DSGVO – macht euch dieses Akronym ein wenig aggro? Das sollte es nicht, denn der Datenschutz ist ein wichtiges Thema. Jeder von uns möchte, dass seine Privatsphäre respektiert wird – im gläsernen Zeitalter umso mehr oder?!

Nun wird es Zeit, dass der Umgang mit personenbezogenen Daten ein wenig mehr reflektiert wird. Zwei Jahre haben wir gewartet und dann kam der 25. Mai 2018 doch ganz plötzlich und versetzte allen einen Schreck. Eine gute Vorbereitung ist gold wert – auch in diesem Fall! Wie hast du dich darauf vorbereitet? Mit einer persönlichen Checkliste?

Checkliste für die DSGVO

Schon eine angelegt oder zumindest gesucht? Sehr gut! Aber ist denn alles drauf und wer kontrolliert das? Das ist der Job des ….? Ja richtig, des Datenschutzbeauftragten! Falls du die Person bist, der diese ehrenvolle Aufgabe übertrage wurde, dann viel Spaß bei der Recherche und der Einarbeitung in die Thematik [] Warum wird hier ein Quadrat angezeigt? Anstelle des Smileys sieht du leider nur dieses Quadrat, da Emojis von unserer Seite gesperrt werden, weil sie nicht DSGVO konform sind (aufgrund der personenbezogenen Daten, welche dabei an andere Server weitergeleitet werden).

Schnell stellst du fest, dass es nicht einfach ist, die Gesetzestexte zur DSGVO zu verstehen und sie richtig zu interpretieren. “Das ist ein weites Feld” würde Fontane vermutlich dazu sagen. Wir sind ins Feld gehüpft und haben uns in den Irrgarten begeben, um einen Durchblick zu bekommen. Dabei haben wir eine Checkliste für die DSGVO erstellt. Die Liste soll euch helfen: Mit unserer Checkliste für DSGVO kannst du herauszufinden, ob deine bzw. eure Website DSGVO konform ist.

Unsere Checkliste zur DSGVO

1.1 Hosting und Datensicherheit

  1. Hat deine Website ein SSL-Zertifikat?
  2. Hast du Maßnahmen ergriffen, um deinen Blog oder deinen Website gegen Hacker oder unbefugte Dritte zu schützen (sichere Dateirechte, sichere Passwörter, regelmäßiges Installieren von Sicherheitsupdates etc.)?
  3. Hast du einen Vertrag zur Auftragsdatenverarbeitung mit deinem Hosting-Anbieter abgeschlossen? 

1.2 Analyse-Tools

  1. Hast du ein Analyse-Tool im Einsatz?
  2.  Sind die IP-Adressen anonymisiert?
  3. Liegen die Daten auf deinem Server oder bei einem Drittanbieter?
    • Falls Drittanbieter, sind die Daten adäquat geschützt? Hast du einen Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag) mit dem Drittanbieter abgeschlossen?
  4. Hast du sichergestellt, dass Nutzer anhand eines Klicks der Erfassung widersprechen können (der Link dazu sollte in der Datenschutzerklärung sein)?

1.3 Formulare

  1. Hast du Formulare auf deiner Webseite eingebunden, die personenbezogene Daten übertragen?
    • Wenn ja, hast du unterhalb, oberhalb oder neben dem Formular darauf hingewiesen (in Kurzform), was mit den Daten passiert, wenn sie gesendet werden? Und auf deinen Datenschutzerklärung hingewiesen, in der du das ganze ausführlich beschreibst?
  2. Wichtig: kein Formular ohne HTTPS!

1.4 Newsletter

  1. Nutzt du einen Newsletter-Dienst oder -Plugin?
  2. Erfolgt der Eintrag nur nach einem Double-Opt-In-Verfahren (also Eintrag der E-Mail-Adresse im Anmeldeformular und anschließende Bestätigung per Adresse per E-Mail-Link)?
  3. Hast du bei deinem Eintragungsformular darauf hingewiesen, was der Interessent von dir erhält, wenn er sich einträgt? Bist du transparent und hast offen geschrieben, wenn du neben Informationen und Artikeln auch Angebote versendest?
  4. Hast du mit deinem Newsletter-Dienstleister einen ADV-Vertrag geschlossen?

Vorsicht bei Dienstleistern außerhalb der EU: In dem Fall reicht ein einfacher Vertrag zur ADV nicht aus. Bei nicht-europäischen Anbietern musst du dir zusätzliche Informationen des Datenimporteurs bezüglich Datenschutz (am besten vertraglich) nachweisen lassen. Bei US-amerikanischen Dienstleistern wie Mailchimp ist es zudem nötig, dass das Unternehmen nach dem EU-US Privacy Shield zertifiziert ist (wobei es immer noch nicht eindeutig geklärt ist, ob das tatsächlich ausreicht).

1.5 Online-Shop

  1. Nutzt du externe Dienstleister (wie z. B. PayPal) zur Zahlungsabwicklung? Wenn ja, hast du detailliert darüber in der Datenschutzerklärung geschrieben und darauf hingewiesen, welche Daten übertragen und wo gespeichert werden?
  2. Ähnlich beim Versanddienstleister: Werden E-Mail-Adresse oder Handynummer zum Zweck der Benachrichtigung der Auslieferung erhoben?
  3. Kann oder muss sich der Käufer registrieren, um die Bestellung durchführen zu können? Wenn ja, hast du das entsprechend gekennzeichnet und bietest optional eine Bestellmöglichkeit ohne Registrierung?
  4. Legst du bei deinem Online-Shop wert auf IT-Sicherheit? Wenn nein, dann solltest du! Du hast viele personenbezogene Daten in deinem System gespeichert, die es zu schützen gilt und der Zugang zu diesen Daten muss daher entsprechend abgesichert sein.
  5. Hast du sichergestellt, dass Nutzer eine bestimmte Passwortkomplexität zwingend einhalten müssen und triviale Passwörter wie 1234 überhaupt nicht möglich sind?
  6. Vermeide es, Daten wie Kreditkarteninformationen bei dir zu speichern. Wenn möglich, würde ich immer einen externen sicheren Dienst nutzen, damit du die Speicherung dieser sensiblen Informationen umgehst.
  7. Ein externer Security Scan von Profis wäre bei einem Online-Shop durchaus zu überlegen!

1.6 Plugins, Widgets etc.

  1. Nutzt du auf deiner Website Plugins, Widgets, iFrames, zusätzlichen Scripte oder Schnittstellen?
  2. Werden dadurch personenbezogene Daten auf deiner Website oder bei Drittanbietern gespeichert?
    • Persönliche Daten werden z. B. gesammelt bei Membership-, Formular-Plugins, Social- oder Newsletter-Plugins.
    • Am einfachsten ist in der Dokumentation oder auf der Website des Entwicklers zu lesen, ob ein Plugin, Widget etc. DSGVO-konform nutzbar ist. Leider ist nicht jeder Entwickler so transparent (oder hat überhaupt ein Bewusstsein für die Anforderungen der DSGVO), daher muss man oft selbst den Dienst durchleuchten.
    • Oder verwende das Plugin Borlabs Cookie, wo personenbezogene Daten erst nach Zustimmung des Nutzer erfolgt (Opt-In Verfahren)
  1.   Falls Daten übertragen werden, brauchst du eine ADV mit dem Dienstleister. Das sollte einfach sein, wenn der Partner in der EU sitzt. Ist er allerdings in einem Drittland, was gerade bei Plugins häufiger der Fall ist, wird’s schwieriger. Du brauchst einen Vertrag und auf jeden Fall den Zusatz, wie die Daten bei der Übertragung und beim Dienstleister geschützt sind.
    •   Außerdem solltest du, falls Daten übertragen werden, die Verwendung des Plugins und welche Daten es überträgt in deiner Datenschutzerklärung erwähnen

1.7 Marketing & Werbung

  1. Nutzt du Dienste wie Facebook Pixel, DoubleClick, Google AdSense oder ähnliches? Dann musst du ausführlich darüber in der Datenschutzerklärung schreiben!
  2. Der Einsatz von Werbe-Trackern ist nicht ganz unumstritten. Stelle daher sicher, dass du Nutzern, soweit du einen „erweiterten Abgleich seiner Daten“ machst, eine Opt-Out-Möglichkeit bereitstellst.
  3. Vor allem beim Retargeting (auch Remarketing genannt) wäre es sogar noch besser, wenn der Nutzer per Opt-In dem Tracking zustimmen muss

1.8 Soziale Medien

  1. Nutzt du Plugins oder Widget von sozialen Netzwerken wie Facebook, Twitter, Pinterest etc.?
    • Wenn ja stelle sicher, hast du sichergestellt, dass diese keine personenbezogenen Daten übertragen, bevor Nutzer widersprechen können! Das gilt z. B. für die Standard-Sharing-Buttons oder das Seiten-Plugin von Facebook.
    • Alternativ kannst du mit einfachen Links auf deine sozialen Plattformen verweisen und für die Sharing-Buttons das Plugin Shariff Wrapper nutzen (falls du WordPress verwendest).
  2. Sind die sozialen Netzwerke und deren Umgang mit personenbezogenen Daten in deiner Datenschutzerklärung zu finden? Ergänze in der Datenschutzerklärung auch, ob und wie die du Daten aus Facebook für dein Unternehmen verwendest!
  3. Hast du auf deinen Social-Media-Seiten ein Impressum und eine Datenschutzerklärung angegeben oder von dort aus auf die entsprechenden Seiten auf deiner Website verlinkt?
  4. Hast du in deiner Datenschutzerklärung erwähnt, dass diese auch für Facebook, Instagram und Co. gilt?

1.9 Datenschutzerklärung

  1. Stelle sicher, dass zu allen oben genannten Wegen, auf denen die personenbezogene Daten verarbeitet werden, eine Passage in der Datenschutzerklärung zu finden ist!

All diese Dinge haben wir als relevant für die DSGVO eingestuft. Siehst du das auch so? War unsere Liste hilfreich?

Benötigst du Unterstützung bei der Umsetzung?

Falls dir das Knowhow oder die nötige Zeit fehlt, können wir dir behilflich sein. Wir selbst haben uns entschieden, das Plugin Borelabs zu verwenden. Borelabs eignet sich bestens, um Seitenbesuchern mehr Transparenz über Cookies zu geben. Ganz wichtig ist auch, dass du deine Datenschutzerklärung auf den Stand bringst! Die Abmahnwelle hat begonnen, also schieb’ es nicht mehr auf! Lieber Vorsorgen statt Nachsorgen 🙂

Wir bieten keine Rechtsberatung, sondern geben lediglich Hinweise, die dir helfen sollen deine Website mit der DSGVO konform gehen zu lassen. War dieser Blogeintrag für dich aufschlussreich? Hast du jetzt mehr Durchblick hinsichtlich der DSGVO?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü
0351 874 462 64