Datenschutz für Webseiten wirtschaftlich umsetzen

Geschätzte Lesezeit: 2 Minuten, 58 Sekunden

Die Datenschutzgrundverordnung (DS-GVO) der Europäischen Union geht am 25. Mai 2018 ohne Übergangsfrist in aktives deutsches Recht über. Webseitenbetreiber müssen zahlreiche Pflichen erfüllen. Bei Verstößen drohen existenzbedrohende Strafen.

privacy protection

Was ist die Datenschutzgrundverordnung?

Die DS-GVO ist eine Verordnung der EU, die den Datenschutz von Personen deutlich verbessern soll. Personenbezogene Daten dürfen nicht ohne Zustimmung der Person oder ohen Rechtsgrundlage erhoben, verarbeitet oder gespeichert und schon gar nicht weitergegeben werden.

Warum für Webseiten relevant?

s
Seit 2017 gelten IP-Adressen als personenbezogene Daten. Das hat der oberste deutsche Gerichtshof, der BGH entschieden. Es ist unmöglich, eine Webseite zu besuchen, ohne seine IP-Adresse zu übertragen. Der Betreiber einer Webseite kann sich somit gar nicht dagegen wehren, dass er personenbezogene Daten seiner Besucher erhält.

Viele Internet Provider, wie beispielsweise Strato, protokollieren alle Zugriffe von Nutzern in einer Server Log Datei. Dabei werden auch nutzerspezifische Daten übertragen. Wer eine Karte von Google Maps auf einer Seite einbindet, überträgt die IP-Adresse seiner Nutzer zu Google, einem Unternehmen mit Sitz außerhalb der EU.

Eine Webseite verarbeitet also wahrscheinlich mehr personenbezogene Daten als jede andere Stelle einer Firma. Übrigens gilt die DS-GVO nicht nur für Firmen, sondern für jeden, der personenbezogene Daten verarbeitet, also für jeden Webmaster (bzw. den, der im Impressum der Website als Verantwortlicher genannt wird).

Das Problem

Die DS-GVO auf Webseiten umzusetzen ist ein Thema, das sowohl technische als auch juristische Expertise erfordert. Webmaster haben keine juristische Expertise, Rechtsanwälte keine technische. Abgesehen davon wissen die meisten Rechtsanwälte wenig von IT-Recht. Datenschutzbeauftragte sind Universalbeauftragte, die sich mit Webseiten im Allgemeinen nicht gut auskennen.

Wer seinen Nutzern in der Datenschutzerklärung nicht darlegt, wohin die Nutzerdaten (insbesondere IP-Adressen) übertragen werden, handelt rechtswidrig. Nun ist es so, dass die DS-GVO die Beweislast umkehrt. Wird jemand beschuldigt, Daten rechtswidrig verarbeitet zu haben, muss er im Zweifel selbst nachweisen, dass er alles richtig gemacht hat. Das gilt ab 25. Mai 2018, 00:00 Uhr. Außerdem drohen Bußgelder, die so hoch sein werden, dass viele Kleinbetriebe oder Einzelpersonen an den Strafen zugrunde gehen werden. Diese Strafen drohen für vermeintlich geringe Verstöße, wie etwa das unerlaubte Verarbeiten oder Weitergeben von IP-Adressen!

Eine ordentliche Datenschutzerklärung enthält Angaben zu allen Komponenten, die auf der gesamten Webseite samt aller Unterseiten verwendet werden. Eine Komponente ist Google Analytics, OpenStreetMap, ein Social Media Widget von Facebook oder Twitter, aber auch eine Werbeeinblendung oder jeder Drittinhalt, der über ein IFRAME eingebunden wird.

Wirtschaftliche Lösung

Eine durchschnittlich Webseite besteht aus ca. 300 Seiten, wie meine Analyse zeigt. Es ist ziemlich mühselig, jede einzelne Seite zu durchforsten und dabei jede verwendete Bibliothek, jedes Tool von Drittanbietern und jedes externe Script zu identifizieren. Das bedeutet, sich jede Seite im Browser aufzurufen, anzusehen und den Quellcode anzuschauen. Für Google Analytics sollte man dann gleich noch mit prüfen, dass die Anonymisierung der IP-Adressen aktiviert ist, ansonsten wäre der Einsatz nämlich generell nicht erlaubt (oder man müsste die Webseite ausblenden, bis der Nutzer sein Einverständnis erklärt hat).

Mit einem Webseiten Scan kann jede Internetpräsenz automatisch durchleuchtet und analysiert werden. Der Scan greift dabei auf eine Datenbank zurück, die hunderte von Komponenten kennt und weiß, wie jede einzelne identifiziert werden kann. Was dann noch notwendig ist, ist eine manuelle Nachprüfung.

Bisher scheint es nur dieses Schutzpaket zu geben, welches eine Leistung in diesem Umfang anbietet (das Angebot stammt von meiner Firma IT Logic GmbH). Im Gegensatz zu Anwälten ist der Preis erschwinglich und man kann ziemlich sicher sein, eine Webseite zu haben, die den aktuellen Datenschutzvorgaben entspricht. Das Schutzpaket bietet auch eine Prüfung von Impressum sowie von dessen Erreichbarkeit. Die wenigsten wissen, dass wirklich auf jeder einzelnen Seite einer Homepage der Impressumslink vorhanden sein muss. Er darf auch nicht durch einen Cookie-Popup Hinweis verdeckt sein. Natürlich gilt das für alle möglichen Auflösungen, also für Smartphones, Tablets, Notebooks und Desktop PCs. Wer den Service in Anspruch nimmt, erhält übrigens sein Geld zurück, wenn keine gravierenden Probleme gefunden werden!

Weil sich die Gesetze regelmäßig ändern, haben Webmaster und andere juristische Laien kaum eine Chance, am Ball zu bleiben. Und Anwälte können nicht besonders gut Quellcode lesen und hunderte von Pages einer Website scannen.

Buchempfehlung


Wie hat Dir der Artikel gefallen?

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (bisher keine Bewertungen)

 

Dr. Klaus Meffert
Folge mir

Dr. Klaus Meffert

Der Autor ist Diplom-Informatiker und hat neben seinem Beruf als Organisationsberater zum Doktoringenieur promoviert. Er besitzt 30 Jahre Erfahrung im IT-Bereich (Software-Lösungen, Apps, Web, Online-Marketing, IT-Beratung) ist mehrfacher Buchautor und Autor zahlreicher Fachartikel. Er hilft Unternehmen mit maßgeschneiderten Software-Lösungen und mit besseren Google-Rankings zu mehr Erfolg.
Dr. Klaus Meffert
Folge mir

Weitere Beiträge

Ein Gedanke zu „Datenschutz für Webseiten wirtschaftlich umsetzen

  1. Hallo Klaus,

    ich bin auf deinen interessanten Artikel gestoßen. Finde ihn sehr hilfreich. Vor allem aber deine Erläuterungen zur DS-GVO und dein Buchtipp, finde ich mehr als gelungen und sehr empfehlenswert. Danke dafür. Genau danach hatte ich gesucht.

    Liebe Grüße
    Timea

Schreibe einen Kommentar

Als Name kann auch ein Pseudonym angegeben werden. Deine Email-Adresse wird nicht veröffentlicht. Siehe unsere Datenschutzbestimmungen