Was muss ich bei der Einführung der DSGVO beachten?

Am 25. Mai 2018 tritt die neue Datenschutzverordnung (DSGVO) in Kraft. Durch diese sollen die Regelungen zur Erhebung, Verwendung sowie Verarbeitung personenbezogener Daten europaweit vereinheitlicht werden. So soll ein besserer Schutz persönlicher Daten gewährleistet werden. Verstöße gegen die DSGVO können zukünftig teuer werden.

Von der DSGVO sind auch Websitebetreiber betroffen, welche ihre bisherigen Datenschutzbestimmungen prüfen und überarbeiten müssen. Viele Unternehmen sind aufgrund der weitreichenden Änderungen, die die DSGVO mit sich bringt, verunsichert. Wir möchten Ihnen in unserem Newsletter eine Checkliste mit an die Hand geben – durch diese sollen Sie einen Überblick über alle wichtigen To Dos in Bezug auf Ihre Website bzw. Ihren Onlineshop erhalten, die wir Ihnen im Zuge der neuen DSGVO empfehlen. Alle von uns erstellten Empfehlungen sind nach bestem Wissen und Gewissen erstellt. Eine Rechtsgarantie können Sie sich nur über eine anwaltliche Beratung holen.

Checkliste zur DSGVO

  1. Stellen Sie Ihre Website auf HTTPS (SSL) um*
    Bestehende Sicherheitslücken bei Websites sind leider immer häufiger der Grund für den Missbrauch und Diebstahl persönlicher Daten. Zum Schutz dieser wird im Rahmen der DSGVO eine SSL-Verschlüsselung gesetzlich vorgeschrieben, sofern personenbezogene Daten übertragen werden. Dies trifft insbesondere auf Onlineshops zu, gilt aber auch schon für Kontakt- oder Anfrageformulare. Eine reine Informationsseite ohne solche Formulare wäre auch ohne SSL weiter zulässig, das trifft aber heutzutage wahrscheinlich auf die wenigsten Seiten zu.
    Die Abkürzung SSL steht für „Secure Sockets Layer“. Eine SSL-Verschlüsselung erfolgt über den Erwerb eines speziellen Zertifikats. Dadurch wird eine sichere Netzverbindung zwischen einem Server und einem Client gewährleistet. Eine vertrauenswürdige, sichere Verbindung lässt sich an dem „https“ vorne in der URL Ihrer Website bzw. Ihres Onlineshops sowie an dem nebenstehenden Symbol eines verriegelten Schlosses erkennen.

    Achtung! Ab Juli dieses Jahres wird Google mit Release des Browsers Chrome 86 alle Websites ohne SSL-Verschlüsselung mit einem deutlichen Hinweis als „nicht sicher“ kennzeichnen. So sollen Nutzer vor den Gefahren unsicherer Websites gewarnt werden. Dies sollten Sie sich – zusätzlich zu den Richtlinien der DSGVO – zum Anlass nehmen, Ihre Website auf HTTPS umzustellen.

    Unser erfahrenes Team unterstützt Sie gerne bei der Umstellung Ihrer Website. Bitte tragen Sie Ihre Daten in das Formular auf dieser Seite ein, damit wir uns bei Ihnen melden können! Alternativ erreichen Sie uns unter +49 221 96887627.

    Bitte beachten Sie: Auch bei aktiver Unterstützung haften wir nicht für die juristische Richtigkeit. Dafür ist jeder Websitebetreiber selbst verantwortlich.

  2. Prüfen Sie bestehende Verträge zur Auftragsdatenverarbeitung (ADV) bzw. schließen Sie diese Verträge mit externen Dienstleistern ab, sofern diese noch nicht vorliegen*
    Der Begriff Auftragsdatenverarbeitung beschreibt das Erheben, Verarbeiten oder Nutzen von personenbezogenen Daten durch einen Dienstleister (Auftragnehmer), welcher an die Weisungen des Aufraggebers gebunden ist. Grundlage der Zusammenarbeit ist der ADV-Vertrag. Durch diesen Vertrag wird eine gesetzeskonforme Auftragsdatenverarbeitung gewährleistet.

