Von Moritz Bachmann publiziert am 24. April 2018

DSGVO-Checkliste – Was Webseitenbetreiber jetzt tun sollten und auf was sie achten müssen.

Nur noch wenige Wochen, dann ist es soweit: Die EU-DSGVO wird vollumfänglich wirksam. Am 25.05.2018 müssen Webseitenbetreiber DSGVO-konform sein. Viele Unternehmen haben hier noch nichts oder nur wenig unternommen, denn gerade für Nicht-Juristen ist das Gesetzeswerk mit seinen knapp 100 Artikeln weder eingängig zu lesen und noch weniger umzusetzen.

Aus diesem Grund haben wir eine übersichtliche DSGVO-Checkliste mit den wichtigsten Fragestellungen und Handlungspunkten für Sie in diesem Blog-Artikel zusammengefasst.

Vorwort

Die EU-Datenschutzgrundverordnung (im Englischen auch unter GDPR bekannt) räumt Nutzern mehr Rechte ein als es das BDSG-alt, TMG oder UWG bislang getan hat. Darüber hinaus trifft sie nicht nur die Betreiber von Webseiten und -Portalen, ihr Anwendungsbereich erstreckt sich prinzipiell auf jedes Unternehmen, dass personenbezogene Daten (eine Definition dieses Begriffes finden Sie auch hier in unserem Blog: EU-Datenschutz-Grundverordnung (EU-DSGVO) im Marketing-Kontext) von EU-Bürgern verarbeitet (z.B. auch die von Mitarbeitern). Durch das Marktortprinzip ist es dabei völlig unerheblich, ob das betreffende Unternehmen in der EU sitzt oder nicht. Es gibt zwar einige Ausnahmeregelungen aber diese sind meist derart eng gefasst, dass wohl nur wenige Unternehmen davon profitieren werden.
An dieser Stelle sei auch gesagt, dass die DSGVO nicht zum Ziel hat den Unternehmen zu schaden, auch wenn die horrenden Bußgelder dies vielleicht vermuten lassen; der Gesetzgeber möchte vor allem, dass sich Unternehmen aktiv mit dem Thema Datenschutz auseinandersetzen und forciert dies mit empfindlichen Bußgeldern. 

 New Call-to-action

Die DSGVO-Checkliste für Webseitenbetreiber

1.  Involvieren Sie Ihren Datenschutzbeauftragten

Der Datenschutzbeauftragter ist einer Ihrer wichtigsten Ansprechpartner zur Umsetzung der EU-DSGVO. Obgleich er nicht persönlich für Versäumnisse oder Fehler beim Thema Datenschutz haftet, ist er verpflichtet, über bestehende datenschutzrechtliche Pflichten aufzuklären und deren Einhaltung überwachen. 

Ist die Benennung eines DSB Pflicht?
In den meisten Fällen, ja. Sobald mindesten 10 Personen im Unternehmen (auch Praktikanten, Teilzeit- oder freie Mitarbeiter) regelmäßig personenbezogene Daten verarbeiten (z.B. durch die Arbeit mit einem CRM-System) oder die Kerntätigkeit des Unternehmens die eine umfangreiche, regelmäßige und systematische Überwachung von Personen erforderlich macht (z.B. Leadmanagement über die Webseite) oder ein Verarbeitungsprozess eine Datenschutz-Folgenabschätzung benötigt (dazu weiter unten mehr) ist ein Datenschutzbeauftragter verpflichtend zu bestellen. Es spielt dabei keine Rolle ob Sie einen betrieblichen Datenschutzbeauftragten benennen (erfordert eine entsprechende Schulung z.B. durch die IHK) oder auf die Hilfe eines externen DSB zurückgreifen.

2.  Machen Sie eine Bestandsaufnahme aller Prozesse in denen personenbezogene Daten verarbeitet werden 

Die DSGVO sieht vor, dass ein Verfahrensverzeichnis (mehr dazu weiter unten) für o.g. Prozesse erstellt wird. Die Bestandsaufnahme ist ein erster Schritt zur Erstellung dieses Verzeichnisses und soll helfen, ein möglichst umfassendes Bild zu schaffen und den Weg zum Verfahrensverzeichnis zu erleichtern.

