Webseiten DSGVO sicher gestalten

Die Studie der FdWB

Zur Studie

Der Fachverband Deutscher Website-Betreiber (FdWB) hat eine Studie an 2.500 Websites durchgeführt und auf Besonderheiten getestet.  Dies diente dazu, sich einen aktuellen Eindruck über den Status und die Sicherheit deutscher Websites zu verschaffen. (Entsprechend der DSGVO Verordnung) Dazu hat der FdWB die Branchenbucheinträge kleiner und mittelständischer verantwortlicher Unternehmen deutschlandweit untersucht. Getestet wird unter anderem, ob Websites mit SSL-Zertifikaten aktiv sind und mit verschlüsselten Datenverbindungen arbeiten. Ob Firmendaten vollständig in der Datenschutzerklärung enthalten sind und ob die Datenschutzerklärung auf jeder Seite richtig verlinkt ist. Als Ergebnis wurden von insgesamt 2.500 Seiten 1.023 Websites identifiziert, die mindestens eines dieser Kriterien nicht erfüllten. Es wurde gezeigt, dass 41 % aller aufgerufenen Seiten Fehler aufweisen. Sie waren in teilweise miserablem Zustand und unsicher für Seitenbetreiber und Nutzer (somit die Betroffenen)

Die meisten Webseiten verfügten über kein funktionierendes SSL-Zertifikat (87 % der fehlerhaften Seiten), was 36 % aller betrachteter Seiten entspricht. Bei 13 % der Webseiten war keine Datenschutzerklärung vorhanden (32 % der fehlerhaften Seiten). Auf über 14 % der Seiten waren in der Datenschutzerklärung die Unternehmensangaben nicht wie gefordert aufgeführt (35 % der fehlerhaften Seiten). Immerhin 160 Seiten verfügten nicht über die notwendige Verlinkung auf die Datenschutzerklärung, die von jeder Seite aus erfolgen muss (16 % der fehlerhaften Seiten).

Es zeigte sich, dass diese Webseiten in den meisten Fällen weitere Mängel aufwiesen. So waren bei rund 160 Webseiten der Hinweis im Cookie-Banner unvollständig/fehlerhaft (16 % der fehlerhaften Seiten). Und/oder der Cookie-Banner verfügte über keine Möglichkeit der Verwendung von Cookies zu widersprechen (16 % der fehlerhaften Seiten). Auf fast 8 % der aller verantwortlichen Webseiten war das Impressum unvollständig angegeben (19 % der fehlerhaften Seiten) und bei 11 %  aller Seiten waren in den verwendeten Formularen zur Kontaktaufnahme oder Newsletter-Anmeldung ein oder mehrere Fehler enthalten (27 % der fehlerhaften Seiten).

Datenschutzerklärung

Du bist verpflichtet, die Besucher deiner Website darüber aufzuklären, welchen Zwecken die Verarbeitung ihrer personenbezogenen Daten dienen. Dies erfolgt in Form einer Datenschutzerklärung. Sie dient dazu, die Datenverarbeitung für den Nutzer transparent zu gestalten und die Interessen des Unternehmens aufzuzeigen. So kann dieser sich über die Verarbeitung seiner Daten bewusst werden und auch selbst entscheiden, ob er dies zulässt. Ebenfalls dient eine Datenschutzerklärung dazu, dass der Betreiber seiner Informationspflicht nachkommt und den Nutzer über seine Rechte informiert. Aufgrund der DSGVO trat eine neue Informationspflicht in Kraft, welche es verpflichtend macht einige neue Aspekte zu beinhalten. Dazu gehören auch die Angabe der Rechtsgrundlage der Datenverarbeitung. Ebenso dazu gehören Informationen darüber, welche Rechte die Nutzer der Webseite haben. Auch wenn du schon eine Datenschutzerklärung hast, sollte diese dringend an die DSGVO angepasst werden. Außerdem muss über jede Erhebung, Verarbeitung, sowie Nutzung der personenbezogenen Daten aufgeklärt werden. Ebenfalls über die Verarbeitung der IP-Adresse, Browserdaten, Cookies, Webanalyse-Tools oder Social Media Plug-ins. Die Erhebung der Informationen müssen für den Nutzer verständlich und übersichtlich formuliert und bereitgestellt werden und von jeder Seite, sowie mobilen Endgeräten erreichbar sein. Es hat sich als effektiv erwiesen, die Datenschutzerklärung neben den Link auf das Impressum zu platzieren. Daher wird von Internetnutzern der Link zu den allgemeinen Informationen in der Fußzeile erwartet. Die Datenschutzerklärung nicht in den AGB oder innerhalb des Impressums verstecken, da dies als nicht zulässig anerkannt wird.

