EU-DSGVO: Checkliste für die Anpassung von Website und Webshop

3. Mai 2018 Wie Sie in 9-Punkten mit Ihrer Website / Ihrem Online-Shop DSGVO-konform werden.

 

#1 Datenschutzerklärung einbinden


Auf Ihrer Website bzw. in Ihrem Webshop sollte es eine eigene Detailseite „Datenschutz“ geben mit aktuellen Informationen darüber, wie Sie im Unternehmen mit personenbezogenen Daten umgehen. Sprich: Wie diese einlangen können, wie und wofür diese gespeichert und nach welcher Zeit auch wieder gelöscht werden. Zusätzlich sollten Informationen gegeben werden zu u.a.:
  • Cookies
  • Server-Logfiles
  • Trackingtools wie Google Analytics oder Piwik
  • Informationen zur/m DatenschutzkoordinatorIn/-beauftragten
  • Social Media-Plugins
  • Youtube, Google Maps, Web Fonts
  • gegebenenfalls Newsletter und Remarketing
  • Informationen zu Beschwerderecht und Auskunftsrecht
Die Informationen zu den Tools wie Google Analytics braucht man dann, wenn diese auf Website/Webshop eingebunden sind. Es sollte auch unbedingt ein Link integriert werden, um die Verwendung von Google Analytics zu deaktivieren. Beispielhaft finden Sie hier unsere Datenschutzerklärung.

Die Wirtschaftskammer Österreich bietet Vorlagen zur Datenschutz-Erklärung, idealerweise lassen Sie diese aber zusätzlich juristisch abklären. > Zur Vorlage der WKO Österreich

#2 Auf Cookies hinweisen


Machen Sie BesucherInnen beim erstmaligen Besuch Ihres Webshops/Ihrer Website darauf aufmerksam, dass Cookies gesetzt werden. Cookies sind kleine Textdateien, die auf dem Gerät (z.B. Smartphone, Tablet) gespeichert werden. Einige Cookies werden nach dem Besuch wieder gelöscht, andere bleiben gespeichert. Zeigen Sie Ihren BesucherInnen, dass Ihnen der Umgang mit Daten und Cookies am Herzen liegt und verlinken Sie den Cookie-Hinweis zusätzlich mit Ihrer DSGVO-konformen Datenschutzerklärung.

#3 SSL-Zertifizierung von Website / Webshop


Haben Sie bereits ein SSL-Zertifikat für Website und Webshop erstellen lassen und damit Ihren KundInnen gezeigt, dass Ihnen Sicherheit im Umgang mit den Kundendaten am Herzen liegt? Gerade bei einem Online-Shop ist die Zertifizierung unerlässlich. Auch, wenn Sie auf Ihrer Webseite Anfrageformulare / Kontaktformulare eingerichtet haben.

Erkennbar ist das SSL-Zertifikat am grünen Schloss in der Adresszeile links neben der Domain. Der Hinweis "Die Verbindung ist sicher" zeugt ebenso von einer erfolgreichen Zertifizierung. Dieses ist heute Standard und wird in Zusammenarbeit zwischen Hoster und Agentur eingerichtet und auf der Website angezeigt.

Wie Webseiten und Online-Shops sicherer und noch professioneller werden: SSL-Sicherheitszertifikate

#4 Bei Anfrage-Formular Zustimmung einholen


Wenn Sie die Anfrage-Daten aus Online-Formularen für weitere Marketingzwecke verwenden: Informieren Sie Personen über die Verwendung, bevor diese eine Anfrage absenden. Setzen Sie beispielsweise ein Zustimmungs-Pflichtfeld bei Ihren Anfrage-Formularen ein und verlinken Sie diese mit der Datenschutzerklärung Ihrer Website / Ihres Webshops.

#5 Newsletter-Anbindung anpassen


Eine Newsletter-Anmeldung DSGVO-konform zu gestalten bedeutet eine Lösung mit „Double-Opt-In“ einzubauen. Das heißt, nach der Anmeldung im Online-Formular (auf der Website / im Webshop) erhält der/die Newsletter-AbonnentIn eine werbefreie E-Mail mit einem Bestätigungslink zur Anmeldung zum Newsletter. Mit diesem Link bestätigt der/die AbonnentIn die Anmeldung zum Newsletter.

Mit solch einer Lösung können Sie in jedem Fall nachweisen, dass Sie die explizite Einwilligung der Person hatten, der Sie Newsletter-Mailings zusenden und dass nicht jemand anderes eine fremde Mailadresse zum Newsletter angemeldet hat (Single-Opt-In).

Und übrigens: Versenden Sie Newsletter aktiv selbst? Oder lassen Sie welche über eine Agentur versenden? Vergessen Sie nicht darauf: Erstellen Sie für EDV-Betreuer, Newsletter-System-Anbieter und Webagentur eine aktuelle Auftragsverarbeitungs-Vereinbarung, die DSGVO-konform ist. Viele Newsletter-Mailingsysteme wie RapidMail, Dialogmail oder Newsletter2Go bieten Auftragsverarbeitungs-Vereinbarungen auf deren Website oder über den Support an. Ansonsten finden Sie hier auch eine Vorlage der Wirtschaftskammer Österreich > Zur Vorlage der WKO Österreich

#6 Aktualisierung der PHP-Version


Im Sinne der DSGVO sollte die Datensicherheit der Systeme gewährleistet sein. Das betrifft auch Ihren Server, auf dem Website oder Webshop liegen. Am besten Sie fragen bei Ihrer Agentur oder Ihrem Hoster nach, welche PHP-Version derzeit auf Ihrem Server eingesetzt wird und vergleichen diese mit den Versionen, die gegenwärtig Sicherheitsupdates erhalten > http://php.net/supported-versions.php

Wenn Ihre Version Sicherheitsupdates erhält, ist alles in bester Ordnung. Wenn Ihre PHP-Version nicht mehr aktuell ist, sollte eine Aktualisierung erfolgen. Diese geben Sie entweder direkt beim Hoster in Auftrag oder Sie sagen Ihrer Webagentur Bescheid, denn bei einem erfolgreichen PHP-Update müssen Webspace und Website mit der neuesten PHP-Version kompatibel gemacht werden.

Warum ich die neueste PHP-Version verwenden sollte

#7 Datensicherheit der Websysteme


Ist Datensicherheit bei Ihren Systemen gegeben? Befindet sich Ihr Server versperrt in einem eigenen Raum? Damit haben Sie einen wichtigen ersten Schritt getan. Denn denken Sie nur daran, was passieren kann, wenn Server frei zugänglich herumstehen oder gar mitgenommen werden könnten.
  • Schützen Sie Ihre Systeme vor fremdem Zutritt: Versperren Sie diese in einem Raum oder Aktenschrank.
  • Schützen Sie Ihre Systeme vor fremder Benutzung: Vergeben Sie sichere Kennwörter oder richten Sie automatische Sperrmechanismen ein. Beachten Sie auch, dass jede Person einen eigenen Benutzer im System hat – "geteilte" Zugänge könnten unsicher sein.
  • Schützen Sie Ihre Systeme vor fremdem Zugriffen: Stellen Sie sicher, dass niemand die Inhalte des Systems verändern, kopieren oder entfernen kann. Protokollieren Sie am besten Ihre Zugriffe, dann haben Sie immer Klarheit, was in den Systemen passiert.
  • Machen Sie Ihre Systeme belastbar und verfügbar: Stellen Sie ein laufendes Backup sicher und schützen Sie die Systeme mit Virenschutz und Firewall.
  • Pseudonymisierung / Verschlüsselung der Daten: Achten Sie auch darauf, dass Daten in Backups oder Speicherungen pseudonymisiert bzw. verschlüsselt sind.
  • Evaluieren Sie laufend: Überprüfen Sie die Datensicherheit von Zeit zu Zeit und dokumentieren Sie diese Überprüfungen. Denken Sie auch daran, Ihre MitarbeiterInnen regelmäßig auf Datensicherheit zu schulen.

#8 Speicherfristen bei Anfrage-Daten im Websystem berücksichtigen


Gemäß dem Grundsatz der Speicherbegrenzung gilt: Anfrage-Daten (aus Online-Formularen) werden im Websystem laut definierten Speicherfristen entfernt. Idealerweise haben Sie im Websystem ein Backup aller Ihrer Anfragen, sodass Sie im Falle von entgangenen E-Mails auf die Anfrage-Daten im Websystem zurückgreifen können. Diese Anfrage-Daten dürfen jedoch – genauso wenig wie auf einem Blatt Papier im Unternehmen beispielsweise – „ewig“ gespeichert werden. Nach einer gewissen Zeit müssen diese gelöscht werden. Am besten passiert dies automatisch im System, sodass Sie sich keine weiteren Sorgen mehr machen müssen. Sprechen Sie am besten mit Ihrer Agentur darüber.

#9 IP-Adressen anonymisieren


Eine IP-Adresse gilt als personenbezogenes Datum, weshalb dieses anonymisiert werden muss. Jene unserer Kunden, die unser CMS verwenden, haben Glück. Denn: Bei unseren Systemen werden IP-Adressen standardmäßig anonymisiert. Erwähnen Sie das am besten auch in Ihrer DSGVO-konformen Datenschutzerklärung.

