DSGVO Webseiten Checkliste

Eine Hilfestellung um Ihre Webseite DSGVO-konform zu gestalten

Eine Checkliste um Ihre Webseite in 11 Schritten DSGVO-konform zu gestalten:

 

1) Bereit stellen der Identität und der Kontaktmöglichkeiten des Verantwortlichen

2) Bekanntgabe des Zweckes der Datensammlung

3) Nennung der rechtlichen Grundlage für die Datensammlung

4) Bekanntgabe wer die personenbezogenen Daten erhalten wird

5) Anzeige der Speicherdauer der personenbezogenen Daten

6) Anzeigen welche Rechte eine Person nach der DSGVO besitzt

7) Privacy by Design und by Default implementieren

8) Einwilligung für Cookies and Tracking Möglichkeiten einholen

9) Einwilligung für Einbindungen von Sozialen Medien und Online Karten einholen

10) Erlauben von Logins mittels Sozialen Medien – Bekanntgabe der personenbezogenen Daten von den Sozialen Medien Dienstleistern

11) All die Informationen in einer einfach verständlichen Form präsentieren

Die einfachste Möglichkeit diese Informationen bekannt zugeben, ist mittels einer Datenschutzerklärung.

Die BESTE Möglichkeit ist dies mit einer einfach verständlichen Datenschutzerklärung.

1. Bereit stellen der Identität und der Kontaktmöglichkeiten des Verantwortlichen

Sie müssen einer Person, welche Ihre Daten preisgibt, darüber informieren wer der Verantwortliche ist. Sollte es zu Problemen mit personenbezogenen Daten kommen, muss ersichtlich sein wer in Ihrer Organisation zu kontaktieren ist.

Der Verantwortliche ist in der Regel eine juristische Person und keine natürlich Person. Dies bedeutet, dass in der Regel die Organisation hinter der Webseite der Verantwortliche ist.

Die Bereitstellung der Email Adresse des Verantwortlichen erfüllt diesen Punkt.

[Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person]

2. Bekanntgabe des Zweckes der Datensammlung

Es muss einen Zweck bzw. Grund für die Sammlung der personenbezogenen Daten geben. Der DSGVO-gemäß ist es einer Organisation nicht erlaubt personenbezogene Daten zu sammeln, welche sie nicht benötigt. Dies wird in der Regel als „Datenminimierung“ oder „Datensparsamkeit“ bezeichnet.

Wenn Sie Kunden oder potentielle Kunden um deren Email Adresse bitten, dann müssen Sie den Kunden darüber informieren, dass der Grund hierfür die Kontaktaufnahme ist. Dieser Umstand mag selbstverständlich erscheinen, dennoch muss auf Ihrer Webseite ersichtlich sein, dass der Grund für das Einfordern der Email Adresse die Kontaktaufnahme ist. Dies geschieht, damit Organisationen nicht ohne legitimen Interesse personenbezogene Daten sammeln.

Dies trifft auch zu, wenn es sich um den Namen einer Person, der IP-Adresse, der Rechnungsanschrift etc handelt. Sobald es sich um personenbezogene Daten handelt, müssen Sie für das Sammeln der Daten einen Grund angeben.

[Artikel 5 §1b & §1c – Grundsätze für die Verarbeitung personenbezogener Daten]

3. Nennung der rechtlichen Grundlage für die Datensammlung

Sobald Sie den Grund für die Datensammlung nennen, müssen Sie auch die rechtliche Grundlage hierfür nennen.

Es gibt 6 rechtliche Grundlagen gemäß der DSGVO, jene sind:

1) Einwilligung – eine Person muss einwilligen, damit Ihre personenbezogene Daten gesammelt werden können. (Relevant für die Webseiten Konformität)

2) Vertragliche Verpflichtung – bspw: Sie betreiben einen Onlineshop und verkaufen Kleidung um nun die vertragliche Verpflichtung der Auslieferung nachzukommen, benötigen Sie gewisse personenbezogene Daten. (Relevant für die Webseiten Konformität)

3) Legitimes Interesse – Die Sammlung der IP-Adressen der Personen, welche Ihre Webseite besuchen, kann hierzu zählen, bspw: Zum Verhindern von DDOS Angriffen. (Relevant für die Webseiten Konformität)

4) Rechtliche Verpflichtung – In gewissen Fällen sind Sie rechtliche dazu verpflichtet personenbezogene Daten einzuholen, bspw wenn Sie eine Person einstellen wollen.

5) Verarbeitung aus lebenswichtigen Interesse – bspw: Sie haben personenbezogene Daten für lebensrettende Maßnahme gesammelt. (Anwendung: äußerst selten)

6) Öffentliches Interesse – die Überwachung des öffentlichen Raumes wie Einkaufshäusern oder Bahnstationen. Dies geschieht zum Wohle und der Sicherheit der Öffentlichkeit, somit im öffentlichen Interesse (Anwendung: äußerst selten).

