Fünf Tipps für eine DSGVO-konforme Website

Datenschutz als Aushängeschild: Worauf Betreiber als Erstes achten müssen

Die Website eines Betriebes dient als digitale Visitenkarte. Hier stellen Unternehmen sich und ihr Angebot ins Schaufenster. Mit diesem Auftritt möchten sie Kunden begeistern, Interessenten von den eigenen Leistungen überzeugen und bei allen Außenstehenden einen perfekten Eindruck hinterlassen. Schließlich kann heutzutage jedes Unternehmen davon ausgehen, dass Neugierige vor der Kontaktaufnahme nach dem Betrieb googeln und sich die Website anschauen werden. Aber nicht nur Kunden und Interessenten landen auf der Firmenseite, sondern auch Lieferanten, Wettbewerber, Abmahnanwälte, Datenschutzbehörden oder Cyberkriminelle ... 

Damit der Online-Auftritt beim eigenen Netzwerk überzeugt, investieren Betriebe neben Geld und Zeit oft jede Menge Herzblut, Engagement und Überlegungen. Viele arbeiten mit kreativen und technisch versierten Dienstleistern zusammen, damit sich das Ergebnis optisch sehen lassen kann. Leider fallen die sicherheitstechnischen und rechtlichen Komponenten einer Website oft fahrlässigerweise durchs Raster. Dabei schauen sich Abmahnanwälte oder Wettbewerbsvereine vor allem das Impressum an. Bei einem Shop auch die AGBs. Und bei Unternehmen, die einen Blog betreiben, suchen prüfende Blicke gerne mal, ob Bildrechte verletzt werden.

Expertentipp für ein wasserdichtes Impressum

Um rechtlich auf Nummer sicher zu gehen, sollte jeder Betrieb sein Impressum durch einen Juristen prüfen lassen. Auch bei reinen Infoseiten – ohne Shop oder Blog – muss das Impressum stimmen. Was dazugehört, entnehmen Interessierte zum Beispiel der Website des Bundesjustizministeriums:

Schritt für Schritt zum sicheren Webauftritt

Wer beim Thema Datenschutz auf seiner Website aufrüsten will und muss, fragt am besten einen Datenschutzbeauftragten oder -berater. Trotzdem finden Anbieter im Folgenden schon mal fünf wichtige Tipps, um eine Webseite DSGVO-konform aufzustellen:

1. Datenschutzerklärung – schnell zu finden

Jede Website braucht eine Datenschutzerklärung. So erfüllt der Verantwortliche seine Informationspflicht nach Artikel 13 der DSGVO. Damit Besucher die Datenschutzerklärung leicht finden, bauen Betreiber meist unten im Footer einen direkten Link ein. Mit nur einem Klick können User so genau nachlesen, was mit ihren Daten beim Anschauen der Website passiert. Die Hinweise erklären, warum und auf welche Weise die Seite personenbezogene Daten erhebt und weiterverwendet. Gleichzeitig muss der Betreiber alle Webseitenbesucher über ihre Rechte informieren. Außerdem brauchen Nutzer die Information, wo sie sich bei einer Beschwerde oder einen Widerspruch zur Datenverarbeitung hinwenden können.

Wichtig ist, dass die Formulierungen der Datenschutzerklärung leicht zu verstehen sind, Stichwort: einfache Sprache. Die Erklärung muss vollständig sein, also über alle Dienste und Drittanbieterverbindungen informieren, die auf der Website technisch passieren. Dazu gehören auch längst vergessene Unterseiten, die keiner mehr auf dem Schirm hat, auf denen aber noch Dienste laufen. Viele setzen bei der Datenschutzerklärung auf simple und kostenfreie Generatoren. Doch sie lohnen sich nur bedingt. Schließlich müssen Betreiber sie aktiv mit dem füttern, was sie über die Website wissen. Gleichzeitig muss jede Änderung zügig eingetragen werden. Da hilft ein Profi.

2. Datenschutzerklärung – vollständig und transparent 

Auch der Inhalt der Erklärung muss natürlich stimmen. Jede Firmenseite muss zum Beispiel angeben, an wen User sich wenden können, wenn sie zur Verarbeitung ihrer Daten Fragen haben. Dazu gehören Name und Kontaktdaten des Verantwortlichen sowie – falls vorhanden – des Datenschutzbeauftragten. Zudem haben User das Recht, den Zweck und die Rechtsgrundlage zu erfahren: Wozu sammelt der Websitebetreiber die Daten eigentlich? Machen Sie als Unternehmen hier genaue Angaben. Denken Sie daran, eine Rechtsgrundlage für die Verarbeitung anzugeben. Dazu können Unternehmen auf die Bedingungen aus Artikel 6 der DSGVO zurückgreifen. Ein Restaurant beispielweise hat berechtigtes Interesse an Namen und Adresse, weil es die Infos an den Lieferdienst weitergeben muss, der die Pizza ausliefern soll. Das berechtigte Interesse darf dabei zu keinem Zeitpunkt Grundrechte verletzen.

In die Datenschutzerklärung gehört auch eine Info, an welche Dienstleister der Betreiber die Daten der Nutzer weitergibt. Das sind zum Beispiel Tracking-Tools wie Google Analytics oder Plug-Ins, die die Funktionalität der Seite sichern. Werden die Daten dabei in ein Land übermittelt, in dem die europäische DSGVO nicht gilt, müssen Betreiber darauf gesondert hinweisen.

Dann geht’s um die Speicherdauer: Wie lange bleiben die erhobene Daten im System? Wer keinen festen Zeitraum abschätzen kann, erklärt, nach welchen Kriterien sich die Speicherdauer richtet, bzw. was ausschlaggebend für das Löschen ist. Weisen Sie zudem Nutzer auf deren Betroffenenrechte hin. Dazu gehören Auskunftsrecht, Widerrufsrecht oder Beschwerderecht. Sofern im Hintergrund eine automatisierte Entscheidungsfindung läuft, müssen Betreiber ebenfalls darüber aufklären. Das kann eine Bonitätsprüfung oder ein sonstiger Algorithmus sein, der Daten zum Erstellen eines Profils nutzt. Abschließend sollten Betreiber erklären, ob die Bereitstellung der Daten verpflichtend ist oder auf einer gesetzlichen Basis beruht.  

3. Einwilligung holen: Ja, nein, vielleicht?

Viele haben die für Websitebesucher nervigen Cookie-Banner inzwischen ersetzt – durch die noch nervigeren Consent-Manager. Sie unterscheiden sich darin, dass früher die Betreiber einfach nur informiert haben, dass zum Beispiel Google-Analytics auf der Website installiert ist – nach dem Motto: „Friss oder Stirb“. Nach einem Urteil des europäischen Gerichtshof müssen Betreiber inzwischen für bestimmte Dienste wie Tracking für Statistik oder Marketing explizit eine Einwilligung vom Websitebesucher einholen.

Technisch ist ein Consent-Manager also eine ganz andere Hausnummer als der alte Cookie-Banner. Die Technik muss sicherstellen, dass die Dienste auf der Website erst dann geladen werden, wenn die Einwilligung tatsächlich vorliegt – der User also aktiv akzeptieren geklickt hat. Gleichzeitig darf der Websitenutzer seine Meinung jederzeit ändern. Auch das muss technisch möglich sein.

Inzwischen hat sich eine Umsetzung dieser Consent-Manager eingeschlichen, die Aufsichtsbehörden ein Dorn im Auge ist und in Zukunft auch abgemahnt werden könnte: Viele dieser Manager sind so aufgebaut, das User entweder Akzeptieren oder individuelle Einstellungen vornehmen können. Dann öffnet sich ein Menü mit zahlreichen Schiebereglern. Diese Art der Umsetzung ist nicht in Ordnung. Vielmehr soll der Webseitenbesucher direkt auf der Startseite drei Optionen bekommen: alles ablehnen, alles akzeptieren oder individuell einstellen. Das Angebot eines klares „Neins“ wird dort jedoch gerne vergessen.

4. Cookies und Tracking: Überhaupt notwendig?

Immer wieder gibt es Websites, deren Betreiber die Vorgaben der DSGVO völlig zu ignorieren scheinen. Das ist ein Spiel mit dem Feuer. Sehr oft habe ich in meiner Laufbahn als Datenschutzexperte aber auch schon gegenteilige Extreme erlebt: nämlich, dass Webseiten Cookies setzen oder Google Analytics implementiert haben, obwohl es niemand benötigt.

Wer sich bei diesem Thema unsicher fühlt, sollte mit seinem Vertrieb/Marketing sprechen, ob die Abteilungen die Dienste tatsächlich brauchen. Wenn nicht, entfernen Sie sie. Dann benötigen Seiten auch keinen Consent-Banner. Die Website-User werden es wohlwollend zu Kenntnis nehmen.

5. Technische Check-ups: Lücken finden und schließen

Viele verfallen beim Thema Datenschutz in kühle Starre oder in blinden Aktionismus. Auch regelmäßig Updates aufspielen reicht leider nicht aus, um ausreichend Schutz zu bieten. Die meisten wissen gar nicht so genau, wie der Status quo der eigenen Site gerade aussieht: Wie sicher ist der Online-Auftritt aktuell? Kennen wir das Sicherheitsniveau? Ist die Seite leichte Beute für Cyberkriminelle? Wer es genau erfahren will, kann einen kostenlosen Selbsttest machen. Zum Beispiel hier: privacyscore.org. Alternativen liefern kostenpflichtige Sicherheitsscans (Penetrationstest für die IT), bei dem verschiedene Angriffe auf der Website simuliert werden. Anschließend bekommt das Unternehmen einen Bericht mit Maßnahmenempfehlungen.

Auch ein professioneller DSGVO-Webseitencheck kann Betreibern Sicherheit geben oder Handlungsbedarf aufzeigen. Mit einem kostenlosen Check der Startseite erhalten Betreiber ein direktes Feedback in Form eines Berichts mit Handlungsempfehlungen. Wenn bei diesem Check Lücken auffallen, können Unternehmen hier gezielt nachlegen. Ein Komplettcheck prüft die vollständige Website. Nutzer erhalten einen ausführlichen Bericht für ihre Datenschutzdokumentation, eine angepasste Datenschutzerklärung und das Siegel „Datenschutz geprüfte Webseite“ für die Homepage.

Mit diesen fünf Tipps haben Betreiber eine gute Orientierung für ihre DSGVO-konforme Website. Auch wenn es mitunter kompliziert klingt: Ein datenschutzsicherer Online-Auftritt ist kein Hexenwerk. Wer sich Stück für Stück mit dem Thema beschäftigt, kann seine digitale Visitenkarte völlig zu Recht als Aushängeschild für die Themen Datenschutz und IT-Sicherheit einsetzen.