Datenschutzkonformer Netzauftritt

Was die DSGVO von Unternehmens-Webseiten verlangt

Wie der Fahrplan zu einem DSGVO-konformen Internetauftritt unter technischen Gesichtspunkten aussehen sollte, skizziert der Software-Hersteller Curry Innovations aus München in einem aktuellen Leitfaden.

Die DSGVO betrifft jeden, der Webseiten betreibt.

Da beim bloßen Aufrufen einer Internetseite automatisch die IP-Adresse des Besuchers übermittelt wird, betrifft die DSGVO jeden, der Webseiten betreibt.

Die Datenschutzgrundverordnung (DSGVO) der EU findet ab 25. Mai 2018 in allen Mitgliedsländern Anwendung. Sie enthält auch Regelungen, die Unternehmen beim Betrieb ihrer Internetseiten zwingend beachten müssen. Schließlich lässt sich ein Auftritt im Netz nicht ohne Verarbeitung personenbezogener Daten bewerkstelligen, da es sich bei IP-Adressen bereits um personenbezogene Daten handelt. Auch Cookie- und User-IDs werden nicht mehr als anonym eingestuft, sondern gehören zu den personenbezogenen Daten. Und weil bereits beim bloßen Aufrufen einer Internetseite automatisch die IP-Adresse des Besuchers übermittelt wird, betrifft die DSGVO jeden, der Webseiten betreibt. Um kräftige Bußgelder zu vermeiden, sollten Unternehmen schnellstens überprüfen, ob ihr Internetauftritt rechtskonform zur DSGVO ist – und die Seiten gegebenenfalls anpassen.

Fahrplan zum DSGVO-konformen Webauftritt

  1. Den Ist-Zustand aufnehmen: Die einzelnen To-dos können erst nach kriminalistischer Kleinarbeit identifiziert werden: Für jede Seite und jede Unterseite muss ganz klar sein, welche Funktionen und Tools dort personenbezogene Daten erfassen, speichern und verarbeiten. Zudem sollte man genau wissen, auf welchen Seiten welche Daten anfallen, die an externe Unternehmen gehen.
  2. Datenverarbeiter in die Pflicht nehmen: Mit jedem Drittanbieter, dem das Unternehmen Daten zur Speicherung oder Weiterverarbeitung zur Verfügung stellt, ist ein Vertrag zur Auftragsdatenverarbeitung abzuschließen, der den Vorgaben der DSGVO entspricht. Neu ist, dass die Auftragsverarbeitung auch außerhalb der EU erfolgen kann.
  3. Die Web-Anwendung fit machen: Nicht zuletzt müssen Unternehmen – wo nötig – noch die technische Umsetzung auf der Webseite anpassen. Dabei sollte man gleich nochmals kritisch prüfen, ob die Zustimmungstexte in allen Formularen den Anforderungen der DSGVO entsprechen und ob die Nutzer hinreichend auf ihre Rechte hingewiesen werden.

Seite für Seite, Tool für Tool

Kontaktformulare, Kommentare, Anmeldungen, Registrierungen
Grundsätzlich müssen sich Nutzer auf Vertraulichkeit und Integrität verlassen können. Dem Unternehmen obliegen umfassende Informationspflichten.

To-do: Die Daten werden für die Übertragung verschlüsselt, das heißt Formulare sind über eine sichere Verbindung mittels https zu übermitteln. Kommen Dritte als Dienstleister zum Zuge, dann sind die Nutzer explizit darauf hinzuweisen. Zudem ist mit dem Datenverarbeiter ein entsprechender Vertrag zu schließen.

Share- und Like-Buttons
Die Nutzer müssen der Übertragung personenbezogener Daten an soziale Netzwerke explizit zustimmen. Das heißt, dass Daten nicht schon beim Aufruf der Webseite an Facebook & Co. übertragen werden dürfen.

