Fast alle Websites sind von der DSGVO betroffen. Unsere Datenschutz-Experten zeigen, was man hinsichtlich IP-Speicherung, Cookies, E-Mail, Sharing, Google-Tools und Datenschutz-Erklärung beachten muss. [...]
Folge 6: Die Tücken der Webseite (c) CW
Fast alle Webseiten-Besitzer müssen sich Gedanken über die DSGVO machen. Ausgeschlossen sind einzig „statische“ Internetseiten, die keine personenbezogenen Daten beinhalten – z.B. Seiten, die beispielsweise nur Landschaftsfotos zeigen, nur statische In-formation wie z.B. Öffnungszeiten beinhalten und die keine Analysetools nutzen.
Wenn die IP-Adresse eines Besuchers von einer Website verarbeitet bzw. gespeichert wird, findet die Verarbeitung nach DSGVO statt, denn IP-Adressen gehören zu den personenbezogenen Daten.
Cookies
Fast alle Websites verwenden Cookies. Cookies sind kleine Textdateien, die von den einzelnen Websites, die ein Benutzer besucht, im Browser des Rechners abgelegt werden. Cookies speichern Informationen wie z.B. die bevorzugte Sprache oder andere persönliche Seiteneinstellungen. Beim Besuch eines Online-Shops wird z.B. gespeichert, welche Produkte aufgerufen wurden. Gerade fürs Online-Marketing sind Cookies sehr wertvoll. Die gesammelten Kunden- und Userdaten sind die technologische Basis, um Online-Marketing Kampagnen zu personalisieren und zu optimieren.
Gilt die EU-Cookie-Richtlinie in Österreich?
Die Europäische Union hat 2009 die „RL 2009/136/EG“ – genannt Cookie-Richtlinie herausge-geben. Diese Richtlinie, die eine ausdrückliche Einwilligung des Nutzers in solchen Fällen vor-sieht, regelt den Schutz personenbezogener Daten im Internet. In Österreich ist diese EU-Richtlinie im Telekommunikationsgesetz § 96 Abs. 3 umgesetzt.
Telekommunikationsgesetz
Dieses Gesetz ist seit 22.11.2011 in Kraft. Dort heißt es z.B.
„…Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezo-genen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat…“
Aktive Zustimmung erforderlich?
Muss ein Website-Nutzer für die Verwendung von Cookies aktiv seine Zustimmung („Opt-In“) geben oder ist es ausreichend, wenn Nutzer die Möglichkeit haben, einer Verwendung zu widersprechen („Opt-out“)? Für Österreich gilt: Bei der Nutzung von Cookies, die personenbezogene Daten speichern, herrscht eine Informations- und Zustimmungspflicht.
Nach der Artikel-29-Datenschutzgruppe – einem unabhängigen Gremium, das die EU-Kommission in Datenschutzfragen berät – stellt dazu fest, dass ein Einsatz von Cookies nur dann zulässig ist, wenn:
• Der User vorab im Detail informiert wird
• vor dem Einsatz von Cookies eine Zustimmung vorliegt und
• die Zustimmung freiwillig, ohne Zweifel und durch eine aktive Handlung erteilt wurde.
Es wird empfohlen, für die Verwendung von Cookies aktiv seine Zustimmung („Opt-In“) geben zu können, z.B. durch Anklicken eines „ich stimme zu“ Buttons. Dieser darf nicht vorab ange-kreuzt sein!
Ein Hinweis im Impressum oder in der Datenschutzerklärung ist vielen Rechtsexperten zufolge nicht ausreichend. Auch Hinweise wie z.B.
„Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu“ sind umstritten, da die „aktive“ Zustimmung zur Verwendung der Cookies fehlt.
Google Tools
Website-Entwickler, die so weit verbreitete Google Produkte wie Google Analytics, Google Ad-Words, AdSense oder DoubleClick einsetzen, sollten einen Cookie-Hinweis auf der Website oder App haben. Denn diese Tools wie z.B. Google Analytics erfassen u.a. auch personenbezogene Daten von Nutzern.
