Die wichtigsten Datenschutzpunkte für Webmaster

Welche Mängel Aufsichtsbehörden beklagen

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zum Beispiel hatte Websites mit sehr großer Reichweite untersucht. Obwohl sich einige der prominentesten Internetdienste unter den Geprüften befanden, fiel das Ergebnis aus Datenschutzsicht ernüchternd aus, so die Aufsichtsbehörde. Im Umgang mit Passwörtern und Tracking-Werkzeugen wurden zahlreiche Defizite erkannt, die Anlass für aufsichtliche Verfahren wurden:

• Das BayLDA als Aufsichtsbehörde hatte sich angesehen, wie Website-Betreiber mit den Passwörtern ihrer Nutzer umgehen. 20 Online-Dienste, die in Deutschland sehr beliebt sind, wurden hierfür näher untersucht, von sozialen Netzwerken über Videostreaming-Portale bis hin zu Online-Shops.
• Im Ergebnis stellte das BayLDA fest, dass bei keinem dieser Dienste starke Passwörter vom Nutzer gefordert wurden, oft sogar sehr schwache Passwörter wie „123456“, „Passwort“ oder sogar „0000“ möglich waren. Zusätzliche Sicherheitsmaßnahmen und Hilfestellungen zum Schutz des Accounts boten zudem nur eine überschaubare Anzahl an Diensten an.
• Darüber hinaus hatte das BayLDA bei 40 großen bayerischen Anbietern untersucht, ob die Nutzer transparent über die Einbindung von Drittanbietern, insbesondere von Tracking-Tools, auf der Website informiert wurden. Im Fokus standen auch die sogenannten Cookie-Banner, über die eine Einwilligung der Nutzer eingeholt werden soll.
• Auch hier war das Ergebnis der Kontrolle desolat: Die vorhandenen Cookie-Banner störten meist nicht nur die Benutzerfreundlichkeit der Dienste, sondern waren auch völlig wirkungslos im Schutz vor Tracking. Auf allen untersuchten Websites, die Cookie-Banner einsetzen, wurden weder die Nachverfolgung der Website-Besucher unterbunden noch die Anforderungen an eine zulässige Einwilligung nach der DSGVO erfüllt.

Worauf Webmaster im Datenschutz besonders achten müssen

Abweichungen von den Vorgaben der DSGVO können nicht nur Sanktionen der zuständigen Aufsichtsbehörde nach sich ziehen. Auch die Nutzer sind nicht begeistert, wenn der Datenschutz bei einem Online-Dienst nicht stimmt. Sechs von zehn Internetnutzern (62 Prozent) verzichten aus Sicherheitsgründen bewusst auf bestimmte Onlinedienste, wie eine Umfrage des Digitalverbandes Bitkom ergab.

Die folgenden Klassiker und neuen Punkte im Online-Datenschutz sollte deshalb jeder Webmaster bei den betreuten Internetauftritten unter die Lupe nehmen:

Online-Tracking und Cookies: Betreiber von Webseiten sollten sich nicht mehr an den Datenschutzvorgaben orientieren, die sich aus dem deutschen Telemediengesetz ergeben, denn auch wenn es die E-Privacy-Verordnung noch nicht final gibt, muss seit Ende Mai 2018 die Datenschutz-Grundverordnung zur Anwendung kommen. Deshalb gilt: Kann die Nutzung von Cookies und Tracking aus keinem rechtsgültigen Vertrag abgeleitet werden und ist die Interessenabwägung nicht zugunsten des Webseitenbetreibers, dann können Cookies, die für ein Tracking eingesetzt werden sollen, nur nach vorheriger, informierter Einwilligung genutzt werden. Das Verfahren, das viele Webseitenbetreiber einsetzen, ein Opt-Out-Verfahren nach TMG, reicht dann nicht aus.

Zugangsschutz für Nutzerkonten: Ein angemessener Zugangsschutz muss insbesondere dem Stand der Technik entsprechen. Die Aufsichtsbehörden für den Datenschutz verweisen unter anderem auf entsprechende Veröffentlichungen des BSI (Bundesamt für Sicherheit in der Informationstechnik), sie geben aber auch selbst in einer Orientierungshilfe Hinweise zur Zugangssicherung, insbesondere für den Fall, dass Online-Dienste angeboten werden.

Datenschutzerklärung (Privacy Policy) und Anbieterkennzeichnung (Gestaltung und Platzierung): Die Datenschutz-Grundverordnung verlangt viel von einer Datenschutzerklärung. Unter anderem besagt Artikel 12 DSGVO: „Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen (…), die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“. Was alles zu der Information der betroffenen Nutzer gehört, führt Artikel 13 DSGVO „Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“ auf.

Gewährleistung der Betroffenenrechte nach DSGVO: Die EU-Datenschutz-Grundverordnung sieht zum Beispiel ein Recht auf Datenübertragbarkeit vor. Personenbezogene Daten müssen auf Wunsch des Betroffenen von einem Anbieter auf einen anderen übertragen werden können. Ebenso müssen die Löschpflichten (Recht auf Vergessenwerden) umgesetzt werden. Zudem besagt die Datenschutz-Grundverordnung: Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat die betroffene Person ein Recht auf Auskunft über diese personenbezogenen Daten und auf in der DSGVO näher genannte Informationen zu der Datenverarbeitung.

Prüfung der Datenschutzfolgen: Wenn in Verbindung mit dem Online-Auftritt zum Beispiel neue Technologien eingesetzt werden sollen, ist die Notwendigkeit einer Datenschutzfolgenabschätzung zu prüfen. Wörtlich sagt die DSGVO: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ Das kann zum Beispiel dann der Fall sein, wenn eine Lösung zur Betrugsprävention bei einem Online-Shops genutzt werden soll oder wenn es sich bei der Webseite um ein Bewertungsportal handelt, um nur zwei Beispiele zu nennen.

Es zeigt sich: Die DSGVO ist für jeden Webmaster ein zentrales Thema, genau wie das IT-Sicherheitsgesetz mit den Vorgaben für Betreiber von Telemedien, zu denen geschäftsmäßig betriebene Webseiten gerechnet werden.