Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

DSGVO Tablet 794205979 700

Ab 25. Mai findet die Datenschutz-Grundverordnung (DSGVO) Anwendung. Änderungen und Verschärfungen im Bereich Datenschutz haben auch weitreichende Folgen für jeden Website-Betreiber, denn kein Web-Auftritt lässt sich ohne das Verarbeiten personenbezogener Daten bewerkstelligen.

„Einige Unternehmen meinen, sie würden auf ihrer Website keine personenbezogenen Daten verarbeiten. Aber bereits die IP-Adresse gehört zu den personenbezogenen Daten. Und auch User- und Cookie-IDs zählen dazu“, klärt Christian Heutger, Geschäftsführer der PSW Group, auf. „Bereits beim Aufrufen einer Website wird die IP-Adresse des Websitebesuchers übermittelt. Das hat zur Folge, dass die DSGVO jeden betrifft, der eine Internetpräsenz betreibt – egal, wie umfangreich diese ist. Um Geldstrafen zu vermeiden, die bei Datenschutzverstößen drohen, sollten Website-Betreiber deshalb einen kritischen Blick auf ihre Website werfen und jede Seite und Unterseite prüfen, durch welche Funktionen oder Werkzeuge dort personenbezogene Daten erfasst, gespeichert und verarbeitet werden können. Anschließend rate ich den jeweiligen Datenverarbeiter und die eingebundenen Webanwendungen zu checken.“

Vertrag zur Auftragsdatenverarbeitung

Mit jedem Drittanbieter auf der Website, ob nun Anbieter von Analyse-Tool oder Werbung, muss ein Vertrag zur Auftragsdatenverarbeitung vereinbart werden. Facebook macht es seinen Nutzern in diesem Zusammenhang einfach und hat eine Informationsseite eingerichtet, auf der der Konzern über Facebook als Datenverantwortlichen bzw. Auftragsverarbeiter informiert.

Google Analytics

Viele Website-Betreiber nutzen den Tracking-Service Google Analytics. Hier empfiehlt es sich, genau hinzuschauen. Die IP-Adressen müssen für die weitere Verwendung nämlich anonymisiert werden. „Das realisieren Website-Betreiber mithilfe eines zusätzlichen Codes im Tracking-Code. Damit keine Zuordnung mehr stattfinden kann, werden die letzten Stellen der jeweiligen IP-Adresse anonymisiert“, erläutert Christian Heutger. Zusätzlich müssen Betreiber in den Kontoeinstellungen den „Zusatz zur Datenverarbeitung“ online bestätigen.

Eine Möglichkeit ist, auf Lösungen umzusteigen, die auf das Speichern und Verarbeiten von Daten verzichten. „Viele freie Alternativen gehen mit Daten oft sparsamer um, jedoch ist es nicht die Regel. Da auch die Google Analytics-Alternative Piwik das Nutzerverhalten aufzeichnet, sollten Website-Betreiber genau prüfen, für welche Lösung sie sich entscheiden“, ergänzt Heutger.

Rechtstexte und Formulare prüfen – Die Datenschutzerklärung

Website-Betreiber sind in der Pflicht, ihre User über den Umfang, den Zweck sowie die Art der Sammlung von Daten aufzuklären. In der Regel fallen DSGVO-konforme Datenschutzerklärungen deutlich umfangreicher aus, als bisher. „Aber keine Sorge, es gibt Online-Generatoren, mit deren Hilfe eine passende Datenschutzerklärung für die eigene Website in Kürze erstellt werden kann“, beruhigt Heutger. Übrigens: Auf das Widerspruchsrecht sollte explizit hingewiesen werden. „Um den Widerspruch einfach zu gestalten, besteht die Möglichkeit, einen Link zu einem Deaktivierungs-Addon zu setzen. Eine Alternative wäre das Einrichten einer Opt-Out-Funktion“, gibt Heutger einen Tipp.

Nutzerinteraktionen: Formulare, Kommentare, Registrierungen

Nutzer müssen sich darauf verlassen können, dass Website-Betreiber für die Integrität und Vertraulichkeit der ihnen übermittelten Daten Sorge tragen. „Für sämtliche Formulare, Anmelde- und Registrierseiten muss künftig eine sichere Verbindung per https hergestellt werden. Außerdem muss ein Hinweis eingebunden werden, der über Art, Umfang und Zweck der Datenerhebung und -verwendung unterrichtet“, erläutert Christian Heutger.

Cookies

Wer Cookies einsetzt, muss seine Nutzer darüber informieren. Cookie-Banner, die beim ersten Websitebesuch erscheinen, haben sich in der Praxis bewährt.

Social Media-Buttons

Nutzer müssen der Datenübertragung an die sozialen Netzwerke über Share- und Like-Buttons ausdrücklich zustimmen. „Die Daten dürfen damit nicht schon beim Aufruf einer Website an die sozialen Netzwerke übertragen werden. Stattdessen sollten Nutzer zunächst mittels Klick ihre ausdrückliche Zustimmung zur Datenübertragung geben“, so Heutger.

Downloads & Uploads

Als Service bieten viele Unternehmen auf ihrer Website Downloads an. Auch das Hochladen von Dateien ist auf einigen Websites möglich. Für beides gilt, was auch für Formulare gilt: Website-Betreiber müssen ihre Nutzer bereits im Voraus informieren und benötigen eine ausdrückliche Zustimmung. Müssen User erst Daten eingeben, bevor sie den Download herunterladen können, gilt auch hier die Pflicht zur Verschlüsselung der Daten.

Kundenchats

Um den Service zu verbessern, erlauben viele Unternehmenswebsites Live-Chats beispielsweise mit dem Support. Häufig werden dafür externe und cloudbasierte Tools eingesetzt. Jedoch erfassen diese Tools häufig umfangreich Nutzerdaten; mindestens die IP-Adresse wird erfasst. Manche Teilnehmer nutzen die Möglichkeit, persönliche Daten im Chat oder aber in Fragebögen einzutragen. Diese Daten verbleiben auf dem Server des Chat-Anbieters. „Auch hier sind Website-Betreiber in der Pflicht, ihre Nutzer ausführlich zu informieren – und zwar bevor der User in den Chat eintritt. Ich rate zudem dazu, die Möglichkeit zu schaffen, den Chat jederzeit abzubrechen. Im Übrigen müssen auch mit dem Chat-Anbieter DSGVO-konforme Verträge ausgearbeitet werden“, erinnert Christian Heutger.

„Die Website nur einmal DSGVO-konform zu gestalten, genügt in der Regel nicht. Sobald eine neue Site angelegt wird, Website-Services oder Apps ergänzt werden, müssen diese ebenfalls DSGVO-konform sein. Zudem sollte stets auch die ePrivacy-Verordnung im Blick sein, denn diese befasst sich mit dem Privatsphäre-Schutz speziell in der digitalen Welt“,
weist Christian Heutger hin.

psw-group.de/blog/so-koennen-sie-ihre-website-dsgvo-konform-gestalten/5016

 

GRID LIST
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…
Tb W190 H80 Crop Int F1f72fabd46e97adb1d88019d7eccd85

Fünf Passwort-Alternativen der Zukunft

Der Welt-Passwort-Tag findet jedes Jahr am ersten Donnerstag im Mai statt. Er ruft dazu…
Tb W190 H80 Crop Int 3beed8ea8d39bc9de7fa829bffb574e8

Facebook bereitet sich auf Milliardenstrafe vor

Facebook rechnet damit, dass die jüngsten Datenschutz-Skandale das Online-Netzwerk bis zu…
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…