To-do: Der Nutzer muss immer zuerst mittels Klick sein Okay geben, bevor die Datenübertragung möglich ist. Als technische Lösung dafür ist c't Shariff geeignet.

Up- und Downloads
Das Herunter- und Hochladen von Dateien obliegt den gleichen datenschutzrechtlichen Rahmenbedingungen wie Kommentarfunktionen und Kontaktformulare: Nutzerinformation und -zustimmung.

To-do: Der Nutzer ist vorab über die Datenübermittlung und -weiterverarbeitung zu informieren und muss ihr ausdrücklich zustimmen.

Tracking-Tools
Tracking-Tools, wie beispielsweise Google Analytics und Piwik, zeichnen das Nutzerverhalten genauestens auf. Deshalb muss ein Webseitenbetreiber den Nutzer über den Umfang, den Zweck und die Art der Datensammlung aufklären und eindeutig auf sein Widerspruchsrecht hinweisen.

To-do: Damit Nutzer einen Widerspruch ausüben können, kann das Unternehmen einen Link zu einem Deaktivierungs-Add-on schalten oder eine Opt-Out-Funktion einrichten. Das entbindet es jedoch nicht von seinen Informationspflichten. Natürlich muss es via Anonymisierungsfunktion auch dafür sorgen, dass der Programmcode des Trackingprogramms die IP-Adressen nur gekürzt erfasst. Nicht vergessen: Vertrag zur Auftragsdatenverarbeitung mit dem Dienstanbieter abschließen!

Live-Chats
Live-Chats nutzen häufig externe, cloud-basierte Tools wie Smartsupp oder Zendesk. Diese Programme erfassen jedoch ebenfalls Nutzerdaten, etwa die IP-Adresse. Darüber hinaus tragen manche Chat-Teilnehmer persönliche Daten in den Chat oder vorgelagerte Fragebögen ein, die dann auf den Servern des Anbieters verbleiben.

To-do: Der Nutzer ist wiederum umfassend zu informieren, bevor er in den Live-Chat eintreten kann. Das Unternehmen muss außerdem an dieser Stelle eine Möglichkeit zum Abbruch schaffen.

Cookies
Der Einsatz von Cookies ist in jedem Fall anzugeben.

To-do: Empfehlenswert ist der Einsatz eines Cookie-Banners, das beim ersten Aufruf der Webseite erscheint und deutlich zu sehen ist. Es darf jedoch nicht so platziert sein, dass es Pflichtangaben wie etwa das Impressum oder den Link dazu verdeckt.

Weitere Marketing- und Werbefunktionalitäten
Kommen Programme wie Google Adwords und Adsense, Remarketing-Funktionen, Reverse IP Lookup oder Tools für A/B-Testing zum Einsatz, entstehen auf Basis der erfassten Daten häufig detaillierte Nutzerprofile. Hier ist eine Einzelfallbewertung gefragt! Die alleinige Information der Nutzer ist unter Umständen nicht ausreichend, sondern es bedarf seiner unmissverständlichen Einwilligung.

To-do: Das Unternehmen sollte genau prüfen, welche Marketing-Tools und Werbefunktionen es auf seinen Seiten nutzt und sich beraten lassen, was dies im Hinblick auf die DSGVO bedeutet.

Ich habe fertig?

Mit der einmaligen Anpassung der Unternehmensseiten ist es jedoch nicht getan. Werden neue Seiten angelegt oder Webseitenfunktionen und Apps ergänzt, müssen Datenschutzaspekte nach DSGVO immer eine mitentscheidende Rolle spielen. Die Unternehmen sind überdies gut beraten, auch die noch folgende E-Privacy-Verordnung im Auge zu behalten. Diese wird sich vorrangig um den Schutz der Privatsphäre in der digitalen Welt drehen. Weitere Neuregelungen für das Betreiben von Webseiten sind also vorprogrammiert.

Bildquelle: Thinkstock/iStock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok