Die Internetseite ist für viele Unternehmen das Aushängeschild – zumindest in der digitalen Welt. Auch Marktbegleiter schauen sich Ihre Webseite regelmäßig an. Das könnte Ihr Unternehmen unter Umständen angreifbar machen. Aus diesem Grund sollten Sie einige wesentliche Aspekte von Anfang an im Blick behalten und datenschutzkonform umsetzen.
In diesem Beitrag beschäftigen wir uns mit der Prüfung des Internetauftritts.
Sofern auf Ihrer Internetseite personenbezogene Daten verarbeitet werden, beispielsweise über einen Login-Bereich oder über ein Kontaktformular, muss die Kommunikation verschlüsselt erfolgen.
Wie können Sie also überprüfen, ob ein gültiges SSL-Zertifikat vorliegt?
Die meisten Internetseiten nutzen externe Scripte. Das können beispielsweise Tracking- und Analyse-Tools sein, aber auch eingebundene Schriftarten oder Pixel aus Social-Media-Plattformen.
Um zu überprüfen, welche externen Scripte auf Ihrer Webseite ausgeführt werden, können Sie z.B. https://webbkoll.dataskydd.net/de/ verwenden. Beachten Sie jedoch, dass nur die Startseite überprüft wird und Scripte auf Unterseiten nicht erkannt werden.
Prüfen Sie, ob die externen Scripte als einzelne Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten (VVT) aufgenommen werden müssen und ob Verträge zur Auftragsverarbeitung (AVV) geschlossen werden müssen. In der Regel erfolgt immer eine Datenweitergabe von personenbezogenen Daten wie IP-Adresse, URL und digital Fingerprint.
Anschließend sollten Sie segmentieren, welche Scripte Sie tatsächlich datenschutzkonform verwenden dürfen und welche nicht.
Sollte für die Verwendung der Scripte/Funktionen als Rechtsgrundlage nur die Einwilligung möglich sein ist sicherzustellen, dass diese vor der Einbindung eingeholt wird. Dies kann bspw. durch ein Consent-Tool (sogenannte „Cookie Banner“) erfolgen. Unter Umständen ist auch eine Einwilligung zur Datenweitergabe in ein unsicheres Drittland erforderlich. Achten Sie darauf, dass die entsprechenden Funktionen/Scripte erst aktiv werden, nachdem der Nutzer eingewilligt hat – und nicht bereits im Vorfeld.
Mit Cookies verhält es sich ähnlich wie mit externen Skripten – diese können Sie ebenfalls über https://webbkoll.dataskydd.net/de/ prüfen.
Erstellen Sie sich ebenfalls eine Übersicht der verwendeten Cookies, sowie deren Funktion. Handelt es sich lediglich um Session-Cookies oder werden diese für Tracking Zwecke genutzt? Nachdem Sie Ihre Liste erstelle haben, müssen Sie ebenfalls entscheiden welche Cookies Sie weiterhin verwenden möchten/dürfen und welche nicht. Sind die Speicherfristen plausibel begründet?
Des Weiteren gilt zu beachten, dass Sie für die meisten Cookies eine Einwilligung des Nutzers benötigen. Hierfür sollten Sie ein datenschutzkonformes Consent-Tool (wie o.g.) nutzen. Achten Sie darauf, dass die entsprechenden Cookies erst gesetzt werden, nachdem der Nutzer eingewilligt hat – und nicht bereits im Vorfeld.
Eine datenschutzkonforme Webseite wäre nichts ohne eine Datenschutzerklärung. Diese ist für jede Internetseite Pflicht und muss bestimmte Kriterien erfüllen.
Prüfen Sie Ihre Datenschutzerklärung auf die folgenden Punkte:
Des Weiteren müssen Sie sicherstellen, dass die Datenschutzerklärung (und auch das Impressum) mit einem Klick vom Nutzer erreicht werden kann. Im Idealfall platzieren Sie den entsprechenden Link in der Navigation oder im Footer (der Fußzeile) Ihrer Internetseite. Dabei sollten Sie unbedingt darauf achten, dass der Link nicht vom Consent-Tool (oder anderen Bannern) verdeckt wird.
Wenn Sie eine Internetseite haben, möchten Sie natürlich, dass die Nutzer Kontakt zu Ihnen bzw. Ihrem Unternehmen aufnehmen können. Meistens wird hierfür ein Kontaktformular hinterlegt. Diese Möglichkeit sollten Sie auch nutzen, jedoch gilt es auch hierbei einige Punkte zu beachten.
Begrenzen Sie die Pflichtfelder auf ein Minimum. Warum?
Am Beispiel: Ein Nutzer Ihrer Internetseite möchte einen Rückruf von Ihnen erhalten, da er noch einige Fragen zu Ihrem Angebot bzw. Ihrer Dienstleistung hat. In diesem Fall sind der Name und die Telefonnummer als Pflichtfeld vollkommen ausreichend. Sie benötigen weder die Adressdaten, noch das Geburtsdatum oder die E-Mail-Adresse. Es besteht kein Grund zur Erhebung dieser Daten.
Überlegen Sie also ganz konkret, welche Informationen wirklich nötig sind und welche Sie entweder als freiwillige Angabe aufführen oder komplett weglassen.
Außerdem muss unter jedem Kontaktformular ein Hinweis auf die Datenschutzerklärung aufgeführt werden. Wichtig hierbei ist, dass der Nutzer in der Regel keine Einwilligung abgeben muss – verzichten Sie daher auf eine Auswahlmöglichkeit in Form einer Checkbox.
Sofern Sie ein Bewerbungsformular anbieten - welches eine Upload-Funktion beinhaltet - müssen Sie zusätzlich sicherstellen, dass die hochgeladenen Dateien nicht durch direkten Abruf der Upload-URL einsehbar sind ("versteckt" oder passwortgeschützt). Prüfen Sie dies, indem Sie den direkten Pfad im Browser eingeben. Insbesondere auch bei der Speicherung in temporären Verzeichnissen, denn dies ist ein häufiger Fehler, der sich in den Umsetzungen bspw. nach einem Update einschleicht.
Haben Ihre Webseiten-Besucher die Möglichkeit sich zu einem Newsletter anzumelden? Wenn ja, hinterlegen Sie auch hier einen Hinweis auf die Datenschutzerklärung – am besten mit Verlinkung.
Des Weiteren sollten Sie sicherstellen, dass eine Newsletter-Anmeldung ausschließlich per Double-Opt-In Verfahren möglich ist. Das bedeutet, dass der Nutzer nach Absenden der Anmeldung eine separate E-Mail erhält, in der die Anmeldung bestätigt werden muss. Erst nach erfolgreicher Bestätigung wird die angegebene E-Mail-Adresse in den Verteiler aufgenommen. Mit dieser Methode wird sichergestellt, dass der Empfänger des Newsletters sich auch wirklich angemeldet hat und es sich nicht um eine „Fremd-Anmeldung“ handelt.
Wenn Sie das Nutzungsverhalten der Newsletter-Empfänger tracken möchten, benötigen Sie hierzu in der Regel eine separate Einwilligung.
Wahrscheinlich ist auch Ihr Unternehmen auf Facebook, LinkedIn, Instagram oder einem anderen sozialen Netzwerk vertreten. Social Media Marketing ist schließlich eine der wichtigsten Marketing-Strategien in der heutigen Zeit.
Verlinken Sie ausschließlich manuell von Ihrer Internetseite auf die sozialen Netzwerke. Bauen Sie keine Plug-Ins (meist externe Scripte) hierfür ein, wie beispielsweise einen „Like-Button“. Die Verwendung solcher Plug-Ins ist meist nur möglich, sofern die Nutzer der Webseite im Vorfeld eine entsprechende Einwilligung abgeben bspw. durch eine Zwei-Klick-Lösung.
Sofern Sie Fotos auf Ihrer Internetseite verwenden, auf denen Personen identifizierbar sind, benötigen Sie im Vorfeld die Einwilligung jeder einzelnen abgebildeten Person. Es gibt nur wenige Ausnahmen, welche Sie je Foto prüfen sollten.
Sind mit allen externen Dienstleistern, die in Ihrem Auftrag personenbezogene Daten verarbeiten, Auftragsverarbeitungsverträge geschlossen worden? Beispielsweise wegen der Betreuung oder Verwaltung der Webseite, Hosting- oder Newsletter-Anbieter.
Möchten Sie die Internetseite Ihres Unternehmens prüfen? Dann können Sie ganz bequem unsere Checkliste kostenlos herunterladen.
