Datenschutzgrundverordnung (DSGVO) Technische und organisatorische Schutzmaßnahmen für Webseiten und Online-Shops

Am 25. Mai 2018 greift die Datenschutzgrundverordnung (DSGVO) und schafft damit einen EU-einheitlichen Rechtsrahmen zum Schutz personenbezogener Daten für den gesamten EU-Raum. Im Rahmen der DSGVO wurden die Bußgelder zur Sicherstellung der Umsetzung auf bis zu 20 Mio. Euro (oder bei Unternehmen auf bis zu 4 % seines weltweit erzielten Jahresumsatzes) angehoben. Die DSGVO macht für Betreiber von Webseiten und Online-Shops eine Aktualisierung bisheriger Erklärung zum Datenschutze notwendig - Hierzu eignen sich der Datenschutzgeneratoren von eRecht24.de oder der Deutschen Gesellschaft für Datenschutz. Zudem müssen Verantwortliche und Verarbeitungsprozesse dokumentiert werden, sodass bei entptrechender Kontrolle durch Aufsichtsbehörden das Unternehmen aussagekräftig ist.

Zusätzlich müssen geeignete technische und organisatorische Maßnahmen getroffen werden, welche erhobene personenbezogene Daten und deren Verarbeitung angemessen schützen (Art. 32 DSGVO). Hierzu gehören nach DSGVO:

Pseudonymisierung und Verschlüsselung personenbezogener Daten
ergreifen geeigneter technischer Maßnahmen zum Schutz von Daten bezüglich des genutzten Systems und in der Verarbeitung (Wahrung von Vertraulichkeit; Integrität; Verfügbarkeit und Belastbarkeit der Systeme)
regelmäßige Erstellung und Bereitstellung von Sicherheitskopien zur raschen Datenwiederherstellung nach einem physischen oder technischen Zwischenfall
regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Dokumentation der Schutzmaßnahmen

Um ein wenig mehr Übersicht in die zu ergreifenden Maßnahmen zu bekommen, sollten somit vorab nachfolgende Punkte zu jeder Tätigkeit des Unternehmens mit Bezug zur Erhebung und Verarbeitung personenbezogenen Daten geklärt und dokumentiert werden.

01 Pseudonymisierung

Wie werden persönliche Daten pseudonymisiert, sodass diese nicht mehr einer Person konkret zuordenbar sind? Beispiel: ersetzen einer E-Mail-Adresse durch eine User-ID, IP-Anonymisierung bei Nutzung von Google Analytics

02 Verschlüsselung

Wie werden personenbezogene Daten vor unberechtigten Zugang oder Zugriff geschützt? Beispiel: SSL für E-Mails, Passwörter auf Archive

03 Gewährleistung der Vertraulichkeit

Wie wird der Zutritt und Zugang zu personenbezogene Daten reglementiert? Beispiel: Sicherheitstür zum Serverraum, Passwortschutz

04 Gewährleistung der Integrität

Wie wird gewährleisten, dass erhobene Daten die zur Verarbeitung bereitstehen richtig sind? Wie wird mit Änderungen oder Löschungen erhobene Daten die umgegangen – Welche Prozesse liegen vor? Gibt es ein Löschformular bzw. ein Formular für Auskunftsersuche?

05 Gewährleistung der Verfügbarkeit

Wie wird gewährleistet, dass bei einem physischen oder technischen Zwischenfall die Daten verfügbar bleiben? Beispiel: Server mit Notstromaggregat

06 Gewährleistung der Belastbarkeit der Systeme

Wird regelmäßig geprüft, dass die Systeme einem Zwischenfall gewappnet sind? Beispiel: Überprüfung der Zugangskontrolle zum Serverraum, technische Abnahmen durch Prüfpersonal

07 Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall

Gibt es einen Reaktionsplan der Datenpannen der gewährleistet, dass ninnerhalb von 72 Stunden die zuständige Aufsichtsbehörde informiert ist? Welche Schutzmaßnahmen wurden getroffen? Beispiel: Brand im Serverraum - einspielen Back-ups auf Notserver

08 Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Werden getroffene Maßnahmen regelmäßige hinsichtlich der Wirksamkeit geprüft? Welche Prozesse liegen dem zugrunde?

09 Schriftliche Dokumentation von sonstigen Maßnahmen

Wurden Datenschutz Anweisungen an Mitarbeiter ausgegeben? Liegt eine IT-Sicherheitszertifizierung vor? Wurden Weiterbildungen besucht?

Beispiele zur Dokumentation technischer und organisatorischer Schutzmaßnahmen

An dieser Stelle nun zwei Beispiele für die Dokumentation technischer und organisatorischer Schutzmaßnahmen, welche zur Wahrung der DSGVO getroffen wurden.

