DSGVO Checkliste für Website Betreiber
Am 25. Mai 2018 tritt die DSGVO in Kraft. Im Vordergrund steht europaweite einheitliche Datenschutzbedingungen einzurichten. Nahezu jede Homepage ist davon betroffen. Wir informieren Sie über die wichtigsten Fakten und einen Umsetzungsplan.
Was steckt hinter der DSGVO?
Es gelten die bisherigen Grundbestimmungen des Datenschutzes. Sie lauten:
Jede Datenverarbeitung muss rechtmäßig erfolgen, anhand vorab festgelegter Zwecke, transparent, in möglichst geringem Umfang und soll die Daten vor unberechtigter Veränderung sowie Verlust schützen.
Nach Art. 5 DSGVO sind dies u.a. die Grundsätze für die Verarbeitung personenbezogener Daten:
- Rechtmäßigkeit: Daten dürfen ausschließlich nur dem Gesetz entsprechend verarbeitet werden.
- Transparenz: Die Verarbeitung der Daten von Betroffenen muss nachvollziehbar sein, was eine gültige Datenschutzerklärung erfordert. Hilfreich könnte das Portal https://www.e-recht24.de/ sein. Wir empfehlen eine Kontrolle über Ihren Anwalt.
- Verbot mit Erlaubnisvorbehalt: Die Verarbeitung aller personenbezogener Daten ist grundsätzlich verboten, es sei denn, dass diese per Gesetz erlaubt wurde.
- Zweckbindung: Daten dürfen nur zum vereinbarten Zweck verwendet werden. Ein Unternehmen muss bereits vorher definieren, zu welchem Zweck die Daten verwendet werden. Die Zustimmung muss dokumentiert werden.
- Datenminimierung und Speicherbegrenzung: Daten auf Vorrat zu speichern ist untersagt. Firmen dürfen Daten nur für den genutzten Zweck speichern. Liegt kein gesetzlicher Grund mehr vor, so ist eine Speicherung der Daten nicht mehr erlaubt. (Art. 5 Abs. 1 lit. c und e DSGVO).
- Integrität und Vertraulichkeit: Grundsätzlich müssen alle Daten durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.
In der Praxis
Zunächst einmal müssen Sie feststellen, welche Daten auf Ihrer Website verarbeitet werden. Hierunter fallen bereits schon das einfache Kontaktformular, Registrierungsformulare oder Newsletter-Anmeldung. Aber auch im Hintergrund entstehen personenbezogene Daten, wie zum Beispiel: Standortdaten, IP-Adressen, Cookies etc., Somit ist nahezu jede Website betroffen, wenn
- IP-Adressen der Homepage-Besucher übertragen und gespeichert werden.
- sie über eine Kommentarfunktion mit E-Mail-Angabe verfügt.
- Besucher Beiträge kommentieren können.
- sie Kontaktformulare enthält.
- sich eine Newsletter Anmeldung vorliegt.
- sie das Nutzerverhalten mit Tracking und Cookies auswerten.
- sie Social Media Plugins nutzen, wie Facebook, Twitter & co
DSGVO Umsetzungsplan
1. Aktualisieren Sie Ihre Datenschutzbestimmungen
Hilfreich hierzu ist der e-recht24 Datenschutzgenerator unter https://www.e-recht24.de/muster-datenschutzerklaerung.html
2. SSL Umstellung
Ihre Domain sollte ab sofort über SSL, sprich https erreichbar sein. Somit werden Daten von Client zum Server verschlüsselt übertragen. Auch hilft dies, Ihr Google Ranking in der organischen Suche zu verbessern.
3. Verzeichnis der Verarbeitungstätigkeiten
Wenn Ihr Unternehmen mehr als 250Mitarbeiter hat, benötigen Sie ein Verzeichnis der Verarbeitungstätigkeiten. Beispiel: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Dokumentationspflicht.html
4. Google Vertrag abschließen
Sie müssen einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Dieses kann schriftlich geschehen oder bequem auch Online mit wenigen Klicks. Den Vertrag können Sie hier herunterladen: https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf
Drucken Sie ihn zweimal aus, unterzeichnen diesen und schicken beide Exemplare an Google. Adresse ist im Dokument enthalten.
Oder loggen Sie sich in Ihre Google Analytics Konto ein, gehen dort auf „Kontoeinstellungen“, scrollen an das Ende der Seite und klicken auf „Zusatz anzeigen“. Hier können Sie online zustimmen.
5. Google Analytics-Opt-Out-Option
Falls Sie eine WordPress Seite besitzen, können Sie das Plugin https://wordpress.org/plugins/google-analytics-opt-out/ installieren oder Sie verweisen in den Datenschutzbestimmungen auf das Plugin von Google.
6. Anonymisieren Sie IP Adressen
Ganz wichtig ist es, dass Sie den Google Analytics Code so konfigurieren, dass er IP Adressen anonymisiert. Zum Beispiel so:
ga('set', 'anonymizeIp', true);
oder so
gtag('anonymizeIp', true);
7. Kontaktformular - Kommentarfunktion
Ergänzen Sie diese Formulare mit dem Hinweis auf die Datenschutzbestimmung. Nicht nur verlinken, sonder mit zusätzlichen Checkboxen. Des Weiteren ein zusätzliche Möglichkeit des Widerrufs. Der muss so einfach sein, wie die Kontaktaufnahme.
8. Schlank bleiben
Speichern Sie nur so viele Daten wie nötig. Es sollten nur Daten gespeichert werden, die dem Zweck dienen. Somit braucht ein Kontaktformular in der Regel kein Geburtsdatum.
9. Mit Trebaxa Kontakt aufnehmen
Wir unterstützen Sie gerne bei der Umsetzung zu einer DSGVO-konformen Internetpräsenz. Nehmen Sie einfach mit uns über service@trebaxa.com Kontakt auf und wir werden Ihnen Ihr individuelles Angebot unterbreiten. So wird auch Ihre Seite pünktlich zum 25.05.2018 DSGVO-konform sein.