Auch die Website muss DSGVO-konform gestaltet werden

Illustration: Geralt Absmeier

Ab 25. Mai findet die Datenschutzgrundverordnung (DSGVO) Anwendung. Änderungen und Verschärfungen im Bereich Datenschutz haben auch weitreichende Folgen für jeden Website-Betreiber, denn kein Web-Auftritt lässt sich ohne das Verarbeiten personenbezogener Daten bewerkstelligen.

 

»Einige Unternehmen meinen, sie würden auf ihrer Website keine personenbezogenen Daten verarbeiten. Aber bereits die IP-Adresse gehört zu den personenbezogenen Daten. Und auch User- und Cookie-IDs zählen dazu«, klärt Christian Heutger, Geschäftsführer der PSW GROUP (www.psw-group.de), auf. Der IT-Sicherheitsexperte erklärt: »Bereits beim Aufrufen einer Website wird die IP-Adresse des Websitebesuchers übermittelt. Das hat zur Folge, dass die DSGVO jeden betrifft, der eine Internetpräsenz betreibt – egal, wie umfangreich diese ist. Um Geldstrafen zu vermeiden, die bei Datenschutzverstößen drohen, sollten Website-Betreiber deshalb einen kritischen Blick auf ihre Website werfen und jede Seite und Unterseite prüfen, durch welche Funktionen oder Werkzeuge dort personenbezogene Daten erfasst, gespeichert und verarbeitet werden können. Anschließend rate ich den jeweiligen Datenverarbeiter und die eingebundenen Webanwendungen zu checken.«

 

Vertrag zur Auftragsdatenverarbeitung

Mit jedem Drittanbieter auf der Website, ob nun Anbieter von Analyse-Tool oder Werbung, muss ein Vertrag zur Auftragsdatenverarbeitung vereinbart werden. Facebook macht es seinen Nutzern in diesem Zusammenhang einfach und hat eine Informationsseite eingerichtet, auf der der Konzern über Facebook als Datenverantwortlichen beziehungsweise Auftragsverarbeiter informiert.

 

Google Analytics

Viele Website-Betreiber nutzen den Tracking-Service Google Analytics. Hier empfiehlt es sich, genau hinzuschauen. Die IP-Adressen müssen für die weitere Verwendung nämlich anonymisiert werden. »Das realisieren Website-Betreiber mithilfe eines zusätzlichen Codes im Tracking-Code. Damit keine Zuordnung mehr stattfinden kann, werden die letzten Stellen der jeweiligen IP-Adresse anonymisiert«, erläutert Christian Heutger. Zusätzlich müssen Betreiber in den Kontoeinstellungen den »Zusatz zur Datenverarbeitung« online bestätigen.

Eine Möglichkeit ist, auf Lösungen umzusteigen, die auf das Speichern und Verarbeiten von Daten verzichten. »Viele freie Alternativen gehen mit Daten oft sparsamer um, jedoch ist es nicht die Regel. Da auch die Google-Analytics-Alternative Piwik das Nutzerverhalten aufzeichnet, sollten Website-Betreiber genau prüfen, für welche Lösung sie sich entscheiden«, ergänzt Heutger.

 

Rechtstexte und Formulare prüfen – Die Datenschutzerklärung

Website-Betreiber sind in der Pflicht, ihre User über den Umfang, den Zweck sowie die Art der Sammlung von Daten aufzuklären. In der Regel fallen DSGVO-konforme Datenschutzerklärungen deutlich umfangreicher aus, als bisher. »Aber keine Sorge, es gibt Online-Generatoren, mit deren Hilfe eine passende Datenschutzerklärung für die eigene Website in Kürze erstellt werden kann«, beruhigt Heutger. Übrigens: Auf das Widerspruchsrecht sollte explizit hingewiesen werden. »Um den Widerspruch einfach zu gestalten, besteht die Möglichkeit, einen Link zu einem Deaktivierungs-Addon zu setzen. Eine Alternative wäre das Einrichten einer Opt-Out-Funktion«, gibt Heutger einen Tipp.

 

Nutzerinteraktionen: Formulare, Kommentare, Registrierungen

Nutzer müssen sich darauf verlassen können, dass Website-Betreiber für die Integrität und Vertraulichkeit der ihnen übermittelten Daten Sorge tragen. »Für sämtliche Formulare, Anmelde- und Registrierseiten muss künftig eine sichere Verbindung per https hergestellt werden. Außerdem muss ein Hinweis eingebunden werden, der über Art, Umfang und Zweck der Datenerhebung und -verwendung unterrichtet«, erläutert Christian Heutger.

 

Cookies

Wer Cookies einsetzt, muss seine Nutzer darüber informieren. Cookie-Banner, die beim ersten Websitebesuch erscheinen, haben sich in der Praxis bewährt.

 

Social Media-Buttons

Nutzer müssen der Datenübertragung an die sozialen Netzwerke über Share- und Like-Buttons ausdrücklich zustimmen. »Die Daten dürfen damit nicht schon beim Aufruf einer Website an die sozialen Netzwerke übertragen werden. Stattdessen sollten Nutzer zunächst mittels Klick ihre ausdrückliche Zustimmung zur Datenübertragung geben«, so Heutger.

 

Downloads & Uploads

Als Service bieten viele Unternehmen auf ihrer Website Downloads an. Auch das Hochladen von Dateien ist auf einigen Websites möglich. Für beides gilt, was auch für Formulare gilt: Website-Betreiber müssen ihre Nutzer bereits im Voraus informieren und benötigen eine ausdrückliche Zustimmung. Müssen User erst Daten eingeben, bevor sie den Download herunterladen können, gilt auch hier die Pflicht zur Verschlüsselung der Daten.

 

Kundenchats

Um den Service zu verbessern, erlauben viele Unternehmenswebsites Live-Chats beispielsweise mit dem Support. Häufig werden dafür externe und cloudbasierte Tools eingesetzt. Jedoch erfassen diese Tools häufig umfangreich Nutzerdaten; mindestens die IP-Adresse wird erfasst. Manche Teilnehmer nutzen die Möglichkeit, persönliche Daten im Chat oder aber in Fragebögen einzutragen. Diese Daten verbleiben auf dem Server des Chat-Anbieters. »Auch hier sind Website-Betreiber in der Pflicht, ihre Nutzer ausführlich zu informieren – und zwar bevor der User in den Chat eintritt. Ich rate zudem dazu, die Möglichkeit zu schaffen, den Chat jederzeit abzubrechen. Im Übrigen müssen auch mit dem Chat-Anbieter DSGVO-konforme Verträge ausgearbeitet werden«, erinnert Christian Heutger.

 

»Die Website nur einmal DSGVO-konform zu gestalten, genügt in der Regel nicht. Sobald eine neue Site angelegt wird, Website-Services oder Apps ergänzt werden, müssen diese ebenfalls DSGVO-konform sein. Zudem sollte stets auch die ePrivacy-Verordnung im Blick sein, denn diese befasst sich mit dem Privatsphäre-Schutz speziell in der digitalen Welt«, weist Christian Heutger hin.

 

Weitere Informationen unter: https://www.psw-group.de/blog/so-koennen-sie-ihre-website-dsgvo-konform-gestalten/5016

 


 

DSGVO: Startschuss für eine datenzentrierte IT-Sicherheitsstrategie

Faktensammlung zur EU-DSGVO: Darauf müssen Dienstleister und Service-Organisationen achten

DSGVO-Ratgeber: Was Händler wissen müssen und wie zu handeln ist

Unternehmen verlassen sich bei der Umsetzung der DSGVO auf Datenmanagement-Technologie

Datenschutzgrundverordnung: Deutsche Unternehmen überwiegend nicht DSGVO-Ready

DSGVO für die Personalabteilung: Ohne System lässt sich die Gesetzgebung kaum einhalten

Keine Panik – 5 Last-Minute-Tipps zur EU-DSGVO

Weitere Artikel zu