Det viktigste kort fortalt
- Impressum er obligatorisk: Nettsteder som brukes kommersielt trenger en fullstendig tilbyderidentifikasjon etter §5 DDG, siden mai 2024 etterfølgeren til den gamle §5 TMG.
- Personvern fra det første skjemaet: Så snart personopplysninger behandles, gjelder informasjonsplikten etter Art. 13 GDPR.
- Informasjonskapsler bare med samtykke: Sporings- og markedsføringskapsler krever et forhåndssamtykke etter §25 TDDDG.
- Bøtene er reelle: Brudd på GDPRs informasjonsplikter faller i den øvre bøtekategorien på inntil 20 mill. euro eller 4 % av den globale årsomsetningen (Art. 83 GDPR).
Et rettssikkert Impressum og en ryddig personvernerklæring er ingen luksus. De er en lovpålagt plikt for nesten ethvert nettsted som brukes kommersielt. Grunnlaget er siden mai 2024 den tyske loven om digitale tjenester (Digitale-Dienste-Gesetz), som i §5 DDG har overtatt de tidligere kravene fra telemedieloven. Den som slurver her, risikerer en advarsel med krav (Abmahnung) og bøter. Dette innlegget viser hvilke opplysninger som er obligatoriske, når en personvernerklæring gjelder, og hvor de dyre fellene ligger.
På et nytt nettsted står som regel designet i forgrunnen. Utseende og brukerføring er viktig, ingen tvil om det. Men over suksess eller risiko avgjør to rettslige byggesteiner som sjelden får oppmerksomhet: tilbyderidentifikasjonen og håndteringen av personopplysninger. Begge er usynlige helt til noe går galt. Da blir de svært synlige og dyre.
Hva må et rettssikkert Impressum etter §5 DDG inneholde?
Et rettssikkert Impressum, et rettslig påkrevd avsenderfelt (Impressum), må klart angi hvem som står bak et nettsted. De obligatoriske opplysningene reguleres av §5 DDG, siden 14. mai 2024 etterfølgeren til den ofte fortsatt siterte §5 TMG. Telemedieloven ble erstattet, men innholdet i plikten forble nesten det samme. Mange maler på nettet henger etter her.
Disse pliktige opplysningene hører hjemme i Impressum
Til tilbyderidentifikasjonen hører navn eller firma med selskapsform, en forkynnelsesdyktig adresse og raske kontaktmuligheter. En postboks holder ikke. En e-postadresse er obligatorisk, i tillegg en annen, rask kanal som et telefonnummer. Avhengig av selskapsform kommer registerføring, registernummer og merverdiavgiftsidentifikasjonsnummeret etter §27a UStG i tillegg.
Regulerte yrker har ekstra plikter. Leger, advokater, arkitekter eller skatterådgivere må oppgi kammer, yrkestittel og ansvarlig tilsynsmyndighet. Ved journalistisk-redaksjonelle tilbud må det dessuten utpekes en ansvarlig person etter §18 ledd 2 MStV. Høres ut som detaljarbeid. Det er det også.
Tilgjengelighet: to klikk, to kanaler
Også tilgjengeligheten er nøyaktig regulert. Impressumet må muliggjøre en umiddelbar og effektiv kontakt. En ren e-postadresse holder ofte ikke ifølge rettspraksis, fordi den ikke garanterer rask tilbakemelding. En annen kanal, for eksempel telefon eller et kontaktskjema som behandles raskt, lukker dette hullet. Det er dessuten viktig at Impressumet er tilgjengelig fra hver side med høyst to klikk og er klart merket som sådan. Skjulte lenker eller uklare betegnelser som "info" oppfyller ikke plikten.
Fra en rekke prosjekter med små og mellomstore bedrifter hos Evelan vet jeg at nettopp den forkynnelsesdyktige adressen og den andre kontaktkanalen ofte mangler. Begge deler er lett angripelige.
Hvorfor kopierte maler er risikable
En utbredt misforståelse: at Impressumet er ferdig med navn og e-post. I virkeligheten retter omfanget seg etter selskapsform og virksomhet. En enkeltpersonforetaker trenger færre opplysninger enn et GmbH med oppføring i handelsregisteret. En nettbutikk har andre plikter enn en ren bedriftspresentasjon. Den som kopierer innhold fra et annet prosjekt, overtar nesten alltid opplysninger som ikke passer, og glemmer slike som mangler. Akkurat det gjør Impressumet angripelig.
