DSGVO Checkliste für Webseiten und Online-Shops

Diese Liste zeigt Ihnen die wichtigsten und von jedem Außenstehenden sofort erkennbaren Maßnahmen, die Sie laut DSGVO auf Ihrer Internetpräsenz umgesetzt haben müssen. Vorsicht: Spezialisierte Abmahnanwälte können diese Punkte systematisch, sogar automatisiert überprüfen, Mängel dokumentieren und Sie kostenpflichtig abmahnen.

1: Cookie-Hinweis-Pflicht (Cookie-Popup)

 

Bei der Nutzung von Cookies, die personenbezogene Daten speichern, herrscht eine Informations- und Zustimmungspflicht. Zur Datenermittlung ist die aktive Einwilligung des Website-Besuchers notwendig. Die Cookie-Richtlinie ist nicht neu und gilt in Österreich laut Telekommunikationsgesetz § 96 Abs. 3 bereits seit 22.11.2011. Durch die DSGVO wird die Pflicht jedoch nochmals verschärft und zusätzlich wohl auch verstärkt kontrolliert und verfolgt werden.

2: Datenschutz-Erklärung

 

Auf jeder Webseite und jedem Online-Shop ist eine Datenschutzerklärung zwingend erforderlich. Diese muss auf jeder Seite und Unterseite sichtbar sein! Daher empfiehlt es sich, die Datenschutzerklärung im sogenannten "footer" (Fußzeile) zu setzen und zu verlinken.

Die Datenschutzerklärung muss auf die Datenerfassung und -behandlung aller personenbezogenen Daten der Webseite und/oder Onlineshops angepasst werden und alle vorhandenen verschiedenen Datenerfassungen und Werkzeuge wie Bestelldaten, Kontaktfelder, Social-Media-Tools, Analyse-Tools, Marketing-Tools u.a. umfassen (z.B. Google-Analytics, Kontaktformulare, Online-Shop, Facebook-Remarketing-Pixel, Newsletter-Anmeldung, Social-Media-Verlinkungen etc.).

Eine Datenschutzerklärung muss somit vollumfänglich Auskunft geben über:

  • Art, Umfang, Speicherdauer und Zweck der Datenverarbeitung

  • die etwaige Übermittlung in Drittländer

  • Informationen über die Verwendung von Cookies

  • Eine Belehrung über die anonymisierte Nutzung der Daten.

  • Zusätzlich muss immer über bestehende Widerrufs- und Auskunftsrechte und die Möglichkeiten deren Ausübung belehrt werden.

Für den Besucher müssen folgende Rechte erläutert und sichergestellt werden:

  • Recht auf Auskunft

  • Recht auf Berichtigung oder Löschung

  • Recht auf Einschränkung der Verarbeitung

  • Recht auf Widerspruch gegen die Verarbeitung

  • Recht auf Datenübertragbarkeit

Sie können auch gerne unsere Datenschutzerklärung dieser Webseite als Ausgangsbasis für Ihre Webseite nehmen und anpassen. Haben Sie einen Webshop, können Sie gerne die Datenschutzerklärung unseres Beteiligungsunternehmens KURENA heranziehen (Link). 

3: Anpassung von Kontaktformularen und Checkout-Formularen bei Shops

Ein Link zur Datenschutzerklärung sollte auch bei den Kontakt- sowie Checkout-Formularen gesetzt werden mit entsprechendem Hinweis beim Bestätigungsbutton. Es dürfen nur Daten gefordert werden, welche für die Geschäftsabwicklung notwendig sind. Weitere Daten dürfen nur mit entsprechendem Hinweis und aktiver Zustimmung des Besuchers erfasst und aufgenommen werden.

4: Google-Analytics datenschutzkonform einsetzen und anonymisieren

IP-Adressen gelten als personenbezogene Daten. Falls Sie Google-Analytics einsetzen, müssen diese ab dem 25.05.2018 anonymisiert werden. Dies erfolgt mittels „anonymizeIP“, welches in den Tracking-Code implementiert wird. Damit werden die letzten Stellen der IP-Adressen auf 0 gestellt und anonymisiert.

Ob Ihre IP-Anonymisierung bei der Verwendung von Google-Analytics aktiv ist, können Sie wie folgt überprüfen (Beispiel mit Chrome):
Chrome öffnen, Rechte Maustaste "Untersuchen" wählen, im Tab "Network" "Preserve-log" aktivieren, Webseite aufrufen oder aktualisieren, im Netzwerk-Tab auf "Headers", dort nach "collect" suchen (ggf. gibt es mehrere), In "collect" unter "Query String Parameters" nach Eintrag "aip: 1" suchen. Ist der dort, ist die IP-Anonymisierung aktiv.

 

Weiters müssen Sie den Besuchern auf Ihrer Webseite die Möglichkeit einräumen das Google-Analytics-Tracking zu deaktivieren. Darüberhinaus müssen Sie bereits gesammelte und nicht anonymisierte IP-Adressen in Google-Analytics löschen!

