Was die DSGVO von Unternehmenswebseiten verlangt: Datenschutzkonforme Umsetzung unter technischen Aspekten


Symbolbild DSGVO

Die Datenschutzgrundverordnung (DSGVO) der EU ist seit rund zwei Jahren in Kraft und findet ab 25. Mai 2018 in allen Mitgliedsländern Anwendung. Wollen Unternehmen aus Nicht-EU-Staaten ihre Produkte oder Dienste in der EU anbieten, unterliegen auch sie der DSGVO. Die Verordnung enthält auch Regelungen, die Unternehmen beim Betrieb ihrer Internetseiten zwingend beachten müssen. Schließlich lässt sich ein Auftritt im Netz nicht ohne Verarbeitung personenbezogener Daten bewerkstelligen. Die DSGVO bekräftigt, dass es sich bei IP-Adressen um personenbezogene Daten handelt. Auch Cookie- und User-IDs werden nicht mehr als anonym eingestuft, sondern gehören zu den personenbezogenen Daten. Und weil bereits beim bloßen Aufrufen einer Internetseite automatisch die IP-Adresse des Besuchers übermittelt wird, betrifft die DSGVO jeden, der Webseiten betreibt. Ausgenommen davon sind lediglich Veröffentlichungen für ausschließlich private Zwecke. Um kräftige Bußgelder zu vermeiden, sollten Unternehmen schnellstens überprüfen, ob ihr Internetauftritt rechtskonform zur DSGVO ist – und die Seiten gegebenenfalls anpassen.

 

DSGVO verlangt größere Transparenz und stärkt die Rechte Betroffener

Die Informationspflichten der Unternehmen sind gewachsen. Die bisherige Datenschutzerklärung wird oft nicht mehr ausreichen. Sie muss problemlos zugänglich und in einer sehr klaren, präzisen und leicht verständlichen Sprache abgefasst sein. Neu ist das Recht auf Datenübertragbarkeit. Neu sind auch diverse Dokumentations-, Melde- und Rechenschaftspflichten. Ganz wichtig ist zudem, dass sich die Unternehmen auch für die Verarbeitungsprozesse bezüglich der Webseite die Einwilligung des Betroffenen einholt. Überdies besteht ein Kopplungsverbot bei Einwilligungen.

Welchen neuen Auskunfts-, Melde- und Informationspflichten die Unternehmen nachkommen müssen, welche Rechte die Betroffenen haben und wie sich Datenschutzerklärungen rechtskonform formulieren lassen – dafür gibt es bereits zahlreiche Ratgeber. Im Folgenden liegt der Fokus daher vor allem auf den technischen Aspekten eines DSGVO-konformen Internetauftritts.

Wo Webseitenbesucher ihre individuellen Spuren hinterlassen

Wie bereits erläutert zählen IP-Adressen zu persönlichen Daten und werden bei jedem Seitenaufruf abgefragt und registriert. Bei vielen ihrer Aktivitäten geben die Nutzer selbst persönliche Daten preis. Gängige Beispiele für Datenspeicherung und -Übertragung aufgrund eigener Tätigkeiten sind: Kommentare abgeben, Formulare ausfüllen, Liken und Teilen, Anmeldungen und Registrierungen vornehmen, Dateien hoch- oder herunterladen und Live-Chats nutzen.

Was passiert seitens der Betreiber?

Weniger offensichtlich sind zumeist Datennutzungen, die durch Tätigkeiten des Betreibers verursacht werden. Dazu gehören Themen wie die Reichweitenmessung, die Integration von Social Media-Plugins, der Einsatz von Werbe- und Marketingfunktionen wie Adwords, Remarketingtechnologien oder die Erstellung von Nutzerprofilen zur Personalisierung der Inhalte.

Nun kommen auch noch Dritte ins Spiel

Im Rahmen vieler der genannten Maßnahmen werden auch Daten an Dritte zur Speicherung und Verarbeitung übermittelt, teilweise sogar, ohne dass dies den Betreibern der Webseiten selber wirklich bewusst ist. Das passiert zum Beispiel, wenn die Unternehmen cloudbasierte E-Mail-Marketing-Dienste, etwa für einen Newsletterversand, einsetzen und deren Formulare auf der Webseite eingebunden haben.

Verhältnis Webseitenbetreiber/Hosting-Anbieter

Sobald ein Unternehmen seine Seiten auch nur auf einem fremden Server hostet, handelt es sich bereits um eine Datenübertragung und -Verarbeitung. Da es nicht möglich ist, sich von jedem Internetbesucher die Zustimmung für diese Datenübertragung zu holen, wird der Webhoster im Sinne der DSGVO nicht mehr als außenstehender Dritter eingestuft, sondern gehört zum Verantwortungsbereich des Seitenbetreibers. Es ist daher dringend geboten, dass das Unternehmen die Auftragsverarbeitung mit seinem Dienstleister vertraglich regelt.

Fahrplan zum DSGVO-konformen Internetauftritt

Unternehmen, die sich noch nicht mit den Auswirkungen der DSGVO auf den Betrieb ihrer Corporate Websites beschäftigt haben, sollten sich umgehend darum kümmern:

 

A         Den Ist-Zustand aufnehmen

Trotz aller Eile im Hinblick auf den Stichtag im Mai sind eine detaillierte Aufgabenbeschreibung und die Festlegung, wer für welche Themenbereiche verantwortlich ist, das A und O für eine effiziente Projektabwicklung. Die einzelnen To-dos können erst nach kriminalistischer Kleinarbeit identifiziert werden: Für jede Seite und jede Unterseite muss ganz klar sein, welche Funktionen und Tools dort personenbezogene Daten erfassen, speichern und verarbeiten. Zudem sollte man genau wissen, auf welchen Seiten welche Daten anfallen, die an externe Unternehmen gehen.

 

B          Datenverarbeiter in die Pflicht nehmen

Mit jedem Drittanbieter, dem das Unternehmen Daten zur Speicherung oder Weiterverarbeitung zur Verfügung stellt, ist ein Vertrag zur Auftragsdatenverarbeitung abzuschließen, der den Vorgaben der DSGVO entspricht. Neu ist, dass die Auftragsverarbeitung auch außerhalb der EU erfolgen kann.

 

C         Die Web-Anwendung fit machen

Last but not least muss das Unternehmen – wo nötig – noch die technische Umsetzung auf der Webseite anpassen. Dabei sollte man gleich noch einmal kritisch prüfen, ob die Zustimmungstexte in allen Formularen den Anforderungen der DSGVO entsprechen und ob die Nutzer hinreichend auf ihre Rechte hingewiesen werden.

 

Seite für Seite, Tool für Tool

1. Kontaktformulare, Kommentare, Anmeldungen, Registrierungen

Grundsätzlich müssen sich Nutzer auf Vertraulichkeit und Integrität verlassen können. Dem Unternehmen obliegen umfassende Informationspflichten.

To-do: Die Daten werden für die Übertragung verschlüsselt, das heißt Formulare sind über eine sichere Verbindung mittels https zu übermitteln. Kommen Dritte als Dienstleister zum Zuge – wie möglicherweise beim exemplarisch genannten Newsletter, dann sind die Nutzer explizit darauf hinzuweisen. Zudem ist mit dem Datenverarbeiter, wie bereits oben ausgeführt, ein entsprechender Vertrag zu schließen.

2. Share- und Like-Buttons

Die Nutzer müssen der Übertragung personenbezogener Daten an soziale Netzwerke explizit zustimmen. Das heißt, dass Daten nicht schon beim Aufruf der Webseite an Facebook & Co. übertragen werden dürfen.

To-do: Der Nutzer muss immer zuerst mittels Klick sein Okay geben, bevor die Datenübertragung möglich ist. Als technische Lösung dafür ist c’t Shariff geeignet.

3. Up- und Downloads

Das Herunter- und Hochladen von Dateien obliegt den gleichen datenschutzrechtlichen Rahmenbedingungen wie Kommentarfunktionen und Kontaktformulare: Nutzer-Information und -Zustimmung.

To-do: Der Nutzer ist vorab über die Datenübermittlung und –weiterverarbeitung zu informieren und muss ihr ausdrücklich zustimmen.

 

4. Tracking-Tools

Tracking-Tools, wie beispielsweise Google Analytics und Piwik, zeichnen das Nutzerverhalten genauestens auf. Deshalb muss ein Webseitenbetreiber den Nutzer über den Umfang, den Zweck und die Art der Datensammlung aufklären und eindeutig auf sein Widerspruchsrecht hinweisen.

To-do: Damit Nutzer einen Widerspruch ausüben können, kann das Unternehmen einen Link zu einem Deaktivierungs-Add-on schalten oder eine Opt-Out-Funktion einrichten. Das entbindet es jedoch nicht von den oben beschriebenen Informationspflichten. Natürlich muss es via Anonymisierungsfunktion auch dafür sorgen, dass der Programmcode des Trackingprogramms die IP-Adressen nur gekürzt erfasst. Nicht vergessen: Vertrag zur Auftragsdatenverarbeitung mit dem Dienstanbieter abschließen!

 

5. Live-Chats

Live-Chats nutzen häufig externe, cloudbasierte Tools wie SmartSupp oder Zendesk. Diese Programme erfassen jedoch ebenfalls Nutzerdaten, etwa die IP-Adresse. Darüber hinaus tragen manche Chat-Teilnehmer persönliche Daten in den Chat oder vorgelagerte Fragebögen ein, die dann auf den Servern des Anbieters verbleiben.

To-do: Der Nutzer ist wiederum umfassend zu informieren, bevor er in den Live-Chat eintreten kann. Das Unternehmen muss außerdem an dieser Stelle eine Möglichkeit zum Abbruch schaffen.

 

6. Cookies

Der Einsatz von Cookies ist in jedem Fall anzugeben. Unternehmen sollten in diesem Zusammenhang beachten, dass viele Content Management-Systeme Cookies bereits standardmäßig einsetzen.

To-do: Empfehlenswert ist der Einsatz eines Cookie-Banners, das beim ersten Aufruf der Webseite erscheint und deutlich zu sehen ist. Es darf jedoch nicht so platziert sein, dass es Pflichtangaben wie etwa das Impressum oder den Link dazu verdeckt.

 

7. Weitere Marketing- und Werbefunktionalitäten

Mit der Optimierung des Nutzererlebnisses durch gut ausgewählte, individualisierte Inhalte sowie durch relevante Werbeanzeigen möchten die Betreiber Besucher gewinnen und an sich binden. Dafür kommen verschiedenste Programme wie Google Adwords und Adsense, Remarketingfunktionen, Reverse IP Lookup oder Tools für A/B-Testing zum Einsatz. Auf Basis erfasster Daten entstehen zudem häufig detaillierte Nutzerprofile, die personalisierte Inhalte ermöglichen. Hier ist eine Einzelfallbewertung gefragt! Die alleinige Information der Nutzer ist unter Umständen nicht ausreichend, sondern es bedarf seiner unmissverständlichen Einwilligung.

To-do: Das Unternehmen sollte genau prüfen, welche Marketingtools und Werbefunktionen es auf seinen Seiten nutzt und sich beraten lassen, was dies im Hinblick auf die DSGVO bedeutet.

 

Sonderfall Kids

Richten sich die Internetseiten an Kinder, dann fallen aufgrund der besonderen Schutzwürdigkeit zusätzliche Regeln an. Dazu gehört unter anderem, dass es in diesem Fall auch die Erziehungsberechtigten sind, die der Datenverarbeitung zustimmen müssen.

 

Ich habe fertig?

Mit der einmaligen Anpassung der Unternehmensseiten ist es jedoch nicht getan. Werden neue Seiten angelegt oder Webseitenfunktionen und Apps ergänzt, müssen Datenschutzaspekte nach DSGVO immer eine mit-entscheidende Rolle spielen. Die Unternehmen sind überdies gut beraten, auch die noch folgende ePrivacy-Verordnung im Auge zu behalten. Diese wird sich vorrangig um den Schutz der Privatsphäre in der digitalen Welt drehen. Weitere Neuregelungen für das Betreiben vom Webseiten sind also vorprogrammiert.

 

Kostenloses Webinar: Weitere Tipps und Informationen

Für praktische Fragen rund um eine DSGVO-konforme Internetpräsenz führt die CURRY Innovations GmbH am 9. Mai 2018 ein Webinar durch. Als Experte für die DSGVO und den damit verbundenen Rechtsrahmen in Deutschland steht Michael Bander bereit. Er ist externer, TÜV-zertifizierter Datenschutzbeauftragter und Datenschutzauditor. Zu technischen Themen geben Nikolaus Niedermeier und Andreas Öttl, Spezialisten für Webtechnologien und E-Business-Systeme, Auskunft.

Bitte hier klicken, um sich anzumelden!

Bildquellen

Previous Vier personenzentrierte Trends im E-Commerce, die Onlinehändler auf dem Radar haben sollten
Next Online-Service-Portal für G+J macht den Kunden zum König

No Comment

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

neunzehn − 10 =