So prüfen Sie die Internetseite Ihres Unternehmens (+ Checkliste als Download)

Datenschutz

Hat Ihr Unternehmen eine eigene Webseite? Haben Sie sich bereits mit externen Scripten, Cookies, der Datenschutzerklärung und den Datenverarbeitungen durch die Internetseite auseinandergesetzt?

Nein? Dann wird dieser Beitrag Ihnen dabei helfen – denn die aufgeführten Punkte sind nur einige von vielen auf dem Weg zu einer datenschutzkonformen Internetseite.

Die Internetseite ist für viele Unternehmen das Aushängeschild – zumindest in der digitalen Welt. Auch Marktbegleiter schauen sich Ihre Webseite regelmäßig an. Das könnte Ihr Unternehmen unter Umständen angreifbar machen. Aus diesem Grund sollten Sie einige wesentliche Aspekte von Anfang an im Blick behalten und datenschutzkonform umsetzen.

In diesem Beitrag beschäftigen wir uns mit der Prüfung des Internetauftritts.


Datenschutz Coaching

Als interner Datenschutzbeauftragter liegen unzählige Aufgaben vor Ihnen. Mit unserer Blog-Reihe „Coaching für Datenschutzbeauftragte“ erhalten Sie praktische Tipps für die Umsetzung.

Sie haben noch mehr Fragen? Gerne bieten wir Ihnen ein individuelles 1:1 Datenschutz Coaching an, in dem wir alle relevanten Themen detailliert besprechen und gemeinsam Lösungen für die direkte Umsetzung in Ihrem Unternehmen ausarbeiten. 

Unser Angebot für Sie.


SSL Verschlüsselung / HTTPS

Sofern auf Ihrer Internetseite personenbezogene Daten verarbeitet werden, beispielsweise über einen Login-Bereich oder über ein Kontaktformular, muss die Kommunikation verschlüsselt erfolgen.  

Wie können Sie also überprüfen, ob ein gültiges SSL-Zertifikat vorliegt?

  • Ist die Internetseite über https und nicht ausschließlich über http abrufbar?
  • Die Gültigkeit des Zertifikats können Sie beispielsweise hier prüfen: https://ssl.de/ssl-check.html

 

Externe Scripte

Die meisten Internetseiten nutzen externe Scripte. Das können beispielsweise Tracking- und Analyse-Tools sein, aber auch eingebundene Schriftarten oder Pixel aus Social-Media-Plattformen.

Um zu überprüfen, welche externen Scripte auf Ihrer Webseite ausgeführt werden, können Sie z.B. https://webbkoll.dataskydd.net/de/ verwenden. Beachten Sie jedoch, dass nur die Startseite überprüft wird und Scripte auf Unterseiten nicht erkannt werden.

Prüfen Sie, ob die externen Scripte als einzelne Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten (VVT) aufgenommen werden müssen und ob Verträge zur Auftragsverarbeitung (AVV) geschlossen werden müssen. In der Regel erfolgt immer eine Datenweitergabe von personenbezogenen Daten wie IP-Adresse, URL und digital Fingerprint.

Anschließend sollten Sie segmentieren, welche Scripte Sie tatsächlich datenschutzkonform verwenden dürfen und welche nicht.

Sollte für die Verwendung der Scripte/Funktionen als Rechtsgrundlage nur die Einwilligung möglich sein ist sicherzustellen, dass diese vor der Einbindung eingeholt wird. Dies kann bspw. durch ein Consent-Tool (sogenannte „Cookie Banner“) erfolgen. Unter Umständen ist auch eine Einwilligung zur Datenweitergabe in ein unsicheres Drittland erforderlich. Achten Sie darauf, dass die entsprechenden Funktionen/Scripte erst aktiv werden, nachdem der Nutzer eingewilligt hat – und nicht bereits im Vorfeld.

 

Cookies

Mit Cookies verhält es sich ähnlich wie mit externen Skripten – diese können Sie ebenfalls über https://webbkoll.dataskydd.net/de/ prüfen.

Erstellen Sie sich ebenfalls eine Übersicht der verwendeten Cookies, sowie deren Funktion. Handelt es sich lediglich um Session-Cookies oder werden diese für Tracking Zwecke genutzt? Nachdem Sie Ihre Liste erstelle haben, müssen Sie ebenfalls entscheiden welche Cookies Sie weiterhin verwenden möchten/dürfen und welche nicht. Sind die Speicherfristen plausibel begründet?

Des Weiteren gilt zu beachten, dass Sie für die meisten Cookies eine Einwilligung des Nutzers benötigen. Hierfür sollten Sie ein datenschutzkonformes Consent-Tool (wie o.g.) nutzen. Achten Sie darauf, dass die entsprechenden Cookies erst gesetzt werden, nachdem der Nutzer eingewilligt hat – und nicht bereits im Vorfeld.

 

Datenschutzerklärung

Eine datenschutzkonforme Webseite wäre nichts ohne eine Datenschutzerklärung. Diese ist für jede Internetseite Pflicht und muss bestimmte Kriterien erfüllen.

Prüfen Sie Ihre Datenschutzerklärung auf die folgenden Punkte:

  • Sind die Kontaktdaten Ihres Unternehmens angegeben, sowie die Kontaktdaten zu Ihnen (Datenschutzbeauftragter)?
  • Weshalb werden auf der Webseite personenbezogene Daten verarbeitet?
  • Welche Rechtsgrundlage hat Ihr Unternehmen für die Datenverarbeitung?
  • Wie lange werden personenbezogene Daten gespeichert?
  • Ist eine Widerrufs-/Widerspruchs-Option vorhanden? (sofern nötig)
  • Sind die Betroffenenrechte aufgeführt, sowie hervorgehoben?

Des Weiteren müssen Sie sicherstellen, dass die Datenschutzerklärung (und auch das Impressum) mit einem Klick vom Nutzer erreicht werden kann. Im Idealfall platzieren Sie den entsprechenden Link in der Navigation oder im Footer (der Fußzeile) Ihrer Internetseite. Dabei sollten Sie unbedingt darauf achten, dass der Link nicht vom Consent-Tool (oder anderen Bannern) verdeckt wird.

 

Kontaktformulare / Bewerbungsformulare

Wenn Sie eine Internetseite haben, möchten Sie natürlich, dass die Nutzer Kontakt zu Ihnen bzw. Ihrem Unternehmen aufnehmen können. Meistens wird hierfür ein Kontaktformular hinterlegt. Diese Möglichkeit sollten Sie auch nutzen, jedoch gilt es auch hierbei einige Punkte zu beachten.

Begrenzen Sie die Pflichtfelder auf ein Minimum. Warum?

Am Beispiel: Ein Nutzer Ihrer Internetseite möchte einen Rückruf von Ihnen erhalten, da er noch einige Fragen zu Ihrem Angebot bzw. Ihrer Dienstleistung hat. In diesem Fall sind der Name und die Telefonnummer als Pflichtfeld vollkommen ausreichend. Sie benötigen weder die Adressdaten, noch das Geburtsdatum oder die E-Mail-Adresse. Es besteht kein Grund zur Erhebung dieser Daten.

Überlegen Sie also ganz konkret, welche Informationen wirklich nötig sind und welche Sie entweder als freiwillige Angabe aufführen oder komplett weglassen.

Außerdem muss unter jedem Kontaktformular ein Hinweis auf die Datenschutzerklärung aufgeführt werden. Wichtig hierbei ist, dass der Nutzer in der Regel keine Einwilligung abgeben muss – verzichten Sie daher auf eine Auswahlmöglichkeit in Form einer Checkbox.

Sofern Sie ein Bewerbungsformular anbieten - welches eine Upload-Funktion beinhaltet - müssen Sie zusätzlich sicherstellen, dass die hochgeladenen Dateien nicht durch direkten Abruf der Upload-URL einsehbar sind ("versteckt" oder passwortgeschützt). Prüfen Sie dies, indem Sie den direkten Pfad im Browser eingeben. Insbesondere auch bei der Speicherung in temporären Verzeichnissen, denn dies ist ein häufiger Fehler, der sich in den Umsetzungen bspw. nach einem Update einschleicht.

 

Newsletter

Haben Ihre Webseiten-Besucher die Möglichkeit sich zu einem Newsletter anzumelden? Wenn ja, hinterlegen Sie auch hier einen Hinweis auf die Datenschutzerklärung – am besten mit Verlinkung.

Des Weiteren sollten Sie sicherstellen, dass eine Newsletter-Anmeldung ausschließlich per Double-Opt-In Verfahren möglich ist. Das bedeutet, dass der Nutzer nach Absenden der Anmeldung eine separate E-Mail erhält, in der die Anmeldung bestätigt werden muss. Erst nach erfolgreicher Bestätigung wird die angegebene E-Mail-Adresse in den Verteiler aufgenommen. Mit dieser Methode wird sichergestellt, dass der Empfänger des Newsletters sich auch wirklich angemeldet hat und es sich nicht um eine „Fremd-Anmeldung“ handelt.

Wenn Sie das Nutzungsverhalten der Newsletter-Empfänger tracken möchten, benötigen Sie hierzu in der Regel eine separate Einwilligung.

 

Soziale Netzwerke

Wahrscheinlich ist auch Ihr Unternehmen auf Facebook, LinkedIn, Instagram oder einem anderen sozialen Netzwerk vertreten. Social Media Marketing ist schließlich eine der wichtigsten Marketing-Strategien in der heutigen Zeit.

Verlinken Sie ausschließlich manuell von Ihrer Internetseite auf die sozialen Netzwerke. Bauen Sie keine Plug-Ins (meist externe Scripte) hierfür ein, wie beispielsweise einen „Like-Button“. Die Verwendung solcher Plug-Ins ist meist nur möglich, sofern die Nutzer der Webseite im Vorfeld eine entsprechende Einwilligung abgeben bspw. durch eine Zwei-Klick-Lösung.

 

Fotos

Sofern Sie Fotos auf Ihrer Internetseite verwenden, auf denen Personen identifizierbar sind, benötigen Sie im Vorfeld die Einwilligung jeder einzelnen abgebildeten Person. Es gibt nur wenige Ausnahmen, welche Sie je Foto prüfen sollten.

 

Auftragsverarbeitungsverträge (AVV)

Sind mit allen externen Dienstleistern, die in Ihrem Auftrag personenbezogene Daten verarbeiten, Auftragsverarbeitungsverträge geschlossen worden? Beispielsweise wegen der Betreuung oder Verwaltung der Webseite, Hosting- oder Newsletter-Anbieter.


Unsere Checkliste gibt es für Sie kostenlos.

Möchten Sie die Internetseite Ihres Unternehmens prüfen? Dann können Sie ganz bequem unsere Checkliste kostenlos herunterladen.