Webseiten unterliegen neuen Anforderungen mit der DSGVO
Die Schonfrist ist abgelaufen, die Regeln der DSGVO (Datenschutzgrundverordnung) gelten seit dem 25. Mai 2018 einheitlich für alle im EU-Raum aktiven Unternehmen. Dies bedeutet: Soweit nicht Spezialregelungen greifen, sind die erhöhten Anforderungen der DSGVO zu beachten. Bei Missachtung der Datenschutz-Bestimmungen drohen empfindliche Geldstrafen von bis zu 20 Millionen Euro. Internetseiten unterliegen den datenschutzrechtlichen Bestimmungen, da dort stets personenbezogene Daten (z. B. eine IP-Adresse) verarbeitet werden. Dabei ist wichtig: Nach dem Datenschutzrecht ist eine Verarbeitung von Daten natürlicher Personen zunächst generell verboten, es sei denn ein Gesetz erlaubt dies ausdrücklich!
Für einen datenschutzkonformen Internetauftritt gibt es einiges zu beachten. Zum Beispiel ist eine rechtskonforme Datenschutzerklärung verpflichtend, welchedie nach DSGVO erweiterten Angaben beinhalten muss. Die folgenden Tipps der IHK München und Oberbayern helfen Unternehmen und Webseiten-Betreibern bei der Anpassung ihres Webauftritts an die neuen Regeln.
Tipps der IHK München für gängige Website-Techniken und Tools
Die datenschutzrechtlichen Vorgaben der DSGVO gelten, sobald es sich bei den verarbeiteten, insbesondere erhobenen, Daten um personenbezogene Daten handelt. Nach Art. 4 Nr. 1 DSGVO sind alle Informationen personenbezogen, die sich auf eine identifizierbare oder identifizierte natürliche Person beziehen. Zu diesen Daten gehören:
- Name und Anschrift
- Angaben wie Alter, Geschlecht und Einkommen
- Daten über das Surfverhalten wie Suchanfragen und Browserverlauf
- IP-Adressen und sonstige User-Daten
- E-Mails, Videos und Fotos
- Daten, die mithilfe von Tracking-Software entstehen
- Bestellverlauf in einem Online-Shop
- Im Rahmen der DSGVO müssen Betreiber von Webseiten aller Art ihren Internetauftritt auf Konformität prüfen und gegebenenfalls auch das Newsletter-System, sofern dies in den Internetauftritt integriert ist.
Website-Hosting und Hoster
Unternehmen mit Internetauftritt speichern die dort anfallenden Daten meist nicht auf einem eigenen Server, sondern nutzen den Service eines externen Dienstleisters (IT-Hoster). Der Content auf der Website ist über die Server des Providers öffentlich abrufbar. Alternativ hosten Unternehmen mit eigener IT-Abteilung und Hardware ihren Internetauftritt auf einem eigenen Server.
Was ist das Problem bei der Nutzung von Website-Hosting?
Im Rahmen des Hostings bei einem Provider speichert dieser unter anderem die Inhalte der Website und im Falle eines Online-Shops zudem Kunden- und Zahlungsdaten auf seinen Servern ab. Zum Teil logt dieser auch Tracking-Daten über das Besucherverhalten auf der Website. Daher findet eine Verarbeitung, insbesondere Erhebung und Übermittlung, der personenbezogenen Daten statt.
Ist ein AV-Vertrag mit dem Hoster notwendig?
Ja, bei einer Auftragsverarbeitung lässt ein Unternehmen (Verantwortlicher) personenbezogene Daten durch eine andere externe Stelle verarbeiten. Das Unternehmen bestimmt allein über die Zwecke und Mittel der Verarbeitung. Ein IT-Hoster, der im Auftrag eines Unternehmens dessen Daten verarbeitet, insbesondere speichert, zählt zu Auftragsverarbeitern (weisungsgebundene Verarbeitung kundenbezogener Daten). Somit ist ein Vertrag über die Auftragsverarbeitung (AV-Vertrag) zu schließen.
