DSGVO für Websitebetreiber – Teil 5 Content-Management-System, WebApp & Mobile Response

Content-Management-System:

Nach der DSGVO bedarf die Verarbeitung personenbezogener Daten einer rechtlichen Grundlage, z. B. der Einwilligung der betroffenen Person/des Websitenutzers (Art.6 Absatz 1 lit.a DSGVO).

Wollen Websitebetreiber hierfür ein Content-Management-System (CMS) einsetzen, bestehen aus datenschutzrechtlicher Sicht grundsätzlich keine Bedenken, da jedes CMS derart angepasst werden kann, als dass es den datenschutzrechtlichen Anforderungen, u. a. der DSGVO entspricht. Denn die meisten Systeme wie z. B. Joomia oder WordPress bieten viele datenschutzfreundliche Funktionen und Anleitungen die einen datenschutzkonformen Einsatz ermöglichen.

Auch kleinere Betriebe, Selbstständige oder Privatpersonen die keinen eigenen Webserver betreiben, können ein CMS einsetzen, da dieses auch von einem fremden Webserver aus eingesetzt werden darf. Es empfiehlt sich an dieser Stelle allerdings der Abschluss eines Auftragsverarbeitungsvertrages (Art.28 DSGVO) mit dem Hoster, wobei ein besonderes Augenmerk auf die zu vereinbarenden organisatorischen und technischen Sicherheitsmaßnahmen gelegt werden sollte.

Um ein CMS sicher zu betreiben, sollten Websitebetreiber gewisse Aspekte beachten.
Bereits bei der Auswahl eines Systems sollte darauf geachtet werden, dass es sich um ein entkoppeltes und geeignetes CMS handelt, dessen Konfigurationsaufwand für den Anwender überschaubar bleibt. Neben einer Firewall, die das CMS unterstützt und den Abruf sicherheitskritischer Dateien nur unter festgelegten Voraussetzungen zulässt, sollte zudem ein starkes Passwortverfahren, welches von allen Nutzern aber auch von Administratoren, ggf. durch zusätzliche Zweifaktor-Authentifizierung, ein sicheres Passwort verlangt, implementiert/eingesetzt werden.

Zudem sollten nicht nur die CMS-Ergebnisse durch gezieltes Logging protokolliert werden, sondern auch regelmäßige Backups der CMS-Daten durchgeführt werden, damit die Nutzerdaten u. a. für eine Fehleranalyse verfügbar bleiben.

Schließlich sollte versucht werden das CMS durch verfügbare Updates jeweils auf dem neuesten Stand zu halten (Patch Management).

Ob das CMS nicht nur datenschutzkonform eingesetzt wird, sondern auch tatsächlich sicher ist, kann durch ein geeignetes Security-Plugin (z. B. iThemes, Hide my WP für WordPress) bzw. entsprechende Scanner festgestellt werden, die als Report mögliche Schwachstellen der WordPress-Installation zurückgeben.

Wird die CMS-Installation (z. B. WordPress) durch beliebige Plugins erweitert, gilt es zu überprüfen, ob ggf. eine Übermittlung der Nutzerdaten an fremde Anbieter erfolgt, da hierfür eine Rechtsgrundlage erforderlich ist, wobei mittlerweile bei dem meisten Datenschutz-Plugins die Nutzerrechte/Betroffenenrechte nach der DSGVO durch geringen Aufwand berücksichtigt werden können. Auf etwaige Plugins müssen Websitebetreiber in ihren Datenschutzerklärungen hinweisen.

Auch ab Geltung der ePrivacy-VO wird sich hinsichtlich des Einsatzes von CMS selbst zunächst nichts ändern, da bisher keine entsprechenden Regelungen vorgesehen sind. Allerdings sollten Websitebetreiber beachten, dass CMS umstrittene Tracking- und Analytics-Tools enthalten, für welche sie Verantwortliche im Sinne der DSGVO sind. Daher sollten Websitebetreiber Entwicklungen und die gesetzliche Anforderungen in diesem Bereich zukünftig im Auge behalten.

Web-App und Mobile Response

Obwohl für Websites lediglich die Unterstützung der aktuellen Betriebssysteme und Browser erforderlich ist, ist Websitebetreibern zu empfehlen, ihre Websites für alle möglichen Arten von Endgeräten und mit entsprechender Bildschirmauflösung zu designen oder als Web-App anzubieten, wofür der übliche HTML5-Quellcode der Website verwendet werden kann.

Aus datenschutzrechtlicher Sicht muss bei der Verwendung der Web-App beachtet werden, dass zum einen eine rechtliche Grundlage für die Verarbeitung der personenbezogenen Daten vorliegt. Dies gilt gerade für Apps die Standortdaten verarbeiten, d. h., ein direkter Zugriff auf die Lokalisierungsfunktion des Endgerätes stattfindet, da eine Geolokalisierung des Nutzers je nach Zweck der Verarbeitung ggf. nur nach dessen vorheriger Einwilligung (Opt-In) zulässig ist. Zudem muss eine Widerrufsmöglichkeit der Einwilligung (Opt-out) vorhanden sein, durch welche Nutzer die Lokalisierungsfunktion ausschalten können.

Daneben müssen die Betroffenenrechte der Nutzer, als auch die Informations- und Transparenzpflichten nach der DSGVO gewahrt werden. So sollte die Datenschutzerklärung bereits im App-Store abrufbar sein oder in der App selbst leicht auffindbar eingebunden sein. Diese sollte speziell für die Web-App ausgestaltet sein, da andere Voraussetzungen wie bei einer klassischen Website bestehen und z. B. auf Datenübertragungen an den App-Store-Betreiber hingewiesen werden muss, welche bei der Nutzung der klassischen Website gar nicht stattfindet.

Daneben sollten Websitebetreiber bestimmte organisatorische und technische Maßnahmen ergreifen, wie z.B. das sichere Ablegen von Nutzerzugangsdaten, bzw. das Verwenden eines sicheren Passwortverfahrens, Verwendung gängiger Browser und Betriebssysteme oder der Einsatz von Certificate Pinning bei der Implementierung von HTTPS. Hierdurch kann der Transportweg der Daten effektiv gegen das Mitlesen von Dritten abgesichert werden.

Damit Websitebetreiber als Verantwortliche für den Datenschutz stets informiert sind und entsprechende Schritte ergreifen können, sollten sie die aktuellen Entwicklungen rund um das Thema Datenschutz im Auge behalten.