Die Website ist eine wichtige Schnittstelle zum Kunden. Sie stellt nicht nur Informationen bereit, sondern dient ebenso dem beidseitigen Informationsaustausch. Je nach Website können Nutzer z.B. Fragen stellen oder Produkte kaufen. Bei solchen Vorgängen findet eine Übermittlung personenbezogener Daten statt, weshalb Seitenbetreiber datenschutzrechtliche Aspekte zu berücksichtigen haben.
DSGVO verlangt sichere Übermittlung der Daten
Ein Aspekt ist die sichere Datenübermittlung. Sobald es um Daten mit Personenbezug (z.B. Name des Nutzers, ergänzende Kontaktdaten etc.) geht, ist die Datenschutz-Grundverordnung (DSGVO) zu berücksichtigen. Website-Betreiber sind dazu angehalten, den Schutz besagter Daten zu gewährleisten.
Konkret verlangt die DSGVO im Hinblick auf die Übermittlung der Daten das Ergreifen organisatorischer und technischer Maßnahmen, um ein angemessenes Schutzniveau der Daten sicherzustellen. Im Fokus steht die Kommunikation bzw. der Datenaustausch zwischen Nutzer und Seitenbetreiber.
Diese Bereiche einer Website sind betroffen
Im Zusammenhang mit der gesicherten Datenübermittlung auf Websites wird häufig über Kontaktformulare gesprochen. Dies überrascht nicht, denn seit Inkrafttreten der DSGVO kam es diesbezüglich schon zu mehreren Abmahnungen. Grund war zumeist der, dass Nutzer entsprechende Formulare ausfüllen und z.B. ihre Namen oder E-Mail Adressen eintragen und versenden konnten, jedoch keine Verschlüsselung stattfand.
Der Nutzer verwendet typischerweise ein Endgerät, wie z.B. einen Laptop oder ein Smartphone, welches mit der Website bzw. dem Server des Unternehmens kommuniziert. Dritte, wie z.B. Internetprovider, könnten diese Daten einsehen. Genau dies ist das Problem des unverschlüsselten Datenaustauschs.
Allerdings sind keineswegs nur Kontaktformulare betroffen. Angenommen ein Kunde bestellt ein Produkt in einem Online-Shop. Schlussendlich muss er sich als Verbraucher gegenüber dem Shopbetreiber zu erkennen geben und personenbezogene Daten übermitteln, damit ein rechtskräftiger Kaufvertrag zustandekommt. Ebenso muss er seine Adressdaten mitteilen, um den Versand der Ware zu ermöglichen.
Hinzu kommen viele weitere Bereiche, die auf einer Website betroffen sein können. Hierzu zählen u.a. Online-Umfragen, Petitionen und Anmelde-Felder für Newsletter. Letztlich ist der Datenschutz überall dort von Bedeutung, wo Daten mit Personenbezug erfasst und übermittelt werden.
Datenübermittlung am besten via Verschlüsselung absichern
Das Stichwort Verschlüsselung wurde bereits aufgegriffen. Das Feld der „technischen Maßnahmen“ bietet allerdings noch weitere Optionen, um eine sichere Übermittlung personenbezogener Daten zwischen Webbrowser (Nutzer) und Website (Seitenbetreiber) zu ermöglichen.
Eine Alternative zum Verschlüsseln der Daten ist die Pseudonymisierung. Hierbei werden Psyeudonyme anstelle von Klarnamen über das Internet übermittelt. In der Praxis ist dieses Mittel jedoch eher ungeeignet, da sich Nutzer und Seitenbetreiber meist nicht kennen und somit keine Regeln hinsichtlich der Pseudonymisierung festlegen können.
Die Verschlüsselung personenbezogener Daten stellt eine Lösung für die sichere Datenübermittlung dar, die in der Praxis leichter zu handhaben ist. In der Praxis wird die Website-Kommunikation mittels SSL- oder TLS-Verschlüsselung abgesichert. Streng genommen basieren die heutigen Technologien fast allesamt auf TLS, doch bei den Seitenbetreibern / Webmastern hat sich die Bezeichnung SSL etabliert.
Die technische Realisierung gestaltet sich in den meisten Fällen relativ leicht. Der Seitenbetreiber sichert seine Website mit einem SSL-Zertifikat ab. Die meisten Webhoster / Betreiber von Rechenzentren bieten solche Zertifikate gegen niedrige Gebühren an. Die Einbindung erfolgt im Regelfall so, dass nicht nur einzelne Unterseiten (z.B. Kontaktformulare oder Checkout-Seiten im Online-Shop), sondern sämtliche Seiten der Domain abgesichert sind.
Welche Konsequenzen drohen bei einem Verstoß gegen die Datenschutzvorschriften?
Bei Datenschützen können mehrere Parteien gegen den Betreiber einer Website vorgehen. Da wäre zunächst die betroffene Person, deren Daten womöglich ohne Schutz übermittelt wurden. Ebenso kann die zuständige Aufsichtsbehörde für Datenschutz des jeweiligen Bundeslandes ihres Amtes walten und gegen den Seitenbetreiber vorgehen.
In der Praxis sind zunehmend häufiger wettbewerbsrechtliche Abmahnungen festzustellen. Wettbewerber, die beispielsweise ihre Kontaktformulare mittels SSL-Zertifikat abgesichert haben, gehen gegen Unternehmen vor, die keine Verschlüsselung oder andere Maßnahmen zum Schutz der Daten einsetzen.
Unabhängig davon, wer einen Verstoß beanstandet, hat der Seitenbetreiber mit ernsthaften Konsequenzen zu drohen. Sofern Betroffene oder Aufsichtsbehörden aktiv werden, droht die Verhängung eines Bußgeldes. Bei wettbewerbsrechtlichen Abmahnen wurden gegen Seitenbetreiber sogar schon Schadensersatzansprüche geltend gemacht.
Wir unterstützen Sie beim Datenschutz
Wir betreuen Unternehmen beim betrieblichen Datenschutz. Als externer Datenschutzbeauftragter entwickeln wir praxisgerechte Datenschutzkonzepte und kümmern uns zugleich um deren Umsetzung. Gerne stehen wir auch Ihrem Unternehmen zur Seite. Für weitere Informationen erreichen Sie uns telefonisch unter 0800 – 5600831 oder über unser Kontaktformular.