#4 Wie Ihre Kanzleihomepage und die DSGVO Freunde werden.

Hallo und herzlich willkommen bei „So geht sicher“, dem Podcast für Datenschutz und IT-Sicherheit in der Steuerkanzlei. Ich bin Christine Munker, Datenschutzberaterin und Geschäftsführerin der Munker Privacy Consulting GmbH.

Wir haben gerade „Englische Wochen“, was die Anzahl der Steuerberatermessen und Events angeht, auf denen wir innerhalb einer Woche präsent waren: Die StB Expo in München und das Zukunftsforum Steuerberatung in Linz in der vergangenen Woche, und gestern die TAXarena in Berlin.

Wir haben gerade „Englische Wochen“, was die Anzahl der Steuerberatermessen und Events angeht, auf denen wir innerhalb einer Woche präsent waren: Eines der Themen, über das wir auf diesen Events häufig gesprochen haben, war die Kanzleihomepage. Hier herrscht scheinbar viel Unsicherheit unter Steuerberatern, da man – auch wenn man sich zur Umsetzung an eine Agentur wendet und hofft, dass dort alles korrekt umgesetzt wird – scheinbar viele Dinge im Bezug auf die DSGVO falsch machen kann.

Wir haben gerade „Englische Wochen“, was die Anzahl der Steuerberatermessen und Events angeht, auf denen wir innerhalb einer Woche präsent waren: Diese Unsicherheit können wir sehr gut nachvollziehen, das Thema ist alles andere als einfach. Vor allem die Tatsache, dass oft Dinge auf Webseiten im Hintergrund passieren, die nicht DSGVO-konform sind, für den Steuerberater aber nicht ersichtlich, hinterlässt hier natürlich ein ungutes Gefühl. Die Kanzleihomepage ist vergleichbar mit einem digitalen Schaufenster. Mandanten, Interessenten, aber auch potentielle Mitarbeiter informieren sich dort und bilden sich einen Eindruck von der Arbeitsweise der Kanzlei. Da sollte natürlich alles stimmen, denn die zweite Chance für einen ersten Eindruck bekommen Sie selten und gerade in einer Branche, in der Vertrauen groß geschrieben wird, sollte die Kanzleihomepage vermitteln, dass Sicherheit bei Ihnen an erster Stelle steht.

Wir haben gerade „Englische Wochen“, was die Anzahl der Steuerberatermessen und Events angeht, auf denen wir innerhalb einer Woche präsent waren: Hier wollen wir Licht ins Dunkel bringen und in dieser Episode von „So geht sicher“ über einige Aspekte sprechen, auf die Sie achten sollten, um Ihre Website datenschutzkonform zu gestalten. Da es aber viel zu lange dauern würde, auf all diese Aspekte im Detail einzugehen, werden wir uns heute anschauen worum es grundsätzlich geht und uns erst einmal einen Überblick über das Thema Homepage verschaffen. In den nächsten Episoden nehmen wir uns verschiedene Aspekte im Einzelnen vor und finden heraus, was zu tun ist, um alles sicher zu gestalten.

Wir können die Themen, über die wir im Bezug auf Homepage sprechen müssen, in zwei Bereiche unterteilen: rechtliche Faktoren und technische Faktoren. Sehen wir uns als erstes die rechtlichen Faktoren an.

Wir können die Themen, über die wir im Bezug auf Homepage sprechen müssen, in zwei Bereiche unterteilen: Hier ist das große Thema natürlich die von der DSGVO geforderte Datenschutzerklärung oder auch die „Hinweise zum Datenschutz“. Ich finde diese Bezeichnung treffender, da sie den Sinn des Werks besser trifft. Es geht hierbei nämlich um Hinweise für den Besucher einer Seite, und zwar darüber, wie personenbezogene Daten, die er während seinem Besuch auf der Website hinterlässt, verarbeitet werden.

Wir können die Themen, über die wir im Bezug auf Homepage sprechen müssen, in zwei Bereiche unterteilen: Was bedeutet „verarbeiten“? Darunter versteht man das Erheben, Nutzen, Verändern, Übermitteln, Speichern und auch Löschen von Daten, sprich alles, was man mit den Daten tun könnte, so lange sie verfügbar sind. Das nur kurz zum besseren Verständnis.

Wir können die Themen, über die wir im Bezug auf Homepage sprechen müssen, in zwei Bereiche unterteilen: Nun fragen Sie sich vielleicht, welche personenbezogenen Daten denn überhaupt gemeint sind, denn wenn sie einfach nur eine Homepage besuchen, ohne z.B. in einem Kontaktformular Ihre Daten zu hinterlegen, geben Sie ja erst einmal nichts Preis, oder?

Wir können die Themen, über die wir im Bezug auf Homepage sprechen müssen, in zwei Bereiche unterteilen: Doch, nämlich Ihre IP-Adresse. Wenn Sie sich ins Internet einwählen bekommen Sie automatisch eine IP-Adresse zugewiesen. Je nachdem, über welche Form von Internetzugang Sie verfügen, kann das entweder eine statische IP-Adresse (z.B. bei der Nutzung einer Standleitung) oder eine dynamische IP-Adresse (z.B. bei einem DSL-Zugang) sein.

Wir können die Themen, über die wir im Bezug auf Homepage sprechen müssen, in zwei Bereiche unterteilen: Vereinfacht gesagt wird in dem Moment, in dem Sie eine Internetadresse in Ihrem Browser eingegeben haben oder einen Link anklicken, diese IP-Adresse dem Server, auf dem die entsprechende Webseite physisch gespeichert ist, mitgeteilt. Die IP-Adresse erscheint in den Protokollen der Webseite, in denen z.B. festgehalten wird, welcher Benutzer wann welche Seiten abgerufen hat und ist somit für alle Personen, die entsprechenden administrativen Zugang zu diesen Protokolldaten haben, ersichtlich.

Wir können die Themen, über die wir im Bezug auf Homepage sprechen müssen, in zwei Bereiche unterteilen: Das klingt erst einmal nicht schlimm, da der Provider oder der Webdesigner ja anhand der IP-Adresse nicht unbedingt herausfinden kann, wer Sie sind. Der DSGVO und dem Bundesgerichtshof reicht aber schon die Tatsache, dass die Telekommunikationsdienstleister, bei denen Sie ihren Internetzugang beauftragt haben, diese Verbindung herstellen könnten, wenn es denn notwendig wäre, um die IP-Adresse zu einem personenbezogenen Datum zu machen.

Wir können die Themen, über die wir im Bezug auf Homepage sprechen müssen, in zwei Bereiche unterteilen: Damit hinterlässt also jeder Besucher Ihrer Kanzleihomepage mit der IP-Adresse ein personenbezogenes Datum und Sie sind verpflichtet, in den Datenschutzhinweisen auf Ihrer Website mindestens darauf hinzuweisen, was sie mit diesem Datum tun. Zusätzlich dazu sind ggf. noch Angaben zu Analysetools, die sie auf der Webseite betreiben, zu den Daten, die über Kontaktformulare gesendet werden, zu eingebundenen Diensten und so manchem Thema mehr im Datenschutzhinweis aufzuführen. Dazu kommen wir bei den einzelnen Themen noch. Außerdem gibt es Pflichtinhalte für den Datenschutzhinweis, wie z.B. die Nennung der Verantwortlichen Stelle oder den Hinweis auf die Rechte der Besucher.

Ein weiteres wichtiges rechtliches Thema im Zusammenhang mit Ihrer Homepage ist die sogenannte „Datenverarbeitung im Auftrag“. Dahinter verbirgt sich das gleiche Thema, das wir auch schon in der Episode zur Digitalisierung angesprochen haben: wenn Sie Dienstleister rund um Ihre Homepage nutzen, die Zugang zu den personenbezogenen Daten der Besucher bekommen, müssen Sie sicherstellen, dass auch beim Dienstleister die Vorgaben der DSGVO und des BDSG eingehalten werden.

Ein weiteres wichtiges rechtliches Thema im Zusammenhang mit Ihrer Homepage ist die sogenannte „Datenverarbeitung im Auftrag“. Dahinter verbirgt sich das gleiche Thema, das wir auch schon in der Episode zur Digitalisierung angesprochen haben: Vergewissern Sie sich also VOR Beauftragung, dass Ihre Geschäftspartner den Datenschutz im Fokus haben. Dann können Sie auch problemlos einen sogenannten Vertrag zur Auftragsverarbeitung mit den Dienstleistern abschließen, in dem eben diese Themen beschrieben und geregelt werden.

Ein weiteres wichtiges rechtliches Thema im Zusammenhang mit Ihrer Homepage ist die sogenannte „Datenverarbeitung im Auftrag“. Dahinter verbirgt sich das gleiche Thema, das wir auch schon in der Episode zur Digitalisierung angesprochen haben: Beispiele dafür sind z.B. die Webagentur, die Ihre Homepage technisch administriert und daher Zugriff auf alle Protokolldateien hat, oder z.B. ein Newsletterservice, der nach Absenden der Informationen aus einem Anmeldeformular die Kontaktdaten des Nutzers direkt auf seinen eigenen Systemen speichert, also verarbeitet.

In diesem Zusammenhang steht das dritte wichtige Thema, auf das Sie beim Betrieb Ihrer Kanzleihomepage aus rechtlicher Sicht achten müssen: die Übermittlung von Daten an Dritte. Immer dann, wenn auf Ihrer Homepage Dienste, Tools, Plugins oder ähnliches eingebunden werden, die Besucherinformationen an Dritte übermitteln, muss es dafür entweder eine Rechtsgrundlage geben, oder der Besucher Ihrer Website muss der Übermittlung explizit zustimmen.

