Nicht erst mit Inkrafttreten der Europäischen Datenschutzgrundverordnung (EU-DSGVO) zum 25. Mai 2018 gibt es verschiedene Vorschriften zur Gestaltung und Absicherung von Webseiten; jedoch wurden mit der VBeerabschiedung der EU-DSGVO diese Vorgaben deutlich verschärft und können bei Nichtbeachtung sehr empfindliche Strafen nach sich ziehen.
Der nachstehende Leitfaden vermittelt kurz und prägnant die wichtigsten Maßnahmen, die unbedingt zu beachten und durchzuführen sind, um eine EU-DSGVO-konforme Webseite zu erstellen und zu betreiben.
Betroffen von diesen Regelungen sind im Prinzip alle Webseitenbetreiber, da zum Beispiel von jedem Besucher, der eine Webseite aufruft, die IP-Adresse als identifizierbares und personenbezogenes Merkmal übertragen wird.
- Datenschutzerklärung erstellen oder über-arbeiten
Die Datenschutzerklärung sollte unbedingt Hinweise über die Rechte der Nutzer gemäß EU-DSGVO enthalten. Sie muss zudem Angaben über Art, Umfang und Zweck der Erhebung und Verwendung von personenbezogenen Daten liefern.
Weiterhin sollte die Datenschutzerklärung alle verwendeten Dienste und Plug-ins aufführen, die auf der Seite verwendet werden und dazu führen, dass Daten Dritten (zum Teil auf amerikanischen Servern) zugänglich gemacht werden, was beispielsweise durch einen Facebook-Like-Button herbeigeführt werden kann.
- Verschlüsselung der Webseite vornehmen
Insbesondere wenn Formulardaten über die Webseite übertragen werden, so ist eine Verschlüsselung (erkennbar an dem Kürzel „https“, einem Schloss oder dem Begriff „sicher“) erforderlich.
Weitere Erfordernisse im Sinne des Artikel 32 EU-DSGVO – Sicherheit der Verarbeitung können beispielsweise (je nach Verwendungszweck) sein: Passwortvergabe, Eingabeprotokollierung durch Logfiles etc.)
- Überprüfen der Formulare auf der Website
Viele Formulare erheben zu viele zweckfremde Daten und sind somit nicht EU-DSGVO-konform. Es dürfen nur solche Daten erhoben, die für die Beantwortung einer Anfrage erforderlich sind (Art. 5 DSGVO Grundsätze für die Verarbeitung personenbezogener Daten – „Datenminimierung“).
Ein Beispiel: Für den Bezug eines Newsletters (zustimmungspflichtig) reicht die Eingabe der E-Mail-Adresse aus, das Hinzufügen des Vornamens und Nachnamens geschieht auf freiwilliger Basis und ist als solche auch zu kennzeichnen. Entsprechend dürfen diese Felder nicht als Pflichtfelder eingerichtet werden.
Es sollte immer auch auf die Bestimmungen der Datenschutzerklärung (siehe Punkt 1.) verwiesen werden. Sollten Sie auch einen Newsletter veröffentlichen, dann sind zusätzlich viele weitere Aspekte (zum Beispiel das Double-Opt-in-Verfahren, Widerrufsbelehrung etc.) zu beachten.
- Social-Media-Plugins sowie eingebettete Inhalte prüfen
Die meisten Plugins übermitteln Daten von Website-Nutzern automatisch an die entsprechenden Dienste-Betreiber, zumeist ohne das explizite Wissen der Anwender.
Diese von Datenschutzexperten immer wieder gerügte Praxis kann durch Einstellungen im Browser oder in den Plug-Ins unterbunden werden.
- Analytische Verfahren prüfen und anpassen
Viele Webseiten nutzen analytische Verfahren und Dienste wie zum Beispiel Google Analytics zur Analyse der Besucherströme und -zahlen auf den Webseiten.
Die gesammelten IP-Adressen müssen anonymisiert werden. Weiterhin ist es erforderlich mit den entsprechenden Anbietern (Google) einen (Standard-) Vertrag zur Auftragsverarbeitung zu schließen.
In der Datenschutzerklärung ist auf die Verwendung solcher Statistik-Tools explizit hinzuweisen. Informieren Sie überdies die Besucher auf die Verwendung von Cookies und nehmen Sie einen entsprechenden Hinweis ebenfalls in der Datenschutzerklärung auf.
- Vertrag mit dem Internet-Provider prüfen
Typischerweise sorgt der Provider für den Betrieb der Webseiten und nimmt keine weitere Verarbeitung der personenbezogenen Daten vor. Ist der Anbieter aber auch gleichzeitig für die Verwaltung und Archivierung der E-Mails zuständig, dann müssen Sie mit diesem einen Vertrag zur Auftragsverarbeitung schließen.