Kontakt

Checkliste: DSGVO-Konforme Webseite

Wieso ist brauche ich eine DSGVO-Konforme Webseite?

Jeder kennt die Kopfschmerzen, die die Datenschuttzgrundverordnung (DSGVO) Webseitenbetreibern bereitet. Einige ignoerieren das Thema vollständig und werden abgemahnt und einige gehen das Thema richtig an. Auch wenn das ganze Thema „DSGVO-Konforme Webseiten“ zu Anfangs sehr undurchsichtig und chaotisch wirkt, möchten wir Dir erklären, wie auch Deine Webseite DSGVO-Konform wird.

DSGVO-Checkliste

1. Impressum & Datenschutz

Das wichtigste zuerst. Eine DSGVO-konforme Datenschutzerklärung und ein korrektes Impressum sind grundlegende Bestandteile einer Webseite, die den europäischen Datenschutzrichtlinien entspricht. Hier ist eine Checkliste, um sicherzustellen, dass beide Elemente den Anforderungen genügen:

Datenschutzerklärung:

Einführung: Klären Sie den Zweck der Datenschutzerklärung und betonen Sie Ihr Engagement für den Datenschutz.

Verantwortlicher: Nenne den Namen und die Kontaktdaten des Verantwortlichen für die Datenverarbeitung auf Deiner Webseite.

Personenbezogene Daten: Definiere, welche personenbezogenen Daten gesammelt werden und zu welchem Zweck.

Rechtsgrundlage: Erkläre die Rechtsgrundlage für die Verarbeitung personenbezogener Daten (z.B. Einwilligung, Vertragsanbahnung).

Empfänger: Liste auf, wer Zugriff auf die Daten hat bzw. mit wem diese geteilt werden.

Drittlandtransfer: Informiere, ob Daten in Länder außerhalb der EU übermittelt werden und unter welchen Bedingungen.

Speicherdauer: Gib an, wie lange die Daten gespeichert werden.

Betroffenenrechte: Informiere über die Rechte der Nutzer (Auskunft, Berichtigung, Löschung, Widerspruch, Datenübertragbarkeit).

Widerrufsrecht: Erkläre das Recht zum Widerruf von Einwilligungen mit Wirkung für die Zukunft.

Beschwerderecht: Weise auf das Recht hin, sich bei einer Aufsichtsbehörde zu beschweren.

Automatisierte Entscheidungsfindung: Informiere, ob automatisierte Entscheidungsfindungen inklusive Profiling eingesetzt werden.

Sicherheitsmaßnahmen: Beschreibe die Maßnahmen zum Schutz der Daten.

Impressum:

Name und Rechtsform: Vollständiger Name des Webseitenbetreibers und ggf. die Rechtsform der Firma.

Adresse: Vollständige Adresse des Betreibers.

Kontakt: Telefonnummer, E-Mail-Adresse und ggf. ein Kontaktformular.

Vertretungsberechtigte Person: Bei juristischen Personen, Name der vertretungsberechtigten Person.

Handelsregister: Falls zutreffend, Handelsregister-Nummer und Ort des Registers.

Umsatzsteuer-ID: Umsatzsteuer-Identifikationsnummer, falls vorhanden.

Berufsbezogene Angaben: Bei reglementierten Berufen, Angaben zur Kammer, gesetzlichen Berufsbezeichnung und dem Staat, in dem die Berufsbezeichnung verliehen wurde.

Verantwortlich für den Inhalt: Angabe, wer für journalistisch-redaktionelle Inhalte verantwortlich ist.

Allgemeine Hinweise:

Aktualität: Halten Sie Datenschutzerklärung und Impressum stets aktuell.

Transparenz: Verwende klare und verständliche Sprache.

Zugänglichkeit: Beide Dokumente müssen leicht auffindbar und von jeder Seite Ihrer Webseite aus erreichbar sein.

 

2. Ressourcen aus dem EU-Inland

Wenn Du Daten an Anbieter übermittelst, die Ihren Sitz in einem EU Staat haben, ist dies in der Regel unproblematisch, denn für diese Anbieter gilt ebenfalls die EU weite DSGVO. Du musst lediglich diese Anbieter in Deiner Datenschutzerklärung aufführen und erläutern was mit den Daten passiert.

