Datenschutz rund um Webseiten

Anforderungen an eine dienstliche Webseite der Universität Erfurt

• Die Website ist ausschliesslich über https:// zu erreichen (also verschlüsselt)
• Barrierefrei (Thüringer Gesetz über den barrierefreien Zugang zu den Websites und mobilen Anwendungen öffentlicher Stellen (Thür BarrWebG) vom 30. Juli 2019)
• Auf die Einbindung externer Webservices (wie Bootstrap, jquery, AWS, GoogleWebFonts, GoogleMaps) wird verzichtet
• Cookiebanner sind Pflicht, wenn Cookies gesetzt werden (Information zu allen Cookies im Banner: Funktionalitätscookies notwendig, Opt-In (!) für alle anderen Cookies)
• Kein Einsatz von Google Analytics
• Keine Social Media-Plugins
• Sorgfalt bei der Auswahl von externen Webhoster/Webprogrammiern: Auftragsverarbeitung
• hinreichende Datenschutzerklärung sowie Impressum und Barrierefreiheitserklärung
• Dokumentation der Verarbeitung im Verarbeitungsverzeichnis: evtl. auch mehrere je Formulare / Newsletterangebote

Aktuelles Urteil vom 20.1.2022, LG München: Schadenersatz zugesprochen, weil beim Aufruf einer Webseite, die GoogleFonts einsetzt, die dynamische IP-Adresse in die USA übertragen wurde .

Datenschutzinformationen für Webseiten nach der DSGVO (Datenschutzgrundverordnung)

Jede Website braucht neben dem Impressum rechtskonforme Datenschutzinformationen (Datenschutzererklärung).

Prüfen Sie kostenlose AddIns, Plugins oder Webservices vor dem Einsatz immer im Hinblick auf den Datenschutz.

Eine fundierte, an Ihre Bedürfnisse anzupassende Vorlage finden Sie unter:

Muster(!!)datenschutzerklärung von Thomas Hoeren (Uni Münster) und Mitarbeitern des DFN-Vereins

Online-Formulare

https://www.datenschutzbeauftragter-info.de/kontaktformular-datenschutzkonform-erstellen/

Bitte auf datenschutzgerechte Gestaltung achten: Es muss z.B. informiert werden, was mit den abgeschickten Daten passiert und (wichtig!) wann diese gelöscht werden. Wenn eine Einwilligung eingeholt wird, ist zu beachten, dass explizit ein Optionshäkchen gesetzt werden muss, damit die Einwilligung gültig ist (es darf keine Vorauswahl getroffen sein und kein implizites Einverständnis ("Mit dem Abschicken von ... bin ich einverstanden mit....") eingeholt werden.

Zustimmung für Film und Bild

Fotoaufnahmen bei Veranstaltung an, in und durch die Universität: ZENDAS

Foto-Service der Hochschulkommunikation (vorherige Anmeldung erforderlich)

Guidelines on Consent (Article29 Newsroom)

Handreichung „Fotografieren und Datenschutz – Kompakt und praxisorientiert“(Landesbeauftragter Baden-Württemberg)

Datenschutz bei Fotos: Wann findet die DSGVO Anwendung? kurze Übersicht von "Dr. Datenschutz" (2.11.2021)

Einbindung von Youtube-Videos

Eine datenschutzkonforme Einbindung von Youtube-Videos ist nur noch über ein Standbild mit Link zu Youtube möglich.

Die no-cookie-Version von Youtube ist zwar datensparsamer, aber da der integrierte Player von  Googleservern abgerufen wird, fliessen schon vor dem direkten Aufrufen des Videos Nutzerdaten. Daher wird diese Vorgehensweise aus Datenschutzgründen nicht mehr empfohlen.

https://www.blogmojo.de/youtube-videos-datenschutzkonform-einbetten/

Datenschutzkonformes Tracking

FAQ zum Tracking (Landesbeauftragter f. Datenschutz Baden-Württemberg)

Informationen zu WordpressInstallationen unter der Adresse "projekte.uni-erfurt.de"

Beim Betrieb einer Wordpress-Installation auf dem www2-Webserver (projekte.uni-erfurt.de) der Universtät Erfurt sind Sie sowohl für die Einhaltung der IT-Sicherheit als auch für die Einhaltung des Datenschutzes verantwortlich.

Das bedeutet, dass Sie sich selbstständig über Sicherheitsprobleme und bekanntgewordene Lücken informieren müssen: nicht nur für das zentrale System, sondern auch für jedes einzelne von Ihnen eingesetzte PlugIn (auch: Themes). Sie müssen darüberhinaus organisieren, daß die wichtigen (sicherheitsrelevanten) Updates getestet und zeitnah eingespielt werden.

Datenschutz:

Schon bei der Auswahl des Systems und der Plugins müssen sie den Datenschutz berücksichtigen. Nicht alle WordPress-Plugins sind datenschutzkonform.

Neben einem Impressum wird auch eine eigene Datenschutzerklärung benötigt (keine Verlinkung auf das zentrale Uni-WebImpressum).

Mindestangaben für die Datenschutzinformation:

• Kontaktdaten des für die Website Verantwortlichen und E-Mail-Adresse der Datenschutzbeauftragten der Universität (datenschutz@uni-erfurt.de)
• Alle Zwecke, zu denen personenbezogene Daten verarbeitet werden
• Rechtsgrundlage für die Datenverarbeitung
• Speicherdauer
• Betroffenenrechte

Wenn Sie (Kontakt-)Formulare, Newsletter oder Kommentarfunktionen u.a. einsetzen, sind weitere Informationen zusätzlich anzugeben. Zu berücksichtigen sind dabei auch Logfiles, die Verwendung von Cookies oder der Einsatz von Analyse- oder  Trackingdiensten. Bei Einsatz von externen Webdienstleistern ist u.U. eine Auftragsverarbeitung notwendig, Newsletter sind beispielsweise auch in einem Verarbeitungsverzeichnis zu dokumentieren. Die Datenschutzbeauftragen beraten Sie hierzu gerne.

Alternativ bietet das Rechenzentrum auch ein vorinstalliertes und durch das Rechenzentrum technisch betreutes Wordpress an: eigene URL, eigenes Design sind dennoch möglich.

Links:

• https://www.datenschutz.org/wordpress-datenschutz/
• https://www.blogmojo.de/wordpress-plugins-dsgvo/

Außereuropäische Dienstleister

Nachdem der EuGH (Europäische Gerichtshof) am 16.7.2020 das Privacy Shield Abkommen gekippt hat, kann man nur auf andere Garantien wie beispielsweise Standard-Vertragsklauseln setzen. Die USA haben keinen dem europäischen Standard vergleichbaren Datenschutzlevel. (Einzelfallprüfung notwendig: Dokumentation des "Transfer Impact Assessment"). Seien Sie daher bei US-Anbietern besonders vorsichtig.

Wenn Sie einen außereuropäischen Dienstleister z.b. für die Newsletterverwaltung einsetzen wollen, müssen Sie als Verantwortlicher sicherstellen, ob ein dem europäischen Datenschutzniveau vergleichbarer Level vorliegt. Nur dann können Sie diesen Dienstleister einsetzen (Voraussetzung: Vorabprüfung der Rechtslage (TIA), Abschluss von Standardvertragsklauseln nach Vorgaben der EU-Kommission, Vereinbarung von zusätzlichen Sicherheitsmaßnahmen.

Andere Länder mit einem der EU vergleichbarem Datenschutzniveau :
Andorra, Argentinien, Kanada (nur für kommerzielle Organisationen), die Färöer-Inseln, die britischen Kanalinseln Guernsey und die Isle of Man, Israel, Neuseeland, Republik Korea (Südkorea), die Schweiz, Uruguay und die Vereinigten Königreiche (Stand 2021).

Ihre Datenschutzbeauftragten beraten Sie gerne im Vorfeld einer Entscheidung.