DGSVO für Webseiten
In einer Woche tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Die teilweise komplizierten Anforderungen gelten für alle öffentlichen und privaten Organisationen in der EU - auch für Betreiber von Webseiten.
Kern der Verordnung ist die Verpflichtung, jegliche Formen personenbezogener Datenverarbeitung über Einwilligungserklärungen zur Datenerhebung und anschließenden Datenverarbeitung abzusichern und zu dokumentieren. Die Artikel 7 und 12 der DGSVO sehen dabei auch noch eine verständliche und transparente Kommunikation im Sinne der Interessen von Betroffenen vor. Die neue Datenschutzverordnung betrifft aber nicht nur das Tagesgeschäft der Versicherungsvermittlung, sondern auch den Bereich der werbebasierten Akquirierung und Kontaktpflege via Homepages.
Ausführliche DSGVO-Anpassungen von Internetseiten
Das bedeutet, dass die Internetauftritte von Maklern den Anforderungen der DSGVO anzupassen sind. Nicht nur die Kontaktformulare sind mit notwendigen Datenschutzhinweisen zu versehen, bei der gesamten webbasierten Datenerhebung müssen alle Kunden über die Art, den Zweck, den Umfang und die rechtlichen Bedingungen der Erhebung ihrer Daten informiert werden. Der Kunde muss vor der Erhebung seiner Daten, beispielsweise im Kontaktformular, sein Einverständnis dazu mitteilen; in der Praxis durch das Aktivieren einer Checkbox. Datenschutzerklärungen werden ausführlicher und verpflichtend. Bei Nichtbeachtung der DSGVO drohen unangenehme Abmahnungen und empfindliche Bußgelder. Um diesem Ärger zu entgehen, sind mehrere Schritte nötig:
1. Verschlüsselung der Webseite
Die Verschlüsselung der Webseite verspricht DSGVO-konformen Datenschutz. Verschlüsselte Seiten sind am https-Protokoll, zu sehen in der Browseradresszeile, zu erkennen. Falls die Domain weiterhin unter dem http-Protokoll läuft, sollte sich der Administrator, bzw. Webprovider um ein SSL-Zertifikat kümmern. Sicherer Seiten werden auch von Suchmaschinen wie Google bevorzugt gelistet.
2. Datenschutzerklärung überarbeiten
Grundsätzlich war auch bisher eine Datenschutzerklärung für Webseiten so obligatorisch wie das Impressum. Durch die DSGVO sind jedoch weitere und ausführlichere Informationspflichten dazugekommen. Sämtliche Dienste und PlugIns, die auf der betreffenden Seite Daten Dritter Diensten zugänglich machen, müssen künftig in der Datenschutzerklärung aufgeführt werden. Dazu gehören bereits obligatorische Dienste der Social-Media-Kanäle, wie zum Beispiel Facebook Like Button. Auch Captcha-Dienste, die Kommentar-Spam verhindern sollen, geben Nutzerdaten weiter.
3. Anpassen eigener Formulare
Formulare sind praktisch und wichtig: So können Kunden und Interessenten auf der Website Termine vereinbaren, sich für einen Newsletter anmelden oder dem Betreiber eine Nachricht zukommen lassen. Künftig dürfen in Formularen aber nur solche Datenfelder verpflichtend sein, die auch tatsächlich benötigt werden. Für ein Newsletter-Formular heißt dies, das nur das Feld für die Emailadresse als Pflichtfeld deklariert werden darf - alle anderen Felder, wie Name, Vorname, Wohnort und sonstige dürfen lediglich obligatorisch sein. Weitere Daten dürfen also nur noch freiwillig abgefragt werden. Pflichtfelder müssen deshalb auch für Nutzer als Pflichtfelder zu erkennen sein. Es muss auch ersichtlich sein, warum Daten benötigt werden und auf welcher Rechtsgrundlage diese verarbeitet werden. Dazu müssen Informationstexte auf allen Seiten sichtbar sein, auf denen Daten erhoben werden:
„Ihre Vertragsdaten (z.B. in Anspruch genommene Leistungen, Namen von Kontaktpersonen, Zahlungsinformationen) werden im Rahmen unserer vertraglichen Verpflichtungen und Serviceleistungen gemäß Art. 6 Abs. 1 lit b. DSGVO erhoben und weiterverarbeitet. Die in Onlineformularen als verpflichtend gekennzeichneten Angaben sind für den Vertragsschluss erforderlich.“
Eine entsprechende Erklärung ist selbstverständlich für jedes Formular verpflichtend. Der Nutzer muss diesen Datenschutzhinweis vor dem eigentlichen Sendevorgang bestätigen. Realisiert wird dies mittels einer Checkbox, die jedoch nicht vorher schon abgehakt sein darf.
4. Social-Media-Plugins absichern
Webseiten basieren meistens auf Content-Management-Systeme, die zahlreiche PlugIns für einen erweiterten Funktionsumfang nutzen. Viele PlugIns bieten sinnvolle Verknüpfungen zu den sozialen Mediendiensten der Seitenbetreiber. Dabei ist es den Betreibern oft überhaupt nicht bekannt, dass diese PlugIns unbemerkt personenbezogene Daten erheben und dadurch in der Lage sind, detaillierte Persönlichkeitsprofile zu erstellen. Künftig werden wohl viele auf solche PlugIns verzichten - oder aber auf datenschutzkonforme Lösungen wie beispielsweise das PlugIn „Shariff“ nutzen (für wordpress). Hier müssen die Nutzer explizit die Entscheidung fällen, ob Daten übertragen werden.
Aber selbst eingebettete Videos (youtube, vimeo) übertragen Daten von Websitebesuchern - oft sogar unabhängig, ob ein Video abgespielt wird oder nicht. Abhilfe schafft hier der „anonymizeIP“-Befehl im Quellcode der Website.
5. Cookie-Informationen liefern
Cookies sind kleine Textdateien, die mit Informationen gefüllt auf den Festplatten der Nutzer landen, um diese bei erneuten Besuchen zu erkennen und das Surfen auf der Website zu erleichtern. Wichtig ist künftig eine Cookie-Warnung, die für Nutzer beim ersten Besuch der Website über die Datenerhebung informiert. Der Infotext dieser „Cookie-Warnung“ gehört zusätzlich auch als Bestandteil in die Datenschutzerklärung. Dazu gehört ein Hinweis, wie diese Cookies auf Wunsch von den Nutzern verhindert werden können.
6. Datenverarbeitung mit Dritten absichern
Webhoster, bzw. Provider realisieren nicht nur den technischen Betrieb von Webseiten mittels Servern, sondern meistens auch die E-Mail-Verwaltung und -archivierung. Damit liegt allerdings eine Datenverarbeitung vor, die eine Vertrag zur Auftragsverarbeitung erfordert.
Die vorliegenden Punkte werden für die allermeisten Makler alleine nicht abzuarbeiten sein, da zur Realisierung webbasierter Erfordernisse im Rahmen der DSGVO tiefere technische Kenntnisse erforderlich sind. Deshalb ist es jetzt wichtig, so schnell es geht mit dem Administrator der eigenen Seiten, bzw. dem Provider Kontakt aufzunehmen und über die Datenschutz-Grundverordnung zu sprechen. Größere Provider bieten sinnvolle Ansatzpunkte auf ihren Unternehmensseiten.
Photo by Helloquence on Unsplash
Read the full article