Datenschutz bei Spenden- und Empfehlungsfunktionen
Der folgende Artikel ist Teil der Service-Reihe Datenschutz auf Webseiten in Zusammenarbeit mit Seitenstark. Seitenstark e.V. ist eine Arbeitsgemeinschaft von Webseiten für Kinder und betreibt unter anderem die Info-Plattform wir-machen-kinderseiten.de. Das Angebot wird vom Bundesministerium für Familie, Senioren, Frauen und Jugend gefördert, die Service-Reihe wird von der EU-Initiative klicksafe.de unterstützt.
Bislang erschienen:
- Reihe „Datenschutz auf Webseiten“: Updates zur Datenschutz-Grundverordnung
- Hintergrund 1: Sieben goldene Regeln des Datenschutzes
- DSGVO-Update
- Hintergrund 2: Datenschutz- und Einwilligungserklärungen, AGB und Impressumspflicht
- Muster: Impressum für einen Verein
- Hintergrund 3: Zusammenarbeit mit Dienstleistern und Auftragsdatenverarbeitung
- DSGVO-Update: Auftragsverarbeitung, Embedding
- Aufbau einer einfachen Datenschutzerklärung
- Muster: einfache Datenschutzerklärung
- DSGVO-Update: Datenschutzerklärungen
- Chats, Foren und Gästebücher
- Muster: Gästebuch, anonymes Posting
- Muster: Forum und Chat mit Registrierung
- Muster in kindgerechter Sprache
- DSGVO-Update: Chats, Foren und Gästebücher
- Was muss bei Online-Umfragen beachtet werden?
- Muster: Einwilligung bei ausführlicher Umfrage
- Webanalyse-Werkzeuge und Datenschutz
- Muster: Datenschutz-Erklärung bei Einsatz von Piwik
- Muster in kindgerechter Sprache
- DSGVO-Update: Webanalyse-Werkzeuge und Datenschutz
- Was sollten Newsletter-Anbieter beachten?
- Muster: Einwilligungserklärung Newsletter in kindgerechter Sprache
- Einwilligungserklärungen bei Kontaktformularen, Mitmach-Aktionen und Gewinnspielen
- Mustertext für die Datenschutzerklärung
- Mustertext in kindgerechter Sprache
- Datenschutz bei Spenden- und Empfehlungsfunktionen
Spenden
Viele Internetangebote für Kinder werden mit Engagement und weitgehend unkommerziell betrieben. Um einen Teil der Kosten wieder hereinzuholen, können Nutzerinnen und Nutzer oftmals für das Angebot spenden. Wenn sich die Angebote an Kinder wenden, werden sich Betreiber mit ihrem Spendenaufruf in der Regel eher an die Eltern als an die Kinder selbst richten.
8.6.2018
Aktueller Hinweis zur neuen EU-Datenschutz-Grundverordnung (DSGVO)
Durch die DSGVO ändert sich bei Spenden- und Empfehlungsfunktionen gegenüber den bisherigen, im folgenden beschriebenen Empfehlungen nicht viel. Allerdings sollten die Hinweise zu Einwilligungserklärungen und Transparenzpflichten beachtet werden, die in den Beiträgen „DSGVO-Update: Datenschutzerklärungen“ und „DSGVO-Update: Chats, Foren und Gästebücher“ dargestellt werden.
Um eine Spendenfunktion einzurichten, stehen eine Reihe verschiedener Möglichkeiten zur Verfügung. Die Einfachste ist die Angabe einer Bankverbindung, unter der man Spenden entgegen nimmt. Hier sind aus Datenschutzsicht keine Besonderheiten zu berücksichtigen, denn es werden über die Webseite keine Daten von Dritten verarbeitet.
Der Aufwand für Spendenwillige ist bei dieser Variante jedoch hoch. Eine einfachere Option besteht in der Einbindung eines eigenen Formulars für ein Lastschriftmandat, mit dem die Betreiber die Spende vom Konto des Spenders einziehen können.
Mit dem seit Februar 2016 nunmehr verbleibenden SEPA-Lastschriftverfahren ist die Durchführung allerdings komplizierter geworden. So muss unter anderem eine Gläubiger-Identifikationsnummer bei der Deutschen Bundesbank beantragt werden. Für die Details zur Abwicklung sollte man sich mit seiner Hausbank beraten.
Die eigene Einziehung von Lastschriften ist in mancher Hinsicht eine sehr datenschutzfreundliche Variante, weil kein externer Dienstleister – außer der Bank – mit den Daten in Berührung kommt. Umgekehrt aber ist aufgrund der erhöhten Sensitivität von Kontodaten erhöhte Vorsicht im Umgang mit den Datenbeständen geboten.
Dazu zählt, dass diese Angaben mit einer verschlüsselten Verbindung übertragen werden. Die entsprechende Seite mit dem Formular sollte nur per „https“ und nicht per „http“ erreichbar sein. Mit den Bankverbindungsdaten der Spender ist sorgfältig umzugehen. Sie sollten getrennt von anderen Datenbeständen gespeichert werden und nicht auf dem Server, der für den Betrieb der Webseite genutzt wird. Hierfür ist es erforderlich, sich auch mit dem technischen Prozess auseinandersetzen, wie die Daten erfasst werden. Auch falls dabei E-Mails versandt werden, ist eine verschlüsselte Verbindung dafür sicherzustellen.
Schließlich ist der Prozess für Nutzerinnen und Nutzer der Webseite hinreichend deutlich zu machen. Der Spendende muss wissen, dass er eine Einwilligung zur Lastschrift erteilt, welchen Betrag er abgibt und wann eine Abbuchung erfolgt. Auch hierbei kann die Hausbank mit vorbereiteten Textelementen behilflich sein.
Checkliste für eigene Spendenfunktionen
- Rücksprache mit der Hausbank für die Durchführung von Lastschriften?
- Gläubiger-Identifikationsnummer bei der Bundesbank beantragt?
- Verschlüsselte Verbindung für Formulare aktiviert?
- Sicherheit der Kontodaten vor unberechtigtem Zugriff gewährleistet?
- Einwilligungserklärung eindeutig gestaltet?
Spenden über Dienstleister
Viele Betreiber von Internetseiten entscheiden sich für die Einschaltung eines externen Dienstleisters, der die Zahlungsabwicklung für den Betreiber durchführt. Bezahldienste wie Paypal führen die Geldtransaktion im Auftrag des Spenders durch. Gerade Paypal ist zwar weit verbreitet, genießt wegen seiner Geschäftspraktiken unter manchen Datenschützern jedoch keinen guten Ruf. Die Nutzungs- und Datenschutzbedingungen enthalten einige umstrittene Bestimmungen: So räumt sich Paypal etwa das Recht ein, Daten an zahlreiche andere Firmen weiter zu geben. Wer auf Paypal setzen möchte, sollte daneben zumindest noch andere Zahlungsmöglichkeiten in Betracht ziehen.
Spendenplattformen wie Betterplace bieten die Einrichtung von Projektwebseiten an, die sich verlinken oder einbinden lassen. Technisch ähnlich sind Crowdfunding-Plattformen wie Startnext, Indiegogo, Visionbakery und viele andere, bei denen Nutzer sich vorab an der Finanzierung einzelner Projekte oder Projektschritte beteiligen. Die meisten Plattformen bieten eine Reihe unterschiedlicher Zahlungsmöglichkeiten an, etwa per Paypal, Kreditkarte, Bankeinzug und per Überweisung.
Werden Fremddienstleister einbezogen, ist der Seitenbetreiber in der Regel nicht die datenverarbeitende Stelle. Die datenschutzrechtliche Verantwortung trifft soweit den Dienstleister. Werden Inhalte des Dienstleisters direkt in das eigene Angebot integriert, sollte in den eigenen Datenschutzbestimmungen auf die des Dienstleisters verwiesen werden. Bei der Auswahl der Plattform empfiehlt sich auch ein Blick auf die Datenschutz-Regelungen des Anbieters.
Empfehlungsfunktion per E-Mail
Von Funktionen zum Empfehlen eigener Inhalte erhoffen sich Webseitenbetreiber unter anderem, die Reichweite des Angebots zu erhöhen. Sehr verbreitet ist zum Beispiel die Funktion, andere Nutzer über Angabe einer E-Mail-Adresse auf Inhalte hinzuweisen.
Im gewerblichen Bereich sind allerdings Fälle aufgetreten, bei denen Abmahnungen gegen eine solche Funktion auch vor Gericht Erfolg hatten. Die Grenze zur unzulässigen Werbung ist bei Empfehlungsfunktionen per E-Mail leicht überschritten.
