Rechtliches

Wie Sie Ihre Website DSGVO-konform gestalten

4. Mai 2018 von Bianca Wellbrock

© Rawpixel.com - Fotolia.com

Ab dem 25. Mai 2018 findet die Datenschutz-Grundverordnung (DSGVO) europaweit Anwendung. Im Rahmen unserer DSGVO-Serie klären wir heute, welche Bedingungen die DSGVO an Unternehmenswebseiten stellt und wie Sie Ihre Website DSGVO-konform gestalten. Kein Web-Auftritt lässt sich ohne das Verarbeiten personenbezogener Daten bewerkstelligen.

Personenbezogene Daten auf der Website?

Zahlreiche Unternehmen glauben, sie verarbeiten auf ihrer Website keinerlei personenbezogenen Daten. Jedoch: Bereits die IP-Adresse gehört zu den personenbezogenen Daten. Weiter werden auch User- und Cookie-IDs zu den personenbezogenen Daten gezählt; früher wurden sie als anonym eingestuft.

Bereits das Aufrufen einer Website bedeutet, dass die IP-Adresse des Websitebesuchers übermittelt wird. Das hat zur Folge, dass die DSGVO jeden betrifft, der eine Internetpräsenz betreibt – egal, wie umfangreich diese ist. Damit Sie Bußgelder vermeiden, können Sie anhand der folgenden Punkte überprüfen, ob Ihre Website DSGVO-konform ist.

Schritt 1: Ist-Zustand analysieren

Damit Sie überhaupt wissen, was alles zu tun ist, lohnt es sich, einen kritischen Blick auf den Ist-Zustand zu werfen. Prüfen Sie für jede Seite und Unterseite, durch welche Funktionen oder Werkzeuge personenbezogene Daten erfasst, gespeichert und/ oder verarbeitet werden können.

Prüfen Sie weiter, welche Daten womöglich an externe Unternehmen weitergeleitet werden. Dies betrifft Sie, wenn Sie beispielsweise Werbung auf Ihrer Website schalten. Das betrifft Sie jedoch auch, wenn Sie Google Analytics, andere Analysetools oder Social Media-Plugins verwenden.

Schritt 2: Datenverarbeiter überprüfen

Identifizieren Sie auf Ihrer Website Drittanbieter, die Daten von Ihrer Website speichern und/ oder weiterverarbeiten, so müssen Sie mit diesem Drittanbieter einen Vertrag zur Auftragsdatenverarbeitung vereinbaren. Dieser Vertrag muss selbstverständlich DSGVO-konform sein. Die Auftragsdatenverarbeitung darf auch außerhalb der EU stattfinden.

Wenn Sie auf Analyse-Tools wie Google Analytics oder Social Media-Plugins setzen, haben die entsprechenden Unternehmen bereits reagiert. Facebook hat eine Informationsseite eingerichtet, auf der der Konzern auch über Facebook als Datenverantwortlichen bzw. Auftragsverarbeiter informiert.

Mit Google Analytics wird es etwas schwieriger: Die IP-Adressen müssen für die weitere Verwendung anonymisiert werden. Das realisieren Sie mithilfe eines zusätzlichen Codes im Tracking-Code. Damit keine Zuordnung mehr stattfinden kann, werden die letzten Stellen der jeweiligen IP-Adresse anonymisiert. Auch in den Kontoeinstellungen hat Google einiges geändert; Sie finden einen „Zusatz zur Datenverarbeitung“, den Sie online bestätigen müssen. Eine Anleitung inklusive Vorlagen zum DSGVO-konformen Umgang mit Google Analytics finden Sie beispielsweise an dieser Stelle.

Sie können auch auf Lösungen umsteigen, die auf das Speichern und Verarbeiten von Daten verzichten. In den Zeiten von Edward Snowdens Enthüllungen entstand die Seite prism-break.org, auf der freie Alternativen zur proprietären Software gesammelt werden. Viele freie Alternativen gehen mit Daten oft sparsamer um, jedoch ist es nicht die Regel. Auch die Google Analytics-Alternative Piwik zeichnet das Nutzerverhalten genau auf. Prüfen Sie also ausführlich, bevor Sie sich entscheiden!

Schritt 3: Webanwendungen und Details prüfen

Um Ihre Website DSGVO-konform zu machen, steht nun noch die technische Komponente an. Prüfen Sie in diesem Zusammenhang auch alle Rechtstexte und Formulare auf Rechtskonformität. Tipps für Ihre DSGVO-konforme Datenschutzerklärung finden Sie beispielsweise im Artikel „Betroffenenrechte & Datenschutzerklärung nach DSGVO“.

Nutzerinteraktionen: Formulare, Kommentare, Registrierungen

Nutzer müssen sich darauf verlassen können, dass Sie für die Integrität und Vertraulichkeit ihrer Daten Sorge tragen. Weiter obliegen Ihnen als Unternehmen zahlreiche Informationspflichten. Für sämtliche Formulare müssen Sie eine sichere Verbindung per https herstellen; Sie müssen also verschlüsseln. Dasselbe gilt für Anmeldungs- und Registrierseiten. Arbeiten Sie mit Dritten zusammen, sind Sie in der Pflicht, Ihre Nutzer explizit darauf hinzuweisen. Mit dem entsprechenden Datenverarbeiter ist, wie oben erwähnt, ein Vertrag abzuschließen.

Social Media-Buttons

Nutzen Sie Share- und Like-Buttons, so müssen Ihre Nutzer der Datenübertragung an die sozialen Netzwerke ausdrücklich zustimmen. Die Daten dürfen also nicht schon beim Aufruf Ihrer Website an die sozialen Netzwerke übertragen werden. Idealerweise richten Sie dies so ein, dass der Nutzer zunächst mittels Klick (also ausdrücklicher Zustimmung) sein Okay gibt. Eine Anleitung zum datenschutzkonformen Nutzen der Social Media-Buttons finden Sie in der c’t, die in diesem Artikel auch die Lösung Shariff vorstellt.

Tracking-Tools

Auf Tracking-Tools wie Google Analytics oder Piwik sind wir oben bereits eingegangen. Sie als Websitebetreiber sind in der Pflicht, Ihre User über den Umfang, den Zweck sowie die Art der Sammlung von Daten aufzuklären. Weisen Sie zudem auf das Widerspruchsrecht hin, sind Sie Ihren Informationspflichten nachgekommen.

Um den Widerspruch einfach zu gestalten, haben Sie die Möglichkeit, einen Link zu einem Deaktivierungs-Addon zu setzen. Eine Alternative wäre das Einrichten einer Opt-Out-Funktion. Von Ihren Informationspflichten entbindet dies natürlich nicht. Vergessen Sie nicht den oben erwähnten Vertrag zur Auftragsdatenverarbeitung sowie die Anonymisierung der IP-Adressen!

Downloads

Als Service bieten viele Unternehmen auf ihrer Website Downloads an. Auch das Hochladen von Dateien ist auf einigen Websites möglich. Für beides gilt, was auch für Formulare gilt: Sie müssen Ihre Nutzer bereits im Voraus informieren und benötigen eine ausdrückliche Zustimmung. Müssen User erst Daten eingeben, bevor sie den Download herunterladen können, gilt auch hier die Pflicht zur Verschlüsselung der Daten.

Kundenchats

Um den Service zu verbessern, erlauben viele Unternehmenswebsites Live-Chats beispielsweise mit dem Support. Häufig werden dafür externe und cloudbasierte Tools eingesetzt. Jedoch erfassen diese Tools häufig umfangreich Nutzerdaten; mindestens die IP-Adresse wird erfasst. Manche Teilnehmer nutzen die Möglichkeit, persönliche Daten im Chat oder aber in Fragebögen einzutragen. Diese Daten verbleiben auf dem Server des Chat-Anbieters.

Sie sind wieder in der Pflicht, Ihre Nutzer ausführlich zu informieren – und zwar bevor der User in den Chat eintritt. Schaffen Sie zudem die Möglichkeit, den Chat jederzeit abzubrechen. Mit dem Chat-Anbieter sind wieder entsprechend DSGVO-konforme Verträge auszuarbeiten.

Cookies

Setzen Sie Cookies ein, müssen Sie darüber informieren – dies ist jedoch schon jetzt Ihre Pflicht. Cookie-Banner, die beim ersten Websitebesuch erscheinen, haben sich in der Praxis bewährt.

Die DSGVO-konforme Website

Haben Sie Ihre Website einmal DSGVO-konform gestaltet, endet die Arbeit leider nicht. Legen Sie neue Sites an, ergänzen Sie Website-Services oder Apps, müssen Sie diese ebenfalls DSGVO-konform gestalten. Behalten Sie zudem auch die ePrivacy-Verordnung im Blick, denn diese befasst sich mit dem Privatsphäre-Schutz speziell in der digitalen Welt.

Sind Sie unsicher, was Ihre eigene Website betrifft, oder haben Sie Fragen zu Analysetools & Co., stehen unsere Spezialisten Ihnen gerne Rede und Antwort. Nehmen Sie einfach Kontakt mit uns auf – wir beraten Sie gerne!



0 Kommentar(e)

Schreibe einen Kommentar