4. Datenschutz

In diesem Modul geht es um die neue Datenschutz-Grundverordnung (auch DSGVO).

Hinweis:

Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden.

1. DSGVO – Einführung

2. Die Website-Checkliste zur DSGVO im Detail

  1. 1. Hosting und Datensicherheit

    Einführungstext.

  2. SSL Zertifikat: Für die sichere Datenverschlüsselung ist ein SSL zertifikat auch zu erkennen durch “https” pflicht.
  3. Sicherheitsmaßnahmen: Maßnahmen, um die Website gegen Hacker  oder unbefugte Dritte zu schützen (sichere Dateirechte, sichere  Passwörter, regelmäßiges Installieren von Sicherheitsupdates etc.) sind einzuhalten.
  4. AVV: Vertrag zur Auftragsdatenverarbeitung mit dem Hosting-Anbieter
  5. 2. Analysetools (Google Analytics, Piwik, WordPress Stats, etc.)

    Einführungstext.

  6. IP-Adressen anonymisieren: Hier erklären wie das geht
  7. AVV:  Falls Daten bei einem Drittanbieter liegen, sind die Daten adäquat geschützt? Wurde ein Vertrag  zur Auftragsdatenverarbeitung (ADV-Vertrag) mit dem Drittanbieter abgeschlossen?
  8. Opt-Out: Ist sichergestellt, dass Nutzer anhand eines Klicks der Erfassung widersprechen können (der Link dazu sollte in der  Datenschutzerklärung sein)?
  9. Cookiemeldung: Wurde eine Cookiemeldung auf der Website eingebaut?
  10. 3. Formulare

    Einführungstext.

  11. Datenschutzhinweis:  Wenn  Formulate eingebunden sind, sollte oberhalb oder neben dem Formular darauf  hingewiesen werden (in Kurzform), was mit den Daten passiert, wenn sie gesendet  werden? Und auf die Datenschutzerklärung hingewiesen werden, in der das  ganze ausführlich beschrieben wird?
  12. HTTPS:  Wichtig! kein Formular ohne HTTPS!
  13. 4. Newsletter

    Einführungstext.

  14. Double Opt-In:  Erfolgt  die Eintrag nur nach einem Double-Opt-In-Verfahren (also Eintrag der  E-Mail-Adresse im Anmeldeformular und anschließende Bestätigung per Adresse per E-Mail-Link)?
  15. Transparenz:  Wurde beim Eintragungsformular darauf hingewiesen, was der Interessent erhält, wenn er sich  einträgt? Wurde transparent und offen beschreiben, dass evtl. neben  Informationen und Artikeln auch Angebote versendet werden?
  16. AVV: Wurde mit dem Newsletter-Dienstleister einen AV-Vertrag geschlossen?
  17. Dienstleister außerhalb der EU?  In dem Fall reicht ein einfacher Vertrag zur ADV nicht aus. Bei  nicht-europäischen Anbietern müssen zusätzliche Informationen des Datenimporteurs bezüglich Datenschutz (am besten vertraglich) nachgewiesen werden. Bei US-amerikanischen Dienstleistern wie Mailchimp ist es zudem nötig, dass das Unternehmen nach dem EU-US Privacy Shield zertifiziert ist (wobei es immer noch nicht eindeutig geklärt ist, ob das tatsächlich ausreicht).
  18. 5. Online-Shop

    Einführungstext.

  19. Dienstleister: Werden externe Dienstleister (wie z. B. PayPal) zur Zahlungsabwicklung genutzt? Wenn ja, wurde detailliert darüber in der Datenschutzerklärung  geschrieben und darauf hingewiesen, welche Daten übertragen und wo  gespeichert werden?
  20. Versanddienstleister: Werden  E-Mail-Adresse oder Handynummer zum Zweck der Benachrichtigung der Auslieferung erhoben?
  21. Registrierung: Kann oder muss sich der Käufer registrieren, um die Bestellung durchführen zu können? Wenn ja, wurde das entsprechend gekennzeichnet und wird optional eine Bestellmöglichkeit ohne Registrierung angeboten?
  22. IT-Sicherheit: Wird beim  Online-Shop Wert auf IT-Sicherheit gelegt? Wenn nein, dann sollten die vielen personenbezogene Daten in einem System gespeichert werden, die es zu schützen gilt und der Zugang zu diesen Daten muss daher entsprechend  abgesichert sein.
  23. Passwort: Es fängt schon beim Passwort an: Wurde sichergestellt, dass Nutzer eine bestimmte Passwortkomplexität zwingend einhalten müssen und triviale Passwörter wie 1234 überhaupt nicht möglich sind?
  24. Noch ein Tipp: Es sollte vermieden werden, Daten wie  Kreditkarteninformationen bei sich zu speichern. Wenn möglich, sollte immer ein externer sicherer Dienst genutzt werden, damit die Speicherung dieser sensiblen Informationen umgangen wird.
  25. Externe Hilfe: Ein externer Security Scan von Profis wäre bei einem Online-Shop durchaus zu überlegen!
  26. 6. Plugins, Widgets etc.

    Einführungstext.

  27. Datenspeicherung bei Widgets: Werden durch Plugins personenbezogene Daten der Website oder bei  Drittanbietern gespeichert? Wenn ja, zu welchem Zweck? Und fließen nur die benötigten Daten, damit der Dienstleister seinen Job machen kann  oder wird zu viel übertragen? – Stichwort Datenminimierung. Persönliche Daten werden z. B. gesammelt bei Membership-, Formular-Plugins, Social- oder Newsletter-Plugins.
  28. Vorgehensweise: Am  einfachsten ist in der Dokumentation oder auf der Website des  Entwicklers zu lesen, ob ein Plugin, Widget etc. DSGVO-konform nutzbar  ist. Leider ist nicht jeder Entwickler so transparent (oder hat  überhaupt ein Bewusstsein für die Anforderungen der DSGVO), daher muss  man oft selbst den Dienst durchleuchten.
  29. AVV:  Falls Daten übertragen  werden, wird eine ADV mit dem Dienstleister benötigt. Das sollte einfach sein, wenn der Partner in der EU sitzt. Ist er allerdings in einem  Drittland, was gerade bei Plugins häufiger der Fall ist, wird’s  schwieriger. Es ist ein Vertrag und auf jeden Fall den Zusatz nötig, wie die Daten bei der Übertragung und beim Dienstleister geschützt sind.
  30. Welche Plugins nutze ich? 
    Bei Unsicherheiten, welche Plugins Daten senden, können folgende Tools helfen:
    – die Website builtwith.com
    – das Browser-Plugin Ghostery
    – die Chrome Developer Tools (Rechte Maustaste klicken, im Kontextmenü auf „Untersuchen“ gehen und den Reiter „Sources“ auswählen).
  31. Noch ein Tipp: Eine umfangreiche Übersicht über WordPress-Plugins, die personenbezogene Daten sammeln gibt es hier: WordPress-Plugins & DSGVO: Liste problematischer Plugins (+Plugin-Tipps!
  32. 7. Marketing & Werbung

    Diesen Punkt finde ich persönlich am schwierigsten, da er doch recht komplex ist. Viele  meiner Kunden wissen zum Teil selbst nicht mehr, was alles an  Marketing-Diensten auf Ihrer Webseite läuft. Daher sind natürlich wieder  Tools wie Ghostery und der Dienst builtwith.com hilfreich.

  33. Online Werbung: Nutzt  du Dienste wie Facebook Pixel, DoubleClick, Google AdSense oder  ähnliches? Dann musst du ausführlich darüber in der Datenschutzerklärung  schreiben!
  34. Tracking:  Der Einsatz von Werbe-Trackern ist nicht ganz  unumstritten. Stelle daher sicher, dass du Nutzern, soweit du einen  „erweiterten Abgleich seiner Daten“ machst, eine Opt-Out-Möglichkeit  bereitstellst.
  35. Retargeting: Vor allem beim Retargeting (auch Remarketing genannt) wäre es sogar noch besser, wenn der Nutzer per Opt-In dem Tracking zustimmen muss.
  36. 8. Soziale Medien

    Einführungstext.

  37. Plugins: Wenn Plugins oder Widgets von sozialen Netzwerken genutzt werden, sollte sichergestellt werden, dass diese keine  personenbezogenen Daten übertragen, bevor Nutzer widersprechen können!  Das gilt z. B. für die Standard-Sharing-Buttons oder das Seiten-Plugin  von Facebook. Alternativ kann mit einfachen Links auf die sozialen Plattformen verwiesen werden und für die Sharing-Buttons das Plugin Shariff genutzt werden (falls WordPress verwendet wird).
  38. Datenschutzerklärung:  Sind  die sozialen Netzwerke und deren Umgang mit personenbezogenen Daten in der Datenschutzerklärung zu finden? Die Datenschutzerklärung sollte auch enthalten, ob und wie die Daten aus Facebook für das  Unternehmen verwendet werden!
  39. Impressum & Datenschutz: Befindet sich auf sämtlichen Social-Media-Seiten ein Impressum und eine Datenschutzerklärung oder wird von dort aus auf die entsprechenden Seiten auf der Website verlinkt? Wurde in der Datenschutzerklärung erwähnt, dass diese auch für Facebook, Instagram und Co. gilt?
  40. 9. Datenschutzerklärung

    Stelle sicher, dass zu allen oben genannten Wegen, auf denen die  personenbezogene Daten verarbeitet werden, eine Passage in der  Datenschutzerklärung zu finden ist!