Wie erstelle ich eine Bestandsaufnahme?
Im ersten Schritt genügt z.B. ein Excel-Sheet mit folgenden Informationen:

  • Prozessname (z.B. Absenden Kontaktformular)
  • Zweck des Prozesses (z.B. Vertragsanbahnung)
  • verarbeitete personenbezogenen Daten (z.B. Nachname, E-Mail-Adresse, Telefonnummer)
  • Betroffene Personen (z.B. Nutzer, Mitarbeiter)
  • Quelle (z.B. Webseite)
  • Datenübermittlung (z.B. eigener Server in DE)

Beachten Sie bei der Erstellung, dass Sie auch sämtliche Prozesse mit Bezug zu persönlichen Daten mit aufnehmen, die von externen Dienstleistern für Sie erbracht werden, z.B. wenn Sie ein CRM auf SaaS-Basis nutzen oder Ihre E-Mails von Google in den USA gehosted werden. Hierzu sind in aller Regel sogenannte Auftragsverarbeitungsverträge (AV-Veträge, vormals ADV-Verträge genannt) mit dem Dienstleister abzuschließen (mehr dazu in Punkt 4).

3.  Prüfen Sie die Rechtsgrundlage jedes Datenverarbeitungsprozesses

Die DSGVO sieht sog. gesetzliche Erlaubnisse (Art. 6, Abs. 1 DSGVO) vor unter denen Betreiber von Webseiten auch nach dem Stichtag Ende Mai personenbezogene Daten verarbeiten dürfen. Hier sind die drei wichtigsten Erlaubnistatbestände für Sie zusammengefasst:

  • Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. (z.B. Einwilligung über ein Double-Opt-In-Verfahren für einen Newsletter)
  • Personenbezogene Daten dürfen im Rahmen der Vertragserfüllung bzw. zur Vertragsanbahnung genutzt und verarbeitet werden (hierunter könnten bspw. auch Kontaktformulare fallen).
  • Personenbezogenen Daten sind ggf. aufgrund gesetzlicher Aufbewahrungspflichten zu erfassen, zu verarbeiten und vorzuhalten (z.B. Rechnungen, Geschäftsbriefe, etc.)
  • Die Verarbeitung personenbezogener Daten auf Grundlage berechtigter Interessen. Berechtigt sind insbesondere auch wirtschaftliche Interessen. Diese sind mit den Interessen der Nutzer am Datenschutz abzuwägen. (Hierunter kann bspw. die Nutzung von Google Analytics zum Zweck der Verbesserung der Webseite bzw. der User-Experience auf der Seite fallen)

Die Rechtsgrundlage ist also die Bedingung zur Legitimation der Verarbeitung von personenbezogenen Daten. Aus diesem Grund muss sie sowohl im Verfahrensverzeichnis als auch in den Datenschutzbestimmungen pro Prozess immer mit angegeben werden.

Spezialfälle:

  • Minderjährige unter 16 Jahren können per Definition keine rechtswirksame Einwilligung erteilen. Personenbezogene Daten sind damit immer ohne Erlaubnistatbestand. Ein rechtssicheres bzw. nutzerfreundliches Prozedere gibt es an dieser Stelle noch nicht. 
  • Besonders sensible Daten (Angaben zur Ethnie, Gesundheit, Sexualität, religiösen oder politischen Ansichten sowie Biometrie oder Genetik eines Menschen) erfordern grundsätzlich die Einwilligung des Betroffenen

Wie gehe ich hierbei am besten vor?
Sie können hierzu auch wieder die zuvor erstellte Bestandsaufnahme bemühen und pro Prozess die Rechtsgrundlage (Einwilligung des Betroffenen, Vertragserfüllung, vorvertragliche Maßnahmen, Erfüllung einer rechtlichen Verpflichtung, Berechtigtes Interesse) hinzufügen. Lassen Sie dabei das Vorsichtsprinzip walten und verzichten Sie besser auf die Datenerhebung/-verarbeitung bzw. Löschen Sie personenbezogene Daten, wenn kein gesetzliches Erlaubnis dafür vorliegt bzw. vorlag.  

4. Prüfen Sie Ihre ADV-/AV-Verträge

Verträge zur Auftragsdatenverarbeitung sind schon aus dem BDSG-alt bekannt und umfassen das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch einen zumeist externen Dienstleister (Auftragnehmer). Die DSGVO regelt hier nicht nur die Nomenklatur neu (Aus Auftragsdatenverarbeitung wird Auftragsverarbeitung), sie bestimmt auch, dass der Vertrag nicht mehr der Schriftform bedarf und künftig auch elektronisch oder mündlich (Achtung: Nachweispflicht beachten) abgeschlossen werden kann.

Die größte Neuerung ist jedoch unter dem Begriff "Joint Control" zusammengefasst. Hierbei handelt es sich um die beiderseitigen Verantwortung zwischen Auftraggeber und Auftragnehmer für den Schutz von personenbezogenen Daten zu sorgen. Damit haben Betroffene grundsätzlich auch die Möglichkeit auf den Auftragnehmer zuzugehen, wenn es um die Durchsetzung deren Rechte geht; in der Praxis ist und bleibt der Auftraggeber erste Anlaufstelle für Betroffene.

Was muss in einem AV-Vetrag enthalten sein?

Art. 28 Abs. 3 der DSGVO regelt hierbei die Pflichinhalte des Vetrags:

  • Wer für die Datenverarbeitung verantwortlich ist 
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit (Art.24 und Art.28 Abs.3 DSGVO)
  • Sicherstellung von technischen und organisatorischen Maßnahmen für den Datenschutz
    (TOMs: Zertifikate, Garantien Art. 28 Abs. 1 DSGVO)
  • Etwaige Hinzuziehung von Subunternehmern
  • Unterstützung des Auftraggebers (für die Verarbeitung Verantwortlichen) durch den Auftragsverarbeiter, wenn es um die größtmögliche Sicherheit der Verarbeitung personenbezogener Daten geht, Löschung von Daten, Melden von Datenschutzverletzungen, etc. (vgl. Art. 32 bis 36 DSGVO).
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters.
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Die Gesellschaft für Datenschutz und Datensicherheit e.V. hat hierzu ein entsprechendes Vertragsmuster zur Auftragsverarbeitung bereitgestellt.

5. Verzeichnis von Verarbeitungstätigkeiten anlegen

Dieser Punkt zählt mit zu den Wichtigsten in unserer DSGVO-Checkliste, da das dieses Verzeichnis sowohl Dokumentation für die Gewährleistung der Betroffenenrechte, als Nachweis datenschutzrechtlicher Pflichterfüllung gegenüber den Aufsichtsbehörden darstellt.

Auch hier gibt es eine Ausnahmeregelung: 
Unternehmen mit weniger als 250 Mitarbeitern sind unter bestimmten Voraussetzungen von den Rechenschaftspflichten befreit (Art. 30 Abs. 5 DSGVO). Die Ausnahme gilt allerdings bereits dann nicht, wenn die Verarbeitung personenbezogener Daten „nicht nur gelegentlich“ erfolgt. Sobald also eine CRM- oder eine Newsletter-Software im Einsatz ist, muss das Verzeichnis angelegt werden.

Verfahrensverzeichnis nach BDSG-alt
Unternehmen, die nach BDSG-alt bereits ein „Verarbeitungsverzeichnis“ geführt haben, sparen sich viel Arbeit. Sie können die bisherigen Aufzeichnungen in ein „Verzeichnis von Verarbeitungstätigkeiten“ (Art. 30 DSGVO) überführen und müssen nur noch die bestehenden Prozesse nach der DSGVO prüfen.

Wer muss ein Verfahrensverzeichnis führen?
Ein Verfahrensverzeichnis nach DSGVO müssen sowohl Verantwortliche für den Datenschutz als auch Auftragsverarbeiter die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten) führen. Das Verzeichnis neben der Schriftform auch in elektronischer Form geführt werden und muss auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt werden.

Inhalte eines Verarbeitungsverzeichnisses
Die Pflichtinhalte des Verzeichnisses sind in Art. 30 a-g geregtelt und umfassen folgende Punkte:

  1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

  2. die Zwecke der Verarbeitung;

  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

  4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

  5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

  6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

  7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Wie erstelle ich ein Verarbeitsungsverzeichnis?
Wie ein Verarbeitungsverzeichnis vorbereitet, erstellt und gepflegt werden kann, hat Bitkom e.V. inkl. Beispiele in einem Whitepaper übersichtlich zusammengefasst.

