BDSG und DSGVO Checkliste – Datenschutzpraxis für die Webseite

Diese Checkliste stellt keine Rechtsberatung dar. Sie soll grundsätzlich aufzeigen, wie eine Webseite auch in Eigenregie datenschutzkonform gestaltet werden kann. Die angesprochenen Themen sind weder abschließend noch können die genannten Lösungsansätze die Konsultation eines Datenschutzbeauftragten ersetzen. Eine Gewähr auf Rechtssicherheit und Vollständigkeit ist ausdrücklich nicht gegeben.

1. HTTPS Protokoll

Im Spätsommer 2020 treffen wir immer noch Webseiten an, die entweder nicht von HTTP auf HTTPS weiterleiten oder überhaupt gar keine Verschlüsselung anbieten. Sorgen Sie dafür, dass Ihre Webseite ausschließlich über HTTPS ausliefert und empfängt. Richten Sie wenn nötig eine dauerhafte Weiterleitung von HTTP auf HTTPS für alle Webinhalte ein. Die meisten Webhoster bieten zudem zum Webspace mit Domain auch immer mindestens ein kostenfreies SSL-Zertifikat an, das mit wenigen Klicks eingerichtet ist.

2. Rechtskonforme Datenschutzerklärung

Es gibt eine Menge an frei zugänglichen Konfiguratoren, die mit wenigen Klicks und Eingaben eine rechtskonforme Datenschutzerklärung generieren. Diese Möglichkeit können Sie selbstverständlich nutzen. Ziel ist eine Datenschutzerklärung, die im Ergebnis die tatsächlichen technischen und sachlichen Gegebenheiten Ihrer Webseite in möglichst verständlicher Form für Ihre Nutzer wiedergibt. Nehmen Sie sich die Zeit alle Angaben sorgfältig vorzunehmen und die verfügbaren Optionen auf Sie passend auszuwählen. Achten Sie bei der Einbindung der Datenschutzerklärung in Ihre Webseite darauf, dass die Datenschutzerklärung von jeder anderen Seite Ihres Internetangebots aus als eigenständige Seite erreichbar und die Verlinkung immer klar ersichtlich ist. Verwenden Sie als Linktext entweder das Wort „Datenschutz“ oder „Datenschutzerklärung“. Bei mehrsprachigen Webseiten bzw. bei Webseiten, deren Angebot sich an ein internationales Publikum richtet, sollte die Datenschutzerklärung darüber hinaus zumindest auch in englischer Sprache zur Verfügung stehen.

3. Cookies

Grob vereinfacht unterscheiden wir zwei Kategorien von Cookies:

3.1. Eigene Cookies

Als „Eigene Cookies“ sind solche Cookies gemeint, die von Funktionen und Programmen direkt aus Ihrer Webseite heraus beim Nutzer gesetzt werden. Hier unterscheiden wir nochmals zwischen zwei Arten von eigenen Cookies:

3.1.1. Essential Cookies: Die systemseitig notwendigen Cookies

Das System oder essentielle Komponenten der Webseite sind ohne diese Cookies für den Nutzer nicht mehr lauffähig oder abrufbar. Dieses kann auf Benutzerebene zum Beispiel ein durch Login gesicherter Bereich eines Onlineshops oder eine CSRF Absicherung sein. Eine Vorab-Erlaubnis zum Setzen von Essential Cookies ist Stand heute per se nicht notwendig, ihre Verwendung gehört aber dem Nutzer gegenüber klar und deutlich ausgewiesen (z.B. im Konsens-Manager oder in der Datenschutzerklärung).

3.1.2. Nicht essentielle Cookies

Das Gesamtsystem und alle essentiellen, für die Nutzung des Webangebots notwendigen Komponenten sind ohne das Setzen solcher Cookies auch weiterhin uneingeschränkt für den Nutzer lauffähig. Dieses betrifft als Beispiel auf unserer Domain raistech.de das durch uns verwendete Analytics-Tool. Nicht essentielle Cookies sollten ebenso wie alle externen Cookies nicht ohne Zustimmung Ihrer Nutzer gesetzt werden. Siehe hierzu auch den nachfolgenden Absatz.

3.2. Externe Cookies

Auf keinen Fall gehören Elemente, die externe Cookies beim Nutzer setzen, ohne ausdrückliche Genehmigung Ihrer Internetuser „einfach so“ in den HTML Quelltext eingebunden – auch dann nicht, wenn IP-Adressen von dem externen Anbieter gemäß eigenen Angaben anonymisiert werden. Wir raten auch dringend davon ab, mittels eines einfachen Cookie-Hinweises den Internetnutzer ohne vorherige Zustimmung auf die Verwendung der externen Cookies einfach nur hinzuweisen. Nutzen Sie besser einen der zahlreichen Konsens-Manager, die Ihnen zum gegenwärtigen Zeitpunkt eine ungleich höhere Rechtssicherheit und in vielen Fällen eine Dokumentation des Userkonsens bieten können. Aber auch hier kann sich der Hund in den Schwanz beißen, denn häufig stellt ein solcher „Konsens-Manager“ selbst einen „externen Inhalt“ dar und Sie müssen weitere Fallstricke beachten. Wir haben vor einiger Zeit eine quelloffene Lösung entwickelt, die Ihnen insbesondere im Zusammenwirken von Marketingmaßnahmen und Tracking eine ausgezeichnete und pseudonymisierte Software inklusive Konsens-Erfassung anbietet und die Sie selbst hosten können, sprechen Sie uns gerne an. Auch gibt es einige auf Konsens spezialisierte Plugins für WordPress und Co., die Ihnen diesen klaren Voteil bieten. Mit einer selbst gehosteten Lösung behalten Sie als Diensteanbieter in jedem Fall den ausschließlichen Datenzugriff und sind damit zum gegenwärtigen Zeitpunkt auf der sicheren Seite. Wie Sie sich die Cookies, die über Ihre Webseite bei Ihren Nutzern gesetzt werden anzeigen lassen, können Sie im folgenden Beitrag erfahren: Cookies anzeigen lassen.

4. Externe Webseitenelemente

Es gibt eine Menge nützlicher Dinge für den Webmaster. Beispielsweise JavaScript Bibliotheken, Schriftarten und CSS-Frameworks. Diese könnten in den meisten Fällen, was aus technischer Sicht auch absolut sinnvoll erscheint, direkt vom Server des Diensteanbieters oder über so genannte CDNs eingebunden werden. Sie als Webmaster sollten solche Tools ohne Erlaubnis Ihrer User trotz aller offensichtlichen Vorteile aber nicht einfach aus den externer Quelle in Ihre Webseite einbinden. Ansonsten leiten Sie als Diensteanbieter den Datenverkehr Ihrer Internetnutzer ohne deren Mitwissen oder Zustimmung auf diese externe Dienste weiter, was zwangsläufig zur Weitergabe von personenbezogenen Daten führt. Die einfachste Lösung ist, die gewünschten Inhalte beim Anbieter herunterzuladen und direkt über den eigenen Webserver zur Verfügung zu stellen. Auch gibt es die Möglichkeit einen „Proxy“ für solche Inhalte einzurichten. Am aufwändigsten und unpraktikabelsten erscheint wohl die explizite Einholung der Erlaubnis Ihrer Webuser für jedes einzelne Element. Diese Entscheidung liegt aber letztendlich bei Ihnen.

5. Externe Dienste und Widgets

Der vorhergehende Absatz ist eins zu eins auf externe Dienste wie Maps, Videos, Social Media Widgets und so weiter übertragbar. Eine Einbindung ohne Nutzerzustimmung ist aus unserer Sicht nicht datenschutzkonform und sollte daher vermieden, selbst gehostet oder mittels Konsens durch den Internetnutzer selbst aktivierbar bzw. deaktivierbar sein.

6. Datenerfassung

Sie sollten bei jedem Vorgang, der Daten erfasst, mittels einer „Checkbox“ von Ihren Usern die Einwilligung für den jeweiligen Zweck der Datenerfassung und -verarbeitung sowie die Kenntnisnahme des Widerrufrechts zur Datennutzung abfragen und dokumentieren. Eine solche Formulierung könnte am Beispiel eines Kontaktformulars wie folgt lauten:

Ich willige in die Verarbeitung meiner personenbezogenen Daten zum Zweck der Kontaktaufnahme ein.
Über mein Widerrufsrecht bin ich informiert und kann jederzeit davon Gebrauch machen“

Auch raten wir dazu, noch vor dem „Absende Button“ eindeutig auf die Datenschutzerklärung hinzuweisen und diese entsprechend zu verlinken.

7. Systemsicherheit

Wer im Internet persönliche Daten erfasst und/oder verarbeitet, der bewegt sich mit ungenügenden Systemeinstellungen oder veralteten Komponenten auf sehr dünnem Eis. Die Aufsichtsbehörden sind nicht besonders verständnisvoll bei Datenpannen aufgrund fehlerhafter Systemsicherheit. Sparen Sie, egal ob Zeit oder Geld, hier nicht an der falschen Stelle und sorgen Sie für eine sichere Systemumgebung. Halten Sie Ihre Systeme auf dem Laufenden und nutzen Sie die aktuellen Verschlüsselungstechniken.

8. Backups

Ihre User haben einen rechtlichen Anspruch auf die Sicherheit ihrer personenbezogenen Daten, die sie Ihnen als Diensteanbieter anvertraut haben. Dazu gehört auch die Plausibilität und Verfügbarkeit dieser Daten. Sorgen Sie für regelmäßige Datenbackups und stellen Sie sicher, dass diese Backups an einem sicheren Ort verschlüsselt abgespeichert werden. Viele Webhoster integrieren solche Sicherungen standardmäßig in Ihre Angebote. Bei eigenen Root-Servern sieht die Sache hingegen schon mal anders aus. Meistens müssen Sie sich dann vollumfänglich selbst um Datensicherheit und Backups kümmern. Auch hier gilt es die jeweiligen Angebote genau zu prüfen und einen näheren Blick auf die verfügbaren Backup-Lösungen zu werfen.

9. Zusammengefasst

Datenschutz lässt sich kaum pauschalieren und ist immer auch eine Einzelfallbetrachtung. Eines sollten Sie jedoch stets bedenken: Eine hundertprozentige Sicherheit ist zum gegenwärtigen Stand der Technik nicht möglich. Insbesondere die Datenübertragung im Internet kann immer Sicherheitslücken bergen und Sie sollten sich dessen bewusst sein. Wenn Sie die vorgestellten Punkte berücksichtigen und in Ihrem Sinne umsetzen, können Sie Ihre Webseite an die Anforderungen des BDSG und der DS-GVO erfolgreich anpassen. Auf jeden Fall sorgt ein abgesichertes System, in technischer wie rechtlicher Hinsicht, für einen besseren Schlaf.

10. In eigener Sache

Die RAISTECH GmbH mit Standorten in Berlin und Frankfurt am Main bietet Betreibern von Internetseiten mit dem Paket „Privacy Protect Web“ einen für die jeweilige Domain bei der Aufsichtsbehörde gemeldeten externen Datenschutzbeauftragten zu einer günstigen Jahrespauschale an. Wir sind Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. und verfügen über eine Berufshaftpflichtversicherung mit einer Deckung von bis zu € 5 Mio. Kommen Sie bei Interesse gerne auf uns zu, wir freuen uns auf Ihre Anfrage.

 

Wissenswertes