Ergebnisbericht Webseitenprüfung des LDA Bayern

Prüfinhalte

Untersuchung von 20 ausgewählten prominenten Websites hinsichtlich datenschutzrechtlicher Anforderungen im sicheren Umgang mit Nutzerdaten (Fokus auf Registrierung & Login – insb. Passwörter)
22 Prüfpunkte Registrierung, 17 Prüfpunkte Login

Untersuchung von 40 ausgewählten bayerischen Websites hinsichtlich datenschutzkonformer Einbindung von Tracking-Tools (u. a. Information und Einwilligung)

Prüfpunkte

Prüfpunkte Login / Registrierung

  • Konfiguration von HTTPS
  • Erhält der Nutzer Informationen zur Bewertung / Einschätzung, ob sein Passwort stark ist?
  • Wird eine Mehr-Faktor Authentifizierung (Anmeldung mit Passwort und z.B. zusätzlichem SMS Code)
  • Erhält der Nutzer eine E-Mail nach der Registrierung und muss er diese bestätigen (Double Opt-in)
  • Information des Nutzers über Phishing?
  • Wird der Nutzer über fehlgeschlagene Logins informiert?
  • Muss bei der Passwortänderung das alte Passwort eingegeben werden?
  • Erhält der Nutzer eine Information über die erfolgte Passwortänderung?
  • Zeitlicher eingeschränkt gültiger Link bei der Funktion „Passwort vergessen“?
  • Werden dem Nutzer Informationen bereit gestellt, wenn z.B. der Account gehackt wurde?

Prüfpunkte Tracking Tools

  • Einsatz von Tracking Tools auf Webseite vorhanden?
  • Transparente Information über den Einsatz von Tracking Tools
  • Einwilligung über einen „Cookie-Banner“ vorhanden?
  • Werden die Anforderungen an eine WIRKSAME Einwilligung von den Webseiten erfüllt?
  • Kann der Nutzer die Profilbildung durch Tracking Tools auf der Webseite selbst durch eigene Einstellungen im Browser verhindern?

Zusammenfassung der Ergebnisse

Es gab in der öffentlichen Bewertung durch das LDA kein „Durchgefallen“ oder „Bestanden“. Der Ergebnisbericht sollte vielmehr darauf hinwirken, die eigenen Sicherheitsmerkmale der Webseite zu erhöhen.

Folgende Punkte sind aus unserer Sicht die komprimierten Schlussfolgerungen:

Login / Registrierung

  • Der Nutzer muss gezwungen werden, ein starkes Passwort zu wählen (triviale Passwörter dürfen nicht zugelassen werden)
  • Double Opt-in bei der Anlage neuer Benutzerkonten nötig
  • Hinweis auf Phishingangriffe empfehlenswert
  • Informationen per E-mail auf fehlgeschlagene Logins und die Einwahl über neue Geräte
  • Passwortänderung mit Eingabe des alten Passworts
  • Information per E-mail über erfolgreiche Passwortänderung
  • Passwort vergessen Funktion über temporären Link (zeitliche Begrenzung, keine Übermittlung eines neuen Passworts per E-mail)
  • Hinweis, wenn Verdacht vorliegt, dass der Account gehackt wurde

Tracking

  • Transparente Information über die eingesetzten Tracking-Tools
  • Cookie Banner mit aktiver Einwilligung (keine implizite Einwilligung)
  • Nutzer muss die Möglichkeit haben, das Tracking abzulehnen

Ergebnisbericht der Behörde

Quellen

Bayerisches Landesamt für Datenschutz: https://www.lda.bayern.de/media/sid_ergebnis_2019.pdf

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.