Mai 2018

DSGVO fÜr Websites und Online-Shops

Am 25.05.2018 ist die Deadline für die Umsetzung bezüglich der Datenschutzgrundverordnung - DSGVO.  Dabei gibt es einige Neuerungen und Erweiterung der bestehenden Datenschutzrichtlinien. Hier eine Zusammenfassung, allerdings ohne Gewähr.

Grundsätzliches

  1. Es sollten alle Systeme und Dienste auf Sicherheit, Belastbarkeit und Vertraulichkeit geprüft werden
  2. Nach einem Zwischenfall (Datenverlust) müssen diese schnell wiederherstellbar sein und die betreffende Landesbehörde muss innerhalb von 72 Std. informiert werden.
  3. Pseudonymisierung und Verschlüsselung sind in den meisten Fällen Pflicht. Vor allem wenn (personenbezogene) Daten auf einer Website eigegeben oder verarbeitet werden.
  4. Über alle getroffenen Maßnahmen müssen Nachweise erbracht werden können, auch hinsichtlich der Auftragsdatenverarbeitung.
  5. Auf Websites sollten die Datenschutzerklärung, die Plugins und Einstellungen vor allem von Google-Diensten geprüft werden. Auch ein Cookie-Hinweis ist dringend zu empfehlen.

Datenschutz

Daten, vor allem personenbezogene Daten, sollten nur dann erfasst werden, wenn diese die folgenden Kriterien erfüllen.

  • Rechtmäßig (per Gesetz oder Einwilligung)
  • Transparenz
  • Zweckbindung
  • Nur nötige Daten
  • Bestmöglich geschützt

Grundsätzlich gilt ansonsten: wenn es nicht ausdrücklich erlaubt ist dürfen keine Daten erfasst werden.

Verträge

Es sollten Verträge zur Auftragsdatenverarbeitung mit allen Geschäftspartner geschlossen werden, die in einer Geschäftsbeziehung Daten verarbeiten (Kunden/Lieferanten).

Google bietet auch einen Vertrag zur Auftragsdatenverarbeitung für Google-Analytics.

Weitere Massnahmen

  • Alle bestehenden Datenverarbeitungsprozesse auf deren Zulässigkeit prüfen
  • Prüfen ob Datenübermittlungsprozesse zulässig sind und notwendige Auftragsverarbeitungsverträge vorliegen
  • Daten-Verzeichnis von Verarbeitungstätigkeiten mit der Übersicht aller Datenverarbeitungsprozesse erstellen.
  • Prüfen ob die Anforderungen an die Sicherheit der Daten erfüllt werden und gegebenenfalls eine Folgenabschätzung durchzuführen ist
  • Gibt es ein Beschwerdemanagement? Wie können betroffene Ihre Rechte geltend machen?
  • Mitarbeiter informieren/schulen und zur Vertraulichkeit verpflichten sowie zur Befolgung der neuen Datenschutz-Regeln anhalten
  • Datenschutz-Relevante Vorgänge protokollieren

Daten-Verzeichnis

Zusätzlich sollten zu allen Datenverarbeitungsprozessen Daten-Verzeichnisse erstellt werden. D.h. zum Beispiel für Kundendaten, Bewerberdaten (die nach 6 Monaten gelöscht sein sollten) sowie für Beschäftigtenstammdaten, Nutzungsdaten, Auftragsdaten etc.

Hierbei ist auch sicher zu stellen, dass Kunden immer ein Recht auf Löschung haben. Dies gilt auch für synchronisierte Laptops, Handys sowie Backups etc.

Prozess-Handbuch

Zudem sollten Prozesshandbücher geführt werden die über die Verarbeitung ihrer Daten informieren. Man sollte immer wissen, was wo gespeichert wird und wie man diese Daten bearbeiten und löschen kann.

Beispielsweise müssen nach einem Gewinnspiel alle erhobenen Daten gelöscht werden. Zum Beispiel nach Ermittlung der Gewinner.

Auch Mitarbeiter sollten diese Prozesse kennen.

Haftung und Strafen

Die Geschäftsführung haftet für sich und alle Mitarbeiter. Meist sogar persönlich. Dieser Haftung kann nur bei eingeführter Datenschutz-Compliance inkl. Überwachung teilweise entgangen werden.

Die Bußgelder belaufen sich auf bis zu 20 Millionen Euro. 4% des Jahresumsatzes sollen angesetzt werden.

Also packen Sie es an und nehmen Sie das Thema nicht auf die leichte Schulter.

Wichtiger Hinweis

Bitte beachten Sie: Alle  Angaben sind ohne Gewähr und beruhen auf dem derzeitigen Kenntnisstand. Wir führen keine Rechtberatung durch und wollen Sie nur für das Thema sensibilisieren.

Dsgvo2

Dsgvo

Allgemeine Website Maßnahmen

SSL ist Pflicht, wenn Daten eingegeben oder versendet werden. Dies ist aber heutzutage immer sinnvoll, auch wegen der Suchmaschninenoptimierung (SEO).

Problematisch sind:

  • Externe Schriften wie Google Fonts
  • Externe JS, auch CDNs oder andere externe Skripte
  • Plugins für Website und Versand
  • Facebook Pixel ist hochproblematisch
  • Social Media Plugins
  • Teilweise auch extern eingebunden Videos z.B. von YouTube.

Dies alles ist zumindest in der Datenschutzerklärung zu Berücksichtigen. In vielen Fällen ist aber auch eine Anpassung nötig.

Google-Analytics muss per Klick abgelehnt werden können (Opt-In/Opt-Out). IP-Anonymisierung ist Pflicht.

Ganz wichtig: Bei Minderjährigen ist das Tracking komplett verboten. Die Frage ist, wie kann man Minderjährige eindeutig identifizieren?

Website IP-Adressen

Werden die IP-Adressen irgendwie gespeichert wie beispielsweise bei den Kommentaren bei Wordpress? Dies muss evtl. entfernt oder überarbeitet werden, vor allem bei personenbezogenen Daten muss vorher zugestimmt werden.

IP-Adressen sind aber bei Dokumentationen und Protokollierung wie bei Double-Opt-In wichtig. Hier sind IP und Zeitpunkt wichtig für den Nachweis.

Website Plugins und Dienste

Zudem müssen alle Plugins einer Website geprüft werden, ob diese personenbezogene Daten speichern oder gar weiterleitet werden.

Vor allem bei Formular-Plugins, Mail- und Newslettersystemen sowe Shop-Plugins muss dies geprüft und im Zweifel abgesichert werden.

Nicht-europäische ausländische Dienste oder Plugins halten sich oft nicht an die DSGVO. Daher ist hier meist abzuraten oder zumindest gründlich zu prüfen.

Website Lösungen

Derzeit gibt es 2 Lösungsansätze für die DSGVO-Konformität:

  1. Basis-Lösung: bequem & schnell
    Cookie-Hinweis und Hinweis auf Datenschutzerklärung nach dem ersten Laden der Website sowie ein Opt-Out zumindest in der Datenschutzerklärung.
  2. Erweiterte Lösung
    Sperren aller in Frage kommenden Skripte und Inhalte sowie aktive Zustimmung durch den Benutzer evtl. sogar je Bereich/Funktion. Aktives Opt-In durch den User und selektive Freiage für externe Inhalte oder Statistiken etc.

Im besten Fall werden sogar alle Cookies und externen Inhalte aufgelistet und deren Verwendung erklärt, um dem Benutzer größtmögliche Transparenz zu gewährleisten.

Zudem sollte die Datenschutzerklärung angepasst werden und unter Umständen muss auch ein Datenschutzbeauftragter ernannt werden: in der Regel, wenn mehr als 10 Personen regelmäßig personenbezogene Daten verarbeiten.

Wann dürfen Daten erfasst werden?

  • Verarbeitung typisch und erwartbar
  • Nutzer informiert:
    Datenschutzerklärung
  • Keine Nachteile für Nutzer
  • Pseudonymisierung
  • Opt-Out-Möglichkeit/Widerruf
  • Werbeinhalte sind für Nutzer relevanter
  • Vertragliche Zusicherungen
  • Sicherheits-Garantien bei Drittländern

Wann dürfen keine Daten erfasst werden?

  • Umfangreiches Profiling
  • Standortdaten
  • Retargeting
  • Crossdevicetracking
  • Relevante Nachteile für Nutzer zu erwarten
  • Keine Informationen
  • kein Opt-Out
  • Daten Minderjähriger
  • Besonders sensible Arten von Daten
  • Daten Beschäftigter

E-Mail-Marketing

E-Mail-Marketing ist nach unserer Auffassung nur noch mit Einwilligung oder an aktive Bestandskunden möglich, d.h. wenn eine aktive Geschäftsbeziehung besteht. Dies gilt aus unserer Sicht auch für Unternehmen.

Außerdem darf man im Falle der Einwilligung auch nur ähnliche Produkte- und Dienstleistungen bewerben.

Ein Adresshandel ist bedingt möglich. Jegliche Beweislast liegt aber immer beim Versender.

Rufen Sie uns an.
Wir beraten Sie gerne.
Tel: +49 221 99 222 16 0

Oder schreiben Sie uns eine E-Mail: info@encurio.com