Das Problem besteht darin, dass der Empfänger der E-Mail in die Zusendung der Empfehlung nicht eingewilligt hat. Wenn man die Funktion hingegen so gestaltet, dass man lediglich als Übermittler der Nachricht auftritt, wird sie von vielen Juristen für zulässig gehalten. Dabei ist darauf zu achten, dass der Empfehlungstext vom Absender der Empfehlung gewählt werden kann. Dies kann etwa durch ein vorausgefülltes Formular geschehen, das individuell angepasst werden kann. Weitere werbende Botschaften sollten unterbleiben. Außerdem sollte technisch sichergestellt werden, dass das Empfehlungsformular nicht zum massenhaften Versand von E-Mails durch Dritte missbraucht werden kann.
Gerade die letzte Anforderung ist nicht immer einfach zu lösen. Eine Maßnahme kann die Nutzung von sogenannten Captchas sein. Hierbei wird die E-Mail erst abgeschickt, nachdem der Nutzer ein Rätsel löst, das nicht durch einen Computer gelöst werden kann.
Beispiel
Der WDR bietet auf seiner Seite die Möglichkeit, Weiterempfehlungen zu verschicken, die derzeit diesen Anforderungen entspricht.
Als weitere Maßnahme sollten Seitenbetreiber sicherstellen, dass ein einzelner Absender nicht in kurzer Zeit viele Empfehlungen verschicken kann. So kann etwa der Versand pro Zeitraum von einer IP-Adresse beschränkt werden. Rein technisch betrachtet kann es effektiver sein, dem Empfehlenden eine E-Mail zu schicken und die Empfehlung erst abzuschicken, nachdem er dies mit einem Klick auf einen Link in der E-Mail bestätigt hat.
Statt für den Empfehlenden die E-Mail zu verschicken, kann man ihn auch dabei unterstützen, die E-Mail selber zu verschicken. Hierbei wird die „Mailto“-Funktion genutzt. Wenn dieser Befehl in einen Link auf der Webseite eingebettet ist, kann man damit definieren, dass mit einem Klick ein E-Mail-Programm geöffnet wird. Dort wird eine E-Mail mit einem vordefinierten Inhalt geöffnet. Diese Variante ist unter Datenschutz-Aspekten die beste, funktioniert jedoch nur, wenn der Computer des Nutzers entsprechend konfiguriert ist.
Beispiel
Die Seite Abenteuer Regenwald bietet die Funktion an, Seiten durch Aufruf des E-Mail-Programms weiterzuempfehlen (Button: „E-Mail teilen“.)
Empfehlungsfunktionen für soziale Netzwerke
Weit verbreitet sind zudem Schaltflächen, um auf Inhalte in sozialen Netzwerken wie Facebook, Twitter und anderswo hinzuweisen. Diese sind aus Datenschutz-Perspektive häufig problematisch, wenn keine weiteren Vorkehrungen getroffen werden. Nicht nur über eingeloggte Nutzer des jeweiligen Netzwerks, auch über Nicht-Mitglieder können die Anbieter mithilfe der Schaltflächen Daten wie die besuchten Webseiten sammeln.
Mittlerweile existiert jedoch eine Reihe an Werkzeugen, die es Websitebetreibern ermöglichen, Empfehlungsfunktionen für soziale Netzwerke datenschutzfreundlich anzubieten. Verbreitet ist etwa eine Zwei-Klick-Lösung, die der Heise-Verlag entwickelt hat und kostenlos unter einer freien Lizenz anbietet. Dabei können erst dann Daten an das jeweilige Netzwerk übertragen werden, wenn die Funktion mit dem ersten Klick freigeschaltet wurde. Eine Weiterentwicklung sind die „Shariff“-Buttons vom selben Verlag, die nur noch einen Klick benötigen.
Checkliste Weiterempfehlungsfunktion:
- Bei E-Mail: Kann man Betreffzeile und Text individuell anpassen?
- E-Mailadresse des Empfehlenden enthalten?
- Maßnahmen zur Spam-Vermeidung ergriffen? (Captcha, Unterbindung von Massenversand, Bestätigungslink)?
- Alternativen erwogen? („Mailto-Funktion“, andere reichweitensteigernde Maßnahmen)?
- Buttons für soziale Netzwerke: Datenschutz-freundliche Umsetzung gewählt?
Dieser Artikel steht unter der Creative-Commons-Lizenz Namensnennung 4.0 (CC BY).
Was sagen Sie dazu?