Юридически безопасный Impressum и защита данных для сайта

Юридически безопасный Impressum и аккуратная декларация о защите данных не являются необязательным дополнением. Это законная обязанность почти для любого сайта, используемого в коммерческих целях. Основу с мая 2024 года дает Закон о цифровых услугах (Digitale-Dienste-Gesetz), который в §5 DDG перенял прежние требования Закона о телемедиа. Кто здесь халтурит, рискует получить досудебные предупреждения (Abmahnung) и штрафы. Эта статья показывает, какие сведения обязательны, когда вступает в силу декларация о защите данных и где находятся дорогие ловушки.

При создании нового сайта на первом плане обычно стоит дизайн. Внешний вид и удобство навигации важны, без вопросов. Но об успехе или риске решают два юридических элемента, которым редко уделяют внимание: обозначение поставщика и обращение с персональными данными. Оба невидимы, пока что-то не пойдет не так. Тогда они становятся очень заметными и дорогими.

Что должен содержать юридически безопасный Impressum согласно §5 DDG?

Юридически безопасный Impressum должен четко называть, кто стоит за сайтом. Обязательные сведения регулирует §5 DDG, с 14 мая 2024 года это норма-преемник часто еще цитируемого §5 TMG. Закон о телемедиа был отменен, содержание обязанности осталось почти прежним. Многие шаблоны в сети здесь отстают.

Какие обязательные сведения должны быть в Impressum

К обозначению поставщика относятся имя или название фирмы с организационно-правовой формой, пригодный для вручения почтовый адрес и быстрые способы связи. Абонентского ящика недостаточно. Адрес электронной почты обязателен, дополнительно нужен второй, быстрый канал, например номер телефона. В зависимости от формы предприятия добавляются запись в реестре, регистрационный номер и идентификационный номер налогоплательщика по НДС согласно §27a UStG.

У регулируемых профессий есть дополнительные обязанности. Врачи, адвокаты, архитекторы или налоговые консультанты должны указывать палату, профессиональное звание и компетентный надзорный орган. При журналистско-редакционных предложениях, кроме того, нужно назвать ответственное лицо согласно §18 абз. 2 MStV. Звучит как кропотливая работа. Так оно и есть.

Доступность: два клика, два канала

Доступность тоже строго регламентирована. Impressum должен обеспечивать непосредственный и эффективный контакт. Одного только адреса электронной почты судебной практике часто недостаточно, поскольку он не гарантирует быстрого ответа. Второй канал, например телефон или оперативно обрабатываемая контактная форма, закрывает этот пробел. Важно также, чтобы Impressum был доступен с любой страницы максимум за два клика и четко обозначен как таковой. Скрытые ссылки или неясные обозначения вроде "Инфо" не удовлетворяют обязанности.

Из многочисленных проектов для среднего бизнеса в Evelan я знаю, что именно пригодный для вручения адрес и второй канал связи регулярно отсутствуют. И то, и другое легко уязвимо.

Почему скопированные шаблоны рискованны

Распространенное заблуждение: будто Impressum исчерпывается именем и электронной почтой. На деле объем зависит от организационно-правовой формы и вида деятельности. Индивидуальной предпринимательнице нужно меньше сведений, чем GmbH с записью в торговом реестре. У интернет-магазина другие обязанности, чем у простого корпоративного сайта. Кто копирует содержание из другого проекта, почти всегда перенимает сведения, которые не подходят, и забывает те, которых не хватает. Именно это делает Impressum уязвимым.

Следующая таблица обобщает ключевые обязательные сведения согласно §5 DDG и показывает, для кого они действуют.

Кто планирует новый сайт, должен прояснить эти пункты заранее. В наших проектах по созданию сайтов мы проверяем обязательные сведения соответственно организационно-правовой форме и отрасли, а не используем стандартный шаблон.

Когда сайту нужна декларация о защите данных?

Декларация о защите данных требуется, как только обрабатываются персональные данные. Обязанность информирования вытекает из Art. 13 GDPR. На практике это почти всегда так. Уже контактной формы, серверных лог-файлов или IP-адреса при открытии страницы достаточно.

Когда возникают персональные данные

Персональные данные возникают раньше, чем многие думают. Подписка на рассылку, встроенные карты, шрифты со сторонних серверов, инструменты аналитики, кнопки соцсетей: все это обрабатывает данные. Каждая из этих функций требует собственной оценки и подходящего раздела в декларации о защите данных.

