Archive

Home » News » Anforderungen aus dem Datenschutz und der IT-Sicherheit für Websites

Anforderungen aus dem Datenschutz und der IT-Sicherheit für Websites

Home » News » Anforderungen aus dem Datenschutz und der IT-Sicherheit für Websites
alle News

Auch wenn soziale Netzwerke mehr und mehr in den Mittelpunkt rücken, bleibt die eigene Website weiterhin der zentrale Anlaufpunkt für Interessenten, Kunden, Lieferanten und Partner. Neben diverser Maßnahmen aus dem Marketing ergeben sich bei dem Betrieb der Website auch hohe Anforderungen aus dem Datenschutz und der IT Sicherheit.

Während die konforme Umsetzung von datenschutzrechtlichen und it-sicherheitstechnischen Maßnahmen bei internen Prozessen eher im Verborgenen bleibt, ist die Umsetzung dieser Anforderungen auf der Unternehmenswebsite für jedermann öffentlich einsehbar. Abweichungen sind damit nicht nur für Kunden und Interessenten ersichtlich, sondern auch für Aufsichtsbehörden und Verbraucherzentralen.

Wir haben für Sie zusammengefasst, welche technischen und organisatorischen Maßnahmen wir Ihnen im Zusammenhang mit Ihrer Website empfehlen.

Vertrauliche Teamplayer für den laufenden Betrieb der Website

Zum Betrieb einer Website werden in der Regel verschiedene interne und externe Akteure mit Zugriffsrechten eingebunden. Beispiele hierfür sind:

  • Der Betreiber des Rechenzentrums, in dem der Webserver stationiert ist.
  • Externe Dienstleister, die an der Entwicklung der Website mitwirken.
  • Mitarbeiter, die intern die Website verantworten.

Alle diese Beteiligten greifen in den jeweiligen Arbeitsaufgaben nicht nur auf Programmcodes zu, sondern auch auf personenbezogene Informationen, die durch oder über Webseitenbesucher kreiert werden. Damit ergeben sich aus dem Datenschutz und der IT-Sicherheit Anforderungen an die Vertraulichkeit und Einhaltung von Regeln, die über Vereinbarungen/Verträge abzuwickeln sind.

Eine gezielte Auswahl von zuverlässigen Partnern und den passenden Dienstleistungspaketen sind essentielle Voraussetzungen. Als Verantwortlicher für die Website sollten Sie immer wissen, in welchem Rechenzentrum sich Ihr Webserver befindet, welche Zugriffsrechte durch welche Akteure bestehen, welche Regeln definiert wurden und welche Verantwortlichkeiten auf die zugrunde liegenden Prozesse existieren. Diese Verantwortlichkeiten wiederum sollten in Vereinbarungen schriftlich fixiert werden.

Verantwortung, Wartung und Pflege der Website

Die bereits genannte Zuordnung von Verantwortlichkeiten stellt sich im Kontext von Websites als besonders herausfordernd dar. Oft ist die Zuordnung für den Betrieb und die Wartung von Websites nicht klar definiert. Interne Mitarbeiter gehen davon aus, dass Datensicherungen und das Updatemanagement von Website und der zugrunde liegenden IT Systeme durch eingebundene externe Dienstleister erfolgen. Diesen wiederum fehlt oft ein klarer Auftrag für die Umsetzung der Aufgaben. Damit bleiben maßgebliche Sicherheitsmaßnahmen unbehandelt. Für einen Notfall könnte dies bedeuten, dass kein aktueller Sicherungsstand vorliegt und damit der bestehende Webauftritt verloren gehen könnte.

Auch das Auslagern in ein Rechenzentrum bedeutet nicht, dass damit die Datensicherung automatisch geregelt wäre, was der Vorfall bei OVH Anfang 2021 aufzeigt.

Dokumentation - ein wichtiger Baustein in der Notfallbehandlung

Alle wichtigen Informationen zur Website müssen sich ebenfalls in der internen IT Dokumentation wiederfinden. Die Aufzeichnungen sollten immer den Anspruch haben, dass diese durch einen fachkundigen Dritten verstanden werden können und ein Weiterbetrieb - auf Basis dieser Informationen - auch bei Ausfall von wichtigen Akteuren möglich bleibt.

Ebenfalls sollte die Organisation im Besitz von administrativen Passwörtern sein, um jeder Zeit selbst bestimmt notwendige Anpassungen vornehmen zu können.

Anforderungen an die IT-Sicherheit aus der DSGVO

Artikel 32 der DSGVO bestimmt, dass die Sicherheit personenbezogener Daten nach Stand der Technik gewährleistet werden muss. Erzwungene verschlüsselte Webseiten (https://) sind heute Standard. Wichtig dabei: das Verschlüsselungsprotokoll ist gültig, vertrauenswürdig, gegen bekannte Angriffsmöglichkeiten geschützt und akzeptiert dabei nur aktuelle Verschlüsselungsverfahren wie mindestens TLS 1.2.

Ein weiterer wichtiger Punkt ist die Sicherheit des Zugangs auf die zu Grunde liegenden Systeme selbst. Diese sind direkt aus dem Internet erreichbar und sollten deshalb über eine Zweifaktor-Authentifizierung abgesichert sein. Die Benutzerkonten sollten personenbezogen benannt sein. Damit können Zugriffe zugeordnet werden und auf einfache Weise Zugriffsrechte entzogen werden, beispielsweise bei Austritt eines Mitarbeiters.

Einsatz von Diensten erfordert technische und organisatorische Maßnahmen

Die Website ist ein zentraler Bestand des Marketings einer Organisation. Gerne kommen deshalb Dienste zum Einsatz, die das Besucherverhalten auf der Website analysieren. Das bekannteste Beispiel hierfür ist Google Analytics. Der Einsatz solcher Dienste erfordert datenschutzrechtlich meist verschiedene technische und organisatorische Maßnahmen z.B. eine Verkürzung der IP-Adressen von Webseitenbesuchern, einen Datenschutzvertrag mit Google oder eine Einwilligung zur Verarbeitung der personenbezogenen Daten. Verantwortliche sollten sich deshalb darüber bewusst sein, welche Dienste auf der Website zum Einsatz kommen.

Auch wenn es bei der Programmierung einer neuen Website mittlerweile fast schon zum Standard geworden ist, das Websiteverhalten zu kennen und entsprechende Dienste zu implementieren, werden die aggregierten Daten nicht immer zielführend weiterbearbeitet. Als erstes sollte also die Frage gestellt werden, ob die Ergebnisse der Dienste überhaupt eine Rolle spielen. Im Zweifel sollte der jeweilige Dienst von der Website entfernt werden.

Einsatz geeigneter Cookie Consent Tools

Die Einwilligung zur Verarbeitung der Daten von Websitebesuchern werden in der Regel über Cookie Consent Tools (CCT) eingeholt. Diese blockieren bei Aufruf der Website die Aktivitäten bereits angesprochener Dienste und verhindern das Setzen von Cookies auf den Systemen der Websitebesucher. Cookie Consent Tools fragen die Einwilligung des Websitebesuchers zur Verarbeitung der personenbezogenen Daten ab und stellen somit eine Lösung für den Cookie-Opt-In dar. Beim Einsatz von Cookie Consent Tool gibt es jedoch einige Anforderungen, die zu beachten sind und bei Missachten auch zu Abmahnungen führen können.

Transparenz über eingesetzte Cookies

Für Websitebesucher muss es auf einfache Weise möglich sein, sich vor Auswahl im Cookie Consent Tool darüber zu informieren, welche Cookies geladen und gesetzt werden. Dies erfordert eine Beschreibung aller zum Einsatz kommender Dienste und Cookies. Häufig werden die Cookies kategorisiert dargestellt z. B. essenzielle Cookies und Cookies für Statistiken. Teilweise wird die Beschreibung der Cookies im CCT selbst dargestellt, alternativ bzw. parallel muss eine Information über die Datenschutzerklärung der Website erfolgen.

Dabei wird in der Regel der Name des Dienstes, der Empfänger der Daten und damit auch der Rechtsraum (EU\Drittstaat), die Speicherdauer und der Zweck angegeben. Auf Basis dieser Informationen soll es dem Websitebesucher möglich sein, eine gezielte Auswahl zu treffen und eine bewusste Entscheidung abzugeben.

Besonders wichtig ist es dabei, dass das Cookie Consent Tool den Link auf die Datenschutzerklärung der Website nicht überdeckt. In diesem Fall wäre eine vorherige Information des Websitebesuchers nicht garantiert und würde dem Anspruch einer rechtskonformen Einwilligung widersprechen.

Blockierung des Cookies bis zur aktiven Einwilligung

Es muss sichergestellt werden, dass Cookie Consent Tools beim Aufruf der Website zusätzliche Dienste so lange blockieren, bis der Webseitenbesucher eine gezielte Entscheidung getroffen hat. Deshalb sollte die Blockierung der Dienste durch das CCT manuell geprüft werden.

Risiko bei Einsatz unzulässiger Tools

Analyse- und Marketingdienste dienen dazu das Besucherverhalten auf der Website auszuwerten. Die Ergebnisse der Analyse helfen Marketingabteilungen den Webauftritt gezielt anzupassen und weiterzuentwickeln. Es besteht also ein besonderes Interesse daran, dass Websitebesucher der Analyse zustimmen.

Deshalb wird versucht, über das Design von Cookie Consent Tools eine gewünschte Entscheidung herbeizuführen. Beispielsweise werden Farben oder die Größe der Entscheidungsbuttons so gewählt, dass möglichst viele Websitebesucher das Setzen von Analyse und Marketing Cookies akzeptieren. Des Weiteren ist es nicht erlaubt, die Entscheidung des Users vorzubestimmen, in dem Cookie-Kategorien standardmäßig zum Akzeptieren ausgewählt sind wie z. B. Marketing Cookies. Der User muss die einzelnen Cookie Kategorien bewusst aktivieren und seine Entscheidung anschließend akzeptieren.

Diese Beeinflussung von Websitebesuchern widerspricht den Vorgaben von Datenschutzgesetzen. Einwilligungen müssen verständlich und transparent aufgebaut sein und dürfen den Webseitenbesucher nicht zu einer vorhersehbaren Entscheidung drängen. Bei dieser Form der Manipulation spricht man von „Dark Pattern“. Aufsichtsbehörden und Verbraucherschützer prüfen Websites und gehen gezielt gegen diese Art von rechtswidrigen Cookie-Bannern vor. Im Jahr 2021 wurden eine Vielzahl von Websites analysiert und aufgrund dessen abgemahnt (Verbraucherzentralen, Noyb).

Risikobasierte Entscheidungen erfordern ein Änderungsmanagement

Letztlich bleibt es aber immer Entscheidung der obersten Leitung, welche Dienste zum Einsatz kommen, ob CCTs überhaupt und wie eingesetzt werden. Dies erfordert aber, dass verantwortliche Stellen über Veränderungen auf der Website aktiv werden informiert werden, um eine bewusste Entscheidung treffen zu können.

Im Tagesgeschäft fehlt häufig dieses Änderungsmanagement. Eifrige Webdienstleister schalten pflichtbewusst Analysedienste, vergessen aber die notwendigen Datenschutzmaßnahmen umzusetzen. Damit ergibt sich eine abmahnfähige Schwachstelle ohne Wissen des Verantwortlichen und dazu weltweit einsehbar.

Impressum und Datenschutzerklärung

Über das Impressum kann sich ein Websitebesucher über den Verantwortlichen des Webauftritts informieren. Wer steht hinter der Webseite und wie kann die Organisation kontaktiert werden. Entgegen dem Impressum besteht eine sogenannte 2-Klick Regel. Das Impressum muss nach maximal zwei Klicks angezeigt werden. Idealerweise befinden sich Impressum und Datenschutzerklärung im Fuß- oder Kopfbereich, können von jeder Unterseite aus geöffnet werden und sind nicht durch das Cookie Consent Tool verdeckt. Inhaltliche Anforderungen an das Impressum können beispielsweise hier eingesehen werden.

Die Datenschutzerklärung der Website informiert den Websitebesucher über die Verarbeitung personenbezogener Daten auf der Website. Es müssen sich somit neben Standardinformationen Beschreibungen zu allen eingesetzten Diensten wiederfinden. Der Aufbau ist komplex und sollte nicht in Handarbeit, sondern über einen Generator für Datenschutzerklärungen erfolgen z.B. hier. Wenn zielführend können manuell weitere Informationen ergänzt werden, beispielsweise zum Bewerbungsmanagement, dessen Prozesse meist die Website und interne Stellen miteinbezieht. Unbedingt sollten auch die Kontaktdaten des Datenschutzansprechpartners in der Datenschutzerklärung aufgeführt werden.

Fazit zu den datenschutzrechtlichen und it-sicherheitstechnsichen Anforderungen

Websites stehen durch ihre starke Außenwirkung besonders im Fokus interessierter Parteien. Organisationen sollten deshalb bemüht sein, den Webseitenauftritt so konform als möglich abzubilden. Sollten Sie Unterstützung bei den Anpassungen wünschen, kommen Sie jeder Zeit auf uns zu.

INES IT | 29/09/2021

alle News
Kontakt und mehr