Webseiten-Check
Die Webseite ist die Außendarstellung eines Unternehmens. Da sie in der Regel für jeden zugänglich ist, kann die DSGVO-Konformität hier besonders einfach geprüft werden. Das hat dazu geführt, dass zur Einführung der DSGVO viele Abmahnungen geschrieben wurden. Um diese zu vermeiden, sollten Unternehmen ihre Webseite auf folgende Punkte prüfen und die Webseite bei Bedarf überarbeiten. Bei einigen Punkten gibt es teilweise widersprüchliche Meinungen, wie streng diese umzusetzen sind, trotzdem ist es sinnvoll, sich mit allen auseinanderzusetzen.
Kontaktformulare und Newsletteranmeldungen
Sind auf der Webseite Formulare integriert, bei welchen der Nutzer personenbezogene Daten angeben muss, sind die Pflichtangaben zu minimieren. Es dürfen nur Daten, die zur Bearbeitung der Anfrage benötigt werden, als Pflichtfelder gekennzeichnet werden. Eine SSL-Verschlüsselung ist außerdem unabdingbar.
Vor dem Absenden der Daten ist es notwendig, dass der Benutzer auf die Datenschutzerklärung aufmerksam gemacht wird und die Verwendung der Daten zu den angegebenen Zwecken per Opt-In akzeptiert. Hierbei handelt es sich um eine explizite Einwilligung des Nutzers. Dasselbe gilt für die Anmeldung zu Newslettern. Hierbei ist es sogar noch sinnvoller ein Double-Opt-In einzusetzen. Dabei wird dem Nutzer nach der Anfrage eine E-Mail gesendet und er muss aktiv bestätigen, dass er den Newsletter angefordert hat.
Cookies
Webseiten nutzen in der Regel Cookies, um Daten zum Verhalten des Nutzers zu speichern. Im Zuge der DSGVO gibt es kontroverse Meinungen, wie mit Cookies umgegangen werden soll. Nach der Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) vom 26. April 2018 dürfen Cookies nur nach einer eindeutigen Bestätigung des Benutzers platziert werden.
Durch eine Einblendung mit den Informationen für den Nutzer, wofür die Cookies genutzt werden, und einer Opt-in Funktion, ist der Webseitenbetreiber auf der sicheren Seite. Ein Hinweis, dass Cookies gespeichert werden, mit der Möglichkeit diesem zu widersprechen, also einer Opt-out Lösung, ist auch eine Möglichkeit, die von einigen Unternehmen genutzt wird. Hierbei ist allerdings nicht garantiert, dass die Webseite DSGVO konform ist.
Webanalyse
Häufig werden zusätzlich Webanalyse Tools eingesetzt, um tiefere Einblicke in das Benutzerverhalten zu erhalten. Zu diesen Tools gehören beispielsweise Google Analytics oder Matomo. Sie sammeln Daten über die Herkunft oder die Verweildauer des Nutzers. IP-Adressen gelten als personenbezogenes Datum. Daher ist bei der Einbindung der Tools Vorsicht geboten.
Es ist zu prüfen, ob das Tool wirklich notwendig ist und ob es richtig in die Seite eingebunden wurde. Hierfür gibt es online gute Anleitungen, oder man sucht sich professionelle Hilfe. Beispielsweise kann die IP-Adresse gekürzt werden, um keinen direkten Rückschluss auf die Person ziehen zu können. Außerdem muss für den Nutzer ersichtlich sein, dass ein Tool im Einsatz ist und er muss die Möglichkeit haben, dies zu unterbinden. Im besten Fall sollte wieder mit einer Opt-In-Lösung gearbeitet werden.
