Nein. Bei Betrieb einer Website wird in jedem Fall mindestens die IP-Adresse der Website-Besucher verarbeitet, um die Web-Inhalte der kirchlichen Stelle an den Browser des Nutzers zu übermitteln. Die Regelungen des kirchlichen Datenschutzrechts finden damit grundsätzlich Anwendung. Die Bereitstellung einer Datenschutzinformation ist damit beispielsweise eine gesetzliche Pflicht.
Etwas anderes gilt nur, wenn eine Website für rein private Zwecke betrieben wird.
- Datenschutzinformationen: In präziser, transparenter, verständlicher und leicht zugänglicher Form hat die kirchliche Stelle über Art und Umfang der personenbezogenen Verarbeitung über die Website zu informieren.
- HTTPS als Voreinstellung: HTTPS verschlüsselt nahezu alle Informationen, die zwischen dem Web-Browser der Website-Besucher und dem Web-Server der kirchlichen Stelle ausgetauscht werden. Die Verschlüsselung gilt als Stand der Technik.
- Verträge zur Auftragsverarbeitung: Mit dem Hosting-Dienstleister ist grundsätzlich ein Vertrag zur Auftragsverarbeitung abzuschließen. Die Einbindung von SaaS-Verwaltungsdiensten über die Website der kirchlichen Stelle (bspw. Newsletter-, Analyse- und Buchungsdienste) können weitere Verträge zur Auftragsverarbeitung erforderlich machen.
- Einwilligungsverwaltung: Bei Einbindung einwilligungspflichtiger digitaler Dienste auf der Website einer kirchlichen Stelle müssen die Nutzereinwilligungen nachweislich verwaltet werden, bspw. mittels eines Consent-Management-Tools (ugs. ‚Cookie-Banner‘), einer Zwei-Klick-Lösung-Methode oder eines Ankreuzkästchens bei Webformularen.
Nein. Soweit keine einwilligungspflichtigen Verarbeitungen nach dem kirchlichen Datenschutzrecht bestehen und keine Drittanbieterdienste nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz eingebunden werden, ist auch keine Einwilligungsverwaltung auf der Website einer kirchlichen Stelle nötig. Entsprechend muss bspw. auch kein ‚Cookie-Banner‘ eingebunden werden.
Nein. Sofern eine Website einwilligungsfrei gestaltet ist, täuscht eine Einwilligungsverwaltung mittels ‘Cookie-Banner’ vor, dass Verarbeitungen über die Website der kirchlichen Stelle freiwillig sind. Ein ‘Cookie-Banner’ schadet in einem solchen Fall also: Betroffenen zu suggerieren, sie könnten Verarbeitungen über die Website widerrufen, obwohl dies gar nicht der Fall ist, verstößt gegen die Datenschutzgrundsätze von Treu und Glauben sowie der Transparenz.
Ja. Cookies und ähnliche Technologien (bspw. Browser-Fingerprinting und Local Storage) sind grundsätzlich einwilligungspflichtig [vgl. § 25 Abs. 1 TDDDG], ausgenommen diese sind unbedingt erforderlich, um einen von den Website-Besuchern gewünschten digitalen Dienst zu erbringen. Dazu zählen regelmäßig Cookies und ähnliche Technologien, die notwendig sind, um eine übliche Funktionalität der Website bereitstellen zu können, bspw. in Bezug auf die Kernfunktionalität des digitalen Dienstes, aber auch in Bezug auf eine optimal gestaltete, intuitiv nutzbare und sichere Website nach Stand der Technik. Folgende Technologien können grundsätzlich einwilligungsfrei eingesetzt werden:
- User-Input-Cookies (Session-ID) für die Dauer der Sitzung oder in bestimmten Fällen persistente Cookies, deren Gültigkeit auf wenige Stunden beschränkt ist
- Technologien zur Authentifizierung für digitale Dienste, die eine Authentifizierung erforderlich machen
- Technologien zur nutzerorientierte Sicherheitsverwaltung für eine begrenzte längere Dauer
- Technologien zur nutzerorientierten Multimedia-Player-Verwaltung für die Dauer einer Sitzung
- Technologien zur nutzerorientierten Lastverteilung für die Dauer der Sitzung
- Technologien zur Anpassung der nutzerorientierten Benutzeroberfläche (bspw. Spracheinstellungen oder die Anzeige von Suchergebnissen)
- Technologien zur Einwilligungsverwaltung für eine begrenzte längere Dauer
- Technologien zur lokalen Logfile-Analyse einschließlich einer IP-Adressen-Anonymisierung
Ja. Sofern ein Consent-Management-Tool (ugs. Cookie-Banner) erforderlich ist, gilt es folgende rechtliche Anforderungen an die Einwilligungsverwaltung zu beachten:
- Klare und verständliche Sprache: Bloße Respektbekundungen bezüglich der Privatsphäre reichen nicht aus.
