skip to Main Content

Wir wollen Sie und Ihr Unternehmen fit im Datenschutz machen!
Das ist unsere Mission.

Wir leben in einer Welt, in der immer mehr Daten erhoben werden.
In diesen Daten steckt jede Menge Potenzial, welches Unternehmen im Marketing verwerten.
Der Umgang mit eben diesen erhobenen Daten wird im Datenschutz geregelt.
Tagtäglich begehen Unternehmen in diesem Bereich Verstöße.

Wir haben in unserer täglichen Arbeit bemerkt, dass es im Bereich Datenschutz große Unsicherheit gibt.

Welche Probleme treten im Bereich Datenschutz auf?
Wir haben aus unseren Kundenprojekten die häufigsten Probleme und Ursachen zusammengetragen.
Einfach den Punkt anklicken um Details zu erfahren.

In diesem Bereich stellen wir die häufigsten Verstöße fest.
Unserer Erfahrung nach greifen Unternehmen auf Anwälte bei der Formulierung von Datenschutztexten zurück, aber der Code zur Datenerhebung wird vernachlässigt.

Viele Software-Entwickler und Agenturen sind in diesem Bereich nicht sensibilisiert. Bei der Analyse von Quellcode stellen wir in 90% der Fälle einen Verstoß gegen die Datenschutzbestimmungen fest.

Häufigste Probleme die aufreten sind:

  • Speichern vollständiger IP-Adressen
  • Google Analytics Einbindung nicht Datenschutzkonform
  • Widerspruchsmöglichkeiten funktionieren nicht
  • Double Opt-In Verfahren bei Emails

Auch in diesem Bereich bieten wir Ihnen eine Checkliste um zu prüfen, wo Sie eventuell anpassen müssen.

In der Analyse von Webseiten fällt uns sehr oft auf,
dass der Datenschutzhinweis gänzlich fehlt, versteckt ist oder unvollständig.

Dabei lässt sich dieser Punkt sehr schnell und einfach korrigieren, welche Hinweise in den Datenschutzhinweis müssen, ist sehr gut dokumentiert.

Es gibt unzählige Vorlagen und auch wir bieten in unserem Datenschutz-Guide einen Mustertext an.

Content-Management-Systeme erfreuen sich immer größerer Beliebtheit.
Ein CMS macht es leichter Inhalte ins Netz zu stellen und diese zu verwalten, gerade für Nicht-Techniker ideal!

Dennoch gibt es bei der Verwendung vieler CMS Probleme mit dem Datenschutz. Hier sind technische Anpassungen notwendig um Ihr CMS fit zu machen für den Einsatz nach deutschem Datenschutzrecht.

Wir haben uns auf WordPress spezialisiert und bieten Ihnen in unserem Guide unzählige Tipps zur datenschutzkonformen Verwendung!

Die meisten Unternehmen, die wir kennen, arbeiten mit Dienstleistern, Freelancern und Zulieferern.
In den meisten Fällen werden sensible Nutzerdaten ausgetauscht, ohne das die Verarbeitung geregelt ist.

Hier ist es nötig die Dienstleister zu informieren und zu sensibilisieren. Die Zusammenarbeit muss mit einem Datenverarbeitungsauftrag geregelt werden!

Wir stellen in unserem Datenschutz-Guide einen Mustervertrag bereit. Außerdem geben wir Ihnen Tipps, wie Sie Dienstleister prüfen können und Sicherheitsrisiken vermeiden.

Ein großes Problem im Datenschutz, welches uns täglich begegnet ist die Verwendung von Tools und Software, welche für den amerikanischen Markt konzipiert wurde.

In Amerika gelten andere Regeln im Datenschutz und daher sind die Tools nicht immer 1 zu 1 in Deutschland einsetzbar.

Außerdem geben Sie, oft unbewusst, Daten an externe Anbieter frei. Zum Beispiel beim Hosting oder bei einem externen Newslettertool.
Hier müssen Sie gesonderte Vereinbarungen zur Verarbeitung der Daten treffen.

In unserem Datenschutz-Guide zeigen wir Ihnen, wie Sie solche Vereinbarungen treffen und worauf Sie achten müssen.

An wen richtet sich der Datenschutz-Guide der VOLL GmbH?

Wir wollen in erster Linie Unternehmen dabei helfen,
Verstöße im Datenschutz zu vermeiden.

Wir wollen aber auch Anwälten helfen, mehr Verständnis für den technischen Part im Datenschutz zu entwickeln.

Außerdem richten wir uns an Freelancer und Agenturen,
hier wollen wir mehr Sensibilität für das Thema Datenschutz schaffen.

Inhaltsverzeichnis: Datenschutz-Guide VOLL GmbH

letzte Aktualisierung: 14.09.2018

Lesen Sie den kompletten Guide oder nur die Bereiche, die Sie gerade interessieren.
Wir haben den Guide einmal grob nach den Kernbereichen unterteilt
und außerdem ein Inhaltsverzeichnis angelegt.
In einigen Bereichen erhalten Sie außerdem die Möglichkeit ergänzende Materialien herunterzuladen.

Datenschutzhinweis und Recht
Google Analytics und Trackingcodes
Datenschutz bei Wordpress
Datenschutz mit Dienstleistern
Datenschutz bei Tools und Software
Weitere Infos zum Datenschutz

1. Datenschutzhinweis und rechtliche Texte:

Datenschutzhinweis und Recht

In diesem Abschnitt wird der rechtliche Aspekt des Datenschutzes behandelt.
Hier finden Sie alles zum Thema Datenschutzhinweis, Informationspflicht, Auskunftspflicht und gesetzlichen Grundlagen im Datenschutz.

Was bildet die rechtliche Grundlage für den Datenschutz?

Der Datenschutz wird in Deutschland durch das Datenschutzgesetzt, auch BDSG genannt, geregelt.
Hier finden Sie das vollständige BDSG >>
Aktuell umfasst es 38 Seiten und regelt die umfangreichen Sparten des Datenschutzes.

Folgende Punkte werden im BDSG geregelt (Auszug):

  • Zweck und Anwendungsbereich des Gesetzes
  • Öffentliche und nicht-öffentliche Stellen
  • Begriffsbestimmungen
  • Datenvermeidung und Sparsamkeit
  • Zulässigkeit der Datenerhebung (Verarbeitung und Nutzung ebenso)
  • Übermittlung von Daten ins Ausland
  • Ausnahmen
  • Meldepflichten
  • Datenschutzbeauftragter und Aufgaben
  • Datengeheimnis
  • Schadensersatz
  • Datenschutzaudit
  • Datenverarbeitungsauftrag
  • Auskunftsrecht, Löschung und Sperrung von Daten

Man sieht also sehr schnell, dass Thema Datenschutz ist recht umfangreich!
Wir wollen uns jedoch nur auf die Bereiche konzentrieren die Sie als Unternehmen betreffen und dort speziell den Webbereich mit Fokus auf das Marketing.

Auskunftspflichten von Unternehmen:

Wenn Sie als Unternehmen eine Webseite betreiben, dann haben Sie eine Auskunftspflicht gegenüber den Nutzern, also Besuchern der Webseite.

Dazu gehört auch die Impressumspflicht!
Im Impressum müssen folgende Punkte angegeben  und erfüllt sein:

  • Impressum von jeder Seite aus mit einem Klick erreichbar?
  • Vollständigkeit des Impressums
  • Zwei Kontaktmöglichkeiten geben
  • Unternehmen benennen
  • Anschrift
  • HRB oder HRA (bei Gesellschaften)
  • Ust-ID Nummer

Weiterhin muss ein Datenschutz Hinweis vorhanden sein, dieser darf nicht im Impressum versteckt werden.
Der Punkt kann entweder „Impressum und Datenschutz“ heißen oder man kann zwei einzelne Seiten aufbauen und verlinken.

Folgende Punkte müssen in die Datenschutzerklärung aufgenommen werden:

  • Einleitender Text wofür dieser Hinweis gilt
  • Erwähnung der Datenerhebung und Tracking-Skripte
  • Abschnitte zu Social Media Plugins
  • Auskunft, Löschung und Sperrung als Abschnitt mit Benennung eines konkreten Ansprechpartners und zwei Kontaktmöglichkeiten
  • Hinweis auf die Verwendung von Cookies
  • Hinweis auf Erhebung von Server Log Files
  • Hinweis zum Newsletter
  • Hinweis zur Verwendung der Webseite
  • Hinweis zur Verwendung des Kontaktformulars

Datenschutz Beauftragter: Widerspruch, Auskunft, Löschung und Sperrung

Gegenüber den Nutzern und Besuchern Ihrer Webseite müssen Sie die Möglichkeit bieten im Datenschutz eine Auskunft zu erhalten.
Ebenso müssen Nutzer die Möglichkeit haben Widerspruch gegen erfasste Daten einzulegen und zusätzlich noch die Möglichkeit haben personenbezogene Daten löschen zu lassen.

Damit der Besucher, Kunde oder Nutzer diese Möglichkeit schnell wahrnehmen kann, müssen Sie im Datenschutzhinweis einen entsprechenden Ansprechpartner mit Kontaktmöglichkeiten benennen.

Idealerweise benennen Sie einen Datenschutzbeauftragten namentlich und bieten 2 Kontaktmöglichkeiten.

Welche Unternehmen brauchen einen Datenschutzbeauftragten? Keine Regel ohne Ausnahme.

Die Regelung dazu, wann ein Datenschutzbeauftragter vom Unternehmen bestellt werden muss ist nicht ganz eindeutig. Es gibt diverse Vorschriften und Richtlinien die sich auf Mitarbeiterzahl, Datenerhebung und Datenverarbeitung beziehen.

Generell ist es sinnvoll einen verantwortlichen für den Datenschutz zu benennen. Die Hauptaufgabe des Datenschutzverantwortlichen ist es die Einhaltung des BDSG zu gewährleisten und für Personen bereit zu stehen, von denen Daten erhoben wurden.

Der Datenschutzbeauftragte muss immer dann benannt werden wenn automatisiert Daten zu Personen erhoben werden. Darunter fällt auch die Verwendung von Google Analytics!

Dabei spielt die Rechtsform, wie auch Mitarbeiterzahl keine Rolle. Auch welche Qualifikation der Datenschutzbeauftragte mitbringen muss ist nicht klar geregelt.
Das BDSG gibt lediglich vor, dass der Datenschutzbeauftragte eigenständig handeln sollte, der Geschäftsleitung direkt unterstellt sein sollte und zudem unabhängig (Weisungsunabhängig) sein sollte.

Der Staat setzt im Datenschutz also auf Selbstkontrolle und nimmt die Unternehmen in die Pflicht!
Dem Datenschutzbeauftragten muss zusätzlich die Möglichkeit geboten werden an Weiterbildungen im Bereich Datenschutz teilnehmen zu können.

Externer Datenschutzbeauftragter möglich!

Es ist weiterhin möglich einen externen Datenschutzbeauftragten zu bestellen und im Datenschutzhinweis anzugeben.
Dieser sollte aber nicht nur auf dem Papier vermerkt sein, sondern auch real die entsprechenden Befugnisse haben und Nutzerdaten löschen können und tatsächlich auf die Einhaltung der Richtlinien im BDSG zu achten!

Download: Checkliste für Impressum und Datenschutzhinweis

Optimieren Sie Ihren Datenschutz Hinweis
und prüfen Sie Ihr Impressum mit unserer Checkliste. 

Oder nehmen Sie unser Angebot wahr und lassen Sie Ihre Webseite kostenfrei auf 25 Datenschutzverstöße prüfen!

— oder —

2. Google Analytics und Tracking-Codes

Google Analytics und Trackingcodes

Rechtliche Grundlage beim Tracking von Nutzern

Ein Tracking der Nutzer um Angebote für diese zu optimieren ist grundsätzlich sinnvoll. Über 90% aller Webseiten setzen auf den Analytics Dienst von Google!

Dennoch herrscht im Datenschutz-Recht noch Unklarheit zum Umgang mit dem Tool. Einige Experten meinen die Nutzung sollte nur mit ausdrücklicher Zustimmung durch den Nutzer möglich sein, ein Großteil der Experten meint ein Widerspruch gegen die Erfassung reiche aus.

Eine klare Positionierung durch die Datenschutz Behörden gibt es allerdingst noch nicht. Hier bleibt es also weiter spannend.

Nach aktueller Lage gelten folgende Regeln bei der Verwendung von Google Analytics:

  • Widerspruch muss möglich sein
  • 2 Arten des Widerspruches
  • Hinweis in Datenschutzerklärung auf Tracking
  • IP-Anonymisierung muss zwingend genutzt werden
  • Datenverarbeitungsauftrag

Diese Punkte sind vielen Unternehmen und Datenschützern bekannt, dennoch passieren in der Umsetzung immer wieder Fehler. Diese führen zu unrechtmäßig erhobenen Daten, die man im schlimmsten Fall sogar löschen muss.

Wie muss das Tracking aufgebaut sein um datenschutzkonform zu sein?

Damit Google Analytics Datenschutz konform eingesetzt werden kann muss unbedingt die IP-Anonymisierung aktiviert werden.
Dazu hat man die Möglichkeit den Tracking-Code von Analytics zu erweitern oder bei der Verwendung des Google Tag-Managers die entsprechende Einstellung vorzunehmen.

Wichtig: Die Ip-Anonymisierung muss vor dem Absenden der Daten erfolgen. Wir haben es schon oft erlebt, dass die Ip-Anonymisierung erst nach dem Absenden der Daten ausgeführt wird!

Ip Anonymisierung Code Analytics Ip-Anonymisierung als Code
Ip-Anonymisierung im Tag Manager Ip-Anonymisierung im Tag Manager

Google Analytics Datenschutzkonform einsetzen, das ist technisch zu beachten

Neben der IP-Anonymisierung benötigt man noch die Möglichkeit des Widerspruches. Der Besucher der Webseite muss die Möglichkeit haben, sich selbst vom Tracking auszuschließen.

Das kann zum einen über die Verlinkung auf ein Browser Plugin ermöglicht werden. Dieses Browser Plugin von Google blockiert die Erfassung durch Google Analytics im Browser des Nutzers.

Diese Widerspruchsmöglichkeit ist aber nicht ausreichend, denn Nutzer von Smartphones können das Plugin nicht nutzen und haben damit faktisch keine Möglichkeit sich vom Tracking auszuschließen.

Hier gibt es eine Smarte Methode, der Nutzer setzt dabei einen Cookie und teilt damit mit, dass er sich vom Analytics-Tracking nur auf dieser einen Webseite ausschließen will.
Dieses Verfahren nennt man Opt-Out Cookie Verfahren und dies funktioniert auch auf mobilen Endgeräten.

Wir empfehlen stets beide Varianten einzubinden!

Technisch ist die Umsetzung eigentlich ganz simpel, dennoch passieren den Agenturen und Freelancern hier ständig Fehler die uns in der täglichen Arbeit begegnen.

Wie ist es technisch umzusetzen?

  1. Es wird eine Javascript Funktion benötigt, welche es ermöglicht einen Opt-Out Cookie zu setzen.
  2. Es wird ein Skript benötigt, welches abfragt ob der Opt-Out Cookie vorhanden ist und das Analytics Script entsprechend abbricht.

Auch hier gibt es wieder 2 Varianten:

  1. Einbindung des Analytics-Codes direkt in der Webseite
  2. Einbindung über Google Tag-Manager

Opt-Out Cookie setzen: So geht es!

Es muss ein Javascript in die Seite eingebaut werden, dieses sieht so aus:

<a onclick="alert('Google Analytics wurde deaktiviert');" href="javascript:gaOptout()">Google Analytics deaktivieren</a>

Der Code muss zudem noch als Javascript deklariert werden, dies geschieht durch den <Script> Tag und wird sehr oft falsch gemacht.

Unten ein Beispiel für die korrekte Einbindung des Javascriptes, bei Klick kommt eine Meldung. Analytics wird aber nicht deaktiviert, da es nur dem Test dient:

Dieser Opt-Out Cookie Text mitsamt der Funktion muss in die Datenschutzerklärung aufgenommen werden.

Weiterhin muss man den Tracking-Code noch anpassen um den Opt-Out Cookie abzufragen und das Tracking-Skript entsprechend zu stoppen.
Dabei muss dieses Prüfskript immer vor dem eigentlichen Analytics Skript ausgeführt werden.

Hier der Code der entweder im Tag-Manager eingebunden werden muss, oder direkt vor dem eigentlichen Tracking-Skript auf der Webseite.
Achtung: es muss noch die Property angepasst werden. 

<script>

var gaProperty = 'UA-XXXXXXX-1';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
 window[disableStr] = true;
}
function gaOptout() {
 document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2999 23:59:59 UTC; path=/';
 window[disableStr] = true;
}

</script>
Opt Out Cookie im Tag Manager Opt Out Cookie im Tag Manager

Google Analytics Datenschutzkonform einsetzen, Opt-Out und Rechtliches

Soweit haben wir die IP-Anonymisierung umgesetzt und 2 Möglichkeiten des Opt-Out integriert.
Damit sind die technischen Anforderungen erfüllt, jetzt kommen wir zum rechtlichen Teil.

Zum einen wird ein angepasster Datenschutzhinweis für die Verwendung von Google Analytics notwendig. Zum anderen muss man noch einen Datenverarbeitungsauftrag mit Google schließen.

Zum Thema Datenverarbeitungsauftrag finden Sie in diesem Guide noch mehr Informationen.

Der Datenverarbeitungsauftrag den Sie mit Google schließen müssen, finden Sie hier >> 

Drucken Sie diesen in zweifacher Ausführung aus, füllen Sie die Daten aus und unterschreiben Sie diesen an den entsprechenden Stellen. Senden Sie beide Exemplare zu Google (Adresse auf dem Dokument) und legen Sie einen frankierten Umschlag für die Rücksendung des zweiten Exemplars für Ihre Unterlagen bei.

Nun müssen Sie nur noch den Datenschutzhinweis anpassen und einfügen.
Auf Nachfrage stellen wir Ihnen gern ein Muster bereit!

Checkliste: Datenschutzkonforme Analytics Einbindung

Laden Sie unsere Checkliste herunter und überprüfen Sie die Einbindung von Google Analytics auf Ihrer Webseite.

Wir prüfen außerdem die korrekte Einbindung von Google Analytics kostenfrei.
Ersparen Sie sich die Mühe und nehmen Sie unser Angebot an.

— oder —

3. Datenschutz in CMS Systemen am Beispiel von WordPress

Datenschutz bei Wordpress

Zusammenfassung der wichtigsten Schritte,
hier als Video ansehen:

Was hat mein CMS mit Datenschutz zu tun? Datenschutzfallen im CMS:

Sehr viele Webseiten bauen auf einem Content-Management-System kurz CMS auf. Viele Unternehmen glauben, es handelt sich hierbei nur um ein System zur Verwaltung von Inhalten, doch auch hier werden teilweise personenbezogene Daten erhoben und im schlimmsten Fall sogar ganze IP-Adressen gespeichert.

