DSGVO – die Last-Minute-Checkliste: Habt ihr an diese 7 Dinge gedacht?



Ist eure Firmenwebsite oder euer Onlineshop für die neue Datenschutz-Grundverordnung (kurz: DSGVO) gewappnet? Wenn nicht, dann wird es Zeit, denn am 25. Mai 2018 wird die DSGVO scharf geschaltet. Wir haben euch die 7 wichtigsten Punkte zusammengestellt, damit ihr die nächsten Tage noch aktiv werden könnt, falls notwendig.

Praxiswissen kompakt - DSGVO
Schreckgespenst DSGVO – schnell bis zum 25. Mai 2018 die wichtigsten Punkte checken.

Im Kontext der DSGVO gibt es mehrere kritische Bereiche und ihr braucht zwingend an die DSGVO angepasste Datenschutz-Richtlinien. Neben den insbesondere für Online-Unternehmen relevanten Punkten beim Webauftritt müsst ihr natürlich auch zahlreiche Anforderungen an den internen Datenschutz erfüllen: u.a. von der sicheren Verwahrung von Akten über ein Schlüsselprotokoll und Leitlinien zur privaten Internetnutzung von Mitarbeitern bis hin zur ordnungsgemäßen Entsorgung von Unterlagen, die personenbezogene Daten enthalten. Wir konzentrieren uns nachfolgend jedoch auf die Datenschutzaspekte, die Externe schnell bei euch einsehen können und bei denen somit dringender Handlungsbedarf besteht.

#1 Braucht ihr einen Datenschutzbeauftragten?

Die Frage, ob ihr einen Datenschutzbeauftragten braucht, hängt nicht von der Unternehmensgröße ab. Sobald die Verarbeitung personenbezogener Daten zur Kerntätigkeit eures Unternehmens gehört, benötigt ihr einen Datenschutzbeauftragten. Prüft also schnellstens die Situation in eurem Unternehmen. Der Datenschutzbeauftragte kann intern oder extern bestellt werden. Dabei muss jedoch auch ein intern benannter Datenschutzbeauftragter entsprechende Kenntnisse vorweisen können, was bei kleinen Teams kaum der Fall sein dürfte. Mehr dazu findet ihr auch in diesem Beitrag.

#2 Dürft ihr Google Analytics einsetzen?

Google Analytics ist der gebräuchlichste Tracking-Dienst, aber er ist voller datenschutzrechtlicher Tücken. So wird bei Google Analytics die IP-Adresse des Users auch dann übertragen, wenn die IP-Adresse im Tracking-Schnipsel anonymisiert wird. Ob der Einsatz von Google Analytics nach Start der DSGVO noch im Rahmen liegt, wird derzeit intensiv diskutiert. Einen sehr lesenswerten Artikel hierzu findet ihr beim Rechtsanwalt Dr. Thomas Schwenke (). Aber da Google selbst die Verantwortung zur Einholung einer Einwilligungspflicht eurer Webseitennutzer an euch überträgt, deutet einiges darauf hin, dass der Einsatz von Google Analytics (und aller anderen Google-Dienste) im Lichte der DSGVO anders zu handhaben ist.

Was könnt ihr tun?

  • Strategie 1: Ihr holt euch beim User die Zustimmung zum Tracking durch Google Analytics und bietet ein Opt-Out an. Dann riskiert ihr aber, Traffic zu verlieren, weil ihr den User damit abschreckt. Wird das Opt-Out häufig durchgeführt, haben eure Daten nur noch die Qualität einer Stichprobe.
  • Strategie 2: Ihr wählt ein alternatives Tracking-Tool, wie z.B. das kostenpflichtige Tool etracker.

#3 Wie ist es generell mit dem Einsatz von Cookies?

Was läuft eigentlich bei euch alles auf der Webseite? Diese Frage könnte ihr mit ganz einfach prüfen. Nach Eingabe eurer URL erhaltet ihr eine Übersicht über die „Datenschutzfreundlichkeit“ eurer Seite. Mit in der Liste werden auch Cookies angezeigt, die zum Einsatz kommen.

Über Cookies wird das Surfverhalten eurer User beobachtet und dabei werden personenbezogene Daten übertragen. Dies ist laut DSGVO nicht erlaubt. Daher müsst ihr jeden Einsatz von Cookies in der Datenschutzerklärung erläutern und rechtfertigen. Die DSGVO öffnet an dieser Stelle die Datenschutztür einen Spalt breit: Die Zauberformel ist das sogenannte „berechtigte Interesse“ der Webseitenbetreiber. Der Haken an der Sache: Was genau alles in den Bereich „berechtigtes Interesse“ fällt, wird derzeit kontrovers diskutiert und damit nach DSGVO-Start vermutlich schnell Gerichte beschäftigen. Cookies, die dazu dienen, den ordnungsgemäßen Betrieb eures Webshops zu gewährleisten, fallen ohne Zweifel unter das berechtigte Interesse. Cookies, die hingegen Retargeting ermöglichen, mit großer Wahrscheinlichkeit nicht.

In jedem Fall müsst ihr euren Webseitenbesuchern die Möglichkeit bieten, die Aufzeichnung des Surfverhaltens zu unterbinden.

#4 Ist die Einbindung von Youtube-Videos laut DSGVO erlaubt?

Wenn ihr auf euren Seiten Youtube-Videos einbindet, dann werden eure Nutzerdaten bereits vor dem Aufruf bzw. Klick des Videos an Youtube übermittelt. Das ist laut DSGVO ab dem 25. Mai 2018 nicht mehr erlaubt.

Youtube Video rechtssicher einbinden
Wählt die nocookie-Option, wenn ihr in Zukunft Youtube-Videos einbindet. (Quelle: )

Was könnt ihr tun?

  • Ihr wählt die nocookie-Einbindung und baut das Video so ein, dass keine Cookies übertragen werden. Wie das geht, seht ihr auf Youtube, wenn ihr die Option „einbetten“ verwendet. (vgl. oben stehendes Bild)
  • Oder ihr verwendet ein Plugin, das die Verbindung des Video-Elements zum Youtube-Server unterbindet. Der User übermittelt erst dann Daten zum Youtube-Server, wenn er das Video explizit aufruft.

In jedem Fall müsst ihr den Einsatz eingebetteter Youtube-Videos in die Datenschutzerklärung aufnehmen und den User darauf hinweisen, dass beim Anschauen der Videos Daten an Youtube übertragen werden.

#5 Wie baut ihr Social Media Buttons rechtssicher ein?

Auch Social Media Buttons sind im Lichte der DSGVO kritisch zu bewerten. Sind Social Media-Buttons auf einer Webseite eingebunden, werden Nutzerdaten an den entsprechenden Dienst übertragen.

Hier gilt das gleiche wie bei Youtube-Videos:

  • Ihr wählt einen Button, der erst beim Klick auf den Button Userdaten übersendet. Für solche Buttons gibt es entsprechende Anbieter.
  • Die Nutzung der Buttons müsst ihr erläutern und rechtfertigen und in der Datenschutzerklärung hinterlegen.

In dem Zusammenhang könnt ihr euch überlegen, welche Social Media Buttons für euer Webprojekt überhaupt relevant sind. Je weniger Social Media Buttons ihr einsetzt, desto weniger Arbeit habt ihr, die Datenschutzerklärung zu vervollständigen und bei rechtlichen Änderungen zu korrigieren.

#6 Wann entspricht ein Formular den Anforderungen der DSGVO?

Wenn ihr in Zukunft auf eurer Website über ein Formular Daten erhebt, braucht ihr zwingend eine verschlüsselte Übertragung der erhobenen Formulardaten. Was müsst ihr tun?

  • Zuerst müsst ihr die Website auf https umstellen, damit ihr eine verschlüsselte Datenübertragung gewährleisten könnt.
  • Im Formular dürft ihr nur die notwendigsten Daten erheben.
  • Das Formular muss zu Beginn einen Hinweis auf die Datenschutzerklärung enthalten.
  • Die Datenerfassung über das Formular müsst ihr in der Datenschutzerklärung im Detail erläutern.
  • Baut eine Schaltfläche in das Formular ein, über die der User einwilligen muss, die Daten an euch zu dem vorgegebenen Zweck zu übermitteln und, dass er die Einwilligung gemäß Datenschutzerklärung jederzeit widerrufen kann. Das sollte ein Pflichtfeld sein, damit der User erst dann die Formularnachricht übertragen kann, wenn er den Bestätigungsbutton geklickt hat.

#7 Datenschutzerklärung – habt ihr schon umgestellt?

Die Datenschutzerklärung muss zwingend umgestellt werden. Hier die wichtigsten Bestandteile eurer Datenschutzerklärung:

  • Name und Anschrift des Datenschutzverantwortlichen
  • Name und Anschrift des Datenschutzbeauftragten, wenn ihr einen braucht
  • Allgemeines zur Datenverarbeitung (Umfang, Rechtsgrundlage, Speicherdauer und Datenlöschung)
  • Bereitstellung der Website und Erstellung von Logfiles
  • Verwendung von Cookies
  • Verwendung von Newslettern
  • Registrierung von Mitgliederbereichen
  • Kontaktformulare
  • Verwendung von Social Media Elementen (Buttons, Einbindung von Youtube oder andere Anbieter wie Vimeo)
  • Rechte der betroffenen Personen

Den Einsatz jedes laut DSGVO kritischen Elements auf euren Webseiten, egal ob Trackingtool, Social Media-Button oder Formularfeld, müsst ihr rechtfertigen und begründen. Was müsst ihr erläutern?

  • Was macht das Element mit den Daten und welchen Umfang hat diese Datenverarbeitung?
  • Die Rechtsgrundlage der Datenverarbeitung durch das entsprechende Element
  • Was ist der Zweck der Datenverarbeitung?
  • Wie lange werden durch dieses Element Daten gespeichert?
  • Welche Möglichkeiten bietet ihr eurem Nutzer, dem Einsatz des Elements zu widersprechen?

Die Datenschutzerklärung ist also ein zentraler Punkt auf eurer Website. Art und Umfang hängen davon ab, welche kritischen Elemente dort eingesetzt werden.

Fazit – Wie risikofreudig seid ihr?

Verstöße gegen die DSGVO werden in Zukunft streng geahndet. Die Abmahnanwälte, die sich darauf freuen, von euch hohe Abmahngebühren zu kassieren, stehen schon in den Startlöchern. Wenn ihr jetzt im Zeitdruck seid, weil ihr verschiedene Dinge bis zum 25. Mai 2018 nicht mehr schaffen werdet, dann solltet ihr die kritischsten Punkte auf eurer Website vorübergehend abschalten. Wer dagegen meint, ohne Google Analytics nicht leben zu können und ein Analytics-Opt-In als geschäftsschädigend empfindet, der braucht viel Geld, gute Nerven und einen guten Anwalt. Denn gerade beim Einsatz von Google Analytics ist mit einer großen Zahl an Abmahnungen zu rechnen.