Die EU-Datenschutzgrundverordnung ist für viele Unternehmer in allen Branchen eine Herausforderung. Was ist alles zu tun? Woran ist zu denken? Natürlich sind die Anforderungen abhängig davon, ob du Chef eines Großkonzerns bist oder Inhaber eines Einzelunternehmens.
Gerade für Blogger und Online-Unternehmer ist es schwierig aus dem Urwald der Anforderungen das Wesentliche zu selektieren. Aus diesem Grund hat mich Finn gefragt, ob ich für Gradually AI nicht eine DSGVO-Checkliste für Blogger und Online-Unternehmer erstellen möchte. Der Bitte komme ich natürlich gerne nach!
1. Website-Checkliste
Dein Website ist natürlich dein Herzstück, dass der DSGVO standhalten muss. Folgende Punkte solltest du daher berücksichtigen:
1.1 Hosting und Datensicherheit
- Hat deine Website ein SSL-Zertifikat?
- Hast du Maßnahmen ergriffen, um deinen Blog oder deinen Website gegen Hacker oder unbefugte Dritte zu schützen (sichere Dateirechte, sichere Passwörter, regelmäßiges Installieren von Sicherheitsupdates etc.)?
- Hast du einen Vertrag zur Auftragsdatenverarbeitung mit deinem Hosting-Anbieter abgeschlossen?
1.2 Analysetools
- Hast du ein Analyse-Tool im Einsatz?
- Falls ja, welches (z. B. Google Analytics, Piwik oder WordPress.com-Stats)?
- Sind die IP-Adressen anonymisiert?
- Liegen die Daten auf deinem Server oder bei einem Drittanbieter?
- Falls Drittanbieter, sind die Daten adäquat geschützt? Hast du einen Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag) mit dem Drittanbieter abgeschlossen?
- Hast du sichergestellt, dass Nutzer anhand eines Klicks der Erfassung widersprechen können (der Link dazu sollte in der Datenschutzerklärung sein)?
1.3 Formulare
- Hast du Formulare auf deiner Webseite eingebunden, die personenbezogene Daten übertragen?
- Wenn ja, hast du unterhalb, oberhalb oder neben dem Formular darauf hingewiesen (in Kurzform), was mit den Daten passiert, wenn sie gesendet werden? Und auf deinen Datenschutzerklärung hingewiesen, in der du das ganze ausführlich beschreibst?
- Wichtig: kein Formular ohne HTTPS!
1.4 Newsletter
- Nutzt du einen Newsletter-Dienst oder -Plugin?
- Erfolgt der Eintrag nur nach einem Double-Opt-In-Verfahren (also Eintrag der E-Mail-Adresse im Anmeldeformular und anschließende Bestätigung per Adresse per E-Mail-Link)?
- Hast du bei deinem Eintragungsformular darauf hingewiesen, was der Interessent von dir erhält, wenn er sich einträgt? Bist du transparent und hast offen geschrieben, wenn du neben Informationen und Artikeln auch Angebote versendest?
- Hast du mit deinem Newsletter-Dienstleister einen ADV-Vertrag geschlossen?
- Vorsicht bei Dienstleistern außerhalb der EU: In dem Fall reicht ein einfacher Vertrag zur ADV nicht aus. Bei nicht-europäischen Anbietern musst du dir zusätzliche Informationen des Datenimporteurs bezüglich Datenschutz (am besten vertraglich) nachweisen lassen. Bei US-amerikanischen Dienstleistern wie Mailchimp ist es zudem nötig, dass das Unternehmen nach dem EU-US Privacy Shield zertifiziert ist (wobei es immer noch nicht eindeutig geklärt ist, ob das tatsächlich ausreicht).
1.5 Online-Shop
Aufgrund der Komplexität und Individualität kann ich dir hier nur einen groben Überblick geben:
- Nutzt du externe Dienstleister (wie z. B. PayPal) zur Zahlungsabwicklung? Wenn ja, hast du detailliert darüber in der Datenschutzerklärung geschrieben und darauf hingewiesen, welche Daten übertragen und wo gespeichert werden?
- Ähnlich beim Versanddienstleister: Werden E-Mail-Adresse oder Handynummer zum Zweck der Benachrichtigung der Auslieferung erhoben?
- Kann oder muss sich der Käufer registrieren, um die Bestellung durchführen zu können? Wenn ja, hast du das entsprechend gekennzeichnet und bietest optional eine Bestellmöglichkeit ohne Registrierung?
- Legst du bei deinem Online-Shop wert auf IT-Sicherheit? Wenn nein, dann solltest du! Du hast viele personenbezogene Daten in deinem System gespeichert, die es zu schützen gilt und der Zugang zu diesen Daten muss daher entsprechend abgesichert sein.
- Es fängt schon beim Passwort an: Hast du sichergestellt, dass Nutzer eine bestimmte Passwortkomplexität zwingend einhalten müssen und triviale Passwörter wie 1234 überhaupt nicht möglich sind?
- Noch ein Tipp: Vermeide es, Daten wie Kreditkarteninformationen bei dir zu speichern. Wenn möglich, würde ich immer einen externen sicheren Dienst nutzen, damit du die Speicherung dieser sensiblen Informationen umgehst.
- Ein externer Security Scan von Profis wäre bei einem Online-Shop durchaus zu überlegen!
1.6 Plugins, Widgets etc.
- Nutzt du auf deiner Website Plugins, Widgets, iFrames, zusätzlichen Scripte oder Schnittstellen?
- Werden dadurch personenbezogene Daten auf deiner Website oder bei Drittanbietern gespeichert? Wenn ja, zu welchem Zweck? Und fließen nur die benötigten Daten, damit der Dienstleister seinen Job machen kann oder wird zu viel übertragen?
- Persönliche Daten werden z. B. gesammelt bei Membership-, Formular-Plugins, Social- oder Newsletter-Plugins.
- Am einfachsten ist in der Dokumentation oder auf der Website des Entwicklers zu lesen, ob ein Plugin, Widget etc. DSGVO-konform nutzbar ist. Leider ist nicht jeder Entwickler so transparent (oder hat überhaupt ein Bewusstsein für die Anforderungen der DSGVO), daher muss man oft selbst den Dienst durchleuchten.
- Falls Daten übertragen werden, brauchst du eine ADV mit dem Dienstleister. Das sollte einfach sein, wenn der Partner in der EU sitzt. Ist er allerdings in einem Drittland, was gerade bei Plugins häufiger der Fall ist, wird’s schwieriger. Du brauchst einen Vertrag und auf jeden Fall den Zusatz, wie die Daten bei der Übertragung und beim Dienstleister geschützt sind.
Falls du nicht sicher bist, welche Plugins Daten senden, kannst du dich weiterer Tools bedienen. Ich verwende dazu:
- die Website builtwith.com
- und das Browser-Plugin Ghostery
- die Chrome Developer Tools (Rechte Maustaste klicken, im Kontextmenü auf „Untersuchen“ gehen und den Reiter „Sources“ auswählen).
Eine umfangreiche Übersicht über WordPress-Plugins, die personenbezogene Daten sammeln findest du hier auf dem Blog: WordPress-Plugins & DSGVO: Liste problematischer Plugins (+Plugin-Tipps!)
1.7 Marketing & Werbung
Diesen Punkt finde ich persönlich am schwierigsten, da er doch recht komplex ist.
Viele meiner Kunden auch wissen zum Teil selbst nicht mehr, was alles an Marketing-Diensten auf Ihrer Webseite läuft. Daher sind natürlich wieder Tools wie Ghostery und der Dienst builtwith.com hilfreich.
- Nutzt du Dienste wie Facebook Pixel, DoubleClick, Google AdSense oder ähnliches? Dann musst du ausführlich darüber in der Datenschutzerklärung schreiben!
