Onlinemedien, Datensicherheit und Datenschutz

Nicht erst seit dem „Cookie-Urteil“ des Europäischen Gerichtshofes (C673/17 Planet49 gegen Verbraucherzentrale) stehen Onlinemedien im Fokus der Datenschutzaufsichtsbehörden. Datenschutz und Datensicherheit sind bei der Konzeption und Realisierung von Onlineauftritten in der Vergangenheit sowohl von Unternehmen wie öffentlichen Stellen eher, wenn überhaupt, als Randthemen behandelt worden. In den allermeisten Fällen haben Verantwortliche als Betreiber diese Themen an Webdesigner und Webagenturen delegiert und wohl darauf gehofft, dass diese ihre Aufgabe sorgfältig und rechtskonform erfüllen. In den allerwenigsten uns bekannten Fällen wurden seitens der Auftraggeber konkrete Vorgaben hinsichtlich datenschutzrechtlicher und sicherheitstechnischer Anforderungen gemacht. Agenturen und Webdesigner hatten hier freie Hand und oftmals, zumindest im Hinblick auf datenschutzrechtliche Aspekte, wenn überhaupt, nur eine geringe Vorbildung.

Verantwortlich ist und bleibt der Auftraggeber

Das Fehlen konkreter Vorgaben zu datenschutzrechtlichen und sicherheitstechnischen Fragen kann sich bitter rächen. So musste beispielsweise die CSU Bayerns nach einem gelungenen Angriff auf ihren Onlineshop einräumen, dass dieser seit Erstellung niemals mehr aktualisiert worden war. Selbst Bundesministerien, wie jüngst das Bundesministerium für Familie, Senioren, Frauen und Jugend, fallen mitunter durch eine mangelhafte Umsetzung von Sicherheitsstandards bei Websites auf. Auch bei unseren Audits müssen wir immer wieder feststellen, dass veraltete und nicht mehr mit Sicherheitsupdates versorgte Softwarekomponenten im Einsatz sind, ein klarer Verstoß gegen die DSGVO.

Der Verweis von Auftraggebern, dass dies Aufgabe der Agentur sei, wird von diesen häufig mit dem Hinweis gekontert, es läge kein Auftrag für eine regelmäßige Aktualisierung vor. Dass allerdings viele Agenturen ihre Auftraggeber hinsichtlich der Notwendigkeit für regelmäßige Updates Sorge zu tragen im Unklaren lassen, ist die andere Seite der Medaille. Die Verantwortung für datenschutzrechtliche Verstöße liegt nach Art. 28 DSGVO klar beim Auftraggeber, solange der Auftragsverarbeiter nicht gegen Weisungen des Auftraggebers handelt. Es macht also absolut Sinn, Dienstleister mit klaren vertraglichen Regelungen und Vorgaben zu beauftragen.

Sie wissen nicht, ob Ihre Website oder Ihr Shop datenschutzrechtlich einwandfrei aufgesetzt ist?

Mit einem Datenschutzaudit, das auch die aktuelle Rechtsprechung einbezieht und konkrete Lösungsvorschläge beinhaltet, erhalten Sie eine gute Grundlage für Ihre Einschätzung. Ein Datenschutzaudit für Ihren Shop oder Ihre Website kommt allemal günstiger, als ein mögliches Bußgeld oder gar die Klage eines Verbraucherschutzverbandes. Mehr zu den Kosten finden Sie hier.

Fallstricke für Verantwortliche

1. Mangelhafte Pflege

Die bereits angesprochene mangelhafte Pflege eigener Onlinepräsenzen ist der erste gravierende Fallstrick für den Verantwortlichen. Leider stellen wir bei Datenschutzaudits immer wieder veraltete PHP-Versionen, uralte Shop- oder CMS-Software, nicht gewartete Webserver etc. fest. Die daraus entstehenden Sicherheitslücken sind eine Einladung für Cyberkriminelle.

2. Einbindung von Drittanbietern ohne Rechtsgrundlage

Die Einbindung von Drittanbietern ohne hinreichende Rechtsgrundlage ist ein weiterer gängiger Verstoß gegen die DSGVO. Bei unserer Untersuchung von Websites im Gesundheitswesen verzichteten lediglich drei von 45 untersuchten Websites auf die Einbindung von Drittanbietern. In fast allen Fällen war die Art der Einbindung nicht rechtskonform oder zumindest fragwürdig.

3. Fehlende Verschlüsselung

Eigentlich sollte sich längst herumgesprochen haben, dass die unverschlüsselte Übertragung personenbezogener Daten, beispielsweise bei Webformularen, ein absoluter Fauxpass ist. Dennoch finden wir immer wieder Websites, die glauben, sie könnten auf SSL Verschlüsselung verzichten.

4. Fehlende Transparenz

Ganz ehrlich, so manch eine Datenschutzerklärung ansonsten seriöser Unternehmen liest sich wie eine Märchenstunde. Nur fehlt in aller Regel die literarische Schöpfungshöhe. Deshalb hält sich der Genuss beim Lesen in deutlichen Grenzen. Transparenz über die tatsächlich stattfindenden Verarbeitungsprozesse? Fehlanzeige!

5. Sinnlose Cookiebanner

Absolut sinnlose, dafür aber rechtswidrige Cookiebanner sind trotz klarer, höchstrichterlicher Rechtsprechung noch immer häufig anzutreffen. Abgesehen davon, dass diese Dinger nur noch nerven, taugen Sie bestenfalls zur (falschen) Beruhigung des Verantwortlichen.

6. Fehlerhaft programmierte oder eingebundene Consent-Tools

Consent-Tools, die entweder aufgrund von Programmierfehlern oder fehlerhafter Einbindung, nur den Anschein von Legalität vorgeben, sind rechtsunwirksam. Im Grenzbereich liegen Consent-Tools, die zwar sauber programmiert und eingebunden sind, aber aufgrund ihrer Gestaltung es dem Besucher nahezu unmöglich machen, eine wirklich freie und informierte Einwilligung in Verarbeitungsprozesse zu erteilen.

Datenschutz und Datensicherheit sollten schon in der Planungsphase einbezogen werden.

Wer vor der Frage steht, seinen Internetauftritt oder Shop neu zu gestalten, ist gut beraten, die zentralen Fragen des Datenschutzes und der Datensicherheit von Anfang an in der Planung zu berücksichtigen. Dies gilt auch für Unternehmen, die auf einen Webbaukasten oder fertigen Onlineshop zurückgreifen möchten. Selbst große Anbieter tun sich mitunter schwer bei der Umsetzung rechtlicher Vorgaben. So sind beispielsweise zum Zeitpunkt des Erscheinens dieses Artikels weder Strato noch IONOS in der Lage, den Nutzern ihrer Webbaukästen ein rechtskonformes Consent-Tool anzubieten.

Die Orientierung an den Gewährleistungszielen des Standard-Datenschutzmodell der DSK sollte für künftige Planungen handlungsleitend werden. Gern stehen wir für Ihre Fragen zur Verfügung.


Diese Seite verwendet die Shariff-Lösung der Ct.
Ihre Daten werden erst dann an Dritte übertragen, wenn Sie auf den entsprechenden Button klicken.

Herzlichen Dank fürs Teilen und Bekanntmachen dieser Seite.