Was die DSGVO von Unternehmen und ihren Webseiten verlangt

Schließlich lässt sich ein Auftritt im Netz nicht ohne Verarbeitung personenbezogener Daten bewerkstelligen, da es sich bei IP-Adressen bereits um personenbezogene Daten handelt. Auch Cookie- und User-IDs werden nicht mehr als anonym eingestuft, sondern gehören zu den personenbezogenen Daten bei Webseiten. Und weil bereits beim bloßen Aufrufen einer Internetseite automatisch die IP-Adresse des Besuchers übermittelt wird, betrifft die DSGVO jeden, der Webseiten betreibt. Um kräftige Bußgelder zu vermeiden, sollten Unternehmen schnellstens überprüfen, ob ihr Internetauftritt rechtskonform zur DSGVO ist – und die Seiten gegebenenfalls anpassen.

Fahrplan zum DSGVO-konformen Internetauftritt

1. Den Ist-Zustand aufnehmen

Die einzelnen To-dos können erst nach kriminalistischer Kleinarbeit identifiziert werden: Für jede Seite und jede Unterseite muss ganz klar sein, welche Funktionen und Tools dort personenbezogene Daten erfassen, speichern und verarbeiten. Zudem sollte man genau wissen, auf welchen Seiten welche Daten anfallen, die an externe Unternehmen gehen.

Sponsored Post

Arbeitszeitmodelle+Urlaubsanspruch

Wie funktioniert eine 4-Tage-Woche?

2. Datenverarbeiter in die Pflicht nehmen

Mit jedem Drittanbieter, dem das Unternehmen Daten zur Speicherung oder Weiterverarbeitung zur Verfügung stellt, ist ein Vertrag zur Auftragsdatenverarbeitung abzuschließen, der den Vorgaben der DSGVO entspricht. Neu ist, dass die Auftragsverarbeitung auch außerhalb der EU erfolgen kann.

3. Die Web-Anwendung fit machen

Last but not least muss das Unternehmen – wo nötig – noch die technische Umsetzung auf der Webseite anpassen. Dabei sollte man gleich noch einmal kritisch prüfen, ob die Zustimmungstexte in allen Formularen den Anforderungen der DSGVO entsprechen und ob die Nutzer hinreichend auf ihre Rechte hingewiesen werden.

Seite für Seite, Tool für Tool

1. Kontaktformulare, Kommentare, Anmeldungen, Registrierungen

Grundsätzlich müssen sich Nutzer auf Vertraulichkeit und Integrität verlassen können. Dem Unternehmen obliegen umfassende Informationspflichten.

To-do: Die Daten werden für die Übertragung verschlüsselt, das heißt Formulare sind über eine sichere Verbindung mittels https zu übermitteln. Kommen Dritte als Dienstleister zum Zuge, dann sind die Nutzer explizit darauf hinzuweisen. Zudem ist mit dem Datenverarbeiter ein entsprechender Vertrag zu schließen.

2. Share- und Like-Buttons

Die Nutzer müssen der Übertragung personenbezogener Daten an soziale Netzwerke explizit zustimmen. Das heißt, dass Daten nicht schon beim Aufruf der Webseite an Facebook & Co. übertragen werden dürfen.

To-do: Der Nutzer muss immer zuerst mittels Klick sein Okay geben, bevor die Datenübertragung möglich ist. Als technische Lösung dafür ist c’t Shariff geeignet.

3. Up- und Downloads

Das Herunter- und Hochladen von Dateien obliegt den gleichen datenschutzrechtlichen Rahmenbedingungen wie Kommentarfunktionen und Kontaktformulare: Nutzer-Information und -Zustimmung.

To-do: Der Nutzer ist vorab über die Datenübermittlung und –weiterverarbeitung zu informieren und muss ihr ausdrücklich zustimmen.

4. Tracking-Tools

Tracking-Tools, wie beispielsweise Google Analytics und Piwik, zeichnen das Nutzerverhalten genauestens auf. Deshalb muss ein Webseitenbetreiber den Nutzer über den Umfang, den Zweck und die Art der Datensammlung aufklären und eindeutig auf sein Widerspruchsrecht hinweisen.

To-do: Damit Nutzer einen Widerspruch ausüben können, kann das Unternehmen einen Link zu einem Deaktivierungs-Add-on schalten oder eine Opt-Out-Funktion einrichten. Das entbindet es jedoch nicht von seinen Informationspflichten. Natürlich muss es via Anonymisierungsfunktion auch dafür sorgen, dass der Programmcode des Trackingprogramms die IP-Adressen nur gekürzt erfasst. Nicht vergessen: Vertrag zur Auftragsdatenverarbeitung mit dem Dienstanbieter abschließen!

5. Live-Chats

Live-Chats nutzen häufig externe, cloudbasierte Tools wie SmartSupp oder Zendesk. Diese Programme erfassen jedoch ebenfalls Nutzerdaten, etwa die IP-Adresse. Darüber hinaus tragen manche Chat-Teilnehmer persönliche Daten in den Chat oder vorgelagerte Fragebögen ein, die dann auf den Servern des Anbieters verbleiben.

To-do: Der Nutzer ist wiederum umfassend zu informieren, bevor er in den Live-Chat eintreten kann. Das Unternehmen muss außerdem an dieser Stelle eine Möglichkeit zum Abbruch schaffen.

6. Cookies

Der Einsatz von Cookies ist in jedem Fall anzugeben.

To-do: Empfehlenswert ist der Einsatz eines Cookie-Banners, das beim ersten Aufruf der Webseite erscheint und deutlich zu sehen ist. Es darf jedoch nicht so platziert sein, dass es Pflichtangaben wie etwa das Impressum oder den Link dazu verdeckt.

7. Weitere Marketing- und Werbefunktionalitäten

Kommen Programme wie Google Adwords und Adsense, Remarketingfunktionen, Reverse IP Lookup oder Tools für A/B-Testing zum Einsatz, entstehen auf Basis der erfassten Daten häufig detaillierte Nutzerprofile. Hier ist eine Einzelfallbewertung gefragt! Die alleinige Information der Nutzer ist unter Umständen nicht ausreichend, sondern es bedarf seiner unmissverständlichen Einwilligung.

To-do: Das Unternehmen sollte genau prüfen, welche Marketingtools und Werbefunktionen es auf seinen Seiten nutzt und sich beraten lassen, was dies im Hinblick auf die DSGVO bedeutet.

Ich habe fertig?

Mit der einmaligen Anpassung der Webseiten von Unternehm ist es jedoch nicht getan. Werden neue Seiten angelegt oder Webseitenfunktionen und Apps ergänzt, müssen Datenschutzaspekte nach DSGVO immer eine mit-entscheidende Rolle spielen. Die Unternehmen sind überdies gut beraten, auch die noch folgende ePrivacy-Verordnung im Auge zu behalten. Diese wird sich vorrangig um den Schutz der Privatsphäre in der digitalen Welt drehen. Weitere Neuregelungen für das Betreiben von Webseiten sind demnach vorprogrammiert.

Weblink zum Thema

• Anforderungen an den Website-Datenschutz nach DSGVO

^{Foto/Thumbnail: ©Wavebreakmedia/Depositphotos.com}