Regelmäßige Checks können Bußgelder verhindern

Der Schutz von Nutzerdaten ist eine wichtige Pflicht für Betreiber von Onlinepräsenzen wie Websites und Online Shops. Insbesondere seit der Einführung DSGVO ist es unerlässlich, sich mit den Details des Datenschutzes auseinanderzusetzen, um nicht ins Visier von Abmahnern zu geraten. Wer sich nicht ausreichend bemüht, kann schnell hohe Kosten und Ärger bekommen. Daher ist es elementar, kontinuierlich die eigenen Verarbeitungen, wie z.B. die Website, zu überprüfen und ggf. Maßnahmen umzusetzen, um unnötige Risiken zu vermeiden. In diesem Artikel finden Sie die gängigsten Fehlerquellen. Alternativ können Sie auch die von uns erstellte kostenlose Checkliste herunterladen und direkt Ihre Website auf Datenschutzkonformität prüfen. Den Download finden Sie weiter unten.

Datenschutzerklärung

Eine Datenschutzerklärung ist essentiell für eine Website, da sie den Nutzern Transparenz darüber bietet, welche personenbezogenen Daten gesammelt und verarbeitet werden. Darüber hinaus informiert die Datenschutzerklärung u.a. über die Rechte der Nutzer bezüglich ihrer Daten. Generell erfüllt der Webseitenbetreiber mit einer Datenschutzerklärung seine Informationspflichten nach Art. 12 und 13 DSGVO.

Wer diesen Pflichten nicht vollständig nachkommt, riskiert schon alleine aufgrund einer fehlerhaften oder unvollständigen Datenschutzerklärung eine Abmahnung oder sogar eine Schadensersatzklage.

Dabei ist insbesondere dieser Teil bereits sehr einfach datenschutzkonform zu lösen. Wer Webseiten und Online Shops ohne exotische Dienste einsetzt, kann oftmals mit Standard Konfiguratoren wie beispielsweise E-Recht 24 eine sehr gute Datenschutzerklärung generieren lassen. Lediglich wenn besondere Dienste und Services oder eigene Plugins eingesetzt werden, kommen diese Konfiguratoren an ihre Grenzen und man muss sich selbst Gedanken machen, wie man die jeweilige Verarbeitung am besten beschreibt. Aber für einen schnellen Einstieg sind diese Produkte ideal. 

HTTPS und Verschlüsselung

Die Nutzung eines SSL-Zertifikates für die eigene Website und damit die Verwendung von “https” gilt heutzutage als etablierter Standard und das aus gutem Grund. Fehlt der Website in der URL das „s“ und beginnt sie lediglich mit „http“, sind die Übertragungen zwischen Webbrowser des Nutzers und Webserver nicht verschlüsselt und der Zielserver ist nicht “verifiziert”. Das bedeutet, dass Dritte die Übertragung abfangen und auslesen können oder sich sogar als Zielserver ausgeben könnten. Bei einfachen Websites ohne Funktionen mag dies kein gravierendes Problem sein, aber sobald Nutzerdaten verarbeitet werden, z.B. über ein Nutzerkonto, müssen Sie auch für den Schutz dieser Daten sorgen. Abgesehen werden Webseiten ohne SSL-Zertifikate von den großen Providern wie Google oder Microsoft im Ranking bestraft und teilweise sogar als unsicher gekennzeichnet, was Nutzer davon abhalten dürfte, dass sie auf die Seite gelangen.

Cookie Banner

Sobald Cookies oder sonstige Informationen auf dem Endgerät des Nutzers gespeichert oder ausgelesen werden, ist dafür grundsätzlich die Einwilligung des Nutzers erforderlich. Dies wird meistens direkt durch die DSGVO aber (in Deutschland) auch durch das TTDSG gefordert. Demnach ist eine zulässige Ausnahme zum Beispiel nur gegeben, wenn davon auszugehen ist, dass die Verarbeitung auch im Sinne des Nutzers ist. Dies wäre beispielsweise bei Warenkorb- oder Sicherheitscookies gegeben. Für alle anderen, sogenannte optionale Cookies (oder vergleichbare Technologien), erfordern dagegen die informierte Einwilligung des Nutzers, welche über ein Cookie Banner eingeholt werden muss. 

Wichtig! Das Cookie Banner muss auf der obersten Hierarchie-Ebene eine Option, um alle optionalen Cookies ablehnen zu können, bereitstellen. Sogenannte Dark-Pattern sind ebenfalls nicht zulässig. Darüber hinaus sollte über das Banner die Einsichtnahme in die jeweiligen Dienste und Cookies möglich sein, damit der Nutzer weiß, in welche Dienste er einwilligt.

Dienste ohne Einwilligung

Einer der häufigsten Gründe für eine Abmahnung ist das Laden von optionalen Diensten (wie Google Analytics, FB Pixel, Ads, Maps, Youtube usw.) ohne Einwilligung des Nutzers. Daher muss das Cookie Banner externe Einbindungen solange blockieren, bis die Einwilligung des Nutzers erfolgt ist. 

DSGVO-Checkliste

Für jeden, der schnelle Hilfe zur Selbsthilfe benötigt, haben wir eine kostenlose Checkliste zum Download bereitgestellt. Mit dieser können Sie auch ohne Expertenwissen Ihre Website prüfen und abgleichen, ob Sie abmahngefährdet sind bzw. ob Sie weitere Maßnahmen für eine datenschutzkonforme Website ergreifen müssen.

Änderungen und aktuelle Rechtsprechung

Die DSGVO ist noch eine relativ junge Verordnung und auch wenn wir bereits einiges an Rechtsprechung zu diversen Themen erhalten haben, so können sich Anforderungen dich relativ schnell ändern. Sei es durch ein aktuelles Urteil, neue “Empfehlungen” der nationalen Aufsichtsbehörden bzw. des Europäischen Datenschutzausschusses oder durch politische Vereinbarungen (z.B. neuer Angemessenheitsbeschluss). Daher ist die DSGVO-Konformität, nicht nur der Website, sondern der gesamten Organisation keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Es bedarf der regelmäßigen Aktualisierung und Überprüfung des eigenen Datenschutzmanagements.

Outsourcing des Datenschutzmanagements

Kapazitäten im eigenen Unternehmen zu binden, um die Regularien des Datenschutzes kontinuierlich einzuhalten, muss nicht sein. Es gibt diverse externe Dienstleistungsunternehmen (wie Freyberg Consulting), die sich darauf spezialisiert haben, Unternehmen bei der Einhaltung des Datenschutzes zu unterstützen und Prozesse und Aufgaben abzunehmen. 

Gerne beraten wir Unternehmen, welche Möglichkeiten Sie haben und wie sie sich datenschutzkonform aufstellen können, ohne unnötig viele Ressourcen zu binden. Buchen Sie dafür einfach eine kostenlose Erstberatung.