DSGVO Websiten Checkliste

Eine Checkliste um Ihre Website in 11 Schritten DSGVO-konform zu gestalten:

Finden Sie in 11 Schritten heraus, ob Ihre Website DSGVO-konform ist.

1. Bereitstellen der Identität und der Kontaktmöglichkeiten des Verantwortlichen
2. Bekanntgabe des Zweckes der Datensammlung
3. Nennung der rechtlichen Grundlage für die Datensammlung
4. Bekanntgabe wer die personenbezogenen Daten erhalten wird
5. Anzeige der Speicherdauer der personenbezogenen Daten
6. Anzeigen, welche Rechte eine Person nach der DSGVO besitzt
7. Privacy by Design und by Default implementieren
8. Einwilligung für Cookies and Tracking Möglichkeiten einholen
9. Einwilligung für Einbindungen von Sozialen Medien und Online Karten einholen
10. Erlauben von Logins mittels Sozialen Medien – Bekanntgabe der personenbezogenen Daten von den Sozialen Medien Dienstleistern
11. All diese Informationen in einer einfach verständlichen Form präsentieren

1. Bereitstellen der Identität und der Kontaktmöglichkeiten des Verantwortlichen

Sie müssen einer Person, welche Ihre Daten preisgibt, darüber informieren wer der Verantwortliche ist. Sollte es zu Problemen mit personenbezogenen Daten kommen, muss ersichtlich sein wer in Ihrer Organisation zu kontaktieren ist.

Der Verantwortliche ist in der Regel eine juristische Person und keine natürlich Person. Dies bedeutet, dass in der Regel die Organisation hinter der Website der Verantwortliche ist.

Die Bereitstellung der Email Adresse des Verantwortlichen erfüllt diesen Punkt.

[Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person]

2. Bekanntgabe des Zweckes der Datensammlung

Es muss einen Zweck bzw. Grund für die Sammlung der personenbezogenen Daten geben. DSGVO-gemäß ist es einer Organisation nicht erlaubt personenbezogene Daten zu sammeln, welche sie nicht benötigt. Dies wird in der Regel als „Datenminimierung“ oder „Datensparsamkeit“ bezeichnet.

Wenn Sie Kunden oder potentielle Kunden um deren Email Adresse bitten, dann müssen Sie jene darüber informieren, dass der Grund hierfür die Kontaktaufnahme ist. Dieser Umstand mag selbstverständlich erscheinen, dennoch muss auf Ihrer Website ersichtlich sein, dass der Grund für das Einfordern der Email Adresse die Kontaktaufnahme ist. Dies geschieht, damit Organisationen nicht ohne legitimen Interesse personenbezogene Daten sammeln.

Dies trifft auch zu, wenn es sich um den Namen einer Person, der IP-Adresse, der Rechnungsanschrift etc handelt. Sobald es sich um personenbezogene Daten handelt, müssen Sie für das Sammeln der Daten einen Grund angeben.

[Artikel 5 §1b & §1c – Grundsätze für die Verarbeitung personenbezogener Daten]

3. Nennung der rechtlichen Grundlage für die Datensammlung

Sobald Sie den Grund für die Datensammlung nennen, müssen Sie auch die rechtliche Grundlage hierfür nennen.
Es gibt 6 rechtliche Grundlagen gemäß der DSGVO, jene sind:

1. Einwilligung – eine Person muss einwilligen, damit Ihre personenbezogene Daten gesammelt werden können. (Relevant für die Websiten Konformität)
2. Vertragliche Verpflichtung – bspw: Sie betreiben einen Onlineshop und verkaufen Kleidung um nun die vertragliche Verpflichtung der Auslieferung nachzukommen, benötigen Sie gewisse personenbezogene Daten. (Relevant für die Websiten Konformität)
3. Legitimes Interesse – Die Sammlung der IP-Adressen der Personen, welche Ihre Website besuchen, kann hierzu zählen, bspw: Zum Verhindern von DDOS Angriffen. (Relevant für die Websiten Konformität)
4. Rechtliche Verpflichtung – In gewissen Fällen sind Sie rechtlich dazu verpflichtet personenbezogene Daten einzuholen, bspw wenn Sie eine Person einstellen wollen.
5. Verarbeitung aus lebenswichtigen Interesse – bspw: Sie haben personenbezogene Daten für lebensrettende Maßnahme gesammelt. (Anwendung: äußerst selten)
6. Öffentliches Interesse – die Überwachung des öffentlichen Raumes wie Einkaufshäuser oder Bahnstationen. Dies geschieht zum Wohle und der Sicherheit der Öffentlichkeit, somit im öffentlichen Interesse (Anwendung: äußerst selten).

Für Websiten sind die häufigsten rechtlichen Grundlagen: Einwilligung, vertragliche Verpflichtung und legitimes Interesse. In äußerst seltenen Fällen finden die anderen 3 rechtlichen Grundlagen für eine Website Anwendung.

[Artikel 6 – Rechtmäßigkeit der Verarbeitung]

4. Bekanntgabe wer die personenbezogenen Daten erhalten wird

Sie müssen der Person, von welcher Sie die Daten einholen, bekannt geben, ob die personenbezogenen Daten an andere Organisationen weitergegeben oder ob jene innerhalb Ihrer Organisation bleiben werden. In der Regel werden die Daten innerhalb Ihrer Organisation bleiben, aber dennoch gibt es Situationen, wenn Sie die Daten andere Organisationen weitergeben müssen. Dies geschieht zu meist im Zusammenhang mit Marketing und Werbeaktivitäten.

Wenn Ihre Organisation Daten sammelt, welche an andere Organisationen weitergegeben werden, dann müssen Sie hierüber informieren. Diese Angabe kann/sollte Teil Ihrer Datenschutzerklärung sein.

[Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person]

5. Anzeige der Speicherdauer der personenbezogenen Daten

Zum Zeitpunkt der Datensammlung müssen Sie auch über die Speicherdauer informieren. Die Speicherdauer kann häufig unbestimmt sein, bspw. wenn dies nicht absehbar ist. Die Dauer kann aber auch bestimmt sein, wenn Sie bspw. eine rechtliche Verpflichtung haben, so bspw. bei Angestelltendaten oder Geschäftsabwickelungen zu Steuerzwecken etc.

Sie können die Daten auch so lange speichern bis eine Person nicht Ihr Recht auf Vergessen (Löschung der Daten) geltend macht, bspw. bei einer Newsletterabmeldung. In solchen Fällen können die Daten entweder gelöscht oder anonymisiert werden. Bitte beachten Sie, dass eines der Grundsätze der DSGVO die Datenminimierung ist: Sammeln Sie nur Daten, welche die Organisation benötigt (siehe Punkt 2).

[Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person] [Artikel 14 – Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden]

6. Anzeigen welche Rechte eine Person nach der DSGVO besitzt

Wenn Ihre Website personenbezogene Daten sammelt, dann müssen Sie die Personen über Ihre Rechte nach der DSGVO informieren. Diese Rechte umfassen:

1. Das Recht auf Zugriff
2. Recht auf Berichtigung
3. Recht auf Löschung („Recht auf Vergessenwerden“)
4. Recht auf Einschränkung der Verarbeitung
5. Recht auf Datenübertragbarkeit
6. Widerspruchsrecht
7. Recht auf Beschwerde bei den Datenschutzbehörden
8. Recht zu wissen, ob die Daten zum Profiling verwendet werden (nur wenn die Daten zum Profiling verwendet werden, bspw. bei automatisierten Entscheidungen)

Das Bereitstellen der Informationen über die Rechte einer Person ist nur ein Schritt für eine DSGVO-konforme Website. Es darf nicht außer Acht gelassen werden, dass Sie jederzeit einer Anfrage bezüglich dieser Recht nachkommen können müssen.

[Kapitel 3 des DSGVO – Rechte der betroffenen Person] [Artikel 77 – Recht auf Beschwerde bei einer Aufsichtsbehörde]

7. Privacy by Design and by Default für Websiten.

Der Artikel 25 der DSGVO betrifft ein breites Spektrum. Es werden viele Bücher zu den Themen „Privacy by Design and Privacy by Default“ (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) veröffentlicht, wie auch neue Software.
In Zusammenhang mit einer Website, welche aus den Gegebenheiten Ihrer Organisation heraus entsteht, können Sie einige Dinge unternehmen, um dieses Prinzip umzusetzen.

1. Sammeln Sie nur Daten, welche Ihre Organisation zum Funktionieren benötigt (Dies sollte Ihr prinzipielles Vorgehen sein). Dies spiegelt sich in der DSGVO unter dem Begriff Datenminimierung wieder.
2. Nutzen Sie gültige SSL/TLS Zertifikate, so dass die Datenübertragung verschlüsselt stattfinden kann.
   

   ANMERKUNG: SSL/TLS Zertifikate werden nicht ausdrücklich in der DSGVO genannt, aber Sie sollten dennoch standardmäßig eingesetzt werden.

3. Finden Sie die neusten und besten Möglichkeiten, selbstverständlich Ihrem Budget entsprechend, um das Prinzip Privacy by Design and Default umzusetzen.

Was bedeutet Punkt 3 genau? Finden Sie Hilfsmittel, wie bspw. TRUENDO, die auf den Prinzipien der DSGVO aufgebaut sind. Die Kosten für jene Hilfsmittel sollten im Rahmen Ihrer Möglichkeiten liegen. Der Grundgedanke dieses Prinzips ist, dass Sie initiativ die besten Produkte finden, welche Ihnen zu einer DSGVO-Konformität verhelfen.

[Artikel 25 “Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” siehe §1]

8. Einwilligung für Cookies and Tracking Möglichkeiten einholen

Dies ist ein bedeutendes Thema innerhalb der DSGVO bzw. Datenschutzwelt, da Cookies personenbezogene Daten sammeln können, welche wiederum dazu genutzt werden können, um Profile Ihrer Online-Aktivitäten zu erstellen. Hier überlappen sich die DSGVO und die ePrivacy Richtlinie.

Um es knapp zu halten: Wenn Ihre Website Cookies nutzt, dann müssen Sie EU-Bürger darüber informieren, dass die Website Cookies nutzt. (siehe den Link zum Cookie Gesetz weiter unten)

Marketing Cookies: Dies sind in der Regel optionale Cookies, dementsprechend benötigen Sie eine Einwilligung um Marketing Cookies setzen zu dürfen. Eine bloße Information reicht hier nicht aus.

Statistik Cookies: Diese Art der Cookies können Sie automatisch setzen, insofern die Daten sofort anonymisiert werden. Google Analytics bietet diese Funktion an. Sollten die Daten nicht anonymisiert werden, dann sollten Sie um sicher zu gehen eine Einwilligung vorher einholen.

Präferenz Cookies: Für diese Art der Cookies benötigen Sie die Einwilligung der Websitebesucher, da die Präferenzen eines Websitebesuchers benutzt werden können, um ein Profil zu erstellen. Sie müssen in diesem Fall unbedingt die Einwilligung Ihrer Websitebesucher einholen.

Allgemein bitten Websiten um die „Akzeptenz von Cookies“, allerdings sehen Sie nie eine Möglichkeit zum Deaktivieren der Cookies. Strikt ausgelegt, verstößt hiermit eine jede Website gegen die DSGVO auf diese Weise, insofern Sie die gesammelten Daten nicht sofort anonymisiert werden. Dieses Vorgehen entspricht nicht Artikel 7 der DSGVO.
Wenn ein Cookie gesetzt wird, so muss eine ebenso einfache Widerrufsmöglichkeit gegeben sein, wie Sie zur Einwilligung gegeben war. Das ist Alles!

Es gibt viele Datenschutzerklärungen, welche erklären wie man die Browsereinstellungen so verändert, dass Cookies nicht gesetzt werden können. Dies entspricht ebenfalls nicht der DSGVO. Dies wäre nicht ein ebenso einfaches Vorgehen, wie der Klick zum Akzeptieren und es beeinflusst zu dem das Nutzungserlebnis des Websitebesuchers auch auf anderen Websiten.

ANMERKUNG: Um es klar zu stellen die DSGVO ist kein Cookie Gesetz. Die ePrivacy Richtlinie ist das „Cookie Gesetz“, somit ist der Grund für den Cookie-Hinweis die ePrivacy Richtlinie. Die DSGVO überlappt sich aber mit der ePrivacy Richtlinie, siehe hierzu Erwägungsgrund 30 der DSGVO.

[Artikel 7 – Einwilligung] [Erwägungsgrund 30 der DSGVO] [ePrivacy Richtlinie: Erwägungsgrund 25 = „Cookie Gesetz“]

9. Einwilligung für Einbindungen von Sozialen Medien und Online Karten einholen

Wenn Sie Einbindungen von Sozialen Medien, wie YouTube Videos, Online Karten, Like-Buttons, Teilen-Buttons, posten auf Soziale Medien (bspw. für Tweets oder Instagram Posts) oder Kommentarboxen auf Ihrer Website nutzen, dann werden die Daten Ihrer Websitebesucher an die Soziale Medien Dienste gesendet, um die Inhalte anzuzeigen.

Dies bedeutet im Einzelnen, dass Ihre Website Browser Informationen an eine 3. Partei sendet (personenbezogene Daten in der Form von IP Adressen und möglicherweise Tracking Daten).
Ihre Website muss einem Websitebesucher darauf hinweisen bevor diese Inhalte auf Ihrer Website geladen werden und nur dann ist Ihre Website DSGVO-konform (in Hinblick auf Einbettungen von Sozialen Medien).

[Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person]

10. Erlauben von Logins mittels Sozialen Medien – Bekanntgabe der personenbezogenen Daten von den Sozialen Medien Dienstleistern

Wenn Ihre Website die Möglichkeit bietet über Google, Facebook, Twitter, Instagram, Pintrest, Linkedin oder jedwede anderen Dienst sich einzuloggen, dann sammeln Sie bestimmte Daten Ihrer Websitebesucher. Dies kann eine Email Adresse, der Name, das Geburtsjahr, die Telefonnummer, ein Profilbild etc sein.
Unabhängig davon welche Daten dies genau für den Login sind, Sie müssen Ihre Websitebesucher darüber informieren, weshalb Sie diese Daten benötigen, wie auch die rechtliche Grundlage nennen, wie lange die Daten gespeichert werden, als auch über die Rechte nach der DSGVO informieren.

Bitte beachten Sie, dass Sie nur die benötigten Daten anfordern und nicht mehr (Datenminimierung).

[Artikel 14 – Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden]

11. All die Informationen in einer einfach verständlichen Form präsentieren

Dies ist potentiell die schwierigste Aufgaben um eine Website DSGVO-koform zu gestalten. Artikel 12 sagt folgendes aus:

Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikel 13 und 14 […] in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, […].

Mit dem richtigen Hilfsmittel kann dies sehr einfach sein und Sie können problemfrei diesen Punkt in der DSGVO Websiten Checkliste abhacken.

[Artikel 12 -Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person]

Zusammenfassung: DSGVO Websiten Checkliste

1. Ihre Website muss die Kontaktinformationen und die Identität des Verantwortlichen bereit stellen. (Der Verantwortliche ist häufig die Organisation bzw. der Besitzer der Website selbst)
2. Bekanntgabe des Zweckes der Datensammlung (Sammeln Sie nur was unbedingt nötig ist – Datenminimierung)
3. Nennung der rechtlichen Grundlage für die Datensammlung (wählen Sie einen der 6 rechtlichen Grundlagen, 3 werden in der Regel im Zusammenhang mit Websiten gewählt)
4. Bekanntgabe wer die personenbezogenen Daten erhalten wird (Soziale Medien Einbettungen bedeuten, dass Sie Informationen an eine 3. Partei weitergeben).
5. Sie müssen Ihre Websitebesucher darüber informieren wie lange die Daten gespeichert werden.
6. Sie müssen über die Rechte nach der DSGVO zum Zeitpunkt der Datensammlung informieren
7. Versuchen Sie die neuste(n) und beste(n) Software, Hardware und Informationen in Bezug auf DSGVO Konformität zu nutzen, aber bleiben Sie innerhalb Ihrer finanziellen Möglichkeiten.
8. Alle Cookies, welche nicht strikt erforderlich oder deren Daten sofort anonymisiert werden, benötigen eine Einwilligung Ihrer Websitebesucher.
9. Einbettungen von Sozialen Medien bedeuten, dass Sie personenbezogene Daten an 3. weiterleiten. Ein Websitebesucher muss hierüber informiert werden und dem im Vorfeld zustimmen.
10. Logins über Soziale Medien – Ihre Website muss darüber informieren, welche Daten gesammelt werden und zu welchem Zweck.
11. All diese in einer einfach verständlichen Form zu präsentieren ist mit der Nutzung des richtigen Hilfsmittels möglich!

Die Nutzung des richtigen Hilfsmittel wird Ihr Leben vereinfachen. TRUENDO deckt alle Punkte dieser DSGVO Webseiten Checkliste ab (mit der Ausnahme der Bereitstellung von SSL/TLS Zertifikaten). Um Ihre Website DSGVO-konform zu machen, erstellen Sie einen Account bei TRUENDO und bieten Sie Ihren Websitebesuchern eine einfach verständliche DSGVO-konforme Datenschutzerklärung.