Webseiten DSGVO sicher machen

Fast alle Websites sind von der DSGVO betroffen. Unsere Datenschutz-Experten zeigen, was man hinsichtlich IP-Speicherung, Cookies, E-Mail, Sharing, Google-Tools und Datenschutz-Erklärung beachten muss. [...]

Folge 6: Die Tücken der Webseite (c) CW
Folge 6: Die Tücken der Webseite (c) CW
Fast alle Webseiten-Besitzer müssen sich Gedanken über die DSGVO machen. Ausgeschlossen sind einzig „statische“ Internetseiten, die keine personenbezogenen Daten beinhalten – z.B. Seiten, die beispielsweise nur Landschaftsfotos zeigen, nur statische In-formation wie z.B. Öffnungszeiten beinhalten und die keine Analysetools nutzen. Wenn die IP-Adresse eines Besuchers von einer Website verarbeitet bzw. gespeichert wird, findet die Verarbeitung nach DSGVO statt, denn IP-Adressen gehören zu den personenbezogenen Daten.

Cookies

Fast alle Websites verwenden Cookies. Cookies sind kleine Textdateien, die von den einzelnen Websites, die ein Benutzer besucht, im Browser des Rechners abgelegt werden. Cookies speichern Informationen wie z.B. die bevorzugte Sprache oder andere persönliche Seiteneinstellungen. Beim Besuch eines Online-Shops wird z.B. gespeichert, welche Produkte aufgerufen wurden. Gerade fürs Online-Marketing sind Cookies sehr wertvoll. Die gesammelten Kunden- und Userdaten sind die technologische Basis, um Online-Marketing Kampagnen zu personalisieren und zu optimieren. Gilt die EU-Cookie-Richtlinie in Österreich? Die Europäische Union hat 2009 die „RL 2009/136/EG“ – genannt Cookie-Richtlinie herausge-geben. Diese Richtlinie, die eine ausdrückliche Einwilligung des Nutzers in solchen Fällen vor-sieht, regelt den Schutz personenbezogener Daten im Internet. In Österreich ist diese EU-Richtlinie im Telekommunikationsgesetz § 96 Abs. 3 umgesetzt. Telekommunikationsgesetz Dieses Gesetz ist seit 22.11.2011 in Kraft. Dort heißt es z.B. „…Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezo-genen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat…“ Aktive Zustimmung erforderlich? Muss ein Website-Nutzer für die Verwendung von Cookies aktiv seine Zustimmung („Opt-In“) geben oder ist es ausreichend, wenn Nutzer die Möglichkeit haben, einer Verwendung zu widersprechen („Opt-out“)? Für Österreich gilt: Bei der Nutzung von Cookies, die personenbezogene Daten speichern, herrscht eine Informations- und Zustimmungspflicht. Nach der Artikel-29-Datenschutzgruppe – einem unabhängigen Gremium, das die EU-Kommission in Datenschutzfragen berät – stellt dazu fest, dass ein Einsatz von Cookies nur dann zulässig ist, wenn: • Der User vorab im Detail informiert wird • vor dem Einsatz von Cookies eine Zustimmung vorliegt und • die Zustimmung freiwillig, ohne Zweifel und durch eine aktive Handlung erteilt wurde. Es wird empfohlen, für die Verwendung von Cookies aktiv seine Zustimmung („Opt-In“) geben zu können, z.B. durch Anklicken eines „ich stimme zu“ Buttons. Dieser darf nicht vorab ange-kreuzt sein! Ein Hinweis im Impressum oder in der Datenschutzerklärung ist vielen Rechtsexperten zufolge nicht ausreichend. Auch Hinweise wie z.B. „Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu“ sind umstritten, da die „aktive“ Zustimmung zur Verwendung der Cookies fehlt.

Google Tools

Website-Entwickler, die so weit verbreitete Google Produkte wie Google Analytics, Google Ad-Words, AdSense oder DoubleClick einsetzen, sollten einen Cookie-Hinweis auf der Website oder App haben. Denn diese Tools wie z.B. Google Analytics erfassen u.a. auch personenbezogene Daten von Nutzern. Nutzungsbestimmungen Die Nutzungsbedingungen von Google zur Nutzung von Google Analytics sehen vor, dass ein Vertrag zur Auftragsverarbeitung mit Google abgeschlossen werden muss. Diese Übereinkunft regelt die Rechte und Pflichten zwischen den Verantwortlichen für die Datenverarbeitung und Google als Auftragsverarbeiter. Diese Option zur Datenverarbeitung, welche nur für EU-Staaten gilt, sollte vom Web-Entwickler jedenfalls aktiviert werden. Dafür sind die Einstellungen im Tag Manager Admin > Account > Account Settings vorgesehen. In der Datenschutzerklärung ist darauf hinzuweisen, dass das Statistik-Tool verwendet wird. Zusätzlich muss die Datenschutzerklärung einen Link zu den Nutzungs- und Datenschutz-Bestimmungen von Google Analytics enthalten sein und es muss eine Widerspruchsmöglichkeit integriert sein.

Deaktivierung (Opt-out)

Die so genannte Opt-out-Funktion ermöglicht, dass der Benutzer mit einem Klick in den Datenschutzerklärungen dafür sorgen kann, dass seine Daten nicht mehr an Google weitergegeben werden. Wie diese Opt-out-Funktion integriert werden kann, ist hier bei Google beschrieben. Wird das Opt-out vom Benutzer aktiviert, müssen z.B. IP-Adressen so gekürzt, das heißt ano-nymisiert werden, dass kein Personenbezug mehr möglich ist. Der Webadministrator kann den „anonymizeIP“-Befehl in den Quellcode der Website einbauen, damit der Benutzer die Wahl hat, ob er die Anonymisierung in Anspruch nehmen möchte. Eine alternative Möglichkeit besteht darin, einen Link zu einem Browser-Plugin in den Daten-schutzbestimmungen der Webseite zum offiziellen Plugin von Google einzubauen – siehe http://tools.google.com/dlpage/gaoptout?hl=de.

Newsletter

Der Versand von regelmäßigen Newslettern erfordert natürlich die Speicherung von Nutzerdaten wie Namen und Email-Adresse. Vor allem bei Nutzung eines Drittanbieters gibt es mehrere Punkte zu beachten. Mailchimp & Co Mailchimp hat sich als Anbieter eines Newsletter-Tools dem Privacy Shield Abkommen verpflichtet. Das Abkommen regelt den Datenschutz beim Austauschen der Daten zwischen Amerika und Europa. Daher muss man einen Datenverarbeitungsvertrag abschließen und einen deutlichen Hinweis bei der Anmeldung zum Newsletter anbringen. Ein alternativer Anbieter ist Newsletter2Go. Ähnlich zu Google Analytics sollte auch mit Newsletter-Anbietern wie Mailchimp ein Vertrag zum Thema Datenschutz geschlossen werden. Unter Mailchimps Data Processing Addendum findet sich eine Anleitung, Beispiele und vieles mehr.

Share-Buttons

Ohne Zustimmung des Besuchers dürfen mittels Social-Media-Plugins und eingebetteter Videos keine Daten an Social Media-Kanäle übertragen werden. Dies wird schnell zum Problem, da die meisten Einbettungen von Social Media Buttons bereits beim Besuchen der Webseite eine Verbindung zu den sozialen Netzwerken herstellen. Die Social-Media-Plugins, die Facebook und Co. zur Verfügung stellen, sammeln vom Website-nutzer unbemerkt personenbezogene Daten und können so detaillierte Persönlichkeitsprofile erstellen. Dasselbe gilt, wenn Sie Videos, beispielsweise von Youtube oder Vimeo, auf Ihrer Seite einbetten. Facebook, Google+ & Co können so unbemerkt Daten der Webseitenuser erheben und deren Verhalten tracken. Wobei man davon ausgehen kann, dass auch hier die großen Unternehmen wie Facebook & Co noch rechtzeitig Anpassungen vornehmen werden. Umgehungsmöglichkeit Es gibt aktuell 2 Möglichkeiten, dieses Problem zu umgehen, sofern man nicht zur Gänze auf die Teilen-Buttons verzichten möchte: • 2-Klick-Lösung: Durch zwischenschalten eines Plugins, bei dem erst durch erneutes Klicken die Zustimmung der Sammlung von Nutzerdaten erfolgt. • Mit Plugins wie z.B. shariff lassen sich datenschutzkonforme Teilen-Buttons erstellen. Das Plugin ist leicht zu bedienen und sehr flexibel – aktuell sicher die beste Lösung, wenn man nicht auf die Social Sharing Funktionalität verzichten möchte.

Empfehlungen

Website verschlüsseln Internetseiten, auf denen personenbezogene Daten erhoben werden, sollten grundsätzlich verschlüsselt sein. Verschlüsselte Seiten erkennt man daran, dass die URL mit „https“ anfängt. Dies gilt in jedem Fall dort, wo es um Kontaktformulare oder Newsletter-Anmeldungen geht. Überprüfen Sie, ob das auf allen Ihren Seiten und Unterseiten der Fall ist. Impressum Das Impressum muss die Informationspflichten laut • §5 E-Commerce Gesetz • §14 Unternehmensgesetz.B.uch • §63 Gewerbeordnung • §25 Mediengesetz (Offenlegungspflicht) erfüllen. Ein vorbildliches Impressum ist leicht auffindbar – z.B. durch einen Link im Footer. Die meisten Webseitenbesucher fangen dort nach dem Impressum zu suchen an. Datenschutz-Erklärung Eine Datenschutzerklärung mussten Internetseiten schon bisher haben, durch die DSGVO sind neue Informationspflichten dazugekommen: Alle Dienste und Plug-ins, die Sie auf der Seite verwenden und die dafür sorgen, dass Daten einer dritten Partei zugänglich gemacht werden, müssen in der Datenschutzerklärung aufgeführt werden. Außerdem muss über die Art, das Ausmaß und die Verwendung der gespeicherten Daten informiert werden. Die Datenschutz-Erklärung muss im Regelfall auf die Webseite individuell angepasst werden. Die WKO bietet ein gutes Musterbeispiel an: Erfüllung der datenschutzrechtlichen Informationspflichten für Webseiten. Bilder und Daten von Mitarbeitern auf der Webseite Werden auf einer Website Mitarbeiter vorgestellt (z.B. mit Bildern) dann ist die Erlaubnis bzw. Zustimmung des Mitarbeiters zur Bildverarbeitung und Nutzung dieser Daten von den Betroffenen einzuholen. Das könnte auch generell im Arbeitsvertrag geregelt sein. DSGVO-Zertifikat von Websites Wir, die unabhängigen sowie staatlich befugten und beeideten IT-Ziviltechniker überprüfen gerne die DSGVO-Konformität Ihrer Website. Ziviltechniker verfügen nicht nur über das erforderliche Know-How, sondern sind derzeit als einzige befugt, eine Urkunde (Zertifikat) über die DSGVO-Konformität auszustellen. Wir unterstützen Sie gerne! *) Das Tagebuch wird von den Datenschutz-Ziviltechnikern DI Wolfgang Fiala und DI Dr. Peter Gelber geschrieben, www.dsgvo-zt.at Die bisherigen Folgen: (11) Cookies: Rechtslage in Österreich (10) Cloud-Services: Achtung auf faule Verträge (9) DSGVO-Zertifikat: Was es ist und was es bringt (8) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (2) (7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1) (6) Webseiten DSGVO sicher machen (5) Wie man bei Auskunftsbegehren Identität richtig feststellt (4) So müssen Lösch-Begehren befolgt werden (3) DSGVO in der Schule (2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren? (2) Videoüberwachung – wer darf das und wie? (1) DSGVO: Wie Datenpannen zu melden sind (0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?

Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*