Datenschutz - was bei Webseiten zu beachten ist
Datenschutz bei Firmen-Webseiten unzureichend: So funktioniert der Internetauftritt

Datenschutz bei Firmen-Webseiten unzureichend: So funktioniert der Internetauftritt

Eine Studie des Fachverbands deutscher Webseiten-Betreiber (FdWB) zeigte anhand von 2.500 zufällig ausgewählten Firmen-Webseiten, dass Aspekte wie IT-Sicherheit sowie Datenschutz deutlich zu kurz kommen: 13 % hatten keine Datenschutzerklärung, bei 36 % fehlte es an einem funktionierenden SSL-Zertifikat. Wir nutzen die Gelegenheit, um Ihnen zu zeigen, wie ein rechtlich korrekter Firmenauftritt im Internet aussehen sollte.

Studie vom FdWB: „41 % deutscher Webseiten sind nicht sicher“

Der Fachverband deutscher Webseiten-Betreiber (FdWB) konnte in einer Studie im März 2020 aufzeigen, dass zahlreiche deutsche Webseiten nicht nur gegen Rechtsvorschriften verstoßen, sondern auch gefährdet für Abmahnungen sind. In der Studie kommt der FdWB zu dem unschönen Schluss, dass „41 % deutscher Webseiten […] nicht sicher“ sind. Für die Studie wurden 2.500 Online-Auftritte eher zufällig ausgewählt: man suchte anhand von Branchenbucheinträgen nach kleinen und mittleren Unternehmen. Erschreckend: 1.023 Webangebote, also 41 %, waren so fehlerhaft, dass sie weder für Betreiber noch für Nutzer sicher waren.

Von diesen als mangelhaft eingestuften Firmenauftritten hatten 87 % kein funktionierendes SSL-Zertifikat – das ergibt 36 % der gesamten Stichprobe! Auf Ausführungen zum Datenschutz verzichten leider ebenfalls viele Website-Betreiber: eine Datenschutzerklärung fehlte bei 13 % aller untersuchten Internetpräsenzen, bei 14 % waren die Unternehmensangaben unvollständig.

Rechtssichere Firmen-Website: Was gehört dazu?

Website-Betreiber müssen sich – neben anderen relevanten Gesetzen – an die Datenschutzgrundverordnung (DSGVO) halten. Eine Datenschutzerklärung bzw. Datenschutzhinweise sowie ein entsprechendes Impressum sind also Pflicht. Auch die SSL-Verschlüsselung ist nicht mehr wegzudenken: Moderne Browser blockieren Websites ohne SSL-Verschlüsselung und auch die DSGVO fordert den Schutz personenbezogener Daten nach aktuellem Stand der Technik.

Kontaktformulare müssen Vorgaben entsprechen, auch das Tracking von Website-Besuchern bedarf spezieller Anpassungen. Daneben gilt es, die Cookie-Richtlinie korrekt umzusetzen und mit entsprechenden Cookie-Bannern Einwilligungen einzuholen. Weiter sind Auftragsverarbeitungsverträge – beispielsweise mit Ihrem Website-Hoster – Pflicht. Sehen wir uns das im Detail an:

Datenschutz bei KMU: Datenschutzerklärung

Da Ihre Datenschutzerklärung öffentlich einsehbar ist, bietet sie große Angriffsfläche: Wettbewerber und/ oder Aufsichtsbehörden sind wachsam. Doch nicht nur aus Furcht vor Abmahnungen lohnt es sich, Zeit und Aufmerksamkeit in die Datenschutzerklärung zu investieren. Denn sie informiert auch Ihre Website-Besucher darüber, welche Priorität der Datenschutz in Ihrer Organisation hat. Diese Datenschutzerklärung verfolgt das Ziel, die Datenverarbeitung in Ihrem Unternehmen für Betroffene transparent zu machen.

Sie kommen Ihrerseits den rechtlichen Informationspflichten nach und informieren Betroffene über etwaige Rechte und Pflichten. Welchen Informationspflichten Sie in Ihrer Datenschutzerklärung nachkommen müssen, ergibt sich aus Art. 13 DSGVO. Bitte beachten Sie damit einhergehende Neuerungen gegenüber den Regelungen vor der DSGVO: Sie sind verpflichtet, die Rechtsgrundlage der Datenverarbeitung anzugeben, außerdem benötigt Ihre Datenschutzerklärung Informationen über die Rechte der Betroffenen.

Ihre Datenschutzerklärung muss auf Ihrer Website verfügbar sein, auch auf Mobilgeräten. Wie bei Ihrem Impressum wäre es ideal, wenn Ihre Datenschutzerklärung mit maximal drei Klicks aufrufbar wäre. In der Praxis hat es sich etabliert, die Datenschutzerklärung neben dem Impressum zu verlinken. Auf keinen Fall dürfen Sie die Datenschutzerklärung irgendwo im Impressum oder gar in Nutzungsbedingungen verstecken.