Ein Beispiel dafür: Sie haben auf Youtube interessante Videos hochgeladen, die Sie auch in Ihrer Homepage einbinden möchten. Dafür nutzen Sie den Videoplayer von Youtube ohne weitere Einstellungen vorzunehmen und binden diesen auf Ihrer Webseite ein.

Ein Beispiel dafür: Was passiert? Durch das Einbinden des Players kann Youtube die IP-Adressen der Besucher verarbeiten, die diese Videos auf Ihrer Homepage angesehen haben. Sie haben also durch die Einbindung des Videoplayers Dritten Zugang zu personenbezogenen Daten Ihrer Besucher verschafft. Und genau dafür brauchen Sie entweder eine passende Rechtsgrundlage, oder – was meistens der Fall ist – eine Einwilligung.

Ein Beispiel dafür: Wie diese Herausforderung zu lösen ist, sehen wir uns in einer der nächsten Episoden an, wenn wir über das Thema Consent Banner sprechen. Das würde für heute zu weit führen.

Ein Beispiel dafür: Machen wir an dieser Stelle Schluss mit den eher rechtlichen Rahmenbedingungen und sprechen über die technischen Faktoren, die für die DSGVO-Konformität Ihrer Kanzleihomepage eine Rolle spielen.

Ein Beispiel dafür: Ganz wichtig, aber von außen für den Laien natürlich gar nicht zu erkennen, ist das Thema Webserver-Security. Ihre Kanzleihomepage schwebt ja nicht irgendwo im Internet – um dies einmal sehr bildlich zu erklären – sondern ist, wie jede ganz normale Software, auf einem Server installiert. Dieser Server – der Webserver – hat nur die Besonderheit, dass er über das Internet für jeden erreichbar ist. Der Quellcode für Ihre Webseite, Konfigurationsdateien, aber auch die Protokolle – in denen sich die IP-Adressen der Besucher befinden - , oder die Daten, die über Kontaktformulare übermittelt werden und so weiter, sind physisch auf diesem Server gespeichert.

Ein Beispiel dafür: Sie sollten sich also vergewissern, dass dieser Server sicher ist und z.B. regelmäßig geupdated wird, dass einfach grundsätzlich die Anforderungen der IT-Sicherheit erfüllt sind. Hier empfiehlt es sich auf jeden Fall, die Homepage bei einem großen Provider zu „speichern“ bzw. hosten zu lassen, da man hier von gut geschützten Systemen ausgehen kann.

Ein Beispiel dafür: Damit reduzieren Sie im übrigen auch die Wahrscheinlichkeit, dass Ihre Homepage gehackt wird. Je besser die Sicherheitsmaßnahmen um den Webserver gestaltet sind, desto geringer ist entsprechend auch die Gefahr, dass unerwünschte Personen sich Zugang über das Internet verschaffen können.

Ein Beispiel dafür: Zu diesem Thema passt außerdem das Schlagwort „Verschlüsselung“. Hier geht es darum, alle Informationen, die zwischen dem Benutzer und dem Webserver, auf dem ihre Homepage liegt, übermittelt werden, nur verschlüsselt von A nach B kommen. Schreibt Ihnen z.B. jemand eine Nachricht über das Kontaktformular, so muss der Inhalt dieser Nachricht verschlüsselt auf den Server übertragen werden. Um dieses Prozedere einfach zu gestalten, kann der gesamte Datenverkehr zwischen Besucher und Server z.B. mit Hilfe eines SSL-Zertifikates verschlüsselt werden. Diese Dienstleistung bieten die renommierten Provider heute in der Regel schon in den Servicepaketen mit an.

Ein Beispiel dafür: Ein weiteres Thema, das wir im Hinblick auf den Datenschutz besprechen müssen, ist die Einbindung von Plugins und externen Diensten auf Ihrer Kanzleihomepage.

Ein Beispiel dafür: Wir haben bereits das Beispiel der Youtube-Videos erwähnt, die mittels eines Videoplayers auf der Homepage eingebunden werden können. Genau das meinen wir, wenn wir über die Einbindung externer Dienste reden. Problematisch ist hier nicht nur die bereits erwähnte Tatsache, dass dadurch Dritte Zugang zu personenbezogenen Daten bekommen können. Solche Tools haben oft aus technischer Sicht einen „Rucksack“, der die datenschutzkonforme Nutzbarkeit einschränkt.

Ein Beispiel dafür: Das passiert z.B., wenn Sie eine interaktive Landkarte in ihre Homepage einbinden, diese aber „Google Fonts“, also von Google angebotene Schriftarten, in nicht datenschutzkonformer Weise nutzt. Oder wenn Sie einen Börsenticker einbinden, der im Hintergrund Benutzerdaten mit einem nicht datenschutzkonformen Analysetool verarbeitet. Hier könnten Sie zwar sagen „Das ist ja nicht mein Problem, sondern das des Anbieters“. Da Sie diesen Dienst jedoch auf Ihrer Homepage zur Verfügung stellen, sieht die DSGVO das etwas anders und Sie stehen durchaus in der Verantwortung dafür, dass auch alle Dienste von Dritten, die Sie nutzen, datenschutzkonform arbeiten.

Ein Beispiel dafür: Auf die gleiche Problemstellung treffen wir beim Thema Plugins. Dabei handelt es sich um Software, die Sie in Ihre Webseite integrieren können. Das kann man sich vorstellen wie kleine Apps, die z.B. eine bestimmte Funktionalität bei der Erstellung und Wartung der Homepage bieten – also nur im Hintergrund arbeiten – oder aber beispielsweise eine Kalenderfunktion für den Veranstaltungskalender der Kanzlei zur Verfügung stellen – und dann auch für Besucher in Erscheinung treten. Auch hier ist im Vorfeld zu prüfen, ob diese Apps personenbezogene Daten übermitteln oder nicht datenschutzkonforme Inhalte auf Ihrer Homepage einbringen.

Ein Beispiel dafür: Uns selbst ist das einmal mit dem Plugin eines Analysedienstes passiert. Obwohl der Dienst selbst und das Plugin auf unserer Seite nicht aktiv war, wurde von Analysetools angezeigt, dass dieses Plugin irgendetwas „nach Hause funkt“. Wir haben natürlich sofort wieder deinstalliert.

Damit haben wir ein wundervolles Stichwort für das Ende unserer heutigen Eposide: Analysetools. In aller Munde ist dabei Google Analytics, aber es gibt diverse andere Analysetools, wie z.B. Matomo, eTracker, Adobe Analytics oder auch bereits in den Hostingpaketen integrierte Tools von Website-Providern. Ein weiteres Thema, das wir in diesem Zusammenhang besprechen sollten, sind Remarketing-Tools. Remarketing passiert z.B. dann, wenn Sie sich in einem Onlineshop für ein bestimmtes Notebook interessiert haben ohne es zu kaufen, und dann auf „magische“ Art und Weise auf anderen Webseiten oder in sozialen Netzwerken mit Werbung für eben dieses verschmähte Notebook bombardiert werden.

Diese Tools haben den Sinn, so viele Informationen wie möglich über den Besucher einer Homepage zu verarbeiten, um sein Verhalten zu analysieren. Das klingt im ersten Moment sehr negativ, ist es aber nicht zwingend. Da Sie ja nun schon fast Profi in Sachen „datenschutzkonforme Website“ sind, wissen Sie bereits, wo das Problem liegt: Dritte sammeln Daten, die von Besuchern auf Ihrer Homepage hinterlassen werden.

Diese Tools haben den Sinn, so viele Informationen wie möglich über den Besucher einer Homepage zu verarbeiten, um sein Verhalten zu analysieren. Das klingt im ersten Moment sehr negativ, ist es aber nicht zwingend. Da Sie ja nun schon fast Profi in Sachen „datenschutzkonforme Website“ sind, wissen Sie bereits, wo das Problem liegt: Bevor ich aber an dieser Stelle ins Detail gehe und den Rahmen dieser Episode von „So geht sicher“ definitiv sprenge, mache ich Schluss für heute. All die Themen, die ich heute nur kurz angeschnitten habe – und vielleicht noch das ein oder andere mehr – bekommen in den nächsten Episoden ihren Platz. Dann besprechen wir in Ruhe wo die Herausforderungen aus Sicht des Datenschutzes liegen und welche Möglichkeiten Sie haben, Ihre Homepage sicher zu gestalten.

Diese Tools haben den Sinn, so viele Informationen wie möglich über den Besucher einer Homepage zu verarbeiten, um sein Verhalten zu analysieren. Das klingt im ersten Moment sehr negativ, ist es aber nicht zwingend. Da Sie ja nun schon fast Profi in Sachen „datenschutzkonforme Website“ sind, wissen Sie bereits, wo das Problem liegt: Ich verabschiede mich für heute und bedanke mich ganz herzlich fürs zuhören. Wenn Sie spezielle Themenwünsche haben, oder Fragen zur heutigen Episode, Hinweise oder Kritik, dann schreiben Sie uns gerne, die Kontaktdaten finden Sie wie immer in den Shownotes. Und wenn Sie mehr von diesem Podcast hören wollen, sollten Sie „so geht sicher“ JETZT GLEICH abonnieren. Bis bald!