Die datenschutzkonforme Kanzleihomepage
Auf den vielen Messen und Kongressen für Steuerberater, bei denen wir in den vergangenen Wochen als Aussteller vertreten waren, wurden wir sehr häufig auf das Thema Homepage angesprochen. Hier herrscht scheinbar viel Unsicherheit unter Steuerberatern, da man eben – auch unbeabsichtigt – viel falsch machen kann.
Diese Unsicherheit können wir sehr gut nachvollziehen, das Thema ist alles andere als einfach. Ein ungutes Gefühl hinterlässt vor allem die Tatsache, dass auf Webseiten oft Dinge im Hintergrund passieren, die ggf. nicht DSGVO-konform sind, für den Steuerberater aber nicht ersichtlich. Die Kanzleihomepage ist vergleichbar mit einem digitalen Schaufenster. Mandanten, Interessenten, aber auch potentielle Mitarbeiter informieren sich dort und bilden sich einen Eindruck von der Arbeitsweise der Kanzlei. Da sollte natürlich alles stimmen, denn die zweite Chance für einen ersten Eindruck bekommen Sie selten. Gerade in einer Branche, in der Vertrauen groß geschrieben wird, sollte die Kanzleihomepage vermitteln, dass Sicherheit bei Ihnen an erster Stelle steht.
Starten wir mit den Grundlagen
Hier wollen wir Licht ins Dunkel bringen und über einige Aspekte sprechen, auf die Sie achten sollten, um Ihre Website datenschutzkonform zu gestalten. In diesem Artikel sehen wir uns zunächst an, worum es grundsätzlich geht und verschaffen uns einen Überblick über das Thema. In den nächsten Artikeln nehmen wir uns verschiedene Aspekte im Einzelnen vor und finden heraus, was zu tun ist, um alles sicher zu gestalten.
Wir können die Themen, über die wir im Bezug auf Homepage sprechen müssen, in zwei Bereiche unterteilen: rechtliche Faktoren und technische Faktoren.
Die rechtlichen Faktoren
Hier ist das große Thema natürlich die von der DSGVO geforderte Datenschutzerklärung oder auch die „Hinweise zum Datenschutz“. Ich finde diese Bezeichnung treffender, da sie den Sinn des Werks besser wiedergibt. Es geht hierbei schlussendlich um Hinweise für den Besucher einer Seite über die Art und Weise, wie personenbezogene Daten, die er während seinem Besuch auf der Website hinterlässt, verarbeitet werden.
Was bedeutet „verarbeiten“? Darunter versteht man das Erheben, Nutzen, Verändern, Übermitteln, Speichern und auch Löschen von Daten, sprich alles, was man mit den Daten tun könnte, so lange sie verfügbar sind. Das nur kurz zum besseren Verständnis.
Nun fragen Sie sich vielleicht, welche personenbezogenen Daten denn überhaupt gemeint sein können. Wenn Sie einfach nur eine Homepage besuchen, ohne z.B. in einem Kontaktformular Ihre Daten zu hinterlegen, geben Sie ja erst einmal nichts Preis. Oder?
Die IP-Adresse als personenbezogenes Datum
Doch, Sie hinterlassen beim Besuch einer Website Ihre IP-Adresse. Wenn Sie sich ins Internet einwählen, bekommen Sie automatisch eine solche IP-Adresse zugewiesen. Je nachdem, über welche Form von Internetzugang Sie verfügen, kann das entweder eine statische IP-Adresse (z.B. bei der Nutzung einer Standleitung) oder eine dynamische IP-Adresse (z.B. bei einem DSL-Zugang) sein.
Vereinfacht gesagt wird also Ihre IP-Adresse in dem Moment, in dem Sie eine Internetadresse in Ihrem Browser eingegeben haben oder einen Link anklicken, dem Server, auf dem die entsprechende Webseite physisch gespeichert ist, mitgeteilt. Die IP-Adresse erscheint in den Protokollen der Webseite, in denen z.B. festgehalten wird, welcher Benutzer wann welche Seiten abgerufen hat und ist somit für alle Personen, die entsprechenden administrativen Zugang zu diesen Protokolldaten haben, ersichtlich.
Das klingt erst einmal nicht schlimm, da der Provider oder der Webdesigner nnhand der IP-Adresse nicht unbedingt herausfinden kann, wer Sie sind. Der DSGVO und dem EUGH und BGH reicht aber schon die Tatsache, dass die Telekommunikationsdienstleister, bei denen Sie ihren Internetzugang beauftragt haben, diese Verbindung herstellen könnten, wenn es denn notwendig wäre, um die IP-Adresse zu einem personenbezogenen Datum zu machen.
Damit hinterlässt also jeder Besucher Ihrer Kanzleihomepage mit der IP-Adresse ein personenbezogenes Datum und Sie sind verpflichtet, in den Datenschutzhinweisen auf Ihrer Website mindestens darauf hinzuweisen, was sie mit diesem Datum tun. Zusätzlich dazu sind ggf. noch Angaben zu Analysetools, die sie auf der Webseite betreiben, zu den Daten, die über Kontaktformulare gesendet werden, zu eingebundenen Diensten und so manchem Thema mehr im Datenschutzhinweis aufzuführen. Dazu kommen wir bei den einzelnen Themen noch. Außerdem gibt es Pflichtinhalte für den Datenschutzhinweis, wie z.B. die Nennung der Verantwortlichen Stelle oder den Hinweis auf die Rechte der Besucher. Da der Inhalt des Datenschutzhinweises davon abhängt, was genau mit den personenbezogenen Daten passiert und z.B. welche Tools auf Ihrer Webseite installiert sind, kann ein „Standardwerk“ hier nie ausreichen.
Dienstleister und die Auftragsverarbeitung
Ein weiteres wichtiges rechtliches Thema ist die sogenannte „Datenverarbeitung im Auftrag“. Wenn Sie Dienstleister rund um Ihre Homepage nutzen, die Zugang zu den personenbezogenen Daten der Besucher bekommen, müssen Sie sicherstellen, dass auch beim Dienstleister die Vorgaben der DSGVO und des BDSG eingehalten werden.
Vergewissern Sie sich also vor Beauftragung, dass Ihre Geschäftspartner den Datenschutz im Fokus haben. Dann können Sie auch problemlos einen sogenannten Vertrag zur Auftragsverarbeitung mit den Dienstleistern abschließen, in dem eben diese Themen beschrieben und geregelt werden.
Beispiele dafür sind z.B. die Webagentur, die Ihre Homepage technisch administriert und daher Zugriff auf alle Protokolldateien hat, oder ein Newsletterservice, der nach Absenden der Informationen aus einem Anmeldeformular die Kontaktdaten des Nutzers direkt auf seinen eigenen Systemen speichert, also verarbeitet.
Datenübermittlung
In diesem Zusammenhang steht das dritte wichtige Thema, auf das Sie beim Betrieb Ihrer Kanzleihomepage aus rechtlicher Sicht achten müssen: die Übermittlung von Daten an Dritte. Immer dann, wenn auf Ihrer Homepage Dienste, Tools, Plugins oder ähnliches eingebunden werden, die Besucherinformationen an Dritte übermitteln, muss es dafür entweder eine Rechtsgrundlage geben, oder der Besucher Ihrer Website muss der Übermittlung explizit zustimmen.
Ein Beispiel dafür: Sie haben auf Youtube interessante Videos hochgeladen, die Sie auch in Ihre Homepage einbinden möchten. Dafür nutzen Sie den Videoplayer von Youtube ohne weitere Einstellungen vorzunehmen und binden diesen auf Ihrer Webseite ein.
Was passiert? Durch das Einbinden des Players kann Youtube die IP-Adressen der Besucher verarbeiten, die diese Videos auf Ihrer Homepage angesehen haben. Sie haben also durch die Einbindung des Videoplayers Dritten Zugang zu personenbezogenen Daten Ihrer Besucher verschafft. Und genau dafür brauchen Sie entweder eine passende Rechtsgrundlage, oder – was meistens der Fall ist – eine Einwilligung.
Über die korrekte Lösung zur Einholung von solchen Einwilligungen auf Ihrer Website schreiben wir an späterer Stelle mehr, wenn es um das Thema Consent Banner geht. An dieser Stelle führt uns das zu sehr ins Detail.
Die technischen Faktoren
Sprechen über die technischen Faktoren, die für die DSGVO-Konformität Ihrer Kanzleihomepage eine Rolle spielen.
Ganz wichtig, aber von außen für den Laien nicht zu erkennen, ist das Thema Webserver-Security. Ihre Kanzleihomepage schwebt nicht irgendwo im Internet – um dies einmal sehr bildlich zu erklären – sondern ist, wie jede ganz normale Software, auf einem Server installiert. Dieser Server – der Webserver – hat nur die Besonderheit, dass er über das Internet für jeden erreichbar ist. Der Quellcode für Ihre Webseite, Konfigurationsdateien, aber auch die Protokolle – in denen sich die IP-Adressen der Besucher befinden – und weitere personenbezogene Daten, sind physisch auf diesem Server gespeichert.
Sie sollten sich also vergewissern, dass dieser Server sicher ist und z.B. regelmäßig geupdated wird, dass grundsätzlich die Anforderungen der IT-Sicherheit erfüllt sind. Hier empfiehlt es sich auf jeden Fall, die Homepage bei einem großen Provider zu „speichern“ bzw. hosten zu lassen, da man hier von gut geschützten Systemen ausgehen kann.
Damit reduzieren Sie im übrigen auch die Wahrscheinlichkeit, dass Ihre Homepage gehackt wird. Je besser die Sicherheitsmaßnahmen um den Webserver gestaltet sind, desto geringer ist entsprechend auch die Gefahr, dass unerwünschte Personen sich Zugang über das Internet verschaffen können.