Hinweis: Ebenso gelten Tätigkeiten wie Webdesign, Datenkonvertierung und das Erstellen von Back-ups im Sinne der DSGVO als Auftragsverarbeitung. Nur falls gar keine personenbezogenen Daten verarbeitet (z. B. erhoben) werden, handelt es sich nicht um einen Fall der Auftragsverarbeitung und es ist kein AV-Vertrag erforderlich.
Sie betreiben selbst einen Server?
Ein AV-Vertrag ist ebenfalls mit einem Dienstleister zu schließen, den Sie mit der Wartung Ihres Servers beauftragt haben, wenn dieser im Rahmen der Wartung auf personenbezogene Daten zugreifen kann. Die Möglichkeit des Zugriffs reicht bereits aus. Kann hingegen der Zugriff auf die personenbezogenen Daten vollumfänglich ausgeschlossen werden, liegt keine Auftragsverarbeitung vor.
Fazit
Webseiten-Hosting bedeutet, dass der Seitenbetreiber einen AV-Vertrag mit dem Hosting-Anbieter zu schließen hat. Die Provider stellen dafür AV-Verträge bereit.
SSL-Verschlüsselung (https)
Die SSL-Verschlüsselung (Secure Sockets Layer) ermöglicht die sichere Datenübertragung zwischen Client und Server, zum Beispiel sollten die Registrierung und der Einkauf bei einem Online-Shop über eine sichere Verbindung erfolgen. Diese Art der verschlüsselten Verbindung ist nicht nur an der Bezeichnung „https“ zu erkennen, sondern auch an dem grünen Schloss neben der URL im Browser. Innerhalb der SSL-Zertifikate gibt es drei verschiedene Sicherheitsstufen, wobei die sicherste Stufe an einer grünen Adressleiste zu erkennen ist. Damit ist die Sicherheit auch nach außen hin sichtbar.
Was ist das Problem bei nicht verschlüsselten Websites?
Füllt der Besucher einer Internetseite beispielsweise ein Kontaktformular aus und versendet dieses, findet die Datenübertragung vom Client des Anwenders zum Server statt. Geschieht die Datenübertragung unverschlüsselt über http, können zum Beispiel Cyberkriminelle die Daten abfangen und für kriminelle Zwecke missbrauchen.
Welche Lösungsansätze gibt es?
Zur sicheren Datenübertragung zwischen Client und Server eignet sich daher die Möglichkeit zur Verschlüsselung. In der Regel reicht hier eine Transportverschlüsselung. Das BSI empfiehlt als angemessene und dem Stand der Technik entsprechend eine Verschlüsselung mindestens mittels TLS 1.2 (Verfahren der Verschlüsselung) per https (SSL-verschlüsselte Transportverbindungen). Für die Verschlüsselung muss der Webseitenbetreiber ein SSL-Zertifikat erwerben. In der Regel ist ein solches Zertifikat kostenpflichtig oder im Angebot des Hosting-Providers enthalten.
Alternativ existieren zeitlich befristete Angebote von Dienstleistern, die Sie manuell verlängern müssen. Ein kostenloses und zeitlich limitiertes Zertifikat ist für Betreiber kleiner Websites mit begrenztem Budget interessant. Auf die Vertrauenswürdigkeit des Dienstleisters ist zu achten.
Bei sensiblen Daten (z. B. solchen, die einem Berufsgeheimnis unterliegen) ist eine Datenübertragung über eine Ende-zu-Ende-Verschlüsselung (Inhaltsverschlüsselung) zu sichern.
Fazit
Sobald Sie auf Ihrer Website personenbezogene Daten erheben, sollte der Datenaustausch per https abgesichert sein. Mit dem kostenlosen https-Check des Bayerischen Landesamts für Datenschutzaufsicht können Sie überprüfen, ob Ihre Website ausreichend verschlüsselt ist. Unter anderem ist die Verschlüsselung für Online-Shops verpflichtend, da Kontaktdaten und Zahlungsinformationen verarbeitet werden.
Log-Dateien auf dem eigenen Server
Mit Log-Dateien überwachen und protokollieren Webseitenbetreiber die Aktivitäten der Seitenbesucher. Es findet die Speicherung aller Anfragen und Zugriffe auf Unterseiten mit Statusmeldungen statt. Die gesammelten Daten haben für Administratoren großen Wert, denn mithilfe der Log-Dateien lässt sich jeder erfolgreiche und erfolglose Zugriff nachvollziehen. Die Protokollierung ist ein bewährtes Mittel, um Fehler aufzuspüren und zum Beispiel 404-Fehler zu beseitigen (wenn Besucher eine nicht existierende Unterseite öffnen möchten).
Was ist das Problem mit Log-Dateien?
Eine Log-Datei dient der Speicherung personenbezogener Daten, genauer werden folgende Daten protokolliert:
- Uhrzeit zum Zeitpunkt des Seitenzugriffs
- URL der besuchten Website
- Menge der übertragenen Daten in Byte
- Information über die Quelle, über die Besucher auf die Seite gelangen
- Angabe des Browsers
- Information zum Betriebssystem
- Speicherung der IP-Adresse des Besuchers (in anonymisierter Form)
Die Verarbeitung dieser Daten darf wie auch sonst nur erfolgen, sofern es hierfür eine Rechtsgrundlage gibt. Ein Beispiel ist das berechtigte Interesse für statistische Auswertungen.
Welche Lösungen gibt es für den Umgang mit Log-Dateien?
In der Datenschutzerklärung ist der Besucher der Website über die jeweilige Rechtsgrundlage zu informieren. Dabei gilt: Daten dürfen verarbeitet (insbesondere erhoben und ausgewertet) werden, wenn diese für die Sicherheit und Funktionsfähigkeit einer Website erforderlich sind. Derartige Daten dürfen nicht zur Auswertung der Verhaltensweisen der Besucher oder zur Profilbildung zum Einsatz kommen.
Fazit
Log-Dateien verarbeiten Informationen wie die IP-Adressen von Seitenbesuchern. Über die Nutzung der Log-Dateien müssen Sie in der Datenschutzerklärung informieren. Die Erklärung unterrichtet über die Verwendungszwecke der Server-Logfiles und der dort protokollierten Daten.
Kontaktformulare in der Website
Das Kontaktformular ist ein verbreiteter Service und vereinfacht Seitenbesuchern die Kontaktaufnahme mit dem Kundenservice des Unternehmens bzw. Betreibers der Website. Da Daten wie Name und Kontaktdaten abgefragt werden, erheben Sie mit einem Kontaktformular persönliche Daten und müssen Seitenbesucher deshalb zu Beginn der Nutzung über Art, Umfang und Zweck der Datenerfassung informieren. Dabei gilt:
- Nur notwendige Angaben abfragen (Grundsatz der Datenminimierung)
- Bei der Abfrage optionaler Angaben diese als freiwillig kennzeichnen
- Übermittlung der Daten möglichst über eine verschlüsselte Datenleitung („https“)
- Hinweis zu Kontaktformular in der Datenschutzerklärung
Was gibt es bei Kontaktformularen nach DSGVO zu beachten?
Die Datenverarbeitung, welche über Kontaktformulare auf Websites abgewickelt wird, ist personenbezogenen und damit in der Datenschutzerklärung zu beschreiben. Auf die richtige technische (eine verschlüsselte Datenverbindung) und inhaltliche Umsetzung ist zu achten.
Welche Lösungsansätze kommen infrage?
Die Verarbeitung personenbezogener Daten ist erlaubt, wenn es hierfür eine Rechtsgrundlage (z. B. Vertrag bzw. Vorvertrag oder Einwilligung) gibt (Art. 6 Abs. 1 DSGVO). Wie bisher sollte das Versenden der personenbezogenen Daten angemessen verschlüsselt per https erfolgen. Die Verschlüsselung über das SSL-Protokoll sollte dem aktuellen Stand der Technik entsprechen und mindestens per TLS 1.2 erfolgen.
Fazit
Betreiber einer Internetseite bieten Besuchern als Serviceleistung und Angebot (Rechtsgrundlage: vorvertragliches Schuldverhältnis) eine einfache Möglichkeit der Kontaktaufnahme. Hierbei sollten Websitebetreiber darauf achten, dass die Übertragung der persönlichen Daten über eine angemessen verschlüsselte Verbindung erfolgt. Die Datenschutzerklärung muss Informationen über die Zwecke sowie über Art und Weise der Datenverarbeitung enthalten.
