DSGVO-Checkliste für Blogger und Online-Unternehmer

Quelle: https://www.blogmojo.de/dsgvo-checkliste/

 

6. April 2018 von Regina Stoiber

 

DSGVO-Checkliste

 

Teilen316+1TwitternPin130446SHARES

 

Die EU-Datenschutzgrundverordnung ist für viele Unternehmer in allen Branchen eine Herausforderung. Was ist alles zu tun? Woran ist zu denken? Natürlich sind die Anforderungen abhängig davon, ob du Chef eines Großkonzerns bist oder Inhaber eines Einzelunternehmens.

 

Gerade für Blogger und Online-Unternehmer ist es schwierig aus dem Urwald der Anforderungen das Wesentliche zu selektieren. Aus diesem Grund hat mich Finn gefragt, ob ich für Blogmojo nicht eine DSGVO-Checkliste für Blogger und Online-Unternehmer erstellen möchte. Der Bitte komme ich natürlich gerne nach!Das Obligatorische vorweg: Ich bin beruflich für verschiedene mittelständische Unternehmen externe Datenschutzbeauftragte und beschäftige mich seit Monaten intensiv mit der Thematik Datenschutz. Trotz allem kann dieser Artikel und diese Checkliste keine individuelle Rechtsberatung ersetzen.

 

Inhaltsverzeichnis [Anzeigen]

 

1. Website-Checkliste

 

Dein Website ist natürlich dein Herzstück, dass der DSGVO standhalten muss. Folgende Punkte solltest du daher berücksichtigen:

 

1.1 Hosting und Datensicherheit

 

  • Hat deine Website ein SSL-Zertifikat?
  • Hast du Maßnahmen ergriffen, um deinen Blog oder deinen Website gegen Hacker oder unbefugte Dritte zu schützen (sichere Dateirechte, sichere Passwörter, regelmäßiges Installieren von Sicherheitsupdates etc.)?
  • Hast du einen Vertrag zur Auftragsdatenverarbeitung mit deinem Hosting-Anbieter abgeschlossen?

 

1.2 Analysetools

 

  • Hast du ein Analyse-Tool im Einsatz?
  • Falls ja, welches (z. B. Google Analytics, Piwik oder WordPress.com-Stats)?
  • Sind die IP-Adressen anonymisiert?
  • Liegen die Daten auf deinem Server oder bei einem Drittanbieter?
  • Falls Drittanbieter, sind die Daten adäquat geschützt? Hast du einen Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag) mit dem Drittanbieter abgeschlossen?
  • Hast du sichergestellt, dass Nutzer anhand eines Klicks der Erfassung widersprechen können (der Link dazu sollte in der Datenschutzerklärung sein)?

 

1.3 Formulare

 

  • Hast du Formulare auf deiner Webseite eingebunden, die personenbezogene Daten übertragen?
  • Wenn ja, hast du unterhalb, oberhalb oder neben dem Formular darauf hingewiesen (in Kurzform), was mit den Daten passiert, wenn sie gesendet werden? Und auf deinen Datenschutzerklärung hingewiesen, in der du das ganze ausführlich beschreibst?
  • Wichtig: kein Formular ohne HTTPS!

 

1.4 Newsletter

 

  • Nutzt du einen Newsletter-Dienst oder -Plugin?
  • Erfolgt der Eintrag nur nach einem Double-Opt-In-Verfahren (also Eintrag der E-Mail-Adresse im Anmeldeformular und anschließende Bestätigung per Adresse per E-Mail-Link)?
  • Hast du bei deinem Eintragungsformular darauf hingewiesen, was der Interessent von dir erhält, wenn er sich einträgt? Bist du transparent und hast offen geschrieben, wenn du neben Informationen und Artikeln auch Angebote versendest?
  • Hast du mit deinem Newsletter-Dienstleister einen ADV-Vertrag geschlossen?
  • Vorsicht bei Dienstleistern außerhalb der EU: In dem Fall reicht ein einfacher Vertrag zur ADV nicht aus. Bei nicht-europäischen Anbietern musst du dir zusätzliche Informationen des Datenimporteurs bezüglich Datenschutz (am besten vertraglich) nachweisen lassen. Bei US-amerikanischen Dienstleistern wie Mailchimp ist es zudem nötig, dass das Unternehmen nach dem EU-US Privacy Shield zertifiziert ist (wobei es immer noch nicht eindeutig geklärt ist, ob das tatsächlich ausreicht).

 

1.5 Online-Shop

 

Aufgrund der Komplexität und Individualität kann ich dir hier nur einen groben Überblick geben:

 

  • Nutzt du externe Dienstleister (wie z. B. PayPal) zur Zahlungsabwicklung? Wenn ja, hast du detailliert darüber in der Datenschutzerklärung geschrieben und darauf hingewiesen, welche Daten übertragen und wo gespeichert werden?
  • Ähnlich beim Versanddienstleister: Werden E-Mail-Adresse oder Handynummer zum Zweck der Benachrichtigung der Auslieferung erhoben?
  • Kann oder muss sich der Käufer registrieren, um die Bestellung durchführen zu können? Wenn ja, hast du das entsprechend gekennzeichnet und bietest optional eine Bestellmöglichkeit ohne Registrierung?
  • Legst du bei deinem Online-Shop wert auf IT-Sicherheit? Wenn nein, dann solltest du! Du hast viele personenbezogene Daten in deinem System gespeichert, die es zu schützen gilt und der Zugang zu diesen Daten muss daher entsprechend abgesichert sein.
  • Es fängt schon beim Passwort an: Hast du sichergestellt, dass Nutzer eine bestimmte Passwortkomplexität zwingend einhalten müssen und triviale Passwörter wie 1234 überhaupt nicht möglich sind?
  • Noch ein Tipp: Vermeide es, Daten wie Kreditkarteninformationen bei dir zu speichern. Wenn möglich, würde ich immer einen externen sicheren Dienst nutzen, damit du die Speicherung dieser sensiblen Informationen umgehst.
  • Ein externer Security Scan von Profis wäre bei einem Online-Shop durchaus zu überlegen!

 

1.6 Plugins, Widgets etc.

 

  • Nutzt du auf deiner Website Plugins, Widgets, iFrames, zusätzlichen Scripte oder Schnittstellen?
  • Werden dadurch personenbezogene Daten auf deiner Website oder bei Drittanbietern gespeichert? Wenn ja, zu welchem Zweck? Und fließen nur die benötigten Daten, damit der Dienstleister seinen Job machen kann oder wird zu viel übertragen?
  • Persönliche Daten werden z. B. gesammelt bei Membership-, Formular-Plugins, Social- oder Newsletter-Plugins.
  • Am einfachsten ist in der Dokumentation oder auf der Website des Entwicklers zu lesen, ob ein Plugin, Widget etc. DSGVO-konform nutzbar ist. Leider ist nicht jeder Entwickler so transparent (oder hat überhaupt ein Bewusstsein für die Anforderungen der DSGVO), daher muss man oft selbst den Dienst durchleuchten.
  • Falls Daten übertragen werden, brauchst du eine ADV mit dem Dienstleister. Das sollte einfach sein, wenn der Partner in der EU sitzt. Ist er allerdings in einem Drittland, was gerade bei Plugins häufiger der Fall ist, wird’s schwieriger. Du brauchst einen Vertrag und auf jeden Fall den Zusatz, wie die Daten bei der Übertragung und beim Dienstleister geschützt sind.

 

Falls du nicht sicher bist, welche Plugins Daten senden, kannst du dich weiterer Tools bedienen. Ich verwende dazu:

 

 

Eine umfangreiche Übersicht über WordPress-Plugins, die personenbezogene Daten sammeln findest du hier auf dem Blog: WordPress-Plugins & DSGVO: Liste problematischer Plugins (+Plugin-Tipps!)

 

1.7 Marketing & Werbung

 

Diesen Punkt finde ich persönlich am schwierigsten, da er doch recht komplex ist.

 

Viele meiner Kunden auch wissen zum Teil selbst nicht mehr, was alles an Marketing-Diensten auf Ihrer Webseite läuft. Daher sind natürlich wieder Tools wie Ghostery und der Dienst builtwith.com hilfreich.

 

  • Nutzt du Dienste wie Facebook Pixel, DoubleClick, Google AdSense oder ähnliches? Dann musst du ausführlich darüber in der Datenschutzerklärung schreiben!
  • Der Einsatz von Werbe-Trackern ist nicht ganz unumstritten. Stelle daher sicher, dass du Nutzern, soweit du einen „erweiterten Abgleich seiner Daten“ machst, eine Opt-Out-Möglichkeit bereitstellst.
  • Vor allem beim Retargeting (auch Remarketing genannt) wäre es sogar noch besser, wenn der Nutzer per Opt-In dem Tracking zustimmen muss.

 

1.8 Soziale Medien

 

  • Nutzt du Plugins oder Widget von sozialen Netzwerken wie Facebook, Twitter, Pinterest und Co.?
  • Wenn ja stelle sicher, hast du sichergestellt, dass diese keine personenbezogenen Daten übertragen, bevor Nutzer widersprechen können! Das gilt z. B. für die Standard-Sharing-Buttons oder das Seiten-Plugin von Facebook.
  • Alternativ kannst du mit einfachen Links auf deine sozialen Plattformen verweisen und für die Sharing-Buttons das Plugin Shariff nutzen (falls du WordPress verwendest).
  • Sind die sozialen Netzwerke und deren Umgang mit personenbezogenen Daten in deiner Datenschutzerklärung zu finden? Ergänze in der Datenschutzerklärung auch, ob und wie die du Daten aus Facebook für dein Unternehmen verwendest!
  • Hast du auf deinen Social-Media-Seiten ein Impressum und eine Datenschutzerklärung angegeben oder von dort aus auf die entsprechenden Seiten auf deiner Website verlinkt?
  • Hast du in deiner Datenschutzerklärung erwähnt, dass diese auch für Facebook, Instagram und Co. gilt?

 

1.9 Datenschutzerklärung

 

Stelle sicher, dass zu allen oben genannten Wegen, auf denen die personenbezogene Daten verarbeitet werden, eine Passage in der Datenschutzerklärung zu finden ist!

 

Es gibt gute Generatoren für die Datenschutzerklärung, wie z. B.:

 

 

Achte aber darauf, dass sie DSGVO-konform sind, da z. T. noch zusätzliche Informationen nötig sind, die bisher nicht in der Datenschutzerklärung enthalten waren.

 

Nimm nicht alles einfach ungelesen hin und ergänze oder ändere die Inhalte so ab, dass sie für deinen Anwendungsfall passen!

 

2. Verfahrensverzeichnis

 

Es gibt so viele Fragen und Unsicherheiten über das Verfahrensverzeichnis, dass ich gleich vorweg sagen muss: KEINE PANIK! Versuche es einfach zu halten. Niemand fordert an dieser Stelle eine Doktorarbeit.

 

Schreibe die Verfahren allgemein und nicht speziell für jeden Kunden. Aus der Erfahrung würde ich für einen reinen Online-Unternehmer etwa 20 Verfahren erwarten. Wenn du Blogger bist, wahrscheinlich noch weniger.

 

Mehr zum detaillierten Aufbau und Inhalt eines Verfahrensverzeichnisses findest du in meinem Artikel mit Mustervorlage zum Verfahrensverzeichnis.

 

3. Informationspflicht

 

Das Thema Informationspflicht ist neu mit der DSGVO und gab es in dieser Form vorher noch nicht. Du musst den Betroffen vor Aufnahme der Verarbeitung informieren, was du mit seinen Daten machst, sofern du die Daten direkt bei ihm erhebst. Erhältst du die Daten im Rahmen eines Prozesses nicht direkt vom Betroffenen, musst du innerhalb von etwa vier Wochen den Betroffenen informieren.

 

Als Online-Unternehmer machst du das normalerweise über deine Datenschutzerklärung. Verarbeitest du außerhalb deiner Onlinepräsenz noch Daten, musst du zusätzlich darüber informieren.

 

Diese Information muss auch bestimmten Vorgaben folgen. Wie diese aussehen, habe ich in meinem Blogbeitrag zur Informationspflicht auf meiner Webseite näher beschrieben. Daher ist es in der Datenschutzerklärung wichtig, dass du – falls du Generatoren einsetzt – nur solche verwendest, die auch die kompletten Inhalte der Informationspflicht (Artikel 13 und 14 DSGVO) abbilden.

 

Alles was noch nicht in der Datenschutzerklärung enthalten ist, musst du selbst zusammen schreiben. Hier empfiehlt es sich, dass du mit dem Verfahrensverzeichnis gut gearbeitet hast. Die Infos kannst du nämlich jetzt wieder gut gebrauchen und brauchst sie nur noch in die richtige Form bringen.

 

4. Auftragsdatenverarbeitung

 

Inzwischen ist das wohl auch kein neuer Begriff mehr für dich, oder? Hast du Dienstleister im Boot oder nutzt du einen IT-Service von einem Anbieter, der für dich personenbezogene Daten verarbeitet? In diesem Fall benötigst du einen Vertrag zur Auftragsdatenverarbeitung oder Auftragsverarbeitung (das ist eigentlich der aktuelle Begriff). Schreib dir eine Liste aller Dienstleister und stelle sicher, dass du bei allen einen ADV-Vertrag hast!

 

Viele große Unternehmen haben dazu Standardvorlagen, die sie dir in der Regel schon zum Download anbieten. Du musst sie nur noch mit deinen Daten füllen und unterschreiben. Welche Anbieter schon einen ADV-Vertrag bereitstellen und bei welchen du dich noch gedulden musst, findest du hier bei Blogmojo: ADV-Verträge für Blogger & Online-Unternehmer: Liste mit Hostern, Newsletter-Tools etc.

 

Wie sieht’s eigentlich mit Verarbeitern aus, die im nicht EU-Land ansässig sind, also in einem Drittland? In dem Fall wird der ADV-Vertrag doppelt so lang, denn es müssen umfangreiche Angaben zum Datenimporteur und Exporteur gemacht werden.

 

Eine Sonderregelung gibt es übrigens bei Plattformen, bei denen sich Anbieter und Nutzer registrieren müssen, z. B. bei einer Online-Lernplattform. Im Rahmen der Registrierung bestätigst du als Nutzer die AGB. Dasselbe mache ich zum Beispiel, wenn ich eine Schulung anbiete. Daher brauche ich keine ADV mit der Onlineplattform. Im Zweifelsfall beim Plattformanbieter nachfragen.

 

5. Weitere To-Dos

 

Klar, für größere Unternehmen ist es hier noch nicht zu Ende. Das Gesetz bzw. die Gesetze sind umfangreich. Vielleicht ist auch der eine oder andere Leser betroffen, weil er Verfahren hat, die der Datenschutzfolgeabschätzung unterliegen? Vielleicht brauchst du auch einen Datenschutzbeauftragten? Wie sieht’s mit Mitarbeitern aus? Und noch vieles mehr.

 

So konkrete Anforderungen deckt diese Checkliste natürlich nicht ab. Gerne kannst du dir meine 7-Schritte zum datenschutzkonformen Unternehmen holen, wenn du noch weitere Informationen haben möchtest.

 

Durch die große Unsicherheit und die vielen Fragen zum Thema DSGVO biete ich regelmäßig kostenlose Webinare an. Ich unterstütze dich bei der Erstellung des Verfahrensverzeichnisses und beantworte gerne deine Fragen.

 

6. Online-Kurs

 

 

Du möchtest alles im Detail erklärt bekommen? Oder hast noch offene Fragen?

 

Seit kurzem biete ich auch einen Online-Kurs an, in dem ich auf die wichtigsten Fragen rund um die DSGVO eingehe und dir Schritt für Schritt erkläre, was du als Einzel- oder Kleinunternehmer beachten musst.

 

Der Kurs beinhaltet:

 

  • 3 Stunden Videos: zu Themen wie Auftragsdatenverarbeitung, Informationspflicht, Website und vieles mehr
  • Muster und Vorlagen zu allen wesentlichen Inhalten zum Download
  • Zugang zu einer exklusiven Support-Gruppe, in der ich persönlich deine Fragen zur DSGVO beantworte

 

Hier geht’s zum Kurs!

 

Über die Autorin

 

Als Datenschützerin unterstütze ich meine Kunden seit über 10 Jahren. Egal ob Wegweiser zum Datenschutz oder Fahrplan zur IT-Sicherheit. Mit Humor, Freude und Begeisterung an diesen Themen, begleite ich meine Kunden auf dem Weg zur optimalen Sicherheit. Mehr über mich erfährst du auf meiner Website regina-stoiber.com.

 

Abschließend gibt es wie immer noch etwas zum Pinnen:

 

Mit unserer DSGVO-Checkliste kannst du überprüfen, ob dein Online-Business oder Blog bereit für die DSGVO ist. Sie enthält einen umfangreichen Fragenkatalog zur Website sowie Infos zu ADV, Verfahrensverzeichnis und Informationspflicht.

 

KategorienDatenschutz & DSGVOBeitrags-NavigationListe mit AV-Verträgen: 100+ Hoster, Newsletter-Tools etc. im ÜberblickDSGVO-Linksammlung: 50+ nützliche Artikel, Tools und Vorlagen

 

26 Gedanken zu “DSGVO-Checkliste für Blogger und Online-Unternehmer”

 