Nutzungsbestimmungen
Die Nutzungsbedingungen von Google zur Nutzung von Google Analytics sehen vor, dass ein Vertrag zur Auftragsverarbeitung mit Google abgeschlossen werden muss. Diese Übereinkunft regelt die Rechte und Pflichten zwischen den Verantwortlichen für die Datenverarbeitung und Google als Auftragsverarbeiter. Diese Option zur Datenverarbeitung, welche nur für EU-Staaten gilt, sollte vom Web-Entwickler jedenfalls aktiviert werden. Dafür sind die Einstellungen im Tag Manager Admin > Account > Account Settings vorgesehen. In der Datenschutzerklärung ist darauf hinzuweisen, dass das Statistik-Tool verwendet wird.
Zusätzlich muss die Datenschutzerklärung einen Link zu den Nutzungs- und Datenschutz-Bestimmungen von Google Analytics enthalten sein und es muss eine Widerspruchsmöglichkeit integriert sein.
Deaktivierung (Opt-out)
Die so genannte Opt-out-Funktion ermöglicht, dass der Benutzer mit einem Klick in den Datenschutzerklärungen dafür sorgen kann, dass seine Daten nicht mehr an Google weitergegeben werden. Wie diese Opt-out-Funktion integriert werden kann, ist hier bei Google beschrieben.
Wird das Opt-out vom Benutzer aktiviert, müssen z.B. IP-Adressen so gekürzt, das heißt ano-nymisiert werden, dass kein Personenbezug mehr möglich ist. Der Webadministrator kann den „anonymizeIP“-Befehl in den Quellcode der Website einbauen, damit der Benutzer die Wahl hat, ob er die Anonymisierung in Anspruch nehmen möchte.
Eine alternative Möglichkeit besteht darin, einen Link zu einem Browser-Plugin in den Daten-schutzbestimmungen der Webseite zum offiziellen Plugin von Google einzubauen – siehe http://tools.google.com/dlpage/gaoptout?hl=de.
Newsletter
Der Versand von regelmäßigen Newslettern erfordert natürlich die Speicherung von Nutzerdaten wie Namen und Email-Adresse. Vor allem bei Nutzung eines Drittanbieters gibt es mehrere Punkte zu beachten.
Mailchimp & Co
Mailchimp hat sich als Anbieter eines Newsletter-Tools dem Privacy Shield Abkommen verpflichtet. Das Abkommen regelt den Datenschutz beim Austauschen der Daten zwischen Amerika und Europa. Daher muss man einen Datenverarbeitungsvertrag abschließen und einen deutlichen Hinweis bei der Anmeldung zum Newsletter anbringen. Ein alternativer Anbieter ist Newsletter2Go.
Ähnlich zu Google Analytics sollte auch mit Newsletter-Anbietern wie Mailchimp ein Vertrag zum Thema Datenschutz geschlossen werden. Unter Mailchimps Data Processing Addendum findet sich eine Anleitung, Beispiele und vieles mehr.
Share-Buttons
Ohne Zustimmung des Besuchers dürfen mittels Social-Media-Plugins und eingebetteter Videos keine Daten an Social Media-Kanäle übertragen werden. Dies wird schnell zum Problem, da die meisten Einbettungen von Social Media Buttons bereits beim Besuchen der Webseite eine Verbindung zu den sozialen Netzwerken herstellen.
Die Social-Media-Plugins, die Facebook und Co. zur Verfügung stellen, sammeln vom Website-nutzer unbemerkt personenbezogene Daten und können so detaillierte Persönlichkeitsprofile erstellen. Dasselbe gilt, wenn Sie Videos, beispielsweise von Youtube oder Vimeo, auf Ihrer Seite einbetten.
Facebook, Google+ & Co können so unbemerkt Daten der Webseitenuser erheben und deren Verhalten tracken. Wobei man davon ausgehen kann, dass auch hier die großen Unternehmen wie Facebook & Co noch rechtzeitig Anpassungen vornehmen werden.
Umgehungsmöglichkeit
Es gibt aktuell 2 Möglichkeiten, dieses Problem zu umgehen, sofern man nicht zur Gänze auf die Teilen-Buttons verzichten möchte:
• 2-Klick-Lösung: Durch zwischenschalten eines Plugins, bei dem erst durch erneutes Klicken die Zustimmung der Sammlung von Nutzerdaten erfolgt.
• Mit Plugins wie z.B. shariff lassen sich datenschutzkonforme Teilen-Buttons erstellen. Das Plugin ist leicht zu bedienen und sehr flexibel – aktuell sicher die beste Lösung, wenn man nicht auf die Social Sharing Funktionalität verzichten möchte.
Empfehlungen
Website verschlüsseln
Internetseiten, auf denen personenbezogene Daten erhoben werden, sollten grundsätzlich verschlüsselt sein. Verschlüsselte Seiten erkennt man daran, dass die URL mit „https“ anfängt.
Dies gilt in jedem Fall dort, wo es um Kontaktformulare oder Newsletter-Anmeldungen geht.
Überprüfen Sie, ob das auf allen Ihren Seiten und Unterseiten der Fall ist.
Impressum
Das Impressum muss die Informationspflichten laut
• §5 E-Commerce Gesetz
• §14 Unternehmensgesetz.B.uch
• §63 Gewerbeordnung
• §25 Mediengesetz (Offenlegungspflicht)
erfüllen.
Ein vorbildliches Impressum ist leicht auffindbar – z.B. durch einen Link im Footer. Die meisten Webseitenbesucher fangen dort nach dem Impressum zu suchen an.
Datenschutz-Erklärung
Eine Datenschutzerklärung mussten Internetseiten schon bisher haben, durch die DSGVO sind neue Informationspflichten dazugekommen: Alle Dienste und Plug-ins, die Sie auf der Seite verwenden und die dafür sorgen, dass Daten einer dritten Partei zugänglich gemacht werden, müssen in der Datenschutzerklärung aufgeführt werden. Außerdem muss über die Art, das Ausmaß und die Verwendung der gespeicherten Daten informiert werden. Die Datenschutz-Erklärung muss im Regelfall auf die Webseite individuell angepasst werden.
Die WKO bietet ein gutes Musterbeispiel an: Erfüllung der datenschutzrechtlichen Informationspflichten für Webseiten.
Bilder und Daten von Mitarbeitern auf der Webseite
Werden auf einer Website Mitarbeiter vorgestellt (z.B. mit Bildern) dann ist die Erlaubnis bzw. Zustimmung des Mitarbeiters zur Bildverarbeitung und Nutzung dieser Daten von den Betroffenen einzuholen. Das könnte auch generell im Arbeitsvertrag geregelt sein.
DSGVO-Zertifikat von Websites
Wir, die unabhängigen sowie staatlich befugten und beeideten IT-Ziviltechniker überprüfen gerne die DSGVO-Konformität Ihrer Website. Ziviltechniker verfügen nicht nur über das erforderliche Know-How, sondern sind derzeit als einzige befugt, eine Urkunde (Zertifikat) über die DSGVO-Konformität auszustellen. Wir unterstützen Sie gerne!
*) Das Tagebuch wird von den Datenschutz-Ziviltechnikern DI Wolfgang Fiala und DI Dr. Peter Gelber geschrieben, www.dsgvo-zt.atDie bisherigen Folgen:
(11) Cookies: Rechtslage in Österreich
(10) Cloud-Services: Achtung auf faule Verträge
(9) DSGVO-Zertifikat: Was es ist und was es bringt
(8) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (2)
(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?