Nutzung von Google Analytics

Anonymisierung der IP Adressen wurde angelegt - Analytics-Code wurde hierzu um die IP-Masken-Methode „_anonymizeIp()“ erweitert
Ein Hinweis zur Nutzung von Cookies wird beim Aufruf der Seite angezeigt und muss aktiv bestätigt werden.
Vertrag zur Nutzung von Analytics wurde mit Google abgeschlossen
Datenschutzerklärung wurde um einen Hinweis auf die Nutzung von Google Analytics erweitert
Widerspruchsrecht der Betroffenen wurde technisch angelegt (Beispiel: Opt-out-Link in den Datenschutzhinweisen)
Die Nutzung von Google Analytics wurde geprüft und hinsichtlich technischer und organisatorischer Schutzmaßnahmen für ausreichend befunden

Nutzung einer Kundendatenbank auf einem Server

Server auf dem alle Kundendaten liegen ist nur mit Passwort und Nutzername zu erreichen
Serverraum ist mit einfachem Schlüssel verschlossen, der physische Zugang ist mittels eines Protokolls (Name, Datum, Unterschrift) dokumentiert
Jede Nutzung der Kundendatenbank wird protokolliert (Login/Logout, Änderungen am Datensatz, Logins sind eineindeutig einer Person zuweisbar – es gibt keinen gemeinsamen Login
Lese und Schreibrechte können nach Bedarf verteilt werden
Kunden werden nicht unter dem Klarnamen, sondern mit einer User-ID gespeichert
es werden regelmäßig Back-ups/Sicherheitskopien verschlüsselt erstellt und sicher abgelegt
eine Überprüfung der Wirksamkeit der Maßnahmen erfolgt quartalsweise
Mitarbeiter haben eine Datenschutzvereinbarung nach einer Datenschutzeinweisung unterschrieben. Quartalsweise werden Datenschutzhinweisen an alle Mitarbeiter per E-Mail verschickt

Was Youbility für Sie tun kann: Technische Maßnahmen zum Schutz personenbezogenen Daten

Die DSGVO verpflichtet geeignete Maßnahmen zu treffen, welche personenbezogene Daten in der Erhebung und Verarbeitung schützt. Hierfür können wir seitens des technischen Systems Ihrer Webseite oder Ihres Online-Shops bestimmte Voraussetzungen schaffen:

IP- Anonymisierung in Google Analytics
Einbindung eines Opt-Out-Links für das Nutzertracking von Google Analytics in Ihrer Datenschutzerklärung
Erweiterung des Google Analytics-Skripts Ihrer Webseite oder Ihres Online-Shops für eine Opt-Out-Funktionalität
Implementierung Cookie-Hinweis auf Ihrer Webseite oder in Ihrem Online-Shop
aktualisierte Datenschutzerklärung auf entsprechender Unterseite einpflegen
Einrichtung eines Double-Opt-In für Ihre Newsletterregistrierung (Anmeldung zum Newsletter mit seperater Bestätigung des Newsletters via E-Mail)
Einbindung eines Datenschutzhinweises in Ihrem Kontaktformular
Anonymisierung der Kundendatenbank
Optimierung und Anpassung der Datenstruktur aller personenbezogenen und auf Ihrem Server gespeicherten Daten des Online-Shops oder der Webseite
Einrichtung eines Back-up-Prozessen Ihrer Datenbank
Einbindung eines SSL-Zertifikates sowie einer automatisierten Weiterleitung zur HTTPS-Version Ihrer Webseite oder Ihres Online-Shops
Umzug Ihrer gehosteten Daten auf einen in Deutschland befindlichen Server
Ablegen aller Scripte und Schriften externer Quellen (u. a. GoogleFonts) auf Ihrem Server und Entfernen aller Links der Ressourcen
Erstellen eines Formulars für Auskunftsersuche und Datenlöschung

Als technischer Dienstleister weisen wir darauf hin, dass wir mit unseren Empfehlungen keine Rechtsberatung ersetzen und somit nicht als rechtsverbindlich angesehen werden. Organisatorische Maßnahmen wie u. a. die Dokumentation der Schutzmaßnahmen und der Verarbeitungsprozesse obliegen individuellen Bedingungen. Gern vermitteln wir Ihnen einen fachkundigen Anwalt, der abhängig Ihres Einzelfalls eine entsprechende Rechtsberatung vornimmt.

Datenschutz­grund­verordnung (DSGVO) Technische und organisatorische Schutzmaßnahmen für Webseiten und Online-Shops