Die Website Ihres Unternehmens ist das erste Aushängeschild, öffentlich einsehbar für alle. Verschaffen Sie sich hier einen weiteren Pluspunkt durch das Datenschutz-Siegel Website+ für erfolgreich geprüfte Websites und Online-Präsenzen. Beseitigen Sie Unsicherheiten und präsentieren Sie die konforme Umsetzung des Datenschutzes auf Ihrer Website.
Die Verleihung des Datenschutz-Siegels erfolgt erst nach erfolgreicher Prüfung anhand festgelegter Kriterien. Der Kriterienkatalog orientiert sich dabei insbesondere an den Vorgaben der Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG). Es handelt sich hierbei um eine Zertifizierung nach eigenen Kriterien, da von den Datenschutzaufsichtsbehörden bisher (Stand: Dezember 2020) nur vorläufige Vorgaben zur Zertifizierung nach Art. 42 DS-GVO veröffentlicht wurden und eine Stellungnahme des Europäischen Datenschutzausschusses noch ausstehend ist. Eine Akkreditierung über die Deutsche Akkreditierungsstelle (DAkkS) ist uns daher bisher nicht möglich.
Um das Prüfverfahren transparent zu gestalten, haben wir unsere Anforderungen veröffentlicht.
Sollten während der Zusammenarbeit mit dem Werk3 für Datenschutz Änderungen und Anpassungen notwendig sein, werden Sie von uns informiert – egal ob allgemeiner Anpassungsbedarf besteht oder neue Rechtsprechung eine Aktualisierung anderweitig erforderlich macht. So können wir versichern, dass Ihre Website immer auf dem aktuellen Stand ist.
Neben der allgemeinen Information über das Bestehen dieser Rechte, muss die Gewährleistung der Rechte auch schon in die Website integriert werden. So ist für viele Bestandteile der Website das sog. Double-Opt-In Verfahren vorgeschrieben. Deshalb dürfen Newsletter nur versendet werden, wenn die erfolgte Anmeldung separat bestätigt wurde. Für die Anmeldung dürfen auch nur die tatsächlich erforderlichen Daten abgefragt werden (Grundsatz der Datensparsamkeit) und es muss jederzeit eine Abmeldung erfolgen können.
Umfang der Datenerhebung und Verantwortlicher
Im Rahmen des Datenschutz-Siegel Website+ analysieren wir Art und Umfang der Information über die Datenverarbeitung und gleichen diesen mit den tatsächlich erhobenen Daten ab. Dabei überprüfen wir in Hinblick auf den Grundsatz der Datenminimierung insbesondere:
Ferner ist eine Information darüber erforderlich, wer für die Datenverarbeitung verantwortlich ist. Sowohl der Verantwortliche als auch Datenschutzbeauftragte müssen transparent unter den Angaben der Kontaktmöglichkeiten benannt sein. Damit einhergehend hat der Verantwortliche über die bestehenden Rechte der betroffenen Personen zu belehren.
Erfolgt die Datenübermittlung per HTTPS?
Ist das eingebundene Zertifikat gültig und aktuell?
Wird der Besucher der Website über die Nutzung von Cookies informiert (Cookie-Banner)
Kann der Besucher der Website wirksam in die Nutzung von Cookies einwilligen?
Wird im Falle eines Benutzeraccounts die Nutzung mit einem Passwort geschützt?
Werden an dieses Passwort besondere Anforderungen (z. B. Mindestlänge) gestellt?
Gibt es eine Begrenzung der Login-Versuche und erfolgt ggf. eine Sperrung des Benutzeraccounts nach den maximalen Versuchen?
Wie wird das Passwort im Falle des Vergessens mitgeteilt oder zurückgesetzt?
Erfolgt die Übertragung von Passwort und Benutzername verschlüsselt?