- Der Einsatz von Werbe-Trackern ist nicht ganz unumstritten. Stelle daher sicher, dass du Nutzern, soweit du einen „erweiterten Abgleich seiner Daten“ machst, eine Opt-Out-Möglichkeit bereitstellst.
- Vor allem beim Retargeting (auch Remarketing genannt) wäre es sogar noch besser, wenn der Nutzer per Opt-In dem Tracking zustimmen muss.
1.8 Soziale Medien
- Nutzt du Plugins oder Widget von sozialen Netzwerken wie Facebook, Twitter, Pinterest und Co.?
- Wenn ja stelle sicher, hast du sichergestellt, dass diese keine personenbezogenen Daten übertragen, bevor Nutzer widersprechen können! Das gilt z. B. für die Standard-Sharing-Buttons oder das Seiten-Plugin von Facebook.
- Alternativ kannst du mit einfachen Links auf deine sozialen Plattformen verweisen und für die Sharing-Buttons das Plugin Shariff nutzen (falls du WordPress verwendest).
- Sind die sozialen Netzwerke und deren Umgang mit personenbezogenen Daten in deiner Datenschutzerklärung zu finden? Ergänze in der Datenschutzerklärung auch, ob und wie die du Daten aus Facebook für dein Unternehmen verwendest!
- Hast du auf deinen Social-Media-Seiten ein Impressum und eine Datenschutzerklärung angegeben oder von dort aus auf die entsprechenden Seiten auf deiner Website verlinkt?
- Hast du in deiner Datenschutzerklärung erwähnt, dass diese auch für Facebook, Instagram und Co. gilt?
1.9 Datenschutzerklärung
Stelle sicher, dass zu allen oben genannten Wegen, auf denen die personenbezogene Daten verarbeitet werden, eine Passage in der Datenschutzerklärung zu finden ist!
Es gibt gute Generatoren für die Datenschutzerklärung, wie z. B.:
- Datenschutz-Generator von eRecht24 (einige Funktionen kostenpflichtig)
Achte aber darauf, dass sie DSGVO-konform sind, da z. T. noch zusätzliche Informationen nötig sind, die bisher nicht in der Datenschutzerklärung enthalten waren.
Nimm nicht alles einfach ungelesen hin und ergänze oder ändere die Inhalte so ab, dass sie für deinen Anwendungsfall passen!
2. Verfahrensverzeichnis
Es gibt so viele Fragen und Unsicherheiten über das Verfahrensverzeichnis, dass ich gleich vorweg sagen muss: KEINE PANIK! Versuche es einfach zu halten. Niemand fordert an dieser Stelle eine Doktorarbeit.
Schreibe die Verfahren allgemein und nicht speziell für jeden Kunden. Aus der Erfahrung würde ich für einen reinen Online-Unternehmer etwa 20 Verfahren erwarten. Wenn du Blogger bist, wahrscheinlich noch weniger.
Mehr zum detaillierten Aufbau und Inhalt eines Verfahrensverzeichnisses findest du in meinem Artikel mit Mustervorlage zum Verfahrensverzeichnis.
3. Informationspflicht
Das Thema Informationspflicht ist neu mit der DSGVO und gab es in dieser Form vorher noch nicht. Du musst den Betroffen vor Aufnahme der Verarbeitung informieren, was du mit seinen Daten machst, sofern du die Daten direkt bei ihm erhebst. Erhältst du die Daten im Rahmen eines Prozesses nicht direkt vom Betroffenen, musst du innerhalb von etwa vier Wochen den Betroffenen informieren.
Als Online-Unternehmer machst du das normalerweise über deine Datenschutzerklärung. Verarbeitest du außerhalb deiner Onlinepräsenz noch Daten, musst du zusätzlich darüber informieren.
Diese Information muss auch bestimmten Vorgaben folgen. Wie diese aussehen, habe ich in meinem Blogbeitrag zur Informationspflicht auf meiner Webseite näher beschrieben. Daher ist es in der Datenschutzerklärung wichtig, dass du – falls du Generatoren einsetzt – nur solche verwendest, die auch die kompletten Inhalte der Informationspflicht (Artikel 13 und 14 DSGVO) abbilden.
Alles was noch nicht in der Datenschutzerklärung enthalten ist, musst du selbst zusammen schreiben. Hier empfiehlt es sich, dass du mit dem Verfahrensverzeichnis gut gearbeitet hast. Die Infos kannst du nämlich jetzt wieder gut gebrauchen und brauchst sie nur noch in die richtige Form bringen.
4. Auftragsdatenverarbeitung
Inzwischen ist das wohl auch kein neuer Begriff mehr für dich, oder? Hast du Dienstleister im Boot oder nutzt du einen IT-Service von einem Anbieter, der für dich personenbezogene Daten verarbeitet? In diesem Fall benötigst du einen Vertrag zur Auftragsdatenverarbeitung oder Auftragsverarbeitung (das ist eigentlich der aktuelle Begriff). Schreib dir eine Liste aller Dienstleister und stelle sicher, dass du bei allen einen ADV-Vertrag hast!
Viele große Unternehmen haben dazu Standardvorlagen, die sie dir in der Regel schon zum Download anbieten. Du musst sie nur noch mit deinen Daten füllen und unterschreiben. Welche Anbieter schon einen ADV-Vertrag bereitstellen und bei welchen du dich noch gedulden musst, findest du hier bei Gradually AI: AV-Verträge für Blogger & Online-Unternehmer: Liste mit Hostern, Newsletter-Tools etc.
Wie sieht’s eigentlich mit Verarbeitern aus, die im nicht EU-Land ansässig sind, also in einem Drittland? In dem Fall wird der ADV-Vertrag doppelt so lang, denn es müssen umfangreiche Angaben zum Datenimporteur und Exporteur gemacht werden.
Eine Sonderregelung gibt es übrigens bei Plattformen, bei denen sich Anbieter und Nutzer registrieren müssen, z. B. bei einer Online-Lernplattform. Im Rahmen der Registrierung bestätigst du als Nutzer die AGB. Dasselbe mache ich zum Beispiel, wenn ich eine Schulung anbiete. Daher brauche ich keine ADV mit der Onlineplattform. Im Zweifelsfall beim Plattformanbieter nachfragen.
5. Weitere To-Dos
Klar, für größere Unternehmen ist es hier noch nicht zu Ende. Das Gesetz bzw. die Gesetze sind umfangreich. Vielleicht ist auch der eine oder andere Leser betroffen, weil er Verfahren hat, die der Datenschutzfolgeabschätzung unterliegen? Vielleicht brauchst du auch einen Datenschutzbeauftragten? Wie sieht’s mit Mitarbeitern aus? Und noch vieles mehr.
So konkrete Anforderungen deckt diese Checkliste natürlich nicht ab. Gerne kannst du dir meine 7-Schritte zum datenschutzkonformen Unternehmen holen, wenn du noch weitere Informationen haben möchtest.
Auf meinem Blog findest du zudem eine Checkliste zur DSGVO-konformen Website mit herunterladbarem PDF.
Durch die große Unsicherheit und die vielen Fragen zum Thema DSGVO biete ich regelmäßig kostenlose Webinare an. Ich unterstütze dich bei der Erstellung des Verfahrensverzeichnisses und beantworte gerne deine Fragen.
Über die Autorin
Als Datenschützerin unterstütze ich meine Kunden seit über 10 Jahren. Egal ob Wegweiser zum Datenschutz oder Fahrplan zur IT-Sicherheit. Mit Humor, Freude und Begeisterung an diesen Themen, begleite ich meine Kunden auf dem Weg zur optimalen Sicherheit. Mehr über mich erfährst du auf meiner Website regina-stoiber.com.