19.06.2018   Maria

Kleine DSGVO Checkliste für Webseitenbetreiber

Hinweis: diese Zusammenstellung kann keine Rechtsberatung ersetzen! Es handelt sich lediglich um eine Liste mit typischen Maßnahmen, die man auf Webseiten durchführen kann. Die Umsetzung der Maßnahmen geschieht auf eigene Verantwortung und führt nicht zwangsläufig dazu, dass die Webseite datenschutzkonform ist.

Ich stelle hier eine Liste zur Verfügung, an der ich mich entlang hangele, wenn ich Webseiten auf Datenschutz prüfe. Ich will sie nach und nach erweitern und vielleicht hilft sie dem ein oder anderen weiter :-)



Allgemeine Maßnahmen

  • Webseite mit SSL Zertifikat schützen
    
jede Webseite, die z.B. ein Kontaktformular hat, muss die Daten verschlüsselt übertragen. Das kann über ein SSL-Zertifikat umgesetzt werden, das man bei seinem Hoster bekommt.

  • Vertrag zur Auftragsverarbeitung mit dem Webhoster oder anderen Dienstleistern
    
jeder Webseitenbetreiber sollte einen sog. AV-Vertrag mit seinem Hoster oder anderen Dienstleistern (wenn diese im Auftrag personenbezogene Daten verarbeiten) schließen. Einfach den Hoster anschreiben oder hier in der Liste schauen: https://www.blogmojo.de/av-vertraege


Maßnahmen auf der Webseite selbst

  • Datenschutzerklärung einbinden

    jede Webseite braucht eine Datenschutzerklärung. Dafür gibt es aber zum Glück kostenlose Generatoren, die alle wichtigen Punkte abdecken. Zwei gute Generatoren findet man hier:

    https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de
    
https://www.activemind.de/datenschutz/datenschutzhinweis-generator/
  • Einwilligung bei Kontaktformularen

    vor dem Absenden-Button jedes Kontaktformulars, sollte ein Kästchen als Pflichtfeld gesetzt werden, über das der bestätigen muss, dass er die Datenschutzerklärung gelesen und akzeptiert hat
  • Cookiehinweis
    
wenn die Webseite Cookies nutzt, müssen die Webseitenbesucher darauf hingewiesen werden. Alle Cookies, die nicht unerlässlich für den Betrieb der Seite sind, dürfen zudem erst gesetzt werden, nachdem der Webseitenbesucher explizit zugestimmt hat (ein einfacher Hinweis mit einer „Ok-„Schaltfläche ist nicht ausreichend, weil das Prinzip der Datensparsamkeit gilt!)
die meisten CMS bieten dafür Plugins an, alternativ kann man auch folgende Tools nutzen:

    https://www.civicuk.com/cookie-control

    https://cookieconsent.insites.com/
    Achtung: in beiden Fällen sollte geprüft werden, dass keine externe Daten geladen werden, wenn der Cookie-Hinweis eingeblendet wird. Werden doch welche geladen, muss in der Datenschutzerklärung darauf hingewiesen werden.
  • Einbetten von fremdem Quellcode

    auf das Einbetten von fremden Quellcode (z.B. jquery Bibliotheken, Google Fonts etc.) sollte wenn möglich verzichtet werden, weil der Aufruf dieser Daten auch immer die IP Adresse des Webseitenebsuchers an den jeweiligen Anbieter sendet. Bindet man trotzdem solche Quellen ein, muss in der Datenschutzerklärung darauf hingewiesen werden. (kleiner Tipp hierzu: sind die externen Quellen nicht über https eingebunden, kann das einen Warnhinweis auf der eigenen Webseite provozieren oder die externen Inhalte werden direkt geblockt!)
  • Einbetten von Youtubevideos

    Videos von Youtube können neuerdings im „Erweiterten Datenschutzmodus“ eingebunden werden, dadurch ändert sich die Video-URL zu https://www.youtube-nocookie.com/embed/…
  • Google Analytics
    Bei der Nutzung der Webseitestatistiken von Google müssen enige Punte beachtet werden, damit diese den Datenschutzrichtlinien entsprechen. Google hat da an verschiedenen nachgebessert und bietet z.B. einen AV-Vertrag, Einstellungsmöglichkeiten zur Aufbewahrunsdauer und eine Codeerweiterung zur Anonymisierung der Daten ("anonymizeIP") an. Ausführliche Infos zur datenschutzkonformen Einsatz von Google Analytics gibt es hier: https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen

Auf folgende Funktionen bitte vorerst verzichten

  • Facebook-Like Button

    das Plugin, das Facebook für den Like-Button zur Verfügung stellt, ist nicht datenschutzkonform. Alternativ kann man das „Shariff“-Plugin nutzen, das eine Zwei-Klick-Lösung anbietet:
    https://www.heise.de/newsticker/meldung/Datenschutz-und-Social-Media-Der-c-t-Shariff-ist-im-Einsatz-2470103.html
  • Facebook-Newsfeed

    das Einbinden der Neuigkeiten von Facebook auf der eigenen Webseite ist ebenfalls nicht datenschutzkonform. Bisher ist mir keine Alternative bekannt. :-( Statt dessen kann ein Link zur Facebookseite gesetzt werden (möglichst mit entsprechendem Hinweis in der Datenschutzerklärung)
Vorheriger Beitrag Fernzugriff per TeamViewer
Nächster Beitrag Unternehmenseintrag bei Google

Tags

Datenschutz

Archiv