Landesjugendring Hamburg e.V.
Heft DSGVO-Sonderheft 2019, Rubrik Titelthema

Website

Durch eine Website können viele verschiedene personenbezogene Daten erhoben und gespeichert werden. Jeder Jugendverband, der eine Webseite betreibt, muss prüfen, welche personenbezogenen Daten er darüber erhebt, nutzt, speichert und ob dies überhaupt gewünscht ist.
Neben den Pflichtangaben im Impressum (Ziffer 1) sind Pflichtangaben zur Datenschutzerklärung zu erarbeiten (Ziffer 2). Der Abschnitt 3 erläutert verschiedene technische Aspekte, die beim Website-Betrieb zu beachten sind. Es folgen Hinweise zu speziellen Beispielen unter Ziffer 4.

1. Impressum
Das Impressum muss mit einem Klick von der Startseite aus erreichbar sein. Die Datenschutzerklärung darf nicht im Impressum »versteckt« werden. Eine Ausnahme kann bei eindeutigem Hinweis auf beide Punkte (»Datenschutz & Impressum«) gelten.
Das Impressum muss die folgenden, notwendigen Angaben enthalten (Ein Kontaktformular allein reicht nicht!):
• Name der Jugendverbandes (vollständig) sowie Angabe der Rechtsform,
• Anschrift,
• Telefon- und Mail-Adresse,
• Fax (sofern vorhanden),
• Vertretungsberechtigte,
• das Vereins- oder Genossenschaftsregistergericht und die entsprechende Registernummer,
• Falls vorhanden, kann eine Umsatzsteueridentifikationsnummer angegeben werden. (Achtung: Nie sollte die Steuernummer angeben werden, da sonst unter ungünstigen Umständen Steuergeheimnisse ermittelt werden können.)
• Alle Verantwortlichen einer Webseite müssen angeben, ob sie einer Verbraucherschlichtungsstelle unterliegen und bereit sind, am Schlichtungsverfahren teilzunehmen. Die Verpflichtung entfällt, wenn weniger als 10 Personen beschäftigt sind.
• Name und Anschrift des Verantwortlichen für journalistisch-redaktionelle Inhalte.

Als Websitebetreiber sind Jugendverbände für eigene Inhalte auf den Seiten verantwortlich. Sie sollten darauf hinweisen, dass sie nicht verpflichtet sind, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf rechtswidrige Tätigkeiten hinweisen.
Enthält die Webseite »externe Links« (Verlinkungen) zu anderen Webseiten, auf deren Inhalt sie keinen Einfluss haben, kann für diese Inhalte auch keine Gewähr übernommen werden. Für die Inhalte und Richtigkeit der bereitgestellten Informationen ist der jeweilige Anbieter der verlinkten Webseite verantwortlich. Darauf ist ebenfalls hinzuweisen.