Für Webseiten sind die häufigsten rechtlichen Grundlagen: Einwilligung, vertragliche Verpflichtung und legitimes Interesse. In äußerst seltenen Fällen finden die anderen 3 rechtlichen Grundlagen für eine Webseite Anwendung.

[Artikel 6 – Rechtmäßigkeit der Verarbeitung]

4. Bekanntgabe wer die personenbezogenen Daten erhalten wird

Sie müssen der Person, von welcher Sie die Daten einholen, bekannt geben, ob die personenbezogenen Daten an andere Organisationen weitergegeben oder ob jene innerhalb Ihrer Organisation bleiben werden. In der Regel werden die Daten innerhalb Ihrer Organisation bleiben, aber dennoch gibt es Situationen, wenn Sie die Daten andere Organisationen weitergeben müssen. Dies geschieht zu meist im Zusammenhang mit Marketing und Werbeaktivitäten.

Wenn Ihre Organisation Daten sammelt, welche an andere Organisationen weitergegeben werden, dann müssen Sie hierüber informieren. Diese Angabe kann/sollte Teil Ihrer Datenschutzerklärung sein.

[Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person]

5. Anzeige der Speicherdauer der personenbezogenen Daten

Zum Zeitpunkt der Datensammlung müssen Sie auch über die Speicherdauer informieren. Die Speicherdauer kann häufig unbestimmt sein, bspw. wenn dies nicht absehbar ist. Die Dauer kann aber auch bestimmt sein, wenn Sie bspw. eine rechtliche Verpflichtung haben, so bspw. bei Angestelltendaten oder Geschäftsabwickelungen zu Steuerzwecken etc.

Sie können die Daten auch so lange speichern bis eine Person nicht Ihr Recht auf Vergessen (Löschung der Daten) geltend macht, bspw. bei einer Newsletterabmeldung. In solchen Fällen können die Daten entweder gelöscht oder anonymisiert werden. Bitte beachten Sie, dass eines der Grundsätze der DSGVO die Datenminimierung ist: Sammeln Sie nur Daten, welche die Organisation benötigt (siehe Punkt 2).

[Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person]
[Artikel 14 – Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden]

6. Anzeigen welche Rechte eine Person nach der DSGVO besitzt

Wenn Ihre Webseite personenbezogene Daten sammelt, dann müssen Sie die Personen über Ihre Rechte nach der DSGVO informieren. Diese Rechte umfassen:

1) Das Recht auf Zugriffe

2) Recht auf Berichtigung

3) Recht auf Löschung („Recht auf Vergessenwerden“)

4) Recht auf Einschränkung der Verarbeitung

5) Recht auf Datenübertragbarkeit

6) Widerspruchsrecht

7) Recht auf Beschwerde bei den Datenschutzbehörden

8) Recht zu wissen, ob die Daten zum Profiling verwendet werden (nur wenn die Daten zum Profiling verwendet werden, bspw. bei automatisierten Entscheidungen)

Das Bereitstellen der Informationen über die Rechte einer Person ist nur ein Schritt für eine DSGVO-konforme Webseite. Es darf nicht außer Acht gelassen werden, dass Sie jederzeit einer Anfrage bezüglich dieser Recht nachkommen können müssen.

[Kapitel 3 des DSGVO – Rechte der betroffenen Person]
[Artikel 77 – Recht auf Beschwerde bei einer Aufsichtsbehörde]

7. Privacy by Design and by Default für Webseiten.

Der Artikel 25 der DSGVO betrifft ein breites Spektrum. Es werden viele Bücher zu den Themen „Privacy by Design and Privacy by Default“ (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) veröffentlicht, wie auch neue Software.

In Zusammenhang mit einer Webseite, welche aus den Gegebenheiten Ihrer Organisation heraus entsteht, können Sie einige Dinge unternehmen um dieses Prinzip umzusetzen.

1) Sammeln Sie nur Daten, welche Ihre Organisation zum Funktionieren benötigt (Dies sollte Ihre prinzipielles Vorgehen sein). Dies spiegelt sich in der DSGVO unter dem Begriff Datenminimierung wieder.

2) Nutzen Sie gültige SSL/TLS Zertifikate, so dass die Datenübertragung verschlüsselt stattfinden kann.
ANMERKUNG: SSL/TLS Zertifikate werden nicht ausdrücklich in der DSGVO genannt, aber Sie sollten dennoch standardmäßig eingesetzt werden.

3) Finden Sie die neusten und besten Möglichkeiten, selbstverständlich Ihrem Budget entsprechend, um das Prinzip Privacy by Design and Default umzusetzen.

Was bedeutet Punkt 3 genau? Finden Sie Hilfsmittel, wie bspw. TRUENDO, die auf den Prinzipien der DSGVO aufgebaut sind. Die Kosten für jene Hilfsmittel sollten im Rahmen Ihrer Möglichkeiten liegen. Der Grundgedanke dieses Prinzips ist, dass Sie initiativ die besten Produkte finden, welche Ihnen zu einer DSGVO-Konformität verhelfen.

[Artikel 25 “Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” siehe §1]

8. Einwilligung für Cookies and Tracking Möglichkeiten einholen

Dies ist ein bedeutendes Thema innerhalb der DSGVO bzw. Datenschutzwelt, da Cookies personenbezogene Daten sammeln können, welche wiederum dazu genutzt werden können um Profile Ihrer Online-Aktivitäten zu erstellen. Hier überlappen sich die DSGVO und die ePrivacy Richtlinie.

Um es knapp zu halten: Wenn Ihre Webseite Cookies nutzt, dann müssen Sie EU-Bürger darüber informieren, dass die Webseite Cookies nutzt. (siehe den Link zum Cookie Gesetz weiter unten)

Marketing Cookies: Dies sind in der Regel optionale Cookies, dementsprechend benötigen eine Einwilligung um Marketing Cookies setzen zu dürfen. Eine bloße Information reicht hier nicht aus.

Statistik Cookies: Diese Art der Cookies können Sie automatisch setzen, insofern die Daten sofort anonymisiert werden. Google Analytics bietet diese Funktion an. Sollten die Daten nicht anonymisiert werden, dann sollten Sie um sicher zu gehen eine Einwilligung vorher einholen.

Präferenz Cookies: Für diese Art der Cookies benötigen Sie die Einwilligung der Webseitenbesucher, da die Präferenzen eines Webseitenbesucher benutzt werden können um ein Profil zu erstellen. Sie müssen in diesem Fall unbedingt die Einwilligung Ihrer Webseitenbesucher einholen.

Allgemein bitten Webseiten Sie um die „Akzeptenz von Cookies“, allerdings sehen Sie nie eine Möglichkeit zum Deaktivieren der Cookies. Strikt ausgelegt, verstößt hiermit eine jede Webseite gegen die DSGVO auf diese Weise, insofern Sie die gesammelten Daten nicht sofort anonymisiert. Dieses Vorgehen entspricht nicht Artikel 7 der DSGVO.
Wenn ein Cookie gesetzt wird, so muss eine ebenso einfache Widerrufsmöglichkeit gegeben sein, wie Sie zur Einwilligung möglich war. Das ist Alles!

Es gibt viele Datenschutzerklärungen, welche erklären wie man die Browsereinstellungen so verändert, dass Cookies nicht gesetzt werden können. Dies entspricht ebenfalls nicht der DSGVO. Dies wäre nicht ein ebenso einfaches Vorgehen, wie der Klick zum Akzeptieren und es beeinflusst zu dem das Nutzungserlebnis des Webseitenbesuchers auch auf anderen Webseiten.

ANMERKUNGUm es klar zu stellen die DSGVO ist kein Cookie Gesetz. Die ePrivacy Richtlinie ist das „Cookie Gesetz“, somit ist der Grund für den Cookie-Hinweis die ePrivacy Richtlinie. Die DSGVO überlappt sich aber mit der ePrivacy Richtlinie, siehe hierzu Erwägungsgrund 30 der DSGVO.

[Artikel 7 – Einwilligung]
[Erwägungsgrund 30 der DSGVO]
[ePrivacy Richtlinie: Erwägungsgrund 25 = „Cookie Gesetz“]

9. Einwilligung für Einbindungen von Sozialen Medien und Online Karten einholen

Wenn Sie Einbindungen von Sozialen Medien, wie YouTube Videos, Online Karten, Like-Buttons, Teilen-Buttons, posten auf Soziale Medien (bspw. für Tweets oder Instagram Posts) oder kommentar Boxen auf Ihrer Webseite nutzen, dann werden die Daten Ihrer Webseitenbesucher an die Soziale Medien Dienste gesendet, um die Inhalte anzuzeigen.

Dies bedeutet im Einzelnen, dass Ihre Webseite Browser Informationen an eine 3. Partei (personenbezogene Daten in der Form von IP Adressen und möglicherweise Tracking Daten).
Ihre Webseite muss einem Webseitenbesucher darauf hinweisen bevor diese Inhalte auf Ihrer Webseite geladen werden und nur dann ist Ihre Webseite DSGVO-konform (in Hinblick auf Einbettungen von Sozialen Medien).

[Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person]

10. Erlauben von Logins mittels Sozialen Medien – Bekanntgabe der personenbezogenen Daten von den Sozialen Medien Dienstleistern

Wenn Ihre Webseite die Möglichkeit bietet über Google, Facebook, Twitter, Instagram, Pintrest, Linkedin oder jedwede anderen Dienst sich einzuloggen, dann sammeln Sie bestimmte Daten Ihrer Webseitenbesucher. Dies kann eine Email Adresse, der Name, das Geburtsjahr, die Telefonnummer, ein Profilbild etc sein.
Unabhängig davon welche Daten dies genau für den Login sind, Sie müssen Ihre Webseitenbesucher darüber informieren, weshalb Sie diese Daten benötigen, wie auch die rechtliche Grundlage nennen, wie lange die Daten gespeichert werden, als auch über die Rechte nach der DSGVO informieren.

Bitte beachten Sie, dass Sie nur die benötigten Daten anfordern und nichts mehr (Datenminimierung).

[Artikel 14 – Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden]

11. All die Informationen in einer einfach verständlichen Form präsentieren

Dies ist potentiell die schwierigste Aufgaben um eine Webseite DSGVO-koform zu gestalten. Artikel 12 sagt folgendes aus:

Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikel 13 und 14 […] in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, […].

Mit dem richtigen Hilfsmittel kann dies sehr einfach sein und Sie können problemfrei diesen Punkt in der DSGVO Webseiten Checkliste abhacken.

[Artikel 12 -Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person]

Zusammenfassung: DSGVO Webseiten Checkliste

1) Ihre Webseite muss die Kontaktinformationen und die Identität des Verantwortlichen bereit stellen. (Der Verantwortliche ist häufig die Organisation bzw. der Besitzer der Webseite selbst)

2) Bekanntgabe des Zweckes der Datensammlung (Sammeln Sie nur was unbedingt nötig ist – Datenminimierung)

3) Nennung der rechtlichen Grundlage für die Datensammlung (wählen Sie einen 1 von 6 rechtlichen Grundlagen, 3 werden in der Regel im Zusammenhang mit Webseiten gewählt)

4) Bekanntgabe wer die personenbezogenen Daten erhalten wird (Soziale Medien Einbettungen bedeuten, dass Sie Informationen an eine 3. Partei weitergeben).

5) Sie müssen Ihre Webseitenbesucher darüber informieren wie lange die Daten gespeichert werden.

6) Sie müssen über die Rechte nach der DSGVO zum Zeitpunkt der Datensammlung informieren

7) Versuchen Sie die neuste(n) und beste(n) Software, Hardware und Informationen in Bezug auf DSGVO Konformität zu nutzen, aber bleiben Sie innerhalb Ihrer finanziellen Möglichkeiten.

8) Alle Cookies, welche nicht strikt erforderlich oder deren Daten sofort anonymisiert werden, benötigen eine Einwilligung Ihrer Webseitenbesucher.

9) Einbettungen von Sozialen Medien bedeuten, dass Sie personenbezogene Daten an 3. weiterleiten. Ein Webseitenbesucher muss hierüber informiert werden und dem im Vorfeld zustimmen.

10) Logins über Soziale Medien – Ihre Webseite muss darüber informieren, welche Daten gesammelt werden und zu welchem Zweck.

11) All diese in einer einfach verständlichen Form zu präsentieren ist mit der Nutzung des richtigen Hilfsmittels möglich!

Die Nutzung des richtigen Hilfsmittel wird Ihr Leben vereinfachen. TRUENDO deckt alle Punkte dieser DSGVO Webseiten Checkliste ab (mit der Ausnahme der Bereitstellung von SSL/TLS Zertifikaten).
Um Ihre Webseite DSGVO-konform zu machen, erstellen Sie einen Account bei TRUENDO und bieten Sie Ihren Webseitenbesuchern eine einfach verständliche DSGVO-konforme Datenschutzerklärung.

Wenn richtig und korrekt umgesetzt,
dann wird TRUENDO Ihnen helfen Ihre Webseite DSGVO-konform zu gestalten,
in dem eine einfach verständliche
sowohl DSGVO als auch ePrivacy-konforme Datenschutzerklärung erstellt wird.

HAFTUNGSAUSCHLUSS:
Diese „DSGVO Webseiten Checkliste“ ist keine rechtliche Beratung und ist nicht von einem Anwalt verfasst worden. Es handelt sich um die Meinung des Autors. Der Autor empfiehlt, dass Sie rechtliche Beratung in Bezug auf DSGVO und ePrivacy Konformität Ihrer Webseite, wie auch im Allgemeinen, zu erreichen. Der Artikel ist gewissenhaft und mit der Intention verfasst worden den Leser mit aktuellen und korrekten Informationen zu versorgen.
Sollten Sie Bedenken oder Anmerkungen zum Inhalt dieser „DSGVO Webseiten Checkliste“ haben, dann schreiben Sie bitte eine Email an TRUENDO.

November 2018