Webauftritt
zuletzt geändert am 28.2.2019
Aus datenschutzrechtlichen Gründen sind einige Dinge für den Webauftritt zu beachten. Die folgenden Themen zeigen einige "Fallstricke" im Überblick.
Impressumspflicht und Datenschutzerklärung für Webseiten
Neben der Impressumspflicht ist für Webauftritte zu beachten, dass auch eine Datenschutzerklärung vorhanden sein muss. Die Datenschutzerklärung muss genauso leicht zu finden sein wie das Impressum.
In der Datenschutzerklärung kommt der Verantwortliche für den Internetauftritt seiner Informationspflicht nach Art. 13 DSGVO nach. Demnach muss zu folgenden Punkten informiert werden:
- Nennung der verantwortliche Stelle
- Nennung des Datenschutzbeauftragten
- Erläuterungen zum Zweck und zur Rechtsgrundlage der Datenerhebung
- Angabe zu Löschfristen
- Rechte der betroffenen Personen (Besucher der Webseite)
- Art und Umfang der Verarbeitung der personenbezogenen Daten. Hierzu gehören u.a. Informationen über
- Protokollierung am Webserver
- Cookies
- Tracking Tools und das OptOut für die eingesetzten Tools
- Löschung der erhobenen Daten
- Einsatz von externen Diensten, zu denen Daten übermittelt werden (falls z.B. soziale Netzwerke eingebunden sind).
Sie nutzen eine zentrale Typo3-Instanz?
Bei dem Einsatz einer zentralen vom ITSZ betriebenen Typo3-Instanz sind im Übrigen sowohl Impressum und Datenschutzerklärung vorhanden. Hier müssen Sie sich nicht selbst kümmern.
Muster
Muster für Impressum und Datenschutzerklärung stellt das STMI unter Schutz persönlicher Daten > Datenschutzreform-Arbeitshilfen zur Verfügung.
Erhebung personenbezogener Daten mit Hilfe von Webformularen
Setzen Sie Webformulare zur Erhebung von personenbezogenen Daten ein, so sollten Sie folgendes beachten.
Einverständniserklärung
Werden personenbezogene Daten anhand von Webformularen erhoben, so ist zu beachten, dass der Benutzer üblicherweise sein Einverständnis zur Verarbeitung der Daten explizit geben muss. Dieses Einverständnis ist nicht dadurch erklärt, dass er seine Daten auf der Webseite hinterlässt. Er muss stattdessen explizit sein Einverständnis geben und dabei auch u.a. über
- den Verantwortlichen,
- seine Rechte,
- den Zweck der Verarbeitung sowie
- die Löschfristen aufgeklärt werden.
Des Weiteren muss aufgeführt werden, welche Rechtsfolgen eine Verweigerung nach sich zieht.
Sollen die Daten später zu weiteren Zwecken verwendet werden, muss die Einwilligung hierfür bereits bei der Datenerhebung eingeholt werden. Anderenfalls dürfen die Daten nicht weiter verwendet werden. Es empfiehlt sich in diesem Fall diese Einwilligung separat mit einer eigenen Checkbox einzuholen. Mehr zum Thema Einwilligung finden Sie unter dem Menüpunkt "Einwilligungserklärung"
Notwendigkeit einer Beschreibung einer Verarbeitungstätigkeit
Für die Erhebung und Speicherung personenbezogene Daten muss i.A. eine Beschreibung einer Verarbeitungstätigkeit beim Datenschutzbeauftragten eingereicht werden.
Technisches
Bitte achten Sie bei Online-Formularen auf eine sichere Verbindung.
Diese ist gegeben, wenn das Formular mit einer Adresse, die mit https:// beginnt, aufgerufen wird. Ohne diese sichere Verbindung dürfen Sie personenbezogene Daten nicht erheben.
Formulardienste
Unter http://www.it.tum.de/it-sicherheit/fuer-mitarbeiterinnen/dos-and-donts/doodle-co/#c2630 haben wir für Sie zu empfehlende Dienste zusammen getragen.
Veröffentlichen von Mitarbeiterdaten
Veröffentlichen Sie Mitarbeiterdaten auf Ihren Webseiten, so müssen Sie u.U. eine Beschreibung einer Verarbeitungstätigkeit erstellen und diese beim Datenschutzbeauftragten zur Stellungnahme einreichen.
Mehr zur Beschreibung einer Verarbeitungstätigkeit unter dem Menüpunkt Verarbeitungstätigkeit.
Sicherheit bei Webapplikationen
Webapplikationen sind durch die öffentliche Erreichbarkeit besonders gefährdet, deshalb sollten Sie folgendes bei der technischen Umsetzung berücksichtigen:
- Die Anwendung darf nur via https (also verschlüsselt) erreichbar sein.
- Prüfen Sie, ob Sie den IP-Adressbereich einschränken können, aus dem die Anwendung erreichbar ist.
- Achten Sie bei der Entwicklung auf die Berücksichtigung der typischen Angriffsszenarien. Die OWASP Top10 bieten hier eine gute Grundlage.
Tracking/Web-Analyse
Tracking/Web-Analyse
Zur Verbesserung eines Webauftritts ist es häufig interessant zu wissen, wie Nutzer sich auf den Webseiten bewegen, welche Seiten besucht werden und wie lange sich Besucher auf den einzelnen Seiten aufhalten.
Hierfür werden Tracking-Tools eingesetzt. Die TUM bietet hierfür zentral einen datenschutzrechtlich ordnungsgemäß eingerichteten Service, den Sie nutzen können. Zugrunde liegt ein System, das anonymisierte Nutzungsdaten speichert.
Wenn Sie diesen Dienst in Ihren TUM-Webauftritt einbauen wollen, wenden Sie sich bitte an den IT-Support: it-support@tum.de
Google Analytics
Der Einsatz von Google Analytics au
f Webseiten der TUM ist als problematisch zu betrachten und ist damit nicht als Alternative zu sehen.Da der Nutzer anhand der gespeicherten IP-Adresse identifizierbar wird, verstößt der Einsatz von Google Analytics gegen das Telemediengesetz (externer Link). Laut §12 Abs 1 TMG darf eine Erhebung und Verwendung personenbezogender Daten nur mit Einverständnis des Betroffenen oder durch eine gesetzliche Grundlage vorgenommen werden. Das Einverständnis müsste zu Beginn des Nutzungsvorgangs eingeholt werden. Dies ist beim Einsatz von Google Analytics üblicherweise nicht der Fall. Eine gesetzliche Grundlage für die Erhebung gibt es nicht.
Soll auf den Einsatz von Google Analytics nicht verzichtet werden, muss eine Anonymisierung der IP-Adresse vorgenommen werden (unter Einsatz der Funktion "anonymizeIP"). Zusätzlich muss der Nutzer der Webseite deutlich auf das Recht hingewiesen werden, dass ein Widerspruch gegen die Datenauswertung möglich ist.
Der Bayerische Landesbeauftrage rät prinzipiell von der Nutzung von Google Analytics ab.
Mehr hierzu beim Bayerischen Landesbeauftragen für den Datenschutz: http://www.datenschutz-bayern.de/presse/20100906_google_analytics.html (externer Link). In seinem 25. Tätigkeitsbericht (externer Link) stellt der Bayerischen Landesbeauftragen für den Datenschutz folgende Kriterien zur Nutzung von Google Analytics auf:
- die Google Analytics Funktion _anonymizeIP zur automatischen Verkürzung der IPv4-Adressen der Webseitenbesucher bei der Datenspeicherung bei Google verwendet wird,
- die Nutzer der Webseite in deutlicher Form etwa in der Datenschutzerklärung auf ihr Recht hingewiesen werden, einer Auswertung ihrer Daten zu widersprechen und
- derartige Widersprüche wirksam umgesetzt werden können, etwa durch einen Verweis in der Datenschutzerklärung auf geeignete Browser-Plugins.
Social-Plugins
Social-Plugins wie beispielsweise von Facebook, Google+ und Twitter werden aus Datenschutzsicht immer noch als kritisch betrachtet.
Als Beispiel lesen Sie hier die Problematik von Facebooks "Like-it"-Button. Für andere Social-Plugins gelten ähnliche Vorgehensweisen.
Der "Like-it"-Button von Facebook
Kritisch zu betrachten ist der "Like-it"-Button von Facebook. Die Problematik besteht darin, dass Facebook in der Lage ist, den Besucher der Webseite, die den "Like-it"-Button einsetzt, weiter auf seinem Weg durch das Netz zu verfolgen. Die Verfolgungsmöglichkeit ist unabhängig davon, ob der Besucher bei Facebook eingeloggt oder überhaupt registriert ist.
Als Lösung bzw. Verbesserung der Situation werden derzeit sogenannte 2-Klick-Verfahren vorgeschlagen. Hierbei wird zunächst nur eine Grafik angezeigt und erst beim Anklicken werden die Daten zu Facebook übertragen.