Ob mittelständisches Unternehmen, Freiberufler oder der kleine Online-Shop für Kreatives: Ohne eine Website ist ein erfolgreiches Business kaum noch möglich – und dann sollte der Datenschutz nicht fehlen. Wer eine neue Website aufsetzt, sollte von Beginn an alle wichtigen Schritte durchführen, die eine Website datenschutzkonform machen. Lernen Sie hier die wichtigsten Regeln für eine DSGVO-konforme Websitestruktur kennen.
Datenschutzkonforme Plugins verwenden
Auf Webseiten funktionieren Plugins als Erweiterung, um bestehende Websites zu individualisieren oder um Funktionen zu erweitern. Bei der Auswahl von Plugins muss jedoch der Datenschutz Beachtung finden: Neben harmlosen Plugins gibt es auch solche, die nicht datenschutzkonform arbeiten.
- Social-Media-Plugins: In Blogs ermöglichen solche Plugins das Liken von Beiträgen und das Teilen der Beiträge in sozialen Netzwerken. Solche Anwendungen arbeiten jedoch selten datenschutzkonform: Durch die Einbindung des Plugins kann das Social-Media-Netzwerk über eine Schnittstelle die Daten der jeweiligen Seitenbesucher erheben – um welche Daten es sich handelt und in welchem Umfang sie erhoben werden, ist dabei nicht klar. Besucht jemand die Website, werden Daten erhoben – ohne dass der jeweilige Social-Media-Button zuvor überhaupt aktiviert wurde. Es gibt jedoch datenschutzkonforme Lösungen, wobei das Shariff-Plugin die beliebteste ist.
- Kontaktformulare: In solchen Formularen werden zumeist sensible Daten wie Name und (eMail-) Adresse und / oder Telefonnummer übermittelt. Je nachdem, welches Plugin hierfür genutzt wird, kann es zu Schwierigkeiten im Datenschutz kommen. Das ist zum Beispiel der Fall, wenn die übermittelten Daten auch an Dritte, wie den Plugin-Anbieter, übermittelt werden.
- Kommentarfunktion: Auch beim Kommentieren eines Beitrags werden Daten wie etwa die IP-Adresse übermittelt. Um den Datenschutz zu wahren, kann das Speichern der IP-Adresse unterdrückt werden. Ist die aus besonderen Gründen nicht gewollt und möchten Sie die IP-Adresse speichern, muss die Nutzerin bzw. der Nutzer darüber informiert werden. Mit einer Opt-Out-Funktion kann derjenige selbst entscheiden, ob seine IP-Adresse gespeichert wird.
- Anti-Spam-Plugins: Um Spam von immer denselben IP-Adressen herauszufiltern, wird die IP-Adresse verarbeitet. Nicht zulässige Plugins senden die IP-Adressen an externe Server, über die festgestellt wird, ob es sich um Spam handelt. Das ist nicht datenschutzkonform und muss deshalb verhindert werden. Eine Lösung ist ein Anti-Spam-Plugin, das die IP-Adresse vor der Verarbeitung und Spam-Prüfung verschlüsselt.
Analysetools: Datenschutz geht vor
Vor allem wer über Websites und Online-Shops Produkte und Dienstleistungen verkauft, muss diese auch analysieren: Wie viele Besucherinnen und Besucher hat die Website? Nach was suchen sie, wenn sie auf die Website gelangen – und über welche Unterseiten gelangen sie auf die Website? Über Analyse-Tools können solche Fragen beantwortet werden, jedoch gibt es in Sachen Datenschutz einiges zu beachten.
Zu den wichtigsten Regeln für ein datenschutzkonformes Einbinden solcher Analyse-Tools gehört das Anwenden der „Opt-Out“-Funktion. Besucherinnen und Besucher einer Website müssen nicht nur über das Erheben von Daten über Analyse-Tools informiert werden – sie müssen diese auch abwählen können. Das geschieht durch die „Opt-Out“-Funktion, mit der Nutzerinnen und Nutzer der Datenerhebung widersprechen können. Wählen sie diese Option, wird die jeweilige IP-Adresse anonymisiert. Es müssen alle notwendigen Maßnahmen getroffen werden, um IP-Adressen nur anonymisiert zu erheben.
SSL-Zertifikat: Verschlüsseln Sie Daten
Eine weitere Möglichkeit, Websites sicher zu gestalten, ist das Secure-Socket-Layer (SSL)-Zertifikat. Hierbei handelt es sich um einen Weg, Daten zwischen der Nutzerin bzw. dem Nutzer und dem Website-Server zu verschlüsseln. Es wird eine sichere Verbindung hergestellt, die zum Beispiel vor Hacks schützt.
Tipp: Sie erkennen SSL-verschlüsselte Websites an dem Präfix der URL. Herkömmliche Websites beginnen mit dem Präfix „http“, verschlüsselte Seiten mit „https“.
Ein solches SSL-Zertifikat empfiehlt sich vor allem für Online-Shops, Foren oder andere Websites, auf der sensible Daten erhoben werden.
ShapeMinds
Das Herz des Datenschutzes: Die Datenschutzerklärung
Alle oben genannten Anforderungen an eine datenschutzkonforme Website laufen in einer Datenschutzerklärung zusammen. Hier erhalten Nutzerinnen und Nutzer der Website alle notwendigen Informationen zur Erhebung, Verarbeitung und Speicherung von Daten. Sie verwenden Analyse-Tools? Dann müssen alle Informationen über die Funktion des jeweiligen Tools, die Art der Datenerhebung und der Speicherung in einer Datenschutzerklärung zu finden sein. Dasselbe gilt für alle weiteren Plugins, die aktiviert sind sowie alle Funktionen, über die Daten auf einer Website erhoben werden. Zudem müssen Nutzerinnen und Nutzer über ihre Betroffenenrechte informiert werden. Es muss deutlich werden, dass sie im Hinblick auf ihre persönlichen Daten ein Anrecht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit haben.
Da keine Website einer anderen im Detail gleicht, muss eine Datenschutzerklärung immer auf individuelle Gegebenheiten angepasst werden.
Folgen von fehlendem Datenschutz
Ein fehlender Datenschutz ist vor allem für die gewerbliche Nutzung einer Website ein hohes Risiko. Werden Sicherheitslücken und Verstoße gegen die DSGVO erkannt, darf die Konkurrenz Sie kostenpflichtig abmahnen. Fehlender Datenschutz wird im gewerblichen Bereich als Wettbewerbsverstoß betrachtet. Deshalb ergeht in diesem Fall oftmals auch eine Aufforderung zur Unterzeichnung einer strafbewährten Unterlassungserklärung, außerdem müssen die Abmahnkosten übernommen werden. Auch private Website-Betreiber können bei Verstößen gegen das Datenschutzrecht abgemahnt werden.
Kontaktieren Sie uns!