- Zweckbindung und -trennung: Der jeweilige Zweck der Einwilligung muss deutlich gemacht werden.
- Aktive Einwilligung: Die Einwilligung darf nicht technisch voreingestellt sein. Ein Opt-In-Verfahren ist zwingend.
- Skript-Blocking: Technisch muss sichergestellt sein, dass während das ‘Cookie-Banner’ angezeigt wird, keine einwilligungspflichtigen Skripte ausgeführt werden und/oder nicht notwendige Cookies gesetzt werden.
- Keine manipulativen Techniken (Dark Pattern): In jedem Fall unzulässig sind täuschende Gestaltungen und der Einsatz sogenannter Dark Patterns (Bewusste Irreführung, versteckte Informationen, wiederholtes, teilweise aggressives Auffordern etc.). Das sogenannte Nudging, die sanfte Beeinflussung, hingegen ist per se zulässig.
- Simple Widerrufsmöglichkeit: Ein Widerruf muss genauso einfach sein wie das Einwilligen. Die Möglichkeit zum nachträglichen Widerruf der Einwilligung muss leicht auffindbar sein. Ablehnen-Buttons dürfen nicht auf zweiter Ebene versteckt werden. Allgemeine Akzeptieren-Buttons auf erster Ebene bedingen auch einen allgemeinen Ablehnen-Button auf erster Ebene.
- Erreichbarkeit Datenschutzinformationen und Anbieterkennzeichnung: Der Zugriff auf die Anbieterkennzeichnung (ugs. Impressum) und die Datenschutzinformationen darf nicht durch das ‘Cookie-Banner’ verhindert oder eingeschränkt werden.
- Freiwilligkeit der Einwilligung: Die Freiwilligkeit der Einwilligung muss gegenüber den Website-Besuchern deutlich gemacht werden. Ein Hinweis auf ein jederzeitiges Widerrufrecht muss angegeben werden.
- Kopplung von Einwilligungen nach TDDDG und DSG-EKD: Einwilligungspflichtige digitale Dienste nach TDDDG können mit einwilligungspflichtigen Verarbeitungen nach kirchlichen Datenschutzrecht gekoppelt werden. Die personenbezogenen Folgeverarbeitungen sind in den Datenschutzinformationen der Website näher zu erläutern.
Ja. Um die Typografie einer Website individuell zu gestalten, können Website-Betreiber Template-unabhängige Web-Fonts, also Schriftarten, von externen Anbietern und regelmäßig unter freier Lizenz im Content-Management-System (CMS) ihrer Website einbinden. Die Einbindung von externen Servern geladenen Schriftarten bedingt allerdings einen technischen Zugriff der Drittanbieter auf die internetfähige Endeinrichtung der Website-Besucher, welcher nach TDDDG einwilligungspflichtig ist. Die Einwilligungspflicht bedingt wiederum einen jederzeit möglichen Widerruf, was den individuellen Gestaltungsgedanken ad absurdum führt.
Es empfiehlt sich, jedwede Schriftart von externen Anbietern zur typografischen Gestaltung der Website-Oberfläche lokal in das CMS der Website einzubinden, um die Einwilligungspflicht nach TDDDG zu umgehen und Schadensersatzansprüche der Website-Besucher proaktiv zu vermeiden.
Zunächst ist zu prüfen, ob ein interaktiver SaaS-Kartendienst überhaupt für die Webseite erforderlich ist, oder ob etwa auch eine einfache Karte oder eine Wegbeschreibung dem nutzerorientierten Zweck entsprechen kann.
Datenschutzfreundliche externe Kartendienste sind bspw. der Kartendienst Maps4BW des Landesamts für Geoinformation und Landentwicklung Baden-Württemberg zur Verfügung – allerdings ist der Dienst auf Baden-Württemberg beschränkt. Eine weitere Alternative, die eine datenschutzkonforme Einbindung von Kartenmaterial ermöglicht, ist die Einbindung von OpenStreetmap über eine Proxy-Lösung. Für größere Organisationen kann sich auch der Betrieb eines kompletten OpenStreetmap-Servers bzw. eine lokale Speicherung der OpenStreetmap-Tiles lohnen. Da mit dieser Methode keine Daten an Dritte übermittelt werden, sind diese Lösungen datenschutzrechtlich vorzugswürdig.
GoogleMaps hingegen ist über eine sogenannte Zwei-Klick-Lösung (z. B. Embetty oder c‘t) und im Sinne der Nutzerfreundlichkeit in Verbindung mit einem Consent-Management-Tool auf der Webseite einzubinden, da nicht ausgeschlossen werden kann, dass Google Daten auch zu eignen Zwecken nutzt.
Ja. Die Einbindung von externen Servern geladenen aktiven Social-Media-Inhalten, bspw. Tweets von X, Videostreams von YouTube oder Share-Buttons von Facebook, bedingen einen technischen Zugriff des Drittanbieters auf die internetfähige Endeinrichtung der Website-Besucher, welcher nach TDDDG und regelmäßig auch nach kirchlichem Datenschutzrecht einwilligungspflichtig ist, da eine Verarbeitung in eigener Verantwortung des Anbieters nicht ausgeschlossen werden kann. In diesem Fall ist eine Einwilligungsverwaltung vorzusehen, bspw. mittels eines Consent-Management-Tools (ugs. Cookie-Banner) oder üblicher mittels einer sogenannten Zwei-Klick-Lösung (z. B. Embetty oder c‘t).
Es empfiehlt sich, vorab zu prüfen, ob alternativ auch eine einfache Verlinkung dem nutzerorientierten Zweck einer Bereitstellung entsprechen kann.
Ja. Eine Anbieterkennzeichnung (ugs. Impressum) muss – unabhängig der Datenverarbeitung – immer dann bereitgestellt werden, wenn der Diensteanbieter, also der Domaininhaber, geschäftsmäßig digitale Dienste bereitstellt [§ 5 DDG]. Die geschäftsmäßige Bereitstellung digitaler Dienste muss für kirchliche Stellen grundsätzlich angenommen werden, sobald sie im Rahmen ihrer kirchlichen Aufgaben einen digitalen Dienst (hier: Website) zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Die Pflichtangaben einer Anbieterkennzeichnung für kirchliche Stellen sind:
- der Name der kirchlichen Stelle (regelmäßig der Träger, sofern die Geschäftsführung nicht auf Grundlage der Satzung abgegeben ist)
- der Vertretungsberechtigte der kirchlichen Stelle (Es gilt das Highlander-Prinzip: Es kann nur Einen geben!)
- die Anschrift der kirchlichen Stelle
- Angaben, die eine schnelle elektronische Kontaktaufnahme und eine unmittelbare Kommunikation mit der kirchlichen Stelle ermöglichen, insbesondere die E-Mail-Adresse
- die Rechtsform der kirchlichen Stelle
Etwas anderes gilt nur, wenn eine Website für rein private Zwecke betrieben wird.
Nein. Eine Anbieterkennzeichnung (ugs. Impressum) und die Datenschutzinformation einer Website müssen aufgrund unterschiedlicher rechtlicher Verpflichtungen auf getrennten Unterseiten der Website geführt werden. Dabei müssen beide Transparenzanforderungen von jeder Unterseite aus leicht zugänglich sein (max. zwei Klicks).
Es empfiehlt sich, eine verlinkte Einbindung der Anbieterkennzeichnung und der Datenschutzinformation im stetigen Footer oder Header der Website.
Nein, mit einer Ausnahme. Der einer Einbindung von Web-Analyse-Diensten werden regelmäßig Cookies und ähnlichen Technologien eingesetzt, um Website-Besucher anhand bestimmter Merkmale wiederzuerkennen. Nach § 25 Abs. 1 TDDDG muss eine ausdrückliche, informierte, widerrufbare und freiwillige Einwilligung der Website-Besucher eingeholt werden, die gegebenenfalls auch mit einer datenschutzrechtlichen Einwilligung gekoppelt werden muss. Diese Einwilligungspflicht nach TDDDG gilt dabei unabhängig davon, ob die verarbeiteten Nutzerinformationen personenbezogen sind oder nicht.
In der Regel sind damit alle Web-Analyse-Dienste einwilligungspflichtig. Etwas anderes gilt nur, sofern eine Logfile-Analyse durchgeführt wird. Hierbei wird der Anwendungsbereich des TDDDG nicht eröffnet und nach datenschutzrechtlichem Bewertungsmaßstab kann eine Rechtmäßigkeitsvoraussetzung angenommen werden [Rechtsgrundlage: § 6 Nr. 4DSG-EKD].