DSGVO - Checkliste

DSGVO-Checkliste

In den letzten vier Wochen vor dem Inkrafttreten der DSGVO scheint sich das Interesse zu überschlagen. Jeder spricht gerade von der Datenschutzgrundverordnung, die am 25. Mai 2018 in Kraft tritt.

Welche Punkte wirklich wichtig sind, dazu gibt es zahlreiche Seminare, Unterlagen und so weiter.
Es ist äußerst sinnvoll sich hier auch umfassend zu informieren und deshalb haben wir die brennendsten Fragen zusammengefasst, die Unternehmen beschäftigen, die eine Webseite betreiben.

  • Wer braucht einen Datenschutzbeauftragten?
  • Welche Vereinbarungen müssen mit Mitarbeitern getroffen werden?
  • Welche Verträge müssen mit Dienstleistern getroffen werden?
  • Welche Verträge müssen mit Kunden getroffen werden?
  • Welche Änderungen müssen an der Website vorgenommen werden?
  • Kann man für den Newsletter nach DSGVO abgemahnt werden?
  • Update: Welche Änderungen kommen noch in Betracht aufgrund der kurzfristigen Ergänzungen der EU-Kommission?

 

DSGVO Checkliste

Sind Sie gerüstet für die Datenschutzgrundverordnung (DSGVO), die ab 25. Mai 2018 in Kraft tritt?

DSGVO – wer braucht einen Datenschutzbeauftragten?

Sobald mehr als neun Personen im Unternehmen damit beschäftigt sind, Daten mittels Computer zu bearbeiten, sollte man über einen Datenschutzbeauftragten nachdenken. Bei den meisten Tätigkeiten am PC kommen Mitarbeiter mit personenbezogenen Daten in Kontakt. Dabei reicht es schon aus, wenn die E-Mail-Adresse eines Kunden gespeichert wird.
Ein Datenschutzbeauftragter kann auch extern beauftragt werden.

 

Welche Vereinbarungen mit Mitarbeitern müssen in Bezug auf DSGVO getroffen werden?

Mit den Mitarbeitern ist eine Verschwiegenheitserklärung zu treffen bzw. zu aktualisieren. Außerdem müssen die Mitarbeiter über die Inhalte der DSGVO unterrichtet werden (z.B. in einem internen Workshop, der für die Mitarbeiter keine Fragen offen lässt, was sie tun dürfen und was sie lassen müssen).

 

Was muss ich mit meinen Dienstleistern vereinbaren?

Mit Dienstleistern, Partnern und Freelancer sind AV-Verträge (Auftragsverarbeitungsverträge) zu schließen. Dabei sind alle Dienstleister, Partner und Freelancer zu ermitteln, die personenbezogene Daten verarbeiten.

 

Was muss in Bezug auf die Prozesse dokumentiert werden (DSGVO)?

Es muss ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden. Dazu werden alle Prozesse ermittelt, bei denen personenbezogene Daten im Unternehmen verarbeitet werden. Das sind z.B verschiedene Software-Lösungen (z.B. Google Analytics, CRM-Software, Newsletter-Software) aber natürlich auch so profane Dinge, wie die Telefonanlage, wenn dort personenbezogene Daten gespeichert werden (Anruflisten, Zuordnung von Rufnummern zu Personen etc.).
Außerdem müssen die technischen und organisatorischen Maßnahmen zum Datenschutz dokumentiert werden. Dazu gehört zum Beispiel die Zutrittskontrolle zum Büro, Zugangskontrolle, Zugriffskontrolle auf Daten, Verschlüsselung und so weiter.

 

DSGVO und Kunden: Was muss im Umgang mit den Kunden beachtet werden?

Es müssen Auftragsverarbeitungs-Verträge (AV-Verträge) mit den Kunden geschlossen werden. Dazu sollten zunächst alle Kunden ermittelt werden, für die im Auftrag personenbezogene Daten verarbeitet werden. Wichtig zu wissen: Bestehende Altverträge ohne explizite Berücksichtigung der Datenschutzgrundverordnung sind ab dem 25. Mai 2018 nicht mehr wirksam.
Wichtig ist auch, dass die Kommunikation mit dem Kunden in Bezug auf den AV-Vertrag dokumentiert wird. Stimmt ein Kunde dem AV-Vertrag nicht zu und stellt auch keinen AV-Vertrag bereit, wird diesee Dokumentation unter Umständen als Nachweis gegenüber Behörden gebraucht.

Lesen Sie auch  Platz 1 in Google mit SEYBOLD

 

DSGVO und die Webseite: Was muss auf der eigenen Webseite berücksichtigt werden, damit diese den DSGVO-Richtlinien entspricht?

Impressum und Datenschutzerklärung müssen geprüft und ggf. angepasst werden. Der Datenschutzbeauftragte muss inkl. erreichbarer E-Mail-Adresse genannt werden (wenn benötigt). Cookie-Hinweise müssen erfolgen und alle aktiv genutzten Formen der Datenerhebung in die Datenschutzerklärung aufgenommen werden (z.B. Webanalyse mittels Google Analytics). Google Analytics muss anonymisiert werden. Social Media Plugins müssen datenschutzkonform integriert werden.

Außerdem müssen bei Kontaktformular und Newsletteranmeldungen entsprechende Hinweise integriert werden, die der Kunde aktiv bestätigen muss. Er wird darüber über die Verwendung seiner Daten informiert.

Wird ein Kontaktformular eingesetzt, ist die Verwendung einer SSL-Verschlüsselung notwendig (SSL-Zertifikat für die Website erstellen).

 

Die Anpassung von Google Analytics sieht wie folgt aus:

<script> 
    var gaProperty = 'UA-XXXXXXXX-X'; 
    var disableStr = 'ga-disable-' + gaProperty; 
    if (document.cookie.indexOf(disableStr + '=true') > -1) { 
        window[disableStr] = true;
    } 
    function gaOptout() { 
        document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; 
        window[disableStr] = true; 
        alert('Das Tracking ist jetzt deaktiviert'); 
    } 
    (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ 
            (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), 
        m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) 
    })(window,document,'script','https://www.google-analytics.com/analytics.js','ga'); 

    ga('create', 'UA-XXXXXXXX-X', 'auto'); 
    ga('set', 'anonymizeIp', true); 
    ga('send', 'pageview'); 
</script>

(UA-XXXXXXXX-X muss dabei durch den eigenen, gültigen Code ersetzt werden).

 

Was muss beim Newsletter-Versand in Bezug auf DSGVO berücksichtigt werden?

Die Regelung für Newsletter war in Deutschland auch schon bislang sehr streng geregelt. Der Versand von Newslettern für (eigene) Dienstleistungen und Waren darf auch weiterhin erfolgen, ohne dass die Empfänger dem Versand ausdrücklich zustimmen müssen, wenn die Bestimmungen aus §7 Abs. 3 UWG erfüllt wird. Hier hat die DSGVO zunächst einmal keine Einwirkung. Abmahnungen werden hier bis auf weiteres nach dem UWG geahndet.

Die Einwilligung für den Versand von Newslettern muss auch nicht – wie man das derzeit häufig sieht – erneut eingeholt werden, wenn die Einwilligung nach bestehendem Recht erfolgte.
Wenn sich neue Empfänger für den Newsletter anmelden ist darauf zu achten, dass diese über die Erhebung ihrer Daten informiert werden. Hier reicht ein Hinweis auf die Datenschutzerklärung, in der diese Informationen zur Verfügung gestellt werden.

Newsletter-Informationen zusammengefasst:

  • Bisherige Einwilligungen gelten weiterhin
  • E-Mail-Marketing hat Datenschutzrechtlichen Spielraum
  • Re-Opt-In-Kampagnen sind Blödsinn (https://www.absolit.de/rechtslage/stichtag-25-mai-2018-die-grosse-re-opt-in-kampagne)
  • Pflichtfelder bei Newsletter-Anmeldungen ist lediglich die E-Mail-Adresse. Alle anderen Felder dürfen nicht mehr als Pflichtfeld definiert werden. Das heißt, Vorname und Nachname können nur auf freiwilliger Basis bei der Anmeldung definiert werden. Ebenso andere Daten, wie z.B. das Geschlecht.
Lesen Sie auch  Wie kalkuliert man Marketing-Budgets?

Fazit: Es ist einiges zu tun bis zu 25. Mai 2018. Vor allem die Verzeichnisse, Verträge und Informationen an Dienstleister, Kunden, Partner, Freelancer … sind umzusetzen. Auch für die Websites gibt es einiges zu tun.

Vor allem sind dies die folgenden Punkte:

  • Website sollte verschlüsselt sein (SSL)
  • Datenschutzerklärung sollte überarbeitet sein (hervorragende Vorlage dafür von der Uni Münster hier.)
  • Überprüfung aller Formulare auf der Website (Bei Newsletter-Anmeldungen dürfen Vorname und Nachname keine Pflichtfelder sein; Kontaktformulare brauchen einen Hinweis, wie z.B. „Wir verarbeiten Ihre Vertragsdaten (z.B. in Anspruch genommene Leistungen, Namen von Kontaktpersonen, Zahlungsinformationen) um unsere vertraglichen Verpflichtungen und Serviceleistungen gemäß Art. 6 Abs. 1 lit b. DSGVO zu erfüllen. Die in Onlineformularen als verpflichtend gekennzeichneten Angaben sind für den Vertragsschluss erforderlich.“ (Quelle: Impulse))
  • Überprüfen Sie, ob Sie für jeden Zweck eine Einwilligung haben
  • Social Media Plugins prüfen
  • eingebettete Videos prüfen (Youtube: „erweiterter Datenschutz“ verwenden, Vimeo: noch keine Lösung)
  • Analyse und Statistik-Tools prüfen (Google Auftragsdatenverarbeitungsvertrag; Tracking-Opt-Out bereitstellen)
  • Über Cookies informieren (z.B. „Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung“ (Quelle auch hier Impulse))
  • Newsletter (AV-Vertrag mit Newsletter-Dienstleister)
  • Hosting (AV-Vertrag mit Webhoster (schon allein wegen E-Mail)
  • Verzeichnis, an welcher Stelle, welche persönlichen Daten in welchen Tools (Programme) gespeichert werden

 

An dieser Stelle auch der Hinweis: SEYBOLD – Agentur für Sichtbarkeit ist keine Rechtsanwaltskanzlei. Unsere Hinweise an dieser Stelle entsprechen also keiner Rechtsberatung. Der Artikel entspricht den Informationen, die uns zum 22.04.2018 zur Verfügung stehen. Wenn Sie ganz sicher sein wollen, ob Ihre Maßnahmen ausreichend sind, kontaktieren Sie einen Rechtsanwalt, der dies für Sie prüfen wird. Letztes Update: 19.05.2018

Weiterführende Informationen:
https://www.impulse.de/recht-steuern/rechtsratgeber/datenschutzbeauftragter-dsgvo/7299050.html
https://www.rapidmail.de/blog/171306349731/was-aendert-sich-im-e-mail-marketing-durch-die-eu-dsgvo
https://www.mittwald.de/blog/allgemein/dsgvo-webseiten
https://www.gesetze-im-internet.de/uwg_2004/__7.html
https://www.e-recht24.de/datenschutzgrundverordnung.html
https://www.e-recht24.de/artikel/datenschutz/10718-dsgvo-datenschutzerklaerung-generator.html
https://www.impulse.de/recht-steuern/rechtsratgeber/datenschutzerklaerung/2393294.html
https://cookieconsent.insites.com/download/
https://www.impulse.de/recht-steuern/rechtsratgeber/dsgvo-website/7304684.html

follow me

Ralf Seybold

Diplom-Betriebswirt (FH) bei SEYBOLD - Agentur für Sichtbarkeit
Kontaktieren Sie mich, wenn Sie sichtbar werden wollen.

Sichtbar statt SEO.

Inhaber bei SEYBOLD - Agentur für Sichtbarkeit, Begründer des Sichtbarkeitsmanagements, IT Professional seit 1989, Internet Professional seit 1998

Top 100 SEO Dienstleister

Autor verschiedener Publikationen, regelmäßig Experte bei IMPULSE - Das Unternehmermagazin, Experte bei Website Boosting,

Verschiedene Preise und Auszeichnungen für Dienstleistungen und Produkte

Verfügbar als Consultant, Dienstleister und fürSeminare, Vorträge
follow me