Diese Orientierungshilfe dient einer datenschutzkonformen Planung einer neuen Internetpräsenz. Selbstverständlich kann diese auch angewendet werden, wenn eine bereits bestehende Seite umgebaut werden soll. Die heutigen technischen Möglichkeiten von Internetseiten sind zwar enorm, jedoch sind auch nicht alle Funktionen im vollen Umfang ohne weitere Aufwendungen bzw. Risiken nutzbar. Folgende Kriterien sollten Sie bei der Planung gemeinsam mit Ihrem Homepage Entwickler berücksichtigen, um Zeit, Nerven und vor allem aber Geld einsparen zu können.

DRIRTTANFRAGEN GENERELL

Unter Drittanfragen versteht man Verbindungen, welche zwangsweise während des Seitenaufrufes von Servern Dritter geladen werden. Das können Tracker wie das bekannte Google Analytics, aber auch Schriftarten oder Scripte sein. Dadurch wird zwangsweise die IP-Adresse des Seitenaufrufers an den Drittserver weitergegeben. Im Datenschutz sprechen wir dabei von einer Übermittlung von

personenbezogenen Daten an bzw. einer Direkterhebung durch einen Dritten, in einigen Fällen zusätzlich auch noch von einer Übermittlung personenbezogener Daten in ein unsicheres Drittland. Da jede Verarbeitung von personenbezogenen Daten ohne eine gültige Rechtsgrundlage nicht möglich ist, ist dieser Prozess nicht ohne weiteres möglich.

Die eine Lösung wäre natürlich, sich eine Einwilligung unterstützt durch ein Consent-Banner einzuholen. Das setzt jedoch voraus, dass die Seite auch ohne das Laden von z. B. den Scripten im Falle einer Nicht-Einwilligung trotzdem funktioniert. Darüber hinaus bleibt noch die Tatsache, dass es sich womöglich um eine Übermittlung in ein unsicheres Drittland handelt, weshalb dann noch weitere Garantien benötigt werden.

Die beste Lösung ist die Einbindung der betroffenen Dateien auf der/dem eigenen Homepage/Server. Dies ist z. B. bei den oft verwendeten Google Schriftarten oder bei vielen, bekannten Skripten problemlos möglich. Vor allem aber spart dies unnötige Aufwände, da dies zumindest für die genannten Beispiele den Einsatz eines Cookie-Banners unnötig macht.

TRACKER

Der Wunsch möglichst viele Informationen mithilfe von Trackern über die Seitenaufrufer und somit über mögliche Interessenten abgreifen zu wollen ist aus wirtschaftlicher Sicht absolut nachvollziehbar. Dies macht jedoch nur dann grundsätzlich Sinn, wenn auch tatsächlich mit dem Output der Tools gearbeitet wird.  Bei der Auswahl der Tracker sollten Sie folgende Punkte beachten:

  • Setzen Sie bitte so wenige Tracker wie möglich ein, um den geplanten Zweck erreichen zu können.
  • Bei der Auswahl sind sie absolut gut beraten auf europäische Anbieter zu setzen.
  • Manche Tracker wie z. B. Matomo lassen sich lokal auf dem eigenen Server installieren und daher bleiben alle Daten im Haus. Vor allem aber wird in solchen Fällen kein AV Vertrag benötigt.
  • In allen anderen Fällen kann ein AV Vertrag nach Art. 26 oder Art. 28 DSGVO von Nöten sein.
  • Lassen Sie sich bitte nicht von Werbeversprechen der Anbieter täuschen. Viele behaupten vom TÜV geprüft zu sein oder ein Datenschutzsiegel erhalten zu haben. In den allermeisten Fällen müssen die Verantwortlichen auf Funktionen der Tools verzichten, um tatsächlich den Vorgaben des Gesetzgebers entsprechen zu können. Am Ende des Tages wird auf Funktionen verzichtet, welche ursprünglich zur eigentlichen Kaufentscheidung geführt haben.

Informationen über die Gestaltung eines Cookie Banners finden Sie hier.

 

PRAKTISCHE TOOLS AUF DER HOMEPAGE

Weitere Drittanfragen entstehen häufig durch den Einsatz beliebter Tools wie z. B. Google Maps oder Youtube. In beiden genannten Fällen kommt es zu einer Datenübermittlung, weshalb zunächst eine gültige Rechtsgrundlage für den Transfer benötigt wird. Diese kann man sich über mittels eines Cookie Banners einholen, oder man aktiviert eine 2-Klick-Lösung, durch welche das Tool erst aktiv wird, nachdem der User aktiv darauf geklickt hat.

Besser lösen kann man das Problem, indem man die Tools lokal auf dem eigenen Server installieren lässt oder man greift zumindest auf europäische Anbieter zurück. Dadurch wäre zumindest das mögliche Problem mit der Übermittlung in unsichere Drittstaaten aus der Welt. Noch besser jedoch wäre eine eigens programmierte Lösung.

SEITENSICHERHEIT

Verantwortliche müssen geeignete Maßnahmen ergreifen, um die Sicherheit der durch die Internetseite empfangenen Daten gewährleisten zu können. Je mehr Daten eine Seite empfängt, sei es direkt vom Seitenaufrufer abgegeben oder durch z. B. Analysetools generiert, umso höher ist ein möglicher Schaden einzuschätzen. In diesem Sinne ist man gut beraten möglichst viele Maßnahmen zur Minimierung des Risikos in Angriff zu nehmen.

1. VERSCHLÜSSELUNG

In erster Instanz betrifft dies die Verschlüsselung von Internetseiten und der damit verbundenen Akzeptanz der ausgetauschten Sicherheitsprotokolle (ursprünglich SSL, heute TLS) zwischen dem Browser des Seitensaufrufers und dem Server der Internetseite. Die Bewertung von Sicherheitsprotokollen ändert sich regelmäßig. Was heute noch als „sicher“ gilt, kann morgen schon wieder „geknackt“ worden sein und somit ist das betroffene Sicherheitsprotokoll nicht mehr geeignet. Daher wird regelmäßig an neuen, sichereren Protokollen gearbeitet. Dies hat zur Folge, dass veraltete Protokolle abgeschaltet und daher vom Server nicht mehr akzeptiert werden. Ob aber auch der User in der Lage ist mit aktuellen Protokollen zu arbeiten ist abhängig von der Aktualität seines genutzten Browsers und somit letztendlich auch von der Aktualität des genutzten Gerätes. Heruntergebrochen bedeutet dies, dass aktuelle Sicherheitsprotokolle von älteren Geräten aus oftmals nicht abgerufen werden können. Der Verantwortliche muss abwägen, welches Publikum er ansprechen möchte und mit welchen Geräten womöglich zugegriffen werden könnte. Aus technischer Sicht hat der Verantwortliche die Möglichkeit nachzuvollziehen welche Protokolle abgelehnt worden sind, um dadurch feststellen zu können, wie groß der Schwund war.

2. SICHERHEIT VON SCRAWLERN

In vielen Fällen werden auf der Homepage zur Kontaktaufnahme eine Vielzahl von E-Mail-Adressen veröffentlicht. Scrawler-Bots scannen Internetseiten im Hintergrund mit dem Ziel, E-Mail-Adresse zu erkennen und Sie letztendlich im besten Fall mit Werbung „nur“ zu überschütten, im schlimmsten Fall jedoch ist das Ziel möglichst viele Phishing Attacken gegen das Unternehmen zu starten. Je mehr Mitarbeiter eines Unternehmens mit guten Phishing-Mails kontaktiert werden, umso höher ist die Wahrscheinlichkeit, dass doch mal ein Mitarbeiter auf einen Link klickt oder einen Anhang öffnet und schon ist das Desaster groß und es kann teuer werden. Um sich davor schützen zu können, kann man verschiedene Maßnahmen ergreifen.

An erster Stelle kommt ein stets aktuell gehaltener Spam-Filter. Dieser kann jedoch nur abfangen, was bereits als Spam bekannt geworden ist. Häufig wird noch das „reCaptcha“ von Google verwendet. Die E-Mail-Adressen werden erst angezeigt, wenn das Tool zu dem Ergebnis kommt, dass die Anfrage nicht von einem Bot kommt. Da das Tool über die Google Server in den USA betrieben wird, sprechen wir von einer Datenübermittlung in die USA, weshalb erneut eine Einwilligung von Nöten wäre. Zu argumentieren es diene der Seitensicherheit und daher sei der Einsatz notwendig funktioniert nicht, da es noch mildere Mittel gibt.

Mithilfe eines CMS Systems kann man E-Mail-Adressen im Quelltext verschlüsseln. Der Crawler kann durch Scannen des Quelltextes keine E-Mail-Adressen finden, dem Seitenaufrufer hingegen wird alles leserlich im Volltext angezeigt.

Eine weitere Möglichkeit bietet das Einrichten von sogenannten „Honey-Pots“. Darunter bezeichnet man einen Sicherheitsmechanismus, mithilfe dessen Administratoren Hacker täuschen und Cyberattacken abblocken können. Im bildlichen Sinne versucht man mittels eines Honigtopfes einen Bären in eine Falle laufen zu lassen. Dafür muss man auf der Internetseite eine E-Mail-Adresse hinterlegen, welche ungenutzt und nur dem Unternehmen bekannt sein darf. Für den Seitenaufrufer selbst bleibt diese Adresse unbekannt, da diese irgendwo auf der Homepage versteckt ist. Landet eine Mail in den Posteingang der unbekannten E-Mail-Adresse, kann man sich daher absolut sicher sein, dass diese Adresse von einem Crawler Bot abgegriffen worden ist und somit handelt es sich bei jenen Mails zwangsweise um Spam. Alle Nachrichten desselben Versenders oder Nachrichten mit demselben Inhalt können in allen Posteingängen des Unternehmens per Spam-Filter geblockt werden. Ebenso erfolgreich können solche Honey-Pot Verfahren in Kontaktformularen eingesetzt werden.

Bei beiden genannten Maßnahmen kommt es weder zu Aufrufen von Drittseiten, noch wird für den Einsatz eine Einwilligung benötigt.