30.05.18

DSGVO-haben Sie da nichts vergessen?

5 Punkte, die Sie zur Sicherheit noch prüfen sollten

Die DSGVO ist erledigt - zumindest gedanklich bei vielen Unternehmen. Jetzt kommt dann allerdings der Praxistest. Und den haben viele dann doch nicht bestanden!

Wir haben aus den Gesprächen mit unseren Kunden eine kleine Checkliste zusammengestellt über die Punkte, die genauso wichtig sind, letztendlich dann aber übersehen oder unwissentlich nicht umgesetzt sind. Sollten Sie Google Maps in Ihre Homepage eingebunden haben, sollten Sie sich Änderungen ab 11. Juni 2018 (siehe unten) ansehen.

Auch das ist relevant im Rahmen der DSGVO:

1. TLS (SSL-) Verschlüsselung der Übertragung
Webseiten, die über eine SSL-Verschlüsselung verfügen, sind an dem kleinen grünen Schloss und dem Kürzel https (statt http) in der Adresszeile des Browsers zu erkennen – bei Banken und Online Shops ist dies schon länger Standard. Das Protokoll verschlüsselt nicht die eigentliche Seite, sondern die Verbindung zwischen dem Gerät des Nutzers und den Servern des Betreibers. Nachdem über Kontaktformulare persönliche Daten übertragen werden, müssen die Daten verschlüsselt werden. Bei Bestellvorgängen, Onlineshops uvm. ist das ebenfalls Pflicht.

2. Kontaktformular
Es muss verpflichtend auf die Datenschutzerklärung hingewiesen werden. Achtung: Dies muss mittels einer Checkbox („aktiv das Kreuz setzen und bestätigen“) geschehen. Der Nutzer darf die Möglichkeit zur Versendung seiner Angaben nicht erhalten, bevor er die Checkbox aktiv betätigt. Damit stimmt er Ihrer Datenschutzbestimmung zu. Die Checkbox sollte z.B. so eingerichtet sein, dass die Schaltfläche zum Senden der Informationen erst aktiv wird, sobald die Checkbox betätigt wurde.

3. Datenschutzerklärung und Impressum
Die Datenschutzerklärung sowie das Impressum müssen mit einem Klick erreichbar sein: Oftmals wird die Datenschutzerklärung auf der Impressums-Seite angelegt und ist somit mit den Besuchern nicht sofort zu finden. Nach einem Urteil des Oberlandesgericht Hamburg vom 27. Juni 2013 (Az. 3 u 26/12) ist eine Datenschutzerklärung abmahnfähig, wenn sie nicht als einzelner Punkt auf der Homepage aufgeführt ist (Quelle: e-recht24.de). Richtig ist, für die Datenschutzerklärung und das Impressum jeweils einen einzelnen Punkt anzulegen.

4. Einbindung von Google Web Fonts

Dies wird oft übersehen, da man es vielleicht nicht weiß. Damit die Schriften von Webseiten einheitlich dargestellt werden, verwenden viele Webseiten Schriften aus einer Google-Bibliothek. Diese werden beim Abruf der Internetseite von Google geladen. Auch hier muss ein Hinweis in der Datenschutzerklärung über die Verwendung der Web Fonts erfolgen.

5. Einbindung von Google Maps

Wenn Sie eine Karte von Google Maps eingebunden haben, vergessen Sie nicht, diese auch in der Datenschutzerklärung aufzuführen. Wichtiger Hinweis: Google hat an der Maps-Plattform Änderungen an den Produkten und Preisen sowie beim Support vorgenommen. Diese treten am dem 11. Juni 2018 in Kraft. Dann müssen für die Abrechnung eine Kreditkarte aktiviert werden und alle Projekte einen gültigen API-Schlüssel haben. Welche Änderungen sich daraus ergeben und ob Sie ggfs. etwas anpassen müssen, können Sie auf cloud.google.com/maps-platform/user-guide/ nachlesen.

6. Hinweise auf Cookies

Die Rechtslage ist noch nicht abschließend geklärt, siehe auch https://www.it-recht-kanzlei.de/cookies-einwilligung-datenschutzerklaerung.html?print=1. Hier gibt es sehr unterschiedliche Auslegungen. Dieses Thema wird im Rahmen der ePricacy Verordnung, die voraussichtlich im kommenden Jahr verabschiedet wird, noch einmal zum Thema. Seitenbetreiber sollten die Einwilligung der Nutzer einholen. Der Einwilligungstext bei einem Cookie-Hinweis sollte beim ersten Aufruf der Seite (Cookie Warnung) eingeblendet werden. Der Text für die Cookie-Nutzung  sollte so konkret wie möglich sagen, um welche Daten es geht, wozu diese genutzt werden und an wen diese Daten ggfs. weiter gegeben werden. Der Nutzer muss diesen Text mit einem Klick bestätigen.

Und zum Thema allgemeine Sicherheit der Website:
- Aktualisierung des CMS Typo3:
Viele Websiten nutzen das CMS Typo3 in älteren Versionen, z.B. 6.x oder sogar noch 4.x. Für diese gab es allgemeine Korrekturen bis Oktober 2013 (Version 4.7) bzw. März 2017 (Version 6.2 LTS). Wir empfehlen, hier neue Updates zu machen. Die Version 7 LTS bietet sicherheitsrelevante Korrekturen bis November 2018, die Version 8 LTS bis März 2020. Kleine Versionsupdates sind in der Praxis einfacher umzusetzen als große Versionssprünge.

- Aktualisierung des CMS Wordpress
Im Rahmen der DSGVO gibt es ein Update für Wordpress. Dieses umfasst unter anderem auch die Möglichkeit, über einen Link den Export personenbezogener Daten und die Löschung durchzuführen.
Grundsätzlich sollte Wordpress in regelmäßigen Abständen aktualisiert werden, um eine sichere Website zu haben. So können Sie auch Wordpress-Zusatzmodule (Plug-ins), die nicht mehr entwickelt werden, rechtzeitig identifizieren und gegen aktuelle PlugIns austauschen.

Benötigen Sie Unterstützung bei der Umsetzung? Rufen Sie uns gerne an unter 089/38 32 92 81.