Eine Website ist der öffentlichste Teil eines Unternehmens bzw. einer Organisation – ein wichtiger Grund, um sich an die geltenden Datenschutzgesetze zu halten und Fehler unbedingt zu vermeiden. Denn gerade mit Blick auf den Datenschutz lauern hier viele Gefahren, die das Unternehmen angreifbar machen können. Die Herausforderung besteht darin, die Schwachstellen zu ermitteln und entsprechende Lösungen zu finden.
Inhalt
Die Zuständigkeiten
Cookies, Einwilligungsabfragen wie Pop-ups, fehlerhafte Datenschutzhinweise sind nur einige Gefahrenpunkte.
Websites werden oft unter Mitwirkung mehrerer Beteiligter erstellt: ein Techniker programmiert, der Redakteur liefert Inhalte, woraufhin die Datenschutzbeauftrage versucht nachzuvollziehen, was auf der Website geschieht.
Zahlreiche Untersuchungen zeigen, dass mehr als 90 % der deutschen Organisations-Websites im Hinblick auf den Datenschutz erhebliche Mängel aufweisen. Auch das Gemisch an Verantwortlichkeiten trägt dazu bei.
Personenbezogene Daten
„Im Wesentlichen gilt, dass die technisch notwendigen Aktivitäten erlaubt sind und alles andere verboten ist.“*
So ist es technisch notwendig und demnach auch nicht problematisch, dass beim Aufrufen einer Website die Netzwerkadresse des Besuchers übertragen wird.
Plug-Ins
Wann es allerdings problematisch wird, ist, wenn die Netzwerkadresse des Besuchers an Dritte weitergeleitet wird. Die Gründe hierfür sind jedoch nicht mehr technisch notwendig, weshalb sie einwilligungspflichtig wäre. Ein bekanntes Beispiel hierfür ist das Plug-In von Google Maps, das viele Anbieter auf ihren Websites anbieten, um die Anfahrt zur Organisation anzeigen zu können. Hierdurch erhält jedoch auch Google Maps die Netzwerkadresse des Besuchers. Da eine technische Notwendigkeit hier nicht gegeben ist, wäre höchstens noch das berechtigte Interesse anzuwenden (Art. 6 Abs. 1 f) DSGVO)
Der kritische Punkt hierbei: Google verwendet extensiv Cookies und behält sich vor, die erhaltenen Daten selbst weiterzuverwerten. Daher brauchen Website-Betreiber, die Google Maps nutzen möchten, eine Einwilligung des Besuchers.
Das TTDSG
Das Telekommunikation-Telemedien-Datenschutz-Gesetz (kurz: TTDSG) gilt seit dem 1. Dezember 2021 und erlaubt lediglich die Verwendung von technisch notwendigen Cookies. In allen anderen Fällen muss eine Einwilligung eingeholt werden. Gemäß Art. 13 DSGVO (in Verbindung mit einem EuGH-Urteil aus Oktober 2019) sind zu jedem Cookie auch die Zwecke zu erklären. Da diese bei Drittanbietern aufgrund von Geheimhaltung oft unbekannt sind, ist es kaum möglich, eine rechtskonforme Nutzung zu gewährleisten.
Unter Datenminimierung (Art. 5 Abs. 1 c) i.V.m. Art 25 DSGVO) fordert die DSGVO eine datenschutzfreundliche Technikgestaltung. Das bedeutet, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn diese Verarbeitung nicht vermeidbar ist.
Die Frage, die man sich an dieser Stelle stellen sollte: „Muss ich das Tool XY unbedingt verwenden oder gibt es ein im Sinne des Datenschutzes milderes Tool?“
Prüfung der Websites
Kleinere Firmen erhielten durch den Gesetzgeber einen gewissen Schutz, sodass sie kaum Konsequenzen bei erstmaliger Nichteinhaltung einer Unterlassungserklärung zu befürchten haben; eine Abmahnung durch einen Mitbewerber ist eher unwahrscheinlich. Die größere Gefahr liegt bei den Abmahnungen durch Privatpersonen, da es jedem Besucher der Website freisteht, (anonym) Beschwerde einzureichen, Klage einzureichen, außergerichtlich vorzugehen oder Unterlassung zu fordern. Um eventuelle Probleme zu erkennen und beseitigen zu können, sollte man daher prüfen:
- Prüftiefe
Auf einer Website befinden sich meist viele Seiten mit Unterseiten. Für eine richtige Prüfung müsste der Prüfer selbst jede dieser Unterseiten sowie alle stattfindenden Datentransfers und inaktive Programmcodes (z.B. nicht abgespielte YouTube Videos) prüfen. Das ist menschlich kaum möglich.
- Automatisierter Check
Daher ist die beste Lösung zur Prüfung ein automatisierter Check.
Unter https://wwwschutz.de/check finden Sie einen Website-Check, der Ihnen in der kostenlosen Version nach wenigen Sekunden die ersten Befunde anzeigt. Hier werden im Hintergrund Cookies, eingebundene Dienste und Dateien auf den Seiten der Website geprüft. Dennoch ist auch dieses Tool nicht rundumfassend. Dass die Datenschutzerklärung beispielsweise per zwei Klicks erreichbar sein muss, überprüft es nicht.
Falls Sie Unterstützung benötigen, zögern Sie nicht, sich bei uns zu melden.
Gerne bieten wir Ihnen unsere Dienstleistungen effizient und günstig an.
*Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe Februar 2022