+49 (0) 52 07 / 515 88 18

DSGVO Homepage Fehler

Die häufigsten Fehler auf Homepages in Bezug auf die Datenschutzgrundverordnung (DSGVO)

Im täglichen Einsatz bei der Homepage Erstellung sowie auch der permanenten Pflege, auch was das Content Marketing anbelangt, trifft man immer wieder auf die klassischen kleineren oder größeren Irrtümer und Fehler. Dieser Beitrag soll eine Übersicht geben was wir alles gefunden haben in den letzten Monaten, was den Datenschutz der Homepage Besucher gefährdet.

Keine oder alte Datenschutzerklärung

Problematik

Da sich die Regeln beim Datenschutz nun am 25.5.2018 endgültig geändert haben sind jetzt andere Dinge zu berücksichtigen oder Dinge anders zu berücksichtigen als vorher. Die Homeage Besucher sollen jetzt anders und exakter über den Gebrauch der personenbezogenen Daten informiert werden.

Handlungsbedarf

akut

Es ist nicht auszuschließen, dass die Homepage von Mitbewerbern, Abmahn-Anwälten und -Vereinen untersucht wird und dann ins Fadenkreuz gerät.

Maßnahme

Wer eine nicht DSGVO konforme Datenschutzerklärung hat, der sollte die Homepage abschalten und die Homepage an die Bedürnisse anpassen. Nachdem alle technischen und organisatorischen Dinge geregelt wurden kann man eine neue Datenschutzerklärung erstellen lassen und diese dann in die Homepage einbinden und an den notwendigen Stellen verlinken.

Daten (IP-Adresse, Verhalten) werden unerkannt an Drittanbieter gesendet

Problematik

Neben den großen Datenkraken wie Google Analytics oder Facebook ist es auch möglich, dass andere Drittanbieter, deren Kernkompetenz auf dem ersten Blick eben nicht die Datensammlung zu sein scheint, unerkannt Daten erhalten. Dies können zum Beispiel Anbieter kostenloser Dienste sein wie jQuery, FontAwesome, Cloudflare aber auch Google WebFonts. Wenn diese Dienste in der Homepage von deren Servern genutzt werden, dann erhalten die auch Daten der Besucher, und zwar die IP Adresse des Besuchers und in dem Zusammenhang die Klickhistorie.

Handlungsbedarf

akut

Es ist nicht auszuschließen, dass die Homepage von Mitbewerbern, Abmahn-Anwälten und -Vereinen untersucht wird und dann ins Fadenkreuz gerät.

Maßnahme

Sicher 1

Viele solcher Dienste (zB FontAwesome, jQuery) können auch lokal auf dem eigenen Server hinterlegt werden, sodass diese dann keine Daten nach Hause schicken.

Sicher 2

Es ist ggf. technisch möglich die Dienste erst im Quelltext aufzunehmen, wenn der Besucher die Datenschutzerklärung per Checkbox akzeptiert hat, ähnlich wie bei einem expliziten Cookie Hinweis.

Weniger Sicher

Man kann diesen Sachverhalt auch in die Datenschutzerklärung aufnehmen und jeden Besucher offensiv und deutlich auf die Datenschutzerklärung hinweisen, allerdings erscheint es umstritten, ob diese Maßnahme ausreicht.

Daten werden unverschlüsselt übertragen

Problematik

Formulare fragen oftmals Daten ab, die direkt personenbezogen sind. Dazu zählen zum Beispiel Namen, eMail Adressen, Geburtstage, Adressen und viele andere Informationen. Solche Daten können in einem Formular grundsätzlich unverschlüsselt und somit für technisch versierte Interessierte gegebenenfalls auslesbar sein.

Handlungsbedarf

akut

Es ist nicht auszuschließen, dass die Homepage von Mitbewerbern, Abmahn-Anwälten und -Vereinen untersucht wird und dann ins Fadenkreuz gerät.

Maßnahme

Die gesamte Homepage sollte auf SSL umgestellt werden, damit die Homepage nur via https aufrufbar ist. Die meisten Webspace Provider bieten dazu einfache kostengünstige Lösungen an.

Aber wichtig:

Es ist sicherzustellen, dass die Seiten nicht sowohl via http als auch https aufrufbar sind sondern nur via https. Dazu ist ggf. (geringer) zusätzlicher technischer Aufwand nötig.

Formular wird ohne Akzeptanz der Datenschutzerklärung abgeschickt

Problematik

Wer auf einer Homepage ein Formular anbietet und dem Besucher die Möglichkeit gibt es auszufüllen und abzusenden, der ist auch verantwortlich dafür sicherzustellen, dass der Besucher darüber Bescheid weiß, wie mit den Daten umgegangen wird. Alleine die Benutzung des Formulars bedeutet nicht, dass der Besucher damit einverstanden ist was in der Datenschutzerklärung steht. Man kann nicht sicher sein, dass er sie überhaupt gelesen hat.

Handlungsbedarf

akut

Es ist nicht auszuschließen, dass die Homepage von Mitbewerbern, Abmahn-Anwälten und -Vereinen untersucht wird und dann ins Fadenkreuz gerät.

Maßnahme

Bei jedem Formular, das personenbezogene Daten übermittelt, und sei es auch nur eine einfache eMail Adresse, sollte explizit abgefragt werden, ob der Besucher die Datenschutzerklärung gelesen hat und auch akzeptiert. Dies kann technisch mit einer zusätzlichen Checkbox realisiert werden sowie einem entsprechenden Einverständnis und einem Link zur Datenschutzerklärung.

Cookies werden gesetzt, Besucher werden garnicht oder falsch informiert oder gar falsch behandelt

Problematik

Wenn Cookies gesetzt werden, um personenbezogene Daten zu erfassen oder diese zu profilieren, wie zum Beispiel Nutzerverhalten damit zusammenzuführen, dann soll der Besucher darüber informiert werden und es kann auch sein, dass man dem Besucher auch die Möglichkeit der Wahl geben muss. Oftmals werden dazu Cookie Hinweise geschaltet, die man dann mit Ok bestätigen kann. Hier kommt es auf die Formulierung des Hinweises und die technische Realisierung an.

Handlungsbedarf

akut

Es ist nicht auszuschließen, dass die Homepage von Mitbewerbern, Abmahn-Anwälten und -Vereinen untersucht wird und dann ins Fadenkreuz gerät.

Maßnahme

Wer auf solche Cookies angewiesen ist, der muss sich um die korrekte Implementierung kümmern. Bestenfalls bietet man dem Besucher die Möglichkeit der expliziten Zustimmung via Checkbox mit Datenschuzverweis an und setzt die Cookies erst nach Zustimmung. Wer auf Cookies und die damit verbundene Datenerhebung verzichten kann, weil er die Daten eh nicht sinnvoll nutzt, der sollte auch auf Cookies verzichten.

Fehlender Vertrag zur Auftragsdatenverarbeitung mit dem Webspace Provider und dem Webdesigner

Problematik

Die DSGVO will, dass der Unternehmer seine Dienstleister gewissenhaft auswählt. Er dokumentiert seine Bemühungen auch dadurch, dass er mit den Dienstleistern, die unter Umständen personenbezogene Daten erhalten könnten, indem er mit Ihnen einen Vertrag zur Auftragsverarbeitung abschließt und von Ihnen so verlangt, dass die Dienstleister ebenfalls verantwortungsbewusst mit den Daten umgehen. Auch Webspace Provider und externe Webdesigner sind solche Dienstleister.

Handlungsbedarf

akut

Außenstehende werden nur schwer erkennen können, ob solch ein Vertrag besteht. Das entbindet aber nicht von der Pflicht einen abzuschließen, denn auch Datenschutz-Behörden können danach fragen.

Maßnahme

Mit allen Dienstleistern sollten entsprechende Verträge abgeschlossen werden, die die Verhältnisse sauber und eindeutig klären. Professionelle Webspace Provider und Internet Agenturen sollten Vorlagen dazu parat haben.

Hinweis

Die DSGVO regelt die Verarbeitung von personenbezogenen Daten. Das hat selbstverständlich auch Auswirkungen auf die Webpräsenzen von Unternehmen.

Es sollen u.a. die Grundsätze der Richtigkeit, Speicherbegrenzung, Rechenschaftspflicht, Vertraulichkeit, Integrität, Transparenz, Treu und Glauben sowie Rechtmäßigkeit gelten.

Es wird die künftige Rechtsprechung noch für Klarheit im Detail sorgen müssen, denn leider gibt es (noch) keine Umsetzungsvorschriften.

Unser Verständnis von der Datenschutzgrundverordnung (DSGVO) sowie umfangreiche Recherchen zu Umsetzungsempfehlungen verschiedener Experten sowohl mit juristischer als auch Online Expertise bilden unsere Erkenntnisse zu dem Thema, die wir nach bestem Wissen und Gewissen gerne als Basis unserer Maßnahmen und Empfehlungen bei unseren Kunden als auch unseren eigenen Homepage Projekten anwenden.

Trotzdem: Da wir keine Juristen sind stellen all unsere Maßnahmen und Empfehlungen sowie Umsetzungsvorschläge keine Rechtsberatung dar und sie können diese auch nicht ersetzen. Sollten Sie also Zweifel haben, dann wenden Sie sich bitte an einen Rechtsanwalt. Verantwortlich für die Einhaltung der DSGVO bleiben die Unternehmensvertreter, die Unternehmensverantwortlichen.