3. Ressourcen aus dem EU-Ausland

Bei der Übermittlung von Daten an Anbieter die außerhalb der EU sitzen, musst Du etwas aufpassen. Diese Betreiber unterliegen keinen EU-Richtlinien und könnten den EU-Datenschutz verletzten. Daten an solche Anbieter dürfen erst übermittelt werden, wenn der Nutzer dies ausdrücklich gestattet. Hierfür eignet sich – ähnlich wie bei Cookies – ein Cookie-Consent-Banner. Dazu aber später mehr. 
Hierzu zählen auch das Laden von Google Fonts aus den USA oder die Nutzung einer Google Karte.
Binde daher Google Fonts immer lokal ein und frage vor Laden der Google Karte nach Erlaubnis. 

4. Cookie-Consent-Banner

Der nächste Punkt auf der DSGVO Checkliste betrifft den Cookie-Consent-Banner. Dieser sorgt dafür, dass der Nutzer seine Erlaubnis für die Übermittlung seiner Daten an nicht-EU-Staaten oder für die Verwendung von Cookies abgeben kann.

Ein Cookie-Consent-Banner ist nur notwendig, wenn Sie Daten an nicht-EU-Staaten übermittelt werden, oder wenn Cookies sich wie folgt Verhalten:

  • Nutzerverhalten analysieren
  • Nutzerprofile anlegen
  • Nutzerdaten an Drittanbieter weitergeben
  • Statistiken erstellen

Wenn Du solche Cookies verwendest, gilt folgendes für Deinen Cookie-Consent-Banner:

  • Bei Wegklicken des Banners dürfen keine Cookies gesetzt werden
  • Standardmäßig dürfen keine optionalen Cookies aktiviert sein
  • Nutzer die Cookies deaktivieren müssen dennoch Zugriff auf die Webseite haben. Du kannst allerdings darauf hinweisen, dass einige Funktionen nicht genutzt werden können.

5. Verschlüsselung (SSL)

Als Betreiber einer Website bist Du verpflichtet, sämtliche auf Deiner Webseite gesammelten Daten zu sichern, was bedeutet, dass eine Verschlüsselung erforderlich ist. Der derzeitige Standard für diese Sicherheitsmaßnahme ist das HTTPS-Protokoll, welches oft auch als SSL-Zertifikat bezeichnet wird. Diese Form der Verschlüsselung verhindert, dass Dritte die auf Deiner Webseite eingegebenen Informationen abfangen können. Daher ist es ein entscheidender Sicherheitsaspekt, der in der DSGVO-Konformitätsliste Deiner Webseite unbedingt berücksichtigt werden sollte. Stelle sicher, dass Deine gesamte Webseite, einschließlich aller Subseiten, durchgehend verschlüsselt ist.

Das Vorhandensein einer sicheren Verbindung auf anderen Webseiten kannst du am Präfix https:// in der Adresszeile sowie an dem kleinen Schloss-Symbol erkennen.

6. Kontaktformulare

Kontaktformulare sind wahrscheinlich die beliebteste Art und Weise Kontaktanfragen über die eigene Webseite zu erhalten. Doch auch hier gibt es datenschutzrechtlich einige Regeln zu beachten:

  • Du darfst nur Daten abfragen, die für die Kontaktaufnahme wirklich benötigt werden.
  • Kontaktdaten die per Formular gesammelt wurden, dürfen ausschließlich für die Kontaktaufnahme verwendet werden. Nicht für Anderes wie beispielsweise Newsletter
  • Verlinke Deine Datenschutzerklärung im Kontaktformular und stelle durch eine Checkbox sicher, dass der Nutzer diese zur Kenntnis genommen hat.
  • Speichere die Kontaktdaten sicher und sorgfältig und lösche sie nach Ablauf der Löschfrist

7. Auftragsverarbeitungs-Vereinbarung

Falls Deine Webseite Daten an Dritte weitergibt, wie zum Beispiel an Analysetools oder E-Mail-Marketing-Dienste, ist es essentiell, Ihre DSGVO-Konformitätsliste um Vereinbarungen zur Datenverarbeitung zu erweitern. Diese sollten folgende Elemente enthalten:

  • Identifizierung und Kontaktdetails des Auftraggebers sowie des Dienstleisters, der die Datenverarbeitung durchführt.
  • Definition der Anweisungsbefugnisse und der zu erfüllenden Pflichten für alle an der Datenverarbeitung Beteiligten.
  • Details zu Umfang, Zeitraum, Methode und Ziel der Datensammlung und -verarbeitung.
    Beschreibung der umgesetzten technischen und organisatorischen Sicherheitsvorkehrungen zum Schutz personenbezogener Daten.
  • Dokumentationspraxis des Dienstleisters bezüglich seiner Verarbeitungsaktivitäten.
  • Regelungen zum Einsatz von Subunternehmern, einschließlich des zulässigen Umfangs.
  • Umgang mit Rechten und Forderungen betroffener Personen im Falle von Datenschutzverletzungen.
  • Festlegungen zur Benachrichtigungspflicht bei Datenschutzverletzungen.
  • Verfahrensweise bei Anweisungen des Auftraggebers, die nicht mit der DSGVO übereinstimmen.
  • Vorgehensweise nach Beendigung der Datenverarbeitungsvereinbarung bezüglich der personenbezogenen Daten.
  • Überprüfungsmechanismen für den Auftraggeber zur Kontrolle der Einhaltung der Datenschutzvorschriften durch den Dienstleister und dessen Akzeptanz bestimmter Überprüfungspflichten.
  • Bedingungen zur Datenübertragung in Nicht-EU-Länder, einschließlich der Spezifikation der Länder und der Sicherstellung der DSGVO-Konformität bei solchen Übermittlungen.

    Diese Punkte sollen sicherstellen, dass sowohl der Datenschutz als auch die Transparenz bei der Verarbeitung personenbezogener Daten durch externe Dienstleister gewahrt bleiben.

DSGVO Checkliste für Newsletter

8. Verwendungszweck der Daten

Analog wie beim Kontaktformular gilt auch hier, die durch eine Newsletter-Anmeldung erhobenen Daten dürfen ausschließlich für diesen verwendet werden. Auch hier dürfen ausschließlich Daten erhoben werden, die für den Versand des Newsletter nötig sind. Beispielsweise E-Mail, Telefonnummer, Unternehmen, etc.

9. Double-Opt-In

Opt-In beschreibt die bewusste Zustimmung zu einem Service oder Feature. Für Newsletter-Anmeldungen gilt das Double-Opt-In (Zwei-Schritt-Verfahren) als Goldstandard. Es dient dazu, die Identität der anmeldenden Person zu bestätigen und sicherzustellen, dass sie wirklich Interesse am Newsletter hat. Nachdem sich eine Person für den Newsletter eingetragen oder einen sogenannten Leadmagnet angefragt hat, erhält sie eine automatische E-Mail. In dieser E-Mail wird sie aufgefordert, ihre Anmeldung durch Klicken auf einen Button oder Link zu verifizieren. Erst mit dieser Bestätigung wird die Anmeldung als gültig betrachtet.

Social Media Checkliste

10. Icon Verlinkungen / Share Buttons

Achte darauf, dass Verlinkungen auf Social Media Kanäle erst Daten erheben, nachdem der Nutzer auf diesen Button geklickt hat. Nicht schon vorher.

11. Einbetten von Videos

Wenn Sie ein Youtube Video auf Ihrer Webseite per URL einbinden, trackt Youtube die Nutzerdaten wenn automatisch. Um DSGVO-Konform Videos einzubinden klicken Sie unter dem Youtube-Video auf „Teilen“ > „Einbetten“ und aktivieren Sie die Checkbox „Erweiterten Datenschutzmodus aktivieren“. Kopiere nun den Einbettungscode und hinterlegen ihn auf Deiner Webseite. Wenn alles geklappt hat sollte die URL des Videos „Youtube-nocookie.com“ lauten.

Du brauchst Hilfe? Wir helfen Dir gerne!