Anzeige

Ab 25. Mai findet die Datenschutz-Grundverordnung (DSGVO) Anwendung. Änderungen und Verschärfungen im Bereich Datenschutz haben auch weitreichende Folgen für jeden Website-Betreiber, denn kein Web-Auftritt lässt sich ohne das Verarbeiten personenbezogener Daten bewerkstelligen.

„Einige Unternehmen meinen, sie würden auf ihrer Website keine personenbezogenen Daten verarbeiten. Aber bereits die IP-Adresse gehört zu den personenbezogenen Daten. Und auch User- und Cookie-IDs zählen dazu“, klärt Christian Heutger, Geschäftsführer der PSW Group, auf. „Bereits beim Aufrufen einer Website wird die IP-Adresse des Websitebesuchers übermittelt. Das hat zur Folge, dass die DSGVO jeden betrifft, der eine Internetpräsenz betreibt – egal, wie umfangreich diese ist. Um Geldstrafen zu vermeiden, die bei Datenschutzverstößen drohen, sollten Website-Betreiber deshalb einen kritischen Blick auf ihre Website werfen und jede Seite und Unterseite prüfen, durch welche Funktionen oder Werkzeuge dort personenbezogene Daten erfasst, gespeichert und verarbeitet werden können. Anschließend rate ich den jeweiligen Datenverarbeiter und die eingebundenen Webanwendungen zu checken.“

Vertrag zur Auftragsdatenverarbeitung

Mit jedem Drittanbieter auf der Website, ob nun Anbieter von Analyse-Tool oder Werbung, muss ein Vertrag zur Auftragsdatenverarbeitung vereinbart werden. Facebook macht es seinen Nutzern in diesem Zusammenhang einfach und hat eine Informationsseite eingerichtet, auf der der Konzern über Facebook als Datenverantwortlichen bzw. Auftragsverarbeiter informiert.

Google Analytics

Viele Website-Betreiber nutzen den Tracking-Service Google Analytics. Hier empfiehlt es sich, genau hinzuschauen. Die IP-Adressen müssen für die weitere Verwendung nämlich anonymisiert werden. „Das realisieren Website-Betreiber mithilfe eines zusätzlichen Codes im Tracking-Code. Damit keine Zuordnung mehr stattfinden kann, werden die letzten Stellen der jeweiligen IP-Adresse anonymisiert“, erläutert Christian Heutger. Zusätzlich müssen Betreiber in den Kontoeinstellungen den „Zusatz zur Datenverarbeitung“ online bestätigen.

Eine Möglichkeit ist, auf Lösungen umzusteigen, die auf das Speichern und Verarbeiten von Daten verzichten. „Viele freie Alternativen gehen mit Daten oft sparsamer um, jedoch ist es nicht die Regel. Da auch die Google Analytics-Alternative Piwik das Nutzerverhalten aufzeichnet, sollten Website-Betreiber genau prüfen, für welche Lösung sie sich entscheiden“, ergänzt Heutger.

Rechtstexte und Formulare prüfen – Die Datenschutzerklärung

Website-Betreiber sind in der Pflicht, ihre User über den Umfang, den Zweck sowie die Art der Sammlung von Daten aufzuklären. In der Regel fallen DSGVO-konforme Datenschutzerklärungen deutlich umfangreicher aus, als bisher. „Aber keine Sorge, es gibt Online-Generatoren, mit deren Hilfe eine passende Datenschutzerklärung für die eigene Website in Kürze erstellt werden kann“, beruhigt Heutger. Übrigens: Auf das Widerspruchsrecht sollte explizit hingewiesen werden. „Um den Widerspruch einfach zu gestalten, besteht die Möglichkeit, einen Link zu einem Deaktivierungs-Addon zu setzen. Eine Alternative wäre das Einrichten einer Opt-Out-Funktion“, gibt Heutger einen Tipp.

Nutzerinteraktionen: Formulare, Kommentare, Registrierungen

Nutzer müssen sich darauf verlassen können, dass Website-Betreiber für die Integrität und Vertraulichkeit der ihnen übermittelten Daten Sorge tragen. „Für sämtliche Formulare, Anmelde- und Registrierseiten muss künftig eine sichere Verbindung per https hergestellt werden. Außerdem muss ein Hinweis eingebunden werden, der über Art, Umfang und Zweck der Datenerhebung und -verwendung unterrichtet“, erläutert Christian Heutger.

Cookies

Wer Cookies einsetzt, muss seine Nutzer darüber informieren. Cookie-Banner, die beim ersten Websitebesuch erscheinen, haben sich in der Praxis bewährt.

Social Media-Buttons

Nutzer müssen der Datenübertragung an die sozialen Netzwerke über Share- und Like-Buttons ausdrücklich zustimmen. „Die Daten dürfen damit nicht schon beim Aufruf einer Website an die sozialen Netzwerke übertragen werden. Stattdessen sollten Nutzer zunächst mittels Klick ihre ausdrückliche Zustimmung zur Datenübertragung geben“, so Heutger.

Downloads & Uploads

Als Service bieten viele Unternehmen auf ihrer Website Downloads an. Auch das Hochladen von Dateien ist auf einigen Websites möglich. Für beides gilt, was auch für Formulare gilt: Website-Betreiber müssen ihre Nutzer bereits im Voraus informieren und benötigen eine ausdrückliche Zustimmung. Müssen User erst Daten eingeben, bevor sie den Download herunterladen können, gilt auch hier die Pflicht zur Verschlüsselung der Daten.

Kundenchats

Um den Service zu verbessern, erlauben viele Unternehmenswebsites Live-Chats beispielsweise mit dem Support. Häufig werden dafür externe und cloudbasierte Tools eingesetzt. Jedoch erfassen diese Tools häufig umfangreich Nutzerdaten; mindestens die IP-Adresse wird erfasst. Manche Teilnehmer nutzen die Möglichkeit, persönliche Daten im Chat oder aber in Fragebögen einzutragen. Diese Daten verbleiben auf dem Server des Chat-Anbieters. „Auch hier sind Website-Betreiber in der Pflicht, ihre Nutzer ausführlich zu informieren – und zwar bevor der User in den Chat eintritt. Ich rate zudem dazu, die Möglichkeit zu schaffen, den Chat jederzeit abzubrechen. Im Übrigen müssen auch mit dem Chat-Anbieter DSGVO-konforme Verträge ausgearbeitet werden“, erinnert Christian Heutger.

„Die Website nur einmal DSGVO-konform zu gestalten, genügt in der Regel nicht. Sobald eine neue Site angelegt wird, Website-Services oder Apps ergänzt werden, müssen diese ebenfalls DSGVO-konform sein. Zudem sollte stets auch die ePrivacy-Verordnung im Blick sein, denn diese befasst sich mit dem Privatsphäre-Schutz speziell in der digitalen Welt“,
weist Christian Heutger hin.

psw-group.de/blog/so-koennen-sie-ihre-website-dsgvo-konform-gestalten/5016

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DSGVO

DSGVO–EU-Kommission zieht Bilanz: KMUs im Nachteil?

Gut zwei Jahre nach Inkrafttreten der DSGVO zieht die EU-Kommission Bilanz. Eine Erkenntnis: Die Compliance für kleine und mittlere Unternehmen stellt sich häufig noch als schwierig dar. So haben KMUs vor allem steigende Kosten im Rahmen von…
Datenschutz Schild

Datenschutzbarometer 2020

Commanders Act, Anbieter der europäischen integrierten Consent-Management- (CMP) und Customer-Data-Plattform (CDP), veröffentlicht sein aktuelles Datenschutzbarometer, das die Performance der von Unternehmen eingeführten Maßnahmen zur Einholung expliziter…
Datensicherheit

5 Tipps zur Datensicherheit mit Augmented-Reality-Lösungen

Die Vorteile der Nutzung von Augmented-Reality-Lösungen liegen auf der Hand. Mitarbeiter*innen können mithilfe von Wearables ihre Arbeit schneller, flexibler und sicherer ausführen, machen nachweislich weniger Fehler und sind bei der Arbeit zufriedener.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!