DSGVO Webseiten DSGVO-konform Website gestalten
Wie Ihr Eure Website DSGVO-konform gestaltet

Wie Ihr Eure Website DSGVO-konform gestaltet

Ab dem 25. Mai 2018 findet die Datenschutz-Grundverordnung (DSGVO) europaweit Anwendung. Im Rahmen unserer DSGVO-Serie klären wir heute, welche Bedingungen die DSGVO an Unternehmenswebseiten stellt und wie Ihr Eure Website DSGVO-konform gestaltet. Kein Web-Auftritt lässt sich ohne das Verarbeiten personenbezogener Daten bewerkstelligen.

 

Personenbezogene Daten auf der Website?

Zahlreiche Unternehmen glauben, sie verarbeiten auf ihrer Website keinerlei personenbezogenen Daten. Jedoch: Bereits die IP-Adresse gehört zu den personenbezogenen Daten. Weiter werden auch User- und Cookie-IDs zu den personenbezogenen Daten gezählt; früher wurden sie als anonym eingestuft.

Bereits das Aufrufen einer Website bedeutet, dass die IP-Adresse des Websitebesuchers übermittelt wird. Das hat zur Folge, dass die DSGVO jeden betrifft, der eine Internetpräsenz betreibt – egal, wie umfangreich diese ist. Damit Ihr Bußgelder vermeidet, könnt Ihr anhand der folgenden Punkte überprüfen, ob Eure Website DSGVO-konform ist.

 

1. Schritt: Ist-Zustand analysieren

Damit Ihr überhaupt wisst, was alles zu tun ist, lohnt es sich, einen kritischen Blick auf den Ist-Zustand zu werfen. Prüft für jede Seite und Unterseite, durch welche Funktionen oder Werkzeuge personenbezogene Daten erfasst, gespeichert und / oder verarbeitet werden können.

Prüft weiter, welche Daten womöglich an externe Unternehmen weitergeleitet werden. Dies betrifft Euch, wenn Ihr beispielsweise Werbung auf Eurer Website schaltet. Das betrifft Euch jedoch auch, wenn Ihr Google Analytics, andere Analysetools oder Social-Media-Plugins verwendet.

 

2. Schritt: Datenverarbeiter überprüfen

Identifiziert auf Eurer Website Drittanbieter, die Daten von Eurer Website speichern und / oder weiterverarbeiten, so müsst Ihr mit diesem Drittanbieter einen Vertrag zur Auftragsdatenverarbeitung vereinbaren. Dieser Vertrag muss selbstverständlich DSGVO-konform sein. Die Auftragsdatenverarbeitung darf auch außerhalb der EU stattfinden.

Wenn Ihr auf Analysetools, wie Google Analytics oder Social-Media-Plugins setzt, haben die entsprechenden Unternehmen bereits reagiert. Facebook hat eine Informationsseite eingerichtet, auf der der Konzern auch über Facebook als Datenverantwortlichen bzw. Auftragsverarbeiter informiert.

Mit Google Analytics wird es etwas schwieriger: Die IP-Adressen müssen für die weitere Verwendung anonymisiert werden. Das realisiert Ihr mithilfe eines zusätzlichen Codes im Tracking-Code. Damit keine Zuordnung mehr stattfinden kann, werden die letzten Stellen der jeweiligen IP-Adresse anonymisiert. Auch in den Kontoeinstellungen hat Google einiges geändert; Ihr findet einen „Zusatz zur Datenverarbeitung“, den Ihr online bestätigen müsst. Eine Anleitung inklusive Vorlagen zum DSGVO-konformen Umgang mit Google Analytics findet Ihr beispielsweise an dieser Stelle: Google Analytics datenschutzkonform einsetzen.

Ihr könnt auch auf Lösungen umsteigen, die auf das Speichern und Verarbeiten von Daten verzichten. In den Zeiten von Edward Snowdens Enthüllungen entstand die Seite prism-break.org, auf der freie Alternativen zur proprietären Software gesammelt werden. Viele freie Alternativen gehen mit Daten oft sparsamer um, jedoch ist es nicht die Regel. Auch die Google Analytics-Alternative „Piwik“ (mittlerweile „Matomo“) zeichnet das Nutzerverhalten genau auf. Prüft also ausführlich, bevor Ihr Euch entscheidet!

 

3. Schritt: Webanwendungen und Details prüfen

Um Eure Website DSGVO-konform zu machen, steht nun noch die technische Komponente an. Prüft in diesem Zusammenhang auch alle Rechtstexte und Formulare auf Rechtskonformität. Tipps für Eure DSGVO-konforme Datenschutzerklärung findet Ihr beispielsweise im Artikel „Betroffenenrechte & Datenschutzerklärung nach DSGVO“.

Nutzerinteraktionen: Formulare, Kommentare, Registrierungen

Nutzer müssen sich darauf verlassen können, dass Ihr für die Integrität und Vertraulichkeit eurer Daten Sorge tragt. Weiter obliegt Euch als Unternehmen zahlreiche Informationspflichten. Für sämtliche Formulare müsst Ihr eine sichere Verbindung per https herstellen; Ihr müsst also über ein SSL Zertifikat verschlüsseln; dasselbe gilt für Anmeldungs- und Registrierseiten. Arbeitet mit Dritten zusammen, Ihr seid in der Pflicht, Eure Nutzer explizit darauf hinzuweisen. Mit dem entsprechenden Datenverarbeiter ist, wie oben erwähnt, ein Vertrag abzuschließen.

Social Media-Buttons

Nutzt Share- und Like-Buttons, so müssen Eure Nutzer der Datenübertragung an die sozialen Netzwerke ausdrücklich zustimmen. Die Daten dürfen also nicht schon beim Aufruf Eurer Website an die sozialen Netzwerke übertragen werden. Idealerweise richtet Ihr dies so ein, dass die Nutzer zunächst mittels Klick (also ausdrücklicher Zustimmung) das Okay geben. Eine Anleitung zum datenschutzkonformen Nutzen der Social-Media-Buttons findet Ihr in der c’t, die in Eurem Artikel „Social-Media-Buttons datenschutzkonform nutzen“ auch die Lösung des Plugins, „Shariff“ vorstellen.

Tracking-Tools

Auf Tracking-Tools, wie Google Analytics oder Matomo sind wir oben bereits eingegangen. Ihr als Websitebetreiber seid in der Pflicht, Eure User über den Umfang, den Zweck sowie die Art der Sammlung von Daten aufzuklären. Weist Ihr zudem auf das Widerspruchsrecht hin, seid Ihr Euren Informationspflichten nachgekommen.

Um den Widerspruch einfach zu gestalten, habt Ihr die Möglichkeit, einen Link zu einem Deaktivierung-Add-on zu setzen. Eine Alternative wäre das Einrichten über eine Opt-Out-Funktion. Von Euren Informationspflichten entbindet dies natürlich nicht. Vergesst nicht den oben erwähnten Vertrag zur Auftragsdatenverarbeitung, sowie die Anonymisierung der IP-Adressen!

Downloads

Als Service bieten viele Unternehmen auf ihrer Website Downloads an. Auch das Hochladen von Dateien ist auf einigen Websites möglich. Für beides gilt, was auch für Formulare gilt: Ihr müsst Eure Nutzer bereits im Voraus informieren und benötigt eine ausdrückliche Zustimmung. Müssen User erst Daten eingeben, bevor sie den Download herunterladen können, gilt auch hier die Pflicht zur Verschlüsselung der Daten.

Kundenchats

Um den Service zu verbessern, erlauben viele Unternehmenswebsites Live-Chats beispielsweise mit dem Kunden-Support. Häufig werden dafür externe und cloudbasierte Tools eingesetzt. Jedoch erfassen diese Tools häufig umfangreich Nutzerdaten; mindestens die IP-Adresse des Kunden wird erfasst. Manche Teilnehmer nutzen die Möglichkeit, persönliche Daten im Chat oder aber in Fragebögen einzutragen. Diese Informationen und Daten verbleiben auf dem Server des Chat-Anbieters.

Ihr seid wieder in der Pflicht, Eure Nutzer ausführlich zu informieren – und zwar bevor der User in den Chat eintritt. Schafft zudem die Möglichkeit, den Chat jederzeit abzubrechen. Mit dem Chat-Anbieter sind wieder entsprechend DSGVO-konforme Verträge auszuarbeiten.

Cookies

Setzt Ihr auf Eurer Webseite Cookies ein, müsst Ihr auch hierüber informieren – dies ist jedoch schon jetzt Eure Pflicht. Cookie-Banner und Consentmanager, die beim ersten Websitebesuch erscheinen, haben sich bereits in der Praxis bewährt.

 

Die DSGVO-konforme Website

Habt Ihr Eure Website einmal DSGVO-konform gestaltet, endet die Arbeit leider nicht. Legt neue Webseiten, Landingpages etc. an, ergänzt Ihr Eure Website-Services oder Apps, müsst Ihr diese ebenfalls DSGVO-konform gestalten. Behaltet auch die ePrivacy-Verordnung im Blick, denn diese befasst sich mit dem Privatsphäre-Schutz speziell in der digitalen Welt.

Falls Ihr unsicher seid, was Eure eigene Website betrifft, oder habt Fragen zu dem Thema, beispielsweise den Analysetools & Co., stehen Euch unsere Spezialisten gerne Rede und Antwort. Nehmt dazu einfach Kontakt mit uns auf – wir helfen gerne weiter!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert