Rechtssicher online unterwegs

VonStephan Wagner

Was DDG und TDDDG für Unternehmenswebsites bedeuten

Eine moderne Website gehört heute zu jedem Unternehmen dazu. Genauso gehört der Datenschutz dazu, ob er Ihnen gefällt oder nicht. Spätestens seit Mai 2024 kommen viele Verantwortliche ins Grübeln. Neue Gesetze, neue Abkürzungen, neue Pflichten. Was bedeutet das für Ihr Impressum, Ihre Datenschutzerklärung und Ihren Cookie Banner

Ich zeige Ihnen in diesem Beitrag, worauf Unternehmen jetzt achten sollten und wie Sie Ihre Website mit überschaubarem Aufwand rechtssicher und vertrauenswürdig aufstellen. Ganz ohne Paragrafen Orkan, dafür mit gesundem Menschenverstand und einer Brise Nordwind von Sylt.

1. Was sich 2024 geändert hat: DDG und TDDDG kurz erklärt

Bis 2024 drehte sich vieles um TMG und TTDSG. Diese Abkürzungen sind Geschichte.

Seit 14. Mai 2024 gilt:

  1. Das Digitale Dienste Gesetz, kurz DDG, regelt unter anderem Impressum und Anbieterkennzeichnung.
  2. Das Telekommunikation Digitale Dienste Datenschutz Gesetz, kurz TDDDG, regelt die Einwilligungspflichten für Cookies und andere Tracking Technologien.

Für Sie als Unternehmensleitung bedeutet das vor allem zwei Dinge

  1. Ihr Impressum muss sich am DDG orientieren.
  2. Ihr Umgang mit Cookies und Tracking Werkzeugen muss zum TDDDG passen.

Oder einfacher Die Texte auf Ihrer Website und Ihr Cookie Banner müssen den neuen Namen und den neuen Spielregeln folgen.

2. Typische Baustellen auf Unternehmenswebsites

Wenn ich Websites von Unternehmen prüfe, sehe ich immer wieder ähnliche Punkte

  1. Im Impressum wird noch auf das TMG verwiesen.
  2. In der Datenschutzerklärung stehen veraltete Gesetzesverweise wie TTDSG.
  3. Es gibt einen Cookie Hinweis statt eines sauberen Consent Banners.
  4. Analyse Werkzeuge laufen schon beim ersten Seitenaufruf, bevor jemand zugestimmt hat.

Ein Beispiel aus der Praxis
Ein produzierendes Unternehmen mit rund 120 Mitarbeitenden betreibt eine Firmenwebsite mit Karrierebereich. Im Impressum steht noch das TMG, in der Datenschutzerklärung das TTDSG. Beim Öffnen der Seite feuert ein Statistik Tool sofort. Nach der Umstellung auf DDG und TDDDG, der Einrichtung eines sauberen Consent Managements und einer aktualisierten Datenschutzerklärung ist die Website wieder auf Kurs.

So etwas lässt sich in der Regel in wenigen Schritten beheben. Wichtig ist nur, dass es jemand bewusst anpackt.

3. Pflichtprogramm für Unternehmenswebsites

3.1 Aktuelle Datenschutzerklärung und Anbieterkennzeichnung

Ihre Website braucht eine verständliche, aktuelle Datenschutzerklärung, die

  1. alle eingesetzten Dienste, Analyse Werkzeuge, Plugins und Cookies benennt
  2. erklärt, wofür die Daten genutzt werden
  3. die passenden Rechtsgrundlagen nennt
  4. aufzeigt, wer verantwortlich ist und wie Betroffene Sie erreichen

Gleiches gilt für das Impressum Es muss die Vorgaben des DDG erfüllen und rechtssicher erkennen lassen, wer hinter dem Angebot steht.

Wenn Sie keine eigene Rechtsabteilung im Haus haben, sind geprüfte Generatoren eine pragmatische Lösung, etwa von Anbietern wie Kammern oder spezialisierten Dienstleistern. Wichtig ist aber, dass jemand die Texte auf Ihre tatsächlichen Verarbeitungen anpasst. Standard Bausteine allein reichen meist nicht.

3.2 Cookie Banner und Consent Management nach TDDDG

Mit dem TDDDG ist klarer geworden

Alles, was über technisch notwendige Cookies hinausgeht, braucht vorab eine Einwilligung.

Dazu zählen insbesondere

  1. Statistik und Analyse Dienste
  2. Marketing und Tracking Werkzeuge
  3. viele Social Media Einbindungen
  4. externe Dienste zur Profilbildung oder Reichweitenmessung

Diese Einwilligung holen Sie über ein Consent Management Tool ein. Für viele Unternehmenswebsites sind unter anderem folgende Lösungen interessant

  1. Borlabs Cookie
    Deutsche Lösung, läuft in der Regel im eigenen Webspace, dokumentiert Einwilligungen und wird rechtlich und technisch laufend weiterentwickelt.
  2. Complianz
    Bietet zahlreiche Komfortfunktionen, unterstützt mehrere Sprachen und richtet sich auch an Unternehmen, die mehrere Websites oder Länderversionen betreiben.

Wichtig ist weniger der Name des Werkzeugs, sondern die saubere Konfiguration

  1. Keine nicht notwendigen Cookies vor Einwilligung
  2. Klare Auswahlmöglichkeiten statt Friss oder stirb
  3. Dokumentation der Einwilligungen
  4. Einfache Möglichkeit zum Widerruf

3.3 Technisch notwendige Cookies

Nicht alles braucht eine Einwilligung. Technisch erforderliche Cookies dürfen in der Regel ohne Opt In gesetzt werden, zum Beispiel

  1. Warenkorb Funktionen im Online Shop
  2. Login Bereiche für Kundenportale
  3. Sicherheitsrelevante Cookies, die zum Schutz der Seite nötig sind

Sobald ein Dienst aber auch zur Auswertung von Nutzungsverhalten oder zu Marketingzwecken eingesetzt wird, sind Sie schnell im Bereich der einwilligungspflichtigen Verarbeitung.

