Erfüllt Ihre Website die Anforderungen der Datenschutz-Grundverordnung? Mit dieser Checkliste können Sie es prüfen und häufige Fehler vermeiden.
Die Datenschutz-Grundverordnung (DSGVO) ersetzt ab 25.05.2018 die Richtlinie 95/46/EG (Datenschutzrichtlinie) aus dem Jahr 1995. Damit reagiert die Europäische Union (EU) auf veränderte technologische Bedingungen, das allgegenwärtige und häufig wirtschaftlich begründete Interesse an der Verarbeitung personenbezogener Daten, sowie das Verlangen vieler Bürger nach informationeller Selbstbestimmung.
Die Umsetzung der europäischen Datenschutzrichtlinie in der Bundesrepublik Deutschland wurde bisher durch das Bundesdatenschutzgesetz (BDSG) geregelt. Mit der DSGVO tritt deshalb am 25.05.2018 auch eine Neufassung des BDSG inkraft.
In den Wochen vor Inkrafttreten der DSGVO hat eine gewisse Nervosität vor allem kleine und mittlere Unternehmen ergriffen. Mein Rat: lassen Sie sich hiervon nicht anstecken, sondern setzen Sie die Vorgaben der DSGVO einfach Schritt für Schritt in Ihrem Unternehmen um. Stellen Sie dabei zuerst sicher, dass automatisiert prüfbare Anforderungen (z. B. die Zugänglichkeit und Vollständigkeit einer Datenschutzerklärung) erfüllt werden.
Ich bin Informatiker. Auf der Grundlage meiner Arbeitserfahrung und der in den vergangenen Monaten empfangenen Expertise stelle ich hier – kurz gefasst – meine Checkliste zur Umsetzung der DSGVO für Website- und Online-Shop-Betreiber (im Folgenden „Verantwortliche”) zur Verfügung. Grundsätzlich sind die Ausführungen aber auf alle Bereiche anwendbar, in denen personenbezogene Daten verarbeitet werden, also nicht nur für Ihre Website oder Ihren Online-Shop – und für Kundendaten ebenso wie für Mitarbeiterdaten.
Ich führe keine Rechtsberatung durch und kann mich zu juristischen Details nicht äußern. Im Zweifelsfall empfehle ich Ihnen zunächst im Verordnungstext nachzulesen oder – wenn Ihr Geschäftsmodell von der DSGVO stark beeinflusst wird – einen fachkundigen Anwalt einzubeziehen.
Die DSGVO gilt für alle Unternehmen, Organisationen und natürlichen Personen, die personenbezogene Daten zu wirtschaftlichen bzw. beruflichen Zwecken verarbeiten und in der EU ansässig oder zumindest in der EU tätig sind.
Was sind „personenbezogene Daten”?
Zu den personenbezogene Daten werden demnach z. B. Name, Alter, Geburtsdatum und Anschrift, aber auch Bankverbindung, Telefonnummer, E-Mail-Adresse, IP-Adresse, Cookies und Device/Machine/Browser Fingerprints gezählt. Diese Daten gelten erst dann als nicht mehr personenbezogen, wenn sie unumkehrbar anonymisiert wurden.
Die Verarbeitung personenbezogener Daten ist nur unter bestimmten Voraussetzungen rechtmäßig, etwa wenn eine Einwilligung der betroffenen Person vorliegt oder die Datenverarbeitung der Vertragserfüllung oder rechtlicher Verpflichtungen (z. B. Aufbewahrungsfristen) dient. Weitere Bedingungen werden in Art. 6 Abs. 1 DSGVO genannt.
Auch ohne Einwilligung des Betroffenen können Verantwortliche personenbezogene Daten verarbeiten bzw. verarbeiten lassen. Die Bedingung ist in Art. 6 Abs. 1 lit. f DSGVO formuliert: „die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.”
Das ist vor allem dann interessant, wenn „Auftragsverarbeiter” eingesetzt werden. Gemeint sind damit natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten (z. B. Hosting-Provider, Google, MailChimp). Es empfiehlt sich dann einzeln zu prüfen, ob folgende Bedingungen erfüllt werden:
Die folgende Liste unterstützt Sie bei der Umsetzung wichtiger Vorgaben der DSGVO für Ihre Website oder Ihren Online-Shop. Die Liste erhebt keinen Anspruch auf Vollständigkeit und wird ergänzt durch datenschutzrechtliche Grundsätze.
DSGVO und BDSG zum Nachlesen
Muster und Vorlagen für Unternehmen