In unserer täglichen Arbeit begegnen wir immer wieder dem folgenden Fall: Ein Kunde ruft an und erklärt, dass er beispielsweise von einer Web Design Agentur eine neue Webseite erstellen lassen hat. Diese ist nun fertig und er bittet nun die Datenschutzexperten von Wiemer / Arndt darum, die Website im Hinblick auf Datenschutz und Datensicherheit zu prüfen.
Nun ist es so: Der Kunde kommt eigentlich zu spät. Datenschutz ist mehr als der Cookie-Banner und die Datenschutzerklärung. Er steckt vielmehr in jedem kleinen Detail einer Website, angefangen von den technischen Basics bis hin zur Usability. Deshalb ist es ratsam, den Datenschutz bereits in der Planung einer neuen Website mitzudenken.
Die größten Quellen von Datenschutzfehlern auf Websites
Es ist sehr verführerisch: Plugins für die attraktive Gestaltung von Websites oder gängige und nutzerfreundliche Tools sind leicht zu haben und oftmals kostenfrei. Aber sie sind oft nicht datenschutzkonform. Die datenschutzrechtlich korrekten Lösungen sind seltener und somit nicht immer bekannt. Also setzen Website-Gestalter gern auf bewährte Tools, die den Geschmack der Kunden treffen und schließlich auch von allen anderen genutzt werden – was soll da schon passieren?
Damit setzen sich Unternehmen jedoch – oftmals unwissend – einem großen Risiko aus. Plugins, die personenbezogene Daten speichern und an Dritte versenden, verstoßen gegen die DSGVO, insofern der User der Datenverarbeitung nicht zugestimmt hat. Ungefragt Analyse-Tools für Online Marketing-Zwecke zu aktivieren, kann deshalb schwerwiegende Konsequenzen haben.
Wahl des Servers: Wo gehen die Daten hin?
Bereits die Wahl des Servers, über die eine Website erreichbar sein soll, ist datenschutzrechtlich wichtig. Hat der Server-Anbieter seinen Hauptsitz in Europa oder einem Drittland? Wurde im Falle letzteres bereits eine Vereinbarung gemäß der EU-Standardvertragsklausel getroffen? Wo stehen die Server?
Mit dem Ende des Privacy Shield-Abkommens ist es aktuell besonders wichtig, wo Dienstleister ihren Sitz haben, da in Drittländern die DSGVO nicht gilt und es im Moment keine rechtsgültigen Vereinbarungen zwischen Europa und Drittländern wie den USA gibt.
ShapeMinds Plugins zur Website-Gestaltung: Wie und wo werden Daten verarbeitet?
Wenn Kunden einer Agentur eine neue Website bestellen, äußern sie zumeist ihre Wünsche hinsichtlich der Funktionalitäten, der Usability und der Gestaltung. Diese Vorgaben sind maßgeblich für die Agentur, die zumeist Plugins einsetzt, um allen Wünschen gerecht zu werden.
Oftmals stellt sich dann bei einem Datenschutz Web Audit heraus, dass die verwendeten Plugins nicht datenschutzkonform sind. Die ausführende Agentur trifft dabei keine Schuld, wenn im Briefing nicht festgehalten wurde, dass alle technischen Lösungen mit der DSGVO konform gehen müssen.
Social Media: Wer bekommt die Daten von Website-Besuchern?
Ein Großteil der Websites sind heute mit Social Media Kanälen wie Facebook, Instagram oder LinkedIn verbunden. Einerseits können Website-Besucher über spezielle Buttons schnell auf die jeweiligen Social Media Profile des Unternehmens gelangen. Zum anderen können Beiträge in Online-Magazinen oder Blogs geliked oder geteilt werden.
Auch hierfür werden Plugins genutzt, die nicht immer datenschutzkonform funktionieren. Oft führen sie Nutzerdaten von Website-Besuchern an Dritte ab, speichern Daten unbemerkt ab und erfassen so Daten ohne die Einwilligung des Nutzers.
Kommentarfunktionen: Wer liest mit?
Selbst die Kommentarleiste kann der Gegenstand einer Datenschutzverletzung sein. Bei Baukastensystemen wie WordPress wird standardmäßig die vollständige IP-Adresse von Nutzern gespeichert. Das muss einem User mitgeteilt werden oder es muss eine Lösung geschaffen werden, um die Speicherung zu verhindern – wenn es für den jeweiligen Website-Betreiber sinnvoll ist. Hier kommt es auf den individuellen Fall an, den nur Datenschutzexperten korrekt bewerten können.
Kontaktformulare: Wie sicher sind sensible Daten?
Eine weitere Datenschutzfalle können Kontaktformulare sein. Hier gilt wie an anderen Stellen das Prinzip der Datenminimierung: Welche Daten müssen abgefragt werden, um das Anliegen des Kontaktsuchenden zu bearbeiten? Schwierig wird es, wenn sensible, personenbezogene Daten über ein solches Formular verschickt werden sollen.
Ein besonders risikoreiches Beispiel ist eine Bewerberseite, auf der Bewerbungen per Formular eingeschickt werden können. Hier ist neben Fragen zur Datenerhebung und -speicherung auch die Verschlüsselung ein wichtiges To Do.
Kontaktieren Sie uns!
Denken Sie den Datenschutz von Beginn an mit
Was also nun tun, wenn die Website bereit zum Launch ist, sich durch das Datenschutz Web Audit jedoch schwerwiegende Datenschutzfehler aufgetan haben? Dann muss die Website nachgebessert werden. Ist die technische Basis betroffen, können weitreichende, auch gestalterische Änderungen notwendig werden. Das kostet unseren Kunden Geld und Zeit, beides wäre vermeidbar gewesen.
Deshalb empfehlen wir: Denken Sie bei der Planung einer Website, des Webshops oder auch einer Software den Datenschutz von Beginn an mit. Arbeiten Sie mit einer Agentur zusammen, dann machen Sie datenschutzkonforme Lösungen im Briefing zu einem absoluten Must-have.
Auch Wiemer / Arndt bietet die Website-Erstellung an. Vom technischen Aufsetzen bis hin zur Gestaltung übernehmen wir gern und der Vorteil ist enorm: Der Datenschutz wird durch unsere Datenschutzexperten von Beginn an mitgedacht, so dass keine aufwändigen und teuren Nacharbeiten notwendig werden. Außerdem schließen wir Auftragsverarbeitungsverträgen / Standardvertragsklauseln mit den für das Projekt erforderlichen und durch Wiemer / Arndt beauftragten Subunternehmen ab.
Kontaktieren Sie uns!