Microsoft hat zum zweiten Mal den Microsoft Power Women in Tech Award vergeben, um herausragende Frauen, die sich für mehr Vielfalt und Inklusion im gesamten Microsoft Partner Ökosystem einsetzen, ins Rampenlicht zu rücken. Die Auszeichnung ist Teil des kontinuierlichen Engagements von Microsoft, eine neue Generation zu inspirieren und weibliche Tech-Talente zu fördern. […]
Laut ESET-Umfrage teilt knapp die Hälfte der Eltern Bilder ihrer Kinder online – und das auch noch unverpixelt. Ein neuer Podcast von WeTalkSecurity erklärt, warum Sharenting problematisch ist. […]
Eine Studie von techconsult zeigt, wie die Vernetzung von Produktionsanlagen und Sensoren mittels IoT-Technologien sowohl die effiziente Nutzung und Bereitstellung relevanter Daten für ESG-Zwecke, als auch ein transparentes Energiemanagement ermöglicht. […]
Exclusive Networks verstärkt den Fokus auf den rasant wachsenden Bereich Netzwerkinfrastruktur mit dem Ziel, die Wettbewerbsfähigkeit der Partner zu steigern. […]
In Zeiten der Klimakrise wollen und müssen Unternehmen nachhaltiger wirtschaften, um ihren CO₂-Fußabdruck zu verringern. Im Rahmen dieser Mission stoßen Organisationen unweigerlich auf einen der größten Energieverbraucher in vielen Unternehmen: die Datenspeicherung. […]
Die jüngsten IT-Vorfälle, ob sie nun durch Cyberangriffe, menschliches Versagen oder Naturkatastrophen verursacht wurden, machen mehr als deutlich, wie anfällig unsere digitale Infrastruktur ist. Daher soll die NIS2-Richtlinie in ganz Europa die Strategie der Cyberhygiene stärken und in Folge die Geschäftskontinuität im Störungsfall entscheidend verbessern. […]
Cyberattacken nehmen zu, aber die Unternehmen sind oft nicht gut genug darauf vorbereitet. Am 17. Oktober tritt zudem die europäische Cybersicherheitsrichtlinie, kurz NIS 2, in Kraft. UBIT Wien zeigt in fünf Schritten, wie Unternehmen die Zeit bis Herbst nutzen können, um sich gemeinsam mit einer IT-Beratung des Themas Cybersecurity anzunehmen. […]
Die Vision von Smart Cities ist verlockend. Sie versprechen eine Verbesserung der urbanen Lebensqualität – durch intelligente Infrastrukturen, die den Verkehr optimieren, den Energieverbrauch senken und städtische Dienstleistungen digitalisieren. Doch mit diesen Möglichkeiten gehen auch ethische Herausforderungen einher, die wir nicht ignorieren dürfen. Digitalpionier Ismet Koyun über Vorteile, Risiken und Lösungsansätze in vollständig vernetzten Städten. […]
Aktuelle Business IT-News für Österreich. Die ITWELT (vormals: COMPUTERWELT) ist Österreichs führende IT- Zeitung für den gesamten Bereich der Informationstechnik und Telekommunikation. Wir schreiben für leitende IT- Experten (IT-Leiter, CIO) in IT-Branche und EDV-Abteilungen. Unsere Themen: Business Software, Netzwerk, Security, Mobile Kommunikation, Infrastruktur, Cloud, Wirtschaft, IT-Innovation. Zudem finden Sie hier IT-Anbieter, Whitepaper, Webinare, Termine, Social Events und Praxisreports aus der IT und ITK Branche. (c) 2024 - ITW Verlag GmbH
Anmeldung Roundtable
Keine Felder gefunden.
Datenschutz Newsletter
Ich erhalte den Newsletter der Computerwelt c/o CW Fachverlag GmbH, Halbgasse 3-5 in 1070 Wien.
Meine Daten werden sicher gespeichert und niemals an Dritte weitergegeben.
Eine Abmeldung vom Newsletter, sowie Anmeldungen zu weiteren Services ist durch einen Link am Ende des Newsletters möglich.
Die Social-Media-Plugins, die Facebook und Co. zur Verfügung stellen, sammeln vom Website-nutzer unbemerkt personenbezogene Daten und können so detaillierte Persönlichkeitsprofile erstellen. Dasselbe gilt, wenn Sie Videos, beispielsweise von Youtube oder Vimeo, auf Ihrer Seite einbetten.
Facebook, Google+ & Co können so unbemerkt Daten der Webseitenuser erheben und deren Verhalten tracken. Wobei man davon ausgehen kann, dass auch hier die großen Unternehmen wie Facebook & Co noch rechtzeitig Anpassungen vornehmen werden.
Umgehungsmöglichkeit
Es gibt aktuell 2 Möglichkeiten, dieses Problem zu umgehen, sofern man nicht zur Gänze auf die Teilen-Buttons verzichten möchte:
• 2-Klick-Lösung: Durch zwischenschalten eines Plugins, bei dem erst durch erneutes Klicken die Zustimmung der Sammlung von Nutzerdaten erfolgt.
• Mit Plugins wie z.B. shariff lassen sich datenschutzkonforme Teilen-Buttons erstellen. Das Plugin ist leicht zu bedienen und sehr flexibel – aktuell sicher die beste Lösung, wenn man nicht auf die Social Sharing Funktionalität verzichten möchte.
Be the first to comment