-Client) sicher.
2.1.3 Verwendung von Cookies und ähnlichen Technologien
Cookies sind kleine Textdateien, die auf dem Rechner der Nutzer abgelegt und vom Browser gespeichert werden. Sie ermöglichen eine Identifikation der Nutzer und können Aufschluss über das Surfverhalten geben. Neben Cookies gibt es noch weitere Technologien wie beispielsweise Pixel (Bilddateien) und Browser-Fingerprinting, die ebenfalls eine Auswertung des Nutzerverhaltens ermöglichen und somit unter die Vorgaben der DSGVO und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) fallen.
In der Wohnungswirtschaft ist die Thematik vor allem für Betreiber einer Homepage relevant, die Tracking-Tools wie beispielsweise Google Analytics oder Matomo zur Analyse der Reichweite und des Nutzerverhaltens einsetzen, da diese Dienste dauerhaft Cookies bei den Nutzern ablegen. Andere Dienste werden in der Branche nur selten eingesetzt.
Die DSGVO enthält kei...