Ab 25. Mai findet die Datenschutz-Grundverordnung (DSGVO) Anwendung. Änderungen und Verschärfungen im Bereich Datenschutz haben auch weitreichende Folgen für jeden Website-Betreiber, denn kein Web-Auftritt lässt sich ohne das Verarbeiten personenbezogener Daten bewerkstelligen. [...]
„Einige Unternehmen meinen, sie würden auf ihrer Website keine personenbezogenen Daten verarbeiten. Aber bereits die IP-Adresse gehört zu den personenbezogenen Daten. Und auch User- und Cookie-IDs zählen dazu“, klärt Christian Heutger, Geschäftsführer der PSW GROUP, auf. Der IT-Sicherheitsexperte erklärt: „Bereits beim Aufrufen einer Website wird die IP-Adresse des Websitebesuchers übermittelt. Das hat zur Folge, dass die DSGVO jeden betrifft, der eine Internetpräsenz betreibt – egal, wie umfangreich diese ist. Um Geldstrafen zu vermeiden, die bei Datenschutzverstößen drohen, sollten Website-Betreiber deshalb einen kritischen Blick auf ihre Website werfen und jede Seite und Unterseite prüfen, durch welche Funktionen oder Werkzeuge dort personenbezogene Daten erfasst, gespeichert und verarbeitet werden können. Anschließend rate ich den jeweiligen Datenverarbeiter und die eingebundenen Webanwendungen zu checken.“
Mit jedem Drittanbieter auf der Website, ob nun Anbieter von Analyse-Tool oder Werbung, muss ein Vertrag zur Auftragsdatenverarbeitung vereinbart werden. Facebook macht es seinen Nutzern in diesem Zusammenhang einfach und hat eine Informationsseite eingerichtet, auf der der Konzern über Facebook als Datenverantwortlichen bzw. Auftragsverarbeiter informiert.
Viele Website-Betreiber nutzen den Tracking-Service Google Analytics. Hier empfiehlt es sich, genau hinzuschauen. Die IP-Adressen müssen für die weitere Verwendung nämlich anonymisiert werden. „Das realisieren Website-Betreiber mithilfe eines zusätzlichen Codes im Tracking-Code. Damit keine Zuordnung mehr stattfinden kann, werden die letzten Stellen der jeweiligen IP-Adresse anonymisiert“, erläutert Christian Heutger. Zusätzlich müssen Betreiber in den Kontoeinstellungen den „Zusatz zur Datenverarbeitung“ online bestätigen.
Eine Möglichkeit ist, auf Lösungen umzusteigen, die auf das Speichern und Verarbeiten von Daten verzichten. „Viele freie Alternativen gehen mit Daten oft sparsamer um, jedoch ist es nicht die Regel. Da auch die Google Analytics-Alternative Piwik das Nutzerverhalten aufzeichnet, sollten Website-Betreiber genau prüfen, für welche Lösung sie sich entscheiden“, ergänzt Heutger.
Website-Betreiber sind in der Pflicht, ihre User über den Umfang, den Zweck sowie die Art der Sammlung von Daten aufzuklären. In der Regel fallen DSGVO-konforme Datenschutzerklärungen deutlich umfangreicher aus, als bisher. „Aber keine Sorge, es gibt Online-Generatoren, mit deren Hilfe eine passende Datenschutzerklärung für die eigene Website in Kürze erstellt werden kann“, beruhigt Heutger. Übrigens: Auf das Widerspruchsrecht sollte explizit hingewiesen werden. „Um den Widerspruch einfach zu gestalten, besteht die Möglichkeit, einen Link zu einem Deaktivierungs-Addon zu setzen. Eine Alternative wäre das Einrichten einer Opt-Out-Funktion“, gibt Heutger einen Tipp.
Nutzer müssen sich darauf verlassen können, dass Website-Betreiber für die Integrität und Vertraulichkeit der ihnen übermittelten Daten Sorge tragen. „Für sämtliche Formulare, Anmelde- und Registrierseiten muss künftig eine sichere Verbindung per https hergestellt werden. Außerdem muss ein Hinweis eingebunden werden, der über Art, Umfang und Zweck der Datenerhebung und -verwendung unterrichtet“, erläutert Christian Heutger.
Wer Cookies einsetzt, muss seine Nutzer darüber informieren. Cookie-Banner, die beim ersten Websitebesuch erscheinen, haben sich in der Praxis bewährt.
Nutzer müssen der Datenübertragung an die sozialen Netzwerke über Share- und Like-Buttons ausdrücklich zustimmen. „Die Daten dürfen damit nicht schon beim Aufruf einer Website an die sozialen Netzwerke übertragen werden. Stattdessen sollten Nutzer zunächst mittels Klick ihre ausdrückliche Zustimmung zur Datenübertragung geben“, so Heutger.
Als Service bieten viele Unternehmen auf ihrer Website Downloads an. Auch das Hochladen von Dateien ist auf einigen Websites möglich. Für beides gilt, was auch für Formulare gilt: Website-Betreiber müssen ihre Nutzer bereits im Voraus informieren und benötigen eine ausdrückliche Zustimmung. Müssen User erst Daten eingeben, bevor sie den Download herunterladen können, gilt auch hier die Pflicht zur Verschlüsselung der Daten.
Um den Service zu verbessern, erlauben viele Unternehmenswebsites Live-Chats beispielsweise mit dem Support. Häufig werden dafür externe und cloudbasierte Tools eingesetzt. Jedoch erfassen diese Tools häufig umfangreich Nutzerdaten; mindestens die IP-Adresse wird erfasst. Manche Teilnehmer nutzen die Möglichkeit, persönliche Daten im Chat oder aber in Fragebögen einzutragen. Diese Daten verbleiben auf dem Server des Chat-Anbieters. „Auch hier sind Website-Betreiber in der Pflicht, ihre Nutzer ausführlich zu informieren – und zwar bevor der User in den Chat eintritt. Ich rate zudem dazu, die Möglichkeit zu schaffen, den Chat jederzeit abzubrechen. Im Übrigen müssen auch mit dem Chat-Anbieter DSGVO-konforme Verträge ausgearbeitet werden“, erinnert Christian Heutger.
„Die Website nur einmal DSGVO-konform zu gestalten, genügt in der Regel nicht. Sobald eine neue Site angelegt wird, Website-Services oder Apps ergänzt werden, müssen diese ebenfalls DSGVO-konform sein. Zudem sollte stets auch die ePrivacy-Verordnung im Blick sein, denn diese befasst sich mit dem Privatsphäre-Schutz speziell in der digitalen Welt“,
weist Christian Heutger hin.
Be the first to comment