Webdesign und Haftung für die DSGVO

DSGVO Datenschutzgrundverordnung PrivacyDSGVO

Webdesign und Haftung für die DSGVO

Haftet der Ersteller einer Website für die Anforderungen der DSGVO?

von Rechtsanwalt Dr. Ronald Kandelhard, Fachanwalt für Handels- und Gesellschaftsrecht

Ein Webdesigner, Webentwickler oder Programmierer ist verpflichtet, dem Kunden eine Website zur Verfügung zu stellen, die gem. § 633 Abs. 2 Nr. 2 BGB so funktioniert, wie es der Kunde erwarten darf und gegen deren Inhalt Dritte gem. § 633 Abs. 3 BGB keine Rechte geltend machen können.  Was heißt das für die Anforderungen an das Webdesign, die sich aus der neuen Datenschutzgrundverordnung ergeben? Wer haftet, wenn die Website den Anforderungen der DSGVO nicht genügt und der Kunde darauf hin

  • abgemahnt wird,
  • Abmahnkosten erstatten, ggf. sogar Prozesskosten und
  • Schadensersatz leisten
  • ein Bußgeld zahlen sowie
  • die Website umarbeiten muss und dafür Kosten entstehen?

Wer muss dann zahlen? Der Kunde allein, der Webdesigner, Webentwickler oder Programmierer (im folgenden verkürzt nur als Webdesigner bezeichnet, in gleicher Weise gelten diese Rechtsgrundsätze auch für Internetagenturen oder Werbeagenturen oder sonstige Dienstleister, die Websites erstellen oder betreuen)? Oder haften beide?

I. Die Datenschutzgrundverordnung

Ich will nicht alles zur DSGVO wiederholen. Sie ist oft genug Thema gewesen in letzter Zeit, deshalb kann ich mich kurz fassen:

Die Datenschutzgrundverordnung wird ab 25.5.2018 in der gesamten EU gelten. Sie enthält durchaus einige neue Rechtsgrundsätze, doch gelten viele Anforderungen an den Datenschutz bereits jetzt im deutschen Recht. Neu ist aber ganz wesentlich, dass die DSGVO von dem deutlichen Willen gekennzeichnet ist, durchgesetzt zu werden. Datenschutz soll nicht mehr nur ein hehres Ziel, sondern knallharte – und durchgesetzte – Verpflichtung sein. Das beschränkt sich nicht auf die vielzitierten höheren Strafen, sondern durchzieht die gesamte Datenschutzgrundverordnung. Es gibt einige neue Pflichten, höhere Strafen und allgemein bei jedem Verstoss gegen die DSGVO eine umfassende Schadensersatzpflicht nach Art. 82 DSGVO.

II. DSGVO: Neue Anforderungen für Webdesign

Die Datenschutzgrundverordnung stellt umfangreiche Anforderungen für Websites auf. So müssen etwa (galt im Grundsatz bereits) alle Dateneingaben verschlüsselt sein. Weiter gibt es umfangreiche neue Anforderungen an die Datenschutzerklärung. Hier müssen jetzt viele Umstände neu aufgenommen werden wie die Speicherdauer, der Zweck der Datenverarbeitung oder die Rechtsgrundlagen jeder Datenverarbeitung auf der Website. Daneben gibt es noch viele kleine versteckte Anforderungen, wie verbotene Speicherungen durch WordPress, unzulässige tools, Verträge zur Auftragsdatenverarbeitung und vieles mehr.

 

Wir nehmen Dir die Haftung ab und Du kannst sogar noch Geld damit verdienen.

 

III. Webdesign: Haftungsrisiko nach DSGVO

Werden die Anforderungen der Datenschutzgrundverordnung nicht eingehalten, besteht  ein Haftungsrisiko für Webdesigner. Zunächst einmal muss die Website gem. § 633 Abs. 2 Nr. 2 BGB so erstellt werden, wie es der Kunde erwarten darf und so dass Dritte – das kann auch die Datenschutzbehörde sein – gegen deren Inhalt gem. § 633 Abs. 3 BGB keine Rechte geltend machen können. Ohne konkrete Hinweise (die nicht nur allgemein etwa in AGB erteilt wurden), werden viele Gerichte bei Verstößen gegen die DSGVO annehmen, dass der Kunde als Laie davon ausgehen durfte, eine rechtssichere Website zu erhalten. Nach dem allgemeinen Grundsatz des BGH zu Werbeagenturen (BGH, Urt. v. 25.05.1972, Az.: VII ZR 49/71) muss ein professioneller Anbieter auch die umgebenden rechtlichen Kenntnisse haben oder sich verschaffen und den Kunden in geeigneter Weise darauf hinweisen.

Wie weit diese Anforderungen genau gehen, ist derzeit schwer zu beurteilen. Je eindeutiger der entsprechende Rechtsverstoß von dem Webdesigner selbst erstellt wurde (zB Google Analytics ohne AnonymizeIP verwendet oder Kontaktformular nicht verschlüsselt) und je mehr die entsprechende Rechtsfrage im Netz diskutiert wurde, desto eher kommt eine Haftung des Webdesigners, Programmierers oder der Agentur in Betracht.

IV. Haftungsvermeidung

Insgesamt hilft es Webdesignern, Webentwicklern, Webprogrammierern, Web- oder Internetagenturen wenig, wenn sie versuchen, rechtliche Fragen zu ignorieren. „Unkenntnis schützt jedenfalls im hier betroffenen Zivilrecht vor Strafe nicht“. Webdesigner müssen sich die Kenntnis verschaffen, den Kunden auf die Anforderungen im Einzelfall zumindest grob hinweisen, ansonsten haften sie.

1. Vertragliche Regelung?

Eine vertragliche Haftungsbeschränkung hilft nur begrenzt. Es besteht die erhebliche Gefahr, dass sie für unwirksam angesehen wird. Sie sollte jedenfalls (wie etwa der Muster-Vertrag für Webdesign von www.easycontracts.de) nicht als Haftungsbeschränkung formuliert sein.

2. Aufklärung

Wichtig ist es vielmehr, den Kunden tatsächlich über die Anforderungen aufzuklären. Das geht einfach, indem man den Kunden veranlasst, selbst den easyRechtssicher Komplett Schutz oder gar das Rundum Sorglos Paket zu buchen und so die erforderlichen Texte beizusteuern.

Dann stehen alle Texte und Anforderungen fest und eine Haftung ist vermieden.

V. Ergebnis

Insgesamt muss ein Webdesigner, Webentwickler, Programmierer, eine Internet- oder eine Werbeagentur daher zumindest die grundsätzlichen rechtlichen Anforderungen der DSGVO  kennen und seine Leistungen rechtlich richtig abliefern. Eine Haftung kann vor allem dann vermieden werden, wenn man die vertraglichen Leistungen einschränkt. Dazu kann man die rechtlich problematischen Leistungsteile etwa unter Verweis auf www.easyRechtssicher.de als kostenpflichtige Zusatzleistung anbieten (und möglichst den Kunden auch noch mal explizit außerhalb der AGB belehren). Bucht der Kunde diese nicht, lässt sich viel eher darauf verweisen, dass die entsprechenden Leistungen nicht vertragsgegenständlich gewesen sind und bereits deshalb keine Haftung eintritt. Eine Musterklausel für Deinen Webdesign-Vertrag und eine Anleitung für Deinen Prozessablauf zur Haftungsvermeidung findest Du hier zum Download.

Ebenso kommt in Betracht, die rechtlichen Fragen von dem Rundum Sorglos Service von www.easyRechtssicher.de erledigen zu lassen. Hierzu kann man easyRechtssicher im Innenverhältnis beauftragen als Nebenunternehmer beauftragen lassen.

Wir nehmen Dir die Haftung ab und Du kannst sogar noch Geld damit verdienen.