Zu diesem Thema passt außerdem das Schlagwort „Verschlüsselung“. Hier geht es darum, alle Informationen, die zwischen dem Benutzer und dem Webserver, auf dem ihre Homepage liegt, übermittelt werden, nur verschlüsselt von A nach B kommen. Schreibt Ihnen z.B. jemand eine Nachricht über das Kontaktformular, so muss der Inhalt dieser Nachricht verschlüsselt auf den Server übertragen werden. Um dieses Prozedere einfach zu gestalten, kann der gesamte Datenverkehr zwischen Besucher und Server z.B. mit Hilfe eines SSL-Zertifikates verschlüsselt werden. Diese Dienstleistung bieten die renommierten Provider heute in der Regel schon in den Servicepaketen mit an.
Plugins und externe Dienste
Ein weiteres Thema, das wir im Hinblick auf den Datenschutz besprechen müssen, ist die Einbindung von Plugins und externen Diensten auf Ihrer Kanzleihomepage.
Wir haben bereits das Beispiel der Youtube-Videos erwähnt, die mittels eines Videoplayers auf der Homepage eingebunden werden können. Genau das meinen wir, wenn wir über die Einbindung externer Dienste reden. Problematisch ist hier nicht nur die bereits erwähnte Tatsache, dass dadurch Dritte Zugang zu personenbezogenen Daten bekommen können. Solche Tools haben oft aus technischer Sicht einen „Rucksack“, der die datenschutzkonforme Nutzbarkeit einschränkt.
Das passiert z.B., wenn Sie eine interaktive Landkarte in ihre Homepage einbinden, diese aber „Google Fonts“, also von Google angebotene Schriftarten, in nicht datenschutzkonformer Weise nutzt. Oder wenn Sie einen Börsenticker einbinden, der im Hintergrund Benutzerdaten mit einem nicht datenschutzkonformen Analysetool verarbeitet. Sie sind der Meinung, dass das nicht Ihr Problem ist, sondern den Anbieter des Tools betrifft? Leider nein. Da Sie diesen Dienst auf Ihrer Homepage zur Verfügung stellen, sieht die DSGVO das etwas anders. Sie stehen durchaus in der Verantwortung dafür, dass auch alle Dienste von Dritten, die Sie nutzen, datenschutzkonform arbeiten.
Auf die gleiche Problemstellung treffen wir beim Thema Plugins. Dabei handelt es sich um Software, die Sie in Ihre Webseite integrieren können. Das kann man sich vorstellen wie kleine Apps, die z.B. eine bestimmte Funktionalität bei der Erstellung und Wartung der Homepage bieten – also nur im Hintergrund arbeiten – oder aber beispielsweise eine Kalenderfunktion für den Veranstaltungskalender der Kanzlei zur Verfügung stellen , und somit auch direkt auf der Webseite für Besucher in Erscheinung treten. Auch hier ist im Vorfeld zu prüfen, ob diese Plugins personenbezogene Daten übermitteln oder nicht datenschutzkonforme Inhalte auf Ihrer Homepage einbringen.
Uns selbst ist das einmal mit dem Plugin eines Analysedienstes passiert. Obwohl der Dienst selbst und das Plugin auf unserer Seite nicht aktiv war, wurde von Analysetools angezeigt, dass dieses Plugin irgendetwas „nach Hause funkt“. Wir haben natürlich sofort wieder deinstalliert.
Website-Analyse-Tools
Am Ende dieser Übersicht über die wichtigsten Grundlagen wollen wir noch das Thema Website-Analyse-Tools ansprechen. In aller Munde ist dabei Google Analytics, aber es gibt diverse andere Analysetools, wie z.B. Matomo, eTracker, Adobe Analytics oder auch bereits in den Hostingpaketen integrierte Tools von Website-Providern. Ähnlich wie Website-Analyse-Tools funktionieren auch Remarketing-Lösungen. Remarketing passiert z.B. dann, wenn Sie sich in einem Onlineshop für ein bestimmtes Notebook interessiert haben ohne es zu kaufen, und dann auf „magische“ Art und Weise auf anderen Webseiten oder in sozialen Netzwerken mit Werbung für eben dieses verschmähte Notebook bombardiert werden.
Diese Tools haben den Sinn, so viele Informationen wie möglich über den Besucher einer Homepage zu verarbeiten, um sein Verhalten zu analysieren. Das klingt im ersten Moment sehr negativ, ist es aber nicht zwingend. Da Sie ja nun schon fast Profi in Sachen „datenschutzkonforme Website“ sind, wissen Sie bereits, wo das Problem liegt: Dritte sammeln Daten, die von Besuchern auf Ihrer Homepage hinterlassen werden.
Die Möglichkeiten für den Umgang mit Website-Analyse-Tools beschreiben wir in Kürze in einem weiteren Blogartikel zum Thema datenschutzkonforme Website hier im Blog. Wenn Sie diese Infos nicht verpassen möchten, finden Sie untenstehend mit unserem Newsletter oder dem Podcast „So geht sicher“ zwei wunderbare Wege, automatisch auf neue Inhalte hingewiesen zu werden.
Mehr davon? Melden Sie sich gleich zu unserem Newsletter an und bekommen Sie aktuelle Blogartikel und Podcastfolgen direkt auf den Schreibtisch geliefert:
Diesen Artikel finden Sie hier auch zum Nachhören als Podcastfolge: