DSGVO - Checkliste

Seit einigen Wochen beschäftigt viele Unternehmen das “neue” kommende Gesetz der DSGVO, die ab dem 25.05.18 wirksam und anzuwenden ist. In Kraft getreten ist die DSGVO bereits vor zwei Jahren.

Dabei besteht gar kein Grund zur Aufregung. Die Verordung ist lediglich nach – schon geltendem (!) – deutschem Gesetz, was nur hin und wieder von einigen Websitebetreibern ignoriert oder eben unzureichend umgesetzt wurde. Allerdings wird die DSGVO nun für die ganze EU umgesetzt und wichtig und somit auch Abmahnungen nach sich ziehen.

Was sind die jeweiligen Punkte, die wichtig zu beachten sind?

SSL-Verschlüsselung

Eine SSL-Verschlüsselung ist schon seit einigen Jahren Pflicht. Es stellt eine Garantie dar, die für den Schutz personenbezogener Daten wirksam ist. Ebenso gilt diese Pflicht nun für die Kontaktformulare.

Die Übertragung zwischen einer Website-Domain und einem Besucher wird über die SSL-Verschlüsselung protokolliert und gesichert. Dadurch wird beispielsweise einem Online-Kunden versichert, dass seine Daten, wie beispielsweise seine Kreditkartennummer, geschützt übertragen werden.
Jedoch ist durch das Protokoll nicht ersichtlich, wie der Shop-Betreiber mit seinen Kundeninformationen umgeht und diese weiterverarbeitet.

Auftragsdatenverarbeitung (ADV)

Das ist einer der Kernbestandteile der DSGVO. Durch sie wird die Weiterverarbeitung der personenbezogenen Daten fest geregelt. Auch dies war eigentlich schon Bestandteil des Bundesdatenschutzgesetzes.

Der Vertrag zum Auftrag der Datenverarbeitung enthält wesentliche Punkte, wie zum Beispiel:

  • Auftragsgegenstand und Dauer des Auftragsverhältnisses
  • Umfang, Art und Zweck der Datenverarbeitung
  • Technische und organisatorische Maßnahmen des Auftragnehmers
  • Löschung, Berechtigung und Sperrung von personenbezogenen Daten
  • uvm.

Datenübermittlung außerhalb der EU

Wirklich neu ist nur, dass die Möglichkeit besteht, ein Zertifikat als Garantie und Anerkennung bei Aufsichtsbehörden zu erlangen. Dieses kann bei den jeweiligen Aufsichtsbehörden beantragt werden.

Der Datentransfer zwischen Drittstaaten bleibt trotzdem problematisch – auch mit dem Gesetz der DSGVO.

Datenschutzbeauftragter

Alle Unternehmen, die personenbezogene Daten automatisiert bearbeiten (Art 37 (1) gilt nur für die in a) – c) genannten Unternehmen („Kerntätigkeit“)), benötigen einen Datenschutzbeauftragten. Die Verarbeitungen betreffen die Speicherung von Namen, Email-Adressen, Kontonummern, etc.

Für alle anderen Betriebe, die keine Daten verarbeiten und für kleine Betriebe, die Daten verarbeiten, gilt jedoch die Ausnahme, dass sie nur einen benötigen, wenn mindestens 10 Mitarbeiter in regelmäßigen Kontakt mit solchen Informationen kommen.

Abgesehen davon wird ein Datenschutzbeauftragter ebenfalls benötigt, wenn ein Unternehmen sensible Daten verarbeitet (ethnische Herkunft, sexuelle Orientierung,…) oder Daten an dritte übergeben werden.

Allerdings gilt diese Regelung auch schon seit längerer Zeit und wird durch die DSGVO nur verstärkt und härter sanktioniert. Im Übrigen ist es durchaus möglich, einen externen Datenschutzbeauftragten zu bestellen.

Lesen Sie auch  Fragen und Antworten: DSGVO - Datenschutzgrundverordnung - Eine DSGVO-Checkliste

Dokumentationspflicht

Durch die Dokumentation des Datenschutzes kann regelmäßig geprüft werden, ob die Datenschutzmaßnahmen erfolgreich sind.

Dieses Ziel verfolgt auch die DSGVO. Denn durch die Dokumentationspflicht fordert sie regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsgewährleistung auf.

Cookies

Hierzu muss laut Datenschutzverordnung, nur in der Datenschutzerklärung die Verwendung von Cookies und die Rechtsgrundlagen genannt werden. Abgeraten wird von Tracking-Cookies, also die, die nach dem Schließen einer Website verwendet werden. Gewöhnliche Cookies, wie die bei einem Login, sind in Ordnung. (siehe hierzu auch DSGVO und Analytics Tracking)

Im Jahr 2019 befasst sich dann die ePrivacy-Verordnung mit dem Thema Cookies.

Datenschutzgeneratoren

Eine neue Datenschutzerklärung können Sie kinderleicht mit Hilfe von verschiedenen, kostenlosen Generatoren anfertigen lassen. E-Recht sowie die DGD (Deutsche Gesellschaft für Datenschutz) bieten beispielsweise diese Dienste an. In wie fern diese rechtsverbindlich sind, können wir nicht beurteilen.

SSL Zertifikat: Wie Sie beim Wechsel  auf ein sicheres Protokoll vorgehen sollten

Google Chrome sowie Firefox warnen vor unverschlüsselten Webseiten. Mittlerweile markiert bzw. benennt Google unsichere Webseiten. Sichere Seiten hingegen (https, oftmals mit grünem Schloss markiert) werden als “sicher” eingestuft.

Die Mehrheit aller Webseiten haben auf eine sichere Verbindung umgestellt. Tatsächlich ist unter den Top 20 Seiten bei fast allen Keywordsuchen keine Seite ohne SSL-Zertifikat (Https-Verschlüsselung) zu finden. Dabei ist die Umstellung wirklich kein großer Aufwand.

Dabei ist folgendes zu beachten:

  • 30x-Weiterleitungen sollten in NGINX oder der .htaccess-Datei eingebaut sein
  • robots.txt und XML-Sitemap müssen überarbeitet bzw. angepasst werden
  • nach der Umstellung muss das Crawling (vom Googlebot auf der Seite) kontrolliert werden

Google Analytics

Die Nutzung von Google Analytics und die Analyse der persönlichen Daten muss in der Datenschutzerklärung geregelt werden. Ein Website-Besucher muss außerdem die Möglichkeit haben, der Datenspeicherung zu widersprechen (Opt-Out-Verfahren).

IP-Adressen dürfen nur gekürzt (anonymisiert) erfasst werden und zwischen Google und dem Kunden muss ein AV-Vertrag (Auftragsdatenverarbeitungs-Vertrag) abgeschlossen sein.

Website absichern

Die Unternehmensseite, häufig mit WordPress oder Typo3 oder Joomla als Content Management betrieben, stellt oftmals ein Sicherheitsloch. Webseiten werden oft nicht ausreichend gepflegt. Zu diesem Ergebnis kamen auch unsere Studien 2014 und 2016. Die Website sollte auch abgesichert werden. Auf Wunsch pflegen wir Ihre Unternehmensseite (z.B. WordPress) auf monatlicher Pauschale. Gepflegte Webseiten bieten weniger Angriffsfläche für Hacker.

Die Pflege beinhaltet wesentliche Sicherheitsaspekte:

  • Überprüfung von Systemumgebung, installierte Plugins und Themen
  • Überprüfung von Schwachstellen und Sicherheitslücken
  • Einstellungen zwecks Sicherheit vor Angriffen Dritter (erschwert den Zugriff)
  • Angriffe sowie unerwünschte Veränderungen werden geblockt und gemeldet
  • sicheres, schnelles und zuverlässiges Eingreifen bei Problemen
  • Aktualisierungen von veralteten Versionen
Lesen Sie auch  Was ist Content Marketing?

In der Regel ergibt sich ein Preis basierend auf monatlicher Pauschale und zusätzlichen Leistungen.

Zusammenfassend

An sich ist alles nichts neues, was die DSGVO mit sich bringt. Alle Unternehmen, die eine Website betreiben und/oder einen Online-Shop, sollten sich (sofern noch nicht geschehen) gründlich mit der Verordnung auseinandersetzen.

Lücken in der Umsetzung sind meist teuer und unangenehm.

Die Bußgelder werden mit der wirksamen Anwendbarkeit der DSGVO deutlich höher. Viele haben den Datenschutz bislang nicht Ernst genommen, da die Strafen sehr milde ausfielen oder Verstöße zumeist gar nicht sanktioniert wurden. Das wird sich jetzt sicher ändern.

Lassen Sie sich unbedingt – über die herkömmlichen Blog-Nachrichten hinaus – anwaltlich beraten oder ziehen Sie einen Datenschutzbeauftragten heran.

Wenn Sie sicher im Umgang mit Generatoren sind, können Sie auch auf einer der zahlreichen Plattformen eine Datenschutzerklärung erstellen lassen. Achten Sie dabei auf Google Analytics Angaben.

Wechseln Sie auf ein sicheres Protokoll (HTTPS) und sichern Sie Ihre Webseiten ab.

 

Die wichtigsten Fragen an die Sie denken sollten:

  • Welche Änderungen gelten für Sie und Ihr Unternehmen?
  • Sind Sie ausreichend informiert darüber?
  • Wissen Ihre Kunden, welche Änderungen die DSGVO für sie bedeuten?
  • Benötigen Sie einen externen/internen Datenschutzbeauftragten?
  • Wer nimmt in Ihrem Unternehmen die Umsetzung bis zum 25.05.18 in die Hand?

 

ACHTUNG! DIE TIPPS IM ARTIKEL SIND NICHT RECHTSVERBINDLICH.

Ohne dass wir hier einen Anspruch auf Rechtsberatung Gerecht werden könnten – diese Tipps helfen schon mal, eine Spur besser gewappnet zu sein. Jedoch ist es durchaus sinnvoll, den persönlichen Fall mit einem Rechtsanwalt zu besprechen. Es gilt: Wir können keine Rechtsberatung leisten, daher sollten Sie in jedem Fall für letztendliche Sicherheit den Rechtsbeistand befragen.

 

Links:

https://www.computerwoche.de/a/die-anforderungen-auf-einen-blick,3331104

https://www.impulse.de/recht-steuern/rechtsratgeber/dsgvo-checkliste/7297857.html

https://www.e-recht24.de/datenschutzgrundverordnung.html

https://www.datenschutz-nord-gruppe.de/eu-datenschutzverordnung/checkliste-datenschutz-grundverordnung.html

https://www.stuttgart.ihk24.de/Fuer-Unternehmen/recht_und_steuern/Aktuelles/prueffragebogen-zur-datenschutz-grundverordnung/3821774

https://dsgvo-gesetz.de/art-42-dsgvo/

https://www.lda.bayern.de/media/baylda_ds-gvo_2_certification.pdf

https://www.internetworld.de/e-commerce/datenschutz/so-gut-webshops-dsgvo-geruestet-1526530.html

https://www.datenschutzbeauftragter-info.de/eu-grundverordnung-websitebetreiber-aufgepasst/

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Auswirkungen-auf-Websites.html

https://www.german-law.com/

Kostenloses Cookie Skript für das EU Recht

https://www.activemind.de/datenschutz/datenschutzhinweis-generator/

https://www.lexware.de/dsgvo/?chorid=04035411&campaign=unternehmertag-dsgvo/facebook/post/70770/04035411/27-03-2018

 

Aktenvernichtung nach DSGVO:

https://www.impulse.de/unternehmen/aktenvernichtung-nach-dsgvo-worauf-sie-jetzt-achten-sollten-sponsored-post/7302821.html

 

Alina Bajgoric
Follow us

Alina Bajgoric

Ich mache Content Marketing, Social Media und Content-Analyse bei der coolsten Agentur.
Alina Bajgoric
Follow us