Tabellen under oppsummerer de sentrale obligatoriske opplysningene etter §5 DDG og viser hvem de gjelder for.
| Obligatorisk opplysning | Gjelder for |
|---|---|
| Navn eller firma pluss selskapsform | Alle kommersielle tilbydere |
| Forkynnelsesdyktig adresse, ingen postboks | Alle kommersielle tilbydere |
| E-post pluss rask kontaktmulighet | Alle kommersielle tilbydere |
| Representasjonsberettiget person | Juridiske personer som GmbH eller UG |
| Handels- eller foreningsregister pluss registernummer | Registrerte foretak og foreninger |
| Merverdiavgiftsidentifikasjonsnummer etter 27a UStG | Tilbydere med MVA-ID-nr |
| Kammer, yrkestittel, tilsynsmyndighet | Regulerte yrker |
| Ansvarlig person etter 18 ledd 2 MStV | Journalistisk-redaksjonelle tilbud |
Obligatorisk opplysning / Gjelder for
- Obligatorisk opplysning
- Navn eller firma pluss selskapsform
- Gjelder for
- Alle kommersielle tilbydere
- Obligatorisk opplysning
- Forkynnelsesdyktig adresse, ingen postboks
- Gjelder for
- Alle kommersielle tilbydere
- Obligatorisk opplysning
- E-post pluss rask kontaktmulighet
- Gjelder for
- Alle kommersielle tilbydere
- Obligatorisk opplysning
- Representasjonsberettiget person
- Gjelder for
- Juridiske personer som GmbH eller UG
- Obligatorisk opplysning
- Handels- eller foreningsregister pluss registernummer
- Gjelder for
- Registrerte foretak og foreninger
- Obligatorisk opplysning
- Merverdiavgiftsidentifikasjonsnummer etter 27a UStG
- Gjelder for
- Tilbydere med MVA-ID-nr
- Obligatorisk opplysning
- Kammer, yrkestittel, tilsynsmyndighet
- Gjelder for
- Regulerte yrker
- Obligatorisk opplysning
- Ansvarlig person etter 18 ledd 2 MStV
- Gjelder for
- Journalistisk-redaksjonelle tilbud
Den som planlegger et nytt nettsted, bør avklare disse punktene tidlig. Ved våre nettstedsprosjekter gjennomgår vi de obligatoriske opplysningene tilpasset selskapsform og bransje, i stedet for å bruke en standardmal.
Når trenger et nettsted en personvernerklæring?
En personvernerklæring blir nødvendig så snart personopplysninger behandles. Informasjonsplikten følger av Art. 13 GDPR. I praksis er det nesten alltid tilfellet. Allerede et kontaktskjema, serverloggfiler eller IP-adressen ved sidehenting er nok.
Når personopplysninger oppstår
Personopplysninger oppstår tidligere enn mange tror. Nyhetsbrevpåmelding, innebygde kart, skrifttyper fra tredjeparts servere, analyseverktøy, sosiale medier-knapper: alt dette behandler data. Hver av disse funksjonene trenger en egen vurdering og et passende avsnitt i personvernerklæringen.
Allerede den blotte hentingen av en side utløser en behandling. Serveren lagrer IP-adressen, tidspunktet og nettleseren som brukes. Disse loggfilene er teknisk fornuftige, for eksempel for å avverge angrep, men rettslig relevante. Også de hører hjemme i personvernerklæringen, med angivelse av formål, rettsgrunnlag og lagringstid. Den som her bare beskriver de åpenbare skjemaene, har allerede gjort erklæringen ufullstendig.
Hva som hører hjemme i personvernerklæringen
Erklæringen må på en forståelig måte redegjøre for hvilke data som behandles til hvilket formål og på hvilket rettsgrunnlag. Obligatorisk er dessuten opplysninger om lagringstid, mottakere og de registrertes rettigheter. Til disse hører innsyn, retting, sletting og innsigelse. En kopiert mal dekker disse punktene sjelden fullstendig.
I prosjekter med B2B-kunder ser jeg jevnlig personvernerklæringer som beskriver et verktøy som for lengst er byttet ut. Nettopp dette gapet mellom tekst og teknikk er den dyre feilen. Et godt vedlikeholdt nettsted holder begge deler synkronisert.
Eksterne tjenester og løpende vedlikehold
Det blir spesielt krevende med eksterne tjenester. En karttjeneste overfører data til en tredjepart allerede ved innlasting, ofte til land utenfor EU. Webfonter, videoinnbygginger og sosiale medier-plugins fungerer på samme måte. Hver av disse overføringene trenger et rettsgrunnlag og en henvisning i personvernerklæringen. Mangler den, foreligger raskt et brudd på informasjonsplikten.
Også vedlikeholdet hører med. En personvernerklæring er ikke et engangsdokument. Den eldes med hvert nye verktøy, hver funksjonsutvidelse og hver lovendring. Den som skriver den én gang og så glemmer den, har etter et år ofte et dokument som ikke lenger gjenspeiler virkeligheten på nettstedet.
Hvilken rolle spiller informasjonskapsler og samtykke?
Informasjonskapsler som ikke er teknisk strengt nødvendige, kan først settes etter et aktivt samtykke. Det foreskriver §25 TDDDG, etterfølgeren til den tidligere TTDSG. For analyse-, markedsførings- og sporingskapsler betyr det: ingen setting før samtykket.
En teknisk effektiv cookie-banner
Et samtykkebanner må derfor fungere teknisk korrekt, ikke bare visuelt. Lastes et analyseskript allerede før klikket på "Aksepter", er samtykket verdiløst. Forhåndskryssede avkrysningsbokser er ikke tillatt. Å avvise må være like enkelt som å samtykke.
Det er her mange bannere stryker. De ser ryddige ut, men fyrer av skriptene likevel umiddelbart. Vi binder derfor inn sporings- og markedsføringsverktøy slik at de først starter etter samtykket.
Banner og personvernerklæring hører sammen
Viktig er skillet mellom samtykke til informasjonskapsler og personvernerklæringen. Det ene erstatter ikke det andre. Banneret regulerer om en informasjonskapsel som ikke er strengt nødvendig i det hele tatt kan settes. Personvernerklæringen forklarer i tillegg hvilke data som deretter behandles og hvordan. Begge nivåer må være til stede og passe sammen. Et banner uten passende erklæring er like mangelfullt som en erklæring uten et virksomt banner.
Hva koster et feilaktig Impressum eller et GDPR-brudd?
Spennvidden går fra en advarsel med krav (Abmahnung) til bøter i millionklassen. Brudd på informasjonspliktene etter Art. 13 GDPR faller i den øvre bøtekategorien: inntil 20 mill. euro eller 4 % av den globale årsomsetningen, alt etter hvilket beløp som er høyere (Art. 83 GDPR). Det er den lovbestemte øvre grensen, ikke regelen.
Advarselen rammer SMB-er oftere
Oftere enn boten rammer en advarsel med krav (Abmahnung) små og mellomstore drivere. Manglende eller ufullstendige Impressum hører til de hyppigste grunnene til en slik advarsel i tysk konkurranserett. En eneste advarsel medfører advokatkostnader, avtaler om å avstå fra videre brudd, og ved gjentakelse avtalebøter.
Forløpet er ubehagelig for de berørte. En konkurrent, en forbrukersentral eller en forening fastslår bruddet og sender et brev fra advokat. I det kreves en avtale om å avstå fra videre brudd med tilhørende bot, samt dekning av advokatkostnadene. Den som signerer, er bundet. Hvert nytt brudd utløser da en avtalebot, ofte i firesifret område. Den som ikke reagerer, risikerer en midlertidig forføyning med ytterligere kostnader. I begge tilfeller er innsatsen betydelig høyere enn innsatsen for en ryddig forberedelse.
Den andre skaden: tapt tillit
Ved siden av de direkte kostnadene finnes en annen skade som er vanskeligere å tallfeste: tillitstapet. Et nettsted som forklarer dataene sine transparent og klart angir hvem som står bak, virker seriøst. Besøkende fyller heller ut et skjema eller sender en forespørsel. Mangler denne tydeligheten, oppstår usikkerhet, selv om ingen sender en advarsel. Rettssikkerhet er for så vidt ikke bare beskyttelse, men også en konverteringsfaktor.
I tillegg kommer tidspresset. Slike advarsler setter ofte korte frister, noen ganger bare få dager. Den som da først må lete etter en advokat, havner raskt under stress og tar dårligere beslutninger under press. En ryddig forberedelse flytter denne innsatsen til et punkt der det er nok tid til å tenke seg om.
Innsatsen for en ryddig løsning står ikke i forhold til risikoen. Et korrekt Impressum lages på få timer. En advarsel med krav koster penger, nerver og tid, og ved gjentakelse forblir avtaleboten en varig belastning.
Hvor ofte må Impressum og personvernerklæring oppdateres?
Det finnes ingen fast frist, men en klar utløser: enhver endring i data eller teknikk. Så snart selskapsformen endres, et nytt verktøy kommer til eller en leverandør byttes, må tekstene tilpasses. Det gjelder også tilbakevirkende når lover endres, slik som ved overgangen fra TMG til DDG.
To anledninger for en oppdatering
I praksis betyr det to anledninger. For det første enhver konkret hendelse, for eksempel en ny funksjon eller en flytting. For det andre en regelmessig rutinekontroll, ideelt sett én gang i året. Da kontrolleres det om de beskrevne verktøyene fortsatt er aktive, om nye har kommet til og om rettstilstanden har endret seg.
