Website-Compliance

Die DSGVO ist in Kraft. Auch wenn sie nach zwei Jahren Übergangszeit immer noch für viele Unternehmen überraschend kam, haben die meisten in einer Nacht- und Nebelaktion schnell ihre Webseite an DSGVO angepasst. Schließlich ist die Webseite ja nach außen sichtbar und da will niemand schlecht aussehen.

Also: Schnell eine Datenschutzerklärung erstellt (oder auch zusammenkopiert….) und live gestellt, Cookie-Banner dazu und bei Google Analytics die Anonymisierung eingeschaltet. Und dann?

War es das?

Kann sein. Kommt aber drauf an!

Der Reihe nach:

Website Compliance

Unter Website Compliance verstehen wir die Einhaltung der einschlägigen Vorschriften für eine bestimmte Webseite. Dies impliziert es schon: Dies ist eine individuelle Betrachtung und hängt ganz wesentlich von den Funktionen einer Webseite und den genutzten technischen Mitteln ab.

In Frage kommen als mögliche Vorschriften nicht nur die aktuell viel zitierte DSGVO, sondern weitere Vorschriften, wie das Telemediengesetz, das Urheberrecht, das Wettbewerbsrecht, möglicherweise branchenspezifische Regelungen, Verbraucherschutzregelungen, etc.

Da wird es dann komplexer und erfordert eine individuelle Betrachtung.

Datenschutz

Fokussieren wir auf ausgewählte Fragestellungen zum Datenschutz:

Ist eigentlich klar, wer für die Webseite die verantwortliche Stelle (im Sinne der DSGVO) ist? Normalerweise ist dies im Impressum klar benannt. Aber bei komplexen Internetauftritten internationaler Unternehmen ist dies oft nicht mehr so klar.

Entsprechen die Angaben der Datenschutzerklärung tatsächlich den technischen Gegebenheiten?

Das ist ja nicht ganz unwichtig: Wenn die Datenschutzerklärung erläutert, dass der Server die IP-Adresse für alle möglichen Zwecke benötigt und dann 30 Tage Aufbewahrungsfrist enthält, dann sollte das auch in der Technik so eingestellt sein. Ob das auch so ist, kann nur mit technischem Sachverstand und Zugriff zu den entsprechenden Servereinstellungen mit Sicherheit festgestellt werden. In der Praxis erfolgt die Aufbewahrung oft durch die Grundeinstellungen viele Jahre lang ohne erkennbaren Nutzen.

Wenn Sie bestimmte Dienste nutzen und diese in der Datenschutzerklärung enthalten sind, entstehen eine Reihe Komplexitäten: Haben Sie mit den Anbietern Verträge abgeschlossen (im Normalfall die „Auftragsverarbeitung“ nach Art. 28 der DSGVO)?

Haben Sie tatsächlich ALLE Dienste erfasst, die Ihre Webseite nutzt? Hier gibt es oft große Überraschungen, welche Dienste Webdesigner routinemäßig einbinden, deren Relevanz für die Einhaltung der Datenschutzvorschriften aber völlig unbekannt ist oder aber ignoriert wird.

Nutzen Sie Videos auf Ihrer Webseite? Wenn beispielsweise auf Youtube gespeicherte Videos mit dem von Youtube bereitgestellten Code auf Ihrer Webseite eingebunden werden, übermitteln Sie Daten des Benutzers an Google. Das ist kaum bekannt. Ist dies in Ihrer Datenschutzerklärung wiedergegeben?

Bietet Ihre Webseite ein Kontaktformular an? Wenn ja, erfolgt die Übermittlung verschlüsselt? Werden nur wirklich notwendige Daten als Pflichtfelder abgefragt? Was passiert mit den übermittelten Daten? Muss der Nutzer seine Zustimmung zur Datenverarbeitung per Klick/Haken erteilen? Dann sollte das entfernt werden!

Verarbeiten Sie Gesundheitsdaten Ihrer Nutzer (besondere Kategorien personenbezogener Daten)? Das sind dann schon solche einfachen Dinge wie Ausschlüsse bestimmter Lebensmittel wegen Unverträglichkeiten, wenn Sie Veranstaltungen organisieren. Hierfür gelten ergänzende Vorschriften.

Kann man sich auf Ihrer Webseite registrieren? Wenn ja, mit welchen Daten, für welchen Zweck? Ist die Zweckbindung sichergestellt (also werden die Daten nur für den ursprünglichen Zweck genutzt)? Erfolgt die Registrierung in Übereinstimmung mit der aktuellen Rechtslage? Wie erfolgt die weitere Verarbeitung der personenbezogenen Daten? Werden diese in internen Systemen weiterverarbeitet? Wie werden diese geschützt? Gibt es Aufbewahrungs- und Löschkonzepte? Hier erfordert eine Webseitenfunktionalität möglicherweise direkt Maßnahmen in der Unternehmensorganisation, um gesetzliche Vorschriften einzuhalten. Und: Ist das alles sachgerecht in der Datenschutzerklärung erfasst?

Haben Sie Bilder oder andere personenbezogene Daten Ihrer Mitarbeiter auf der Internetseite (das macht sie ja ein bisschen persönlicher)? Dann müssen zumindest in Zukunft Regelungen hierfür getroffen werden, denn dies betrifft die Rechte der Personen unmittelbar. Zu bedenken ist: Erteilte Einwilligungen können widerrufen werden. Darauf muss man vorbereitet sein.

Sonstiges

Entspricht das Impressum den Anforderungen (einschließlich branchenspezifischer Pflichtangaben)? Hier werden immer noch Fehler begangen, auch wenn die Vorschrift hierfür schon einige Jahre alt ist.

Ist fremdes Bildmaterial korrekt mit Quellenangaben gekennzeichnet? Hier bestehen Vorschriften, die teilweise von den Bildagenturen ergänzt bzw. konkretisiert werden. Eine Nicht-Einhaltung kann zu kostenpflichtigen Forderungen der Rechteinhaber führen.

Können Benutzer bei Ihnen Inhalte erstellen? Hierzu zählen auch Kommentare, Foreneinträge oder ganze Beiträge? Für diese ist der Seitenbetreiber zumindest teilweise verantwortlich. Welche Prozesse bestehen hierfür, wie wird dies reglementiert?

Fazit

Die dargestellte Abhandlung zeigt, dass Website Compliance ein vielschichtiges Thema ist, das die Kombination von technischen Kenntnissen und der Kenntnis der gültigen Vorschriften erfordert. Abhängig vom Funktionsumfang einer Webseite ist auch die Identifikation der anwendbaren Vorschriften wichtig.

Die Umsetzung der Anforderungen der DSGVO sind ein guter Anlass, eine umfassende und intensive Prüfung von Internetauftritten vorzunehmen, ob die Technik, die Vorschriften und die abgegebenen Erklärungen tatsächlich im Einklang stehen.