Wenn wir Webseiten im Internet bewerten, spielt spätestens seitdem Inkrafttreten der Datenschutz-Grundverordnung im Mai 2018 das Thema Datenschutz eine große Rolle. Denn diese Verordnung stellt nahezu an jeden Betreiber einer Internetseite nun einige Anforderungen.
Welche personenbezogenen Daten der Besucher werden erhoben? Welche werden gespeichert? Wo genau werden sie gespeichert? Und welche Daten werde aus welchen Gründen an andere Anbieter oder Unternehmen übertragen?
Auch wenn das Thema Datenschutz bei den meisten Agenturen im Bereich der Website-Erstellung mittlerweile wesentlicher Bestandteil des Workflows geworden ist, fallen mir dennoch bei (sehr) vielen Praxiswebseiten, die immer gleichen Fehler und Missstände auf.
Und da eine Abmahnung aufgrund von fehlender Datenschutz-Maßnahmen nicht nur unangenehm und zeitraubend ist – Sie haben in Ihrem Praxisalltag ja sicherlich genug Themen haben, um die Sie sich kümmern müssen – sondern kann unter Umständen auch schnell massiv hohe Bußgelder zur Auswirkung haben.
Aus diesem Grund habe Ich Ihnen als Arzt oder Praxisinhaber hier die Top5 Fehler bezüglich Datenschutz auf Webseiten aufgelistet, sodass Sie kurzerhand selbst überprüfen können, ob diese Punkte auf Ihrer Praxiswebseite erfüllt sind.
Ich muss allerdings voranschicken, dass ich kein Jurist oder Datenschutzexperte bin und meine Vorschläge nicht als Rechtsberatung zu verstehen sind. Hierbei handelt es sich lediglich um meine Beobachtungen aus der regelmäßigen Auseinandersetzung mit der Thematik.
Schauen wir uns die häufig gemachten Fehler im Datenschutz also genauer an:
#1 Fehler bei der Datenschutz-Erklärung
Die sogenannte DSE soll den Besucher der Website im Vorfeld ausreichend informieren (vgl. § 13 DSGVO), insbesondere darüber, wer seine Daten erhebt, was mit diesen geschieht und zu welchem Zweck die Daten erhoben werden. Sie dokumentiert also die Funktionen der Webseite an denen personenbezogene Daten erhoben werden wie z.B.: Formulare, Analyse-Tools etc.
Diese Seite MUSS also zwingend auf jeder Webseite existieren und vor allem, muss sie von jeder Unterseite aus mit nur einem Klick erreichbar und eindeutig gekennzeichnet sein. Es ist daher nicht erlaubt, die Datenschutzerklärung im Impressum unterzubringen.
Optional kann man seine Besucher vor dem Absenden eines ausgefüllten Kontaktformulars noch die Datenschutz-Richtlinien akzeptieren lassen. Das ist zum aktuellen Zeitpunkt zwar keine Pflicht, schadet aber sicherlich auch nicht.
#2 Fehlendes SSL-Zertifikat bei mindestens einem Kontaktformular
Eine weitere, oft ignorierte technische Maßnahme ist die verschlüsselte Übertragung von personenbezogenen Daten über Kontaktformulare. Nutzt eine Webseite mindestens ein Kontaktformular, ist die verschlüsselte Übertragung via SSL Pflicht.
Ob eine Website Ihre Daten verschlüsselt oder nicht, erkennen Sie innerhalb des Browsers anhand folgendem Icon:
Das Zertifikat für die Verschlüsslung erhalten Sie für gewöhnlich von Ihrem Webhoster, oftmals sogar kostenfrei innerhalb ihres Webhosting-Pakets.
#3 Google Schriften nicht lokal gehostet
Mit dem kostenlosen Service „Google Fonts“ lassen sich hunderte von Schriftarten verwenden und einheitlich innerhalb einer Website einbinden. Die Verwendung dieser Schriftarten ist daher weit verbreitet und von Grund auf erstmal vollkommen in Ordnung.
Nur nutzen viele Webseiten diese Schriften, indem sie sie direkt vom Google Server laden. Dabei übermittelt der Browser des Nutzers verschiedene Informationen wie Browser- und Gerätedaten und auch die IP-Adresse des Nutzers an die Google Server in den Vereinigten Staaten.
Das ist nicht nur datenschutzrechtlich mehr als bedenklich, sondern zieht auch weitere Nachteile im Bereich der Suchmaschinenoptimierung und Seitenladezeit mit sich.
Ob Ihre Website die Schriften ebenso vom Google Server lädt, erkennen Sie innerhalb der Entwicklertools ihres Browsers. Diese erreichen Sie, je nach Browser, wenn Sie innerhalb der Seite einen Rechtsklick ausführen und dann „Inspect“ oder „Untersuchen“ anwählen.
Die Lösung für dieses Problem ist glücklicherweise wirklich einfach. Die Schriften können nämlich problemlos bei Google heruntergeladen und in der eigenen Webseite eingebunden werden. Dadurch wird eine einheitliche Darstellung der Webseite ganz ohne Datenschutzproblematik gewährleistet.
#4 Erweiterter Datenschutz-Hinweis bei Einbinden von Google Maps
Eine weitere Sache die bei fast keiner Praxiswebseite fehlt, ist die Darstellung des eigenen Standorts innerhalb einer Karte. Dadurch kann der Besucher sich problemlos seine eigene Anfahrt zu Ihrer Praxis berechnen. Meistens wird auch dies über den kostenfreien Dienst „Google Maps“ umgesetzt, der personenbezogene Daten zum Standort des Nutzers an Google überträgt.
Spätestens nach dem Urteil des EuGH zum Privacy Shield vom 16.07.2020 ist auch dieser Transfer nicht mehr datenschutzkonform möglich. Als Übergangslösung empfiehlt sich hier, die Karte beim Laden der Seite erstmal zu blocken, um sich die Einwilligung des Nutzers zum Datentransfer einzuholen.
Wie lange diese Lösung allerdings Bestand hat, ist zweifelhaft. Hier gilt es die zukünftige Rechtsprechung im Auge zu behalten und stetig daran anzupassen.
#5 Google Analytics nur mit Opt-In
Der letzte und nicht weniger wichtige Punkt in meiner Liste an häufiger Datenschutz-Pannen ist die Einbindung von Analyse-Tools. Auch hier stellt wieder Google das kostenlose Werkzeug „Google Analytics“ zur Verfügung um wichtige Erkenntnisse im Marketing über die eigenen Nutzer zu ermitteln und zu vergleichen. Auf diese Weise werden unglaublich viele personenbezogene Daten erhoben und – Sie werden es bereits ahnen – an Google übertragen.
Um Google Analytics rechtsgültig einzubinden und zu nutzen fallen eine Vielzahl an Arbeitsschritten an und selbst dann bleibt ein Restrisiko. Folgendes ist zu beachten:
– Vertrag zur Auftragsverarbeitung abschließen
– Aufbewahrungsdauer der Daten festlegen
– Empfohlene Standardeinstellungen anpassen
– Einwilligung einholen
– IP-Anonymisierung und ggf. Löschung von Altdaten
– Datenschutzerklärung anpassen
Bedeutet also konkret, dass wenn ich keine Einwilligung meiner Nutzer zum Tracking bekomme, ich deren Daten auch nicht erheben darf, was nahezu alle analytischen Daten stark verwässert.
Wir nutzen als Agentur daher mittlerweile ausschließlich das alternative Tool „Matomo Analytics“. Hierbei werden ebenso viel wichtige Erkenntnisse über die User erhoben und innerhalb der eigenen Seite oder eines eigenen Servers gespeichert, was die Verwendung datenschutzkonform macht – zum heutigen Stand auch ohne die Einwilligung des Users.
Fazit
Wie Sie sehen durchlebt das Thema Datenschutz auf Webseiten besonders aktuell häufige Veränderungen und zieht daher durch neue Rechtsprechungen immer wieder neue, zu erfüllende Maßnahmen mit sich.
Insgesamt wird die Zeit zeigen müssen, ob und in welcher Weise der Datentransfer in die USA in Zukunft wieder – wenn er es denn jemals war – vollständig datenschutzkonform möglich ist.
Ich hoffe dennoch, ich konnte Ihnen mit dieser kurzen Liste eine Möglichkeit geben, Ihre eigene Seite auf die häufigen Fehler zu überprüfen und bei Bedarf nachzubessern.
Dennoch empfehle ich jedem, der sich in Bezug auf den Datenschutz der eigenen Website unsicher ist, den Weg zum Datenschutz-Anwalt. Nur ein Jurist kann Ihnen hier absolute Sicherheit und Gewissheit liefern.