2. Datenschutzerklärung
• Die Datenschutzerklärung muss von der Startseite aus mit einem Klick erreichbar sein.
• Notwendig ist mitzuteilen, wer die verantwortliche Stelle für die Verarbeitung der personenbezogenen Daten ist. Meist wird es der Jugendverband oder die sonstige Körperschaft sein, der oder die verantwortlich ist.
• Es sind Angaben zu machen, wie Kontakt aufgenommen werden kann. Hier ist eine Mail-Adresse oder ein Kontaktformular ausreichend.
• Name und Kontaktdaten der Datenschutzbeauftragten sind zu benennen. Notwendig ist ein Datenschutzbeauftragter, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Werden von einem Jugendleiter nur Listen der Jugendgruppenmitglieder verwaltet, sind sie nicht mitzuzählen. Sinnvoll kann der Hinweis sein, dass auf Grund der Größe kein Datenschutzbeauftragter benötigt wird.
• Die zuständige Datenschutzbehörde ist zu benennen. Diese ergibt sich aus dem jeweiligen Bundesland, in dem der Träger seinen Sitz hat. Für Hamburg ist dies der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-
Erhard-Str 22 (7. OG), 20459 Hamburg, T. (040) 428 54 – 4040, Fax : (040) 428 54 – 4000, mailbox@datenschutz.hamburg.de. Den betroffenen Personen steht die Möglichkeit zu, sich direkt an die Aufsichtsbehörde zu wenden. Sie müssen sich nicht erst an die Verantwortlichen (im Jugendverband) wenden.
• Die Datenschutzerklärung ist in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Datenschutzerklärungen mit verschachtelten Sätzen oder mit zahllosen Seiten erfüllen diese Voraussetzung nicht.
• Der Umfang der Datenerhebung ist zu nennen. D.h.: Welche Daten werden erhoben? Wie werden sie weiter verarbeitet? Ebenso ist der Zweck anzugeben, für den die Daten erhoben werden (z. B. zur Verbesserung des Verbandsangebotes oder um die Website technisch betreiben zu können). Es kann in der allgemeinen Datenschutzerklärung auch darauf verwiesen werden, dass die Angaben der Verarbeitungszwecke an den entsprechenden Stellen auf der Websites erfolgen. Kurz zu erwähnen ist, ob eine Weitergabe der Daten an Dritte erfolgt. Denken Sie dabei an Web-Hoster, Social Media und ähnliches.
• Zu nennen ist außerdem die Rechtsgrundlage der Datenverarbeitung. Es können drei Gründe sowie andere in der DSGVO genannten Gründe vorliegen: Der Vertrag, das berechtigte Interesse und die Einwilligung sind die zumeist vorliegenden Gründe. Sollten diese nicht passen, lassen Sie sich beraten.
• Es muss ein Hinweis darauf erfolgen, für welchen Zeitraum personenbezogene Daten gespeichert werden. Bereits die IP-Adresse, durch die sich die Computer untereinander identifizieren, ist ein personenbezogenes Datum. Das gilt auch für dynamische IP-Adressen. Falls die Speicherdauer nicht konkret zu bestimmen ist, müssen die Kriterien für die Festlegung dieser Dauer genannt werden.

3. Auskunftspflichten und Rechte der Besucher
Personen, die die Webseite besuchen, stehen gewisse Auskunftsrechte zu. Auf diese ist hinzuweisen:
• Bestätigung: Der Verantwortliche oder der Jugendverband hat auf Nachfrage zu bestätigen, ob personenbezogene Daten verarbeitet werden.
• Auskunft: Der Verein hat jederzeit Auskunft zu erteilen. Anzugeben ist, welche Daten über den Anfragenden gespeichert werden, einschließlich der Herkunft und Empfänger der Daten sowie dem Zweck der Datenverarbeitung.

Folgende Auskünfte sind an Anfragende unentgeltlich zu geben:
• die Verarbeitungszwecke,
• die Kategorien personenbezogener Daten, die verarbeitet werden,
• der Empfänger oder die Kategorien von Empfängern,
• die geplante Speicherdauer der personenbezogenen Daten bzw. Kriterien ihrer Festlegung,
• das Bestehen des Rechts auf Berichtigung, Löschung oder Einschränkung der erhobenen Daten und des Widerspruchs zur Verarbeitung der personenbezogenen Daten sowie des Beschwerderechts bei der zuständigen Aufsichtsbehörde,
• Soweit die personenbezogenen Daten nicht beim Anfragenden erhoben wurden, ist die Herkunft der Daten zu nennen.
• Falls zutreffend : das Bestehen einer automatisierten Entscheidungsfindung einschl. Profiling gem. Art. 22 Abs. 1, Abs. 4 DSGVO.
Darüber hinaus gehende Angaben dürfen für den Anfragenden kostenpflichtig gemacht werden.

Rechte der Besucher in Bezug auf ihre erhobenen Daten
Berichtigung: Wenn die verarbeiteten personenbezogenen Daten, die den Anfragenden betreffen, unrichtig oder unvollständig sind, dann sind diese zu berichtigen und/oder zu vervollständigen.
Löschung: Es besteht dass Recht darauf, dass personenbezogene Daten gelöscht werden. (Art. 16 DSGVO)
Einschränkung: Die Einschränkung der Verarbeitung der personenbezogenen Daten kann verlangt werden. (Art. 17 DSGVO)
Widerspruch: Der Verarbeitung personenbezogener Daten kann widersprochen werden. Dies gilt nur unter bestimmten Voraussetzungen : Einschlägig ist hier im Wesentlichen die Datenverarbeitung auf Grund des berechtigten Interesses des Jugendverbandes. (Art. 18 u. 21 DSGVO)
Widerruf einer Einwilligung: Ferner haben Betroffene das Recht, eine gegebene Einwilligung jederzeit zu widerrufen. Der Widerruf gilt für die Zukunft. (Art. 13 DSGVO)
Datenübertragung: Werden personenbezogene Daten zur Verfügung gestellt, so müssen diese in einem strukturierten, gängigen und maschinenlesbaren Format ausgehändigt oder an Dritte übermittelt werden. Dazu gehört auch die direkte Übermittlung an einen anderen Verantwortlichen. Das muss kein Jugendverband sein.
Sinnvoll ist es abschließend zu erwähnen, wie und bei wem diese Rechte geltend gemacht werden können. Es kann eine konkrete Person oder ein Funktionträger (z. B. datenschutzrecht@[jugendverbandsname].de) benannt werden. (Art. 20 DSGVO)