Tracking- und Analyse-Software, Software zur Reichweitenmessung
Mithilfe von Tracking- und Analyse-Software wie Google Analytics und Matomo (ehemals Piwik) lernen Websitebetreiber viel über die Besucher ihrer Website und können ihren Internetauftritt zielgruppenspezifisch optimieren.
Was ist das Problem mit Tracking- und Analyse-Software?
Ist Software wie Google Analytics oder Matomo auf Ihrer Website aktiv, werden immer personenbezogene Daten (IP-Adressen) der Websitebesucher verarbeitet. Damit sind die Datenschutzbestimmungen zu beachten. Um die Dienste rechtskonform zu gestalten, müssen Sie Folgendes beachten.
Wie lassen sich Tracking- und Analyse-Software datenschutzkonform einsetzen?
Die Aufsichtsbehörden haben sich bundesweit dahin verständigt, dass Dienste zur statistischen Analyse ab sofort rechtlich differenziert werden müssen.
Software zur Reichweitenmessung
Die Tracking-Tools zur reinen Reichweitenmessung (Auswertung: ausschließlich das Nuterverhalten auf der Website für den Websitebetreiber) sind zulässig. Rechtsgrundlage hierfür ist ein „berechtigtes Interesse“ nach Art. 6 Abs. 1 f DSGVO, d. h. erforderlich sind zum einen eine Vorabinformation der Seitenbesucher (z. B. über Datenschutzerklärung) und eine Möglichkeit, einem anonymisierten Tracken zu widersprechen. Wichtig ist die Einbindung eines Opt-Out-iFrames, damit Besucher das Tracken deaktivieren können. So bietet z. B. Matomo das Plugin „PrivacyManager“ an, das der Admin aktivieren muss. In den FAQs von Matomo finden Sie weitere Informationen zum Opt-Out-Verfahren.
Tracking- und Analyse-Software
Die Tracking-Tools, die nicht nur das reine Nutzerverhalten auf der Website tracken, sondern zudem ein umfassendes “Internetprofil” eines Websitennutzers erstellen, dürfen ab sofort nur noch mit einer Einwilligung der Nutzer eingesetzt werden, Art. 6 Abs. 1 a DSGVO. Eine wirksame Einwilligung setzt voraus, dass die Nutzer über die geplante Verarbeitungstätigkeit vollständig informiert werden und aktiv zustimmen. Vielfach dürfte eine Einwilligung nicht wirksam eingeholt werden können, weil Websitenbetreiber nicht wissen und damit Websitenbesucher auch nicht darüber informieren können, welche Daten genau ein Tracking-Tool-Dienstleister zu welchen Zwecken verarbeitet (“freiwilligie informierte Einwilligung”).
Google Analytics
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mit Beschluss vom 12.05.2020 den Einsatz von Google Analytics neu bewertet. Die DSK hat klargestellt, dass Google Analytics so weiterentwickelt wurde, dass Google hierüber für eigene Zwecke Daten (z. B. Nutzerdaten oder personenbeziehbare Gerätedaten) erhebt und verarbeitet. Damit agiert Google nicht mehr wie ein Auftragsverarbeiter. Die DSK sieht Google und den Anwender von Google-Analytics als zwei gemeinsam für die Verarbeitung Verantwortliche an. Die DSK fordert, dass Google hierfür einen Joint Controllership-Vertrag nach Art. 26 DSGVO anbietet, der die Verantwortlichkeit beider Parteien regelt. Google sieht sich bei Google Analytics partiell als Auftragsverarbeiter und bietet Anwendern einen Vertrag über Auftragsverarbeitung an.
Weitere Informationen finden Sie in der Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 15. November 2019 und in dem Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden vom 12. Mai 2020.
Fazit
Ein rechtskonformer Einsatz eines Tracking-Tools zur reinen Reichweitenmessung setzt Folgendes voraus:
- Hinweis in der Datenschutzerklärung
- Anonymisierung der IP-Adresse
- Möglichkeit zum Widerspruch gegen anonymisiertes Tracken
- AV (sofern personenbezogene Daten auf Server des Tracking-Tool-Anbieters gespeichert werden)