Checkliste DSGVO: Datenschutzerklärung auf der Webseite

Es finden sich im Internet eine Menge von Datenschutzgeneratoren und Checklisten für die Webseite, insgesamt wird man von der Fülle nahezu „erschlagen“ habe ich den Eindruck. Ich möchte daher hier keine umfassende Checkliste anbieten, sondern eine kurze Auflistung von Punkten die aus meiner Sicht in jedem Fall bei der Abfassung einer Datenschutzerklärung eine Rolle spielen müssen, die Auflistung ist dabei gerade nicht abschliessend.

Immer wenn einer der Folgenden Punkte von Ihnen mit „Ja“ beantwortet wird sollten Sie prüfen, ob dieser Aspekt in Ihrer Datzenschutzerklärung berücksichtigt wurde:

  • Gibt es ein Kontaktformular? Falls ja: Hier muss mit der Rechtsprechung zwingend eine Information zur Datenverbarbeitung in die Datenschutzerklärung aufgenommen werden. Dabei ist des Weiteren jedenfalls zu prüfen ob die Daten gespeichert oder per Mail weitergeleitet werden, ob die Weiterleitung gesichert stattfindet und ob eine gesonderte Belehrung mit Auswahlbox zur Verwendung der Daten existiert.
  • Wird ein Newsletter geboten? Falls ja: Wie wird mit Anmeldungen verfahren (Generierte Mail zur Anmeldung oder Speicherung auf Server), wird zwingend Double.Opt-In verwendet, handelt es sich um einen externen Anbieter und falls ja wurde ein Vertrag über eine Auftragsverarbeitung geschlossen? Beachten Sie insbesondere die Problematik ausländischer Speicherung, wenn etwa Dienste aus dem Bereich der USA verwendet werden.
  • Gibt es die Möglichkeit eines Logins oder der Registrierung für Nutzer? Falls ja: Zwingend in der Datenschutzerklärung zu berücksichtigen, gegen Missbrauch ist vorzubeugen, Opt-Out-Möglichkeiten geschaffen sein. Denken Sie an zusätzliche Funktionen wie ein Forum oder einen Supportbereich!
  • Speicherung des Servers: Die Standard-Webserver speichern Daten in so genannten Logfiles („Access-Logfiles“). Hierüber sollte eine Belehrung existieren und die Datenspeicherung auf ein notwendiges Minimum begrenzt sein.
  • Ist die Webseite SSL-Verschlüsselt? Falls nein: Kümmern Sie sich darum. Inzwischen sollte es mit LetsEncrypt kein Argument mehr dagegen geben.
  • Nutzen Sie ein Tracking? Hier gehören insbesondere Matomo/Piwik oder Google Analytics. Es muss belehrt werden, auch hinsichtlich verwendeter Daten, und eine Opt-Out-Möglichkeit geschaffen werden.
  • Werden externe Dienste verwendet? Hierzu gehören Social-Media-Dienste, aber auch eingebundene Dienste wie etwa Videos von YouTube, Fontsawesome über externe Server, der Einsatz eines Content Delivery Networks (CDN) oder Google Maps. Sie müssen zumindest Auskunft hinsichtlich verwendeter Dienste erteilen, also welche Daten verarbeitet werden (IP-Adrewsse!), Informationen zum Opt-Out (soweit vorhanden) sowie Kontaktdaten des Dienstes bereit halten.
  • Cookies? Ihre Webseite wird regelmäßig Cookies verwenden – informieren Sie hinsichtlich der verwendeten Cookies, verarbeiteten Daten und halten Sie derzeit ein Popup bereit, dass direkt bei Aufruf der Webseite erscheint.
  • Belehrung über Rechte des Nutzers? Achten Sie darauf, den Nutzer über die ihm zustehenden Rechte zu belehren.
  • Informationsseiten: Auf jeder Seite Ihrer Webseite sollte ein direkter Link zum Impressum und zur Datenschutzerklärung bereit gehalten werden.

Fachanwalt für IT-Recht Jens Ferner

Rechtsanwalt und Fachanwalt für IT-Recht in Alsdorf, Aachen. Tätig als externer Datenschutzbeauftragter für Unternehmen in der Region Aachen, Heinsberg und Düren.

Letzte Artikel von Fachanwalt für IT-Recht Jens Ferner (Alle anzeigen)