    Es gibt gute Generatoren für die Datenschutzerklärung, wie z. B.:
  41. Deutschgesellschaft für Datenschutz: Datenschutz-Generator der DGD
  42. eRecht 24:  Datenschutz-Generator von eRecht24
  43. Achtung: Achte  aber darauf, dass sie DSGVO-konform sind, da z. T. noch zusätzliche  Informationen nötig sind, die bisher nicht in der Datenschutzerklärung  enthalten waren. Nimm nicht alles einfach ungelesen hin und ergänze oder ändere die Inhalte so ab, dass sie für deinen Anwendungsfall passen!

3. Verfahrensverzeichnis

Es  gibt so viele Fragen und Unsicherheiten über das Verfahrensverzeichnis,  dass ich gleich vorweg sagen muss: KEINE PANIK! Versuche es einfach zu  halten. Niemand fordert an dieser Stelle eine Doktorarbeit.

Schreibe  die Verfahren allgemein und nicht speziell für jeden Kunden. Aus der Erfahrung würde ich für einen reinen Online-Unternehmer etwa 20  Verfahren erwarten. Wenn du Blogger bist, wahrscheinlich noch weniger.

Eine Vorlage für das Verfahrensverzeichnis findest du hier: Verfahrensverzeichnis.

Download –
Verfahrensverzeichnis

4. Informationspflicht

Das Thema Informationspflicht ist neu mit der DSGVO und gab es in dieser Form vorher noch nicht. Du musst den Betroffen vor Aufnahme der Verarbeitung informieren, was du mit seinen Daten machst, sofern du die Daten direkt bei ihm erhebst. Erhältst du die Daten im Rahmen eines Prozesses nicht direkt vom Betroffenen, musst du innerhalb von etwa vier Wochen den Betroffenen informieren.

Als Online-Unternehmer machst du das normalerweise über deine Datenschutzerklärung. Verarbeitest du außerhalb deiner Onlinepräsenz noch Daten, musst du zusätzlich darüber informieren.

Diese Information muss auch bestimmten Vorgaben folgen. Wie diese aussehen, habe ich in meinem Blogbeitrag zur Informationspflicht auf meiner Webseite näher beschrieben. Daher ist es in der Datenschutzerklärung wichtig, dass du – falls du Generatoren einsetzt – nur solche verwendest, die auch die kompletten Inhalte der Informationspflicht (Artikel 13 und 14 DSGVO) abbilden.

Alles was noch nicht in der Datenschutzerklärung enthalten ist, musst du selbst zusammen schreiben. Hier empfiehlt es sich, dass du mit dem Verfahrensverzeichnis gut gearbeitet hast. Die Infos kannst du nämlich jetzt wieder gut gebrauchen und brauchst sie nur noch in die richtige Form bringen.

5. Auftragsdatenverarbeitung

Inzwischen ist das wohl auch kein neuer Begriff mehr für dich, oder? Hast du Dienstleister im Boot oder nutzt du einen IT-Service von einem Anbieter, der für dich personenbezogene Daten verarbeitet? In diesem Fall benötigst du einen Vertrag zur Auftragsdatenverarbeitung oder Auftragsverarbeitung (das ist eigentlich der aktuelle Begriff). Schreib dir eine Liste aller Dienstleister und stelle sicher, dass du bei allen einen ADV-Vertrag hast!

Viele große Unternehmen haben dazu Standardvorlagen, die sie dir in der Regel schon zum Download anbieten. Du musst sie nur noch mit deinen Daten füllen und unterschreiben. Welche Anbieter schon einen ADV-Vertrag bereitstellen und bei welchen du dich noch gedulden musst, findest du hier bei Blogmojo: ADV-Verträge für Blogger & Online-Unternehmer: Liste mit Hostern, Newsletter-Tools etc.

Wie sieht’s eigentlich mit Verarbeitern aus, die im nicht EU-Land ansässig sind, also in einem Drittland? In dem Fall wird der ADV-Vertrag doppelt so lang, denn es müssen umfangreiche Angaben zum Datenimporteur und Exporteur gemacht werden.

Eine Sonderregelung gibt es übrigens bei Plattformen, bei denen sich Anbieter und Nutzer registrieren müssen, z. B. bei einer Online-Lernplattform. Im Rahmen der Registrierung bestätigst du als Nutzer die AGB. Dasselbe mache ich zum Beispiel, wenn ich eine Schulung anbiete. Daher brauche ich keine ADV mit der Onlineplattform. Im Zweifelsfall beim Plattformanbieter nachfragen.