Haftungsrisiken im Datenschutz: So navigieren Webagenturen sicher durch die DSGVO

Wenn Webagenturen für Kunden Webseiten erstellen, müssen sie auch auf den Datenschutz achten. Hier drohen besondere Haftungsrisiken. Wir zeigen Ihnen, wann Sie haften und wie Sie mit den Risiken umgehen können.

Für Webagenturen ist die Frage der Haftung bei Datenschutzverletzungen des Kunden ein heikles Thema. Denn trotz aller Sorgfalt, die bei der Erstellung von Webseiten und der Implementierung von Datenschutzmaßnahmen walten gelassen wird, bleibt das Risiko von Datenschutzverletzungen bestehen. Die Frage ist also, ob eine Webagentur für Datenschutzverletzungen ihres Kunden haftbar gemacht werden kann. Grundsätzlich gilt, dass der Kunde, der personenbezogene Daten über seine Webseite verarbeitet, für die Einhaltung der Datenschutzbestimmungen verantwortlich ist. Dies bedeutet, dass der Kunde die Pflicht hat, die Daten seiner Webseitenbesucher zu schützen und angemessene technische und organisatorische Maßnahmen zu ergreifen, um dies zu gewährleisten.

Allerdings kann auch die Webagentur in gewissem Umfang in die Verantwortung genommen werden. Dies gilt vor allem dann, wenn die Agentur in die Verarbeitung personenbezogener Daten involviert ist und somit als Auftragsverarbeiter agiert. In diesem Fall ist die Agentur verpflichtet, sich an die Vorschriften der Datenschutz-Grundverordnung (DSGVO) zu halten und angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Daten ihrer Kunden zu schützen.

Wer haftet für die Verarbeitung der personenbezogenen Daten auf der Webseite Ihres Kunden?

Grundsätzlich haftet der Verantwortliche für die Verarbeitung der personenbezogenen Daten, also bei Webseiten der Inhaber der Webseite. Verstöße gegen das Datenschutzrecht betreffen also erst einmal den Verantwortlichen. Trotzdem kann die Webagentur für Datenschutzmängel gegenüber dem Kunden haften:

• Sofern im Vertrag eine Datenschutzkonformität der Webseite vertraglich vereinbart wurde, haftet die Agentur in jedem Fall für diese Eigenschaft.
• Wird die Beschaffenheit der Webseite nach Stand der Technik vorausgesetzt, kann auch daraus unter Umständen geschlossen werden, dass die Agentur gegenüber dem Kunden haftet, wenn die Webseite bestimmte Eigenschaften aufweist, die nicht datenschutzkonform sind.
• Fehler beim Datenschutz können unter Umständen auch grundsätzlich einen Mangel der Webseite darstellen, da als Werk eine rechtskonforme Webseite geschuldet wird. Ein Beispiel hierfür kann etwa eine falschen Konfiguration des Consent Banners sein. Aber auch die Bereitstellung einer Webseite ohne SSL-Verschlüsselung kann einen Mangel darstellen.

Die Haftungsfrage hängt immer von den konkreten Umständen des Verstoßes und den vertraglichen Vereinbarungen zwischen der Webagentur und dem Kunden ab.

Wie sieht es mit der Haftung als Auftragsverarbeiter aus?

Wenn Sie für Ihren Kunden das Hosting der Webseite übernehmen oder wenn Sie für ihn einen Analytics-Dienst auf einem Agentur-Server betreiben, dann handeln Sie unter Umständen als Auftragsverarbeiter. Als Auftragsverarbeiter sind Sie der ausführende Arm des Kunden, ohne eine eigene Gestaltungsmöglichkeit in der Nutzung der Daten zu haben. Auftragsverarbeiter müssen nach Art. 28 Abs. 1 DSGVO hinreichende Garantien geben, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Typische Beispiele für die Verletzung des Schutzes von personenbezogenen Daten sind beispielsweise Cyberangriffe, Serverabstürze, Viren und andere Attacken auf die IT. Sie müssen dafür Sorge tragen, dass die technischen und organisatorischen Maßnahmen dem Schutzniveau der von Ihnen verarbeiteten personenbezogenen Daten entsprechen. Dabei sind bestimmte personenbezogene Daten besonders geschützt: Nach Art. 9 DSGVO zählen dazu etwa Gesundheitsdaten, Biometrische Daten oder Daten zur sexuellen Orientierung. Diese müssen besonders geschützt werden. Hier sind zum Beispiel besondere Maßnahmen zur Verschlüsselung oder Anonymisierung von Daten erforderlich.

Sollte es trotz aller getroffenen Maßnahmen zu einem Datenschutzvorfall kommen, sind Sie dazu verpflichtet, den Vorfall unverzüglich an Ihren Kunden zu melden und ihm bei der Erfüllung seiner Meldepflichten zu unterstützen.

Wenn Sie als Auftragsverarbeiter tätig werden, müssen Sie mit Ihrem Kunden einen Vertrag über die Auftragsverarbeitung (AV-Vertrag) abschließen. In diesem Vertrag ist noch einmal definiert, um welche Daten es sich handelt und vor allem, welche Maßnahmen zum Schutz der personenbezogenen Daten sie ergreifen und welche Kontrollmöglichkeiten Sie ihrem Kunden zur Überprüfung der Schutzmaßnahmen einräumen. Es ist ratsam, im AV-Vertrag eine Regelung zur Haftung festzulegen, die die Verantwortlichkeiten und Haftungsfragen im Falle von Datenschutzverletzungen klärt. Vorlagen gibt es im Internet. Sicherer ist allerdings der Weg zum Datenschutzbeauftragten oder Rechtsanwalt. Diese können den Vertrag über die Auftragsverarbeitung für Ihre Zwecke anpassen.

Wer ist für die Inhalte bei Impressum, Datenschutzerklärung und Consent Banner verantwortlich?

Verantwortlicher ist der Inhaber der Webseite. Er muss deshalb auch prüfen, ob alle Inhalte auf der Webseite vollständig und rechtmäßig sind. Im besten Falle übernimmt Ihre Webagentur lediglich die vorbereiteten Inhalte Ihres Kunden und befüllt damit die Webseite. Macht der Kunde Vorgaben, die bereits rechtswidrig sind, ist es allerdings Ihre Pflicht den Kunden darüber aufzuklären.

Sie schulden ihm keine Rechtsberatung, das von Ihnen bereitgestellte Werk muss allerdings rechtskonform sein. Das heißt, Sie müssen ihren Kunden darauf hinweisen, wenn etwa die Datenschutzerklärung offensichtlich fehlerhaft ist. Zum Beispiel, wenn wichtige Angaben wie der Name des Verantwortlichen nicht gemacht werden oder auch bestimmte Verarbeitungsvorgänge, etwa beim Tracking, nicht benannt werden, obwohl sie wissen, dass diese auf der Webseite genutzt werden.

Wenn der Webseitenbetreiber Ihnen explizit aufträgt, sich um Impressum, Datenschutzerklärung und Consent Banner zu kümmern und sie diese Aufgabe übernehmen, haften Sie auch dafür, dass die Angaben mit den rechtlichen Vorgaben übereinstimmen. Tools für die Erstellung von entsprechenden Texten, etwa für die Datenschutzerklärung, bieten eine gute Hilfestellung. Sie unterstützen dabei, die wichtigsten Angaben zu machen und haben vorformulierte Textbausteine zum Beispiel für Plugins und Drittanbieter auf der Webseite. Diese Generatoren verringern das Risiko von Fehlern bei der Datenschutzerklärung. Sie befreien aber nicht aus der Haftung. Ob Sie Ihre Angaben richtig und vollständig gemacht haben, wird von den Generatoren nicht überprüft.

Sollten Sie die Inhalte also selbst zur Verfügung stellen, empfiehlt es sich, diese vorher von einem Anwalt oder einem Datenschutzbeauftragten prüfen zu lassen. Entsprechende Kosten können Sie eventuell an ihren Kunden weitergeben.

Download: Ihr kompletter Datenschutz Technik-Guide

Wie Sie mit Bordmitteln Datenschutzlücken auf den Websites Ihrer Kunden zuverlässig identifizieren.

Jetzt herunterladen

Was sind die größten Risiken bei der Datenschutzerklärung?

Tatsächlich liegt das größte Haftungsrisiko bei der Datenschutzerklärung darin, keine Datenschutzerklärung zu haben. Das Fehlen der Datenschutzerklärung ist ein unzweifelhafter Verstoß gegen die DSGVO und kann zudem von Wettbewerbern über das Gesetz gegen den unlauteren Wettbewerb (UWG) abgemahnt werden. Im Zweiten Schritt muss die Datenschutzerklärung vollständig sein. Vor allem muss der Verantwortliche und gegebenenfalls der Datenschutzbeauftragte aus der Erklärung hervorgehen. Zudem muss der Betroffene über seine Rechte vollständig aufgeklärt werden. In der Datenschutzerklärung müssen die verschiedenen Verarbeitungsvorgänge auf der Webseite, etwa durch Drittanbieter wie Google Analytics aber auch selbst gehostete Dienste wie Matomo aufgeführt sein. Services wie decareto helfen dabei, herauszufinden, wo und wie Daten auf der Webseite erfasst werden.

