Der eigene Shop bzw. die eigene Website ist für jedes Unternehmen ein zentraler Teil des Marketing und der Selbstdarstellung. In der Regel werden bei kleinen und mittleren Unternehmen die Internetauftritte, egal ob Shop oder Website, durch externe Dienstleister erstellt und gewartet. Seltener, aber vorkommend, werden die Internetauftritte durch Angestellte des Unternehmens betreut.
Warum überhaupt ein Datenschutzaudit für die Website oder den Shop?
Die DSGVO legt jedem Betreiber einer Website bzw. eines Shops eine ganze Reihe an Verpflichtungen auf, deren Missachtung durchaus zu Beschwerden Betroffener, behördlichen Kontrollen und ggf. sogar Bußgeldern führen kann. Die wesentlichen Pflichten in der Kurzübersicht:
- Transparenz der Verarbeitung personenbezogener Daten,
- Verarbeitung nur mit ausreichendem Rechtsgrund,
- Gewährleistung der Sicherheit bei der Verarbeitung personenbezogener Daten und
- Beachtung der Rechte der Betroffenen, (Besucher, Interessenten, Abonnenten, Käufer etc.)
Ein datenschutzrechtliches Audit geht über die reine Sichtprüfung einschließlich der Quelltexte hinaus.
Prüfung der Verträge
Zunächst ermitteln wir, ob und ggf. mit welchen Partnern/Unternehmen und ggf. Subunternehmen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO vorliegen müssen. Das ist in aller Regel der Fall und entfällt nur bei Auftraggebern, die alle Prozesse inklusive eigener Webserver vollständig inhouse erledigen. Neben dem eigentlichen AV-Vertrag wird auch die vom Auftragsverarbeiter gelieferte Dokumentation der technisch-organisatorischen Maßnahmen des Datenschutzes (TOM) geprüft.
Die Verantwortung des Unternehmens
Auch im Falle des Vorliegens von Auftragsverarbeitungen durch Dritte bleibt der Unternehmer als Verantwortlicher in der primären Haftung für eventuelle Datenschutzverletzungen. Deshalb gesteht der Gesetzgeber dem Verantwortlichen weitreichende Kontrollrechte zur Durchsetzung seiner Weisungsbefugnis zu.
Gewährleistungsziele des Datenschutzes
Die Gewährleistungsziele des Datenschutzes gelten natürlich auch für alle Internetauftritte. Dies sind die Ziele der:
- Datenminimierung
- Verfügbarkeit
- Integrität
- Vertraulichkeit
- Nichtverkettung
- Transparenz und
- Intervenierbarkeit
Detailliert werden die Gewährleistungsziele des Datenschutzes im Standarddatenschutzmodell der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Version 2.0, beschrieben. Bei unseren Audits legen wir u.a. das SDM 2.0 und die Orientierungshilfe Telemedien der DSK sowie die aktuelle Rechtsprechung zugrunde.
Sichtprüfung der Website bzw. des Shops
Im nächsten Schritt wird der Internetauftritt einer Sichtprüfung unterzogen, die auch Quelltexte umfasst. Leitfragen der Sichtprüfung sind:
- Welche personenbezogenen Daten werden auf der Website bzw. dem Shop erhoben und verarbeitet?
- Werden personenbezogene Daten an Dritte weitergegeben? Wenn ja, an wen?
- Werden Cookies oder sog. “hidden identifiers” eingesetzt? Wenn ja, zu welchem Zweck?
- Ist die Datenschutzerklärung ausreichend und auch für den Laien lesbar und verständlich?
- Welche Rechtsgründe für die Verarbeitung personenbezogener Daten liegen vor? Sind diese hinreichend in der Datenschutzerklärung dargestellt?
- Falls die Verarbeitung auf dem Rechtsgrund der Einwilligung des Betroffenen erfolgt, werden die Rechte der Betroffenen hinreichend gewahrt und die Betroffenen auf ihre Rechte hingewiesen?
- Erfolgt die Verarbeitung auf dem Stand der Technik oder werden schon bei der Sichtprüfung eklatante Mängel, wie beispielsweise die Übertragung von Formulardaten ohne SSL-Verschlüsselung erkennbar?
Sicherheit der Verarbeitung – erweiterte Prüfung
Über die reine Sichtprüfung hinaus werden bei einem Datenschutzaudit für die Website bzw. den Shop auch datenschutzrechtlich relevante Aspekte der Datenverarbeitung geprüft. Hierzu sind oftmals, sofern die Dokumentation der technisch-organisatorischen Maßnahmen des Datenschutzes keine hinreichenden Informationen liefert, Prüfungen der eingesetzten technischen Mittel erforderlich. Geprüft wird dabei
- das eingesetzte Serverbetriebssystem
- die Datenbank und weitere Software, wie beispielsweise die eingesetzte PHP-Version
- das CMS bzw. die Shopsoftware auf Version und Aktualität
- eventuelle weitere Softwarebestandteile wie Themes und Plugins
- das Vorhandensein (oder Fehlen) regelmäßig zu erstellender Backups
- das Vorhandensein von realistischen Tests auf Wiederherstellbarkeit
- die Aktualität der eingesetzten Betriebssysteme und aller Softwarebestandteile, regelmäßige Sicherheitsupdates
Mitunter ist die Dokumentation der technisch-organisatorischen Maßnahmen sowohl des Verantwortlichen als auch der beteiligten Auftragsverarbeiter nicht ausreichend und muss durch eine direkte Prüfung ergänzt werden. Art. 28 DSGVO stellt dabei ausdrücklich klar, dass gegebenenfalls auch Inspektionen bei Auftragsverarbeitern vor Ort durchzuführen sind.
Wer kann ein Datenschutzaudit veranlassen?
In aller Regel veranlassen Verantwortliche, also die Betreiber von Websites und Shops, selbst ein Datenschutzaudit. Größere Unternehmen, die als Dienstleister im Auftragsverhältnis tätig sind, haben oft eigene Datenschutzbeauftragte, die ihrerseits bereits Audits durchgeführt und deren Ergebnisse in den TOM dokumentiert haben. Rechenzentren sollten nach ISO 27001 zertifiziert sein. Generell sollten Auftragsverarbeiter bei der Erstellung der Dokumentation der TOM eine große Sorgfalt an den Tag legen, dies erspart Nachfragen und umständliche Prüfungen.
Auditbericht
Der abschließende Auditbericht gibt transparent über das Ergebnis der Prüfung und die dabei eingesetzten Mittel Auskunft. Er kann vom Auftraggeber ergänzend in die Dokumentation der TOM aufgenommen werden.
Ausblick
Aktuell laufen einige Gerichtsverfahren die erhebliche Auswirkungen auf die Gestaltung von Websites und Shops haben werden. Das schon benannte Urteil des EuGH zum Thema “Cookies und hidden identifiers” behandelt nur einen Aspekt der oben angesprochenen Fragen. Weitere Urteile und Gesetzgebungsverfahren, insbesondere die immer noch nicht verabschiedete ePrivacy Verordnung werden folgen. Es bedarf keiner sonderlich prophetischen Gabe vorherzusagen, dass insbesondere das Thema “Usertracking und -verfolgung” in den kommenden Jahren eine besondere Rolle in der Auseinandersetzung spielen wird.
Angebot für ein Datenschutzaudit anfordern
Weitere Informationen
Weitere Informationen unter info@dsb-baden-baden.de oder unter Telefon 07221 – 8589943