Erstellung einer Webseite - rechtliche Anforderungen

(Siehe auch TU4U)

1. Was ist bei der Erstellung einer Webseite rechtlich notwendig?

Die Webseite muss über ein Impressum, eine Datenschutzerklärung (Privacy Policy), ggf. eine Cookie-Erklärung (Cookie-Policy) sowie ggf. über eine Barrierefreiheitserklärung verfügen. Es wird empfohlen, dafür separate Links im Footer zu verwenden und die Datenschutzerklärung nicht im Impressum aufzunehmen (siehe z. B. www.tugraz.at).

Zu empfehlen ist auch die Erstellung eines Wartungsplans, um Security-Updates einzuspielen und somit Hackversuche ehestmöglich abwehren zu können.
Die OE ZID bietet dazu ein TYPO3-Hosting-Angebot an, welches eine rechtskonforme Umsetzung der Webseite gewährleistet (Kontaktadresse: internetauftritt@tugraz.at).

2. Was sollte ein Impressum beinhalten?

Das Impressum muss folgende Informationen enthalten:

  • Name, Anschrift und Kontaktdaten
  • Aufsichtsbehörde
  • UID-Nummer
  • Unternehmensgegenstand
  • wenn vorhanden: Amtssignatur (Veröffentlichung der Bildmarke gemäß § 19 Abs. 2 E-GovG)
Für alle webbasierten Dienste der TU Graz sollte das zentrale Impressum der TU Graz verwendet werden (Verlinkung auf die deutsche bzw. englische Impressumseite www.tugraz.at/ueber-diese-seite/impressum/ sowie www.tugraz.at/en/about-this-page/legal-notice/).

Darüber hinaus sind weitere Angaben zu empfehlen:

  • Hinweis zum Urheberrecht
  • Haftungsausschluss für den Webseiteninhalt

Es dürfen nur jene Texte, Bilder, Fotos etc. auf Webseiten der TU Graz veröffentlicht werden, für die der*die Webseiteninhaber*in (TU Graz) auch die Urheberrechte innehat. Bei der Verwendung von fremden Inhalten ist jedenfalls sicherzustellen, dass der*die Urheber*in der Veröffentlichung auf der Webseite ausdrücklich zugestimmt hat. Dabei ist darauf zu achten, dass der*die Urheber*in unter dem jeweiligen Inhalt explizit genannt wird.

3. Was sollte eine Barrierefreiheitserklärung beinhalten?

Ob eine Barrierefreiheitserklärung notwendig ist bzw. welchen Inhalt diese umfassen sollte, kann unter www.ffg.at/barrierefreiheit/barrierefreiheitserklaerung nachgelesen werden. Als Vorlage kann auch die Erklärung auf der zentralen Webseite der TU Graz unter www.tugraz.at/ueber-diese-seite/barrierefreiheitserklaerung/ verwendet werden.

4. Welche Informationen sollte eine Datenschutzerklärung enthalten?

In der Datenschutzerklärung sind alle Verarbeitungstätigkeiten (Erfassen, Übermitteln etc.) von personenbezogenen Daten (Vor-/Nachname, E-Mail-Adresse, IP-Adresse etc.) in einer transparenten Form darzulegen. Die Datenschutzerklärung sollte folgende Mindestanforderungen enthalten:

  • Anwendungsbereich (z. B. für alle Webseiten der Universität, Webseiten mit einer bestimmten Domain, alle Webseiten, die vom Institut betrieben werden)
  • Name und Kontaktdaten des Verantwortlichen (im Rahmen der Tätigkeit an der TU Graz ist dies immer die Universität)
  • Kontaktdaten des Datenschutzbeauftragten
  • Informationen zu den auf der Webseite verarbeiteten personenbezogenen Daten wie z. B. Logdaten, elektronische Anmeldung zu Newsletter/Veranstaltungen und Formulareingaben zur Kontaktaufnahme.
    Zu den einzelnen Verarbeitungsvorgängen sollte zumindest
    • der Zweck des Verarbeitungsvorganges,
    • die Datenkategorien (IP-Adresse, Username, Vor- und Nachname etc.),
    • die Rechtsgrundlage (z. B. Art. 6 Abs. 1 lit. a Datenschutzgrundverordnung – DSGVO, § 96 Abs. 3 Telekommunikationsgesetz – TKG)
    • Angaben zu Empfängern – Informationen zu eingebundenen Anbietern (z. B. Social-Media Plugins, Webanalyse, Erstellung von Benutzerprofilen) sowie
    • die Speicherdauer
    angegeben werden.
  • Allgemeine Informationen über den Einsatz von Cookies (First/Third Party-Cookies - nachfolgend „Cookies“) und ähnlichen Technologien (Tracking-Pixel, (Browser-) Fingerprinting etc.) sowie damit in Verbindung stehende eingebundene externe Dienste wie z. B. Social Media-Plugins, (Google-) Analyse-Tools, (Google-) Maps, (Google-) Fonts, (Google-) reCAPTCHA, YouTube-/Vimeo-Videos samt Widerrufsmöglichkeiten. Unter Cookies versteht man die Speicherung oder den Zugriff auf bereits gespeicherte Informationen auf dem Endgerät eines*einer Nutzer*in (siehe Punkt 5ff). Im Gegensatz zum vorangehenden Punkt betrifft dies alle Arten von Daten, daher auch nicht-personenbezogene Daten.
  • Rechte der betroffenen Personen
  • Beschwerderecht bei der Aufsichtsbehörde

Die Informationspflichten nach der DSGVO und jene nach dem TKG sind im Wesentlichen ident. Trotzdem wird empfohlen, die im Einsatz befindlichen Cookies, neben den allgemeinen Angaben in der Datenschutzerklärung, separat aufzulisten (z. B. Cookie-Policy – siehe Punkt 5.1.).

5. Welche Besonderheiten sind im Zusammenhang mit Cookies zu beachten?

Rechtliche Grundlage im Zusammenhang mit Cookies ist grundsätzlich nicht die DSGVO sondern das TKG, mit dem die ePrivacy-Richtlinie („CookieRL“) der EU in nationales Recht umgesetzt wurde.

Der Einsatz von Cookies ist unabhängig davon, ob es sich um personenbezogene Daten handelt, nur rechtmäßig, wenn

  • dieser notwendig ist, um den Nutzer*innen ausdrücklich angeforderte Dienste zur Verfügung zu stellen (technisch notwendige Cookies z. B. Warenkorb, Sprachauswahl) oder
  • die Nutzer*innen nach vorheriger Information ihre freiwillige und jederzeit widerrufbare Einwilligung erteilen (z. B. über einen Cookie-Banner).

Zusammengefasst bestehen Ausnahmen von der Einwilligung nur für den Einsatz von technisch notwendigen Cookies bzw. wenn diese unbedingt erforderlich sind, um den Nutzer*innen den Dienst zur Verfügung zu stellen.
Die Ausnahme ist als restriktiv zu betrachten. Werden auf einer Webseite nur technisch notwendige Cookies eingesetzt und keine Daten an externe Dienste übermittelt, ist kein Cookie-Banner (und damit keine Einwilligung) bzw. Zwei-Klick-Lösung notwendig.

5.1. Sind die Informationen über die verwendeten Cookies in der Datenschutzerklärung oder separat in einer „Cookie-Policy “ anzugeben?

Allgemeine Informationen über die Cookies können in der Datenschutzerklärung angegeben werden (z. B. Zweck, konkrete Angaben zu den Empfängern - siehe Punkt 4).

Grundsätzlich wird eine konkrete Auflistung der Cookies in einem separaten Anhang (z. B. Cookie-Liste, Cookie-Policy) empfohlen, wobei auf diesen in der Datenschutzerklärung verlinkt werden sollte. Folgende Angaben zu den Cookies sind erforderlich:

  • Name des Cookies
  • Zweck (wenn bereits in der Datenschutzerklärung vorhanden, reicht ein Schlagwort)
  • Funktionsdauer
  • Empfänger/Zugriff Dritter

5.2. Welche Einteilung hinsichtlich der verwendeten Cookies sollte vorgenommen werden?

Es wird empfohlen eine Einteilung in „funktionale Cookies“ (technisch notwendige Cookies – siehe Ausnahme in Punkt 5), „Analyse-Cookies“ und „Werbe-Cookies“ vorzunehmen. Die Einteilung kann aber grundsätzlich frei gewählt werden.

5.3. Muss für alle Cookies eine Einwilligung eingeholt werden?

Nein, wie unter Punkt 5 ausgeführt, ist für die Verwendung von technisch notwendigen Cookies keine Einwilligung erforderlich. Jedoch bedarf die Nutzung von Analyse- und Werbe-Cookies der Einwilligung der Nutzer*innen. Dies ist unabhängig davon, ob es sich um personenbezogene Daten handelt oder ob die Cookies durch Dienste Dritter eingebunden werden.

5.4. Was ist im Zusammenhang mit dem Design eines Cookie-Banners zu beachten?

Der Cookie-Banner sollte übersichtlich, klar und verständlich ausgestaltet werden und zwei Buttons, einen für die Zustimmung (z. B. „Alle Cookies akzeptieren“) und einen für die Ablehnung (z. B. „Präferenzen speichern“, „Meine Auswahl speichern“) enthalten. Die Checkboxen für die Einholung der Einwilligung dürfen nicht per Voreinstellung bereits angekreuzt sein (Privacy by Default). Des Weiteren muss der Cookie-Banner einen Link zur Datenschutzerklärung bzw. ggf. zu einer separaten Cookie-Policy enthalten. Die Buttons für Zustimmung und Ablehnung sollten im Idealfall in derselben Farbe dargestellt werden und gleich groß sein. Kleine Unterschiede im Design sind möglich (Achtung: Es sollte aber vermieden werden, dass es dadurch zu Dark Pattern bzw. Nudging kommt).

Die Einwilligung muss für jeden Verarbeitungszweck separat erfolgen. Zur Vereinfachung können die Cookies dabei einem vordefinierten Verarbeitungszweck zugeteilt werden (siehe Punkt 5.2.). Daneben besteht aber auch die Möglichkeit, die Webseite by Design so zu gestalten, dass für jedes Cookie/jeden Anbieter eine eigene Einwilligung durch Betätigung eines Toggle-Buttons eingeholt wird, wobei dabei auch eine Widerrufsmöglichkeit implementiert werden kann (z. B. Ein/Aus – siehe Punkt 5.5.).

5.5. Welche Möglichkeiten zum Widerruf der Einwilligung sollte es für den*die Nutzer*in geben?

Die Nutzer*innen sollten transparent über die Widerrufmöglichkeiten in den gängigsten Browsern informiert werden (Mindestanforderung). Dazu wird eine Verlinkung zu den Beschreibungen des Widerrufs auf die Webseiten der jeweiligen Anbieter empfohlen.

Zusätzlich kann die Widerrufsmöglichkeit für die Cookies/Anbieter durch by Design implementierte Toggle-Buttons direkt auf der Webseite (z. B. in einer Cookie-Liste oder ggf. in einer Cookie-Policy) erfolgen (siehe Punkt 5.4.).

6. Welche Besonderheiten sind bei der Einbindung von Anbietern aus Drittländern zu beachten?

Aufgrund eines Angemessenheitsbeschlusses der Europäischen Kommission sind folgende Drittländer datenschutzrechtlich als sichere Drittländer einzustufen: Andorra, Argentinien, Kanada, Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, UK, Südkorea, Schweiz und Uruguay. Nähere Informationen finden Sie hier. Für Anbieter aus diesen Ländern sind keine gesonderten Maßnahmen notwendig.

Werden Anbieter mit Hauptsitz außerhalb der EU bzw. außerhalb der genannten Drittländer eingebunden, sollte von den Nutzer*innen nach Aufklärung über die Risiken eine Einwilligung für die Übermittlung in das Drittland eingeholt werden. Grundsätzlich unbeachtlich ist, ob das Unternehmen mit Hauptsitz in einem Drittland auch eine Niederlassung in der EU hat bzw. eine Verarbeitung der Daten auf Servern in der EU zusichert (z. B. Facebook Ireland Ltd.).

Folgende Vorlage kann für die Datenschutzerklärung und die Einholung der Einwilligung zum Zweck der Verarbeitung von Daten durch Anbieter aus den USA sowie für die Aufklärung über die Risiken bei der Verwendung solcher Anbieter verwendet werden:

Die Rechtsgrundlage für die Datenverarbeitung im Zuge von Dienst/Cookie-Bezeichnung angeben ist Ihre freiwillig abgegebene Einwilligung nach § 96 Abs. 3 TKG. Sie erteilen uns Ihre Einwilligung durch aktiven Klick auf „Ich stimme zu“ neben dem jeweiligen Verarbeitungszweck im Cookie-Banner bei Aufruf unserer Webseiten. Vor Erteilung Ihrer Einwilligung werden keine Cookies gesetzt. Im Zuge der Verwendung von Werbesystemdienstleistern werden Daten in die USA (Drittland) übermittelt. Diese sind als elektronische Kommunikationsdienste im Sinne von 50 U.S.Code § 1881 (b) (4) zu qualifizieren und unterliegen als solche der Überwachung durch US-Geheimdienste gemäß 50 U.S.Code § 1881a („FISA 702“), wobei keine wirksamen Rechtsbehelfe zur Verfügung stehen. Die Einhaltung der europäischen Anforderungen zum Datenschutz kann daher nicht garantiert werden. Die Übermittlung dieser Daten in ein Drittland für einen bestimmten Zweck erfolgt unter der Ausnahmebestimmung von Art. 49 Abs. 1 lit. a DSGVO, indem Sie uns nach Aufklärung über die Risiken Ihre Einwilligung erteilen.

Im Cookie-Banner sollte neben dem Verarbeitungszweck (z. B. Werbe-Cookie) der Zusatz („Drittlandübermittlung“) angeführt werden.

7. Muss bei jedem wiederholten Aufruf der Webseite eine Einwilligung eingeholt werden?

Die Einwilligung kann für z. B. sechs Monate gespeichert werden. Eine längere Speicherung wird nicht empfohlen.

8. Was ist bei der Einbindung von externen Diensten zu beachten?

Da im Zusammenhang mit der Einbindung externer Dienste in vielen Fällen Cookies und ähnliche Technologien zur Anwendung kommen, gelten grundsätzlich die obigen Ausführungen. Eine Einbindung ist möglich, wenn die Nutzer*innen vorab in der Datenschutzerklärung informiert werden und eine Einwilligung eingeholt wurde.

Empfohlen wird die Einholung der Einwilligung durch die Implementierung einer Zwei-Klick-Lösung. Dabei werden bei Aufruf der Webseiten keine Daten der Nutzer*innen an den eingebundenen Anbieter übermittelt. Das Plugin (z. B. YouTube-Video, Social Media-Stream, (Google-) Maps – weitere Beispiele unter Punkt 4) erscheint lediglich als Vorschaubild. Erst mit dem Klick auf den Link „Video aktivieren/Karte aktivieren“ wird der Inhalt abgespielt bzw. geladen und abgespielt (siehe z. B. www.tugraz.at/studium/studienangebot/ueberblick-studienangebot/).

Bei der Verwendung von Anbietern aus nicht sicheren Drittländern, insbesondere der USA, ist Punkt 6 zu beachten.

9. Weiterführende Informationen?

Es gibt mehrere aktuelle Entscheidungen zu diesem Thema. Nachfolgend ist eine Auswahl aufgelistet:
Planet 49, BGH 28.05.2020, I ZR 7/16
Planet 49, EuGH 01.10.2019, C-673/17
Fashion ID, EuGH vom 29.07.2019, C-40/17
Österreichische Datenschutzbehörde 30.11.2018, DSB-D122.931/0003-DSB/2018

Relevante Rechtsgrundlagen:
DSGVO
ePrivacyRL
TKG