Wann sollte der Datenschutzbeauftragte des Kunden oder ein externer Datenschutzbeauftragter mit einbezogen werden?

Tatsächlich ist es wichtig, den Datenschutzbeauftragten schon bei der Planung der Webseite mit einzubeziehen. Schließlich ist es denkbar, dass bestimmte technische Komponenten oder Prozesse auf der Webseite nicht datenschutzkonform sind oder eine andere Einbindung erforderlich ist. Es ist immer teurer, Datenschutzfragen im Nachhinein zu lösen, als schon vor der Umsetzung zu berücksichtigen. Sie sollten also hierfür den Austausch mit den Datenschutzbeauftragten des Kunden suchen.

Zusammenfassung: Auf diese Punkte müssen Sie achten

• Nehmen Sie Datenschutz ernst und investieren Sie in Expertise auf diesem Gebiet. Zur Beschaffenheit Ihres Werks zählt auch die Rechtskonformität. Um diese gewährleisten zu können, brauchen Sie ein Grundwissen im Datenschutz.
• Als Auftragsverarbeiter müssen Sie mit ihrem Kunden einen Vertrag über eine Auftragsverarbeitung abschließen.
• Die von Ihnen ergriffenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Maßnahmen müssen dem Risiko für den Betroffenen bei einer möglichen Verletzung des Schutzes entsprechen.
• Holen Sie sich externe rechtliche Unterstützung gleich zu Beginn eines Projektes mit ans Boot. Nichts ist teurer als ein Projekt, das scheitert, weil es rechtlichen Vorgaben widerspricht.

Den Datenschutz im Griff

Der IT- und Datenschutzexperte Rafael Gaus unterstützt mit seiner Firma Konzepttreu GmBH Unternehmer und Soloselbständige in der Region Südniedersachsen bei Webdesign, Suchmaschinenmarketing und Datenschutz. Im Interview mit Decareto beschreibt er, welche Rolle der Datenschutz in seiner Firma hat.

Herr Gaus, Sie sind Inhaber einer Web-Agentur. Wo taucht in Ihrer Arbeit das Thema Datenschutz auf?

Zuerst natürlich bei mir selbst. Ich muss den Datenschutz in meiner eigenen Firma im Griff haben. Das fängt etwa beim ersten Kundenkontakt an, bei dem ich den Kunden über die Verarbeitung seiner personenbezogenen Daten aufkläre. Tatsächlich hat sich hier die Sensibilität der Kunden auch verändert. Früher musste ich selbst darauf hinweisen, dass meine Kunden und ich einen Vertrag über eine Auftragsverarbeitung abschließen müssen. Heute kommen die Kunden von sich aus auf mich zu.

Verstehen Sie sich denn als Auftragsverarbeiter?

Definitiv. Wenn es nur um Webdesign gehen würde, wäre das nicht der Fall. Aber ich mache ja deut-lich mehr für meine Kunden. Ab dem Moment, wo Mitarbeiterfotos verarbeitet werden, Tracking-technologien im Einsatz sind, ist es auch schon vorbei. Und auch, wenn ich mich um das Webhosting kümmere und die entsprechenden Hostingpakete meiner Kunden verwalte, fließen personenbezogene Daten wie die IP-Adressen. Dann bin ich definitiv Auftragsverarbeiter und ein entsprechender Vertrag ist notwendig.

Kümmern Sie sich auch um die Datenschutzerklärung Ihrer Kunden?

Ich mache meinen Kunden einen Vorschlag für eine Datenschutzerklärung, wenn sie das wünschen. Wenn die Kunden das noch einmal gegenprüfen lassen wollen, etwa von einem Anwalt, ist das natürlich auch in Ordnung. Schon allein aus der Haftung heraus nehme ich Datenschutzfragen in meine Beratung mit auf: Etwa die Nutzung von Bannern und Consent-Management-Systemen. Und manchmal gebe ich auch Tipps, ob manche Tools nicht überlegenswert wären, etwa Matomo als Ersatz für Google Analytics.

Werden Sie extern durch einen Datenschutzbeauftragten unterstützt?

Früher habe ich mir Hilfe geholt. Inzwischen bin ich selbst als Datenschutzbeauftragter ausgebildet. Nicht, dass ich als solcher arbeite, für mich war es allerdings wichtig, die Materie besser zu verstehen.

Autor: Henning Zander

Henning Zander ist zertifizierter externer Datenschutzbeauftragter (TÜV) und Spezialist für Themen rund um datenschutzrechtliche Anforderungen im Gesundheitssektor.Zu seinen Kunden gehören insbesondere Arzt-, Zahnarzt- und psychotherapeutische Praxen sowie Apotheken im norddeutschen Raum.