Noch Fragen? Gerne können wir mailen oder telefonieren. Hinterlasse hier Deine Fragen oder Deinen Rückrufwunsch mit Telefon- oder Skypenummer und wir melden uns bei Dir:

Oder schreib an:
mail@easyrechtssicher.de

22 Kommentare

  1. Pingback: Die große Link- und Infosammlung zur DSGVO - Seranos Blog

  2. Rainer Schenk

    Hallo,

    wie sieht die evtl. Haftung für die Erstellung von Websites aus, die vor z.B. 10 Jahren erstellt wurden – also lange vor dem Inkrafttreten des DSGVO?

    • ronald kandelhard

      Da ist zum Glück die Verjährungsfrist bereits vorüber, von daher spielt das keine Rolle mehr. Aber Kunden auf die Rechtslage hizunweisen schadet nicht.

  3. Rainer Schenk

    Danke für die schnelle Antwort.
    Wie sehen hier die Verjährungsfristen aus?

    • ronald kandelhard

      Gewährleistung 2 Jahre und in seltenen Haftungsfällen theoretisch auch mal 3 Jahre zum Jahresende gem. §§ 195, 197 BGB.

  4. Wie ist es, wenn ich eine Info-Mail an meine Kunden, mit den Infos zukommen lasse, der Kunde jedoch nicht reagiert.
    Ihm die DSGVO quasi egal ist.
    Bin ich verpflichtet die Seiten trotzdem und ungefragt zu aktualisieren?

    • ronald kandelhard

      Nein, noch muss man Leute in Deutschland nicht zu Ihrem Glück zwingen. Mehr als ein deutlicher Hinweis kann nicht verlangt werden. Die Tatsache, dass der Kunde darauf nicht reagiert, ist aber nicht als Verzicht auf Rechte zu werten. Der kann sich dann innerhalb der Gewährleistungsfrist immer noch melden.

      Korrigieren wird übrigens kurzfristig sehr einfach, wir sind kurz davor, ein Plugin für die Datenschutzerklärung raus zu bringen.

  5. Danke für den informativen Artikel.

    Wenn man als nebenberuflicher Webdesigner einen Jahresumsatz von 2000 Euro hat und für eine Kundenwebseite haftbar gemacht wird (Umsatz des Kunden 200000 Euro). Wie hoch ist die Haftung für den Webdesigner in diesem Fall 4 Prozent von 2000 Euro eigener Umsatz oder 4 Prozent von 200000 Euro (Kundenumsatz)?

    Angenommen der Kunde erhält eine Strafe von 8000 Euro (4 Prozent von 200000 Euro), muss der Webdesigner mit einem Umsatz von 2000 Euro diese hohe Strafe dann übernehmen oder ist seine Haftung auf 80 Euro (4% des eigenen Umsatzes beschränkt)?

    • ronald kandelhard

      Hm, netter Gedanke, aber die Grenze ist immer nur die Insolvenz. Die Haftung geht immer auf die volle Summe. Tut mir leid.

      • Im Prinzip ist es dann wohl so, dass nebenberufliche Webdesigner bei einem kleinen Verstoß ruiniert sind. Wenn man eine Webseite 2013 erstellt hat, also vor weit mehr als 2 Jahren, aber zuletzt vor 1,5 Jahren mit dem Kunden wegen einer Designänderung Kontakt hatte, haftet man dann auch? Also zählt wann die Webseite erstellt wurde oder wann man zuletzt mit dem Kunden, egal wegen was Kontakt hatte?

        • ronald kandelhard

          Na ja, ruiniert nicht unbedingt, aber eine Versicherung und/oder eine Rechtsform mit beschränkter Haftung machen auf jeden Fall Sinn. Der Kontakt ist für die Verjährung nicht unbedingt entscheidend. Wenn es nur eine Designänderung war, setzt das eher keine neue Verjährung in Lauf.

  6. Ich bin fotografin und habe bei Weebly eine Homepage auf der ich den Besucher auf Cookies hinweise.
    Veröffentlicht sind Beispielbilder meiner arbeit und ein Blog. Kontaktformular habe ich keins, verweise auf kontakt per handynr oder emailadresse hin.
    Nun habe ich bei Weebly angefragt (sitz in San Francisco) ob Sie mir einen Auftragsdagenverarbeitungsvertrag zusenden können und es kam leider nichts.
    Nun muss ich mich ja absichern oder? Ich nutze ja die Weebly dienste um meine seite online zu stellen und weiss eigentlich nicht was weebly mit den Daten macht ( Bilder oder wenn ein Interessent meine seite besucht) oder denk ich mitlerweile zu kompliziert.
    Oder auf einen betreiber wechseln der einen Auftragsdatenvertrag mit mir macht?

    • ronald kandelhard

      Also Hosting ist ein klarer Fall für einen Auftragsverarbeitungsvertrag. Von daher kann man die eigentlich nicht mehr verwenden.

  7. Wie es scheint, sind viele Dinge, die Webseiten betreffen noch nicht 100% geklärt.

    Die Meinungen darüber, ob sich Google Web Fonts DSGVO-konform nutzen lassen oder nicht, gehen z.Zt. stark auseinander.

    Was ist mit Google Maps? Lt. Google Maps Forum arbeitet Google anscheinend noch daran, Google Maps DSGVO-konform zu machen.

    Was ist mit Webseiten-Plugins, die bis zum Start „noch nicht“ DSGVO-konform sind?

    Hierfür müsste es doch eigentlich eine Art „Schonfrist“ geben?!?

    Haben Sie eigentlich einen AV Mustervertrag für Webdesigner?

  8. Danke für den Beitrag. Wir werden unser Webdesign Angebot komplett aus dem Portfolio raus nehmen.

    Das wird uns zu heikel.

    Beste Grüße
    Jojo

    • ronald kandelhard

      Hm, ich muss noch mal einen Annextext schreiben: Keine (übertriebene) Angst vor der Haftung. In den Hinweisen zu dem Auftragsverarbeitungsvertrag für Webdesigner (https://easycontracts.de/landing-page-agb-webdesign/) habe ich schon ein wenig dazu geschrieben, aber das ist eine gute Idee für einen Blogpost. Super-Kurzfassung: Versicherung und Kapitalgesellschaft (GmbH oder nur UG).

  9. Kann eine Agentur die Websites dem Kunden liefert die Haftung für Datenschutz und Impressum aus einem Vertrag heurasnehmen?
    Denn so wie ich, betreibe eine kleine Agentur und DSGVO ist schon ein sehr sehr komplexes Thema welches an sich mehr Zeit in Anspruch nimmt als man Geld verdienen kann.

    Wenn man den Kunden sagen könnte, das dieser z.b. über jemand wie Sie geht und mir den Datenschutz und Impressum liefert, damit ich es dann in hübsch in die Seite einbaue, lanngt es um die Haftung damit abzugeben?

    Auch bei der Wartund und Pflege am Ende, sofern man nur Themes, WordPress und Plug-ins in Schuss hält und ab und zu die Hosting (Kunde macht selber bei einem Provider das Hosting) PHP-Versionen etc Updatet bin ich damit raus aus der Haftung für Datenschutz/Impressum?

    Danke für eine kurze Antwort.

    • ronald kandelhard

      Ja, wenn der Kunde an etwa easyRechtssicher verweisen wird und dort ein Rundum Sorglos Paket bucht oder auch selbst die Inhalte liefert, ist eine Haftung nicht mehr zu befürchten. Für Wartung allein dürfte eine Haftung auch nicht sehr wahrscheinlich sein, vielleicht bei sehr eindeutigen Fehlern könnte man über eine Verletzung von Aufklärungspflichten nach denken, aber eigentlich nein.

    • Man sollte es gar nicht erst anfassen.