4. Kontaktformulare und andere Datenerhebungen

Neben Cookies sind Kontaktformulare ein Klassiker auf Unternehmenswebsites. Auch hier gilt Transparenz

  1. Direkt beim Formular kurz erklären, wofür die Daten genutzt werden.
  2. Auf die Datenschutzerklärung verlinken.
  3. Nur die Daten abfragen, die Sie wirklich benötigen.
  4. Speicherdauer festlegen und technisch umsetzen.

Wer zusätzlich Bewerbungsformulare, Newsletter Anmeldungen oder Terminbuchungstools nutzt, sollte diese Stellen in der Datenschutzerklärung klar und verständlich beschreiben. Aus Sicht der Aufsichtsbehörde sind das oft die ersten Punkte, auf die geschaut wird.

5. Schritt für Schritt zu einer rechtssicheren Website

Wenn Sie das Thema strukturiert angehen möchten, hat sich in der Praxis folgende Reihenfolge bewährt

  1. Bestandsaufnahme
    Welche Tools, Plugins und externen Dienste sind im Einsatz
    Welche Cookies werden gesetzt
    Welche Daten verarbeitet Ihre Website an welchen Stellen
  2. Impressum und Datenschutzerklärung prüfen und aktualisieren
    Veraltete Gesetzesverweise entfernen
    DDG und TDDDG als neue Rechtsgrundlagen einarbeiten
    Textbausteine an Ihre tatsächlichen Verarbeitungen anpassen
  3. Consent Management aufsetzen oder nachjustieren
    Geeignetes Tool auswählen
    Dienste in Kategorien einordnen
    Banner so konfigurieren, dass erst nach Einwilligung Daten an Analyse oder Marketing Dienste fließen
  4. Technische Kontrolle
    Mit einem Cookie Scanner oder Entwickler Werkzeugen prüfen, ob wirklich keine nicht notwendigen Cookies vor Einwilligung gesetzt werden
    Testen mit verschiedenen Browsern und Endgeräten
  5. Dokumentation und Verantwortlichkeiten
    Festhalten, welche Tools eingesetzt werden und auf welcher Grundlage
    Zuständigkeit im Unternehmen klären Wer behält das Thema im Blick
    Prozesse definieren, wie Änderungen an der Website datenschutzgerecht umgesetzt werden

6. Drei pragmatische Empfehlungen aus der Beratungspraxis

  1. Technik verschlanken
    Je weniger externe Dienste, desto leichter wird Datenschutz und IT Sicherheit. Fragen Sie bei jedem Plugin Brauchen wir das wirklich
  2. Offen kommunizieren
    Machen Sie Datenschutz nicht zum Versteckspiel. Wer klar erklärt, wie verantwortungsvoll mit Daten umgegangen wird, gewinnt Vertrauen bei Kundinnen und Kunden, Bewerbenden und Partnern.
  3. Regelmäßig kurz prüfen
    Ein kurzer Check alle paar Monate ist besser als eine große Baustelle alle drei Jahre. Gerade nach Relaunches oder wenn die Agentur neue Tools einbaut, lohnt sich ein Blick.

7. Fazit: Datenschutz auf der Website ist Chefsache, aber kein Monsterprojekt

Für Unternehmen ist Datenschutz auf der Website vor allem eine Frage von Klarheit und Zuständigkeit.

Wenn

  1. Impressum und Datenschutzerklärung auf DDG und TDDDG angepasst sind
  2. Ihr Cookie Banner sauber arbeitet und Einwilligungen wirklich steuert
  3. Formulare und weitere Datenerhebungen verständlich erklärt und technisch sauber umgesetzt sind

dann haben Sie bereits einen großen Schritt gemacht.

Sie müssen dafür keine halbe Kanzlei im Haus aufbauen. Aber es hilft, eine Person oder einen externen Datenschutzbeauftragten an der Seite zu haben, die das Thema strukturiert begleitet. Genau dort setze ich mit LexGeneralis-Datenschutzconsulting an.

8. Wie es weitergehen kann

Wenn Sie sich fragen

Wann haben wir zuletzt unser Impressum, unsere Datenschutzerklärung und unser Cookie Banner wirklich geprüft

dann ist das ein guter Zeitpunkt, das Thema anzupacken.

Ich unterstütze Sie zum Beispiel bei

  1. der Bestandsaufnahme Ihrer aktuellen Website
  2. der rechtssicheren Aktualisierung von Impressum und Datenschutzerklärung
  3. der Auswahl und Einrichtung eines passenden Consent Managements
  4. der Schulung Ihrer Mitarbeitenden, damit Änderungen an der Website nicht wieder neue Risiken eröffnen

Als Jurist, TÜV zertifizierter Datenschutzbeauftragter und nördlichster Datenschutzbeauftragter Deutschlands auf Sylt kenne ich die Anforderungen der Aufsichtsbehörden und die Realität in Unternehmen sehr genau. Ziel ist immer dasselbe Datenschutz, der funktioniert, ohne Ihren Alltag zu blockieren.

Dieser Beitrag ersetzt keine individuelle Rechtsberatung. Er soll Ihnen eine klare Orientierung geben, worauf Sie jetzt achten sollten. Wenn Sie Ihre Website konkret prüfen oder anpassen möchten, melden Sie sich gern direkt bei LexGeneralis-Datenschutzconsulting.

Ähnliche Beiträge