ÜBERPRÜFUNG DER EINHALTUNG DES DATENSCHUTZES AUF DER WEBSITE
Mai 19, 2023 Anton Tarasiuk Datenschutzrichtlinien der Website

ÜBERPRÜFUNG DER EINHALTUNG DES DATENSCHUTZES AUF DER WEBSITE

Als Datenschutzbeauftragte und Berater für den Schutz der Privatsphäre ist es für uns eine übliche Aufgabe, die Einhaltung der DSGVO bei bestimmten Anwendungen/Websites usw. zu überwachen.

Wie kann man also feststellen, ob eine Website die DSGVO einhält oder nicht? Nun, die Aufgabe wird noch komplexer, wenn wir berücksichtigen, dass sich Websites ebenso wie die geltenden Vorschriften ständig ändern. Infolgedessen ist es möglich, das GDPR-Risiko zu definieren
Methodik zur Feststellung, ob eine Website GDPR-/Datenschutz-konform ist

Rahmenbedingungen: Derjenige, der ein Audit, einen Crashtest oder sogar einen Pentest einer Website in Bezug auf die Einhaltung der Datenschutzbestimmungen durchführt, muss festlegen, welche Verordnung für den jeweiligen Fall verwendet werden soll. Nehmen wir als Beispiel die GDPR und fahren wir fort.

Ziel-Webseite: Der zweite Punkt ist natürlich die Auswahl einer Website. Wenn wir nun einen Gegenstand unserer Forschung und die entsprechende Verordnung haben, können wir mit dem Prüfverfahren fortfahren.

Website data privacy compliance checkup 1


Webseite Datenschutz-Check im Detail

Was muss also überprüft werden?

Normalerweise ist der erste Berührungspunkt mit der Privatsphäre des Nutzers ein Cookie-Banner. Sie können im Internet einige wirklich erstaunliche, aber nicht konforme Cookie-Banner finden. So werden dem Nutzer beispielsweise einige unnötige Cookies als obligatorische Cookies angezeigt. Andererseits können Cookie-Banner deklaratorisch sein und keinen Einfluss auf die tatsächliche Cookie-Zustellung an das Gerät des Nutzers haben.

Außerdem muss geprüft werden, ob das Cookie-Banner für den Datenschutz geeignet ist, d. h. ob es keine vorausgefüllten Felder gibt und der Text des Banners verständlich und einfach ist.

So kann die Kontrolle von Cookie-Bannern und Cookies im Allgemeinen wie folgt aussehen:

Überprüfung der Einhaltung von Cookie-Bannern (Privacy UX):

— Prüfen Sie, ob das Cookie-Banner korrekt angezeigt wird
— Prüfen Sie, ob das Banner klare und ausführliche Informationen über die verwendeten Cookies enthält
— Prüfen Sie, ob das Banner eine Option zum Annehmen oder Ablehnen von Cookies enthält und ob sich diese Entscheidungen auf den Browser und den Datenfluss auswirken
— Kontrolle der Verwendung von dunklen Mustern, die von den Datenschutzbehörden missbilligt werden.

Cookie-Prüfung („Cookies compliance“):

— Prüfen Sie, ob die Verwendung von Cookies im Einklang mit der GDPR steht;
— Prüfen Sie, ob die Cookie-Richtlinie alle erforderlichen Informationen enthält, z. B. über den Zweck des Cookies, seine Lebensdauer und die gesammelten Daten;
— Prüfen Sie, ob die Nutzer die Möglichkeit haben, die Cookie-Einstellungen zu verwalten und ihre Zustimmung zurückzuziehen.

Ok, jetzt, wo wir unseren ersten Datenschutz-Touch bereits erfüllt haben, lassen Sie uns weiter gehen und einen Blick auf ein größeres Bild werfen – auf die Datenschutz-Nutzererfahrung im Allgemeinen. Die Kontrollen könnten wie folgt aussehen:

Datenschutz-UX-Check (Transparenz und Verständlichkeit der Datenschutzbestimmungen):

— Prüfen Sie, ob die Datenschutzbestimmungen der Website leicht zugänglich und verständlich sind;
— Prüfen Sie, ob die Richtlinie alle erforderlichen Informationen enthält, z. B. über die erhobenen Daten, den Zweck der Datenerhebung und die Dauer der Datenspeicherung;
— Prüfen Sie, ob die Website leicht verständliche Erklärungen zu datenschutzrelevanten Begriffen und Konzepten bietet.

Der nächste Boxenstopp zum Schutz der Privatsphäre, oder sogar die nächste Station zum Schutz der Privatsphäre, ist die Zustimmung zum Datenschutz. Es gibt viele Leitlinien zur Einwilligung – wie sie erbeten, erteilt und zurückgezogen werden sollte. Im Rahmen unserer Überprüfung müssen wir die Einwilligung „testen“, mit ihr spielen – den Wortlaut lesen, sie verstehen, versuchen, verschiedene Antworten zu geben, sie zurücknehmen und so weiter. All dies, um zu bestimmen, ob die Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten alle Anforderungen erfüllt. Wir können also Folgendes prüfen:

Consent check (GDPR compliance):

— Prüfen Sie, ob die Website eine gültige Zustimmung der Nutzer einholt, bevor sie ihre personenbezogenen Daten sammeln und verarbeiten;
— Prüfen Sie, ob das Ersuchen um Zustimmung spezifisch, klar und unzweideutig ist;
— Prüfen Sie, ob der Nutzer die Möglichkeit hat, seine Zustimmung jederzeit zu widerrufen;
— Prüfen Sie, ob das Unternehmen (der Eigentümer der Website) seine Zustimmung nachweisen kann.

