Jetzt Mitglied werden!
eRecht24.de

Hosting: DSGVO & andere rechtliche Fallstricke

10 Punkte, auf die Unternehmen beim Webhosting achten sollten

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(39 Bewertungen, 4.23 von 5)

Das Wichtigste in Kürze

  • Wenn Sie eine Domain für Ihre Webseite registrieren, sollten Sie bei der Wahl des Domainnamens auf Markenrechte und Namensrechte achten. Sonst kann es teuer werden.
  • Um Ihre Webseite zu betreiben, benötigen Sie Webspace bei einem Hoster/ Provider.
  • Bei Hostingverträgen gibt es zahlreiche datenschutzrechtliche Fragen, die Sie vor Abschluss des Vertrages durchdenken müssen.
Ich möchte mich ausführlich informieren Ich möchte meine Webseite absichern

Worum geht's?

Sie haben eine Idee für ein Produkt, einen Shop oder eine Dienstleistung und möchten direkt mit der Website starten? Gleich am Anfang stellen sich für Sie wahrscheinlich einige Fragen: Darf ich jede Domain verwenden, die ich möchte? Wo soll ich meine Website hosten? Brauche ich einen eigenen Server? Was sollte ich beim Hosting-Vertrag beachten? Muss ich meine Webseite verschlüsseln? Was gilt beim Hosting laut Datenschutzgrundverordnung (DSGVO) und Datenschutz? Und darf ich alle Inhalte posten, wie es mir gefällt – oder kann ich mich haftbar machen? Diese und weitere Fragen klären wir in diesem ausführlichen Artikel.

 

 

1. Domains: Welche Bezeichnung darf ich nutzen – und welche nicht?

Bevor Sie sich eine eigene Website aufbauen können, müssen Sie sich zunächst überlegen, wie diese überhaupt heißen soll. Wichtig für den Einstieg: Finden Sie einen Domainnamen, der Ihr Unternehmen, Projekt oder Sie selbst treffend beschreibt. Ihre Besucher sollten die Website mit Ihrem Angebot verbinden können – je höher der Wiederkennungswert, desto einfacher können sich Nutzer an Ihre Seite erinnern.

Wie Sie einen passenden Domainnamen finden, ohne Rechte von Dritten zu verletzen und welche Bezeichnungen Sie für Ihre Domain nicht verwenden sollten, lesen Sie in den folgenden Artikeln:

2. Muss ich meine Domain SSL-verschlüsseln?

Ja, das müssen Sie. Spätestens seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 ist die Verschlüsselung von Internetadressen und Websites Pflicht, wenn Sie auf Ihrer Seite personenbezogene Daten abfragen. Dies ist immer dann der Fall, wenn Nutzer etwas in Freifelder eintragen müssen.

Ohnehin spielt Ihnen eine SSL-Verschlüsselung Ihrer Domain in die eigenen Karten: User bewerten verschlüsselte Webseiten als vertrauenswürdiger und positiver. Dies wirkt sich direkt auf das Ranking Ihrer Seite bei Google aus.

Zum Artikel

LESEEMPFEHLUNG

Mehr zum Thema SSL-Zertifikat und SSL-Verschlüsselung lesen Sie in unserem Artikel "IT-Sicherheit: Wie SSL-Zertifikate vor den Gefahren im Internet schützen".

Zum Artikel

3. Webhosting und was Sie dabei beachten müssen

Wenn Sie eine Homepage betreiben möchten, brauchen Sie in der Regel einen Webhoster. Über diesen erhalten Sie Webspace – also Speicherplatz –, um Ihre Firmenwebsite auf dem Webserver unterzubringen. Die Daten der Website liegen dann auf dem Server bereit und sind ständig abrufbar. Zudem kümmert sich der Webhost meist auch um die Registrierung Ihrer Domain. Worauf Sie beim Server Hosting achten müssen und welche Rechten und Pflichten Sie haben, erfahren Sie jetzt.

Welche Hosting-Lösungen gibt es?

Als Seitenbetreiber haben Sie die Wahl aus verschiedenen Lösungen des Webhostings:

  • Shared Hosting: Sie teilen sich mit anderen Seitenbetreibern einen Server und dessen Ressourcen wie etwa Bandbreite, RAM, CPU-Leistung und Strom. Dadurch ist das Webhosting sehr günstig – stürzt jedoch der Server ab, kann es passieren, dass alle Websites offline gehen.
  • VPS-Hosting: Auch hier teilen Sie sich einen Server mit anderen Nutzern. Das kann lange Seitenladezeiten nach sich ziehen, wenn der Hosting-Anbieter den Zugriff an zu viele Seitenbetreiber verkauft. Allerdings lassen sich hier dezidierte Ressourcen buchen und Seitenbetreiber haben in der Regel mehr Zugriffsrechte.
  • Cloud-Hosting: Bei dieser Form wird die Seite auf mehreren Servern in einer Cloud gehostet. Der Vorteil liegt darin, dass die Website auf einem anderen Server weiterlaufen kann, sollte einmal einer ausfallen. Daher ist diese Variante mittlerweile weit verbreitet. Kostentechnisch unterscheidet es sich kaum vom VPS-Hosting.
  • Dedicated Hosting: Entscheiden Sie sich für diese Möglichkeit, mieten Sie einen eigenen Server im Rechenzentrum, um die Webseite zu hosten. Einen eigenen Server müssen Sie aber auch selbst verwalten – und das ist nicht nur aufwendig, sondern auch teuer. Dafür hat Ihre Website auch bei hohem Traffic schnelle Ladezeiten.

Welche Rechte und Pflichten beim Webhosting habe ich als Seitenbetreiber?

Beim Webhosting gehen Sie mit dem Webhost einen Vertrag ein. Dementsprechend haben Sie beide unterschiedliche Rechte und Pflichten: Der Webhoster stellt dem Kunden Speicherplatz und Anbindung an das Internet zur Verfügung. Dafür verpflichtet Sie sich als Kunde, für diese Leistungen gemäß Webhosting-Vertrag zu zahlen.

Geregelt werden die Rechte und Pflichten in einem Hosting-Vertrag. Dieser legt auch fest, dass es dem Kunden untersagt ist, rechtswidrige Inhalte auf seiner Website (und damit auf dem Webserver des Hostinganbieters) zu veröffentlichen. Der Webhost kann so sein Haftungsrisiko beschränken – die Linkhaftung obliegt dem Seitenbetreiber.

Kunde und Hoster können im Vertrag auch zusätzliche Leistungen vereinbaren, wie zum Beispiel Speicherplatz für E-Mails und die zugehörige Software oder eine Wartung der Unternehmenswebsite inklusive Backups und weiterer technischer Maßnahmen.

4. Rechtliche Fallstricke beim Webhosting

Hosting-Verträge werden auf längere Dauer abgeschlossen, weshalb es sich um ein Dauerschuldverhältnis handelt. Sie lassen sich also sowohl ordentlich als auch außerordentlich kündigen. Doch worunter fällt der Hosting-Vertrag genau – und welche rechtlichen Fallstricke sollten Sie als Seitenbetreiber beachten?

Wie ist ein Hosting-Vertrag rechtlich einzuordnen?

Wie ein Hosting-Vertrag rechtlich eingeordnet wird, entscheidet darüber, welche Leistungspflichten der Webhoster hat. Allerdings ist sich die Rechtsprechung hierüber nicht ganz einig.

Unbestritten ist, dass Hosting-Verträge zumindest im Kern Mietverträge sind – schließlich mieten Sie als Kunde ja den Speicherplatz vom Hostinganbieter, um Ihre Webseite auf dessen Servern zu hosten. Der Host hat die Pflicht, die vermietete Sache (den Speicherplatz auf dem Webserver) zu warten.

