Drittinhalte:

Websitebetreiber müssen bei der Datenverarbeitung durch Verwendung von Drittinhalten rechtliche nach der DSGVO erfüllen, damit die Datenverarbeitung zulässig ist.

Es empfiehlt sich daher die Zwei-Klick-Lösung für Drittinhalte zu nutzen, soweit dies möglich und sinnvoll ist. Dies bietet sich z.B. für Kartendienste wie z.B. Google Maps an, die auf der Website eingebunden werden, da so zunächst ein Vorschaubild auf dem eigenen Webserver eingeblendet wird und erst durch den zweiten Klick des Nutzers eine Übertragung der Daten an den «fremden» Server erfolgt.

Wird hingegen der Dienst des OpenStreetMap verwendet, finden erst gar keine Datenverarbeitung im Hintergrund statt (über die sich Websitebetreiber Gedanken machen müssen).

Bei der Verwendung von Schriftarten (Fonts) sollten Websitebetreiber diese vom eigenen Server laden, denn bei der Verwendung von Schriftarten anderer Server müssen Websitebetreiber im Rahmen ihrer Datenschutzerklärung darauf hinweisen, dass Nutzungsdaten beim Laden der Schriftart auch von diesem Dritten verarbeitet werden.

Werden fremde Skripte, wie z.B. JavaScript, auf der Website eingebunden, sollten diese bestenfalls auf dem eigenen Webserver gehostet werden, da ansonsten eine Einwilligung der Nutzer oder eine andere Rechtsgrundlage (z.B. Art.6 lit.f DSGVO «berechtigtes Interesse») erforderlich ist, wenn die Nutzerdaten außerhalb des eigenen Servers verarbeitet werden .

Damit Websitebetreiber den ihnen nach der DSGVO obliegenden Informations- und Transparenzpflichten genügen, müssen sie zum einen in der Datenschutzerklärung über alle Drittinhalte verständlich, klar und nachvollziehbar informieren.
Wird beispielsweise der Google Dienst reCAPTCHA verwendet (um Bots auszuschließen) müssen Websitebetreiber in ihrer Datenschutzerklärung auf die Verwendung dieses Dienstes hinweisen, obwohl die Datenschutzaufsichtsbehörden bislang davon ausgehen, dass vorliegend Google «Verantwortlicher» im Sinne der DSGVO ist.

Um daneben die Betroffenenrechte zu wahren, muss in der Datenschutzerklärung über den Einsatz von Werbediensten informiert werden, sofern nicht nur kontextbezogene Werbung, sondern externe Werbenetzwerke genutzt werden, indem jeder verwendete Werbedienst, wie z.B. AdSense einzeln benannt wird und entsprechende Opt-Out-Möglichkeiten angeboten werden, da durch dein Werbedienst ein umfangreiches Profiling stattfindet.

Als Verantwortliche im Sinne der DSGVO müssten Websitebetreiber zudem technische und organisatorische Maßnahmen zum Schutz der durch sie verarbeiteten personenbezogenen Daten ergreifen. Daher empfiehlt es sich bei der Einbindung von Fremdcodes (Drittanbieter) nur sichere Codes zu übernehmen.

Online-Shop:

Haben Websitebetreiber einen Online-Shop werden im Rahmen der Registrierung, Bestellung etc. personenbezogene Daten verarbeitet. Daher bedarf es auch hierfür einer rechtlichen Grundlage. Meist besteht diese in der Einwilligung des Nutzers/Bestellers oder nach Art. 6 I lit.b DSGVO in der Notwendigkeit für die Vertragsdurchführung.

Zunächst sollten Websitebetreiber beachten, dass es aus datenschutzrechtlicher Sicht nicht zwingend erforderlich ist, dass sich die Nutzer vor der Bestellung registrieren und ein Kundenkonto anlegen. Daher kann es auch sinnvoll sein im Shop ein Gast-Login zu ermöglichen.

Werden Cookies verwendet, sodass die Nutzer bei einem erneuten Besuch der Website wiedererkannt werden, gilt es zu beachten, dass je nachdem, ob die Cookies dem Bestellprozess oder eben anderen Zwecken dienen, unterschiedliche Speicherfristen gelten, wobei in der Datenschutzerklärung auf den Einsatz und konkreten Zweck der Cookies hingewiesen werden muss. Eine Einwilligung für die Datenverarbeitung durch den Einsatz von Cookies ist allerdings nicht notwendig, da hier ein berechtigten Interesse der Websitebetreiber/Online-Shop Betreiber i.S.d. Art.6 I lit.b DSGVO die Datenverarbeitung legitimiert.

Sofern der Bestellprozess auch eine Bonitätsüberprüfung der Kunden/Nutzer vorsieht, ist der Einsatz entsprechender Dienstleister, gerade bei Zahlungsarten wie Rechnung oder Lastschrift auch ohne Einwilligung der Kunden zulässig, da auch hier ein «berechtigtes Interesse» als Rechtsgrundlage vorhanden ist.

Ebenso dürfen externe Dienstleister für die Abwicklung des Zahlungs- oder Versandvorgangs eingesetzt werden, wobei darauf geachtet werden sollte lediglich seriöse Anbieter auszuwählen und einen entsprechenden Hinweis in der Datenschutzerklärung einzufügen.

Um Nutzerdaten hinreichend zu schützen sollten organisatorische und technische Maßnahmen umgesetzt werden gerade in Bezug auf ein sicheres Passwortverfahren für ein Kundenkonto, zum Beispiel durch das Anzeigen der Passwortstärke, Mindestanforderungen an Länge und Komplexität der Passwörter, aber auch durch geeignete Verfahren zur Passwortzurücksetzung.

Damit die personenbezogenen Daten auch während des Bestellvorgangs ausreichend geschützt sind, sollte den Nutzern eine sichere «Session» angeboten und der Datentransport durch HTTPS geschützt werden.

Hinsichtlich der Wahrnehmung der Betroffenenrechte der Nutzer sollte beachtet werden, dass die Nutzer/Kunden auf der einen Seite klassische Rezensionen abgeben können, andererseits allerdings auch die Löschung ihrer Bewertung verlangen können.

Verlangen Nutzer/ Kunden die Löschung ihrer personenbezogenen Daten gilt es zunächst feststellen, welche Kategorien von Daten gespeichert wurden und welche Aufbewahrungsfristen (ggf. auch aus steuerrechtlichen Spezialgesetzen etc.) gelten. Hierfür sollte die Datenbank ein Löschkonzept vorsehen, welches nachvollziehbar erkennen lässt, wo welche Daten gespeichert sind und wann diese zu löschen sind. Anschließend sollte der Nutzer informiert werden, damit Transparenz und Vertrauen in die Datenverarbeitung durch die Websitebetreiber/ Online-Shop Betreiber geschaffen werden kann.