Achtung – DSGVO ist nicht nur eine Cookie-Notification!

0

Die DSGVO-Schonfrist ist bereits eine Weile abgelaufen. Doch hast du als Website-Betreiber beim DSGVO-Frühlingsputz an wirklich alles gedacht?

Seit dem 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (nachfolgend DSGVO) im Einsatz. Mit ihr wird per sofort der rechtmässige Umgang mit personenbezogenen Daten von EU-Bürgern reguliert. Insbesondere Website-Besitzer sind von der verschärften Regulierung stark betroffen. Auch Schweizer Website-Betreiber, die sensible Daten von EU-Nutzern verarbeiten, müssen ihre Site den neuen Datenschutzstandards anpassen. Nebst der Überarbeitung der allgemeinen Datenschutzrichtlinien, der Anpassung der Newsletter-Anmeldung auf ein «Double-Opt-In-Verfahren» und der Integration einer Cookie-Notification auf der Website, war auch die schriftliche Festhaltung des detaillierten Datenverarbeitungs-prozesses auf der Website Teil zwingenden Vorgaben der DSGVO. Doch damit ist es noch nicht getan… 

Doch zuallererst noch eine kurze Auffrischung der Basics: Die DSGVO regelt den Umgang mit personenbezogenen Daten von EU-Bürgern. Zu solchen Daten zählen sämtliche Informationen, mit welchen eine Person direkt oder indirekt identifiziert werden kann; beispielsweise Name, Foto, Telefonnummer oder Adresse, aber auch Benutzernamen, Profilbild, IP-Adresse sowie Cookie-ID. Bei der Bearbeitung solcher Daten kommen die Grundprinzipien der Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicher(zeit)begrenzung, Integrität und Vertraulichkeit, sowie der Rechenschaftspflicht zum Tragen. Sobald personenbezogene Daten gespeichert oder verarbeitet werden, bedarf es vorher einer ausdrücklichen Erlaubnis der betroffenen Person. Sie muss in Kenntnis darüber gesetzt werden, wie lange und weshalb, welche Daten gespeichert werden. Bei der Erhebung sollten sich Website-Betreiber zudem auf die wirklich notwendigen Informationen beschränken. Werden Daten nicht mehr gebraucht, müssen diese umgehend gelöscht werden. Neu stehen Unternehmen zudem unter Nachweispflicht und sind gezwungen, jederzeit aufzeigen zu können, dass die Verarbeitung von Personendaten rechtmässig vonstattengeht. 

Die neue Regulierung betrifft jeden, der Daten von Personen sammelt und verarbeitet. In Zeiten von Google Analytics und Facebook Pixel ist nahezu jeder Webauftritt betroffen – grosse Unternehmen, KMU, Selbständige, aber auch Vereine, Betreiber von kleinen Websites oder Blogs wie unseren. Dies klingt soweit alles logisch, oder? Hast du deine Hausaufgaben gemacht und besteht deine Website den Praxis-Test? Wir haben dir Datenschutzlücken zusammengetragen, an die du bei der Erfüllung einer Datenschutzkonformen Website vielleicht noch nicht gedacht hast.

Anonymisierte IP-Adresse

Zahlreiche Website-Betreiber analysieren das Nutzerverhalten der Website-Besucher mittels Google Analytics. Dabei sammelt das Analyse-Tool jeweils die IP-Adresse der Besucher. Die Einholung einer Einwilligung für die Speicherung dieser Information ist in der Praxis nur schwer umsetzbar. Dies kannst du umgehen, indem du einen «anonymizeIP»-Befehl im Quellcode deiner Website integrierst. Auf diese Weise ist kein Personenbezug mehr möglich. Zusätzlich solltest du die Website-Besucher in den Datenschutzrichtlinien über die Verwendung eines solchen Tools informieren und die Möglichkeit bieten, einer Datensammlung durch das Analysetool mittels einer sogenannten «Opt-Out-Option» zu widersprechen.

Social-Media-Plug-Ins und Embedded Content

Obschon Social-Media-Links auf unzähligen Websites integriert und zum gewohnten Erscheinungsbild jeder Webseite gehören, sind diese noch lange nicht von der DSGVO ausgeschlossen. Sobald auf einer Website ein Social-Media-Plug-In eingebettet ist, sammelt dieser Dienst unbemerkt Daten über den Website-Besucher. Da du vermutlich nicht auf die Verlinkung deiner Social-Media-Plattformen verzichten möchtest, gibt es Plug-Ins wie beispielsweise «Shariff», welche User vor diesen unbemerkten «Spionen» schützen. Vorteil eines solchen Plug-Ins ist, dass die Daten erst übertragen werden, wenn ein User den Link bewusst aktiv anklickt und nicht bereits beim direkten Seitenaufruf. 

Dieselbe Problematik entsteht übrigens auch bei der Einbettung von YouTube-Videos. YouTube bietet hier jedoch selbst Abhilfe: Du kannst Videos auch mit einem «Erweiterten Datenschutzmodus» integrieren.

SSL-Verschlüsselung

Um die Sicherheit der personenbezogenen Daten auf einer Website gewährleisten zu können, fordert die DSGVO, dass alle Websites mittels SSL-Zertifikat verschlüsselt werden. Ein SSL-Zertifikat verschlüsselt die Kommunikation zwischen dem Computer des Nutzers und dem Server. Ob eine Website bereits verschlüsselt ist, erkennst du daran, dass die URL mit «https://» beginnt. In vielen Browsern wird zudem vor der URL-Leiste ein Schloss angezeigt.

Kommentarfunktion

Obwohl User Kommentare freiwillig auf deiner Website hinterlassen, müssen sie informiert werden, dass ihre Daten dabei gespeichert werden. Sicher ist sicher. Ergänze die Kommentarfunktion mit einem Link zu den Datenschutzbestimmungen und einer Checkbox, damit der Benutzer vor dem Absenden des Formulars aktiv der Datenerhebung zustimmen kann. Diese Einverständnis-Erklärungen musst du zwingend protokollieren und archivieren – wir erinnern uns an die «Rechenschaftspflicht»…

Google Font

Du hast richtig gelesen – auch die auf der Website eingesetzten Schriftarten müssen bei den DSGVO-Überarbeitungen berücksichtigt werden. Unbedingt sogar, denn diesbezüglich wurden bereits erste Abmahnungen versendet. Falls du auf deiner Website die weitverbreiteten Google Fonts einsetzt, läufst du Gefahr, dass du dem Internetgiganten die IP-Adresse deiner Besucher weiterleitest. Doch keine Angst, du musst dir keine neue Webschrift suchen. Transferiere den Font lediglich vom Google Server auf deinen eignen Webserver. Problem gelöst.

Mit den erwähnten Anpassungen bist du dem Ziel einer rechtskonformen Website schon deutlich näher. Aber bitte beachte jedoch, dass grundsätzlich jede Website individuell zu betrachten ist. Dieser Blog stellt keine Rechtsberatung dar und dient vielmehr als Gedankenanstoss. 

P.S.: Falls dich digitale Themen im Allgemein interessieren, freuen wir uns über einen neuen Newsletter-Abonnenten
P.P.S.: Selbstverständlich DSGVO-konform jederzeit abmeldbar. 🙂


Quelle

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB. (Mai 2018). Die EU-Datenschutzgrundverordnung und ihre Auswirkungen auf die Schweiz. Schweiz.

Siebert, S. (1. Juni 2018). Achtung: Die ersten DSGVO-Abmahnungen sind da. Von e-Recht24 Website: https://www.e-recht24.de/news/datenschutz/10933-achtung-die-ersten-dsgvo-abmahnungen-sind-da.html abgerufen

Solmecke, C., & Sibel, K. (2018). DSGVO für Website-Betreiber. Ihr Leitfaden für die Sichere Umsetzung der EU-Datenschutzverordnung. Bonn, D: Rheinwerk Verlag GmbH.

Teilen in

About Author

Masterstudentin Msc Business Administration, Online Business & Marketing

Leave A Reply