Die Webseite einer Organisation, insbesondere im Gesundheits- und Sozialwesen, wo häufig die besonderen Vorschriften der kirchlichen Datenschutzgesetze gelten, ist oftmals die erste Anlaufstelle für Personen, die Informationen zu den durch die Organisation erbrachten Leistungen suchen. Häufig handelt es sich hier um besonders sensible Leistungsbereiche wie Schwangeren-, Sucht- und Erziehungsberatung.
In der Praxis zeigt sich, dass viele Verantwortliche nicht vollständig wissen, welche Dienste auf der Webseite integriert wurden. Darüber hinaus setzen sich die eingesetzten Dienstleister und Agenturen nicht immer in ausreichendem Maße mit den (datenschutz-)rechtlichen Anforderungen auseinander bzw. wird der Datenschutzbeauftragte nicht regelhaft eingebunden.
Diese Problematiken sind auch den konfessionellen Datenschutzaufsichtsbehörden bewusst geworden. Daher haben diese begonnen systematische Prüfungen der Webauftritte durchzuführen oder zumindest umfangreichere Überprüfungen ankündigt.
Zunächst technische Prüfung
Grundsätzlich besteht die Websiteprüfung aus mehreren Phasen. Zunächst wird eine technische Standardprüfung durchgeführt. Dabei wird geprüft, ob eine aktuelle und zugelassene Verschlüsselung hinterlegt ist, die Verlinkungen zu Impressum und Datenschutzerklärung von der Unterseite funktionsfähig sind oder der eingesetzte Cookie-Banner funktionstüchtig ist.
Immer wieder problematisch ist auch die Einbindung externer Inhalte. Beispielhaft können hier die Schriftarten von Google genannt werden. Sobald eine Webseite solche Schriftarten einbindet, werden Daten der Besucher auch an Google-Server in die USA übertragen, ohne dass der Nutzer hier eine Wahlmöglichkeit hat. Die Aufsichtsbehörden empfehlen daher diese Schriftarten über eigene Server bereitzustellen.
Cookie-Banner und andere Einwilligungen
Eine Einwilligung zur Datenverarbeitung ist immer dann erforderlich, wenn die Datenverarbeitung über das technisch-erforderliche Maß hinausgeht. Hierzu werden in der Regel Cookie-Banner eingesetzt, bei denen eine Reihe von Fallstricken bestehen: So werden unter Umständen bereits Cookies gesetzt ohne dass der Nutzer eine Auswahl getätigt hat, wodurch die Datenverarbeitung ohne Rechtsgrundlage erfolgt. Zum Teil werden die Banner auch über Plug-Ins geladen, welche den Datenverkehr über US-amerikanische Dienste routen. Weiterhin sollte der Banner ausreichend differenziert sein und dem Nutzer die Entscheidung erlauben, welche Cookiekategorien er im Einzelfall zulassen möchte.
Eine andere Maßnahme zur Einholung der Einwilligung auf Webseiten besteht in der sogenannten Zwei-Klick-Lösung, um die Verarbeitung durch eingebundene Dienste, wie Videos oder Social-Media-PlugIns, zu legitimieren. Hierbei werden an Stelle der Dienste Schaltflächen eingebunden, die solange inaktiv sind, bis der Nutzer diese manuell aktiviert und hierdurch seine Einwilligung erteilt. Die Praxis zeigt, dass diese Möglichkeit bislang nur selten umgesetzt wird.
Fazit
Erfahrungen zeigen, dass bei der technischen und inhaltlichen Gestaltung der Website ein nicht unerheblicher Aufwand zu erbringen ist, um die datenschutzrechtlichen Vorgaben sicher umzusetzen. Dies begründet sich zum einen durch das nach wie vor dynamische, rechtliche Umfeld und die schnelle technische Weiterentwicklung der eingesetzten Dienste. Zum anderen werden vor allem in größeren Organisationen aus den Bereichen und Abteilungen eine große Anzahl verschiedener Anforderungen an die Unternehmenskommunikation herangetragen. Hier gilt es den Datenschutzbeauftragten regelhaft einzubinden, um eine jederzeit aktuelle Umsetzung der Anforderungen gewährleisten zu können.
Sie haben Fragen oder Beratungsbedarf zum Thema Datenverarbeitung auf Ihrer Webseite? Gerne stehen Ihnen unsere Expert:innen bei allen Herausforderungen und Anforderungen zur Seite. Jetzt Kontakt aufnehmen!