SSL-Verschlüsselung der Webseite

Webseiten, sind dazu verpflichtet verschlüsselt zu sein, um den Datenschutzgrundsätzen der Integrität und Vertraulichkeit der Daten nach Art. 25 Abs. 1 DSGVO zu entsprechen. Dies soll vermieden, dass Unbefugte Zugriff auf diese Daten erhalten. Mann erkennt eine verschlüsselte Webseite daran, dass die URL mit https anfängt. Ebenfalls wird bei einigen Browsern auch ein kleines Schloss vor der URL angezeigt, welches auf die Sicherheit der Webseite hinweist. Falls deine Website dem nicht entspricht, muss das umgehend geändert und auf https umgestellt werden. Erfolgen kann das mithilfe eines SSL-Zertifikates, welches dem Zweck dient, Daten sicher zu übertragen. Mit diesem Zertifikat wird garantiert, dass die Datenkommunikation von einem Computer zum Server Ende-zu-Ende verschlüsselt wird. Die Verpflichtung des SSL-Zertifikats besteht vorwiegend bei Webseiten mit Kontaktformularen, Newsletteranmeldungen und Bestell- und Widerrufsformularen.

Kontaktformulare

Werden auf deiner Website Kontaktformulare angeboten, dann wird eine Erlaubnisnorm benötigt. Das sollte aber kein Problem sein, denn der Nutzer/Betroffene wird selbst aktiv, indem er Kontakt aufnimmt. Er kann somit selbst entscheiden, welche Daten er angibt. In der Regel muss also keine Einwilligung des Nutzers eingeholt werden, außer es handelt sich um das zusätzliche Zusenden eines Newsletters. Hierfür wird eine separate Einwilligung benötigt. Vom Nutzer dürfen keine Informationen als Pflichtangabe eingeholt werden, werden diese nicht benötigt, um die Anfrage des Nutzers zu bearbeiten. Angaben, die als Pflichtfeld festgelegt sind, müssen sichtbar gekennzeichnet werden. Falls weitere Angaben erhoben werden können, müssen diese klar als freiwillig zu erkennen sein. Außerdem ist eine Erläuterung der Datenverarbeitung über Kontaktformulare in einer Datenschutzerklärung verpflichtend. Wenn du mit einem externen Dienstleister zusammenarbeitest, muss ein Datenverarbeitungsvertrag abgeschlossen werden.

Einwilligung DSGVO-konform

Um eine Einwilligung des Nutzers DSGVO-konform einzuholen, gibt es einiges, worauf du achten solltest. Die Einwilligung muss sich auf einen bestimmten Verarbeitungszweck festlegen und davon nicht abweichen. Der Einwilligungstext muss für den Nutzer verständlich formuliert und gut zugänglich sein, damit dieser freiwillig und gut informiert einwilligen kann. Der Webseite Inhaber muss in der Lage sein eine Einwilligungserklärung nachweisen zu können. Ebenfalls muss diese auf die Widerrufsmöglichkeit hingewiesen haben. Kinder ab 16 Jahren können selbst entscheiden, sollte das Kind jedoch jünger sein, müssen die Eltern entscheiden.

Gestalten des Cookie-Banners

Bei der Erstellung einer DSGVO-konformen Webseite ist es von großer Bedeutung ein Cookie-Banner mit einer integrierten Einverständniserklärung zu verbinden. Dadurch verhinderst du in eine rechtliche Grauzone zu geraten, denn die rechtlichen Bestimmungen sind, seitdem in Kraft treten der Datenschutzverordnung doch noch recht unklar. Dafür empfiehlt es sich, genau zu erläutern, welche Daten zu welchem Zweck genutzt werden sollen. Auch dringend erforderlich ist dabei ein Hinweis, mit welchem es möglich ist, das Setzen der Cookies zu verhindern.

Das Prüfen von eingebetteten Videos und Social Media Plugins

Was genau sind Social Media Plugins eigentlich?

Dazu gehören etwa der "Tweet" Button, welcher auf der gleichnamigen Seite Twitter zu finden ist, oder auch bestimmte "Share" Buttons im ähnlichen Stil. Wissen solltest du aber, dass solche Plug-ins oft als problematisch gelten und das aus ganz verschiedenen Gründen. Einerseits werden durch sie Daten von Besuchern gesammelt und dann weitergegeben. Dies geschieht in den meisten Fällen aus Werbezwecken. Das große Problem an der Sache ist, dass der Besucher davon überhaupt nichts weiß. Aufgrund der veränderten Rechtslage empfiehlt es sich Alternativen zu Social-Media-Plug-Ins zu suchen, um einer rechtlichen Grauzone zu entweichen. Eine Option bietet sich in der Shariff-Button-Lösung. Ein Klick des Buttons führt dabei zu einer Datenübertragung, insofern der Nutzer damit einverstanden ist. Es wird also eine Verbindung zwischen der Webseite (beispielsweise Facebook) und dem Nutzer hergestellt, bevor es zu der Datenverarbeitung kommen kann.

Zum anderen bietet sich die 2-Klick-Lösung an. Darunter versteht sich, dass der Button zunächst bloß als ein reines Bild eingearbeitet wird. Wird solch ein Button nun betätigt, wird er dann im zweiten Schritt auch aktiviert. Schließlich wird ein neues Fenster geöffnet und die Besucher können sich indessen anmelden und einwilligen, dass ihre Daten auch übermittelt werden sollen.

Die bedeutsamsten Web-Analyse-Tools

Es gibt eine große Auswahl an Web-Analyse-Tools, aus denen du auswählen kannst. Beispiele sind Webtrekk, Matomo, etracker, econda usw., um nur einige zu nennen.

Das Programm, um welches es hier gehen soll, heißt Google Analytics. Vielleicht hast du schon einmal davon gehört. Mit der Hilfe dieses Tools ist es möglich, das Verhalten der Besucher deiner Webseite umfassend zu analysieren. Es kann nachvollzogen werden, welche Seiten sich wie oft angesehen worden sind. (Dazu werden die IP-Adressen beobachtet) Allerdings ist dieses Tool aus unterschiedlichen Gründen recht umstritten, gerade da es in seiner uneingeschränkten Form nicht als wirklich datenschutzkonform gilt. Eine Möglichkeit, um das Tool DSGVO-konformer zu gestalten, ist die Einschränkung desselben Programmes. Dies funktioniert wie folgt:

1. 1. Es ist vonnöten, die IP-Adressen der Besucher zu anonymisieren. Dazu musst du "anonymizeIP" in den Quellcode der Webseite einbinden, genau an der Stelle, wo der Code des Google Analytics Tool eingebaut ist.

1. 1. Anpassen der Aufbewahrungsdauer von personalisierten Daten: Limitiere die Aufbewahrungsdauer auf 14 Monate, setzte den Button "Bei neuer Aktivität" zurück und deaktiviere ihn.

1. 1. Die Nutzer sollten die Möglichkeit haben, der Verwendung ihrer Daten zu widersprechen. Dazu setzt du den Link auf ein Deaktivierungs-Add-on, welches deine Besucher betätigen müssen. Nachteil dieser Methode ist, dass solche Add-on nicht auf jedem Browser funktionsfähig sind. Angesichts dessen empfiehlt es sich, einen die Datenschutzerklärung ebenso mit einem Link zum Opt-Out-Cookie auszustatten.

1. 1. Achte weiterhin darauf, dass der Einsatz des Tools in die Datenschutzerklärung kommt, sodass es für den Nutzer transparent bleibt.

FAQ

 1) Datenschutz: Wann ist die Verarbeitung personenbezogener Daten auf meiner Website nach der DSGVO rechtmäßig?

Geregelt ist die Rechtmäßigkeit von personenbezogenen Daten in Art. 6 Abs. 1 der DSGVO-Verordnung.

In den folgenden Fällen ist von einer Rechtmäßigkeit auszugehen:

• • wenn die Person selbst eingewilligt hat

• • um eine rechtliche Verpflichtung zu erfüllen

• • um lebenswichtige Interessen zu schützen

• • zum Zwecke der Erfüllung vorvertraglicher Maßnahmen oder der Erfüllung eines Vertrages

• • wenn eine Interessenabwägung dazu geführt hat

• • um eine Aufgabe wahrzunehmen, welche in dem allgemeinen öffentlichen Interesse liegt, oder in der Ausübung von öffentlicher Gewalt

2) Wie sieht eine gültige Einwilligung aus (Art 7 DSGVO Gesetz)?

Es gibt einige wichtige Punkte, die bei einer gültigen Einwilligung beachtet werden sollten. Dazu gehören unter anderem:

• • der Einwilligungstext muss verständlich formuliert sein

• • er muss gut zugänglich sein

• • Sie ist ab einem Alter von 16 Jahren gültig, darunter entscheiden die Eltern des Kindes

• • Die Einwilligungserklärung sollte von dem Webseiteninhaber nachgewiesen werden können

• • Die Einwilligung sollte nie von dem bestimmten Verarbeitungszweck abweichen

• • es muss auf das Widerrufsrecht hingewiesen werden

3) DSGVO: Wie lange dürfen personenbezogene Daten gespeichert werden?

Personenbezogene Daten dürfen nur solange gespeichert werden, wie es für den jeweiligen Zweck entsprechend erforderlich sein kann. Dies gilt nach Art. 5 Abs. 1. Allgemein bekannt ist die Pflicht, die Dauer der Speicherung auf das in jedem Fall erforderliche Maß zu minimieren. Dies gilt für alle Webseiten aus Europa.

4) DSGVO: Wann ist eine Einwilligung nach dem Gesetz erforderlich?

In den meisten Fällen ist eine Einwilligung für die Verarbeitung personenbezogener Daten vonnöten. Generell ist es nicht erlaubt diese Daten zu speichern und verarbeiten, ohne dass es ein Gesetz speziell erlaubt, oder es eben zu einer Einwilligung gekommen ist. Ein anschauliches Beispiel ist Direktwerbung. Hierbei ist eine Einwilligung erforderlich, falls das Unternehmen vorhat, die verarbeiteten personenbezogenen Daten für Direktwerbung zu nutzen.

5) Welche personenbezogenen Daten werden denn gewöhnlich online erhoben oder verarbeitet?

Folgende personenbezogene Daten werden erhoben und verarbeitet: das Geburtsdatum, der Name, die Adresse, E-Mail-Adresse, die Krankenversichertennummer, Telefonnummer und auch die Postanschrift.

6) DSGVO: Wie lange darf man Kundendaten speichern?

Kundendaten dürfen nur solange gespeichert werden, wie es jeweils erforderlich ist. Es muss auf das minimal erforderliche Maß verringert werden, damit es rechtens wird. Die DSGVO-Verordnung gilt europaweit.

7) DSGVO: Ab wann benötigt man einen Datenschutzbeauftragten?

Die Verpflichtung zu der Benennung eines betrieblichen Datenschutzbeauftragten soll ab 20 Mitarbeitern greifen. Dies gilt für alle europäischen Unternehmen. Solch ein Datenschutzbeauftragter berät die Verantwortlichen des Unternehmens in allen Belangen, welche in die Richtung gehen.

8) Werden durch Ihre Webseite Cookies auf den Rechnern Ihrer Nutzer gespeichert?

Ja, wir verwenden folgende Arten von Cookies:

Persistente Cookies: Darunter versteht man Cookies, welche automatisiert nach einer vorgegebenen Zeit gelöscht werden, je nachdem um welches Cookie es sich handelt.

Transiente Cookies: Diese Art von Cookies werden alsbald gelöscht, wenn du deinen Webbrowser schließt. Sie ermöglichen eine Wiedererkennung des Endgerätes, sobald du auf die Webseite zurückkehrst. Schließt du die Webseite ganz, oder loggst dich aus, verschwinden sie.

9) In welchem Umfang setzen Sie Cookies ein und was ist der Zweck dieser Cookies?

Wir setzen Cookies nur in dem nötigen Umfang dafür ein, dass sich die Nutzerperformance für dich verbessert. So kann das Angebot auf unserer Webseite, effektiver und nutzerfreundlicher gestaltet werden.