  1. Isabel Moss17. Mai 2018 um 8:13 AntwortenHallo lieber Finn,auch ich möchte mich bedanken – deine Liste nimmt mir ein wenig das Grauen, das ich schon seit Wochen vor mir herschiebe und nun endlich erledigt haben möchte.
    Danke
  2. B.Fischer-Bartelmann17. Mai 2018 um 0:39 AntwortenHallo, das war wirklich sehr hilfreich und super-verständlich auch für mich als ziemlich blutigem Laien.
    Ich habe über die von Dir erwähnten tools herausgefunden, dass auf meiner Seite Google-Analytics lief, das habe ich nun rausgeschmissen. Ghostery zeigt nun 0 tracking-Aktivitäten (BuiltWith meint noch immer, Google-Analytics zu finden, aber dazu hast Du ja auch schon geantwortet).Kann ich mir dann eine Datenschutzerklärung sparen?
    • Finn Hillebrandt17. Mai 2018 um 11:27 AntwortenNein, eine Datenschutzerklärung brauchst du auf jeden Fall.Dort müssen z. B. allgemeine Hinweis rein (Namen und die Kontaktdaten des Verantwortlichen, Infos über Betroffenenrechte etc.), möglicherweise verwendete Dritt-Dienste (auch wenn diese nicht nur Ghostery angezeigt werden), Infos zu deinem Hosting-Anbieter (der in der Regel IP-Adressen und andere Client-Daten deiner Besucher speichert) sowie Infos zu deinem E-Mail-Anbieter.LGFinn
  3. Ting Ting10. Mai 2018 um 23:36 AntwortenHallo Finn,
    ich wollte mich nur mal für die Super Seite bedanken. Ich sitze schon wochenlang an meinem Blog und habe richtige Kopfschmerzen ^^“ Aber Deine Seite hilft mir sehr weiter. Sehr verständlich geschrieben (auch Verständlich für Laien wie mich) und sehr übersichtlich. Vielen Dank 🙂
  4. Laura10. Mai 2018 um 18:46 AntwortenHallo Finn, vielen Dank für die ausführliche Zusammenstellung, die mir grade ungemein dabei hilft, meinen Blog für den 25.05. fit zu bekommen.
    Ich verzweifle allerdings grade, weil mit Ghostery anzeigt, bei meinem Blog liefe Adsense… Problem ist: Ich nutze das definitiv nicht, und bin mittlerweile echt am Verzweifeln, wo das irgendwie versteckt sein könnte…
  5. Nicole B.9. Mai 2018 um 11:25 AntwortenHallo Zusammen 🙂Hat jemand Erfahrung wie es ist wenn zwei Blogger eine Seite betreiben in Bezug auf Impressum und Datenschutz? Ich meine wenn beide im Impressum eingetragen werden was ist da zu beachten?Wir lesen nur unterschiedliche Genres und machen nur unterschiedliche Fotos *g*.Es ist aber meine Seite ich bin also hauptverantwortlich (steht auch drin). Google Analytics hab ich gelöscht das Konto (war da eh nur 2-3 im Jahr schauen), Google Fonts hab ich erstmal deaktiviert, Social Teilen über Sharif, Folgen Buttons erstmal rausgenommen (mache vermutlich Links rein).Aktuell suche ich nach einer Lösung um im Divi Theme das Kommentarfeld mit einer Checkbox ergänzen zu können (Kontaktformular ist geklärt). Jetzt werde ich doch langsam hibbelig *g*.
  6. Babsy8. Mai 2018 um 8:48 AntwortenHallo Finn,ich spiele seit über 14 Jahre ein Browsergame, ohne Werbung oder Newsletter….gestern informierte uns der Betreiber, dass er Game und Forum schließen wird, wegen dieser DSGVO….ist es denn wirklich norwendig? Betrifft es alle Browsergames, auch wenn unser Spiel keins ist, wo man bewegliche Bilder hat…wer bei uns anfängt, muss viel lesen…denn nur durch das Geschriebene erfährt ein Neuling was er machen kann….es gibt natürlich eine FAQ bei uns…wie können wir als Spieler helfen, dass der Betreiber nicht abschaltet? 🙁
  7. Julia7. Mai 2018 um 14:32 AntwortenHui, so viel zu beachten… ich schieb die Anpassung meines Blogs seit Monaten vor mir her. Danke für die tolle Liste, jetzt hab ich wenigstens mal einen Anfang.Grüße
    Julia
    • Finn Hillebrandt9. Mai 2018 um 10:21 AntwortenJa, die DSGVO ist nicht ohne. Aber auch nichts, was man nicht bewältigen könnte. 😉Wenn du Fragen hast, melde dich gerne!
  8. Yvonne30. April 2018 um 15:22 AntwortenWas für eine tolle Zusammenstellung zur DSGVO, vielen Dank für diesen Beitrag!
  9. Alex29. April 2018 um 21:17 AntwortenDie DSVGO kommt mir dhin eigentlich entgegen.
    Ich werde mein Online-Angebot prüfen, und zum 24.5.dann deaktivieren.
  10. Katharina20. April 2018 um 20:02 AntwortenHallo Finn,
    Ich habe eine „Hobby-Website“ wo ich Fotos von meinen Backwaren zeige also kein richtiger Blog. Was müsste ich bei der DSGVO beachten. Habe jetzt so viel gelesen, dass ich jetzt total verwirrt bin.
    • Finn Hillebrandt29. April 2018 um 22:30 AntwortenAuch mit deiner Hobby-Website musst die meisten der aufgezählten Punkte beachten. Die DSGVO macht da leider keine Unterschiede…
  11. Patrick20. April 2018 um 11:12 AntwortenViele informieren viel und gut. Hier habe ich aber erstmals den Eindruck, es auch wirklich verstehen zu können. Das liefert mir eine gewisse Sicherheit, Motivation und Vertrauen, die ganze Thematik gut und richtig abwickeln zu können. Besten Dank dafür!
  12. Ritchie Pettauer | datenschmutz.net8. April 2018 um 14:06 AntwortenSuper Liste! Nur aus Builtwith werd ich nicht so recht schlau… der sieht bei mir lauter Sachen, die ich vor zwei Wochen rausgeworfen hab, behauptet aber, das Ergebnis sei vom 7.4… hmm… ich verlass mich da lieber auf die Developper Tools.
    • Finn Hillebrandt9. April 2018 um 7:41 AntwortenHi Ritchie,ja, ich bevorzuge auch die Developer Tools. Die Analysen von BuiltWith sind gecached und bilden Änderungen an der Website nicht sofort ab.Aber es eignet sich gut für einen ersten Blick und für Technik-Laien, die mit den Developer Tools nichts anfangen können.LGFinn