Die wichtigsten Tipps für eine datensichere Webseite
Darauf sollten Sie achten

Die wichtigsten Tipps für eine datensichere Webseite

Porträtfoto von Achim Barth, Datenschutzbeauftragter und Gründer von Barth Datenschutz
Am

Die Webseite ist oft das erste, was Kunden sehen. Sie sollte nicht nur schick aussehen, sondern auch datensicher aufgestellt sein. Was sind die üblichen Schwachstellen? Und warum verursachen löchrige Systeme Probleme und wo können Unsichere einen Sicherheitscheck vollziehen?

Die eigene Webseite dient für ein Unternehmen als digitale Visitenkarte. Freund und Feind können schnell erkennen, ob Betriebe das Thema Datenschutz ernst nehmen oder nicht. Noch immer fallen zu viele Homepages beim Sicherheitscheck durch. Technik und Präsentation verfehlen die gesetzlichen Vorgaben. Besonders Abmahnanwälte, Aufsichtsbehörden oder Cyberkriminelle horchen auf, wenn auf der Homepage eines Betriebs die DSGVO nicht berücksichtigt wird. Wer bereits in seinem Web-Schaufenster die Vorgaben missachtet, dem unterstellen Außenstehende gern, dass auch innerhalb des Systems eine Laissez-faire-Kultur beim Thema Datensicherheit herrschst.

Dazu kommt, dass aufgrund aktueller Urteile Webseitenbetreiber seit einigen Monaten recht einfach abgemahnt werden können oder sich mit „windigen“ Schadenersatzforderungen auseinandersetzen müssen– zum Beispiel, wenn Google-Schriftarten ohne Einwilligung von Google-Servern geladen werden. Kluge Betreiber prüfen am besten sofort, ob diese Datenverarbeitung auf ihrer Seite aktiv ist. Falls ja, sorgen sie dafür, dass diese Schriftarten lokal eingebunden sind. Im Folgenden finden Verantwortliche noch weitere wichtige Tipps, um ihre Webseite wasserdicht und DSGVO-konform aufzustellen.

Datenschutzhinweise – bitte vollständig, korrekt und aktuell

Eine vorbildliche Webseite steht und fällt mit der Datenschutzerklärung. Mit ihr erfüllt das Unternehmen seine Informationspflicht nach Artikel 13 der DSGVO. Besonders hier lassen viele Auftritte zu wünschen übrig. Dabei ist diese Passage genau der Abschnitt, den sich Anwälte, Wettbewerber oder Aufsichtsbehörden als Erstes anschauen. Ist hier der Wurm drin, gehen die Datenschutzdetektive gerne tiefer ins Detail. Die meisten Datenschutzhinweise sind nicht korrekt, da sie zu allgemein gehalten sind und nicht darüber informieren, was auf der Webseite technisch tatsächlich passiert.

Wer auf Nummer sicher gehen will, sorgt dafür, dass seine Hinweise vollständig, korrekt und aktuell sind. Unternehmen, die auch in den sozialen Medien unterwegs sind, sollten die Datenschutzhinweise um diesen Passus erweitern und gleichzeitig von den Social-Media-Profilen dorthin verlinken. Wer aktiv nach Mitarbeitern sucht, einen Blog mit Kommentarfunktion präsentiert oder einen Kundenbereich betreibt, hat ebenfalls die Pflicht, darüber vollständig in den Hinweisen aufzuklären.

Gilt als Verstoß: Über Tools informieren, die nicht existieren

Übrigens: Datenschutzhinweise und Impressumspflicht sind zwei verschiedene paar Schuhe. Beides gehört auf jede Website – doch in getrennter Ausführung. Betreiber dürfen sie nicht vermischen oder die Datenschutzerklärung im Impressum unterbringen. Fehlt ein Element, droht eine Abmahnung. Wer sich beim Thema Impressum rechtlich absichern will, sollte den Vermerk durch einen Juristen prüfen lassen. Auch bei reinen Infoseiten – ohne Shop oder Blog – müssen diese Angaben stimmen. Was dazu gehört, entnehmen Interessierte zum Beispiel der Webseite des Bundesjustizministeriums.

Auf der anderen Seite sichern viele Firmen sich aus Unwissenheit doppelt und dreifach ab. Diese Inhaber klären über Tools und Maßnahmen auf, obwohl sie auf der Webseite gar nicht existieren. Auch das ist ein Verstoß gegen die Grundsätze der Datenverarbeitung nach DSGVO.

Sehr häufig sind Kontaktformulare zu umständlich gestaltet: User müssen vor dem Absenden per Klick die Datenschutzerklärung akzeptieren. Das ist im Regelfall nicht nötig, birgt für manche Betreiber sogar ein Risiko, weil Zustimmungspflicht unterstellt werden kann. Der Prozess der Kontaktaufnahme lässt sich meist wesentlich einfacher umsetzen – nämlich ohne Opt-in und mit bloßen Hinweis auf die Datenschutzerklärung.

Mit dem TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) sind die Anforderungen noch transparenter geworden. Seit Dezember 2021 gilt die Vorgabe, dass Datenverarbeitungen, die nicht technisch zwingend notwendig sind, nur nachgeladen werden dürfen, wenn User aktiv zustimmen. Erweitere Tracking-Tools dürfen so lediglich durch ein aktives Go des Nutzers zum Einsatz kommen. Das lässt sich technisch mithilfe eines abgestimmten Consent-Managers (früher Cookie-Banner) lösen. Der Fallstrick dabei: Dieses Pop-up-Fenster muss auch tun, was der Gesetzgeber fordert – transparente, unvoreingenommene, schnelle Auswahlmöglichkeiten lassen. Consent-Manager sollten drei Optionen bieten: Alles Akzeptieren, alles Ablehnen oder individuelle Einstellungen vornehmen. Leider hapert es oft an diesem Dreiklang. Viele vergessen die Option des sofortigen „Neins“.

Wer abgesichert im Netz auftreten will, lässt seinen Consent-Manager unabhängig und professionell überprüfen. Schließlich nützt Unwissenheit im Notfall nicht vor Strafe. Zusätzlich kann Software helfen, Webseiten professionell zu scannen und zu erkennen, ob Cookies, Scripte und andere Dienste richtig eingebunden und Datenschutzhinweise vollständig und korrekt sind. Mit ihrem Einsatz offenbaren sich Lücken und die Präsenz im Netz lässt sich gezielt auf datenschutzkonforme Beine stellen. Das Gleiche gilt beim Thema Wettbewerb. Neben der DSGVO gilt für Webseitenbetreiber nämlich das UWG – das Gesetz gegen unlauteren Wettbewerb. Gerade beim Versand von Newslettern oder E-Mail-Werbung greifen diese Regelungen. Wer einen Newsletter verschicken oder Kunden mit digitaler Post versorgen möchte, sollte von Profis checken lassen, ob diese Prozesse die Anforderungen aus dem UWG erfüllen.

Kostenloses Tool für eine sichere Webseite

Status-quo-Analyse:
Viele Betreiber können die Qualität des eigenen Onlineauftritts gar nicht bewerten: Erfüllt die Webseite alle gesetzlichen Vorgaben? Reicht das Sicherheitsniveau? Wer es genau wissen will, macht einen kostenlosen Selbsttest, zum Beispiel hier: privacyscore.org. Alternative kostenpflichtige Sicherheitsscans simulieren zudem verschiedene Hackerangriffe.

Bildnachweis: ©Depositphotos.com

Über den Autor

Porträtfoto von Achim Barth, Datenschutzbeauftragter und Gründer von Barth Datenschutz

Achim Barth Als digitaler Aufklärer kennt er sie alle – die Gefahren der Datenspinne, die Tricks der Datenräuber, aber auch zuverlässige Wege, wie jeder seine Privatsphäre im Netz schützen kann. Zielgerichtet, sachkundig und immer up to date begleitet der mehrfach zertifizierte Datenschutzbeauftragte Privatleute und Unternehmen in die IT-Sicherheit. In Workshops, Seminaren und Vorträgen begeistert der Gründer von „Barth Datenschutz“ mit praktikablen Lösungen. www.barth-datenschutz.de
Zum Autorenprofil

Kommentare

Kommentar schreiben:

Deine E-Mail-Adresse wird nicht veröffentlicht.

Erhalten Sie jeden Monat die neusten Business-Trends in ihr Postfach!
X