SSL-Verschlüsselung für die Sicherheit

Art. 25 Abs. 1 DSGVO fordert von Webseitenbetreiber, den „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ zu gewährleisten. Die Datenschutzgrundsätze der Vertraulichkeit und Integrität von Daten müssen erfüllt werden – und das gelingt Ihnen mit SSL-Verschlüsselung. Sie verhindern mit der Verschlüsselung Ihrer Website effektiv, dass Unbefugte auf die von Besucher übermittelten Daten zugreifen können.

Ein SSL-Zertifikat verschlüsselt Kommunikationen vom Rechner bis zum Server (Ende-zu-Ende-Verschlüsselung). Diese HTTPS-Verschlüsselung entspricht dem in der DSGVO geforderten Stand der Technik und gehört auf jede Website – insbesondere, wenn sich Kontaktformulare auf der Präsenz befinden. Eine Verschlüsselung mittels SSL-Zertifikate erachten wir auch als verpflichtend, wenn Sie einen Online-Shop betreiben oder Kommentare auf Ihrer Website veröffentlicht werden können – also immer dann, wenn personenbezogene Daten verarbeitet werden. Diese Verschlüsselungspflicht ergibt sich nicht nur aus der DSGVO, sondern auch aus § 13 Abs. 7 TMG.

Kontaktformulare rechtssicher gestalten

Kontaktformulare werden verschieden eingesetzt: zur allgemeinen Kontaktaufnahme, zur Newsletter- oder Katalog-Bestellung oder zu konkreten Anfragen. Als Rechtsgrundlage der Datenverarbeitung dürfte hier regelmäßig Ihr berechtigtes Interesse am Verarbeiten dieser Daten gemäß Art. 6 Abs. 1 f) DSGVO überwiegen. Nutzer, die Kontakt zu Ihnen suchen, stellen selbst aktiv diesen Kontakt her, sodass in aller Regel keine gesonderte Einwilligung vonnöten sein wird. Möchten Sie Ihren Newsletter direkt im Kontaktformular anbieten, beachten Sie bitte, dass eine entsprechende Checkbox nicht vorausgefüllt sein darf – der Nutzer muss seine Einwilligung freiwillig und aktiv abgeben.

Weiter gilt das Prinzip der Datenminimierung („Datensparsamkeit“): Fragen Sie nur jene Informationen als Pflichtangaben ab, die zum Bearbeiten der Anfrage tatsächlich notwendig sind. So wäre für einen Newsletter lediglich die E-Mail-Adresse als Pflichtfeld anzugeben, Vor- und Nachnamen braucht es für den Versand nicht. Kennzeichnen Sie Pflichtfelder auch als solche. In der Praxis hat sich ein Sternchen am Pflichteingabefeld etabliert. Für den Newsletter-Versand ist außerdem das Double-Opt-in-Verfahren unabdingbar; weitere Informationen erhalten Sie in unserem Beitrag „Datensparsame Musterlösung für DSGVO-konforme Opt-in-Verfahren“. Verlinken Sie unter Ihrem Kontaktformular auch auf Ihre Datenschutzerklärung.

Cookie-Richtlinie und Cookie-Banner

Cookies, die kleinen Datenpakete, die mal mehr, mal weniger viele Informationen sammeln und speichern, sind ein riesiges Thema auf Websites. Noch ist für Cookies die DSGVO anzuwenden, künftig sollen Rechtsfragen diesbezüglich in der ePrivacy-Verordnung geklärt werden. Sie benötigen also wieder eine Rechtsgrundlage nach DSGVO, auch hier kann das berechtigte Interesse gemäß Art. 6 Abs. 1 f) DSGVO Anwendung finden. Im Falle des berechtigten Interesses Ihrerseits genügt ein Hinweis auf Cookies. Einen Banner mit OK-Button zur Einwilligung benötigen Sie hierbei nicht.

Ohne Einwilligung bzw. wie eben beschrieben mit kleinem Hinweis können Sie nutzerfreundliche Cookies setzen, die primär den Zweck verfolgen, die Website anwendungsfreundlich zu gestalten. Ebenso genügt ein Hinweis für Cookies, die technisch erforderlich sind. Setzen Sie hingegen Cookies zur Analyse Ihrer Website ein, sollten Sie eine Einwilligung einholen. Ausführliche Informationen zu diesem nicht ganz einfachen Thema finden Sie in unserem Beitrag „Cookies & Co.: Tracking Ihrer Seitenbesucher – eine heikle Gradwanderung“.

Auftragsverarbeitungsverträge für erhöhte Transparenz

Auftragsverarbeitungs- oder kurz: AV-Verträge müssen Sie mit Ihren Dienstleistern abschließen, beispielsweise mit Ihrem Hosting-Partner, aber auch mit Analyse-Dienstleistern wie Google Analytics, Cloud-Anbietern, Wartungsdienstleister etc. Jeder Service-Anbieter, der auf Ihr Geheiß hin personenbezogene Daten verarbeitet, ist Ihr Auftragsverarbeiter – und Sie benötigen einen AV-Vertrag. Art. 28 DSGVO verpflichtet Sie zur vertraglichen Ausgestaltung eines AV-Vertrags und zur Kontrolle Ihrer Dienstleister und Service-Anbieter. Machen Sie hier Fehler, drohen Bußgelder – achten Sie also zwingend darauf, dass sich Ihre Dienstleister und Service-Partner an die DSGVO halten.

Das klingt komplizierter und schwieriger als es ist: Suchen Sie sich vorzugsweise europäische Dienstleister, so sind auch diese an die DSGVO gebunden. Viele Service-Anbieter haben bereits vorgefertigte AV-Verträge, die Sie als Service-Nutzer nur noch unterzeichnen brauchen. Achten Sie jedoch darauf, ob der Vertrag Ihren Interessen gerecht wird. Es empfiehlt sich, teilweise Anpassungen vorzunehmen oder den Vertrag doch selbst zu gestalten.

Legen Sie besonderes Augenmerk aufs Haftungsrisiko: Kommt es zu Rechtsverstößen, haften Sie und Ihr Auftragsverarbeiter gegenüber Betroffenen. Bei Fehlern seitens Ihres Dienstleisters können Sie sich vor einer Mithaftung nur schützen, wenn Sie in der Lage sind, nachzuweisen, dass sich der Dienstleister nicht an Ihre Anweisungen hielt und Sie selbst nicht für den Schaden verantwortlich sind – Sie sind in der Beweispflicht! Achten Sie bei der Vertragsgestaltung also zwingend darauf, dass aufgeführt ist, wie die Daten DSGVO-konform verarbeitet werden.

Nutzertracking: Datenschutz-freundliche Webanalyse

Es gibt schier unglaublich viele Anbieter von Webanalyse-Tools; einer der prominentesten Vertreter ist wohl Google Analytics. Diese Tracking-Dienste gestatten es Website-Betreibern, das Verhalten der Besucher zu analysieren. Dabei wird insbesondere über IP-Adressen verfolgt, welche Seiten sich Besucher wie lange angesehen haben.

Details zur DSGVO-konformen und damit rechtssicheren Gestaltung der Webanalyse-Dienste finden Sie im oben bereits verlinkten Beitrag „Cookies & Co.: Tracking Ihrer Seitenbesucher – eine heikle Gradwanderung“. Wir möchten Ihnen jedoch auch die Alternative Matomo vorstellen, die ehemals als Piwik bekannt war. Die Open Source-Webanalytik-Plattform können Sie in der Anbieter-Cloud nutzen oder selbst hosten. Das Self-Hosting bietet Ihnen volle Datenhoheit: Sie allein bestimmen den Umgang mit den Daten. Sie können Matomo rechtssicher anwenden, ohne große Konfigurationen vorzunehmen (können jedoch, wenn Sie möchten, vieles konfigurieren), denn der Dienst erfüllt die Datenschutz-Vorschriften der EU. Alle relevanten Informationen über Matomo sowie eine Anleitung, Google Analytics DSGVO-konform zu konfigurieren, erhalten Sie in unserem Beitrag „Matomo – eine echte Google Analytics-Alternative?“.

Datenschutz für Ihre Firmenwebsite

Die Firmenwebseite DSGVO-konform zu gestalten, mag nach einer Mammut-Aufgabe klingen. Tatsächlich hält sich der laufende Aufwand jedoch sehr in Grenzen: Haben Sie die zu beachtenden Aspekte einmal erstellt bzw. ergänzt und konfiguriert, gilt es lediglich, in festen Intervallen zu überprüfen, ob alles nach wie vor den rechtlichen Anforderungen genügt. Sie erstellen Ihre Datenschutzerklärung also nur einmal und prüfen dann regelmäßig, ob die enthaltenen Bestimmungen nach wie vor dem Recht entsprechen. Dasselbe gilt für Cookies, AV-Verträge, Ihre Kontaktformulare, fürs Tracking sowie für die SSL-Verschlüsselung. Dabei ist es wichtig, bei technischen Änderungen an der Website, z.B. beim Einsatz neuer externer Tools, die Inhalte von entfernten Servern laden oder Cookies setzen, in die Datenschutzhinweise aufzunehmen und ggfs. den Cookie-Banner bzw. das Consent-Management-Tool anzupassen.

Gerade für KMU ist das Einhalten der Regelungen zum Datenschutz und zur IT-Sicherheit nicht einfach, oft fehlt es sowohl an Manpower als auch an finanziellen Mitteln. Dennoch ist Datenschutz für jede Firmenwebsite Pflicht – und, wie erwähnt, nach einmaligem Aufwand auch nicht mehr so schwer zu halten. Machen Sie sich die Mühe und gestalten Sie Ihre Website rechtssicher – zeigen Sie Ihren Website-Besuchern, dass Sie den Datenschutz ernst nehmen. Wie die eingangs erwähnte Studie zeigte, verschaffen Sie sich damit Wettbewerbsvorteile: Ihre Konkurrenz gehört vielleicht noch zu den 41 % der fehlerhaften Seiten, während Sie das Vertrauen Ihrer Nutzer bereits mit Datenschutz und IT-Sicherheit gewonnen haben.

 

Gender-Disclaimer:
Zur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum für Substantive und meinen damit alle natürlichen Personen unabhängig ihres Geschlechts.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert