Die EU-Datenschutz-Grundverordnung (DSGVO) dient dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Verordnung gilt sowohl bei Geschäftsbeziehungen zwischen Unternehmen und Privatpersonen, aber auch im B2B-Bereich.

Maßnahmen und Hinweise

Nachfolgend 25 Maßnahmen, die bei der Umsetzung der DSGVO notwendig oder sinnvoll sind. Es werden weiterführende Informationen und Muster insbesondere von der Datenschutzkonferenz (DSK) und dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) verlinkt.

Rechtlicher Hinweis: Diese Auflistung ersetzt keine Rechtsberatung und erhebt keinen Anspruch auf Vollständigkeit, sondern ist aus der Praxis eines Webentwicklers mit Blick auf die Umsetzung der DSGVO bei Onlineshops entstanden.

1. Übersicht der Datenspeicherung

Eine wichtige vorbereitende Maßnahme ist die Ermittlung der derzeitigen Situation bei der Datenspeicherung. Man sollte sich einen Überblick verschaffen, wo man personenbezogene Daten speichert. So eine Analyse ist die Grundlage, um Löschfristen festlegen zu können, den Pflichten zur Information nachzukommen oder um das VTT (siehe Punkt 2) zu erstellen. Beispielhaft eine Übersicht der Speicherung in Serverlog-Dateien.

Beispiel Datenspeicherung Serverlog-Dateien
Beispiel Datenspeicherung Serverlog-Dateien

2. Verzeichnis von Verarbeitungstätigkeiten (VVT)

Mit den Daten aus Punkt 1 lässt sich das Verzeichnis für Verarbeitungstätigkeiten (VVT) erstellen. Das VVT dokumentiert die Verarbeitung von personenbezogenen Daten und ist auf Verlangen der Datenschutz-Behörde vorzulegen. Dieses Verzeichnis ist bei regelmäßiger Verarbeitung personenbezogener Daten Pflicht.

3. Verantwortlichen für den Datenschutz benennen

Es sollte ein Verantwortlicher für den Datenschutz festgelegt werden. Sofern mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter schriftlich zu bestellen.

4. Schutzbedürftigkeit der Daten ermitteln

Es ist zu prüfen, ob man personenbezogene Daten verarbeitet, die ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen beeinhalten. Ein Beispiel dafür sind Gesundheitsdaten. Dies wird bei den meisten Onlineshops sicherlich nicht der Fall sein. Falls doch, sind besondere Maßnahmen zum Schutz dieser Daten erforderlich.

5. Datenschutz-Folgeabschätzung (DSFA)

Sofern Punkt 4 ergeben hat, dass man entsprechend sensible Daten speichert, ist die Erstellung einer Datenschutz-Folgeabschätzung notwendig.

6. IT-Sicherheit gewährleisten und dokumentieren

So wie schon das IT-Sicherheitsgesetz von 2015 fordert auch die DSGVO Maßnahmen zur Absicherung von IT-Systemen und ermöglicht Sanktionen, wenn man diese Arbeiten unterlässt. Insbesondere im E-Commerce sind nicht durchgeführte Updates und schlecht gesicherte Systeme einer der Hauptursachen für Datenlecks. Man sollte täglich nach verfügbaren Aktualisierungen schauen und zumindest die Sicherheitsupdates zeitnah durchführen. Eine Dokumentation der Arbeiten und weitere Maßnahmen zur IT-Sicherheit sind zu berücksichtigen.

7. Überblick der eingesetzten Software

Die zeitnahe Durchführung von Sicherheitsupdates ist Pflichtprogramm. Dazu benötigt man einen Überblick der eingesetzten Software und Erweiterungen, für deren Aktualisierung man selbst verantwortlich ist.

8. Notfallplan erstellen

Bei unbefugten Zugriffen auf personenbezogene Daten ist die zuständige Aufsichtsbehörde zu benachrichtigen. Die Benachrichtigung ist innerhalb 72 Stunden nach Erkennung der Datenpanne durchzuführen. Eine Meldung muss nicht erfolgen, sofern das Problem voraussichtlich nicht zu einem Risiko für die Betroffenen führt. Wenn für die Rechte und Freiheiten der betroffenen Personen ein voraussichtlich hohes Risiko entsteht, sind auch die Personen zu informieren.

9. Einwilligungen dokumentieren

Die Einhaltung der Rechtsmäßigkeit einer Verarbeitung von personenbezogenen Daten ist gegebenenfalls nachzuweisen. Es kann deshalb sinnvoll sein, von entsprechenden Online-Formularen Screenshots zu machen und deren Absendung elektronisch zu protokollieren.

10. Personenbezogene Daten verschlüsselt übertragen

Personenbezogenen Daten müssen verschlüsselt übertragen werden. Online-Formulare sind per TLS-Verschlüsselung abzusichern. Per E-Mail versandte Nachrichten müssen verschlüsselt werden, sofern personenbezogene Daten mit hohem Schutzbedarf (siehe Punkt 4) enthalten sind.

11. Datenminimierung und Speicherbegrenzung beachten

Im Grundsatz dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind. Sobald die Speicherung personenbezogener Daten für den eigentlichen Zweck nicht mehr erforderlich ist, müssen die personenbezogenen Daten gelöscht oder die Identifizierung der betroffenen Person durch Pseudonymisierung aufgehoben werden, sofern es keine Ausnahmen von der Löschpflicht gibt.

12. Verfahren für das Recht auf Auskunft erstellen

Man muss einer Person auf Verlangen innerhalb eines Monats Auskunft geben, welche personenbezogenen Daten man über diese Person gespeichert hat. Dazu wird ein organisatorisches und technisches Verfahren benötigt, um die Daten ermitteln und der richtigen Person mitteilen zu können.

13. Verfahren für das Recht auf Löschen erstellen

Ein weiteres Recht ist das Recht auf Löschung/Vergessenwerden. Dabei muss man auf Verlangen der betroffenen Person und unter bestimmten Voraussetzungen ohne Verlangen der betroffenen Person personenbezogene Daten löschen. Auch dazu benötigt man ein organisatorisches und technisches Verfahren, um dieses Recht umsetzen zu können.

14. Verfahren für das Recht auf Datenübertragbarkeit erstellen

Außerdem gibt es ein Recht auf Datenübertragbarkeit. Damit soll einer Person die Möglichkeit gegeben werden, seine personenbezogenen Daten von einer verantwortlichen Stelle auf eine andere zu übertragen. Auch dafür ist ein Verfahren notwendig. Wobei Datenübertragbarkeit technisch problematisch ist und in der Praxis bei normalen Onlineshops vermutlich selten in Anspruch genommen werden wird.

15. Einbindungen von fremden Servern ermitteln

Eine IP-Adresse gilt als personenbezogenes Datum. Viele Website-Betreiber haben Elemente wie Skripte, Bilder oder Schriften von fremden Servern eingebunden und geben damit mindestens die IP-Adresse der eigenen Besucher weiter. Es wäre sinnvoll, dass man sich einen Überblick verschafft, was genau man von welchen fremden Servern und Unternehmen in den eigenen Internetauftritt eingebunden hat.

16. Einbindungen löschen oder ersetzen

Es wäre sinnvoll zu prüfen, ob man die Einbindungen (siehe Punkt 15) löschen oder durch andere Lösungen ersetzen kann. Es ist beispielsweise datenschutzfreundlicher, eine Schrift vom eigenen Server zu laden und nicht extra die Datenschutzerklärung anpassen zu müssen, nur weil man eine Schrift vom Google-Server lädt.

17. Datenübermittlung in Drittländer

Es sind die Vorschriften bei der Übertragung von personenbezogenen Daten in Länder außerhalb der EU/des EWR (Europäischer Wirtschaftsraum) zu beachten. Unter anderem muss geprüft werden, ob dort bestimmte Datenschutzregeln oder entsprechende Vereinbarungen wie das “EU-US Privacy Shield” vorhanden sind.

18. Rechtskonforme Tracking-Analyse beachten

Man muss sicherstellen, dass eine Analyse des Besucherverhaltens datenschutzkonform stattfindet. Wie bisher auch ist dazu eine IP-Anonymisierung, die Berücksichtigung von Do-Not-Track, eine Belehrung in der Datenschutzerklärung und die Möglichkeit einer Deaktivierung des Tracking umzusetzen. Bei der Nutzung von externen Trackingsystemen wie Google Analytics ist ein ADV (siehe Punkt 20) abzuschließen.

19. Gastkonto ermöglichen

Es gibt bei einigen Juristen die Auffassung, dass in einem Onlineshop die Möglichkeit eines Gastkonto bestehen muss. So eine Lösung macht sicherlich dann Sinn, wenn bei einer Bestellung tatsächlich kein Kundenkonto erstellt wird, was aber meines Wissens kaum ein Shopsystem bietet. Oder wenn das erstellte Gastkonto zeitnah automatisiert nach der Bestellung gelöscht wird. In der Praxis ist es jedoch leider häufig so, dass ein Gastkonto ein normales Kundenkonto ist, auf die der Kunde aber keinen Zugriff hat. Diese Variante dient ausschließlich einer besseren Konversionsrate und ist untauglich, um einen besseren Datenschutz zu gewährleisten. Eine alternative Variante ist offenbar, die Bestellung per Telefon oder E-Mail zu ermöglichen.

20. Auftragsverarbeitung (ADV) vereinbaren

Personenbezogene Daten eines Unternehmens werden nicht selten auf Computern oder von Mitarbeitern fremder Unternehmen verarbeitet. Zum Beispiel für Hosting, Saas-Onlineshops, Webtracking oder Newsletter-Marketing. Sofern personenbezogenen Daten verarbeiten werden oder ein Zugriff möglich ist (z.B. bei Wartungsarbeiten), ist ein Vertrag zur Auftragsverarbeitung notwendig.

21. Datenschutzerklärung aktualisieren

Die Datenschutzerklärung ist für die DSGVO anzupassen. Es gibt Generatoren, mit denen man sich die Datenschutzerklärung zusammen klicken kann. Eine bessere Variante könnte sein, dass man sich eine individuelle Datenschutzerklärung erstellt oder erstellen lässt, die die Eigenheiten des eigenen Internetauftritts berücksichtigt. Für jeden Verarbeitungsvorgang (siehe Punkt 1) sind folgende Punkte aufzulisten:

22. Verlinkung und Platzierung der Datenschutzerklärung

Die Datenschutzerklärung sollte getrennt vom Impressum erstellt werden und von jeder Seite und Unterseite des Internetauftritts aus erreichbar sein. Der Linktext zur Datenschutzerklärung sollte eindeutig bezeichnet sein.

23. Datensicherungskonzept erstellen

Personenbezogene Daten müssen verfügbar sein und sich bei Datenverlust wiederherstellen lassen. Es ist ein Backupkonzept zu erstellen, in dem unter anderem Sicherungsintervalle, Löschfristen und Kontrollen auf Wiederherstellbarkeit definiert werden. Bei Backups ist zu unterscheiden zwischen Sicherungskopien und Archiven. Sicherungskopien werden zur Wiederherstellung im Fehlerfall genutzt und nicht dauerhaft aufbewahrt. Archive dienen der langfristigen Datenspeicherung. Bei Archiv-Sicherungen sind die Löschregeln anzuwenden, so dass dort gegebenenfalls personenbezogene Daten entfernt werden müssen.

Checkliste: Datensicherung / Backup unter der DSGVO

24. Mitarbeiter einbeziehen

Mitarbeiter sollten zum Thema Datenschutz geschult werden und zur Geheimhaltung personenbezogener Daten verpflichtet werden.

25. Entsorgung sicherstellen

Akten mit personenbezogenen Daten sind mit einem Aktenvernichter ab Sicherheitsstufe 3 zu vernichten. Aktenvernichtung und Datenlöschungen müssen dokumentiert werden.

Weitere Hinweise

Folgende Materialien vom BayLDA und dem Händlerbund sind zu empfehlen: