DSGVO-Checkliste für Websites und Online-Shops

Erfüllt Ihre Website die Anforderungen der Datenschutz-Grundverordnung? Mit dieser Checkliste können Sie es prüfen und häufige Fehler vermeiden.

Die Datenschutz-Grundverordnung (DSGVO) ersetzt ab 25.05.2018 die Richtlinie 95/46/EG (Datenschutzrichtlinie) aus dem Jahr 1995. Damit reagiert die Europäische Union (EU) auf veränderte technologische Bedingungen, das allgegenwärtige und häufig wirtschaftlich begründete Interesse an der Verarbeitung personenbezogener Daten, sowie das Verlangen vieler Bürger nach informationeller Selbstbestimmung.

Die Umsetzung der europäischen Datenschutzrichtlinie in der Bundesrepublik Deutschland wurde bisher durch das Bundesdatenschutzgesetz (BDSG) geregelt. Mit der DSGVO tritt deshalb am 25.05.2018 auch eine Neufassung des BDSG inkraft.

Don't panic!

In den Wochen vor Inkrafttreten der DSGVO hat eine gewisse Nervosität vor allem kleine und mittlere Unternehmen ergriffen. Mein Rat: lassen Sie sich hiervon nicht anstecken, sondern setzen Sie die Vorgaben der DSGVO einfach Schritt für Schritt in Ihrem Unternehmen um. Stellen Sie dabei zuerst sicher, dass automatisiert prüfbare Anforderungen (z. B. die Zugänglichkeit und Vollständigkeit einer Datenschutzerklärung) erfüllt werden.

Wozu dieser Beitrag?

Ich bin Informatiker. Auf der Grundlage meiner Arbeitserfahrung und der in den vergangenen Monaten empfangenen Expertise stelle ich hier – kurz gefasst – meine Checkliste zur Umsetzung der DSGVO für Website- und Online-Shop-Betreiber (im Folgenden „Verantwortliche”) zur Verfügung. Grundsätzlich sind die Ausführungen aber auf alle Bereiche anwendbar, in denen personenbezogene Daten verarbeitet werden, also nicht nur für Ihre Website oder Ihren Online-Shop – und für Kundendaten ebenso wie für Mitarbeiterdaten.

Ich führe keine Rechtsberatung durch und kann mich zu juristischen Details nicht äußern. Im Zweifelsfall empfehle ich Ihnen zunächst im Verordnungstext nachzulesen oder – wenn Ihr Geschäftsmodell von der DSGVO stark beeinflusst wird – einen fachkundigen Anwalt einzubeziehen.

Für wen gilt die DSGVO?

Die DSGVO gilt für alle Unternehmen, Organisationen und natürlichen Personen, die personenbezogene Daten zu wirtschaftlichen bzw. beruflichen Zwecken verarbeiten und in der EU ansässig oder zumindest in der EU tätig sind.

Personenbezogene Daten und ihre Verarbeitung

Was sind „personenbezogene Daten”?

  • „Im Sinne dieser Verordnung bezeichnet der Ausdruck ‚personenbezogene Daten’ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person’) beziehen; […]” (Art. 4 DSGVO)

Zu den personenbezogene Daten werden demnach z. B. Name, Alter, Geburtsdatum und Anschrift, aber auch Bankverbindung, Telefonnummer, E-Mail-Adresse, IP-Adresse, Cookies und Device/Machine/Browser Fingerprints gezählt. Diese Daten gelten erst dann als nicht mehr personenbezogen, wenn sie unumkehrbar anonymisiert wurden.

Die Verarbeitung personenbezogener Daten ist nur unter bestimmten Voraussetzungen rechtmäßig, etwa wenn eine Einwilligung der betroffenen Person vorliegt oder die Datenverarbeitung der Vertragserfüllung oder rechtlicher Verpflichtungen (z. B. Aufbewahrungsfristen) dient. Weitere Bedingungen werden in Art. 6 Abs. 1 DSGVO genannt.

Verarbeitung auch ohne Einwilligung des Betroffenen möglich

Auch ohne Einwilligung des Betroffenen können Verantwortliche personenbezogene Daten verarbeiten bzw. verarbeiten lassen. Die Bedingung ist in Art. 6 Abs. 1 lit. f DSGVO formuliert: „die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.”

Das ist vor allem dann interessant, wenn „Auftragsverarbeiter” eingesetzt werden. Gemeint sind damit natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten (z. B. Hosting-Provider, Google, MailChimp). Es empfiehlt sich dann einzeln zu prüfen, ob folgende Bedingungen erfüllt werden:

  • die Verarbeitung ist für den Betroffenen erwartbar (z. B. Besucher-Tracking)
  • die personenbezogenen Daten werden pseudonymisiert (z. B. IP-Adresse)
  • der Betroffene kann der Verarbeitung widersprechen (z. B. Opt-Out)
  • der Betroffene wird über die Verarbeitung informiert (z. B. Datenschutzerklärung)
  • die datenschutzrechtliche Beeinträchtigung des Betroffenen ist gering

DSGVO-Checkliste

Die folgende Liste unterstützt Sie bei der Umsetzung wichtiger Vorgaben der DSGVO für Ihre Website oder Ihren Online-Shop. Die Liste erhebt keinen Anspruch auf Vollständigkeit und wird ergänzt durch datenschutzrechtliche Grundsätze.

  1. Datenvermeidung und Datensparsamkeit
    Es werden nur so viele personenbezogene Daten erhoben, wie es dem beabsichtigten Zweck angemessen und zu dessen Erfüllung notwendig ist. (Art. 5 Abs. 1 lit. b,c und Art. 25 Abs. 2 DSGVO)
  2. Datenschutzbeauftragter
    Es wurde ein zu dieser Tätigkeit beruflich qualifizierter und fachkundiger Datenschutzbeauftragter (DSB) benannt, sofern es nach Art. 37 DSGVO bzw. § 38 Abs. 1 BDSG erforderlich ist.
    1. Der DSB hat seine Tätigkeit aufgenommen. Zu seinen Aufgaben zählen z. B. die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften, Beratung, Sensibilisierung und Schulung im Unternehmen sowie die Zusammenarbeit mit der Aufsichtsbehörde.
    2. Die Kontaktdaten des Datenschutzbeauftragten wurden veröffentlicht (z. B. auf der Website) und der Aufsichtsbehörde mitgeteilt. (Art. 37 Abs. 7 DSGVO) – Formular für die Mitteilung an den Sächsischen Landesdatenschutzbeauftragten
  3. Sicherheitsmaßnahmen
    Es wird durch geeignete Maßnahmen ein „dem Risiko angemessenes Schutzniveau gewährleistet” (Art. 32 DSGVO) und die getroffenen Maßnahmen sind schriftlich dokumentiert (z. B. Verzeichnis). Beispiele für Sicherheitsmaßnahmen:
    1. Verschlüsselung (z. B. verschlüsselte Datenübertragung und -speicherung)
    2. Datensicherung und Datenwiederherstellbarkeit
    3. Sicherheitsupdates
    4. Vertraulichkeitsvereinbarungen
    5. Steuerung von Berechtigungen
    6. Datenschutz-Folgenabschätzung (Risikobewertung von Datenverarbeitungsvorgängen, die nur bei hohem Risiko für die Rechte und Freiheiten natürlicher Personen erforderlich ist)
  4. Datenschutzerklärung
    Die Website bzw. der Shop verfügt über eine leicht (und von jeder Seite aus) zugängliche, transparente und allgemein verständliche Datenschutzerklärung auf einer eigenen Seite. Der Inhalt der Datenschutzerklärung leitet sich von Art. 13 DSGVO ab.
  5. Auftragsverarbeiter
    Mit jedem Auftragsverarbeiter wurde ein Vertrag über die Verarbeitung personenbezogener Daten geschlossen. (Art. 28 Abs. 3 DSGVO) – Vertragsmuster
  6. Verzeichnis der Verarbeitungstätigkeiten
    Es wird ein schriftliches Verzeichnis der Verarbeitungstätigkeiten geführt, dass der Aufsichtsbehörde (Landesdatenschutzbehörde) auf Anfrage zur Verfügung gestellt werden können muss. (Art. 30 DSGVO) – Mustervorlage und Beispiele
  7. Reaktion auf Betroffene
    Die Rechte Betroffener werden respektiert. So wird auf Auskunftsersuchen, Korrekturverlangen Löschungswünsche etc. personenbezogener Daten schnell und unbürokratisch reagiert. (Art. 15 Abs. 1 DSGVO)
  8. Reaktion auf Datenschutzverletzungen
    Bei Verletzung des Schutzes personenbezogener Daten (z. B. „Datenpanne”) muss dieses binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden. (Art. 33 DSGVO)
  9. Revision
    Die Einhaltung der DSGVO wird überwacht, gepflegt und turnusmäßig (z. B. halbjährlich) geprüft. (Art. 39 Abs. 1 lit. b DSGVO)

Zertifizierung