Anforderungen der DSGVO: Wichtige Tipps für Deine Webseite

Hört man Datenschutz, so denkt man schnell an den Albtraum, Opfer eines Hackerangriffs zu werden. Doch dahinter steckt deutlich mehr. Als Shop- und Website-Betreiber sollte man deshalb darauf achten, dass die Verarbeitung stets in Übereinstimmung mit den Datenschutzbestimmungen erfolgt. Dazu sind zahlreiche Schritte notwendig, die wir im Folgenden erläutern möchten.

• Grundsätzliche Vorgehensweise
• Content-Management-System CMS
• Datenschutzerklärung
• Kontaktformular
• Cookies
• Analytics
• Newsletter & E-Mail-Marketing
• Google Maps & Web Fonts
• Social Media PlugIns
• E-Commerce & Bezahlsysteme

https://youtu.be/QH8zTjC788o

Als Webseitenbetreiber sollte man bei allen Anwendungen folgende Punkte beachten:

• Jede Verarbeitung braucht eine Rechtsgrundlage. Über die Verarbeitung ist in der Datenschutzerklärung in verständlicher Sprache zu informieren.
• Es muss geprüft werden, ob ein Verarbeitungsverzeichnis für die jeweilige Verarbeitung zu erstellen ist.
• Prüfen ob es sich bei der Verarbeitung um eine Auftragsverarbeitung handelt, d.h. ob ein Anbieter in seinem Auftrag personenbezogenen Daten von Website-Besuchern verarbeitet.
• Wie technische & organisatorische Maßnahmen auszusehen haben.

Content-Management-System CMS

Schauen wir uns das Thema Content Management System CMS am konkreten Bsp. Wordpress näher an. Wordpress ist die am weitesten verbreitete CMS Software. Sie ermöglicht es eine Webseite zu betreiben und ist das Herzstück der Website. Dementsprechend ist der Webseitenbetreiber gut beraten, diesen Bereich besonders gut zu schützen. Werfen wir einen Blick auf einige sicherheitsrelevante Maßnahmen:

• Wahl eines geeigneten CMS (Wordpress ist hier Marktführer)
• Besonderer Schutz des Administratorenbereichs zum Beispiel sollte der Adminbereich nicht über einen standardisierten Link erreichbar sein
• Unterstützung des CMS durch eine Firewall (also Security Plugins), z.B. Hide my WP für Wordpress, Wordpress Scanner, wpscan Spamschutz, z.B. Antispam Bee.
• Starkes Passwortverfahren im CMS,
• Sperrung nach einer bestimmten Zahl fehlgeschlagener Logins
• Zusätzliche Sicherheitsmaßnahmen bei Datenbanken – z.B. eine 2-Faktoren-Authentifizierung für Admins Regelmäßige Backups der CMS Daten CMS stets aktuell halten (Patch Management), auch die Plugins müssen im Patch Management integriert werden!

Datenschutzerklärung

In der Datenschutzerklärung kommen wir unserer Pflicht nach, die Nutzer über die Verarbeitung zu informieren. Die Datenschutzerklärung muss in einfacher Form formuliert sein und mindestens folgende Informationen enthalten:

• Name und Kontaktdaten der Verantwortlichen & eventuell Kontaktdaten des Datenschutzbeauftragten.
• Über alle Datenverarbeitungsvorgänge sollte informiert werden.
• Grundsätzlich muss für jede Verarbeitung Zweck, Rechtsgrundlage, Speicherdauer, eventuelle Weitergabe an Dritte.
• Angabe der berechtigten Interessen zur Datenverarbeitung (wenn diese nicht auf einer Einwilligung, sondern auf einer Interessenabwägung beruht).
• Welche Daten werden vom Webserver beim Aufruf der Seiten erhoben (z.B. IP-Adresse, Zeitpunkt, Datenmenge, Browserinformationen etc.)? Diese Daten bitte möglichst genau bezeichnen.
• Kommen Cookies zum Einsatz? Wenn ja, bitte alle Cookies benennen und zwar nach Art (Session Cookies / Persistent Cookies), Namen der Cookies, Speicherdauer („Lifetime“) und Zweck der Cookies.
• Werden fremde Webserver beim Aufruf der Internetseiten aufgerufen? Das kommt häufig bei Einbindung von Webanalyse-Tools (z.B. Google Analytics), Schriftarten („Webfonts“) oder JavaScript-Bibliotheken (jQuery etc.) in die Internetseiten vor.

Bitte alle diese Drittdienstleister benennen und jeweils den Zweck der Nutzung angeben. Empfänger oder Kategorien von Empfängern.

