Die DSGVO Checkliste für alle Website und Onlineshop Betreiber

Die DSGVO Checkliste für alle Website und Onlineshop Betreiber

(Bildquelle: shutterstock.com)

Am 25.05.2018 war es endlich soweit, europaweit tritt die neue EU-Datenschutzgrundverordnung kurz DSGVO in Kraft. Diese neue Verordnung soll den Umgang mit personenbezogenen Daten EU-weit einheitlich regeln und stellt gerade die Welt zahlreicher Unternehmer und Blogger auf den Kopf, welche direkt mit dieser Thematik konfrontiert werden. Vielen wird vielleicht auch erst jetzt so richtig bewusst, wie viel sie bislang mit personenbezogenen Daten hantiert haben und wie weitreichend die Datenflut sein kann, was auch eine große Verantwortung für personenbezogene Daten mit sich bringt.

Außerdem bietet dieser Wandel auf dem europäischen Online-Markt auch eine Chance moderne Vertriebsmaßnahmen und innovative Marketingstrategien weitreichend umzusetzen. Mehr „Sicherheit“ für die Einen, mehr „Arbeit“ für die Anderen und nicht unerhebliche „drohende Strafbußen“ bei Verstößen, da will und kann kein Unternehmer unberührt bleiben, und die allgemeine Verunsicherung ist groß. Wer sich bis jetzt noch nicht mit der DSGVO auseinandergesetzt hat, sollte das schleunigst tun, es verbleiben nur noch wenige Tage – deswegen wollen wir ein wenig mehr „Licht“ ins Dunkel bringen und speziell Webseitenbetreibern, Unternehmern und Bloggern aufzeigen, wie sie ihre Seite fit für die DSGVO machen können und was es zu beachten gilt!

Die wichtigsten Punkte:
Informationspflicht
Grundsätzlich gilt, im Rahmen der „informationellen Selbstbestimmung“ das Recht für jeden Nutzer, selbst darüber zu bestimmen, wie seine personenbezogenen Daten verwendet werden, das heißt von wem sie gesammelt und gespeichert werden und für welchen Zeitraum und zu welchem Zweck. Speziell für Unternehmen, die tagtäglich mit personenbezogenen Daten zu tun haben, ergibt sich daraus eine große Herausforderung mit vermehrtem Arbeitsaufwand, sowohl in der Informationspflicht, als auch in der Transparenz. Die Dokumentation muss akribisch und lückenlos geführt werden und die Daten müssen aktuell sein. Hier wird die Zusammenarbeit mit SEO-Experten und IT-Profis immer wichtiger, um sich entsprechenden Rat einzuholen und notfalls die Profis ranzulassen, um auch wirklich gewährleisten zu können, auch eine auf die hohen Anforderungen entsprechende IT-Infrastruktur mitzubringen und auf der sicheren Seite zu sein.

Bevor personenbezogene Daten verarbeitet werden, muss der Betroffene „vorher“ darüber informiert werden, was mit seinen Daten geschieht, sofern er einwilligt. Stammen die Daten aber im Zuge eines Prozesses nicht direkt vom Kunden selbst, muss dieser innerhalb einer Frist von 4 Wochen informiert werden. Diese Informationspflicht kommt ein Onlineunternehmer normalerweise mit seiner Datenschutzerklärung nach. Über eventuell darüber hinaus gehende Datenverarbeitung muss der Besucher individuell informiert werden.

Das Verzeichnis von Verarbeitungstätigkeiten Verantwortlicher
Jeder Betreiber einer Website, der mit personenbezogenen Daten hantiert, wird von der DSGVO im Erwägungsgrund 82 als Verantwortlicher in die Pflicht genommen, ein lückenloses Verzeichnis seiner Verarbeitungstätigkeiten zu führen, was auch jederzeit der Aufsichtsbehörde vorgelegt werden muss, sofern diese Einsicht anfordert. Wer sich nicht daran hält, kann mit Bußgeldern in schmerzhaften Höhen rechnen.

Dieses Verzeichnis soll der Transparenz dienen, um den Umgang mit personenbezogenen Daten nachzuweisen. Somit muss klar gelistet werden, über welchen Zeitraum Daten gespeichert werden, sowie von wem und zu welchem Zweck. Da personenbezogene Daten in unterschiedlichsten Bereichen verwendet werden wie beispielsweise E-Mails, Smartphone, Websitebesucheranalyse, Datenverwaltung der Kundendaten und so weiter, ist es erforderlich für jeden Bereich und Prozess ein separates Verzeichnis anzulegen.

Etwas lockerer ist die DSGVO hier bei Unternehmen mit unter 250 Mitarbeitern. Diese könnten laut Art. 30 Abs. 5 DSGVO von der Führung eines Verzeichnisses befreit sein, sofern die Verarbeitungen von personenbezogenen Daten:

kein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen,
nur gelegentlich erfolgen oder
keine besonderen Datenkategorien gemäß 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten) oder strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DSGVO betreffen.
Sorge für mehr Sicherheit mit der SSL-Verschlüsselung!
Inzwischen kennen schon die Meisten das grüne Schloss-Symbol in der Browserzeile, welches für „SSL-Zertifikat“ steht und eine „sichere Verbindung“ anzeigen soll. Daher gehört es auch unbedingt in seriöse Onlineshops, weil es das Surfen für die Besucher sicherer macht und obendrein auch noch das Ranking verbessert, denn von „http“ auf „https“ erhöht den Schutz vor missbräuchlichen Zugriffen von Unbefugten und Hackern.

Selbstverständlich müssen auch Passwörter regelmäßig, spätestens alle 90 Tage erneuert und geschützt werden und Sicherheitsupdates aktuell gehalten werden. Wenn mehrere Personen am gleichen System arbeiten, muss jeder einzelne ein eigenes Zugangspasswort besitzen.

Cookies
Fast jeder Websitebetreiber verwendet auf seiner Seite sogenannte „Cookies“ wie beispielsweise WordPress, Plugins, oder E-Commerce Lösungen. Da Cookies Daten sind, welche erhoben werden, wenn ein Besucher eine Website besucht, muss dieser auch darüber informiert werden und damit einverstanden sein. Deshalb wird es mit dem Inkrafttreten der DSGVO erforderlich, über die Verwendung von Cookies auf der eigenen Seite zu informieren und von jedem Besucher eine Einwilligungserklärung einzuholen, ehe Cookies verwendet werden dürfen.

Social Media Plugins
Plugins wie Facebook, Google + und so weiter haben die Wirkung, dass Daten beim Besuch einer Website an die entsprechenden Plugins weitergeleitet werden. So werden beispielsweise Daten an Google oder Facebook automatisch weitergeschickt, nur weil jemand lediglich eine Seite besucht, was wiederum dazu verwendet wird, ein maßgeschneidertes Angebot an Services und Leistungen anbieten zu können. Nicht alle Menschen sind allerdings darüber erfreut, wenn ihre Daten einfach ungefragt für solche Zwecke weitergeleitet werden, weswegen hier unbedingt entsprechende Punkte in der Datenschutzerklärung auftauchen müssen.

Impressum und Datenschutzerklärung
Ein Impressum muss vor allem aktuell sein und es muss einen Link zur Datenschutzerklärung beinhalten. Wer sich gegen eventuelle Bots von Rechtsanwälten schützen möchte, kann Datenschutzerklärung und Impressum einfach auf „no-Index“ setzen und so eine Listung im Index verhindern.

Weil die Datenschutzerklärung so eminent wichtig ist, muss diese von jeder Seite aus mit einem Klick erreichbar sein, weswegen ein Link im Footer für Impressum und Datenschutzerklärung angebracht werden sollte. Nur so kann jederzeit einen Blick darauf werfen und somit die Transparenz und Entscheidungsfreiheit über ein Tracking des Besuchers gewährleistet werden, auf welcher Seite auch immer er sich gerade aufhält.

In der Datenschutzerklärung muss für den Besucher klar ersichtlich sein, wie genau seine personenbezogenen Daten verarbeitet werden. Eine Datenschutzerklärung können Sie sich direkt auf unserer Seite mit den DSGVO Datenschutzerklärung Generator erstellen lassen.

Anonymisieren von IP-Adressen
Die IP-Adresse ist ähnlich wie eine Telefonnummer die Identifikationsnummer des Anschlusses an ein Netz, in diesem Fall ans World Wide Web, denn jeder Router hat seine individuelle IP-Adresse, mit der er letztendlich nachvollzogen werden kann. IP-Adressen geben Aufschluss über Wohnort und Adresse sowie Inhaber des Anschlusses und müssen daher als personenbezogene Daten gewertet werden.

