Wenn die Homepage Besucherdaten an Dritte übermittelt, muss dafür eine Rechtsgrundlage existieren. Nicht selten werden Datenübermittlungen bei der Programmierung einer Homepage gedankenlos
implementiert. Beispiele liefern die diskutieren Analysetools, wie z. B. Google Analytics oder andere Alternativen anderer Anbieter. Den meisten Betreibern ist nicht einmal bewusst, ob dieses
Tool jemals genutzt wird. In zahlreichen Fällen ist den Verantwortlichen die Einbindung dieser Tools überhaupt nicht bekannt. In diesem Fall sollte über das Löschen des Tools nachgedacht werden.
Für andere Datenübermittlungen an Dritte gilt das gleiche Muster. Benötigt wird eine Rechtsgrundlage, zuvor sollte jedoch die Frage im Raum stehen, ob die Verarbeitung überhaupt konkret Sinn
macht. Die Einbindung von Google Maps bei Anfahrtsskizzen, Google Captcha Codes zur Absicherung von Kontaktformularen gegen Spam-Mails und Google Fonts zur Nutzung gestalteter Schrifttypen ohne
urheberrechtliche Lizenzzahlungen generieren Datenübermittlungen. Die Weitergabe von Besucherdaten an Dritte kann technisch unterbunden werden, indem der jeweilige Bereich ohne Rückgriff auf
datenfordernde Drittanbieter programmiert wird. Bei eigenen und fremden Cookies (Übertragung von Dateien auf den Rechner des Homepagebesuchers) stellt sich ebenso zuerst die Frage der
Notwendigkeit. Ist kein sinnvoller Zweck erkennbar, sollte auf die Cookies-Pflicht verzichtet werden. Zu beachten ist für die Verarbeitung von Besucherdaten (Tracking) die Stellungnahme der
Datenschutzkonferenz vom 26.04.2018 – www.ldi.nrw.de -.
Die Aufsichtsbehörden gehen davon aus, dass seit dem 25.05.2018 Internettracking nur noch nach Artikel 6 Abs. 1 DSGVO (insbesondere Buchstaben a, b, f) legitimiert werden kann. Daraus ergibt sich
ein zusätzliches Argument für den Verzicht auf häufig unnötige und historisch zufällig entstandene Datenverarbeitungen. Für diejenige Verarbeitungsvorgänge, die nach den vorstehenden Schritten
noch verbleiben, ist den Besuchern der Homepage mitzuteilen, welche Daten für welche Zwecke und welchen Zeitraum verarbeitet werden. Außerdem schreibt Artikel 13 DSGVO Informationen über diverse
Betroffenenrechte vor. Beides sollte auf der Homepage leicht auffindbar untergebracht werden. Welche Informationspflichten im Einzelnen bestehen, ist Artikel 13 DSGVO zu entnehmen. Bei Erstellung
und Betrieb einer Homepage ist fast immer ein externer Speziallist für Programmierung und Hosting beteiligt. Soweit mit den Tätigkeiten der Zugriff auf personenbezogene Daten einhergeht, sind
diese im Datenschutz als Auftragsverarbeiter einzuordnen, mit denen Verträge gemäß Artikel 28 DSGVO benötigt werden. Verwendbare Vertragsklauseln sind kein unüberwindbares Hindernis.
Datenschutzrechtlich vorzugswürdig, weil leicht regelbar, sind Vertragspartner innerhalb des Europäischen Wirtschaftsraums. Werden Unternehmen außerhalb dieses Raumes eingeschaltet, muss die
Einhaltung eines angemessenen Datenschutzniveaus zusätzlich sichergestellt werden. In der Praxis empfiehlt sich dann die Verwendung der Standardvertragsklauseln der Europäischen Kommission für
Auftragsverarbeitungen.