Über die Internetseite präsentiert sich ein Unternehmen öffentlich und an keiner Stelle ist man so angreifbar für Versöße gegen die DSGVO.
Das gilt überwiegend gegenüber Abmahnern, aber letztendlich auch gegenüber Datenschutz-Behörden und Kunden.

Internetseiten übertragen systembedingt Kundendaten an den Webprovider.
Hier ist unbedingt ein Vertrag zur Auftragsverarbeitung mit dem Hosting - Provider abzuschließen.

Oft können auf Internetseiten Daten eingegeben werden, sei es in Kontaktformularen, Kommentaren oder Blogs, bei Logins oder Übermittlung von Bankingdaten, Zählerständen usw.
Hier ist zwingend HTTPS-Verschlüsselung anzuwenden, denn es werden schützenswerte Personendaten über das Internet übertragen.
Außerdem greifen hier die Informationspflichten sowie die Betroffenenrechte.

Viele Webseiten verwenden Cookies, um Informationen für einige Zeit lokal auf dem PC zwischenzuspeichern und bei Bedarf dem Webserver wieder zur Verfügung zu stellen. Cookies werden beispielsweise zur Session-Authentifizierung bei Anmeldung genutzt oder zum Merken der Einstellungen des Besuchers wie Einkaufswagen, Sprache oder gewünschtes Design.
Diese Cookies sind ein wichtiges Element vieler Websites und stellen nach meinem Verständnis ein berechtigtes Interesse nach DSGVO Art. 6 Abs. 1 Buchstabe f dar. Hier streiten sich aber noch die Fachleute.
Cookies werden beispielsweise von Werbefirmen missbraucht, um jede aufgerufene Seite zu registrieren. Wenn die Werbebanner auf genügend verschiedenen Seiten auftauchen, kann so ein nahezu lückenloses Nutzerprofil angelegt werden.
Diese Anwendung geht natürlich weit über ein berechtigtes Interesse nach DSGVO hinaus.
Browser sollten keine Cookies von Drittanbietern annehmen.
Oft wird auch empfohlen, alle Cookies beim Beenden des Browsers zu löschen.
Das löscht aber beispielsweise auch den Opt-Out Cookie für Google Analytics und die damit getroffene Entscheidung, keine Daten an Google zu übertragen.
Banner mit Zwangszustimmung sind eine Fehlinterpretation der DSGVO.

Häufig werden Google Webfonts verwendet, um eine einheitliche Darstellung des Schriftbildes bei allen Anwendern zu erreichen. Viele CMS-System nutzen diese Einstellung per Default.
Hier denkt keiner mehr darüber nach, dass eigentlich völlig grundlos bei jedem Seitenaufruf Nutzerdaten an Google übertragen werden.
Ich erkenne kein berechtigtes Interesse, weil es auch anders geht. Laut DSGVO ist eine Einwilligung vor der Nutzung erforderlich.
Die frei nutzbaren Google Webfonts können beispielsweise mit dem Google Webfonts Helper lokal gespeichert werden und ohne Komforteinbußen von der Website lokal und ohne Datenweitergabe eingebunden werden.

Richtig kompliziert wird es bei der Nutzung von Sozial Media Plugins und Einbindung von Seiten von Drittanbietern.
Gemeint sind beispielsweise Facebook, Instagramm, Twitter, Xing, Youtube, Wordpress, aber auch Google Analytics oder Kartenanbindung von Google Maps u.a.
Häufig liegen diese Anbieter außerhalb der EU in datenschutzmäßig unsicheren Drittstaaten.
Hier gilt es, generell die Datenschutzerklärung des jerweiligen Anbieters und die rechtliche Grundlage der Übermittlung zu beachten.
Genau genommen benötigt man bei der Nutzung dieser Dienste nicht nur einen Vertrag AV, sondern eine Einwilligung vor der Nutzung.
Kritisch zu betrachten ist dabei auch das Infragestellen des Privacy Shield durch die europäische Kommision. Damit entfiele gegebenfalls die rechtliche Grundlage zur Datenübermittlung in die USA.


Internetseiten können mit dem folgenden Tool auf Datenschutz-Konformität geprüft werden.
Webkoll Online Privacy-Check: https://webbkoll.dataskydd.net/de
PrivacyScore Projekt deutscher Hochschulen: https://privacyscore.org

TLS/SSL-Verschlüsselung kann man hier überprüfen (Vertrauenswürdigkeit, TLS-Version..): https://www.ssllabs.com/ssltest oder https://www.experte.de/ssl-check.

Wir unterstützen Sie bei Bedarf bei jedem Schritt.
Siehe:

Posted: 26.07.2019,     Updated: 28.05.2020


Neuer Kommentar, Anmerkung oder Hinweis