6. Technische und organisatorische Maßnahmen (TOMs) prüfen

TOMs sind die Dokumentationen darüber, welche technischen und organisatorischen Maßnahmen  ergriffen worden sind, um die verarbeiteten personenbezogenen Daten vor Kenntnisnahme durch Unbefugte, Zerstörung oder Missbrauch, Verlust, etc. zu schützen. 
Was bisher auch in BDSG-alt galt findet sich, auch wenn teilweise anders benannt, im BDSG-neu wieder. Neu hinzugekommen sind die Pflichten: 

  • Wiederherstellbarkeit (Gewährleistung, dass Systeme nach einem Störfall wiederhergestellt werden können)
  • Zuverlässigkeit (Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden) 
  • Datenintegrität (Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können)

Die technisch-organisatorische Maßnahmen fußen bei vielen Unternehmen immer noch auf BDSG-alt und sind daher zu aktualisieren. Weiterhin sind TOMs sowohl für Datenverantwortliche als auch Datenverarbeiter wichtige Dokumente, auf die im Verarbeitungsverzeichnis Bezug genommen werden kann bzw. dort beschrieben werden müssen.

7. Abläufe zur Wahrung von Betroffenenrechten umsetzen

Generell gilt: Der Betroffene muss in verständlicher Art und Weise über seine Rechte informiert werden; also über das eines Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit. 

Um folgende Rechte geht es bei der DSGVO:

  • Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (z.B. bei der Anmeldung zu einem Newsletter)
  • Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (z.B. über Auskunfteien)
  • Auskunftsrecht 
  • Recht auf Berichtigung (z.B. wenn Daten fehlerhaft erfasst worden sind)
  • Recht auf Löschung/Recht auf Vergessenwerden
    (z.B. wenn der Zweck oder die Notwendigkeit der Speicherung entfallen)
  • Recht auf Einschränkung der Verarbeitung (z.B. wenn die Daten unrechtmäßig eingeholt wurden)
  • Recht auf Datenübertragbarkeit (z.B. Übertragung von Kontaktlisten von Dienst A zu Dienst B)
  • Widerspruchsrecht (z.B. bei Profilingmaßnahmen zur Direktwerbung)


Fristen
In den meisten Fällen und vor allem wenn die Daten beim Webseitenbetreiber und nicht bei einem externen Dienstleister vorliegen, gelten Fristen von lediglich einem Monat, z.B. wenn der Nutzer einen Antrag auf Auskunft stellt, müssen die entsprechenden Informationen binnen 30 Tagen zur Verfügung gestellt werden. In besonderen Härtefällen kann diese Frist um 2 Monate verlängert werden, über die Gründe der Fristverlängerung muss der Nutzer aber innerhalb des ersten Monats aufgeklärt werden.

Wie kann ich die Betroffenenrechte umsetzen?
Um die einzelnen Rechtsansprüche umzusetzen empfiehlt es sich entsprechende Workflows innerhalb der Webseite zu implementieren, so dass der Nutzer diese eigenständig abrufen bzw. elektronisch durchsetzen kann. Auch wenn nicht davon auszugehen ist, dass nach dem 25. Mai massenhaft Anträge auf Auskunft, Berichtigung oder Löschung eingehen werden, sollte manueller Aufwand durch die Implementierung entsprechender Automatismen minimiert werden.

8. Datenschutzerklärung anpassen

Die Datenschutzerklärung ist ein wichtiger Bestandteil des Informationsrechts für Nutzer. Sie diese ausführlich darüber informieren, ob und in welcher Form die Erhebung personenbezogener oder anderer sensibler Daten auf der Webseite erfolgt. Je umfangreicher eine Webseite Daten der Nutzer sammelt, desto umfangreicher fällt auch die Datenschutzerklärung aus.

Ist meine bisherige Datenschutzerklärung ausreichend?
Nein, denn mit der DSGVO sind neue Anforderungen wie z.B. die Bennenung der Rechtsgrundlage pro Tool bzw.  Datenerhebungsprozess dazugekommen. Damit muss jede Datenschutzerklärung nach "altem" Recht nochmals überarbeitet werden.

Da Art. 13 ff. in der DSGVO einen ganzen Katalog an Pflichtinformationen aufzählt, verzichten wir in diesem Blog-Artikel eine detaillierter Darstellung. 
Die gute Nachricht ist, dass es mittlerweile entsprechende Datenschutzerklärungs-Generatoren gibt, die helfen, eine DSGVO-konforme Datenschutzerklärung mit wenigen Klicks zu erzeugen.

Die Gesellschaft für Datenschutz hat beispielsweise einen kostenfreien Generator für eine Datenschutzerklärung nach DSGVO zur Verfügung gestellt. Dennoch sollten Sie auch eine so erzeugte Erklärung nochmals durch Ihren Datenschutzbeauftragten oder -Juristen gegenprüfen lassen, um ewaigen Abmahnungen aus dem Weg zu gehen.

9. Besondere Anforderungen für Webseitenbetreiber

Der letzte Punkt in unserer DSGVO-Checkliste umfasste einige wichtige Handlungspunkte für die Nutzung verschiedener Webseitentools. Es gibt leider bislang noch nicht allzu viele Best-Practises, weshalb auch diese Aufstellung keinen Anpruch auf Vollständigkeit hat.

Google Analytics 

  • ADV mit Google schließen (hier geht es zur Vertragsvorlage)
  • IP-Adressen anonymisieren
  • Einwilligung zur Nutzung von Cookies prüfen
  • Aufbewahrungsdauer der Daten festlegen
  • Aufnahme im Verzeichnis von Verarbeitungstätigkeiten
  • Datenschutzerklärung anpassen (Erhebung, Verarbeitung, Opt-Out, etc.)
  • Ggf. Löschung von Altdaten
  • Opt-In für Retargeting prüfen

 
Nutzung von (Kontakt-)Formularen

  • SSL-Verschlüsselung bei der Übertragung sicherstellen
  • Prinzip der Datensparsamkeit/-minimierung einhalten 
  • Datenschutzerklärung anpassen (Erhebung, Verarbeitung, Opt-Out, etc.)
  • Aufnahme im Verzeichnis von Verarbeitungstätigkeiten
  • Zustimmung einholen & protokollieren (demarkierte Checkbox)


Versendung von Newslettern

  • Einverständnis einholen & protokollieren (Double-Opt-In-Verfahren)
  • Prinzip der Datensparsamkeit/-minimierung einhalten 
  • Datenschutzerklärung anpassen (Erhebung, Verarbeitung, Opt-Out, etc.)
  • Aufklärung des Nutzers über Zweck, Art und Häufigkeit des Mailings sowie Widerspruchsmöglichkeiten (Verweis auf Datenschutzerklärung) 
  • Älter Opt-Ins auf Rechtmäßigkeit nach DSGVO prüfen und ggf. neu einholen

Social Media 

  • Social Buttons (Facebook)
    Da Facebook aber bisher nicht offenlegt, welche Daten genau erhoben werden und was mit diesen geschieht, fehlt es an der nötigen Information, um eine informierte Einwilligungserklärung abgeben zu können. Die Shariff-Lösung bietet hier zwar mehr Rechtssicherheit, ist aber in der Usability nicht der beste Ansatz. Eine Musterlösung wird hier noch auf sich warten lassen.

  • Einbettung von Youtube-Videos
    • Hier sollte der erweiterte Datenschutzmodus aktiviert werden. 
    • Datenschutzerklärung anpassen

 

Fazit

Viele Webseitenbetreiber sind noch nicht oder noch unzureichend auf die EU-DSGVO vorbereitet und bei vielen besteht die Angst, mit oder kurz nach dem Stichtag die ersten Abmahnschreiben im Briefkasten zu haben. Auch wenn diese Angst nicht komplett unbegründet scheint, ist es sinnvoll mit kühlem Kopf und vor allem mit beratenden Personen wie dem Datenschutzbeauftragten oder einem Datenschutz-Juristen die Prioritäten zu erarbeiten bzw. umzusetzen. Und wenn nach dem 25. Mai noch nicht alle Kontaktformulare auf der Webseite DSGVO-konform sind, kann es auch sinnvoll sein, diese für eine kurze Übergangszeit auszublenden und auf klassische Kontaktmaßnahmen wie z.B. die Angabe einer Telefonnummer zurückzugreifen. 

 

New Call-to-action

Disclaimer

An dieser Stelle möchte ich noch darauf hinweisen, dass es sich bei diesem Blogartikel nicht um eine Rechtsberatung handelt. Die obenstehenden Informationen haben daher keine rechtsverbindliche Wirkung. Zur rechtsverbindlichen Prüfung Ihres Umsetzungskonzepts für die Marketing Automation in Ihrem Unternehmen sollten Sie in jedem Fall einen juristischen Experten hinzuziehen. Wir lassen uns in diesem Zusammenhang von unserem Datenschutzbeauftragten RA Christian Welkenbach (http://www.tcilaw.de/ ) beraten.