News
Die Website - das offene Tor für Datenschutzverletzungen
In der Vergangenheit haben wir schon viel über potenzielle Datenschutzverstöße berichtet. Seien es die Cookies inkl. Cookiebanner, unklare oder nicht abgeschlossene Auftragsverarbeitungen/gemeinsame Verarbeitungen, nicht ausreichende Sicherheitsmaßnahmen bei der Verarbeitung von personenbezogenen Daten oder die unzulässigen Übermittlungen von personenbezogenen Daten in Drittstaaten, die kein angemessenes Datenschutzniveau haben.
All diese und noch mehr Verstöße kann eine verantwortliche Stelle bei dem Betrieb einer Website begehen.
Nachfolgend möchten wir Ihnen eine kurze Zusammenfassung der aktuellen Themen und Bußgelder rund um den Betrieb einer Website erläutern.
Betrieb und Hosting der Website
Fangen wir bei dem Hosten (Bereitstellen) der Website an.
Beim Hosten der Website werden durch Webseitenbesuche und Interaktionen auf der Website personenbezogene Daten verarbeitet. Geschieht dies auf einem Server mit Standort außerhalb der europäischen Union erfolgt eine Drittlandsübermittlung. Falls die Vorgaben des Kapitels V der DSGVO nicht eingehalten werden können, stellt dies einen Datenschutzverstoß dar.
Dies wird regelmäßig der Fall sein, da die Folgen des Schrems II Urteil immer noch nicht in Bezug auf Cloud-Anwendungen geregelt sind (wir berichteten). Daher achten Sie bei der Auswahl eines geeigneten Hosters, dass dieser in Europa ansässig ist und auf keine Unterauftragnehmer aus einem Drittland zurückgegriffen wird.
Veraltete oder nicht datenschutzkonforme Software für den Betrieb der Website
In ihrem Tätigkeitsbericht hat die Landesdatenschutzbeauftrage Niedersachsens über ein Bußgeld in Höhe von 65.000 € berichtet, das sie gegen ein Unternehmen ausgesprochen hat, welches eine alte Version eines Webshop-Systems genutzt hatte. Hintergrund ist, dass die Software seit 2014 nicht mehr aktualisiert werden kann und der Hersteller auch keine Sicherheitsupdates mehr zur Verfügung stellt. Der Hersteller hatte sogar explizit vor der Nutzung dieser Software gewarnt, da es erhebliche Sicherheitslücken gibt und die Datenbank angreifbar ist. Im vorliegenden Fall wurde daraufhin von der Aufsichtsbehörde festgestellt, dass Passwörter von den Webshop-Nutzern nicht ausreichend gesichert waren.
Somit muss beim Betrieb einer Website darauf geachtet werden, dass sowohl die Systeme für den Betrieb als auch die Anwendungen ausreichend sicher sind und regelmäßig gemäß dem Stand der Technik aktualisiert und überprüft werden können.
Einbindung von Plug-Ins, Tools u.v.m. deren Betrieb nicht datenschutzkonform ist
Oft werden Tools und Plug-Ins von Agenturen eingebaut oder angepriesen und über den datenschutzkonformen Betrieb wird entweder gar nicht aufgeklärt oder es werden sogar falsche Aussagen getroffen. Auch ist der datenschutzkonforme Betrieb unter Umständen gar nicht möglich und trotzdem trifft man diese Tools häufig auf Websites an.
Daher empfehlen wir, regelmäßig den Einsatz von datenschutzkonformen Tools in Betracht zu ziehen und sich rechtzeitig Rat einzuholen. So kann z. B. die oft genutzte Schriftart Google Fonts auch lokal gehostet werden und übermittelt somit keine Daten an die Server von Google.
Statt Google Maps kann auch OpenStreetMap genutzt werden.
Statt dem Google Tag Manager kann auch der Untagmanager als Ersatz genutzt werden.
Statt Google Analytics könnte für die Erhebung von Besucherstatistiken klassisch mittels PHP Statistiken erhoben werden oder man greift auf selbstgehostete Tools wie Matomo oder den Dienst Trackboxx zu.
Sonstige Gefahren lauern beim Upload von YouTube-Videos auf der Website, bei der Verwendung von Newsletterdiensten mit Sitz in den USA, bei der Nutzung von ReCaptcha oder einem Content Delivery Network (CDN) wie CloudFlare.
Die Portugiesische Aufsichtsbehörde hatte dem Betreiber einer Website, welche das CDN von Cloudflare nutzte, die Nutzung untersagt und eine Frist von 12 Stunden zur Behebung gegeben.
Eine Umstellung ist essenziell, da die Aufsichtsbehörden aktiv werden
Nicht nur die Behörde aus Portugal zeigt sich mittlerweile aktiv, sondern auch die Berliner Datenschutzbehörde, wie man der Veröffentlichung entnehmen kann: Pressemitteilung "Mängel auf allen Ebenen"
Das richtige Einholen von notwendigen Einwilligungen ist eine gesetzliche Pflicht. Wie in folgender Stellungnahme klar geschrieben ist, werden die Aufsichtsbehörden nun aktiv und es gibt keine Ausrede mehr für verantwortliche Stellen bezüglich der nicht klaren Rechtslage.
Gleiches Bild lässt sich auch durch die länderübergreifende Prüfaktionen der Datenschutzbehörden entnehmen: Länderübergreifende Prüfung - Einwilligungen auf Webseiten von Medienunternehmen sind meist unwirksam
Auch wenn die europäischen Dienste den amerikanischen unter Umständen funktionell unterlegen sind, sollte bei der Abwä-gung bedacht werden, ob das Plus an Funktionen das mögliche Bußgeld kompensieren würde.
Bei Rückfragen zur Umsetzung stehen Ihnen unsere Berater:innen gerne zur Verfügung.
Umgehen Sie diese bußgeldbewehrte Stolperfalle, wir helfen Ihnen hier gerne weiter.