Eine Hilfestellung um Ihre Website DSGVO-konform zu gestalten
Finden Sie in 11 Schritten heraus, ob Ihre Website DSGVO-konform ist.
Sie müssen einer Person, welche Ihre Daten preisgibt, darüber informieren wer der Verantwortliche ist. Sollte es zu Problemen mit personenbezogenen Daten kommen, muss ersichtlich sein wer in Ihrer Organization zu kontaktieren ist.
Der Verantwortliche ist in der Regel eine juristische Person und keine natürlich Person. Dies bedeutet, dass in der Regel die Organization hinter der Website der Verantwortliche ist.
Die Bereitstellung der Email Adresse des Verantwortlichen erfüllt diesen Punkt.
[Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person]Es muss einen Zweck bzw. Grund für die Sammlung der personenbezogenen Daten geben. DSGVO-gemäß ist es einer Organization nicht erlaubt personenbezogene Daten zu sammeln, welche sie nicht benötigt. Dies wird in der Regel als „Datenminimierung“ oder „Datensparsamkeit“ bezeichnet.
Wenn Sie Kunden oder potentielle Kunden um deren Email Adresse bitten, dann müssen Sie jene darüber informieren, dass der Grund hierfür die Kontaktaufnahme ist. Dieser Umstand mag selbstverständlich erscheinen, dennoch muss auf Ihrer Website ersichtlich sein, dass der Grund für das Einfordern der Email Adresse die Kontaktaufnahme ist. Dies geschieht, damit Organizationen nicht ohne legitimen Interesse personenbezogene Daten sammeln.
Dies trifft auch zu, wenn es sich um den Namen einer Person, der IP-Adresse, der Rechnungsanschrift etc handelt. Sobald es sich um personenbezogene Daten handelt, müssen Sie für das Sammeln der Daten einen Grund angeben.
[Artikel 5 §1b & §1c – Grundsätze für die Verarbeitung personenbezogener Daten]Sobald Sie den Grund für die Datensammlung nennen, müssen Sie auch die rechtliche Grundlage hierfür nennen.
Es gibt 6 rechtliche Grundlagen gemäß der DSGVO, jene sind:
Für Websiten sind die häufigsten rechtlichen Grundlagen: Einwilligung, vertragliche Verpflichtung und legitimes Interesse. In äußerst seltenen Fällen finden die anderen 3 rechtlichen Grundlagen für eine Website Anwendung.
[Artikel 6 – Rechtmäßigkeit der Verarbeitung]Sie müssen der Person, von welcher Sie die Daten einholen, bekannt geben, ob die personenbezogenen Daten an andere Organizationen weitergegeben oder ob jene innerhalb Ihrer Organization bleiben werden. In der Regel werden die Daten innerhalb Ihrer Organization bleiben, aber dennoch gibt es Situationen, wenn Sie die Daten andere Organizationen weitergeben müssen. Dies geschieht zu meist im Zusammenhang mit Marketing und Werbeaktivitäten.
Wenn Ihre Organization Daten sammelt, welche an andere Organizationen weitergegeben werden, dann müssen Sie hierüber informieren. Diese Angabe kann/sollte Teil Ihrer Datenschutzerklärung sein.
[Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person]Zum Zeitpunkt der Datensammlung müssen Sie auch über die Speicherdauer informieren. Die Speicherdauer kann häufig unbestimmt sein, bspw. wenn dies nicht absehbar ist. Die Dauer kann aber auch bestimmt sein, wenn Sie bspw. eine rechtliche Verpflichtung haben, so bspw. bei Angestelltendaten oder Geschäftsabwickelungen zu Steuerzwecken etc.
Sie können die Daten auch so lange speichern bis eine Person nicht Ihr Recht auf Vergessen (Löschung der Daten) geltend macht, bspw. bei einer Newsletterabmeldung. In solchen Fällen können die Daten entweder gelöscht oder anonymisiert werden. Bitte beachten Sie, dass eines der Grundsätze der DSGVO die Datenminimierung ist: Sammeln Sie nur Daten, welche die Organization benötigt (siehe Punkt 2).
[Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person] [Artikel 14 – Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden]Wenn Ihre Website personenbezogene Daten sammelt, dann müssen Sie die Personen über Ihre Rechte nach der DSGVO informieren. Diese Rechte umfassen:
Das Bereitstellen der Informationen über die Rechte einer Person ist nur ein Schritt für eine DSGVO-konforme Website. Es darf nicht außer Acht gelassen werden, dass Sie jederzeit einer Anfrage bezüglich dieser Recht nachkommen können müssen.
[Kapitel 3 des DSGVO – Rechte der betroffenen Person] [Artikel 77 – Recht auf Beschwerde bei einer Aufsichtsbehörde]Der Artikel 25 der DSGVO betrifft ein breites Spektrum. Es werden viele Bücher zu den Themen „Privacy by Design and Privacy by Default“
(Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) veröffentlicht, wie auch neue Software.
In Zusammenhang mit einer Website, welche aus den Gegebenheiten Ihrer Organization heraus entsteht,
können Sie einige Dinge unternehmen, um dieses Prinzip umzusetzen.
ANMERKUNG: SSL/TLS Zertifikate werden nicht ausdrücklich in der DSGVO genannt, aber Sie sollten dennoch standardmäßig eingesetzt werden.
Was bedeutet Punkt 3 genau? Finden Sie Hilfsmittel, wie bspw. TRUENDO, die auf den Prinzipien der DSGVO aufgebaut sind. Die Kosten für jene Hilfsmittel sollten im Rahmen Ihrer Möglichkeiten liegen. Der Grundgedanke dieses Prinzips ist, dass Sie initiativ die besten Produkte finden, welche Ihnen zu einer DSGVO-Konformität verhelfen.
[Artikel 25 “Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” siehe §1]Dies ist ein bedeutendes Thema innerhalb der DSGVO bzw. Datenschutzwelt, da Cookies personenbezogene Daten sammeln können, welche wiederum dazu genutzt werden können, um Profile Ihrer Online-Aktivitäten zu erstellen. Hier überlappen sich die DSGVO und die ePrivacy Richtlinie.
Um es knapp zu halten: Wenn Ihre Website Cookies nutzt, dann müssen Sie EU-Bürger darüber informieren, dass die Website Cookies nutzt. (siehe den Link zum Cookie Gesetz weiter unten)
Marketing Cookies: Dies sind in der Regel optionale Cookies, dementsprechend benötigen Sie eine Einwilligung um Marketing Cookies setzen zu dürfen. Eine bloße Information reicht hier nicht aus.
Statistik Cookies: Diese Art der Cookies können Sie automatisch setzen, insofern die Daten sofort anonymisiert werden. Google Analytics bietet diese Funktion an. Sollten die Daten nicht anonymisiert werden, dann sollten Sie um sicher zu gehen eine Einwilligung vorher einholen.
Präferenz Cookies: Für diese Art der Cookies benötigen Sie die Einwilligung der Websitebesucher, da die Präferenzen eines Websitebesuchers benutzt werden können, um ein Profil zu erstellen. Sie müssen in diesem Fall unbedingt die Einwilligung Ihrer Websitebesucher einholen.
Allgemein bitten Websiten um die „Akzeptenz von Cookies“, allerdings sehen Sie nie eine Möglichkeit zum Deaktivieren der Cookies.
Strikt ausgelegt, verstößt hiermit eine jede Website gegen die DSGVO auf diese Weise, insofern Sie die gesammelten Daten
nicht sofort anonymisiert werden. Dieses Vorgehen entspricht nicht Artikel 7 der DSGVO.
Wenn ein Cookie gesetzt wird, so muss eine ebenso einfache Widerrufsmöglichkeit gegeben sein, wie Sie zur Einwilligung gegeben war.
Das ist Alles!
Es gibt viele Datenschutzerklärungen, welche erklären wie man die Browsereinstellungen so verändert, dass Cookies nicht gesetzt werden können. Dies entspricht ebenfalls nicht der DSGVO. Dies wäre nicht ein ebenso einfaches Vorgehen, wie der Klick zum Akzeptieren und es beeinflusst zu dem das Nutzungserlebnis des Websitebesuchers auch auf anderen Websiten.
ANMERKUNG: Um es klar zu stellen die DSGVO ist kein Cookie Gesetz. Die ePrivacy Richtlinie ist das „Cookie Gesetz“, somit ist der Grund für den Cookie-Hinweis die ePrivacy Richtlinie. Die DSGVO überlappt sich aber mit der ePrivacy Richtlinie, siehe hierzu Erwägungsgrund 30 der DSGVO.
[Artikel 7 – Einwilligung] [Erwägungsgrund 30 der DSGVO] [ePrivacy Richtlinie: Erwägungsgrund 25 = „Cookie Gesetz“]Wenn Sie Einbindungen von Sozialen Medien, wie YouTube Videos, Online Karten, Like-Buttons, Teilen-Buttons, posten auf Soziale Medien (bspw. für Tweets oder Instagram Posts) oder Kommentarboxen auf Ihrer Website nutzen, dann werden die Daten Ihrer Websitebesucher an die Soziale Medien Dienste gesendet, um die Inhalte anzuzeigen.
Dies bedeutet im Einzelnen, dass Ihre Website Browser Informationen an eine 3. Partei sendet
(personenbezogene Daten in der Form von IP Adressen und möglicherweise Tracking Daten).
Ihre Website muss einem Websitebesucher darauf hinweisen bevor diese Inhalte auf Ihrer Website geladen werden und
nur dann ist Ihre Website DSGVO-konform (in Hinblick auf Einbettungen von Sozialen Medien).
Wenn Ihre Website die Möglichkeit bietet über Google, Facebook, Twitter, Instagram, Pintrest, Linkedin oder jedwede anderen Dienst
sich einzuloggen, dann sammeln Sie bestimmte Daten Ihrer Websitebesucher. Dies kann eine Email Adresse, der Name, das Geburtsjahr,
die Telefonnummer, ein Profilbild etc sein.
Unabhängig davon welche Daten dies genau für den Login sind, Sie müssen Ihre Websitebesucher darüber informieren,
weshalb Sie diese Daten benötigen, wie auch die rechtliche Grundlage nennen, wie lange die Daten gespeichert werden,
als auch über die Rechte nach der DSGVO informieren.
Bitte beachten Sie, dass Sie nur die benötigten Daten anfordern und nicht mehr (Datenminimierung).
[Artikel 14 – Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden]Dies ist potentiell die schwierigste Aufgaben um eine Website DSGVO-koform zu gestalten. Artikel 12 sagt folgendes aus:
Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikel 13 und 14 […] in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, […].
Mit dem richtigen Hilfsmittel kann dies sehr einfach sein und Sie können problemfrei diesen Punkt in der DSGVO Websiten Checkliste abhacken.
[Artikel 12 -Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person]Die Nutzung des richtigen Hilfsmittel wird Ihr Leben vereinfachen. TRUENDO deckt alle Punkte dieser DSGVO Webseiten Checkliste ab (mit der Ausnahme der Bereitstellung von SSL/TLS Zertifikaten). Um Ihre Website DSGVO-konform zu machen, erstellen Sie einen Account bei TRUENDO und bieten Sie Ihren Websitebesuchern eine einfach verständliche DSGVO-konforme Datenschutzerklärung.
HAFTUNGSAUSSCHLUSS:
Diese „DSGVO Websiten Checkliste“ ist keine rechtliche Beratung und ist nicht von einem Anwalt verfasst worden.
Es handelt sich um die Meinung des Autors. Der Autor empfiehlt, dass Sie rechtliche Beratung in Bezug auf DSGVO und ePrivacy Konformität
Ihrer Website, wie auch im Allgemeinen, zu Rate ziehen. Der Artikel ist gewissenhaft und mit der Intention verfasst worden
den Leser mit aktuellen und korrekten Informationen zu versorgen. Sollten Sie Bedenken oder Anmerkungen zum Inhalt dieser
„DSGVO Websiten Checkliste“ haben, dann schreiben Sie bitte eine Email an TRUENDO.
Juli 2020