Dienstag, 1. Oktober 2019

Websites: Mehr als die Datenschutzerklärung

Sind Sie mit dem Webbrowser im Internet unterwegs, können Ihre personenbezogenen Daten schnell in Gefahr geraten. Viele Webseiten haben Datenschutzmängel. Dabei ist eine unvollständige Datenschutzerklärung nur ein Beispiel.


Datenschutz bei Webseiten oftmals mangelhaft


Wer glaubt, weniger prominente Webauftritte sind in Datenschutzfragen ein Risiko, bekannte Webseiten dagegen nicht, der irrt sich. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat vor einigen Monaten Websites mit sehr großer Reichweite untersucht. Obwohl sich einige der prominentesten Internetdienste unter den Geprüften befanden, fiel das Ergebnis aus Datenschutzsicht ernüchternd aus: Im Umgang mit Passwörtern und Tracking-Werkzeugen erkannte das Landesamt zahlreiche Mängel.

Websites: Mehr als die Datenschutzerklärung
Websites: Mehr als die Datenschutzerklärung

Ähnliche Resultate erhielt auch der Europäische Datenschutzbeauftragte (EDPS). Seine Prüfungen bei den Websites der wichtigsten EU-Organe und -Einrichtungen ergab, dass bei sieben von zehn geprüften Websites Datenschutz- und Datensicherheits-probleme aufgetreten sind. Eines der Probleme war das Tracking durch Dritte ohne vorherige Zustimmung. Weitere Schwachstellen betrafen die Verwendung von Trackern für Webanalysen ohne vorherige Zustimmung der Besucher und die Übermittlung personenbezogener Daten, die die Webseitenbetreiber über Webformulare mithilfe unverschlüsselter Verbindungen erfassten.



Die Lücken im Datenschutz sind vielfältig


Auch wenn sich hinter dem Link „Datenschutz“ auf Webseiten meist die Datenschutzerklärung (Privacy Policy) verbirgt – der Datenschutz muss nicht nur richtig erklärt werden, er muss auch anderen Anforderungen der Datenschutz-Grundverordnung (DSGVO) genügen. Es geht zum Beispiel um die Verwendung von Cookies, um Web Beacons, um Seitenelemente, die von Dritten geladen werden, und um die Sicherheit verschlüsselter Verbindungen (HTTPS).

Es geht aber auch um den Einsatz neuer Technologien in Websites, zum Beispiel um Chatbots, die die Anbieter vermehrt in Internetauftritte einbinden, um unzureichende Verschlüsselung, die nicht dem Stand der Technik entspricht, um den Ausfall von Webseiten, da sie nicht belastbar genug sind, und um Datenschutz-Optionen, die fehlen oder nicht datenschutzfreundlich voreingestellt sind.

Einwilligung & Datenminimierung


Natürlich geht es auch um Fragen der Einwilligung ins Online-Tracking (Nachverfolgen der Nutzeraktivitäten), um die Rechtmäßigkeit der Verarbeitung der Nutzerdaten insgesamt oder auch um die Datenminimierung, die Webseiten zum Beispiel dann verletzen, wenn Online-Formulare Daten abfragen, die für den Vorgang gar nicht nötig sind. So ist für den Download eines Reiseprospekts die Telefonnummer oder das Geburtsdatum des Nutzers sicherlich nicht erforderlich. Doch der Betreiber der Webseite möchte das gern für andere Zwecke wie Werbung wissen.

Auch Sicherheitslücken betreffen den Datenschutz


Nicht zu vergessen sind auch die technischen Schwachstellen der Content-Management-Systeme (CMS), Web-Frameworks und Plug-ins, die für die Websites zum Einsatz kommen. Diese Sicherheitslücken ermöglichen es Angreifern, heimlich Nutzerdaten abzugreifen oder die Systeme des Nutzers mit Schadsoftware zu attackieren. Selbst verschlüsselte Verbindungen zu Webseiten können gefährlich sein, wenn das Sicherheitszertifikat für die Verschlüsselung Probleme aufweist, aber noch nicht zurückgezogen wurde.

Der Prüfdienst SIWECOS untersuchte zum Beispiel 754 Webseiten kleiner und mittelständischer Unternehmen aus NRW hinsichtlich Sicherheitslücken. Ergebnis: 71,8 Prozent der KMU-Webseiten in NRW waren nicht optimal konfiguriert, 6,6 Prozent der Seiten hatten eklatante Sicherheitsmängel.

Kein harmloser Webseiten-Besuch


Was aber können Sie tun, wenn Sie das nächste Mal einen Webbrowser nutzen und Internetauftritte besuchen, ob beruflich oder privat? Sorgen Sie zum einen auf Ihrer Seite für die richtige Datensicherheit. Dazu gehören aktuelle Browserversionen, aktuelle Browser-Plug-ins und aktuelle Betriebssysteme ebenso wie ein Anti-Malware-Programm auf allen Endgeräten – also auch auf dem Smartphone, dem Tablet oder der Smartwatch.

Viele Sicherheits- und Datenschutzmaßnahmen sind allerdings Sache des Webseiten-Betreibers. Er muss den Webserver absichern, Schwachstellen im CMS beseitigen und eine aktuelle Datenschutzerklärung zur Verfügung stellen. Hier können Sie als Nutzer nur darauf achten, dass Sie die Webseiten mit geeigneten Werkzeugen vor dem Besuch überprüfen, zum Beispiel mit einem sogenannten Link-Scanner. Er prüft Webseiten, ohne dass Sie diese Seiten im Browser öffnen müssen.

Stellen Sie fest, dass es Probleme mit einer Webseite gibt, verzichten Sie auf den Online-Besuch. Machen Sie sich in jedem Fall klar, dass eine Webseite nicht einfach ein Dokument ist und ein Webbrowser nicht einfach ein Anzeigeprogramm. Es geht bei Websites und Webbrowsern um komplexe Anwendungen, die viele Anforderungen an den Datenschutz erfüllen müssen. Ein Besuch im Internet kann also schnell und spannend sein, unproblematisch für den Datenschutz ist er in vielen Fällen allerdings nicht.


Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!


Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.


Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen

Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.

Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.

Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. das dauert nur wenige Minuten.

Ich freue mich auf Ihre Anfragen.

Ihr Thomas Ströbele

Thomas Ströbele


Fragen / Anregungen

Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name


E-Mail (Pflichtangabe)


Nachricht (Pflichtangabe)



Hier geht's zur Datenschutzerklärung der yourIT.



Verantwortlich für diesen Beitrag: yourIT GmbH, Balingen, Zollernalbkreis