Gerade Websites die beispielsweise Google Analytics nutzen, müssen darauf achten, dass die IP-Adressen ihrer Kunden anonymisiert werden. Wer einen Blog von WordPress nutzt, muss ebenfalls darauf achten die IP-Adressen von Kommentatoren zu anonymisieren. Grundsätzlich gilt, immer dann, wenn Daten abgefragt werden oder etwas übertragen werden soll, wie beispielsweise Newsletter, Formulare, Anmeldungen und so weiter, sollte ein Hinweis erfolgen, wofür und wo Daten gespeichert werden, für welchen Zeitraum und eine Information darüber wer diese Daten speichert.

Sehr gut eignet sich hier die Verwendung einer Checkbox. Alle Formulare und Datenübertragungen sollten ebenso wie Seite selbst SSL-verschlüsselt sein. Ein Kontaktformular muss im Verzeichnis der Verarbeitungstätigkeiten aufgeführt werden und dafür ist immer eine Einwilligung in die Datenschutzbestimmungen Voraussetzung.

Analysetools, Plugins, und ADV-Vertrag
Analysetools wie WordPress, Google Analytics oder Piwik erfordern einen sogenannten ADV-Vertrag, also einem Vertrag zur Auftragsdatenverarbeitung. Der Besucher sein Einverständnis dazu erteilen muss. Praktischerweise lässt sich dieser Punkt gut in die Datenschutzerklärung integrieren. Somit hat jeder Besucher die freie Wahl, ob seine Daten erfasst werden. Die ADV´s sollen die Datenverarbeitung regeln, wenn ein Unternehmen von Außen auf personenbezogene Kundendaten zugreifen kann. Das betrifft sämtliche Tracking-Tools, wie Google Analytics, aber auch externe Dienstleister wie Marketingaktionen oder Newsletter-Dienstleister und sogar wenn die Buchhaltung von externen Unternehmen übernommen wird.

Bei Dienstleistern außerhalb der EU ist es mit einem ADV nicht getan. Es müssen zusätzliche Informationen über die jeweiligen Datenschutzrechtlichen Bestimmungen verbindlich und vertraglich eingeholt werden und müssen, beispielsweise bei amerikanischen Dienstleistern, nach den EU-US Privacy Shields zertifiziert sein.

Newsletter
Besondere Achtung ist beim Newsletter geboten, denn dort ist absolute Transparenz gefordert. Viele nutzen einen Dienst andere ein Plugin. Im Eingangsformular muss für den Interessenten klar ersichtlich sein, welchen Inhalt ihn erwartet wie zum Beispiel Angebote oder nur Information. Und selbstverständlich muss mit dem Dienstleister des Newsletters ebenfalls ein ADV-Vertrag geschlossen werden.

Zusammenfassung
Die vielen Neuerungen der DSGVO mischen den Onlinehandel ganz schön auf. Jeder will gut vorbereitet sein und alles richtig machen. Mit kühlem Kopf und wenigen Handgriffen lässt sich das ein oder andere ganz einfach selbst erledigen. Manches geht aber vielleicht über das Know-how eines Webseitenbetreibers hinaus.

Da es hier um eine wirklich wichtige Neuerung mit Konsequenzen für das eigene Unternehmen handelt, sollte man nicht scheuen gerade in komplizierten Fällen oder bei Unklarheiten einen Fachmann zurate zu ziehen und auf Nummer Sicher zu gehen. Es bleibt weiter spannend, wie die Umsetzung der neuen Verordnung europaweit gelingt und welche neuen Herausforderungen und Erfahrungen sich daraus ergeben.

Falls wir Sie bei der DSGVO Umsetzung unterstützen sollen, dann kontaktieren Sie uns doch einfach ganz.

Wir beraten und unterstützen kleine und mittelständische Unternehmen und Startups aller Art im Bereich Internet- und E-Commerce, um einen modernen und repräsentativen Internet-Auftritt zu realisieren und zu pflegen.

Kontakt
Intent GmbH
Yannik Süss
Orionweg 5
85609 Aschheim
08921554438
pr@intent.de
https://intent.de