Ebenso ist erforderlich, die Aufbewahrungsdauer der Daten in Google-Analytics festzulegen. Zusätzlich sollte ab dem 25. Mai 2018 der sog. „Zusatz zur Datenverarbeitung“ online bestätigt werden. Dieser enthält zusätzliche Regelungen, die den abgeschlossenen ADV-Vertrag nach DSGVO-Vorgaben ergänzen.

Selbstverständlich ist die Nutzung von Google-Analytics in der Datenschutzerklärung zwingend anzugeben.

 

 Zusammenfassung:

  1. Vertrag zur Auftragsverarbeitung abschließen und Zusatz zur Datenverarbeitung bestätigen

  2. Anonymisierung der IP-Adressen (Tracking-Code anpassen)

  3. Widerspruchsrecht der Betroffenen (also der Besucher der Seite) einräumen

  4. Aufbewahrungsdauer der Daten festlegen

  5. Datenschutzerklärung anpassen

  6. Ggf. Löschung von Altdaten

5: SSL-Zertifikat wird Pflicht! Umstellung von HTTP auf HTTPS

Secure-Sockets-Layer – das SSL-Zerfikat, inzwischen auch Transport-Layer-Security (TLS, Transportschichtsicherheit) genannt, wird mit der DSGVO ebenfalls Pflicht. Damit wird von HTTP auf HTTPS umgestellt. Dies ist neben dem Sicherheitsaspekt auch für das Ranking von Google eine wichtige Voraussetzung.

6: Facebook-Remarketing (Facebook-Pixel), Social-Media

 

Ebenso wie bei Google-Analytics müssen auch bei allen anderen IP-basierten Marketing-Tracking-Tools die IP-Adressen anonymisiert werden und ggf. alte IP-Adressen gelöscht werden. Ebenso muss dem Besucher die Möglichkeit der Deaktivierung des Tracking ermöglicht werden. Natürlich ist dies auch alles in der Datenschutzerklärung anzuführen.

7. Anpassung Ihres Newsletters

 

Hier können einige wichtige Änderungen und Anpassungen auf Sie zukommen. Voraussetzung für die Nutzung aller E-Mail-Adressen ist die dokumentierte Zustimmung des Empfängers. Bei der Anmeldung zum Newsletter müssen die zukünftigen Empfänger auf die Datenschutzerklärung hingewiesen werden. Ebenso müssen die Empfänger immer die Möglichkeit zur Abmeldung und damit Löschung ihrer Daten haben. Diese Möglichkeit muss auch bei jedem versendeten Newsletter gegeben sein.

Wir empfehlen hier dringend professionelle Newsletter bzw. E-Mail-Marketing-Lösungen (wie CleverReach, Newsletter2go etc. - gibt es auch gratis bis zu einem bestimmten Volumen), welche diese Anforderungen bereits integriert haben. Massenmails bzw. Newsletter per Outlook und Excel-Adressdateien erfüllen keinesfalls die DSGVO!  Wie alles andere muss auch dies in der Datenschutzerklärung angeführt werden.

Achtung! - Wichtige Information!

Diese Informationen und auch alle unsere Dienstleistungen stellen in keiner Weise eine Rechtsberatung dar. Wir können, wollen und dürfen auch keine rechtliche Beratung anbieten. Zudem muss die  DSGVO auch immer individuell gemäß Ihrer eigenen Erfassung, Verwaltung und Ihres Umgangs mit personenbezogenen Daten sowie des Altdatenbestandes umgesetzt werden und geht weit über Ihre Online-Präsenz hinaus. Diese Auflistung bzw. Checkliste erhebt keinen Anspruch auf Vollständigkeit, sondern beinhaltet die wichtigsten Anforderungen Ihres Internetauftritts, welche im Falle eines Mangels von jedem sofort, leicht und sogar automatisiert erkenn- und dokumentierbar sind. Damit stellen sie potenzielle Gefahrenquellen für Abmahnungen dar.

Pauschalangebot für Webseiten und/oder Online-Shops der Web-Baukastensysteme WIX und JIMDO:

Für Private, Vereine und KMUs, welche die Web-Baukästen WIX und JIMDO verwenden, bieten wir einen Check und Umsetzung der Punkte 1 - 7 um pauschal € 400,- zzgl. USt. an.

Bei Interesse kontaktieren Sie bitte: Mag. Martin Wohlmuth, lic.oec.HSG, Tel: +43 (0)664 414 05 38, mail 

Synercon Finanz- & Unternehmensberatung GmbH, Anton-Krieger-Gasse 92-94, 1230 Wien, Österreich, UID: ATU67191308, Handelsgericht Wien: FN 378591 b

Impressum I AGB I Standesregeln I Datenschutzerklärung