Okay, wir setzen unsere Datenschutzreise fort und kommen zum interessantesten Bereich – dem Data Subject Requests Center. Viele Fälle, die Datenschutzbehörden und entsprechende Strafen für die Unternehmen betreffen, beginnen mit einer kleinen DSR.

Die Art und Weise, in der der Nutzer solche DSR senden kann, ist genauso wichtig wie die Kommunikation mit dem Nutzer und – natürlich – wie die Informationen, die das Unternehmen dem Nutzer zur Verfügung stellt, oder die Aktionen, die es mit ihm durchführt.

Um wirklich relevante Informationen über den Stand der Technik in Bezug auf DSR im Unternehmen zu erhalten, kann eine Mystery-Shopper-Taktik hilfreich sein. Mögliche Kontrollen sind die folgenden:

Kontrolle der Anträge der betroffenen Personen (DSR-Management):

— Check if the website has a process in place for managing data subject requests (DSRs) in compliance with GDPR;
— Check if the website provides an easy-to-use DSR form for users to submit requests;
— Check if the website responds to DSRs within the required timeframe and in compliance with GDPR.

Der letzte Punkt auf unserer Liste ist die Bewertung der Kommunikationsebene zum Datenschutz im Allgemeinen. Erinnern Sie sich an den Satz „Informationen zum Datenschutz müssen transparent und in einfacher Sprache bereitgestellt werden“? Es mag Sie überraschen, aber hier sollte sogar die Wahrnehmungsebene des Publikums berücksichtigt werden.

Andererseits geht es bei der Einhaltung des Datenschutzes nicht nur um die Erfüllung der Anforderungen der geltenden Vorschriften, sondern auch um den Aufbau von Vertrauen.

Im Rahmen der Überprüfung der Kommunikation zum Schutz der Privatsphäre können wir uns also das Folgende ansehen:

Überprüfung der Kommunikation zum Datenschutz (Transparenz und Einheitlichkeit):

— Prüfen Sie, ob die Website den Nutzern datenschutzrelevante Informationen auf transparente und konsistente Weise mitteilt;
— Prüfen Sie, ob die Website klare und prägnante Erklärungen zur Verwendung und zum Schutz der Nutzerdaten enthält;
— Prüfen Sie, ob die Website Änderungen an ihrer Datenschutzpolitik rechtzeitig und transparent mitteilt.

Ergebnisse der Überprüfung der Privatsphäre auf der Website

Als Ergebnis einer solchen Prüfung kann ein Bericht erstellt werden, in dem angegeben wird, welche Feststellungen im Rahmen der Kontrolle getroffen wurden.

Sie kann wie folgt aufgebaut sein:

Struktur der zu erbringenden Leistungen: Bericht

Kurzdarstellung: Dieser Abschnitt kann einen kurzen Überblick über die Ergebnisse und Empfehlungen des Berichts geben.
Methodik: In diesem Abschnitt wird die Methodik beschrieben, die bei der Durchführung der Datenschutzprüfung der Website angewandt wurde. Er erläutert den Umfang des Datenschutzaudits, die verwendeten Instrumente und alle Einschränkungen, die die Ergebnisse beeinflusst haben könnten.
Ergebnisse: In diesem Abschnitt werden die Ergebnisse des Datenschutz-Audits/der Überprüfung dargestellt. Jedes Ergebnis sollte klar angegeben werden, mit einer Beschreibung des Problems und der entsprechenden Vorschrift. Zum Beispiel: „Die Website verwendet Marketing-Cookies, ohne die Zustimmung der Nutzer einzuholen, was einen Verstoß gegen Artikel 6 der Datenschutz-Grundverordnung darstellt.“
Empfehlungen: Dieser Abschnitt sollte umsetzbare Empfehlungen für die Verbesserung des Datenschutzprogramms und der Datenschutzpunkte auf der untersuchten Website enthalten. Jede Empfehlung sollte spezifisch und auf den jeweiligen Fall zugeschnitten sein.


Wie kann man eine solche Überprüfung der Privatsphäre auf einer Website durchführen?

Ein Bericht, wie oben beschrieben, wird auf der Grundlage der Studie der spezifischen Website erstellt. Ein von Fall zu Fall angepasster Ansatz und die Verwendung einer fortschrittlichen Methodik gewährleisten die hohe Qualität der Empfehlungen zum Datenschutz.

Der Checkout einer solchen Datenschutz-Website sollte durch den Datenschutzbeauftragten erfolgen und hier, bei Privacity, finden Sie die Hilfe.

Anton_Tarasiuk_CIPP_E-1
Anton Tarasiuk
Datenschutzberater, LLM, CIPP/E, CIPM, FIP

Ihre Nachricht