Wie könnt ihr prüfen ob eure Webseite wirklich DSGVO konform ist und wie versteht ihr euren Prüfbericht richtig?
Dieser Frage nehmen wir uns in diesem Video an und ich zeige euch Schritt für Schritt wie ihr eure Webseite kostenfrei prüft und den Bericht anschließend richtig versteht. Also verlieren wir keinen Zeit, scannt eure Webseite und nach dem Intro sehen wir uns wieder und steigen gemeinsam durch.
Bitte klicken Sie auf den unteren Button, um den DSGVO Website Scan zu laden. Dabei werden Ihre Angaben in unserem Datenschutz Management System gespeichert, um den Website Scan durchzuführen.
Liebe Datenschutzies ich habe mir was neues für euch überlegt und zwar praktische Datenschutz-Tutorials die ihr mitmachen könnt und dabei direkt die wesentlichen Punkte zur Erfüllung der DSGVO selbst umsetzen könnt.
Na, ist das was geiles … ist das was geiles?
Dazu sei kurz erwähnt, dass Unternehmen ab 20 Mitarbeitern verpflichtet sind einen Datenschutzbeauftragten zu bestellen, auch wenn ihr alles voll im Griff habt und eigentlich keinen Bedarf seht. Is eben Gesetz, ne. Außerdem ist dieses Video der erste Teil einer Serie, wo ihr gemeinsam mit mir einmal durch alle Bereiche eurer Webseite durchballert und dabei lernt wie ihr die wichtigen Punkte richtig behandelt. Nach dem Webseiten Scan, in dieser Folge, zeige ich euch wie und wann ihr Cookie-Boxen verwenden solltet, was ihr bei Datenübertragungen in Drittländer zu beachten habt, wann eure Angaben im Impressum ausreichend sind und zu guter letzt basteln wir dann gemeinsam die passende Datenschutzerklärung zusammen. Damit sind wir dann mit dem Thema „Webseite vs. Datenschutz“ wirklich durch und dann will ich keine Ausreden mehr von euch hören. Wir starten jetzt durch mit der Frage…
Wie prüfe ich meine Webseite auf Datenschutzprobleme?
Dafür füllt ihr eure vollständige Webseiten URL inklusive http bzw. https:// oben in den Webseiten Checker ein. Also in meinem Fall „https://www.datenschutz-ist-pflicht.de“. Jetzt gebt ihr noch eure E-Mail Adresse ein, dahin wird euch der Bericht in Form eines PDFs dann gesendet. Der Bericht sieht ungefähr so aus und den schauen wir uns im Detail nun gemeinsam an. Also pausiert mich jetzt mal kurz, macht euren Webseiten Scan, öffnet euren Bericht und dann drück auf play und wir machen weiter mit dem…
Überblick des DSGVO Webseiten-Scans
Für dieses Video habe ich unsere Webseite Datenschutz ist Pflicht mit gefühlt jedem Fehler versehen, der euch Probleme machen kann, um euch hier ein Paradebeispiel des Schreckens zu präsentieren. Ich hoffe ihr findet somit die meisten Mängel wieder die eure Webseite ggf. aufweist und wisst dann was zu tun ist. Schauen wir daher jetzt in den Bericht und gehen alles mal Punkt für Punkt durch.
Die Verbindungssicherheit (SSL / https)
Im Bericht seht ihr ganz groß zwei Angaben „HTTPS“ und „SSL“. Diese beiden zeigen den Status der Verbindungssicherheit zu eurer Webseite an. Seit Mai 2018, ist die SSL-Verschlüsselung von Websites ein muss für jeden Webseitenbetreiber. Das geht aus Artikel 5 Abs. 1 lit. f der DSGVO hervor, in dem es heißt…
Personenbezogene Daten müssen, in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
Schutz vor unbefugter oder unrechtmäßiger Verarbeitung ist hier ausschlaggebend und resultiert bei digitalen Verbindungen über das Internet in einer Pflicht zur Verschlüsselung der Datenverbindung. Diese wird durch das HTTPS Protokoll gewährt und beinhaltet SSL (Secure Socket Layer).
Spezifischer wird es dann noch in Artikel 32 Abs. 1 lit. a der DSGVO, dort heißt es…
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
Hier haben wir dann nochmal schwarz auf weiß die Pflicht zur Verschlüsselung und deshalb müsst ihr das eben gewährleisten. Da IP-Adressen bereits als personenbezogene Daten gelten, spielt es keine Rolle was eure Webseite kann oder macht. Alleine wenn sie im Internet für Menschen erreichbar ist, ist es eine Datenverarbeitung und muss Verschlüsselt sein. Also Argumente wie „Ik heb ja gar keen Kontaktformular“ oder „Bei mir inne Homepage kann man ja eh nix eingeben, wa?“ zählen hier nicht denn; Datenschutz ist Pflicht. Ha, Kalauer!. Wenn ihr wissen wollt wir ihr das genau einrichtet, dann bieten wir euch dazu einen online Kurs an, in dem Datenschutzies wie ihr wirklich durch jeden Einrichtungsschritt geführt werden und am Ende ist dann alles super duper. Checkt dazu unsere Webseite für mehr Infos. Kommen wir damit zum wirklich spannenden Teil und zwar den…
Eindeutigen Aufrufen externer Ressourcen
Diese wunderbaren kleinen Racker brechen den meisten Webseitenbetreibern regelmäßig das Genick, wenn wir Webseiten prüfen. Hierbei geht es um Verbindungen die eure Webseite direkt oder indirekt zu anderen Servern bzw. Anbietern aufbaut. Ja genau, hier kommen die Google Fonts wieder ins Spiel. Im Bericht können wir auf der zweiten Seite die PlugIns sehen, welche externe Verbindungen von unserer Webseite aus öffnen.
Jede dieser Verbindungen darf erst nach einer freiwilligen Einwilligung, die transparenter Information folgt, geöffnet werden. Das geht aus Artikel 6 Abs. 1 lit. a der DSGVO hervor, wo es heißt…
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
Alle anderen Absätze sind hier nicht anwendbar, schon gar nicht lit f mit dem berühmten „berechtigten Interesse“. Da geht es nämlich um beidseitige Berechtigung des Interesses und nicht um einseitige, dazu könnt ihr im Datenschutz Deluxe Podcast eine ausführliche Episode finden. Denn in Paragraph 25 TTDSG steht…
Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
Das hatten wir auch schon in den Google Videos, ihr erinnert euch? In der Tabelle können wir also ganz deutlich sehen, welcher Dienst wie und wann geladen wird. Hierbei ist es wichtig das alle Verbindungen erst nach der Einwilligung geladen werden und alle ausführlich mit Angabe zu Zweck, Art und Umfang der Datenverarbeitung in der Datenschutzerklärung beschrieben sind. Dafür benötigt ihr dann ein sogenanntes Consent Tool oder landläufig auch Cookie-Box genannt. In meinem Beispiel könnt ihr sehr gut sehen, das viele problematische Dienste durch andere PlugIns nachgeladen werden und gar nicht direkt durch meine Webseite. Eingebettet YouTube Videos laden so Google Web Fonts, die Google API und das Doubleclick Marketing Network nach. Versucht also in diesem Bereich so wenig wie möglich Verbindungen zu öffnen und holt euch für jede die Einwilligung des Nutzers vorher aktiv ein. Im Video über Consent-Tools gehen wir da nochmal etwas genauer drauf ein. Und damit kommen wir zum nächsten Abschnitt, den…
Cookies
Hier könnt ihr sehen welche Cookies Daten speichern und ebenfalls wann sie geladen werden. Auch hier ist der Zeitpunkt Einwilligung wieder ausschlaggebend. Die _ga Einträge beziehen sich auf Google Analytics und _fbp auf das Facebook Pixel. Sitzungscookie gibt Auskunft darüber ob das Cookie notwendig ist, z.B. für eine Anmeldung auf der Webseite. In einem vergangenen Cookie-Video habe ich euch das mal ausführlich gezeigt und gerne in der Infobox verlinkt. Wie im vorherigen Abschnitt schon zitiert greift auch hier wieder §25 TTDSG, da Cookies Datensätze sind die in eurem Endgerät gespeichert werden. Damit gehen wir dann weiter zum letzten Punkt den…
IP-Adressen
In diesem Abschnitt werden die passenden Provider also Anbieter zu den IP-Adressen angezeigt, zu welchen eure Webseite Verbindungen aufbaut. Mit jedem dieser Anbieter müsst ihr einen Vertrag zur Auftragsdatenverarbeitung abschließen. Das steht in Artikel 28 Abs. 1 der DSGVO. Dort heißt es…
Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Diese Gewährleistung ist durch einen „korrekten“ AV-Vertrag dann gegeben. Aber die schöne Formulierung „hinreichende Garantien“ sind besonders spannend im Bezug auf so fiese Einträge wie die Google und Amazons in meinem Bericht hier. Die öffnen Verbindungen in die USA und diese sind streng genommen kein Land mit „ausreichendem Schutzniveau“ für personenbezogene Daten. Deshalb zerschlägt Max Schrems mit NOYB ja alle Jubeljahre wieder die nutzlosen Vereinbarungen der EU mit den USA. Siehe Safe Harbour, Privacy Shield und Privacy Shield 2, was auch immer das sein wird, wenn es dann mal fertig ist.
Und damit kommen wir zum Ende dieses Webseiten Scans, ich hoffe ihr habt gelernt wie ihr eure Webseite scannt und den Bericht versteht. Außerdem sollen euch die Bezüge zu den Gesetzestexten bei Diskussionen mit euren Kollegen, Vorgesetzten und besonders Webagenturen helfen, die richtigen Argumente zu finden. Teilt dieses Video daher gerne mit euren Kollegen, Freunden, Bekannten, Verwandten oder auch Unbekannten. Lasst einen Daumen nach oben da, wenn ihr was gelernt habt und drück den Abo-Button ganz feste und aktiviert die Glocke. Denn dann bekommt ihr auch mit, wenn die weiteren Tutorials veröffentlich werden damit ihr zum Datenschutz-Profi avanciert. Tschau!