DSGVO-Maßnahmenplan für Website-Betreiber
Dienstag, 01. Mai 2018

DSGVO-Maßnahmenplan für Website-Betreiber

In wenigen Tagen ist es so weit – am 25.05.2018 treten die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) endgültig in Kraft. Ziel der EU-DSGVO ist es, den Umgang mit personenbezogenen Daten gem. Art. 4 DSGVO EU-weit einheitlich zu regeln und vor allem für Transparenz sorgen, wofür und in welchem Umfang überhaupt personenbezogene Daten beim einzelnen Anbieter erhoben und verarbeitet werden.

Zu diesem Zweck erhalten sogenannte „Betroffene“ (zum Beispiel Website-Besucher) erweiterte Rechte, auf die Sie als Betreiber eines Internetangebots vorbereitet sein müssen.

Wir haben Ihnen einen Maßnahmenplan zusammengestellt, der die typischen Anforderungen zur DSGVO-Konformität für Sie als Website-Betreiber aufzeigt. Die Liste ist keinesfalls vollständig im Sinne einer 100%-Lösung und garantiert deshalb keinen vollständigen Schutz vor etwaigen Bußgeldern/Abmahnungen. Aber der Maßnahmenplan enthält die wichtigsten Anforderungen an die von außen sichtbaren Teile Ihrer Website und ist ein sehr guter Startpunkt für die DSGVO-Konformität Ihres Internetangebots.

Eine tatsächliche Rechtsberatung können wir Ihnen als eCommerce-Agentur nicht bieten, allerdings stehen wir Ihnen mit unserer Expertise und unserem Erfahrungsschatz für alle weitergehenden Fragen rund um das Thema DSGVO jederzeit gerne zur Verfügung.

SSL-Verschlüsselung

Alle Seiten Ihres Internetangebots, die personenbezogene Daten enthalten, müssen mit einem SSL-Zertifikat verschlüsselt sein.

Wir empfehlen Ihnen, Ihre gesamte Webseite per SSL und https-Verschlüsselung abzusichern.

Anpassung Ihrer Datenschutzerklärung

Als Betreiber einer Webseite unterliegen Sie der Informationspflicht gemäß EU-DSGVO gegenüber Ihren Besuchern und über alle auf der Webseite erhobenen und verarbeiteten personenbezogenen Daten.

Aus diesem Grund müssen Sie das Vorhandensein aller notwendigen Pflichtangaben für die Datenschutzerklärung prüfen und diese gegebenenfalls anpassen. Wichtig dabei: die Datenschutzerklärung muss in einfacher Sprache verfasst sein!

Insbesondere folgende Informationen müssen Sie in der Datenschutzerklärung angeben:

  • Kontaktdaten des Datenschutzbeauftragten (falls gemäß Unternehmensgröße erforderlich)
  • Hinweise für einzelne Verarbeitungstätigkeiten, beispielsweise:
    • Zweck der Datenerfassung und Verarbeitung
    • Rechtliche Grundlage (zum Beispiel Einwilligung)
    • Verantwortlicher Verarbeiter der erhobenen Daten (dies kann auch ein Drittanbieter sein)
    • Speicherfristen für die erhobenen Daten
  • Cookie-Einwilligung (siehe späterer Abschnitt)
  • Logfiles: Bereits der bloße Website-Aufruf erzeugt typischerweise bereits technische Einträge in den Logdateien bei Ihrem Hoster, die die IP-Adresse des Aufrufs beinhalten. Klären Sie daher in jedem Fall mit Ihrem Hoster, ob – und wenn ja, wie lange – der Server derartige Aufzeichnungen vorhält und führen dies im Rahmen der Datenschutzerklärung auf.

Werden auf der Website externe Diensteanbieter genutzt, so müssen diese ebenfalls in der Datenschutzerklärung aufgeführt sein. Weiter unten in diesem Beitrag erhalten Sie dazu mehr Informationen.

Die Datenschutzerklärung muss von jeder Unterseite der Website aus erreichbar sein. Um auf der sicheren Seite zu sein, empfehlen wir daher, dies auch für etwaige Loginseiten zu prüfen (beispielsweise zum Backend Ihrer Website).

Wir empfehlen Ihnen die Verwendung von standardisierten Generatoren zur Erstellung einer passenden Datenschutzerklärung. Bei der Frage nach passenden Tools und den nötigen Einstellungen sind wir Ihnen gerne behilflich.

Informationspflicht bei Nutzung von externen Dienstleistern

Für alle externen Dienstleister, die Sie im Rahmen der Website einbinden, muss jeweils auf die Rechtsgrundlage der Datenverarbeitung hingewiesen werden.

Dies gilt insbesondere, aber nicht ausschließlich für die folgenden Dienste:

  • Trackingdienstleister (Google Analytics, etc.)
  • JS-/CSS-Bibliotheken
  • Schriftarten
  • Social Media Plugins (Facebook, Twitter, etc.)
  • Google Maps
  • Amazon-Partnerlinks
  • Externe Captcha-Anbieter (Google ReCaptcha, etc.)

Alternativ sollten Sie, wenn Sie die Möglichkeit haben, eine direkte Einbindung der betreffenden Inhalte andenken (lokale Speicherung am Server und Einbindung in die Website). Auch dabei unterstützen wir Sie sehr gerne.

Cookie-Hinweise

Cookies stellen nach verbreiteter Meinung personenbezogene Daten dar, da sie die Zuordnung zu einem einzelnen Website-Besucher ermöglichen.

Aus diesem Grund sollten Sie bei Verwendung von Cookies auf der Website (gem. § 13 Abs. 1 Telemediengesetz) darauf hinweisen und die Benutzereinwilligung zur Cookie-Speicherung inklusive Link zur Datenschutzerklärung einholen. Dies geschieht typischerweise durch die Verwendung von sogenannten Cookie-Bannern. Gerne beraten wir Sie zur Einbindung auf Ihrer Website.

Die Verwendung von Cookies sollte gleichzeitig auch als separate Datenerhebung im Rahmen der Datenschutzerklärung aufgeführt werden.

Anpassung von Formularen

Alle Formulare auf der Website, in denen personenbezogene Daten erhoben und verarbeitet werden, müssen explizit das Einverständnis des Besuchers zur Datenverarbeitung einholen. Gleichzeitig muss der Formularaufbau auf Datensparsamkeit („Privacy by design“ / “Privacy by default“) geprüft und gegebenenfalls angepasst werden.

Insbesondere wichtig bei Ihrer Webformularen:

  • Achten Sie darauf, nur Informationen einzuholen, die für den aktuellen Verarbeitungszweck erforderlich sind. Beispielsweise sollte das Geburtsdatum nicht als Pflichtfeld im Kontaktformular abgefragt werden.
  • Stellen Sie sich die Frage, ob freiwillige Angaben im Formular für Ihren Zweck der Verarbeitung überhaupt benötigt werden.

Typische Beispiele für betroffene Formulare:

  • Kontaktformular
  • Registrierungsformular
  • Bestellformular

Bieten Sie Ihren Besuchern hierzu im Formular eine Checkbox oberhalb des Absende-Buttons mit Informationshinweis(en) zum Verarbeitungszweck. Diese Checkbox darf standardmäßig nicht vorausgefüllt sein! Der Besucher muss diese aktiv anklicken, bevor er das Formular absenden kann.

Nutzung von Tracking-Diensten

Bei der Verwendung von Tools zur Besucheranalyse prüfen Sie bitte folgende Punkte, welche die Nutzung von Google Analytics oder Matomo (ehemals Piwik) betreffen:

  • Anonymisierung von gespeicherten IP-Adressen.
  • Prüfung und gegebenenfalls Anpassung von Speicherfristen.
  • Einbindung eines Opt-out-Links, mit dem Besucher das Tracking ihrer Besuche verhindern können; idealerweise hinterlegen Sie diesen in der Datenschutzerklärung.

Da im Rahmen des Trackings eine Datenerhebung und -verarbeitung stattfindet, müssen Sie dies in der Datenschutzerklärung aufführen (siehe auch eigener Abschnitt weiter oben).

Versand von Newslettern

Newsletter dürfen schon heute nur an diejenigen Empfänger versendet werden, die explizit in den Newsletterempfang eingewilligt haben. Wir empfehlen Ihnen hierzu die Nutzung des Double Opt-In-Verfahrens.

Die Einwilligung des Empfängers in den Newsletterempfang müssen Sie immer auch nachweisen können. Achten Sie dabei auch darauf, die Datenverarbeitung auf der Website transparent anzugeben, auch und vor allem, wenn eine Datenübertragung an Drittanbieter (Cleverreach, Mailchimp, etc.) erfolgt.

Sofern alle bisherigen Newsletterempfänger die DSGVO-Anforderungen bereits jetzt erfüllen, können diese weiterhin verwendet werden. Gerne beraten wir Sie bei Fragen zu diesem Thema.

Sicherstellung von aktuellen Updates

Als Betreiber müssen Sie dafür Sorge tragen, dass die von Ihnen eingesetzte Website-Software regelmäßig auf Aktualität geprüft und gegebenenfalls aktualisiert wird.

Dabei sind wir Ihnen gerne behilflich und erarbeiten mit Ihnen gemeinsam einen für Sie optimalen Lösungsansatz.

Nutzung externer Dienste / Einsatz von Drittanbietern

Beachten Sie bitte auch, dass Sie für jegliche Übertragungen von personenbezogenen Daten an externe Anbieter eine vertragliche Vereinbarung zur Auftragsverarbeitung benötigen. Auf solche Vereinbarungen zur Auftragsverarbeitung gehen wir im Rahmen dieses Maßnahmenplans nicht gesondert ein, stehen Ihnen aber gerne auch dabei mit Rat und Tat zur Seite.

Autoren: Tina Nitschke, Dr. Oliver Gmelch

Dr. Oliver Gmelch

Ihr Ansprechpartner:
Dr. Oliver Gmelch - Informationssicherheit und IT-Security

Kontaktaufnahme »

Weitere Beiträge in dieser Kategorie:
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok