74 – DSGVO und Websites
Nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) müssen auch Website-Betreiber auf die Einhaltung der Bestimmungen der DSGVO achten, besonders, wenn von den BesucherInnen personenbezogene Daten erfasst und verarbeitet werden. Die Betreiber müssen in einer Datenschutzerklärung anführen, wo und wie personenbezogene Daten von den BesucherInnen erfasst werden.
Diese sollte folgende Erklärungen enthalten:
Essentiell (wichtig)
- Allgemeine Erklärung über das Anliegen des Datenschutzes
- Automatische Datenspeicherung: wie und ob der Webserver Besucherdaten speichert (IP-Adresse der BesucherInnen, besuchte Seiten und Unterseiten, Uhrzeit, davor besuchte Website, ob die Site durch eine Suchmaschine gefunden wurde)
Wenn man eine Website besucht, werden vom Webserver (Computer, auf dem die Website gespeichert ist und der sie ausliefert), automatisch Daten gespeichert:
IP-Adresse: In einem Netzwerk und so auch im Internet hat jedes Gerät (z. B. eben auch die Webserver) eine eindeutige Adresse (IP-Adresse; IP – Internet Protocol), z. B. 62.46.87.169 Die Adressen der Geräte im Internet sind einmalig und öffentlich. Nur die öffentlichen Adressen können gefunden (geroutet) werden. Daher kann man von Webservern Websites abrufen.
Die IP-Adressen im lokalen Netzwerk sind private (und nicht einmalige). Sie können nicht geroutet werden. Das bedeutet: Über das Internet kann niemand so ohne weiteres auf einen Computer zu Hause zugreifen und Daten lesen. (Aber es ist nicht unmöglich!)
Gibst Du in einen Webbrowser diese Adresse ein (https://whatismyipaddress.com/), so siehst Du Deine öffentliche IP-Adresse, mit der Du gerade im Internet bist. Das ist aber nicht die Adresse Deines Computers, Laptops oder Smartphones. Die öffentliche IP-Adresse leiht Dir Dein Internet-Provider (z. B. Telekom). Wenn Du eine Website aufrufst, kommt diese zuerst mithilfe der öffentlichen IP-Adresse zu Deinem Provider, der kann sie Seite auf Dein Gerät weiterleiten. Der Provider weiß daher, zu welchen Zeiten Du mit dieser IP-Adresse im Internet „unterwegs“ warst.
Besuchte Seiten und Unterseiten: Der Webserver speichert genau, welche einzelnen Seiten Du wann und wie lange besuchst hast.
Davor und danach besuchte Seiten (Referrer): Der Webserver speichert, welche Website Du vorher besucht hast, ob Du durch eine Suchmaschine auf die Seite gekommen bist, und welche Website du nach besucht hast.
Weiters: Dein Betriebssystem, Auflösung des Monitors, welches Smartphone, ungefährer Ort, an dem Du bist.
- Speicherung persönlicher Daten: ob persönliche Daten erfasst werden, z. B. in Kontaktformularen, Kommentaren, die Du selber ausfüllst
- Rechte der BesucherInnen: Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch
- TLS-Verschlüsselung mit https: dass die Daten verschlüsselt übertragen werden
Verschlüsselte Websites: Verschlüsselte Websites sind am https am Anfang der Adresse und am geschlossenen Vorhangschloss erkennbar. Das bedeutet, dass die Daten zum Webserver und umgekehrt verschlüsselt übertragen werden. Selbst wenn sie abgefangen werden, können sie nicht gelesen werden. Das ist extrem wichtig im Netbanking, bei Online-Shops und der elektronischen Verwaltung.
- Cookies: ob und wie Cookies verwendet werden
Ein Cookie ist eine einfache kleine Datei, die gemeinsam mit den Seiten einer Website versendet und vom Webbrowser auf dem PC oder einem anderen Gerät gespeichert werden kann. Die darin gespeicherten Informationen können während erneuter Besuche der Website auf den Server der besuchten Website gesendet und dort verwendet werden.
Du besuchst z. B. einen Webshop und legst einige Artikel in den Warenkorb, bestellst aber noch nicht. Die Artikel im Warenkorb werden in einem Cookie auf Deinem Gerät gespeichert. Am folgenden Tag besuchst Du wieder den Webshop, das Cookie wird an die Shop gesendet und dieser zeigt die Artikel von Gestern im Warenkorb an. Hierbei handelt es sich um funktionelle Cookies. Sie sind oft praktisch.
Cookies können auch an Dritt-Anbieter gesendet werden. Im Beispiel mit dem Webshop würde das bedeuten: Das Cookie wird z. B. auch an den Hersteller der Artikel im Warenkorb gesendet. Dieser kann somit „mitbekommen“, dass sich jemand für sein Produkt interessiert.
Cookies kann man in den Einstellungen zum Datenschutz in den Webbrowsern löschen. Manche Webbrowser erlauben auch die Einstellung, dass sie automatisch mit Beenden des Browsers gelöscht werden. Auch das Speichern der Cookies kann durch entsprechende Einstellungen verhindert werden, bei Dritt-Anbieter-Cookies sinnvoll, bei den normalen Cookies gibt es auf vielen Websites Probleme.
- Google-Maps Datenschutzerklärung: ob Google-Maps verwendet wird und dass in diesem Fall Daten an Google übertragen werden
- Google-Fonts Datenschutzerklärung: ob Google-Fonts verwendet werden und welche Daten in diesem Fall an Google übertragen werden (verwendete Fonts, CSS)
Schriften auf Websites werden häufig dynamisch eingebunden. Sie sind z. B. auf Google-Servern und werden beim Aufruf der Website von Google „geholt“.
Website-Analyseprogramme
- Google-Analytics Datenschutzerklärung: ob mit Google-Analytics Besucherdaten erfasst und verarbeitet werden
- andere Analytik-Programme
Analytik-Programme werten die (automatisch) erfassten Besucherdaten (s. o.) auf Websites aus. Diese Daten sind wertvoll und werden daher auch gehandelt.
Social Media
- Facebook-Datenschutzerklärung: ob durch das Einbinden von Facebook-Funktionen (Plugins) Daten von BesucherInnen an Facebook übertragen und verarbeitet werden
- Das Gleiche gilt für Youtube, Twitter, Instagram, Google+ usw.
Einen Datenschutzgenerator als Hilfe gibt es auf https://www.firmenwebseiten.at/datenschutz-generator/
Man wählt die zutreffenden und somit notwendigen Erklärungen aus und der Generator stellt den Text zusammen.
Beispiele für Datenschutzerklärungen: