Checkliste DSGVO

Die DSGVO, die neue Datenschutzverordnung ist an dem 25.05.2018 europaweit in Kraft getreten. Sie soll die Handhabung personenbezogener Daten innerhalb der EU vereinheitlichen. Einerseits dient sie dem Schutz personenbezogener Daten, andererseits soll sie den freien Datenfluss innerhalb der Europäischen Union garantieren. Der Schutz der privaten persönlichen Daten wurde durch die neue Verordnung gestärkt. Unter anderem schreibt sie auch die Bedingungen vor, die eine Website erfüllen muss, um dem neuen Regelwerk zu entsprechen. Betroffen sind fast alle privaten und gewerblichen Webseiten. Selbst wenn auf der Website keine persönlichen Daten abgefragt werden, wird beim Aufruf einer Internetseite die IP-Adresse übertragen. IP-Adressen gelten als persönliche Daten. Bei der DSGVO handelt es sich um eine Verordnung und dadurch ist diese bindend. Die Missachtung der Verordnung kann Abmahnungen und erhebliche Bußgelder nach sich ziehen. Folgende Bedingungen sollten erfüllt sein damit die Website den neuen Regelungen der DSGVO entspricht:

1. Datenschutzerklärungen müssen angepasst werden!

Datenschutzerklärungen unterliegen seit der DSGVO gewissen Vorgaben. Auch bis zu der in Kraft tretenden Verordnung waren Webseitenbetreiber verpflichtet eine Datenschutzerklärung zu veröffentlichen. Die DSGVO regelt nun sehr genau, was in der Erklärung enthalten sein muss (https://www.datenschutz-grundverordnung.eu/grundverordnung/art-13-ds-gvo/) und schreibt auch die Form der Erklärung vor. Datenschutzerklärungen müssen in einer verständlichen Sprache den User darüber informieren, wofür und von wem seine Daten erhoben werden, beziehungsweise an wen und zu welchem Zweck die Daten weitergeleitet werden. Alle Plug-ins und Dienste über die Daten an Dritte weitergegeben werden, müssen in der neuen Datenschutzerklärung aufgelistet sein. Vielen Webbetreibern ist gar nicht klar, dass mit jedem Facebook Like, bei Captchas (Programme um zwischen Mensch und Computer zu unterscheiden) oder diversen Spam Filtern automatisch Daten übermittelt werden. Seit der DSGVO müssen diese in der Datenschutzerklärung aufgelistet werden. Außerdem muss zusätzlich spezifiziert werden, wo sich die Server befinden an die Daten übertragen werden, ob sie sich innerhalb oder außerhalb der EU befinden. Die Angabe der Rechtsgrundlage ist ebenso verpflichtend wie die Information der Nutzer zu ihren Rechten. Dazu gehören das Recht auf Widerspruch, das Recht auf Einsicht der gespeicherten Daten, das Recht die gespeicherten Daten zu berichtigen bzw. löschen zu lassen, das Recht über die Speicherung bzw. Löschung der Daten informiert zu werden.

2. Webseiten sollten verschlüsselt sein!

Grundsätzlich mussten auch vor der Verordnung Websites auf denen personenbezogene Daten erhoben wurden verschlüsselt sein. Nun weitet sich diese Bedingung auf beinahe alle Internetseiten aus. Die erhobenen Daten sollen somit durch eine SSL Verschlüsselung vor unrechtmäßiger und unbefugter Verarbeitung geschützt werden. Durch eine SSL Zertifikat kann die Webseite verschlüsselt und vor unbefugtem Zugriff gesichert werden. Eine verschlüsselte Website kann daran erkannt werden, dass je nach Browser ein Schloss oder das Wort „Sicher“ vor der mit https beginnenden URL Adresse erscheint. Die Verschlüsselung muss auch auf allen Unterseiten der Internetpräsenz gewährleistet sein.

3. Formulare auf den Webseiten müssen im Hinblick auf DSGVO überprüft werden!

Seit Inkrafttreten der Verordnung dürfen nur noch die Daten abgefragt werden, die tatsächlich benötigt werden. Zusätzliche Informationen dürfen auf Formularen (zum Beispiel bei Anmeldungen für Newsletter oder Terminvereinbarungen) keine Pflichtfelder sein. Es wird dem Nutzer überlassen die Angaben eventuell freiwillig zu machen. Außerdem sollte bei der Abfrage von Daten immer die Erklärung dabei sein, wofür diese benötigt werden und ein Link zu der Datenschutzerklärung in der detailliert darauf eingegangen wird.

4. Überprüfung der eingebetteten Videos und Social-Media Plug-ins!

Bei eingebetteten Videos werden oft personenbezogene Daten an Dritte weitergeleitet. Handelt es sich um YouTube Videos können Sie den „erweiterten Datenschutzmodus“ beim Einfügen der Videos auswählen, um den neuen Anforderungen gerecht zu werden. Allerdings verfügen nicht alle Plattformen über diese Funktion.
Bei Sozialen Netzwerken können Programme wie Sharrif verwendet werden, bei denen der User selber entscheiden kann, ob seine Daten durch Plug-ins übertragen werden sollen oder nicht.

5. Vorsicht Statistik Tools!

Statistik Tools informieren Webseitenbetreiber darüber wie viele Besucher ihre Website hatte und was diejenigen sich da angesehen haben. Dafür werden die IP-Adressen der Besucher abgefragt. Seit der neuen Verordnung müssen diese so gekürzt werden um einen Bezug zu der Person unmöglich zu machen. Außerdem muss das Statistik Tool in der Datenschutzerklärung aufgelistet sein. Betreiber einer Website, die dieses Analysetool nutzen möchten, müssen mit Google einen Vertrag zur Auftragsbearbeitung schließen und zusätzlich einen Link hinzufügen, der zu den Datenschutzbestimmungen von Google führt und dem Besucher der Website mit nur einem Klick ermöglicht der Übersendung seiner Daten an Google zu verweigern.

6. Hinweis auf Cookies!

Seit DSGVO sind Webseitenbetreiber verpflichtet die Besucher ihrer Seite darüber zu informieren, dass sie Cookies nutzen. Cookies sind kleine Textdateien, die auf dem Computer der Nutzer gespeichert werden, sobald eine Internetseite zum ersten Mal besucht wird. In diese werden dann userspezifische Daten abgespeichert. Spracheinstellungen, zwischengespeicherte Einkaufskörbe aber auch personalisierte Werbung sind nur dank Cookies möglich. Webseitenbesucher müssen sofort beim Aufrufen einer Website über die Nutzung von Cookies mit dem sogenannten Cookie-Hinweis informiert werden. Dieser sollte einen Link zur Datenschutzerklärung enthalten. In dieser muss dann der Umgang mit Cookies detailliert beschrieben werden. Informationen darüber welche Daten gespeichert werden und ob diese Daten an Dritte weitergegeben werden oder nicht sind seit dem 25.05.2018 in der EU Pflicht.

7. Newsletter!

Wird für den Newsletter ein Dienst genutzt muss mit diesen ein Vertrag zur Auftragsverarbeitung geschlossen werden. In dem Anmeldeformular zum Newsletter muss der Zweck des Newsletters und die Informationen, die man durch diesen erhält, beschrieben werden. Als Pflichtfeld darf für die Anmeldung zum Newsletter nur die E-Mail-Adresse abgefragt werden. Außerdem sollte ein Link zur Datenschutzerklärung führen die alle zusätzlichen Informationen über den Zweck und die Verwendung der erhobenen Daten enthalten muss. Ebenso verpflichtend ist der Hinweis in dem Anmeldeformular, in dem User informiert werden, dass sie ihre Einwilligung zum Newsletter jederzeit widerrufen können.

8. Vertrag mit dem Webhoster!

Der Webhoster (Provider) stellt die Website bereit. Wird nur der Internetzugang bereitgestellt und keine personenbezogenen Daten verarbeitet sind keine weiteren Schritte nötig. Werden aber von dem Webhoster zusätzliche Aufgaben wie zum Beispiel die E-Mail Verwaltung und Archivierung übernommen, dann ist es nötig mit diesem einen Vertrag zur Auftragsverarbeitung zu schließen. Die Verträge zur Auftragsbearbeitung müssen immer dann abgeschlossen werden, wenn personenbezogene Daten von einem Dienstleister verarbeitet werden. So ein Vertrag regelt den Umgang mit den personenbezogenen Daten. Er soll gewährleisten, dass die Daten nur zu dem Zwecke verwendet werden, zu dem sie erhoben wurden.