Angebot einholen
Logo Barth Datenschutz
Angebot einholen

DSGVO-Checkliste für Ihre rechtssichere Website

11. Oktober 2021

von Achim Barth

Ihre Website ist das Aushängeschild Ihres Unternehmens. Stimmt hier der Datenschutz nicht, ist davon auszugehen, dass er in Ihrem gesamten Unternehmen nicht mit der notwendigen Sorgfalt behandelt wird. Prüfen Sie Ihre Website mit dieser Checkliste!

Auf den ersten Klick

1. Cookie-Consent-Banner

Viele Leute klicken aus Bequemlichkeit auf „Alle akzeptieren“, sobald sie beim Aufrufen einer Website mit dem Cookie-Banner konfrontiert werden. Dennoch sollten Sie beim Erstellen Ihres Consent-Banners mit der nötigen Sorgfalt vorgehen, um diesen Punkt der DSGVO-Checkliste für Ihre Website korrekt abzuhaken.

  • Wenn ein Nutzer das Banner wegklickt, dürfen dadurch nicht automatisch die Cookies aktiviert werden.
  • In der Grundeinstellung müssen alle optionalen Cookies deaktiviert sein. Eine Vorauswahl ist nicht rechtens.
  • Drittens dürfen Cookies keine Voraussetzung für das Nutzen der Website sein. Heißt: Lässt der Nutzer optionale Cookies deaktiviert, muss er dennoch vollständigen Zugriff zur Website erhalten. Sie können ihn jedoch darauf hinweisen, dass das Deaktivieren bestimmter Cookies einige Funktionen einschränkt.

Übrigens ist ein Cookie-Banner nicht auf jeder Website notwendig, auch wenn das viele Website-Betreiber glauben. Sie benötigen die Einwilligungs-Box nur für Cookies, die

  • Das Nutzerverhalten analysieren
  • Statistiken erstellen
  • Nutzerdaten an Drittanbieter weitergeben
  • Nutzerprofile anlegen

Genauere Informationen dazu finden Sie im Blogbeitrag „Cookie-Check: Sind Ihre Cookies DSGVO-konform?“

2. Datenschutzerklärung

Den Punkt „Datenschutzerklärung“ muss jeder Website-Betreiber auf seiner DSGVO-Checkliste abhaken. Sie gibt an, welche Daten wie, wozu und wie lange erhoben werden und schafft damit Transparenz.
Das gehört in die Datenschutzerklärung:

  • Kontaktmöglichkeiten (Verantwortlicher und Datenschutzbeauftragter)
  • Zwecke und Rechtsgrundlage der Verarbeitung
  • Empfänger
  • Speicherdauer
  • Betroffenenrechte
  • Hinweise zur automatisierten Entscheidungsfindung

Binden Sie die Datenschutzerklärung so ein, dass Nutzer sie mit maximal zwei Klicks erreichen. Dafür bietet sich beispielsweise ein Link im Footer-Menü am Ende Ihrer Website an. Alle relevanten Angaben erläutere ich Ihnen gerne noch einmal ausführlich im weiterführenden Beitrag zur Datenschutzerklärung.

3. Impressum

Sobald Sie Produkte/Dienstleistungen anbieten oder journalistisch-redaktionelle Inhalte veröffentlichen, erweitert sich die DSGVO-Checkliste Ihrer Website um den Punkt „Impressum“. Genau wie die Datenschutzerklärung muss es leicht zu finden sein und mindestens diese Angaben enthalten:

  • Name, Anschrift, Kontaktmöglichkeiten des Website-Betreibers
  • Vertreter des Unternehmens
  • Rechtsform
  • Register bzw. Registernummer
  • Umsatzsteuer-Identifikationsnummer

4. Website-Verschlüsselung

Als Website-Betreiber stehen Sie in der Pflicht, alle auf Ihrer Seite erhobenen Daten zu schützen – heißt: zu verschlüsseln. Aktueller Stand der Technik ist hierbei das HTTPS-Protokoll, auch als SSL-Zertifikat bekannt. Die Verschlüsselung hindert Unbefugte daran, die auf Ihrer Website eingegebenen Daten auszulesen. Das macht sie zum wichtigen Sicherheitsfaktor, der auf der DSGVO-Checkliste Ihrer Website keinesfalls fehlen darf. Achten Sie darauf, dass Ihre gesamte Website (inklusive aller Unterseiten) verschlüsselt ist.

Eine sichere Verbindung erkennen Sie auf anderen Websites am Präfix https:// bzw. dem kleinen Schloss in der URL-Leiste.

5. Auftragsverarbeitungs-Vereinbarung

Sie leiten Daten an externe Dienstleister (z.B. Google Analytics oder Newsletter-Dienstleister) weiter? Dann erweitern Sie die DSGVO-Checkliste Ihrer Website bitte um die Auftragsverarbeitungs-Vereinbarung und nehmen Sie darin folgende Punkte auf:

  • Name und Kontaktdaten vom Verantwortlichen und dem Verarbeitenden
  • Wie lauten die Weisungsbefugnisse und welchen Verpflichtungen müssen die an der Verarbeitung beteiligten Personen nachkommen?
  • Was sind Gegenstand, Dauer, Art und Zweck der Verarbeitung?
  • Mit welchen technischen und organisatorischen Maßnahmen wird der Datenschutz organisiert?
  • Inwiefern dokumentiert die verarbeitende Partei ihre Tätigkeiten? Dazu gleich mehr.
  • Dürfen Subunternehmen beauftragt werden – und wenn ja, in welchem Rahmen?
  • Wie wird mit Ansprüchen umgegangen, die Betroffene von Verstößen stellen könnten?
  • Wie ist die Meldepflicht von Verstößen geregelt?
  • Wie hat sich der Verarbeitende zu verhalten, wenn Weisungen des Auftraggebers gegen die DSGVO verstoßen?
  • Wie wird mit den personenbezogenen Daten umgegangen, sollte die Auftragsverarbeitungsvereinbarung beendet werden?
  • Wie kann der Auftraggeber kontrollieren, ob der Verarbeitende seinen Pflichten ordnungsgemäß nachkommt? Und welche Duldungspflichten hat der Auftraggeber?
  • Inwiefern werden personenbezogene Daten in Drittländer übermittelt? Um welche(s) handelt es sich dabei? Wie wird garantiert, dass die Datenübermittlung dennoch der europäischen DSGVO entspricht?

6. Kontaktformulare

Kontaktformulare gibt es auf fast jeder Website – und deshalb gehört auch dieser Aspekt unbedingt auf Ihre DSGVO-Checkliste. Da mit dem Kontaktformular teils sensible Daten und Informationen übermittelt werden, sollten Sie hier ebenfalls einige Sicherheitsmaßnahmen ergreifen:

  • Datensparsamkeit: Fragen Sie nur solche Informationen ab, die für die Kontaktaufnahme wirklich nötig sind.
  • Zweckbindung: Sie dürfen Daten nur zum angegebenen Zweck verarbeiten. Das heißt: Wer über das Formular Kontakt aufgenommen hat, darf nicht automatisch in den Newsletter-Verteiler verschoben werden. Dazu wäre vor dem Absenden des Formulars eine ausdrückliche Einwilligung nötig.
  • Datenschutzerklärung: Sichern Sie sich rechtlich ab, in dem Sie die Datenschutzerklärung im Formular verlinken.
  • Sichere Aufbewahrung: Speichern Sie Daten so, dass kein Unbefugter darauf zugreifen kann, und löschen Sie sie nach Ablauf der Löschfrist.
    Mehr Informationen zum rechtssicheren Kontaktformular.

DSGVO-Checkliste für die Newsletter-Anmeldung auf der Website

7. Datensparsamkeit und Kopplungsverbot

Bei der Newsletter-Anmeldung gilt wie beim Kontaktformular: Nur das abfragen, was nötig ist – und der Interessent ist nicht unwissentlich im Newsletter-Verteiler gelandet, nachdem er sich für etwas anderes angemeldet hatte. Verlinken Sie auch hier Ihre Datenschutzerklärung

8. Double-Opt-In

Opt-In bezeichnet die aktive Einwilligung zu einem Dienst oder einer Funktion. Ein Double-Opt-In (zweistufige Anmeldung) ist beim Newsletter das Mittel der Wahl, um sicherzustellen, dass auch wirklich die richtige Person ihre Daten eingetragen und sich zum Newsletter angemeldet hat. Sobald sich ein Interessent zum Newsletter anmeldet oder einen Leadmagnet anfordert, sollte er eine automatische Mail erhalten. Darin muss er mit Klick auf einen Button oder Link bestätigen, dass er die angeforderten Informationen erhalten möchte. Erst dann gilt die Anmeldung.

Social-Media-Anbindung

9. Share-Buttons

Sie betreiben einen Blog und setzen am Ende des Beitrags kleine Buttons, mit denen der Leser den Beitrag in sozialen Netzwerken teilen kann? Dann gehört auch das auf die Checkliste für eine DSGVO-konforme Website. Diese Share-Buttons erheben Nutzerdaten häufig schon, sobald Ihre Website nur aufgerufen wird. Richten Sie die Buttons so ein, dass sie erst tracken/Daten erheben, wenn ein Nutzer darauf klickt.
Beachten Sie auch Medien für die Checkliste Ihrer DSGVO-konforme Website

10. Wiedergabe von Videos

Ähnlich wie Social-Share-Buttons erfassen auch Videoportale wie YouTube Nutzerdaten, wenn Sie ein Video auf Ihrer Website einbinden. Haken Sie deshalb auf Ihrer Checkliste ab, ob Sie Videos DSGVO-konform einbinden. Dazu gehen Sie wie folgt vor:

Binden Sie nicht einfach die URL des Videos ein. Klicken Sie stattdessen unterhalb des Videos auf „Teilen“ und wählen Sie dann „Einbetten“. Nun öffnet sich ein weiteres Menü. Scrollen Sie darin etwas runter und wählen Sie „Erweiterten Datenschutzmodus aktivieren“.

Nun können Sie den Einbettungscode kopieren. Dass dieser datenschutzkonform ist, erkennen Sie daran, dass die URL nun youtube-nocookie.com lautet. Damit werden Cookies von YouTube auf Ihrer Website erst dann aktiviert, wenn ein Nutzer das Video anklickt.

Konnten Sie für Ihre Website alle Punkte der DSGVO-Checkliste abhaken?

Datenschutz ist ein komplexes Thema, an dem Sie immer und immer wieder arbeiten müssen. Besonders Websites sind sehr dynamisch und sollten regelmäßig hinsichtlich Ihrer DSGVO-Compliance überprüft werden. Die DSGVO-Checkliste bietet Ihnen dafür schon eine gute Basis. Wenn Sie wirklich auf Nummer Sicher gehen möchten, empfehle ich Ihnen dennoch den prüfenden Blick eines Datenschutz-Experten. Zum kostenlosen Website-Scan

Kategorien: Öffentlich, Webseite

Diese Blogbeiträge dürften Sie ebenfalls interessieren