Datenschutz
Immer noch sind viele Unternehmens-Websites nicht datenschutzkonform. Wir zeigen Ihnen, wie Sie es besser machen.
Zum Blog Wissen kompaktVier Jahre seit Inkrafttreten der DS-GVO ist es fast schon eine Binsenweisheit: Unternehmens-Websites müssen nicht nur gut aussehen, benutzerfreundlich sein und wertvolle Informationen transportieren. Sie müssen auch geltende Datenschutzanforderungen erfüllen.
Doch obwohl diese Tatsache bekannt ist, sind lange nicht alle Unternehmens-Websites datenschutzkonform.
Im Gegenteil: Datenschutzbeauftragter Karsten Schulz stellt in der Praxis immer wieder fest, dass zwar Benutzeroberfläche und Bedienung von Consent Managern datenschutzfreundlich gestaltet sind. Wenn man überprüfe, was der Browser so treibt, sehe die Sache allerdings anders aus.
Im Folgenden gehen wir darauf ein,
Für den Datenschutz auf Websites sind vor allem zwei Gesetze beziehungsweise Verordnungen relevant:
Wichtig: Viele gängige Cookie Consent Tools ermöglichen es, die Anforderungen der DS-GVO und des TDDDGs umzusetzen. Sie tun dies aber nicht automatisch. Betreiber:innen beziehungsweise Agenturen müssen die richtigen Einstellungen auswählen.
Wir haben es angesprochen: Das Bewusstsein dafür, wie wichtig Datenschutz im Internet ist, ist in den letzten Jahren gestiegen. Dennoch erfüllen viele Websites die Vorgaben der DS-GVO und des TDDDGs nur unzureichend.
Besonders häufig beobachtet Karsten Schulz folgende Verstöße:
Unzureichender Datenschutz auf Websites hat laut Karsten Schulz vor allem einen Grund: eine mangelhafte Kommunikation zwischen der Agentur, die die Website erstellt, und der Person auf Unternehmensseite, die für die Inhalte verantwortlich ist. „Beide sprechen nicht ausreichend über die Problematik.“
Um dieses Dilemma zu lösen, rät Karsten Schulz zu einem dreistufigen Prozess:
1. Datenschutzbeauftragte ins Boot holen
Unternehmen sollten ihre:n Datenschutzbeauftragte:n von Beginn an in die Erstellung der Website einbinden. Falls erforderlich empfiehlt Karsten Schulz, weitere Fachleute hinzuzuziehen, die sich mit der Web-Technologie auskennen.
2. Agentur zu Auflistung verpflichten
Kaum eine Agentur lässt sich vertraglich dazu verpflichten, eine datenschutzkonforme Website zu erstellen. Aber Unternehmen können sie auffordern, alles aufzulisten, was vielleicht für den Datenschutz relevant ist (welche Cookies die Website setzt, welche Schriftarten sie wie verwendet, mit welchen externen Stellen die Webseite beim Laden Kontakt aufnimmt, etc.).
3. Website überprüfen
Wenn der Prototyp abgeliefert oder die Website frisch online ist, rät Karsten Schulz, zu überprüfen, welche Cookies gesetzt werden und zu welchen externen Stellen beim Laden Netzwerkverbindungen aufgebaut werden, und die Ergebnisse mit der Datenschutzerklärung abzugleichen. Dazu genügen Browsertools. Am besten wiederholen Datenschutzverantwortliche diesen Prozess in regelmäßigen Abständen.
Tracking Tools sind verbreitet auf Unternehmens-Websites. Besonders beliebt: Google Analytics.
Der Haken dabei: Für die Verwendung solcher Tracking Tools ist eine Einwilligung notwendig. Und selbst dann stellt das Tracking mit Drittland-Tools wie Google Analytics eine juristische Grauzone dar.
Möchten Unternehmen nur herausfinden, wie gut ihre Website funktioniert, empfiehlt Karsten Schulz deshalb Matomo. Dabei handelt es sich um eine Open-Source-Plattform, die sich auf einem eigenen Server betreiben lässt und eine einfache Anonymisierung der IP-Adresse der Seitennutzerinnen und -nutzer anbietet.
Sobald Unternehmen Werbenetzwerke wie Google Ads oder Facebook Ads verwenden, reicht diese Lösung nicht mehr aus. Dann müssen sie für Tracking Tools die Einwilligung von Besucherinnen und Besuchern einholen – unter dem Risiko, dass diese sie verweigern.
Ist eine Unternehmenswebsite nicht datenschutzkonform, kann dies verschiedene Folgen haben. Gegenüber Datenschutzbehörden ist es vor allem wichtig, nachzuweisen, dass man sich um den Datenschutz bemüht hat. Gelingt dies, halten sich die Konsequenzen im Regelfall in Grenzen.
Karsten Schulz rät Webseitenbetreiberinnen und -betreibern aber, noch eine andere Gefahr auf dem Schirm zu behalten. Denn in der jüngsten Vergangenheit akzeptierten deutsche Gerichte immer häufiger immaterielle Schadensersatzansprüche auf Basis von DS-GVO-Verstößen. Damit steigt das Risiko von Abmahnwellen, wenn die Anforderungen der DS-GVO auf Websites nicht eingehalten werden oder die Anforderungen des TDDDGs für Cookies ignoriert werden. Abmahnungen aber können neben Kosten hohen Aufwand verursachen. Schließlich verspielen Unternehmen das Vertrauen von Webseitenbesucherinnen und -besuchern, wenn sie nachlässig mit personenbezogenen Daten umgehen.
Es lohnt sich also aus vielen Gründen, öfter mal zu überprüfen, was die eigene Website mit Besucherdaten macht.
Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.
Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.
Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.