• Newsletter und Emailmarketing: Wenn Drittanbieter zum Einsatz kommen, bitte auch die vertraglichen Regelungen für die Einbindung zur Verfügung stellen. Wenn der Dienstleister nicht aus der EU kommt, dann bitte angeben ob die sog. EU-Standardvertragsklauseln  vereinbart wurden.
• Und zu Aller Letzt an die Hinweise über die Rechte der Betroffenen denken.

Kontaktformular

Wir sollten bereits bei der Gestaltung dieses Formulars an den Datenschutz denken, gemeint ist das Datenminimierungsprinzip, d.h. wir erheben nur Daten, die für die Bearbeitung wirklich notwendig sind. Telefonnummer, Name und E-Mail-Adresse sind für die Bearbeitung einer Anfrage ausreichend. Darüber hinaus müssen wir sicherstellen, dass die Sicherheit der Datenübertragung gewährleistet ist.

Dies erreichen wir durch eine verschlüsselte Verbindung. Uns stehen zwei konkrete technische Lösungen zur Verfügung: das „alte“ Standard Secure Sockets Layer (SSL) oder die Transport Layer Security (TLS).

Außerdem ist es wichtig, dass der Absender den Datenschutzhinweis vor dem Absenden liest und mit einem Häkchen bestätigt. Entsprechend muss die Datenverarbeitung in der Datenschutzerklärung erwähnt werden.

Cookies

Cookies sind kleine Textdateien, die im Internet-Browser oder Endgerät des Benutzers gespeichert werden. Der Browser wird beim nächsten Besuch der Website durch eine eindeutige Identifizierung des Benutzers erkannt. So erlauben uns Cookies unter anderem, auf die Präferenzen der Besucher zu schließen, was Martin wiederum hilft, seine Website benutzerfreundlicher zu gestalten..

Datenschutzrechtlich wird je nach Art der Cookies, die zum Einsatz kommen, unterschieden, ob wir mithilfe des Cookie-Banners informieren oder eine Einwilligung einholen. Es spielt also eine Rolle, ob wir beispielsweise Analytics einsetzen oder Cookies zum technischen Funktionieren der Seite wie für Logins und Warenkörbe einsetzen.

Wenn wir durch den Cookie-Banner die Einwilligung einholen, sollten wir auf folgende Punkte achten:

• Beim erstmaligen Öffnen der Website erscheint das Banner.
• Darin sind alle Verarbeitungsvorgänge aufgelistet, die einer Einwilligung bedürfen.
• Der Nutzer kann aktiv durch Auswahlmöglichkeiten in die Verarbeitung einwilligen.
• Bis die Einwilligung erteilt wird, müssen alle Verarbeitungsvorgänge im Hintergrund ausgeschaltet bleiben
• Damit die Entscheidung des Nutzers für oder gegen eine Einwilligung bei einem weiteren Aufruf der Website berücksichtigt wird und das Banner nicht erneut erscheint, kann das Ergebnis auf dem Endgerät des Nutzers ohne Verwendung einer User-ID vom Verantwortlichen gespeichert werden. Durch ein solches Verfahren kann der Nachweis einer vorliegenden Einwilligung erbracht werden.
• Die Einwilligung muss jederzeit widerrufen werden können. Dabei soll der Widerruf genau so einfach möglich sein wie die Erteilung der Einwilligung.
• In der Datenschutzerklärung müssen wir auf Cookies und Zweck eingehen. Sollten Daten einem Dritten zur Verfügung gestellt werden, brauchen wir neben einer gültigen Rechtsgrundlage auch einen Auftragsverarbeitungsvertrag.

Analytics

Bei Tools wie Facebook Pixel und Google Analytics handelt es sich um Analytics Anwendungen, mit denen man die Effektivität seiner Werbung messen kann. Wenn Kunden und Besucher statistisch durch spezielle Tools erfasst werden, müssen die IP-Adressen der User so anonymisiert werden, sodass kein Personenbezug hergestellt werden kann.

Es muss für die User auch möglich sein, der Erfassung zu widersprechen – die Einrichtung einer „Ausstiegsklausel“ kann der User auf der Datenschutzerklärungs-Seite finden. Wenn nicht garantiert werden kann, dass die Daten anonymisiert werden, muss die Person ihre Einwilligung zur Verarbeitung geben. Dies kann durch das Cookie-Banner direkt beim Aufruf der Seite realisiert werden. Auch hier muss die Datenverarbeitung in der Datenschutzerklärung erläutert werden.

Newsletter & E-Mail-Marketing

Emailmarketing gehört zu den zentralen Bausteinen und Vertriebsmöglichkeiten eines Onlineshops. Wer hier Emailmarketing-Tools einsetzt muss auf folgende Punkte achten:

• Bei externen Anbieter ist Auftragsverarbeitungsvertrag zu unterzeichnen.
• Dieser muss sich an die DSGVO halten. Kommt ein Anbieter aus einem Drittland sind weitere Anforderungen zu beachten. Weitere Informationen findest Du in diesem Blogbeitrag: Auftragsverarbeitung.
• Der Empfänger muss ausdrücklich eingewilligt haben.
• Außerdem gilt die Nachweispflicht bei der Einwilligung und kann jederzeit widerrufen werden.
• Die Einwilligung ist außerdem double-opt-in Verfahren einzuholen.

Google Maps & Web Fonts

Für die Einblendung von Google Maps ist es wichtig zu wissen, dass Google bereits Daten austauscht sobald der Nutzer auf unsere Homepage kommt. Da es hier unter Umständen zum Profiling kommt, können Probleme entstehen. Datenschutzrechtlich sollten wir deshalb darauf achten, dass die Inhalte von Google Maps erst dann geladen werden, wenn der Nutzer aktiv den Kartendienst in Anspruch nimmt, z. B. durch bewusstes Anklicken.

Google Fonts ermöglicht uns eine einheitliche Darstellung von Schriftarten. Beim Aufruf einer Seite lädt der Browser des Nutzers die benötigten Webfonts in den eigenen Browsercache, um Texte und Schriftarten korrekt anzuzeigen. Zu diesem Zweck muss der Browser des Nutzers Verbindung zu den Servern von Google aufnehmen. Hierdurch erlangt Google Kenntnis darüber, dass von der IP-Adresse des Nutzers unsere Website aufgerufen wurde.

Die Einbindung der Dienste Google Maps und Google Fonts ist zur bedarfsgerechten Gestaltung unserer Website erforderlich. Diese Verarbeitung kann auf das berechtigte Interesse gestützt werden. Wir müssen darauf achten den Verarbeitungsvorgang in unserer Datenschutzerklärung mit aufzunehmen.

CAPTCHA Für eine ausreichende Datensicherheit bei der Übermittlung von Daten durch Formulare werden CAPTCHA Tools wie der von Google eingesetzt. Damit wird sichergestellt, dass die Eingaben in den Kontaktformularen durch eine natürliche Person und nicht durch ein automatisiertes Programm erfolgt. Eine missbräuchliche Verarbeitung der Daten kann z.B. durch SPAMs oder automatisierte Ausspähung verhindert werden.

Hierzu analysiert CAPTCHA - im Hintergrund - das Verhalten des Webseitenbesuchers anhand verschiedener Merkmale. Unter anderem findet eine Übertragung der IP-Adresse und Daten über Mausbewegungen sowie zuvor besuchter Webseiten an Google statt. Damit wir unseren Onlineauftritt qualitativ & sicherheitsbezogen aufrechterhalten, ist es unser gutes Recht (berechtigtes Interesse) ein CAPTCHA einzusetzen.   Über den Einsatz ist in der Datenschutzerklärung zu informieren.

Social Media PlugIns

Auch hier gilt, dass Plugins bereits beim Aufrufen der Seite aktiviert und Daten übertragen. Aus diesem Grund bieten sich zwei Lösungen an: Wir holen eine Einwilligung des Nutzer, dass wir Plugins einsetzen und Daten an Dritte weiterleiten dürfen, dabei kann der Nutzer seine Einwilligung jederzeit widerrufen. Oder die Zweite Lösung: Wir setzen die sogenannte Zwei-Klick-Lösung ein. Damit sind die Plugins zunächst inaktiv. Erst durch Anklicken findet die Datenübertragung statt. Egal für welche Lösung wir uns auch entscheiden, wir müssen in der Datenschutzerklärung darüber informieren.

E-Commerce & Bezahlsysteme

 Für den Abschluss des Kaufvertrages muss Martin personenbezogene Daten von seinen Kunden verarbeiten. Rechtsgrundlage der Datenverarbeitung ist der Vertrag. Auf diese Verarbeitung sollte er in seiner Datenschutzerklärung hinweisen. Auch das Thema Sicherheit spielt hier eine wesentliche Rolle. Die Daten sollten mit neuestem Stand der Technik verschlüsselt übertragen werden.

Über uns: Wir sind Unternehmensberater, spezialisiert auf Selbstständige und kleine Unternehmen. Wir unterstützen unsere Kunden bei der Digitalisierung ihrer Prozesse. Ein wichtiger Bestandteil ist dabei die Implementierung eines Datenschutzmanagementsystems.

Solltest Du Fragen haben, stehen Wir Dir im Rahmen einer kostenlosen Erstberatung gerne zur Verfügung.