Die Grundsätze der EU-Datenschutz-Grundverordnung im Überblick


Die Datenverarbeitung folgt bestimmten Grundsätzen. Diese geben den Rahmen vor, wie Unternehmen personenbezogene Daten verarbeiten dürfen. (Quelle eur-lex.europa.eu)
  • 1 Rechtmäßigkeit Die Datenverarbeitung erfolgt nach den Grundsätzen der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz. Das bedeutet gemäß dem Gesetzestext, dass die Daten auf (für KonsumentInnen) „nachvollziehbare Weise“ verarbeitet werden.
  • 2 Zweckbindung Die personenbezogenen Daten, die erhoben wurden, werden für einen festgelegten, eindeutigen und legitimen Zweck erhoben und werden nur hinsichtlich dieser Vereinbarung verarbeitet.
  • 3 Datenminimierung In zweckgebundener Weise werden nur so viele personenbezogenen Daten erhoben, wie notwendig ist.
  • 4 Richtigkeit Sofern unrichtige Daten bekannt werden, werden diese unverzüglich gelöscht oder berichtigt.
  • 5 Speicher-Begrenzung Die personenbezogenen Daten werden nur so lange gespeichert, wie es zur zweckorientierten Verarbeitung erforderlich ist.
  • 6 Integrität und Vertraulichkeit Der Grundsatz der Integrität und Vertraulichkeit stellt sicher, dass die Daten vor Verlust, Zerstörung oder Schädigung bewahrt und durch technische Maßnahmen geschützt werden.
Die Übergangsfrist der EU-DSGVO endete am 25. Mai 2018 und brachte ein neues Bewusstsein für Daten und Datenschutz mit sich. Die Verordnung gilt für die Verarbeitung personenbezogener Daten in Standorten / Niederlassungen in der Europäischen Union. Die DSGVO gilt auch für Unternehmen, die die Verarbeitung personenbezogener Daten in Europa betreiben, wenngleich deren Marktniederlassungen außerhalb der EU zu finden ist.

Neuerungen und Kontexte im ersten Themenbeitrag "EU-Datenschutz-Grundverordnung" 01/2018

Fazit


Die DSGVO-Änderungen auf Website und Webshop sind zwar unerlässlich, aber doch auch sehr überschaubar. In unseren bisherigen Beratungen zur DSGVO haben wir festgestellt, dass viele Unternehmen bereits vieles richtig machen. Zumeist sind es nur noch ein paar To-Do’s, die getan werden müssen, damit Website / Webshop DSGVO-konform werden.

News und Online-Trends

EU-DSGVO

Einfache Fredwin-Webseiten sind DSGVO-konform

4. Mai 2018 | Wir schätzen unsere langjährigen Kunden des Fredwin-Websystems. Mit der kostenlosen Anpassung der bestehenden Fredwin-Webseiten an die DSGVO sagen wir unseren KundInnen «Danke» für Treue & Vertrauen.
EU-DSGVO

Der 13-Punkte-Sicherheits-Check für Webseite und Webshop

9. April 2018 | Weil eine sichere Webseite bzw. ein sicherer Webshop aus Marketing-Sicht so enorm zentral ist, reichen wir Ihnen Übersicht an die Hand, die Sie von Zeit zu Zeit gemeinsam mit Ihrem Hoster bzw. Ihrer Agentur durchgehen und überprüfen.
Technologie

Warum ich die neueste PHP-Version verwenden sollte

2. Februar 2018 | Wenn Sie eine Webpräsenz betreiben, kann es von Zeit zu Zeit vorkommen, dass Ihre Agentur oder Ihr Hoster Sie darauf anspricht, dass ein PHP-Update notwendig wäre. Was dahinter steckt und warum eine aktuelle PHP-Version aus Marketing-Sicht ein Muss ist.
EU-DSGVO

Datenschutz-Grundverordnung der EU: Wichtigste Grundsätze und Neuerungen

Jänner 2018 | Für Unternehmer und Unternehmerinnen steht einiges an Arbeit an: Die Übergangsfrist zur EU-DSGVO endet am 25. Mai 2018 und bringt Veränderungen und ein neues Bewusstsein für Daten und Datenschutz mit sich.
Erfolge

Geprüfter Datenschutzexperte: Anton Mayringer

Jänner 2018 | Als «Geprüfter Datenschutzexperte» der incite Qualitätsakademie des Fachvberbandes UBIT hat Anton Mayringer sein Wissen zur EU-Datenschutz-Grundverordnung unter Beweis gestellt, deren Übergangsfrist am 25. Mai 2018 endet.
Jubiläum 2017

8 Wir feiern «Daten & Datenschutz»

5. Februar 2018 | Oder: Die richtige Balance zwischen Erfolgschancen und Rahmenbedingungen schaffen.