Datenschutzkonformer Netzauftritt – unter technischen Gesichtspunkten

Was die DSGVO von Firmen-Webseiten verlangt

| Autor / Redakteur: Andreas Öttl / Peter Schmitz

Im Rahmen der DSGVO ist es mit der einmaligen Anpassung der Firmen-Webseiten nicht getan. Datenschutzaspekte nach DSGVO müssen bei jeder Änderung mitbeachtet werden.
Im Rahmen der DSGVO ist es mit der einmaligen Anpassung der Firmen-Webseiten nicht getan. Datenschutzaspekte nach DSGVO müssen bei jeder Änderung mitbeachtet werden. (Bild: Pixabay / CC0)

Die DSGVO enthält auch Regelungen, die Unternehmen beim Betrieb ihrer Internetseiten zwingend beachten müssen, denn schon bei IP-Adressen, Cookies und User-IDs handelt es sich bereits um personenbezogene Daten. Um Bußgelder zu vermeiden, sollten Unternehmen schnellstens überprüfen, ob ihr Internetauftritt rechtskonform zur DSGVO ist und ihn gegebenenfalls anpassen.

Die Datenschutz-Grundverordnung (DSGVO) der EU findet ab 25. Mai 2018 in allen Mitgliedsländern Anwendung. Sie enthält auch Regelungen, die Unternehmen beim Betrieb ihrer Internetseiten zwingend beachten müssen. Schließlich lässt sich ein Auftritt im Netz nicht ohne Verarbeitung personenbezogener Daten bewerkstelligen, da es sich bei IP-Adressen bereits um personenbezogene Daten handelt. Auch Cookie- und User-IDs werden nicht mehr als anonym eingestuft, sondern gehören zu den personenbezogenen Daten.

Weil bereits beim bloßen Aufrufen einer Internetseite automatisch die IP-Adresse des Besuchers übermittelt wird, betrifft die DSGVO jeden, der Webseiten betreibt. Um kräftige Bußgelder zu vermeiden, sollten Unternehmen schnellstens überprüfen, ob ihr Internetauftritt rechtskonform zur DSGVO ist – und die Seiten gegebenenfalls anpassen.

Datenschutz ist ein Prozess, kein Projekt

Neues eBook „DSGVO-Compliance“

Datenschutz ist ein Prozess, kein Projekt

30.04.18 - Die Umstellungsarbeiten im Datenschutz laufen bei vielen Unternehmen auf Hochtouren, den Termin 25. Mai 2018 fest im Blick. Wer die Anpassung auf die Datenschutz-Grundverordnung (DSGVO / GDPR) abgeschlossen hat, sollte seine Datenschutzmaßnahmen gleich fortsetzen. Das neue eBook zeigt, was ab dem 25. Mai 2018 ansteht. lesen

Fahrplan zum DSGVO-konformen Internetauftritt

Schritt 1: Den Ist-Zustand aufnehmen
Die einzelnen To-dos können erst nach kriminalistischer Kleinarbeit identifiziert werden: Für jede Seite und jede Unterseite muss ganz klar sein, welche Funktionen und Tools dort personenbezogene Daten erfassen, speichern und verarbeiten. Zudem sollte man genau wissen, auf welchen Seiten welche Daten anfallen, die an externe Unternehmen gehen.

Schritt 2: Datenverarbeiter in die Pflicht nehmen
Mit jedem Drittanbieter, dem das Unternehmen Daten zur Speicherung oder Weiterverarbeitung zur Verfügung stellt, ist ein Vertrag zur Auftragsdatenverarbeitung abzuschließen, der den Vorgaben der DSGVO entspricht. Neu ist, dass die Auftragsverarbeitung auch außerhalb der EU erfolgen kann.

Schritt 3: Die Web-Anwendung fit machen
Last but not least muss das Unternehmen – wo nötig – noch die technische Umsetzung auf der Webseite anpassen. Dabei sollte man gleich noch einmal kritisch prüfen, ob die Zustimmungstexte in allen Formularen den Anforderungen der DSGVO entsprechen und ob die Nutzer hinreichend auf ihre Rechte hingewiesen werden.

9 DSGVO-Mythen enttarnt!

Klarheit bei der Datenschutz-Grundverordnung

9 DSGVO-Mythen enttarnt!

09.01.18 - Die Vorbereitungen auf die DSGVO / GDPR kommen bei vielen Unternehmen nicht schnell genug voran. Umso wichtiger ist deshalb die Aufklärung, was wirklich hinter der Datenschutz-Grundverordnung steckt. Aktuell kursieren viele Mythen und falsche Informationen zur DSGVO im Netz. Wir klären auf. lesen

Sieben Problembereiche und was zu tun ist

Kontaktformulare, Kommentare, Anmeldungen, Registrierungen: Grundsätzlich müssen sich Nutzer auf Vertraulichkeit und Integrität verlassen können. Dem Unternehmen obliegen umfassende Informationspflichten.
To-do: Die Daten werden für die Übertragung verschlüsselt, das heißt Formulare sind über eine sichere Verbindung mittels https zu übermitteln. Kommen Dritte als Dienstleister zum Zuge, dann sind die Nutzer explizit darauf hinzuweisen. Zudem ist mit dem Datenverarbeiter ein entsprechender Vertrag zu schließen.

Share- und Like-Buttons: Die Nutzer müssen der Übertragung personenbezogener Daten an soziale Netzwerke explizit zustimmen. Das heißt, dass Daten nicht schon beim Aufruf der Webseite an Facebook & Co. übertragen werden dürfen.
To-do: Der Nutzer muss immer zuerst mittels Klick sein Okay geben, bevor die Datenübertragung möglich ist. Als technische Lösung dafür ist c't Shariff geeignet.

Up- und Downloads: Das Herunter- und Hochladen von Dateien obliegt den gleichen datenschutzrechtlichen Rahmenbedingungen wie Kommentarfunktionen und Kontaktformulare: Nutzer-Information und -Zustimmung.
To-do: Der Nutzer ist vorab über die Datenübermittlung und –weiterverarbeitung zu informieren und muss ihr ausdrücklich zustimmen.

Tracking-Tools: Tracking-Tools, wie beispielsweise Google Analytics und Piwik, zeichnen das Nutzerverhalten genauestens auf. Deshalb muss ein Webseitenbetreiber den Nutzer über den Umfang, den Zweck und die Art der Datensammlung aufklären und eindeutig auf sein Widerspruchsrecht hinweisen.
To-do: Damit Nutzer einen Widerspruch ausüben können, kann das Unternehmen einen Link zu einem Deaktivierungs-Add-on schalten oder eine Opt-Out-Funktion einrichten. Das entbindet es jedoch nicht von seinen Informationspflichten. Natürlich muss es via Anonymisierungsfunktion auch dafür sorgen, dass der Programmcode des Trackingprogramms die IP-Adressen nur gekürzt erfasst. Nicht vergessen: Vertrag zur Auftragsdatenverarbeitung mit dem Dienstanbieter abschließen!

Live-Chats: Live-Chats nutzen häufig externe, cloudbasierte Tools wie SmartSupp oder Zendesk. Diese Programme erfassen jedoch ebenfalls Nutzerdaten, etwa die IP-Adresse. Darüber hinaus tragen manche Chat-Teilnehmer persönliche Daten in den Chat oder vorgelagerte Fragebögen ein, die dann auf den Servern des Anbieters verbleiben.
To-do: Der Nutzer ist wiederum umfassend zu informieren, bevor er in den Live-Chat eintreten kann. Das Unternehmen muss außerdem an dieser Stelle eine Möglichkeit zum Abbruch schaffen.

Cookies: Der Einsatz von Cookies ist in jedem Fall anzugeben.
To-do: Empfehlenswert ist der Einsatz eines Cookie-Banners, das beim ersten Aufruf der Webseite erscheint und deutlich zu sehen ist. Es darf jedoch nicht so platziert sein, dass es Pflichtangaben wie etwa das Impressum oder den Link dazu verdeckt.

Weitere Marketing- und Werbefunktionalitäten: Kommen Programme wie Google Adwords und Adsense, Remarketingfunktionen, Reverse IP Lookup oder Tools für A/B-Testing zum Einsatz, entstehen auf Basis der erfassten Daten häufig detaillierte Nutzerprofile. Hier ist eine Einzelfallbewertung gefragt! Die alleinige Information der Nutzer ist unter Umständen nicht ausreichend, sondern es bedarf seiner unmissverständlichen Einwilligung.
To-do: Das Unternehmen sollte genau prüfen, welche Marketingtools und Werbefunktionen es auf seinen Seiten nutzt und sich beraten lassen, was dies im Hinblick auf die DSGVO bedeutet.

Was KMU jetzt für die DSGVO unbedingt noch tun müssen

Datenschutz-Grundverordnung im Mittelstand

Was KMU jetzt für die DSGVO unbedingt noch tun müssen

19.01.18 - Viele Unternehmen haben Schwierigkeiten mit der Umsetzung der DSGVO, das gilt für kleine und mittlere Unternehmen (KMU) ganz besonders. Weil aber bei KMU meist besondere Herausforderungen in Form von knappem Budget und wenig Personal zusammen kommen, sind jetzt Prioritäten gefragt, was in den nächsten Monaten zuerst angegangen werden muss. lesen

Ich habe fertig?

Mit der einmaligen Anpassung der Unternehmensseiten ist es jedoch nicht getan. Werden neue Seiten angelegt oder Webseitenfunktionen und Apps ergänzt, müssen Datenschutzaspekte nach DSGVO immer eine mit-entscheidende Rolle spielen. Die Unternehmen sind überdies gut beraten, auch die noch folgende ePrivacy-Verordnung im Auge zu behalten. Diese wird sich vorrangig um den Schutz der Privatsphäre in der digitalen Welt drehen. Weitere Neuregelungen für das Betreiben von Webseiten sind also vorprogrammiert.

Über den Autor: Andreas Öttl ist Head of Marketing der Curry Innovations GmbH.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45276031 / Compliance und Datenschutz )