Dennoch ist der Hosting-Vertrag mehr als ein Mietvertrag: Noch wichtiger als der Speicherplatz ist für Sie als Seitenbetreiber nämlich der Zugang zum Netz – denn dieser ist für den Erfolg Ihrer Webseite entscheidend. Schließlich bringt die beste Website nichts, wenn sie niemand im Internet finden und aufrufen kann. Da der Erfolg dieser Leistung für den Kunden wesentlich ist, wird der Hosting-Vertrag auch als Werkvertrag eingestuft.

Er enthält aber auch Elemente eines Dienstvertrags – und ist so nach Ansicht des Bundesgerichtshofes (BGH) ein typengemischter Vertrag. Legt der Hosting-Vertrag fest, dass es die Hauptleistung des Hosters ist, zu gewährleisten, dass die Website des Kunden im Netz abrufbar ist, lässt sich von einem Werkvertrag ausgehen.

Wer haftet wofür?

Webhoster sind nicht verpflichtet, die Inhalte der gehosteten Websites zu überwachen. Veröffentlicht der Seitenbetreiber also beispielsweise rechtswidrige Inhalte, ist auch er dafür haftbar. Anders sieht es aus, wenn der Hoster über die rechtswidrigen Inhalte Kenntnis erlangt: Dann ist er verpflichtet, diese umgehend zu sperren bzw. sie zu entfernen.

Ist die Website nicht erreichbar, haftet der Webhost – schließlich ist das die Leistung, die er seinem Kunden zur Verfügung stellt. Er ist verpflichtet, den Zugang zur Website schnellstmöglich wieder sicherzustellen. Auch wenn es vergleichsweise selten vorkommt, dass eine Website über längere Zeit nicht erreichbar ist, hat der Kunde in diesem Fall Ansprüche. Er kann vom Webhoster Schadensersatz verlangen, wenn ihm dadurch etwa Umsatzeinbußen entstehen. Das gilt aber nur dann, wenn der Hostinganbieter auch für die Störungen verantwortlich ist.

Versucht der Webhoster im Vertrag seine Haftung für Ausfälle auszuschließen, ist dies nach dem AGB-Recht nur sehr eingeschränkt zulässig. So hat zum Beispiel das Landgericht Karlsruhe in einem Urteil (Aktenzeichen 13 O 180/04 KfH I) eine sogenannte Gesamtverfügbarkeitsklausel für unzulässig erklärt. Diese legt fest, dass der Webhoster nur eine Erreichbarkeit seines Hosting-Servers „von 99 % im Jahresmittel“ sicherstellt. Ist die Website also an drei Tagen im Jahr nicht erreichbar, würde der Webhost dafür nicht haftbar sein. Das Gericht erklärte dies für unzulässig: Schließlich sei es die Hauptaufgabe des Webhosters, die Erreichbarkeit der Website zu gewährleisten.

ACHTUNG

Ist die Website also an drei Tagen im Jahr nicht erreichbar, würde der Webhost dafür nicht haftbar sein. Das Gericht erklärte dies für unzulässig: Schließlich sei es die Hauptaufgabe des Webhosters, die Erreichbarkeit der Website zu gewährleisten. Dies gilt jedoch nicht, wenn der Webhoster wegen unverschuldeter Störungen keinen Einfluss auf die Nicht-Erreichbarkeit hat.

5. Wie hoste ich eine Website?

Um Ihre Website zu hosten, gehen Sie wie folgt vor:

Schritt 1: Das passende Content Management System für Ihre Website wählen

Wenn Sie Ihre Website nicht selbst programmieren wollen, sollten Sie sich zunächst nach einem passenden Content Management System (CMS) umschauen. Am populärsten ist WordPress, es gibt aber auch andere Dienstleister wie beispielsweise Contao, Typo3 oder fertige Baukastensysteme wie Wix und Jimdo.

WordPress ist nicht ohne Grund so beliebt: Nutzer finden in diesem Content Management System eine Vielzahl kostenloser Plugins und Designs (Themes), mit denen sich die eigene Website auf die jeweiligen Bedürfnisse anpassen lässt. Grundkenntnisse in CSS und HTML sind aber auch bei WordPress wichtig. Wer sich ein bisschen mit dem CMS auseinandersetzt, kann seine Seite genau so individualisieren, wie er es sich wünscht.

Baukastensysteme wie Wix oder Jimdo sind da eingeschränkter. Hier können Nutzer nur aus einer begrenzten Auswahl an Designs, Templates und Funktionen wählen – müssen dafür aber kein Verständnis von Webdesign oder Programmierung mitbringen. Wer sich etwa nur eine Landingpage für den Internetauftritt seines kleinen Betriebs wünscht und keinen aufwendigen Blog oder Online Shops mit zusätzlichen Web-Anwendungen betreiben möchte, für den kann ein Baukastensystem genau das Richtige sein.

Schritt 2: Passenden Hosting-Provider auswählen

Als nächstes geht es an die Wahl des passenden Providers für das Server Hosting – Sie entscheiden sich also nun, wo Ihre Website gehostet werden soll. Dieser Schritt entfällt, wenn Sie sich für ein Baukastensystem entscheiden, denn hier wird die Website direkt beim jeweiligen Anbieter gehostet.

Der Leistungsumfang der verschiedenen Anbieter variiert erheblich: Sie können eine einfache Website über Hosting-Server mit Skriptsprachenunterstützung und Datenbank-Backend buchen oder auch Webhosting-Pakete, in denen bereits ein CMS, Datensicherung, statistische Auswertungen und weitere Features inkludiert sind. Die unterschiedlichen Webhosting-Pakete der Anbieter unterscheiden sich auch in der Anzahl der buchbaren Internetadressen, dem verfügbaren Webspace, dem Arbeitsspeicher sowie der Anzahl an E-Mail-Adressen und Datenbanken.

Schritt 3: Auf Vertrauenswürdigkeit achten

Achten Sie darauf, dass Sie sich bei der Wahl des passenden Hosting-Providers für einen vertrauenswürdigen Anbieter entscheiden. Zu diesen gehören etwa:

  • Mittwald
  • Hetzner
  • DomainFactory
  • All-Inkl
  • Alfa-Hosting

ACHTUNG

Nicht nur Vertrauenswürdigkeit und schnelle Ladezeiten spielen eine wichtige Rolle: Zudem sollte sich der Serverstandort in Deutschland bzw. der EU befinden (siehe auch: Punkt 7). Auch ein guten Support-Service kann ein wichtiges Auswahlkriterium sein.

Schritt 4: Webhosting-Vertrag (AV-Vertrag) mit der Hosting-Firma schließen

Wenn Sie bei einem Hosting-Anbieter Webspace mieten, hat dieser Zugriff auf die Daten Ihrer Kunden – je nach Ausgestaltung z. B. auf die IP-Adresse oder die E-Mail-Adresse. Sie beauftragen damit einen externen Dienstleister, personenbezogene Daten zu verarbeiten, der weisungsgebunden für Sie tätig ist.

Aus diesem Grund ist ein Vertrag zur Auftragsverarbeitung - früher Auftragsdatenverarbeitung - (AV-Vertrag) unerlässlich. Durch AV-Verträge garantiert die Hosting-Firma, dass sie technisch und organisatorisch alles Erforderliche tut, um die datenschutzrechtlichen Vorgaben und Rechte der Kunden bei der Datenverarbeitung einzuhalten und zu schützen. Dies können Sie dann wiederum gegenüber Ihren Kunden sicherstellen.

Ein korrekter Auftragsverarbeitungsvertrag sollte folgende Punkte beinhalten:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Ihre eigenen Pflichten und Rechte
  • Rechte und Pflichten der Hosting-Firma

Sobald Sie einen externen Dienstleister damit beauftragen, weisungsgebunden personenbezogene Daten zu verarbeiten, sind Sie als Auftraggeber dennoch für die ordnungsgemäße Datenverarbeitung und den Datenschutz verantwortlich. Der Hostinganbieter muss bzw. darf:

  • nur auf Ihre Weisung handeln (dies müssen Sie dokumentieren).
  • die Personen, die Daten verarbeiten, zur Vertraulichkeit und Verschwiegenheit verpflichten.
  • umfassende technische und organisatorische Maßnahmen zum Schutz der Daten ergreifen (Daten pseudonymisieren, verschlüsseln, vertraulich behandeln).
  • Sie nach Möglichkeit dabei unterstützen, dass Betroffene ihre Rechte wahrnehmen können, die sie Ihnen gegenüber haben.
  • nach der Verarbeitung die personenbezogenen Daten sowie alle Kopien löschen bzw. zurückgeben.
  • Ihnen Nachweise zur Verfügung stellen, dass sie die Pflichten einhält.
  • Ihnen eine Überprüfung ermöglichen.
  • sich an diese Regeln halten und selbst eine Auftragsverarbeitung schließen, wenn sie weitere Firmen mit der Datenverarbeitung beauftragt.
  • Verstöße gegen die Vorschriften mitteilen.
Zum Artikel

LESETIPP: HOSTING-ANBIETER

Auf dem Markt gibt es zahlreiche Hosting-Anbieter. Aber welcher ist der richtige für Sie? In unserem Artikel "So finden Sie den richtigen Hosting-Anbieter für Ihre Website" lesen Sie mehr dazu.

Zum Artikel

Schritt 5: Kundenkonto beim Provider anlegen & CMS installieren

Haben Sie sich für eine Hosting-Firma entschieden, können Sie nun dort ein Kundenkonto anlegen und den passenden Plan auswählen. Danach suchen Sie das passende CMS aus – WordPress lässt sich etwa bereits mit wenigen Klicks installieren.

Im Anschluss können Sie nun kreativ werden und die unterschiedlichen Themes bzw. Designs ausprobieren, bis Sie das für Ihre Website richtige gefunden haben. Dann geht es an die Inhalte: Überlegen Sie, was auf Ihrer Website stehen soll. Typisch sind etwa die folgenden Unterseiten:

  • Homepage/Startseite
  • Über mich
  • Angebot (Dienstleistungen oder Produkte)
  • Preise
  • Portfolio/Kundenstimmen
  • Kontakt

Lassen Sie sich Zeit mit der Erstellung Ihrer Websitetexte – schließlich sind sie das Aushängeschild für Ihr Unternehmen.

ACHTUNG

Vergessen Sie auch nicht das Impressum und die Datenschutzerklärung.

Schritt 6: Datenverarbeitung in die Datenschutzerklärung aufnehmen

Nehmen Sie die Datenverarbeitung in Ihre Datenschutzerklärung auf. Machen Sie insbesondere die folgenden Angaben zum Zeitpunkt der Datenerhebung:

  • Warum erheben Sie personenbezogene Daten, was ist der Zweck?
  • Wie lauten der Name und die Adresse des Hosters?
  • Auf Basis welcher Rechtsgrundlage erheben Sie die Daten? Dies ist abhängig vom Zweck Ihrer Website, zum Beispiel zur Erfüllung des Vertrages gegenüber Kunden oder zur Wahrung Ihrer berechtigten Interessen an der Bereitstellung des Online-Angebots durch einen professionellen Anbieter.
  • Übertragen Sie die Daten an Dritte? Wenn ja, wer ist Empfänger oder zu welcher Kategorie gehören die Empfänger? (Hostingfirma)
  • Haben Sie eine Auftragsverarbeitung? (Siehe oben)
  • Übertragen Sie die Daten ins Ausland, an eine internationale Organisation oder haben Sie die Absicht dazu? (Je nachdem, wo der Hoster sitzt)
  • Welche Daten erheben Sie? (Je nach Nutzung, zum Beispiel IP-Adressen, Kontaktanfragen, Vertragsdaten, Namen, Kontaktdaten, Websitezugriffe, Vertragsdaten)
  • Was machen Sie mit den Daten? (Der Hoster speichert sie)
  • Wie lange speichern Sie die personenbezogenen Daten der Nutzer bzw. nach welchen Kriterien legen Sie die Dauer fest? (Solange es zur Erfüllung der Leistungspflichten des Hosters erforderlich ist)

ACHTUNG

Bei diesen Angaben handelt es sich um ein Beispiel. Je nachdem, welche Leistungen Sie selbst anbieten, welche Daten Sie dazu verarbeiten und welche Leistungen die Hostingfirma konkret für Sie übernimmt, variieren die Angaben.

Wenn Sie als Webseitenbetreiber mit Agenturen oder Webdesignern zusammenarbeiten müssen Sie mit diesen Dienstleistern einen AV- Vertrag abschließen. Als eRecht24-Premium-Mitglied können Sie dafür den „Mustervertrag zur Auftragsverarbeitung nach DSGVO“ nutzen. Dieses Muster können Sie für sich und Ihren Vertragspartner anpassen.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

6. Cloud-Server und DSGVO: Worauf muss ich achten?

Heutzutage nutzt fast jedes Unternehmen für das Webhosting seiner Websites Cloud-Server. Die Webseiten werden also nicht auf einem physikalischen Hosting-Server gespeichert, sondern auf virtuellen Server-Ressourcen im Internet. Auch dabei geht es natürlich um den Schutz personenbezogener Daten.

Was ist, wenn meine Daten außerhalb der EU gespeichert werden?

Immer, wenn personenbezogene Daten in einem Staat verarbeitet werden, der außerhalb der EU liegt, stellt sich die Frage: Ist ein angemessenes Schutzniveau gewährleistet? Denn nur wenn das Niveau vergleichbar mit dem der DSGVO ist, ist die Datenverarbeitung in den USA oder anderen Drittländern zulässig. Das gilt genauso, wenn Sie Daten auf Servern oder in der Cloud außerhalb der EU speichern.

Ein angemessenes Schutzniveau erhalten Sie auf verschiedenen Wegen:

  • Es gibt einen Angemessenheitsbeschluss.
  • Sie schließen Standardvertragsklauseln ab und führen eine Risikoabwägung durch.
  • Sie verschlüsseln die Daten.

Der Datentransfer in Drittstaaten ist kritisch, aber nicht per se ausgeschlossen. Dies zeigen auch die Urteile des VG Neustadt a. d. Weinstraße (Urteil vom 27.10.2022, Az. 3 L 763/22.NW) und des OLG Karlsruhe (Urteil vom 07.09.2022, Az. 15 Verg 8/22). Erfolgt die Datenverarbeitung ausschließlich in europäischen Rechenzentren unter Nutzung europäisch registrierter IP-Adressen und sind die Daten verschlüsselt, werden die Anforderungen der DSGVO eingehalten.

Was ist ein Angemessenheitsbeschluss?

Ein Angemessenheitsbeschluss der EU-Kommission besagt, dass ein bestimmter Drittstaat ein Datenschutzniveau aufweist, das mit dem der Europäischen Union vergleichbar ist. Sofern die EU-Kommission für das Land, in dem Sie die personenbezogenen Daten speichern, einen Angemessenheitsbeschluss erlassen hat, sind Sie datenschutzrechtlich auf der sicheren Seite.

Hier finden Sie eine Liste der aktuell erlassenen Angemessenheitsbeschlüsse.

Gibt es keinen Angemessenheitsbeschluss, haben Sie eine weitere Möglichkeit. Sie können mit dem Cloud-Anbieter, der die Daten speichert, sogenannte Standardvertragsklauseln abschließen. Hierdurch verpflichtet sich das Unternehmen ein angemessenes Datenschutzniveau einzuhalten. Mehr zu dem Thema lesen Sie in unserem Artikel "Datenschutz im Fokus: Wie Standardvertragsklauseln die Datenübertragung sicher gestalten".

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

7. Welche Anforderungen stellt die DSGVO an das CMS?

Sie nutzen eine Content Management System wie Wordpress oder Typo3? Dann sollten Sie auch hier datenschutzrechtlich auf der sicheren Seite sein. Wir verraten, worauf Sie achten müssen. 

Welche CMS sind DSGVO-konform?

Die meisten Systeme wie auch WordPress bieten datenschutzfreundliche Funktionen und Vorgehensweisen, die einen Einsatz ermöglichen, der konform mit der Datenschutz-Grundverordnung geht. Wer seine Website nicht auf einem eigenen Hosting-Server hostet, kann natürlich auch ein Content Management System nutzen. Allerdings sollten Sie als Seitenbetreiber dabei mit dem Hoster einen Auftragsverarbeitungsvertrag abschließen (siehe oben).

Um ein CMS sicher zu betreiben, sollten Sie auf folgende Aspekte achten:

  • Wahl eines entkoppelten CMS, dessen Konfigurationsaufwand überschaubar ist
  • Firewall
  • SSL-Verschlüsselung
  • Starkes Passwortverfahren, Zwei-Faktor-Authentifizierung
  • Regelmäßige Backups und Updates
  • Geeignete Security-Plugins (zum Beispiel iThemes, Hide my WP für WordPress)
  • Bei Erweiterungen: Prüfung, ob Nutzerdaten an Drittanbieter übermittelt werden
  • Hinweis auf Plugins in der Datenschutzerklärung
  • Verzicht auf unwichtige Cookies
  • Einsatz von Cookie-Bannern bei unverzichtbaren Cookies (zum Beispiel Cookies für Mitgliederbereich, Warenkorb)

Brauche ich eine Datenschutzerklärung?

Ja – und zwar sobald Sie auf Ihrer Website personenbezogene Daten verarbeiten. Und das geht schnell: Verarbeiten Sie die IP-Adresse oder Browserdaten oder nutzen Sie Cookies, Google Analytics oder Social Media Plugins? Dann benötigen Sie eine Datenschutzerklärung.

In dieser müssen Sie die Besucher Ihrer Website darüber aufklären, warum und in welchem Umfang Sie diese Daten erheben, weshalb Sie dies tun, was mit den erhobenen Daten passiert, ob Sie diese an Dritte weitergeben und welche Maßnahmen Sie als Seitenbetreiber ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Außerdem müssen Sie die betreffende Rechtsgrundlage anfügen und darüber aufklären, welche Rechte Betroffene nach der DSGVO haben – es muss zum Beispiel die Möglichkeit geben, der Datenverarbeitung zu widersprechen.

In den folgenden Artikeln haben wir Ihnen weiterführende Informationen zu Datenschutzerklärungen einiger Hosting-Anbieter zusammengestellt:

8. Was sollte ich als Websitebetreiber beim Thema WordPress & DSGVO beachten?

Entscheiden Sie sich für WordPress als Content Management System, sollten Sie als Seitenbetreiber unbedingt sicherstellen, dass die verwendeten Funktionen DSGVO-konform sind. Dazu gehören vor allem die folgenden Punkte:

Checkliste
Das sollten Sie für eine datenschutzkonforme Nutzung von WordPress beachten

  • SSL-Verschlüsselung

    Egal ob Ihr CMS-Anbieter seinen Sitz im Inland, im EU-Ausland oder außerhalb der EU hat: Eine SSL-Verschlüsselung ist auf jeden Fall Pflicht für Shops, Bestellseiten oder Kontaktformulare. Also überall dort, wo der Nutzer oder Kunde personenbezogene Dateneingeben kann.

  • Einwilligungsfeld für Kommentarfunktion

    Betreiben Sie einen Blog auf Ihrer Website, speichern Sie damit meist (durch die Kommentarfunktion) personenbezogene Daten. Ihren Besuchern müssen Sie die Möglichkeit geben, dieser Datenverarbeitung zuzustimmen. Dafür können Sie zum Beispiel mithilfe des Plugins WP GDPR Compliance ein Einwilligungsfeld hinzufügen.

  • Keine Speicherung von IP-Adressen

    Wordpress speichert die IP-Adressen von Websitebesuchern aus unterschiedlichen Gründen. Da dies nicht DSGVO-konform ist, können Sie mit der functions.php Datei einen entsprechenden Code-Schnipsel hinzufügen, der das Speichern verhindert. Für bereits gespeicherte IP-Adressen können Sie das WordPress-Plugin DSGVO Tools: Kommentar-IP entfernen nutzen, um diese zu entfernen.

  • Spamschutz bei Kommentaren

    Haben Sie einen Spamschutz für die Kommentare auf Ihrer Website installiert, sollten nur die Funktionen aktiv sein, die keine personenbezogenen Daten speichern oder gar an Drittanbieter weiterleiten.

  • Abo von Kommentaren

    Möchten Sie Tools zum Abonnieren von Kommentaren anbieten, müssen Sie Ihren Lesern vorab eine Opt-In E-Mail schicken, in der sie diesem Abonnement explizit zustimmen können. Das gilt auch für die Speicherung von personenbezogenen Daten für Kontaktformulare: Ihre Websitebesucher müssen sich deutlich als einverstanden erklären. Dies ist etwa mit dem Plugin Contact Form 7 möglich.

  • Dienste von Drittanbietern

    Nutzen Sie Dienste wie beispielsweise , Facebook-Pixel oder den Google Tag Manager, benötigen Sie ein DSGVO-Plugin für WordPress. Da die Tools nicht nur personenbezogene Daten innerhalb, sondern auch außerhalb der EU übermitteln und verarbeiten, lassen sich die DSGVO-Richtlinien nur so einhalten – Ihre Websitebesucher können sich dann über den Service informieren und der Speicherung zustimmen oder sie ablehnen. Auch hier gilt außerdem wieder: Schließen Sie einen Auftragsverarbeitungsvertrag mit dem Anbieter der Tools ab!

  • Impressum & Datenschutzerklärung

    Ob Blogs, Websiten oder Online Shops mit WordPress: Denken Sie bei jedem Internetauftritt an ein rechtssicheres Impressum und eine DSGVO-konforme Datenschutzerklärung. Platzieren Sie die Datenschutzerklärung am besten in einem eigenen Punkt neben dem Impressum.

  • Cookie-Consent-Tool

    Um eine Einwilligung für Cookies einzuholen, können Sie ein Cookie Consent Tool nutzen. Als eRecht24-Premium-Mitglied erhalten Sie Zugang zu kostenlosen und vergünstigten Cookie Consent Tools.

 

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

9. Link-Haftung: Was gilt es zu berücksichtigen?

Sie setzen Links auf externe Homepages, betten YouTube-Videos ein oder teilen Angebote in Ihrem Social-Media-Profil? Für viele Webseitenbetreiber und Agenturen ist das selbstverständlich. Doch Vorsicht: Sie sind als Seitenbetreiber für die von Ihnen verlinkten Inhalte verantwortlich.

ACHTUNG

Ein vorformulierter Disclaimer, mit dem Sie sich „ausdrücklich von den Inhalten der verlinkten Seiten distanzieren“, schützt Sie nicht vor einer möglichen Linkhaftung.

Sie sind Webdesigner oder haben eine Agentur? Weiterführende Informationen zum Thema Haftung und Haftungsrisiko haben wir Ihnen in unserem Artikel „Vorsicht Haftung: Was müssen Agenturen und Webdesigner bei Kundenprojekten beachten?“ zusammengefasst.

 

Sophie Suske
Sophie Suske, M.A.
Legal Writerin, freiberuflich

Sophie Suske hat einen Masterabschluss in Sprach- und Kommunikationswissenschaften. Angefangen in der juristischen Redaktion eines Legal Tech Start Ups bereichert sie seit 2022 mit ihrer Expertise das Redaktionsteam von eRecht24 als freie Legal Writerin. Ihre inhaltlichen Schwerpunkte liegen dabei im Datenschutz, E-Commerce- und Markenrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details