Nettopp de snikende endringene blir oversett. Et markedsføringsteam binder inn en ny sporingspiksel uten at noen rører personvernerklæringen. Uker senere passer ikke teksten lenger til virkeligheten. Den som fordeler ansvaret tydelig, unngår dette hullet. Ved løpende oppfølging overtar vi denne kontrollen og oppdaterer tekstene så snart noe endrer seg på nettstedet.
Hvorfor utgjør den profesjonelle gjennomføringen forskjellen?
Impressum, personvern og temaer rundt informasjonskapsler virker enkle, men hører til de hyppigste rettslige svake punktene på et nettsted. Allerede en glemt obligatorisk opplysning eller et feil innbundet verktøy er nok for en advarsel med krav. Lover endres, omdøpingen fra TMG til DDG og fra TTDSG til TDDDG viser det tydelig.
Tre byggeklosser, én løsning
Vi betrakter disse tre områdene som sammenhengende byggesteiner. Impressumet lages tilpasset selskapsformen. Personvernerklæringen gjenspeiler nøyaktig verktøyene som brukes. Samtykkebanneret henter inn samtykker på en teknisk virksom måte. Endres et verktøy, oppdateres teksten med.
Hovedfaktoren ligger i timingen
Den største spaken ligger i timingen. Lages Impressum og personvern først rett før lanseringen, passer de sjelden til den ferdige teknikken. Vi avklarer derfor de obligatoriske opplysningene og verktøyene som brukes tidlig i prosjektet, parallelt med utviklingen. Slik oppstår det ikke noe gap mellom det nettstedet gjør og det det sier om seg selv.
For deg betyr det fremfor alt én ting: avlastning. Du trenger ikke å arbeide deg gjennom lovtekster. Vårt webdesignbyrå i Hamburg overtar den rettslig ryddige gjennomføringen fra starten av og holder den oppdatert.
Fra Evelan i praksis
Et nordtysk bilutleiefirma kom til oss med et utdatert nettsted. Nettbestilling var planlagt, i tillegg en rekke eksterne tjenester: karttjeneste for stasjonene, en betalingsleverandør og flere analyseverktøy. Det gamle Impressumet nevnte bare en e-post, og personvernet beskrev ikke et eneste av disse verktøyene.
Vi fullførte tilbyderidentifikasjonen etter §5 DDG, tilpasset personvernerklæringen til hver innbundet tredjepartsapplikasjon og koblet samtykkebanneret slik at betalings- og analyseskript først starter etter samtykke. Resultatet: en bestillingsløype som behandler data ryddig, uten at driverne selv må justere ved hvert nye verktøy. Ingen relansering nødvendig, bare et rettslig bærekraftig grunnlag.
Konklusjon: Rettssikkert Impressum som grunnlag for ethvert seriøst nettsted
Et fullstendig Impressum etter §5 DDG og en personvernerklæring som passer til funksjonene er det rettslige grunnlaget for ethvert kommersielt nettsted. De beskytter mot en advarsel med krav og bøter, og skaper tillit hos besøkende. Den som tenker på begge deler fra starten av, bygger på fast grunn. Den som lapper det i ettertid, betaler som regel ekstra. Impressum, personvern og samtykke til informasjonskapsler griper bare pålitelig inn i hverandre når tekst og teknikk passer sammen og vedlikeholdes.
Dette innlegget gir generell informasjon om rettstilstanden og erstatter ikke rettslig rådgivning i det enkelte tilfelle. For en bindende vurdering av din konkrete situasjon, ta kontakt med et advokatkontor som er spesialisert på IT- og personvernrett.
Ofte stilte spørsmål
Rent private sider uten kommersielt formål trenger ikke et fullstendig Impressum etter §5 DDG. Så snart en forretningsmessig hensikt er gjenkjennelig, for eksempel gjennom reklame, affiliate-lenker eller et kommersielt tilbud, gjelder imidlertid Impressum-plikten. Grensedragningen skal i tvilstilfeller tolkes strengt.
Verwandte Evelan-Artikel
- Rettssikkert nettsted: den praktiske veiledningen
- Hva krever GDPR av nettsteder? Plikter, risikoer, praksis
- Slik oppfyller du plikten om samtykkebanner riktig
- Slik tetter du de største sikkerhetshullene på nettstedet ditt
Quellen
- Bundesministerium der Justiz: §5 DDG, allmenne informasjonsplikter (2024)
- EUR-Lex: Forordning (EU) 2016/679 (GDPR), Art. 13 informasjonsplikt (2016)
- EUR-Lex: Forordning (EU) 2016/679 (GDPR), Art. 83 overtredelsesgebyrer (2016)
- Bundesministerium der Justiz: §25 TDDDG, vern av personvernet ved terminalutstyr (2024)
