Fast alle Websites sind von der DSGVO betroffen. Unsere Datenschutz-Experten zeigen, was man hinsichtlich IP-Speicherung, Cookies, E-Mail, Sharing, Google-Tools und Datenschutz-Erklärung beachten muss. [...]
Folge 6: Die Tücken der Webseite (c) CW
Fast alle Webseiten-Besitzer müssen sich Gedanken über die DSGVO machen. Ausgeschlossen sind einzig „statische“ Internetseiten, die keine personenbezogenen Daten beinhalten – z.B. Seiten, die beispielsweise nur Landschaftsfotos zeigen, nur statische In-formation wie z.B. Öffnungszeiten beinhalten und die keine Analysetools nutzen.
Wenn die IP-Adresse eines Besuchers von einer Website verarbeitet bzw. gespeichert wird, findet die Verarbeitung nach DSGVO statt, denn IP-Adressen gehören zu den personenbezogenen Daten.
Cookies
Fast alle Websites verwenden Cookies. Cookies sind kleine Textdateien, die von den einzelnen Websites, die ein Benutzer besucht, im Browser des Rechners abgelegt werden. Cookies speichern Informationen wie z.B. die bevorzugte Sprache oder andere persönliche Seiteneinstellungen. Beim Besuch eines Online-Shops wird z.B. gespeichert, welche Produkte aufgerufen wurden. Gerade fürs Online-Marketing sind Cookies sehr wertvoll. Die gesammelten Kunden- und Userdaten sind die technologische Basis, um Online-Marketing Kampagnen zu personalisieren und zu optimieren.
Gilt die EU-Cookie-Richtlinie in Österreich?
Die Europäische Union hat 2009 die „RL 2009/136/EG“ – genannt Cookie-Richtlinie herausge-geben. Diese Richtlinie, die eine ausdrückliche Einwilligung des Nutzers in solchen Fällen vor-sieht, regelt den Schutz personenbezogener Daten im Internet. In Österreich ist diese EU-Richtlinie im Telekommunikationsgesetz § 96 Abs. 3 umgesetzt.
Telekommunikationsgesetz
Dieses Gesetz ist seit 22.11.2011 in Kraft. Dort heißt es z.B.
„…Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezo-genen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat…“
Aktive Zustimmung erforderlich?
Muss ein Website-Nutzer für die Verwendung von Cookies aktiv seine Zustimmung („Opt-In“) geben oder ist es ausreichend, wenn Nutzer die Möglichkeit haben, einer Verwendung zu widersprechen („Opt-out“)? Für Österreich gilt: Bei der Nutzung von Cookies, die personenbezogene Daten speichern, herrscht eine Informations- und Zustimmungspflicht.
Nach der Artikel-29-Datenschutzgruppe – einem unabhängigen Gremium, das die EU-Kommission in Datenschutzfragen berät – stellt dazu fest, dass ein Einsatz von Cookies nur dann zulässig ist, wenn:
• Der User vorab im Detail informiert wird
• vor dem Einsatz von Cookies eine Zustimmung vorliegt und
• die Zustimmung freiwillig, ohne Zweifel und durch eine aktive Handlung erteilt wurde.
Es wird empfohlen, für die Verwendung von Cookies aktiv seine Zustimmung („Opt-In“) geben zu können, z.B. durch Anklicken eines „ich stimme zu“ Buttons. Dieser darf nicht vorab ange-kreuzt sein!
Ein Hinweis im Impressum oder in der Datenschutzerklärung ist vielen Rechtsexperten zufolge nicht ausreichend. Auch Hinweise wie z.B.
„Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu“ sind umstritten, da die „aktive“ Zustimmung zur Verwendung der Cookies fehlt.
Google Tools
Website-Entwickler, die so weit verbreitete Google Produkte wie Google Analytics, Google Ad-Words, AdSense oder DoubleClick einsetzen, sollten einen Cookie-Hinweis auf der Website oder App haben. Denn diese Tools wie z.B. Google Analytics erfassen u.a. auch personenbezogene Daten von Nutzern.
Nutzungsbestimmungen
Die Nutzungsbedingungen von Google zur Nutzung von Google Analytics sehen vor, dass ein Vertrag zur Auftragsverarbeitung mit Google abgeschlossen werden muss. Diese Übereinkunft regelt die Rechte und Pflichten zwischen den Verantwortlichen für die Datenverarbeitung und Google als Auftragsverarbeiter. Diese Option zur Datenverarbeitung, welche nur für EU-Staaten gilt, sollte vom Web-Entwickler jedenfalls aktiviert werden. Dafür sind die Einstellungen im Tag Manager Admin > Account > Account Settings vorgesehen. In der Datenschutzerklärung ist darauf hinzuweisen, dass das Statistik-Tool verwendet wird.
Zusätzlich muss die Datenschutzerklärung einen Link zu den Nutzungs- und Datenschutz-Bestimmungen von Google Analytics enthalten sein und es muss eine Widerspruchsmöglichkeit integriert sein.
Deaktivierung (Opt-out)
Die so genannte Opt-out-Funktion ermöglicht, dass der Benutzer mit einem Klick in den Datenschutzerklärungen dafür sorgen kann, dass seine Daten nicht mehr an Google weitergegeben werden. Wie diese Opt-out-Funktion integriert werden kann, ist hier bei Google beschrieben.
Wird das Opt-out vom Benutzer aktiviert, müssen z.B. IP-Adressen so gekürzt, das heißt ano-nymisiert werden, dass kein Personenbezug mehr möglich ist. Der Webadministrator kann den „anonymizeIP“-Befehl in den Quellcode der Website einbauen, damit der Benutzer die Wahl hat, ob er die Anonymisierung in Anspruch nehmen möchte.
Eine alternative Möglichkeit besteht darin, einen Link zu einem Browser-Plugin in den Daten-schutzbestimmungen der Webseite zum offiziellen Plugin von Google einzubauen – siehe http://tools.google.com/dlpage/gaoptout?hl=de.
Newsletter
Der Versand von regelmäßigen Newslettern erfordert natürlich die Speicherung von Nutzerdaten wie Namen und Email-Adresse. Vor allem bei Nutzung eines Drittanbieters gibt es mehrere Punkte zu beachten.
Mailchimp & Co
Mailchimp hat sich als Anbieter eines Newsletter-Tools dem Privacy Shield Abkommen verpflichtet. Das Abkommen regelt den Datenschutz beim Austauschen der Daten zwischen Amerika und Europa. Daher muss man einen Datenverarbeitungsvertrag abschließen und einen deutlichen Hinweis bei der Anmeldung zum Newsletter anbringen. Ein alternativer Anbieter ist Newsletter2Go.
Ähnlich zu Google Analytics sollte auch mit Newsletter-Anbietern wie Mailchimp ein Vertrag zum Thema Datenschutz geschlossen werden. Unter Mailchimps Data Processing Addendum findet sich eine Anleitung, Beispiele und vieles mehr.
Share-Buttons
Ohne Zustimmung des Besuchers dürfen mittels Social-Media-Plugins und eingebetteter Videos keine Daten an Social Media-Kanäle übertragen werden. Dies wird schnell zum Problem, da die meisten Einbettungen von Social Media Buttons bereits beim Besuchen der Webseite eine Verbindung zu den sozialen Netzwerken herstellen.
Die Social-Media-Plugins, die Facebook und Co. zur Verfügung stellen, sammeln vom Website-nutzer unbemerkt personenbezogene Daten und können so detaillierte Persönlichkeitsprofile erstellen. Dasselbe gilt, wenn Sie Videos, beispielsweise von Youtube oder Vimeo, auf Ihrer Seite einbetten.
Facebook, Google+ & Co können so unbemerkt Daten der Webseitenuser erheben und deren Verhalten tracken. Wobei man davon ausgehen kann, dass auch hier die großen Unternehmen wie Facebook & Co noch rechtzeitig Anpassungen vornehmen werden.
Umgehungsmöglichkeit
Es gibt aktuell 2 Möglichkeiten, dieses Problem zu umgehen, sofern man nicht zur Gänze auf die Teilen-Buttons verzichten möchte:
• 2-Klick-Lösung: Durch zwischenschalten eines Plugins, bei dem erst durch erneutes Klicken die Zustimmung der Sammlung von Nutzerdaten erfolgt.
• Mit Plugins wie z.B. shariff lassen sich datenschutzkonforme Teilen-Buttons erstellen. Das Plugin ist leicht zu bedienen und sehr flexibel – aktuell sicher die beste Lösung, wenn man nicht auf die Social Sharing Funktionalität verzichten möchte.
Empfehlungen
Website verschlüsseln
Internetseiten, auf denen personenbezogene Daten erhoben werden, sollten grundsätzlich verschlüsselt sein. Verschlüsselte Seiten erkennt man daran, dass die URL mit „https“ anfängt.
Dies gilt in jedem Fall dort, wo es um Kontaktformulare oder Newsletter-Anmeldungen geht.
Überprüfen Sie, ob das auf allen Ihren Seiten und Unterseiten der Fall ist.
Impressum
Das Impressum muss die Informationspflichten laut
• §5 E-Commerce Gesetz
• §14 Unternehmensgesetz.B.uch
• §63 Gewerbeordnung
• §25 Mediengesetz (Offenlegungspflicht)
erfüllen.
Ein vorbildliches Impressum ist leicht auffindbar – z.B. durch einen Link im Footer. Die meisten Webseitenbesucher fangen dort nach dem Impressum zu suchen an.
Datenschutz-Erklärung
Eine Datenschutzerklärung mussten Internetseiten schon bisher haben, durch die DSGVO sind neue Informationspflichten dazugekommen: Alle Dienste und Plug-ins, die Sie auf der Seite verwenden und die dafür sorgen, dass Daten einer dritten Partei zugänglich gemacht werden, müssen in der Datenschutzerklärung aufgeführt werden. Außerdem muss über die Art, das Ausmaß und die Verwendung der gespeicherten Daten informiert werden. Die Datenschutz-Erklärung muss im Regelfall auf die Webseite individuell angepasst werden.
Die WKO bietet ein gutes Musterbeispiel an: Erfüllung der datenschutzrechtlichen Informationspflichten für Webseiten.
Bilder und Daten von Mitarbeitern auf der Webseite
Werden auf einer Website Mitarbeiter vorgestellt (z.B. mit Bildern) dann ist die Erlaubnis bzw. Zustimmung des Mitarbeiters zur Bildverarbeitung und Nutzung dieser Daten von den Betroffenen einzuholen. Das könnte auch generell im Arbeitsvertrag geregelt sein.
DSGVO-Zertifikat von Websites
Wir, die unabhängigen sowie staatlich befugten und beeideten IT-Ziviltechniker überprüfen gerne die DSGVO-Konformität Ihrer Website. Ziviltechniker verfügen nicht nur über das erforderliche Know-How, sondern sind derzeit als einzige befugt, eine Urkunde (Zertifikat) über die DSGVO-Konformität auszustellen. Wir unterstützen Sie gerne!
*) Das Tagebuch wird von den Datenschutz-Ziviltechnikern DI Wolfgang Fiala und DI Dr. Peter Gelber geschrieben, www.dsgvo-zt.atDie bisherigen Folgen:
(11) Cookies: Rechtslage in Österreich
(10) Cloud-Services: Achtung auf faule Verträge
(9) DSGVO-Zertifikat: Was es ist und was es bringt
(8) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (2)
(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?
Die Welt bewegt sich rasant in Richtung Digitalisierung, und das Internet der Dinge (IoT) ist eine der treibenden Kräfte hinter dieser Transformation. Doch während die meisten Innovationen im Zusammenhang mit IoT auf Industrienationen fokussiert sind, eröffnet diese Technologie besonders für Afrika einzigartige Chancen. […]
Innovationen bei der Stromversorgung und Kühlung von KI-Racks sowie das Management von Energieverbrauch und Emissionen werden im kommenden Jahr bei Betreibern von Rechenzentren im Mittelpunkt stehen. […]
Der deutsche Energiekonzern nutzt als führendes Unternehmen im Bereich der erneuerbaren Energien die schlüsselfertige KI-Infrastrukturlösung von Hewlett Packard Enterprise (HPE), um die Prognosegenauigkeit zu verbessern und das Energieressourcenmanagement zu optimieren. […]
Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]
Auf der HUAWEI CONNECT 2024 in Paris präsentierte Huawei innovative Technologien für die grüne und digitale Transformation Europas. Die DigitALL Night bot österreichischen Studierenden exklusive Einblicke in die Arbeit des internationalen Technologiekonzerns. […]
Das Entrust Cybersecurity Institute veröffentlichte kürzlich die Ergebnisse seines 2025 Identity Fraud Report. Demnach nehmen KI-gestützte Betrugsversuche zu und werden zunehmend raffinierter. Im Jahr 2024 fand bisher alle fünf Minuten ein Deepfake-Angriff statt und die Fälschungen digitaler Dokumente nahmen im Vergleich zum Vorjahreszeitraum um 244 Prozent zu. […]
Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]
Von Secondhand-Geschenken bis zu fachgerechter Entsorgung: Die Elektroaltgeräte Koordinierungsstelle zeigt, wie Wiederverwendung und Recycling zu einem umweltfreundlichen und energieeffizienten Weihnachtsfest beitragen können. […]
Aktuelle Business IT-News für Österreich. Die ITWELT (vormals: COMPUTERWELT) ist Österreichs führende IT- Zeitung für den gesamten Bereich der Informationstechnik und Telekommunikation. Wir schreiben für leitende IT- Experten (IT-Leiter, CIO) in IT-Branche und EDV-Abteilungen. Unsere Themen: Business Software, Netzwerk, Security, Mobile Kommunikation, Infrastruktur, Cloud, Wirtschaft, IT-Innovation. Zudem finden Sie hier IT-Anbieter, Whitepaper, Webinare, Termine, Social Events und Praxisreports aus der IT und ITK Branche. (c) 2024 - ITW Verlag GmbH
Anmeldung Roundtable
Keine Felder gefunden.
Datenschutz Newsletter
Ich erhalte den Newsletter der Computerwelt c/o CW Fachverlag GmbH, Halbgasse 3-5 in 1070 Wien.
Meine Daten werden sicher gespeichert und niemals an Dritte weitergegeben.
Eine Abmeldung vom Newsletter, sowie Anmeldungen zu weiteren Services ist durch einen Link am Ende des Newsletters möglich.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Die Social-Media-Plugins, die Facebook und Co. zur Verfügung stellen, sammeln vom Website-nutzer unbemerkt personenbezogene Daten und können so detaillierte Persönlichkeitsprofile erstellen. Dasselbe gilt, wenn Sie Videos, beispielsweise von Youtube oder Vimeo, auf Ihrer Seite einbetten.
Facebook, Google+ & Co können so unbemerkt Daten der Webseitenuser erheben und deren Verhalten tracken. Wobei man davon ausgehen kann, dass auch hier die großen Unternehmen wie Facebook & Co noch rechtzeitig Anpassungen vornehmen werden.
Umgehungsmöglichkeit
Es gibt aktuell 2 Möglichkeiten, dieses Problem zu umgehen, sofern man nicht zur Gänze auf die Teilen-Buttons verzichten möchte:
• 2-Klick-Lösung: Durch zwischenschalten eines Plugins, bei dem erst durch erneutes Klicken die Zustimmung der Sammlung von Nutzerdaten erfolgt.
• Mit Plugins wie z.B. shariff lassen sich datenschutzkonforme Teilen-Buttons erstellen. Das Plugin ist leicht zu bedienen und sehr flexibel – aktuell sicher die beste Lösung, wenn man nicht auf die Social Sharing Funktionalität verzichten möchte.
Be the first to comment