Sind Sie mit dem Webbrowser im Internet unterwegs, können Ihre personenbezogenen Daten schnell in Gefahr geraten. Viele Webseiten haben Datenschutzmängel. Dabei ist eine unvollständige Datenschutzerklärung nur ein Beispiel.
Datenschutz bei Webseiten oftmals mangelhaft
Wer glaubt, weniger prominente Webauftritte sind in Datenschutzfragen ein Risiko, bekannte Webseiten dagegen nicht, der irrt sich. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat vor einigen Monaten Websites mit sehr großer Reichweite untersucht. Obwohl sich einige der prominentesten Internetdienste unter den Geprüften befanden, fiel das Ergebnis aus Datenschutzsicht ernüchternd aus: Im Umgang mit Passwörtern und Tracking-Werkzeugen erkannte das Landesamt zahlreiche Mängel.
Ähnliche Resultate erhielt auch der Europäische Datenschutzbeauftragte (EDPS). Seine Prüfungen bei den Websites der wichtigsten EU-Organe und -Einrichtungen ergab, dass bei sieben von zehn geprüften Websites Datenschutz- und Datensicherheits-probleme aufgetreten sind. Eines der Probleme war das Tracking durch Dritte ohne vorherige Zustimmung. Weitere Schwachstellen betrafen die Verwendung von Trackern für Webanalysen ohne vorherige Zustimmung der Besucher und die Übermittlung personenbezogener Daten, die die Webseitenbetreiber über Webformulare mithilfe unverschlüsselter Verbindungen erfassten.
Die Lücken im Datenschutz sind vielfältig
Auch wenn sich hinter dem Link „Datenschutz“ auf Webseiten meist die Datenschutzerklärung (Privacy Policy) verbirgt – der Datenschutz muss nicht nur richtig erklärt werden, er muss auch anderen Anforderungen der Datenschutz-Grundverordnung (DSGVO) genügen. Es geht zum Beispiel um die Verwendung von Cookies, um Web Beacons, um Seitenelemente, die von Dritten geladen werden, und um die Sicherheit verschlüsselter Verbindungen (HTTPS).
Es geht aber auch um den Einsatz neuer Technologien in Websites, zum Beispiel um Chatbots, die die Anbieter vermehrt in Internetauftritte einbinden, um unzureichende Verschlüsselung, die nicht dem Stand der Technik entspricht, um den Ausfall von Webseiten, da sie nicht belastbar genug sind, und um Datenschutz-Optionen, die fehlen oder nicht datenschutzfreundlich voreingestellt sind.
Einwilligung & Datenminimierung
Natürlich geht es auch um Fragen der Einwilligung ins Online-Tracking (Nachverfolgen der Nutzeraktivitäten), um die Rechtmäßigkeit der Verarbeitung der Nutzerdaten insgesamt oder auch um die Datenminimierung, die Webseiten zum Beispiel dann verletzen, wenn Online-Formulare Daten abfragen, die für den Vorgang gar nicht nötig sind. So ist für den Download eines Reiseprospekts die Telefonnummer oder das Geburtsdatum des Nutzers sicherlich nicht erforderlich. Doch der Betreiber der Webseite möchte das gern für andere Zwecke wie Werbung wissen.
Auch Sicherheitslücken betreffen den Datenschutz
Nicht zu vergessen sind auch die technischen Schwachstellen der Content-Management-Systeme (CMS), Web-Frameworks und Plug-ins, die für die Websites zum Einsatz kommen. Diese Sicherheitslücken ermöglichen es Angreifern, heimlich Nutzerdaten abzugreifen oder die Systeme des Nutzers mit Schadsoftware zu attackieren. Selbst verschlüsselte Verbindungen zu Webseiten können gefährlich sein, wenn das Sicherheitszertifikat für die Verschlüsselung Probleme aufweist, aber noch nicht zurückgezogen wurde.
Der Prüfdienst SIWECOS untersuchte zum Beispiel 754 Webseiten kleiner und mittelständischer Unternehmen aus NRW hinsichtlich Sicherheitslücken. Ergebnis: 71,8 Prozent der KMU-Webseiten in NRW waren nicht optimal konfiguriert, 6,6 Prozent der Seiten hatten eklatante Sicherheitsmängel.
Kein harmloser Webseiten-Besuch
Was aber können Sie tun, wenn Sie das nächste Mal einen Webbrowser nutzen und Internetauftritte besuchen, ob beruflich oder privat? Sorgen Sie zum einen auf Ihrer Seite für die richtige Datensicherheit. Dazu gehören aktuelle Browserversionen, aktuelle Browser-Plug-ins und aktuelle Betriebssysteme ebenso wie ein Anti-Malware-Programm auf allen Endgeräten – also auch auf dem Smartphone, dem Tablet oder der Smartwatch.
Viele Sicherheits- und Datenschutzmaßnahmen sind allerdings Sache des Webseiten-Betreibers. Er muss den Webserver absichern, Schwachstellen im CMS beseitigen und eine aktuelle Datenschutzerklärung zur Verfügung stellen. Hier können Sie als Nutzer nur darauf achten, dass Sie die Webseiten mit geeigneten Werkzeugen vor dem Besuch überprüfen, zum Beispiel mit einem sogenannten Link-Scanner. Er prüft Webseiten, ohne dass Sie diese Seiten im Browser öffnen müssen.
Stellen Sie fest, dass es Probleme mit einer Webseite gibt, verzichten Sie auf den Online-Besuch. Machen Sie sich in jedem Fall klar, dass eine Webseite nicht einfach ein Dokument ist und ein Webbrowser nicht einfach ein Anzeigeprogramm. Es geht bei Websites und Webbrowsern um komplexe Anwendungen, die viele Anforderungen an den Datenschutz erfüllen müssen. Ein Besuch im Internet kann also schnell und spannend sein, unproblematisch für den Datenschutz ist er in vielen Fällen allerdings nicht.