DS-GVO Checkliste für die datenschutzkonforme Website

DS-GVO Checkliste für Ihre datenschutzkonforme Website

Die Entwicklung einer neuen Internetpräsenz stellt Unternehmen regelmäßig vor eine Reihe an Herausforderungen. Neben der technischen und grafischen Ausgestaltung einer Webseite ist auch der Datenschutz zu berücksichtigen. Der folgende Beitrag dient Ihnen als DS-GVO Checkliste für die datenschutzkonforme Ausgestaltung Ihrer Website.

Technische Ausgestaltung der datenschutzkonformen Website

Zunächst gilt es zu klären, welche Technologien auf der Webseite eingesetzt werden sollen und wie diese konfiguriert und datenschutzkonform verwendet werden können. Dann sind folgende Fragen zu erörtern:

  • Werden Cookies eingesetzt und zu welchem Zweck?
  • Soll eine Statistik geführt werden und in welchem Umfang?
  • Wird ein Tracking der Besucher durchgeführt und mit welchen Technologien?
  • Sollen auf der Seite Kontaktformulare, eine Nutzerregistrierung oder ein Webshop betrieben werden?
  • Ist eine Verschlüsselung der Webseite erforderlich?
  • Soll ein Newsletter für Interessenten und Kunden eingesetzt werden?
  • Werden Plug-Ins (auch von Drittanbietern) eingesetzt?
  • Wie erfolgt das Hosting?

Diese Punkte sind im Folgenden Bestandteile der DS-GVO Checkliste für Ihre datenschutzkonforme Website.

1. Cookies als Teil der DS-GVO Checkliste für die datenschutzkonforme Website

Cookies sind kleine Textdateien, die von der jeweiligen Internetseite auf dem Endgerät des Seitenbesuchers ablegt werden, um gewisse Funktionen zur Verfügung zu stellen. Dabei kann grundsätzlich unterschieden werden, ob die Cookies für den Betrieb der Webseite zwingend notwendig sind, oder ob sie für verzichtbare Funktionen oder gar Tracking eingesetzt werden sollen. Sofern Cookies verwendet werden sollen, die nicht zwingend für den Betrieb erforderlich sind, ist eine Einwilligung von der betroffenen Person einzuholen. Über die konkreten Anforderungen an Cookies können Sie sich in unserem Blogbeitrag zum Thema Cookies informieren.

Eine Einwilligung kann zum Beispiel über geeignete Content Management Systeme (CMS) erfolgen. Die Besucher der Webseite können sich über die verschiedenen Cookies und deren Zweck informieren und individuelle Einstellungen tätigen, welche Cookies erlaubt und verweigert werden. Hierbei dürfen – abgesehen von den zwingend notwendigen Cookies – keine Cookies vorausgewählt sein. Zwingend notwendig sind in der Regel Session-Cookies, also Cookies, die zum Aufrechterhalten der Verbindung zur Webseite erforderlich sind. Die Auslegung welche Cookies essentiell sind, ist eng auszulegen.

2. Statistik als Teil der DS-GVO Checkliste für die datenschutzkonforme Website

Die Webseitenbetreiber sind in der Regel daran interessiert herauszufinden, wie gut die Internetpräsenz den festgelegten Zweck erfüllt. Dies gelingt über sogenannte Reichweitenmessungstools. Die Statistiken reichen dabei von anonymisierten Formen, bis hin zu Statistiken, aus denen sich ein Personenbezug herleiten lässt. Ebenfalls gilt es zu betrachten, ob die Statistik durch den Webseitenbetreiber erfolgt oder beispielsweise mit Hilfe von Dritten wie mittels Google Analytics. Die Besucher der Seite sind transparent darüber aufzuklären, welche Art von Statistik erfolgen soll und es ist im Vorfeld eine Einwilligung einzuholen.

3. Tracking

Das Tracking, also die Nachverfolgung von Webseitenbesuchern kann über viele verschiedene Ansätze und Technologien erfolgen. Neben Cookies kann zum Beispiel Fingerprinting eingesetzt werden, welches gerätespezifische Einstellungen (verwendetes Gerät, installierte Software, Konfiguration der Software) verwendet um Nutzer wiederzuerkennen. Des Weiteren können z.B. Zählpixel in E-Mails, IP-Adresse des Besuchers, sowie eine Vielzahl weiterer Möglichkeiten eingesetzt werden, um die Webseitennutzer zu tracken. Allen Lösungen gemein ist, dass diese zwingend einwilligungspflichtig sind. Der Nutzer muss sich aktiv und informiert dafür entscheiden, dass ein Tracking stattfinden darf. Es bietet sich an, diese Einwilligung im Rahmen des CMS zu integrieren.

4. Kontaktformulare, Registrierung und Webshops

Es ist zu klären, ob Kontaktformulare oder ggf. eine Registrierung eingesetzt werden sollen: Zu welchem Zweck dienen die Formulare bzw. dient die Registrierung? Welche Informationen benötig man von Kommunikationspartnern? Darüber hinaus können weitere Informationen abgefragt werden, die auf freiwilliger Basis übermittelt werden können. Hierbei ist zwingend transparent und unmissverständlich darzustellen, dass es sich um freiwillige Angaben handelt. Bei der Verwendung von Kontaktformularen, Registrierungen und Webshops ist zwingend eine Verschlüsselung einzusetzen.

5. Verschlüsselung

Die Verschlüsselung von Webseiten ist Stand der Technik und sollte grundsätzlich von jeden Webseitenbetreiber eingesetzt werden. Sofern Kontaktformulare oder gar ein Webshop betrieben werden, ist eine Verschlüsselung zwingend notwendig. Es ist somit im Vorfeld zu klären, wie und mit welchen Zertifikaten die Verschlüsselung umgesetzt werden soll.

6. Newsletter

Sofern Sie planen einen Newsletter für Ihre Kunden und Interessenten einzurichten, ist darauf zu achten, dass das verwendete System das Double Opt-In Verfahren beherrscht. Durch diese doppelte Bestätigung (Anmeldung zum Newsletter auf der Webseite und zusätzliche Bestätigung durch das Anklicken eines Bestätigungs-Links in der Anmeldungsmail) erfolgt die Einholung einer rechtswirksamen Einwilligung.

7. Verwendung von Plug-Ins

Mit den in den Prozess eingebundenen Personen ist außerdem zu klären, ob ggf. Plug-Ins von Drittanbietern, wie z.B. YouTube, Google Maps oder Facebook Like Buttons eingebunden werden sollen. Dieser Umstand ist zwingend in der weiteren Ausgestaltung zu berücksichtigen, da unter Umständen Einwilligungen eingeholt werden müssen und sich die Verarbeitung auf die Datenschutzerklärung auswirken sollte. Manche Anbieter wie z.B. YouTube bieten erweiterte Datenschutz-Modi an, die gezielt das Setzen von Cookies vermeiden. Solche Einstellmöglichkeiten sollten von der verantwortlichen Stelle genutzt werden, um das Datenschutzniveau so hoch wie möglich zu halten.

8. Eigenes Hosting vs. Outsourcing

Im Vorfeld ist zu klären, ob man die Webseite auf unternehmenseigener Infrastruktur hostet, oder ob ggf. ein Dienstleister dies übernimmt. Sofern Dienstleister hinzugezogen werden sollen, ist auch deren Einsetzbarkeit aus Datenschutzgesichtspunkten zu beurteilen und zu dokumentieren. Hierzu gehört zum Beispiel der Abschluss eines Auftragsverarbeitungsvertrages inkl. geeigneter technischer und organisatorischer Maßnahmen des Dienstleisters.

Organisatorische Ausgestaltung zur Umsetzung der DS-GVO Checkliste für die datenschutzkonforme Website

Nachdem festgelegt wurde, welche Technologien zu welchem Zweck eingesetzt werden sollen, ist zunächst zu klären, ob und wie dies mit dem Datenschutz vereinbar ist. Im Anschluss gilt es einen entsprechenden Rahmen festzulegen, in dem die Verarbeitung stattfinden kann und dies transparent an die Betroffenen zu kommunizieren.  Dies erfolgt zum Beispiel über eine verständliche Datenschutzerklärung, die auch die zuvor angesprochenen Punkte beinhaltet und beleuchtet. Warum Generatoren für Datenschutzerklärungen nur bedingt funktionieren können, ergibt sich aus der zwingend notwendigen Betrachtung der verwendeten Technologien und der weiteren Ausgestaltung der Webseite.

Sofern Sie sich für das Hosting bei einem Dienstleister entschieden haben, ist unter Umständen ein Auftragsverarbeitungsvertrag mit dem Dienstleister abzuschließen. Dabei ist unbedingt auch eine Prüfung der technischen und organisatorischen Maßnahmen des Dienstleisters durchzuführen und zu dokumentieren. Die Maßnahmen sollten der Sensibilität der verarbeiteten Daten (wie z.B. Bank und Kreditkartendaten, die gemäß DS-GVO als besonders sensible Daten eingestuft werden) gerecht werden. Unter Umständen kann auch eine gemeinsame Verantwortlichkeit zum Tragen kommen, die ebenfalls in der Datenschutzerklärung zu berücksichtigen ist.

Gern berät Sie das ENSECUR Team sachverhaltsbezogen und detailliert über individuelle Maßnahmen und Ausgestaltungsmöglichkeiten für Fragen zu dieser DS-GVO Checkliste für eine datenschutzkonforme Website.

Hilfreiche Links:

Autor: Steven Bösel, 02.07.2020.

Bild von jamesmarkosborne auf Pixabay.

 

No Comments

Post a Comment