Analyse
/ 09. August 2019

Sind Ihre Webseiten DSGVO-konform?

Viele Websites entsprechen immer noch nicht den Vorgaben der Datenschutz-Grundverordnung (DSGVO). Das zeigen aktuelle Prüfungen der Datenschutz-Aufsichtsbehörden. Unternehmen sollten die vorhandenen Orientierungshilfen und Tools nutzen, um ihre Internet-Auftritte auf Einhaltung der DSGVO zu überprüfen.

Datenschutzmängel bei Webseiten

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hatte vor einigen Monaten Websites mit sehr großer Reichweite untersucht.

Obwohl sich einige der prominentesten Internetdienste unter den Geprüften befanden, fiel das Ergebnis aus Datenschutz-Sicht ernüchternd aus: Im Umgang mit Passwörtern und Tracking-Werkzeugen hat die Behörde zahlreiche Defizite erkannt, die Anlass für aufsichtliche Verfahren wurden.

Ähnliche Resultate erhielt auch der Europäische Datenschutzbeauftragte (EDPS). Die Prüfungen bei den Websites der wichtigsten EU-Organe und -Einrichtungen ergab, dass sieben von zehn geprüften Websites Datenschutz- und Datensicherheits-Probleme haben.

Alle betroffenen Organe haben Empfehlungen erhalten, wie sie sicherstellen können, dass ihre Websites vollständig den Datenschutz-Bestimmungen entsprechen.

Die zuständigen Organe haben rasch reagiert, um die festgestellten Probleme zu beheben, teilte der Europäische Datenschutzbeauftragte mit.

Häufige Lücken beim Tracking und bei Kontaktformularen

Eines der aufgetretenen Probleme war das Tracking durch Dritte ohne vorherige Zustimmung.

Das ist insbesondere dann problematisch, wenn der Dritte nach einem Geschäftsmodell arbeitet, das darauf basiert, Profile zu erstellen und anschließend Behavioural Targeting von Website-Besuchern vorzunehmen.

Weitere Probleme betrafen die Verwendung von Trackern für Webanalysen ohne vorherige Zustimmung der Besucher und die Übermittlung personenbezogener Daten, die über Webformulare mithilfe unverschlüsselter Verbindungen erfasst wurden.

Muster & Orientierung der Aufsichtsbehörden

Die Aufsichtsbehörden bieten aber nicht nur Hinweise, wie sich die DSGVO bei Webseiten umsetzen lässt, nachdem ihre Prüfungen zahlreiche Datenschutz-Mängel offengelegt haben.

Sie haben auch viele aktuelle Informationen im Angebot, die bereits im Vorfeld helfen.

Entsprechend sollten Unternehmen und behörden die Beratungsangebote und Hilfsmittel der Aufsichtsbehörden nutzen Darunter zum Beispiel

Auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat Empfehlungen veröffentlicht, wie sich Website-Anbieter nach Stand der Technik absichern müssen.

Werkzeuge für eigene Prüfungen

Die Aufsichtsbehörden verwenden spezielle Werkzeuge für die Prüfung.

So entwickelte der Europäische Datenschutzbeauftragte ein Programm, das automatisch Informationen über die Verarbeitung personenbezogener Daten durch Websites sammelt.

Diese Informationen umfassen die Verwendung von Cookies, Web Beacons, Seitenelemente, die von Dritten geladen wurden, und die Sicherheit verschlüsselter Verbindungen (HTTPS).

Verschiedene Security-Anbieter stellen ebenfalls Tools zur Verfügung, um die GDPR-Compliance bei Webseiten zu testen. Als Beispiel sei das Tool von ImmuniWeb genannt, das Verantwortliche laut Anbieter kostenlos nutzen können.

ImmuniWeb

Der GDPR-Konformitätstest ist Teil des Website-Sicherheitstest von ImmuniWeb. Der Test ist zunächst für kleine und mittlere Unternehmen gedacht.

Das Tool überprüft laut Anbieter insbesondere

  • die PCI-DSS-Anforderungen 6.2, 6.5 und 6.6.
  • die in den Artikeln 5, 6, 7, 25, 32 und 35 DSGVO genannten Anforderungen für Websites und Webanwendungen
  • Schwachstellen von über 100 Content-Management-Systemen (CMS), Web-Frameworks und über 167.000 ihrer Plug-ins
  • HTTP-Header in Bezug auf Sicherheit, Verschlüsselung oder Datenschutz

Untersucht werden also neben der Webseitensicherheit auch Bereiche wie der Umgang mit Cookies und Trackern sowie die Datenschutzerklärung (Privacy Policy).

SIWECOS

Ein weiteres Beispiel speziell für die Sicherheitsprüfung bei Webseiten ist SIWECOS.

So untersuchte SIWECOS zum Beispiel 754 Webseiten kleiner und mittelständischer Unternehmen (KMU) aus NRW hinsichtlich Sicherheitslücken.

71,8 Prozent der KMU-Webseiten in NRW waren nicht optimal konfiguriert, 6,6 Prozent der Seiten hatten eklatante Sicherheitsmängel. Die Testberichte haben sie jeweils aufgeführt und erläutert, um die Behebung zu unterstützen.

Natürlich können solche Tools keine DSGVO-Zertifizierungen oder eigene Prüfungen nach DSGVO ersetzen.

Doch sie sind ein guter Anhaltspunkt, wo man bei den eigenen Kontrollen bei den Webseiten genauer hinsehen sollte.

Oliver Schonschek