Уже простое открытие страницы запускает обработку. Сервер сохраняет IP-адрес, время и используемый браузер. Эти лог-файлы технически целесообразны, например для отражения атак, но юридически значимы. Они тоже относятся к декларации о защите данных, с указанием цели, правового основания и срока хранения. Кто здесь описывает только очевидные формы, уже сделал декларацию неполной.

Что должно быть в декларации о защите данных

Декларация должна понятно излагать, какие данные, для какой цели и на каком правовом основании обрабатываются. Обязательны, кроме того, сведения о сроке хранения, получателях и правах субъектов данных. К ним относятся доступ, исправление, удаление и возражение. Скопированный шаблон редко полностью охватывает эти пункты.

В проектах с B2B-клиентами я регулярно вижу декларации о защите данных, описывающие инструмент, который давно заменен. Именно этот разрыв между текстом и техникой и есть дорогая ошибка. Хорошо обслуживаемый сайт держит и то, и другое синхронным.

Внешние сервисы и регулярное сопровождение

Особенно сложно становится с внешними сервисами. Картографический сервис передает данные стороннему поставщику уже при загрузке, часто в страны за пределами ЕС. Веб-шрифты, встроенные видео и плагины соцсетей работают так же. Каждая из этих передач требует правового основания и указания в декларации о защите данных. Если его нет, быстро возникает нарушение обязанности информирования.

Сопровождение тоже относится к этому. Декларация о защите данных не является одноразовым документом. Она устаревает с каждым новым инструментом, каждым расширением функций и каждым изменением закона. Кто пишет ее один раз и потом забывает, через год часто имеет документ, который больше не отражает реальность сайта.

Какую роль играют cookies и согласие?

Cookies, которые не являются технически обязательными, можно устанавливать только после активного согласия. Это предписывает §25 TDDDG, норма-преемник прежнего TTDSG. Для аналитических, маркетинговых и трекинговых cookies это означает: никакой установки до согласия.

Технически работающий cookie-баннер

Cookie-баннер поэтому должен функционировать технически корректно, а не только внешне. Если аналитический скрипт загружается уже до клика по "Принять", согласие бесполезно. Предустановленные галочки недопустимы. Отказаться должно быть так же просто, как и согласиться.

Это тот момент, на котором многие баннеры проваливаются. Они выглядят аккуратно, но все равно сразу запускают скрипты. Поэтому мы встраиваем инструменты отслеживания и маркетинга так, чтобы они стартовали только после согласия.

Баннер и декларация о защите данных неразделимы

Важно разделение между согласием на cookies и декларацией о защите данных. Одно не заменяет другого. Баннер регулирует, можно ли вообще установить технически необязательный cookie. Декларация о защите данных, кроме того, объясняет, какие данные и как затем обрабатываются. Оба уровня должны присутствовать и соответствовать друг другу. Баннер без подходящей декларации так же неполон, как декларация без действенного баннера.

Сколько стоит ошибочный Impressum или нарушение GDPR?

Диапазон простирается от досудебного предупреждения (Abmahnung) до штрафа в миллионы. Нарушения обязанностей информирования по Art. 13 GDPR попадают в верхнюю категорию штрафов: до 20 млн евро или 4 % от мирового годового оборота, в зависимости от того, какая сумма выше (Art. 83 GDPR). Это законный верхний предел, а не обычный случай.

Предупреждение чаще касается малого и среднего бизнеса

Чаще, чем штраф, мелких и средних операторов настигает досудебное предупреждение (Abmahnung). Отсутствующий или неполный Impressum относится к самым частым основаниям для предупреждений в немецком конкурентном праве. Одно-единственное предупреждение влечет расходы на адвоката, обязательства о прекращении нарушения, а при повторном случае договорные штрафы.

Ход событий для затронутых неприятен. Конкурент, общество защиты прав потребителей или объединение устанавливает нарушение и отправляет адвокатское письмо. В нем требуется обеспеченное штрафом обязательство о прекращении нарушения, а также возмещение расходов на адвоката. Кто подписывает, тот связан. Каждое повторное нарушение затем вызывает договорный штраф, часто четырехзначной величины. Кто не реагирует, рискует получить предварительный судебный запрет с дополнительными расходами. В обоих случаях усилия значительно выше, чем усилия на аккуратную подготовку.

Второй ущерб: потеря доверия

Помимо прямых расходов есть второй ущерб, который труднее оценить в цифрах: потеря доверия. Сайт, который прозрачно объясняет свои данные и четко называет, кто за ним стоит, выглядит солидно. Посетители охотнее заполняют форму или отправляют запрос. Если этой ясности нет, возникает неуверенность, даже если никто не подает предупреждение. Юридическая безопасность в этом смысле не только защита, но и фактор конверсии.

К этому добавляется цейтнот. Досудебные предупреждения часто устанавливают короткие сроки, иногда лишь несколько дней. Кто только тогда начинает искать адвоката, быстро попадает в стресс и под давлением принимает худшие решения. Аккуратная подготовка переносит эти усилия туда, где остается достаточно времени на размышление.

Усилия на аккуратное решение несопоставимы с риском. Корректный Impressum создается за несколько часов. Досудебное предупреждение стоит денег, нервов и времени, а при повторном случае договорный штраф остается постоянной нагрузкой.

Как часто нужно обновлять Impressum и декларацию о защите данных?

Фиксированного срока нет, но есть четкий триггер: любое изменение данных или техники. Как только меняется организационно-правовая форма, добавляется новый инструмент или меняется поставщик услуг, тексты нужно адаптировать. Это действует и ретроспективно, когда меняются законы, как при переходе от TMG к DDG.

Два повода для обновления

На практике это означает два повода. Во-первых, каждое конкретное событие, например новая функция или переезд. Во-вторых, регулярная плановая проверка, в идеале раз в год. При этом проверяется, активны ли еще описанные инструменты, не добавились ли новые и не изменилась ли правовая ситуация.

Именно ползучие изменения упускают из виду. Маркетинговая команда встраивает новый трекинговый пиксель, а декларацию о защите данных при этом никто не трогает. Через несколько недель текст уже не соответствует реальности. Кто четко распределяет зоны ответственности, избегает этого пробела. При текущем сопровождении мы берем этот контроль на себя и подтягиваем тексты, как только что-то меняется на сайте.

Почему профессиональная реализация делает разницу?

Impressum, защита данных и темы cookies кажутся простыми, но относятся к самым частым юридическим слабым местам сайта. Уже одного забытого обязательного сведения или неправильно встроенного инструмента достаточно для досудебного предупреждения. Законы меняются, переименование TMG в DDG и TTDSG в TDDDG ясно это показывает.

Три составляющие, одно решение

Мы рассматриваем эти три области как взаимосвязанные элементы. Impressum создается соответственно организационно-правовой форме. Декларация о защите данных точно отражает используемые инструменты. Cookie-баннер технически действенно собирает согласия. Если меняется инструмент, текст подтягивается вместе с ним.

Главный рычаг: выбор времени

Самый большой рычаг лежит в выборе времени. Если Impressum и защита данных создаются только незадолго до запуска, они редко соответствуют готовой технике. Поэтому мы проясняем обязательные сведения и используемые инструменты заранее в проекте, параллельно с разработкой. Так не возникает разрыва между тем, что делает сайт, и тем, что он об этом сообщает.

Для Вас это означает прежде всего одно: разгрузку. Вам не нужно продираться через тексты законов. Наша веб-дизайн-агентство в Гамбурге берет на себя юридически аккуратную реализацию с самого начала и поддерживает ее в актуальном состоянии.

Вывод: юридически безопасный Impressum как основа любого солидного сайта

Полный Impressum согласно §5 DDG и подходящая к функциям декларация о защите данных являются юридической основой любого коммерческого сайта. Они защищают от досудебных предупреждений и штрафов и создают доверие у посетителей. Кто продумывает и то, и другое с самого начала, строит на твердой почве. Кто латает это задним числом, обычно переплачивает. Impressum, защита данных и согласие на cookies надежно работают вместе только тогда, когда текст и техника соответствуют друг другу и поддерживаются.

Эта статья предлагает общую информацию о правовой ситуации и не заменяет юридическую консультацию в конкретном случае. Для обязывающей проверки Вашей конкретной ситуации обратитесь, пожалуйста, в адвокатскую контору, специализирующуюся на IT-праве и праве защиты данных.

Verwandte Evelan-Artikel

• Юридически безопасный сайт: практическое руководство
• Что требует GDPR от сайтов? Обязанности, риски, практика
• Как правильно реализовать обязательный cookie-баннер
• Как закрыть крупнейшие бреши в безопасности на Вашем сайте

Quellen

• Bundesministerium der Justiz: §5 DDG, общие обязанности информирования (2024)
• EUR-Lex: Регламент (ЕС) 2016/679 (GDPR), Art. 13 обязанность информирования (2016)
• EUR-Lex: Регламент (ЕС) 2016/679 (GDPR), Art. 83 денежные штрафы (2016)
• Bundesministerium der Justiz: §25 TDDDG, защита приватности при оконечных устройствах (2024)