3. Technisches: Drittanbieter, Facebook, Google Analytics, Cookies und Co.
Durch Plugins oder Social Media werden personenbezogene Daten übermittelt und durch die jeweiligen Anbieter gespeichert. Dies gilt insbesondere dann, wenn Plugin-Funktionen kostenlos angeboten werden.

Besonders problematisch ist das Plugin von Facebook, das auf vielen Websites als Button eingebettet ist. Wenn der Nutzer auf »Gefällt mir« klickt oder einen Kommentar abgibt, wird die entsprechende Information vom Browser direkt an Facebook übermittelt und dort gespeichert. Diese Vorlieben werden gesammelt und an Facebook-Freunde weiter gegeben. Wer beim Surfen zugleich bei Facebook eingeloggt ist, ermöglicht es Facebook, die Chronik aller aufgerufenen Websites mitzulesen und dem Facebook-Konto des Websitebesuchers direkt zuzuordnen. Auch wer nicht eingeloggt ist oder gar kein Facebook-Konto besitzt, wird über Websites, die ein Facebook-Plugin nutzen, von Facebook miterfasst (Surf-Chronik, IP-Adresse). Zwar können sich User durch die Implementierung eines Plugins, z. B. mit dem »Facebook Blocker« gegen diese Überwachung schützen, doch Jugendverbände sollten sich fragen, ob eine Implementierung eines Facebook-Buttons auf ihrer Website notwendig ist und, wenn dies gewünscht ist, wie dieser datenschutzkonform eingebettet werden kann. Denn jeder Website-Betreiber ist nach der DSGVO verpflichtet, den Websitebesuchern die Datenübermittlung zu verdeutlichen und verständlich zu machen, wie eine Einwilligung erteilt bzw. wie ohne Datenübermittlung gesurft werden kann.
Die Lösung: Nach bisheriger Rechtslage ist es empfehlenswert, derlei Social-Media-Plugins wie Facebook, Instagram oder Twitter nur im Rahmen einer »Zwei-Klick-Lösung« zu nutzen. Damit werden die Daten des Website-Besuchers erst nach explizit erteilter Einwilligung an Dritte übermittelt.

Viele Websites nutzen Cookies, sei es um technische Funktionen bereit zu stellen oder, wie bei den meisten kommerziellen Websites, um den User auszuspionieren.  Nach noch gültigem Recht (ePrivacy-Richtlinie 2002/58/EG) hat jeder Nutzer die Möglichkeit, seinen Browser bezüglich Cookies einschlägig zu konfigurieren und die Annahme von Cookies zu unterbinden oder zu begrenzen. Die kommende ePrivacy-Verordnung wird voraussichtlich eine Richtlinie zur Einwilligungslösung bieten.
Empfehlenswert ist es daher, schon jetzt einen Banner auf die Website zu setzen, der auf die Verwendung von Cookies hinweist und darüber informiert, dass beim weiteren Besuch der Webseite von der Einwilligung zur Verwendung von Cookies ausgegangen wird. Zudem gibt es die Möglichkeit, Cookies zu »skalieren«. Dabei kann der Nutzer wählen, ob die Webseite zusätzlich zu den für die Nutzerfreundlichkeit der Webseite erforderlichen Cookies auch anderweitige Cookies (z. B. für Marketingszwecke) einsetzen darf. Für selbst eingesetzte Cookies und für Logfiles sollte die Speicherdauer angegeben werden.