Nach der Analyse der einzelnen Bestandteile der Website und der Informationspflichten nehmen wir einen Konformitätscheck vor. Hierbei wird nachvollzogen, von welchen Anbietern ggf. eingebundene Elemente stammen, inwieweit die konkrete Einbindung nach den Vorgaben der datenschutzrechtlichen Bestimmungen erfolgt und die bestehenden Informationspflichten vollumfänglich erfüllt werden.
Durch den Aufruf Ihrer Website werden Daten übertragen. Oft erfolgt dies ohne besondere Sicherungsvorkehrungen. Das macht die Kommunikation über Websites ebenso leicht abfangbar wie herkömmliche Briefe. Werden sensible Daten übertragen, ist das damit verbundene Risiko umso größer. Deshalb achten wir bei der Prüfung insbesondere auf Verschlüsselungstechniken und Zertifikate.
Die verantwortliche Stelle muss im Zeitpunkt der Erhebung personenbezogener Daten über Art, Umfang und Zweck der Verarbeitung informieren und Angaben zum Verantwortlichen und Betroffenenrechte machen. Die Datenschutzerklärung muss dabei jedem jederzeit zugänglichen sein (vgl. Art. 12 ff DS-GVO). Das Datenschutz-Siegel Website+ umfasst alle Aspekte in Hinblick auf eine digital zur Verfügung gestellten Datenschutzerklärung.
Einbindung der Datenschutzerklärung
Auch die Art der Einbindung der Datenschutzerklärung in die Website wird überprüft. Dabei spielt es vor allem eine Rolle, ob die Information über die Datenverarbeitung von jeder Unterseite mit nur einem Klick erreichbar ist. Dies kann nur gewährleistet werden, wenn die Datenschutzerklärung einen eigenen, klickbaren Punkt der Website darstellt. Eine Kopplung mit dem Impressum ist beispielsweise nicht zulässig.
Aus Gründen der Transparenz ist auch die Bezeichnung der Datenschutzerklärung und die Sprache relevant. Sind die meisten Ihrer Websitebesucher englischsprachig, sollten Sie auch Ihren Informationspflichten auf Englisch nachkommen.
Häufig wird auch die Besucheraktivität auf Websites analysiert. Da dies zum Teil auf personenbezogenen Daten basiert – Achtung: Auch die IP-Adresse ist ein personenbezogenes Datum – gelten hier besondere datenschutzrechtliche Anforderungen. Deshalb untersuchen wir, ob und welche Tools zur Analyse der Website eingesetzt werden. Ist dies der Fall, muss für den Besucher der Website in der Regel die Möglichkeit gegeben sein, diese Analyse zu unterbinden (sog. Opt-Out-Möglichkeit). Auch hier ist es wieder relevant, welchen Umfang die Analyse einnimmt. Ein nahezu wahlloses Datensammeln ist nicht im Sinne der DS-GVO. Diesen Fragestellungen gehen wir auch bezüglich Online-Marketing-Tools nach.
Auf die Erhebung von Benutzerdaten hat man als Websitebetreiber zum Teil wenig Einfluss. Sie werden technisch benötigt, um die Website überhaupt anzeigen zu können. Aber auch hier muss eine transparente Information erfolgen.
Darüber hinaus prüfen wir, ob Cookies im Einsatz sind. Erst durch eine genaue Analyse kann auch eine umfassende Information in der Datenschutzerklärung erfolgen.
Falls ein Blog in die Website eingebunden ist, können auch hier datenschutzrechtliche Anforderungen bestehen. Das untersuchen wir. Besonders für den Fall, dass die Leser des Blogs Kommentare hinterlassen können und dafür Ihren Benutzernamen angeben, sind die besonderen Vorgaben der DS-GVO zu beachten.
Wenn die Möglichkeit besteht, über die Website an Gewinnspielen teilzunehmen, muss auch das in der Datenschutzerklärung und bei der technischen Umsetzung der Website berücksichtigt werden. Um den etwaigen Gewinn am Ende zuordnen zu können und den Teilnehmer darüber zu informieren, müssen personenbezogene Daten, wie z.B. die E-Mail-Adresse, angegeben werden.
Häufig besteht die Möglichkeit, ein eigenes Kundenkonto anzulegen. Darüber können beispielsweise der Warenkorb gespeichert – oder interne Downloads zu Verfügung gestellt werden. Neben der Information über die Datenverarbeitung in Verbindung mit dem internen Bereich, müssen vor allem der Login und die Datenübermittlung technisch abgesichert werden. Dies überprüfen wir (siehe Technische Sicherheit der Website).
Kontaktformulare sind eine bequeme Möglichkeit, mit dem Betreiber der Website in Verbindung zu treten. Häufig werden darüber jedoch mehr Daten erhoben, als eigentlich erforderlich. Beispielsweise widerspricht die zwingende Angabe von Vor- und Nachname in vielen Fällen den Grundsätzen der DS-GVO. Dass hierbei Daten übertragen werden, ist selbstverständlich. Somit muss eine genaue Berücksichtigung in der Datenschutzerklärung ebenso selbstverständlich sein.
Auch über das Angebot von Musik- und Video-Streaming-Diensten auf der eigenen Website kann eine Verarbeitung von personenbezogenen Daten erfolgen. Die Anbieter dieser Streaming-Dienste werden zumeist über eine Nutzung ihres Angebots informiert bzw. erhalten beim Abruf der Inhalte personenbezogene Daten oder setzen Cookies. Deshalb gilt es auch das in der Datenschutzerklärung zu berücksichtigen.
Möchte man sich zum Newsletter anmelden, muss dies über eine separate E-Mail bestätigt werden. Dieses sog. Double-Opt-In hat wahrscheinlich jeder bereits gesehen. Doch nur so kann der Betreiber der Website wirksam nachweisen, dass sich auch wirklich die Person zum Newsletter angemeldet hat, die auch angegeben wurde (Einwilligung). Dieses theoretische Verfahren muss auch tatsächlich umgesetzt werden. Auch muss eine transparente Information darüber erfolgen.
Hier liegen die Fallstricke oft im Detail. Können Waren bestellt werden, müssen Daten vom Besteller und vom Empfänger sowie über die Rechnung angegeben werden. Auch können verschiedene Möglichkeiten zur Zahlung zur Verfügung stehen. Dafür müssen die Daten teilweise an externe Zahlungsdienstleister übermittelt werden. Auch Einstellmöglichkeiten über das eigene Konto sind empfehlenswert, um den datenschutzrechtlichen Anforderungen gerecht zu werden. Im Ergebnis muss über die Art und den Umfang dieser Datenverarbeitung in der Datenschutzerklärung informiert werden. Eine reibungslose Übermittlung dieser zum Teil sensiblen Daten muss ebenfalls datenschutzrechtlich abgesichert und sichergestellt werden.
Die Auswahl an Schriftarten ist nahezu unbegrenzt. Doch zumeist werden diese beim Aufruf der Website von Servern anderer Anbieter direkt abgerufen. Dadurch entsteht eine Datenverarbeitung, die auch in der Datenschutzerklärung entsprechende Berücksichtigung finden muss.
Modernes Marketing ist ohne die Nutzung verschiedener Social-Media-Kanäle wie Facebook, LinkedIn oder Instagram nicht mehr vorstellbar. Diese können zudem oftmals als sogenannte Plug-Ins direkt in die eigene Website integriert werden oder über eine Verlinkung auf die entsprechende Unternehmensseite im jeweiligen Social-Media-Kanal verweisen. Auch wenn der Umfang der Datenverarbeitung und die technische Umsetzung bei den beiden Varianten unterschiedlich sind, kommt man um eine Ergänzung der Datenschutzerklärung nicht herum.
Wenn noch weitere relevante Bestandteile der Website vorhanden sind, können wir auch diese identifizieren und entsprechend berücksichtigen. Ein klassisches Beispiel sind Captcha-Dienste: So kann sichergestellt werden, dass bestimmte Aktionen über die Website auch tatsächlich von einem Menschen und nicht von einem Computerprogramm ausgeführt werden.