    Im Zuge der DSGVO ist es wichtig, dass alle bestehenden ADV-Verträge an die neuen Regelungen angepasst werden. Neue ADV-Verträge können im Rahmen der DSGVO künftig nicht mehr ausschließlich schriftlich, sondern auch in elektronischer Form abgeschlossen werden.
    An dieser Stelle möchten wir Ihnen unbedingt dazu raten, sich zu diesem Thema auch mit Ihrem eigenen Datenschutzbeauftragten zu beraten, da wir keine allgemeingültigen Aussagen zur Notwendigkeit treffen können.

  3. Prüfen und überarbeiten Sie Ihre Datenschutzerklärung
    In der Datenschutzerklärung wird festgehalten, welche Daten erfasst werden, wie und zu welchen Zwecken diese Daten erfasst sowie verarbeitet werden.

    Um die Pflichtangaben Ihrer Datenschutzerklärung DSGVO-konform anzupassen, empfehlen wir den Datenschutzerklärung-Generator der Kanzlei WILDE BEUGER SOLMECKE, die unter anderem auf Internet- und Medienrecht spezialisiert ist.

    Wichtig: Führen Sie in Ihrer Datenschutzerklärung unbedingt auch alle eingesetzten datenschutzrelevanten Dienste, wie beispielsweise Google Analytics und Google AdWords, sowie jegliche anderen Drittanbieter auf, an die personenbezogene Daten übertragen werden (dazu zählen auch IP-Adressen der Besucher). Dies können z.B. Website-Plugins sein, die mit dem Server des Anbieters korrespondieren, oder auch eingebundene Social Media-Buttons (Facebook etc.).

  4. Bauen Sie einen Cookie-Hinweis auf Ihrer Website ein
    Cookies sind kleine Textdateien, die Informationen zu Websitebesuchern enthalten. So lassen sich durch Cookies beispielsweise Informationen über den Verlauf besuchter Seiten des Nutzers nachvollziehen. Wenn Ihre Website bzw. Ihr Shop Cookies nutzt, empfehlen wir Ihnen, einen Cookie-Hinweis beim ersten Aufruf Ihrer Website einzublenden. Hier sollte die Einwilligung des Nutzers über die Verwendung von Cookies eingeholt und auf dessen Widerspruchsrecht hingewiesen werden.

  5. Benennen Sie einen Datenschutzbeauftragten (wenn nötig)
    Sind in Ihrem Unternehmen mehr als neun Mitarbeiter mit der Datenverarbeitung beschäftigt, so muss ein Datenschutzbeauftragter benannt werden. Wichtig: Bei Unternehmen, die Daten verarbeiten, für die eine Datenschutz-Folgenabschätzung (Privacy Impact Assessment) nötig ist – egal, ob bei diesen Unternehmen nur neun Mitarbeiter oder weniger mit der Verarbeitung personenbezogener Daten beschäftigt sind – muss ebenfalls ein Datenschutzbeauftragter ernannt werden! Hierunter fallen alle Daten, bei denen ein hohes Risiko für die Betroffenen besteht (beispielsweise gesundheitliche Daten, die in Patientenakten gespeichert werden). Ein Datenschutzbeauftragter achtet darauf, dass alle Datenschutzvorgaben vom Unternehmen eingehalten werden.

  6. Umsetzung weiterer unternehmensinterner Aspekte
    Zu diesen Handlungsempfehlungen kommen weitere Punkte, die jedes Unternehmen intern umsetzen sollte, u.a. die Pflicht zum Führen eines Verfahrensverzeichnisses sowie eines Verzeichnisses der Verarbeitungstätigkeiten, die Erstellung eines Sicherheits- und Notfallkonzepts oder die dokumentierte Verpflichtung der Mitarbeiter aufs Datengeheimnis. Die genauen Anforderungen unterscheiden sich dabei je nach Unternehmensform- und Größe, daher empfehlen wir Ihnen, sich mit Ihrem Datenschutzbeauftragten in Bezug auf all diese unternehmensinternen Aspekte zusammenzusetzen.

* Hierbei können zusätzliche Kosten entstehen.