Viele Betreiber einer Website setzen Tools zur Website-Analyse ein, um die Aufrufe der einzelnen Webpages statistisch aufzuschlüsseln. Bekannte Anbieter dieser Web-Trackingtools sind u. a. Google Analytics, Matomo (ehemals Piwik) oder eTracker. Die Webanwendung Matomo kann auf einem eigenen Server betrieben werden. Dadurch bietet sie bei der Speicherung datenschutzrechtlich sensibler Logdaten mehr Nutzerprivatsphäre, da die Daten nicht automatisch mit Dritten geteilt werden. Beim Einsatz von Google Analytics hingegen wandern diese personenbezogenen Daten in die USA. Noch rechtfertigt das »Privacy Shield«-Abkommen die Datenübermittlung in die USA. Das kann sich jedoch bald ändern. Daher ist von einem Einsatz dieser Software abzuraten.
Noch ist es beim Einsatz von Trackingtools ausreichend, wenn Usern erklärt wird, wie sie das Tracking verhindern können (Opt-Out). Dies könnte sich ändern! Nach der DSGVO ist Tracking zulässig, soweit die Interessen und Umstände im Einzelfall berücksichtigt werden (Bsp. : auf den Nutzer abgestimmte Werbung). Die kommende ePrivacy-Verordnung könnte zudem verlangen, dass vom Nutzer eine eindeutig bestätigende Einwilligung eingeholt werden muss (Opt-In).

Weitergabe personenbezogener Daten an Dritte: Grundsätzlich gilt: Werden auf der Website andere Dienstleister – wie Social-Media-Plugins oder Analysedienste – eingebettet, so ist in der Datenschutzerklärung darauf hinzuweisen, dass personenbezogene Daten zur Verarbeitung an Dritte weitergegeben werden. Gängige Dienstleister sind u. a. …
• Bezahldienste,
• Third-Party-Cookies,
• Social-Media-Plugins wie Facebook, Instgram, Twitter, Youtube, etc.
• Google Maps, Google Fonts, ReCaptcha von Google,
• Websiteanalysedienste (z. B. Google Analytics),
• Anzeigen und Marketing-Dienste (z. B. Google AdSense).

Alternativen suchen: Wenn solche Dienste genutzt werden sollen, ist zu überlegen, ob technische Lösungen realisiert werden können, die eine datenschutzfreundliche Nutzung ermöglichen: Beispielsweise können Webfonts auf dem eigenen Server eingebettet statt vom Googleserver nachgeladen werden. Youtube-Videos hingegen sollten nicht eingebettet werden, sondern als Link den Nutzer direkt auf die Youtube-Website verweisen. Anstelle von ReCaptcha (Google) zur Spamvermeidung bei Formularfeldern können eigene Alternativlösungen programmiert werden. Diese und andere technische Lösungen (Zwei-Klick-Social-Media-Button; s.o.) helfen, die eigene Website datenschutzfreundlich – Privacy by design – zu gestalten. Ist eine Nutzung von externen Dienstleistern unumgänglich, so sind die Besucher der Website auf deren Einbettung einerseits hinzuweisen und ihnen ist andererseits zu erläutern, wie sie die Datenübertragung unterbinden können. Zudem sind in der eigenen Datenschutzerklärung Links zu den jeweiligen Datenschutzerklärungen der genutzten Drittanbieter mit aufzunehmen und regelmäßig zu kontrollieren.

Wird ein Newsletter zur Verfügung gestellt, so werden die Daten in der jeweiligen Eingabemaske an den für die Verarbeitung Verantwortlichen übermittelt. Bei der Anmeldung zum Newsletter werden die IP-Adresse des Nutzers sowie Datum und Uhrzeit der Registrierung gespeichert. Die Besteller müssen die Anmeldung in einer zweiten Mail bestätigen. Dies dient dazu, einen Missbrauch der Dienste oder der Mail-Adresse der betroffenen Person zu verhindern. Die Bestellenden sind auf die Weitergabe der Daten an Dritte, Verwendungszweck, Kündigungsmöglichkeit und Widerrufsmöglichkeit hinzuweisen.
Ein entsprechender Link für eine Kündigung ist in jedem Newsletter einzubauen.

Wenn ein Kontaktformular auf der Website zur Verfügung gestellt wird, ist die Website dringend im https-Modus zu betreiben! Denn eine Datenübertragung via Internet erfordert eine Verschlüsselung der Website. Zudem muss der Grundsatz der Datensparsamkeit gewahrt werden! So sollten Pflichtangaben und freiwillige Angaben entsprechend gekennzeichnet werden.

AV-Vertrag mit dem Webhoster: Wird die Website über einen Anbieter (Webhoster) ins Internet geladen, so hat dieser Anbieter Zugriff auf personenbezogene Daten (wie IP-Adressen der Besucher). Mit dem Webhoster ist daher ein Vertrag zur Auftragsverarbeitung abzuschließen. Dieser AV-Vertrag regelt die Handhabung der personenbezogenen Daten. Der Webhoster darf nur auf Weisung handeln. Er muss garantieren, geeignete technische und organisatorische Maßnahmen einzuhalten. Auch die Kontrollbefugnis des Jugendverbandes sowie die wechselseitigen Informationspflichten sind in dem AV-Vertrag zu regeln. Die meisten Anbieter stellen vorformulierte Verträge zur Verfügung.

4. Einzelne Beispiele
Veröffentlichung von Funktionsträgerdaten: Die Veröffentlichung von Name, ausgeübter Funktion und der vereinsbezogenen Erreichbarkeit (z. B. Telefonnummer oder Mail-Adresse) von Funktionsträgern eines Jugendverbandes (z. B. Vorstand, Jugendleiter) ist aufgrund einer Interessenabwägung zugunsten des Jugendverbandes datenschutzrechtlich zulässig. Denn ein Verein hat ein berechtigtes Interesse daran, konkrete Ansprechpartner nach außen zu benennen, um eine Kontaktaufnahme zu ermöglichen. Die Interessen oder Grundrechte der betroffenen Funktionsträger stehen gegenüber diesem berechtigten Interesse nach, zumal die Veröffentlichung der zuvor genannten vereinsbezogenen Daten einen verhältnismäßig geringfügigen Eingriff in das Persönlichkeitsrecht der betroffenen Personen darstellen.
Etwas anderes gilt aber für darüber hinausgehende personenbezogene Daten, z. B. die Privatanschrift oder eine private Telefonnummer. In diesen Fällen überwiegen regelmäßig die Interessen der betroffenen Personen. Die Veröffentlichung bedarf dann einer expliziten Einwilligungserklärung der betroffenen Personen.

Fotos: Vor einer Veröffentlichung von Fotos einzelner Personen im Internet sind grundsätzlich Einwilligungserklärungen der fotografierten Personen einzuholen. Ausnahmsweise kann die Veröffentlichung von Fotos im Internet auch ohne Einwilligung gerechtfertigt sein. Sie bestehen dann, wenn es sich um Bilder handelt, bei denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen, oder wenn es Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen (Beispiel : Vereinsfest) sind, an denen die dargestellten Personen teilgenommen haben. Ausführliche Informationen befinden sich im Kapitel Fotos.

Protokolle der Jugendverbandsgremien beinhalten in der Regel personenbezogene Funktionsträger- und Mitgliedsdaten. Ohne Einwilligung der betroffenen Personen ist eine Veröffentlichung im Internet regelmäßig unzulässig. Hier überwiegen die Interessen der betroffenen Person am Schutz ihrer personenbezogenen Daten das grundsätzlich berechtigte Interesse des Vereins an einer Internetveröffentlichung zur Information Dritter.
Etwas anderes kann aber dann gelten, wenn ein benutzerbeschränktes Vereinsforum im Internet angeboten wird, auf das nur Vereinsmitglieder Zugriff nehmen können und die Protokolle nur in diesem zur Verfügung gestellt werden.
Sofern ein Verein die Veröffentlichung von Sitzungsprotokollen im Internet – ohne Benutzerbeschränkung und ohne Einholung von Einwilligungserklärungen der betroffenen Personen – vornehmen möchte, sollten die personenbezogenen Angaben in den Protokollen vor der Veröffentlichung unkenntlich gemacht resp. geschwärzt werden.

Ein schwieriges Feld ist die Internet-Veröffentlichung von Starter- und Ergebnislisten bei Sport- oder anderen Wettkämpfen. In der Regel ist eine Veröffentlichung durch einen Jugendverband nur mit Einwilligung der betroffenen Personen zulässig. Bei Minderjährigen ist grundsätzlich eine Einwilligung der Sorgeberechtigten einzuholen. Bei über 16-jährigen ist außerdem die Einwilligung der Jugendlichen selbst erforderlich. Für Minderjährige im Alter zwischen 14 und 16 Jahren kommt es auf die Einsichtsfähigkeit an. Es empfiehlt sich, bereits Jugendliche ab 14 Jahre um eine Einwilligung zu bitten.