      Inhalte hat der Kunde zu liefern und die sollte man sich abzeichnen lassen. Und zwar alles. Damit hat der Kunde bestätigt, dass der Inhalt so wie übergeben online gestellt werden soll. Deshalb gibt es auch immer eine Staging Seite auf der der Kunde sich das ansehen kann und dann wird der Inhalt 1:1 kopiert. Wenn dann immer noch ein Übertragungsfehler passiert, dann haftet man u.U. Das ist dann aber auch gekonnt gemacht … Copy & Paste sollte man dann doch gerade so schaffen.

      Hat der Kunde dann ein rechtswidriges Impressum oder eine rechtswidrige Datenschutzerklärung übermittelt, dann ist das sein Problem. Genauso wie bei allen anderen Inhalten auch.

      Sie sind weder in der Lage, noch befugt, den Kunden in rechtlichen Fragen zu beraten.

      Ein Impressum hat höchst unterschiedliche Pflichtangaben. Gesetzliche und solche von Verbänden und Kammern. Es ist nahezu ausgeschlossen, dass Sie da eine vollständige Übersicht haben. Ähnliches gilt für Datenschutzerklärungen. Um die rechtssicher zu verfassen müssten Sie u.U. ein intimes Verständnis davon haben, was der Kunde genau macht. Das ist auch nicht zwingend wahrscheinlich.

      Es gibt jetzt natürlich kleine Kunden, die stehen da gewaltig gehörnt vor dem Karren. Hier könnte man denen dann mal eine Geschichte von Generatoren oder Verträgen im Internet erzählen. Und da kann man dann natürlich auch easyrechtssicher erwähnen. Das würde ich aber nur unter der Hand machen. Und gerade bei diesen Kunden immer klar machen, dass ihr keine Rechtsberatung machen könnt … oder dürft.

      Wenn Abzeichnen etwas Overkill ist (ist es nie), dann aber auf jeden Fall schriftlich per Mail und nicht mündlich am Telefon. Denn das kann der Kunde hinterher abstreiten.

      Pflicht ist den Kunden drauf hinzuweisen, dass er beides braucht. Mehr sollte man sich unter gar keinen Umständen ans Bein binden lassen.

      Bei Wartung kommt es drauf an. Wenn ihr Updates macht sollte das nicht dazu führen, dass hinterher eine bisher gültige DSE ungültig wird … oder die Seite nicht mehr läuft.

      Bsp. Ein Modul braucht ein Update und die neue Version ist nicht mehr DSGVO konform, während die alte das war. Hier würde ich durchaus eine pot. Haftung sehen.

      Genauso natürlich auch, wenn ihr den Shop eines Kunden lahm legt. Hier entsteht Ausfall und für den seid ihr verantwortlich.

      Bei Updates sollte man sich grundsätzlich mal mit einem kurzen diff ansehen, was die genau geändert haben. Gerade WP Module sind beliebte Ziele von Kriminellen. Die kaufen die und dann gibt es ein „ganz spezielles“ Update, wo die DSGVO Konformität dann eher ein nachrangiges Problem ist.

      Wir machen mal schnell für 20€ ein Update (weil wir nur auf [Update] klicken müssen) ist keine gute Idee. Updates müssen geprüft werden, sollten getestet werden und müssen dann aufgespielt werden. Wer das in 20€ schafft hat es entweder nicht vernünftig gemacht oder hat einen interessanten Stundenlohn.

  10. Inwiefern betrifft mich als Webdesigner, der ausschließlich für gewerbliche Kunden arbeitet die Regelung des BGB? Gilt das nicht nur, wenn man Geschäfte mit Privatleuten tätigt?

    • ronald kandelhard

      Danke für die Frage: aber im Handelsrecht (HGB), gibt es nur ganz wenige Ergänzungen des BGB, soll heißen, das BGB gilt umfassend auch für alle B2B Geschäfte (mit gewerblichen Kunden). Antwort also: klares Nein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*