Datenschutzerklärung
Die Datenschutzerklärung auf der Webseite muss folgende Informationen beinhalten: welche Art von Daten erfasst werden und wie der Umfang, der Zweck und die Dauer der Verarbeitung ist. Es müssen auch mögliche Cookies und Webanalyse Anwendungen beschrieben werden und der betroffenen Person muss die Möglichkeit gegeben werden, der Datenerfassung zu widersprechen. Auch ein Ansprechpartner mit Kontaktdaten, oder wenigstens eine E-Mail-Adresse für Fragen bezüglich der Datenschutzerklärung, muss aufgeführt sein, sowie Informationen zur zuständigen Aufsichtsbehörde.
Wichtig ist, dass die Datenschutzerklärung in klarer und einfacher Sprache verfasst wird. Juristische Fachbegriffe sollten vermieden werden. Wenn das nicht möglich ist, müssen diese verständlich erklärt werden.
Social Media Plugins
Ein stark diskutiertes Thema im Zuge der DSGVO sind die sogenannten „Social Media Plugins“. Schon vor dem 25. Mai 2018 kam es diesbezüglich zu Abmahnungen. Beim Einsatz von Social Media Plugins, wie beispielsweise einem Facebook Like Button, werden schon beim Betreten der Webseite Daten im Hintergrund gesammelt und an die jeweilige Webseite weitergegeben. Davon bekommt der Nutzer nichts mit.
In dem Facebook Beispiel läuft das wie folgt ab: Falls der Nutzer in dem Browser bei Facebook angemeldet ist, werden die Daten direkt mit seinem Profil verknüpft. Wenn keine Facebook Anmeldung vorhanden ist, dann werden die Daten an die IP-Adresse gehängt und an Facebook gesendet. Dasselbe gilt auch für alle anderen Social Media Anbieter. Die Plugins können jedoch durch Verlinkungen ausgetauscht werden, welche zum Beispiel über eine 2-Klick-Lösung funktionieren. Bei ihnen wird die Verbindung erst beim Klick auf den Link hergestellt, dann wird der Benutzer über die Verbindung informiert, welcher er durch einen weiteren Klick aktiv zustimmen muss.
DSGVO-Serie: So geht es weiter
In den kommenden Wochen werden wir alle weiteren Maßnahmen zur Umsetzung der Datenschutzgrundverordnung erläutern.
Den ersten Artikel der Serie Datenschutzgrundverordnung – 6 Monate DSGVO und nun? finden Sie unter dem angegebenen Link.
Die nötigen Maßnahmen sind:
- Stellung eines Datenschutzbeauftragten
- Verzeichnis von Verarbeitungstätigkeiten
- Webseitencheck
- Technische und organisatorische Maßnahmen
- Abschluss von Auftragsdatenverarbeitungsverträgen
- Prozesse von Datenpannen und Betroffenenanfragen
- Lösch- und Backupkonzept
- Sensibilisierung der Mitarbeiter
Es gilt genau hinzuschauen und die Prozesse im Unternehmen intensiv zu hinterfragen. Holen Sie sich Hilfe und Informationen bei Experten und lassen Sie sich beraten. Setzen Sie auf moderne Systeme und Lösungen, die Sie bei der Einhaltung der DSGVO unterstützen, wie zum Beispiel unseren DSGVO-Manager -Die Toolbox für eine erfolgreiche Umsetzung der EU-Datenschutzgrundverordnung.
Der DSGVO-Manager
Unser DSGVO-Manager unterstützt Sie vor allem bei der Dokumentation aller nötigen Maßnahmen. Hier haben Sie die Möglichkeit nicht nur Ihre Prozesse zu dokumentieren und die Verantwortlichen aufzulisten, Sie können auch Kundenanfragen, wenn es um Auskunft oder Löschung geht, im DSGVO-Manager nachhalten. Zudem unterstützt unser Tool bei der Beauskunftung gegenüber der Datenschutzbehörde im Rahmen einer Unternehmensprüfung.
Anmerkung: Eine juristische Beratung stellt unser Angebot nicht dar. Dazu nehmen Sie bitte mit einem Anwalt Kontakt auf und sprechen Sie mit Ihrem Datenschutzbeauftragten.