Das wohl beliebteste CMS ist WordPress, auf die Besonderheiten im Datenschutz beim WordPress CMS gehen wir hier auch genauer ein.
Darauf folgt Typo3 in der Beliebtheit und Verbreitung, Platz 3 belegt das CSM Joomla und dicht dahinter kommen Contao und Drupal.

Bei den Shopsystemen gilt das gleiche wie bei den CMS Systemen, auch hier werden teilweise Nutzerdaten erhoben und in Datenbanken gespeichert, in einigen Fällen sogar die vollständige IP-Adresse.

Bei den Shopsystemen ist Shopware besonders beliebt, gefolgt von Magento, Woocommerce (WordPress-Shopsystem) und Prestashop.

Auch die Webbaukästen gelten als CMS und erheben unter Umständen eigene Statistiken die man im Datenschutz berücksichtigen sollte.
Hierzu gehören zum Beispiel Anbieter wie Jimdo und Wix.

Doch wo liegen bei der Verwendung eines CMS die Datenschutzfallen?

Zunächst einmal wollen wir klarstellen, dass wir längst nicht alle CMS kennen und mit Gewissheit sagen können, welche Daten erhoben und gespeichert werden.
Wir kennen aber die generellen Problemstellen und wollen darauf hinweisen und bieten auch eine Checkliste an um das eigene CMS zu überprüfen.

Eine kritische Stelle in den meisten Content-Management-Systemen ist die Kommentarfunktion. Hier kommt es unserer Erfahrung nach zu den meisten Verstößen im Datenschutz.
Entweder werden zu viele Felder als Pflichtfeld abgefragt oder im schlimmsten Fall die vollständige IP-Adresse des Kommentierenden erfasst und in der Datenbank gespeichert.

Einige CMS, vor allem diese mit starker Marketing-Ausrichtung, erheben eigene Statistiken zu den Besuchern.
Hier werden Besuche, Besuchszeiten, Klicks und in vielen Fällen auch IP-Adressen erfasst und gespeichert. Hier muss man genau prüfen in welchem Umfang Daten erhoben werden und ob diese mit dem BDSG vereinbar sind!

Aber nicht nur Art und Umfang der erhobenen Daten spielt im Datenschutz eine wichtige Rolle. Der Speicherort der Daten ist ebenso zu hinterfragen und für den Datenschutz extrem wichtig.

So gibt es einige CMS Anbieter, welche eine eigene Datenbank vorhalten. Dort werden Nutzerdaten gespeichert und es gelten die Bestimmungen des Datenschutzes.
Bei WordPress gibt es zum Beispiel die Möglichkeit eine Installation von WordPress.com zu nutzen, damit liegen die Daten in den USA und der Datenschutz muss besonders geregelt werden.

Man sollte also genau prüfen, wo die Daten liegen, wo die Datenbank angelegt wird und welche Daten dort gespeichert sind.

Datenschutzprobleme bei der Verwendung von WordPress

WordPress ist derzeit vermutlich das beliebteste CMS im Internet. Dennoch ist die Verwendung out-of-the-box aus Datenschutzsicht problematisch!

WordPress speichert standardmäßig die IP-Adressen bei Kommentaren, was nach den Datenschutz-Regeln nicht zulässig ist.

WordPress ist nicht ausreichend geschützt, das BDSG regelt nicht nur die Erhebung und Speicherung von Daten, sondern auch wie diese geschützt sein müssen. Viele WordPress-Installationen sind nicht ausreichend vor Angriffen geschützt und sollten im Bereich IT-Sicherheit nachgerüstet werden.

Verschlüsselte Übertragung notwendig! Nicht nur bei WordPress so, aber Daten sollten nicht unverschlüsselt übertragen werden, setzen auf das https Protokoll!

Plugins und Themes sollten mit Bedacht gewählt werden, viele Plugins erstellen eigene Datenbanken und speichern Nutzerdaten beim Pluginbetreiber. Aus Datenschutzsicht ist dies extrem kritisch und sollte daher genau geprüft werden!

Dies gilt vor allem bei den Social-Plugins, hier sollte bei Verwendung der Datenschutzhinweis entsprechend ergänzt werden!

Gravatar Plugin rechtlich bedenklich, hier werden Nutzerdaten an einen externen Dienst übertragen um Profilbilder bei Kommentaren anzuzeigen.

Spam Blocker ebenso rechtlich bedenklich, jeder WordPress-Betreiber mit Kommentarfunktion wird schonmal einen Spam Kommentar erhalten haben. Plugins, die gegen Spam helfen sollen sind im Einsatz aber bedenklich und Verstoßen oft gegen den Datenschutz.
Denn die Plugins erfassen IP-Adressen und gleichen diese mit einer Datenbank ab, dies ist nicht zulässig.

Vergessene Update gelten als Sicherheitsrisiko, Sie als Seitenbetreiber bekommen nicht nur Auflagen zur Erhebung der Daten, sondern auch zum Schutz der erhobenen Daten.
Vernachlässigen Sie Updates, dann vernachlässigen Sie die IT-Sicherheit Ihrer Seite und schützen damit die Daten nicht in ausreichendem Maße. Achten Sie also darauf Updates regelmäßig zu prüfen und durchzuführen.

WordPress Datenschutzkonform einsetzen

Um WordPress Datenschutzkonform einsetzen zu können, sollten Sie vorab ein paar Punkte prüfen:

  • Werden bei Kommentaren IP-Adressen gespeichert?
  • Speichert das Kontaktformular Plugin IP-Adressen?
  • Wird ein Plugin verwendet, welches Besucher trackt mitsamt der IP-Adresse?
  • Wird ein Anti-Spam Plugin verwendet? Nutzt dieses IP-Adressen in voller Länge?
  • Ebenso sind Google Analytics Plugins kritisch zu prüfen, ob diese alle Kriterien erfüllen
  • Legen Plugins eigene Datenbanken an? Liegen diese beim Pluginanbieter? Dann wird ein Datenverarbeitungsauftrag nötig

Natürlich gibt es noch weitere Punkte zu beachten. Wir ergänzen an dieser Stelle nach und nach!

Kostenfrei: Wir prüfen Ihre WordPress-Seite

Nehmen Sie unser Angebot wahr und lassen Sie Ihre Webseite kostenfrei auf 25 Datenschutzverstöße prüfen!

Wir prüfen Ihre WordPress-Seite auf Datenschutzverstöße.

— oder —

4. Dienstleister, Agenturen, Freelancer und Datenschutz

Datenschutz mit Dienstleistern

Kaum ein Unternehmen kann alles Aufgaben selbst bewältigen.
Daher arbeiten Firmen mit Dienstleistern, Zulieferern und Agenturen zusammen.

Doch die Zusammenarbeit betrifft in vielen Fällen auch den Datenschutz. Denn häufig werden personenbezogene Daten ausgetauscht und ausgewertet.
Hier gibt es eindeutige Regelungen im BDSG, die sich auf die Verarbeitung solcher Daten beziehen.

Das Stichwort ist hier der Datenverarbeitungsauftrag, diesen müssen Sie mit Ihrer Agentur oder den Freelancern schließen, wenn Sie personenbezogene Daten übermitteln.

Aber Vorsicht, mit der Schließung des Vertrages allein ist es noch nicht getan!
Auch die Kontrolle und Auswahl der Dienstleister muss den Vorschriften entsprechend und bringt einige Kriterien mit sich.

Im Umkehrschluss gilt wiederrum, das nicht jede Kooperation auch dem Datenschutz unterliegt!
Hier einige Beispiele, wann ein Datenverarbeitungsauftrag notwendig wird:

Sehr viele Unternehmen arbeiten im Marketing mit Freelancern oder Agenturen zusammen. In diesem Bereich werden vermutlich die meisten personenbezogenen Daten gesammelt und ausgewertet.

Hat Ihr Dienstleister Zugriff auf einen der folgenden Punkte, so ist ein Datenverarbeitungsauftrag notwendig:

  • Google Analytics
  • Newsletter-Tool
  • CRM
  • Werbeanzeigen und Werbestatistiken
  • CMS der Webseite

Ihr Buchhalter hat Zugriff auf mehr Daten, als Sie vielleicht denken.
Budgets die Kunden bei Ihnen platzieren, Kundendaten und Namen verarbeitet er in der Regel auch.

Auch welche Angebote Kunden wahrgenommen haben, kann vom Buchhalter eingesehen werden, wenn dieser die Rechnungen durchgeht.

Daher ist es wichtig die Zusammenarbeit mit den Datenverarbeitungsauftrag zu regeln.

Sie haben jemanden der Ihre Webseite betreut? Oder Sie sind selbst ein IT-Dienstleister?
Bei der Webentwicklung und Shopbetreuung werden oftmals sensible Informationen ausgetauscht, das reicht von kritischen Passwörtern und Zugängen bis hin zu Kundendaten die im Shop oder der Webseite gespeichert werden.

Hier kommt es immer wieder zu schweren Datenschutzverstößen, viele kleinere IT-Freelancer erfüllen nicht die Sicherheitsstandards im Umgang mit Daten.

Der IT-Dienstleister besitzt in der Regel Zugang zu besonders kritischen Bereichen, daher sollten hier besondere Schutzmaßnahmen in der Zusammenarbeit getroffen werden.

Sie hosten Ihre Webseite bei einem Anbieter? Dann erhebt dieser ebenfalls Daten mit den sogenannten Server-Log-Files.
Hier bieten viele Hoster einen Datenverarbeitungsauftrag an, nur wenige Kunden fragen diesen aber tatsächlich an und unterzeichnen diesen.

Sicherlich nutzen Sie ein CRM – Customer Relationship Management System zur Verwaltung von Kunden und Interessenten.

Auch hier geben Sie personenbezogene Daten an einen Drittanbieter weiter, hier müssen Sie Regelungen treffen und sollten den Anbieter sorgfältig auswählen.
Viele Anbieter bieten einen eigenen Mustervertrag, den Sie dringend anfragen und unterzeichnen sollten.

Sie setzen auf eine Newslettersoftware zum Versand Ihrer Mails? Auch hier werden personenbezogene Daten erhoben und ausgewertet.
Dazu gehören Zustellungsraten und Klickstatistiken, hier müssen Sie die Verwendung und Bearbeitung der Daten Regeln.

Sie sollten weiterhin einen sicheren Anbieter auswählen, viele der seriösen Anbieter bieten einen Datenverarbeitungsauftrag als Muster an.

Besonders schwierig ist es, wenn Sie einen Auftragnehmer haben und dieser Dritte in Form eines Sub-Dienstleisters zum Projekt dazu zieht.
Natürlich gilt das auch, wenn Sie selbst Auftragnehmer sind und Dritte unterbeauftragen.

Bei diesen Konstellationen wird der Datenschutz besonders oft vernachlässigt und mit Daten extrem fahrlässig umgegangen.
Regeln Sie daher auch Unterbeauftragungen entsprechend und zeigen Sie dies dem Auftraggeber lieber an!

Der Daten-Verarbeitungsauftrag:

Der Umgang mit Daten muss geregelt und geprüft werden, hierbei stellt das BDSG einige Anforderungen an die Unternehmen.
Der Datenverarbeitungsauftrag soll gewährleisten das die externen Verarbeiter diese Richtlinien ebenso einhalten und der Kontrolle durch den Auftrageber unterstehen.

Zu vielen Punkten werden Hinweise gegeben, welche Sicherheitsvorkehrungen im Umgang mit Daten zu treffen sind:

  • Zutrittskontrolle zu Büro, Technik und Daten
  • Zugangskontrolle (online und am PC)
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennungskontrolle

Mit dem Vertrag sollten Sie genau festhalten, wie die Agentur oder der Dienstleister plant diese Punkte einzuhalten.

Ansprüche an Agenturen, das müssen Sie bei der Auswahl beachten

Zunächst sollten Sie klar regeln, welche Daten verarbeitet werden und in welcher Form. Dann  sollte noch der Zweck der Verarbeitung definiert sein und ebenso der Zeitraum und die Kündigung des Datenverarbeitungsauftrages.

Dann müssen noch die Pflichten des Auftragnehmers geklärt werden und ebenso Ihre Kontrollrechte!

Sie sollten sich das Recht einräumen (Nr. 6 Anlage zu §9 BDSG) die Einhaltung des Datenschutzes durch den Auftraggnehmer, gemäß der Vereinbarung, zu kontrollieren oder kontrollieren zu lassen.

Genau hier drin liegt ein großer Knackpunkt und in der Zusammenarbeit mit kleineren Agenturen gibt es oft Probleme. Denn diese unterzeichnen zwar die Verpflichtungen des Vertrages, können diese aber so gut wie nicht gewährleisten und halten einer Prüfung nicht stand.

Prüfen Sie also genau, wer mit Ihren Daten arbeitet und ob der Dienstleister den gängigen Anforderungen an IT-Sicherheit und Datenschutz gerecht wird.

Zu diesem Zweck haben wir Ihnen eine Checkliste erstellt mit der Sie die einzelnen Punkte beim Dienstleister abprüfen können.

Vertrauen ist gut, Kontrolle ist besser: Wie Sie Ihren Dienstleister prüfen können

Sie und Ihr Dienstleister sollten entsprechende Maßnahmen zum Schutz von personenbezogenen Daten gewährleisten.
Die Maßnahmen zum Schutz sollten dabei dem „aktuellen Stand der Technik“ entsprechen und „zeitgemäß“ sein.

Wir haben Ihnen dazu eine Checkliste erstellt, mit dem Sie die einzelnen Kontrollpunkte sowohl in Ihrem Unternehmen, als auch beim Dienstleister prüfen können!

Checkliste: Kontrollpflichten im Datenschutz

Worauf sollten Sie und Ihre Dienstleister im Umgang mit Daten achten?
Wir haben eine Checkliste erstellt und uns mit den wichtigsten Kriterien befasst und zeigen wie man diese gewährleisten könnte!

Weiterhin bieten wir eine kostenfreie Datenschutzprüfung für Sie an!

— oder —

5. Datenschutz im Umgang mit Tools, Software und Hostern

Datenschutz bei Tools und Software

Datenschutzvergleich USA und Deutschland:

Technologie im Web kennt keine Ländergrenzen, der Datenschutz und die Gesetzte dagegen schon.
Dieser Umstand führt oft zu Problemen und Verwirrung im Datenschutz bei deutschen Unternehmen.

Am beliebtesten sind die Tools aus den USA wie zum Beispiel Google Analytics, Mailchimp oder Hotjar.

Datenschutz in Deutschland:

  • Hier gibt es ein Datengeheimnis, es gilt generell
  • Die Kunden bestimmen, wie Daten verwendet werden
  • Hier gilt das BDSG
  • Zuständigkeit des Datenschutzes über Bundesamt geregelt
  • Unternehmen haben eine Auskunftspflicht

Datenschutz in den USA:

  • Kein Datengeheimnis
  • Nutzerdatenverwendung bestimmen die Unternehmen
  • Datenschutz nur schwach gesetzlich verankert
  • Keine Aufsichtsbehörde für Datenschutz
  • Patriot Act, Nutzung von Nutzerdaten ohne Auskunft

Diese Unterschiede gilt es bei der Auswahl von Tools zur Datenerhebung zu berücksichtigen. Ebenso sollte man auch darauf achten, wo personenbezogene Daten gespeichert werden.

Auch im Datenverarbeitungsauftrag muss man die verschiedenen Gesetze der einzelnen Länder berücksichtigen.

Beliebte Tools gefährlich im Datenschutz, darauf sollten Sie achten:

  • Google Analytics muss angepasst werden um in Deutschland verwendet werden zu können
  • Newslettertools aus den USA
  • Marketing-Automationssoftware
  • WordPress Plugins wie Gravity Forms
  • Mail-Tracking Systeme
  • Heatmaptools und Videoaufzeichnungen von Nutzerinteraktionen

Alternativen finden und Daten sicher erheben

Die Deutschen Unternehmen haben eine Chance im Datenschutz gewittert und bieten viele Tools die man aus den USA kennt nun auch in deutscher Version an.
Hierbei wird damit geworben, dass die Daten sicher auf deutschen Servern gespeichert werden und man den Datenschutz einhält.

Diese Alternativen bieten oft eine gute Lösung an, die in Ihrer Funktion leider in vielen Fällen beschränkt sind.

Eine weitere Möglichkeit ist die Verwendung eigener Dienste, die man selbst kontrolliert und hosted.
Damit ist man im Bereich Datenschutz natürlich sehr sauber, hat aber einen enormen Mehraufwand.

Für viele Bereiche und Tools gibt es Lösungen um „Selbst Installieren und Hosten“.
So können Sie sich einen eigenen Newsletter-Dienst installieren lassen und damit  alle Daten bei sich behalte und auf Ihrem Server speichern.
Auch für Google Analytics gibt es eine Alternative, bei der keine Daten an Dritte übermittelt werden, hier ist das Tool Piwik sehr beliebt.

Vorteile selbst gehosteter Software im Datenschutz:

  • Datenhoheit liegt bei Ihnen
  • Kein Datenverarbeitungsauftrag notwendig
  • Unabhängigkeit von den Gesetzen und Entwicklungen anderer Länder
  • Weckt Vertrauen bei den Nutzern
  • Mehr Kontrolle über Erhebung, Analyse und Auswertung

Nachteile von selbst gehosteter Software im Datenschutz:

  • Technisches Know-How erforderlich
  • IT-Sicherheit nicht unterschätzen
  • Pflege- und Wartungsaufwand für Systeme steigt an
  • Fehlkonfigurationen führen zu schlechter Datenqualität
Datenschutzprüfung Ihrer Webseite

Wir prüfen Ihre Webseite auf Datenschutzverstöße!
Dabei prüfen wir die 25 häufigsten Datenschutzverstöße
und erstellen für Sie einen Audit.

6. Sonstiges zum Datenschutz

Weitere Infos zum Datenschutz

Neuigkeiten rund um den Datenschutz im Web:

Unklarheit beim Einsatz des Facebook Like-Button >>

Keine SSL Verschlüsselung und Nutzung von Formularen kann Bußgelder nach sich ziehen >>

Lesetipps und andere interessante Seiten:

Tim Brettschneider Blogbeitrag datenschutzkonformer Einsatz Google Analytics>>

Auftragsdatenverarbeitung Mustervertrag >>

Mailchimp Newsletter und Datenschutz >>

 

Häufig gestellte Fragen:

Frage:  Apple hat bisher weder das EU- noch das U.S. Datenschutzschild umgesetzt:
a. Darf ich dann kein Iphone oder IPad mehr verwenden?
b. Wie sieht das mit den in der iCloud gespeichert Daten wie Kontakten und Terminen aus? Muss (kann?) ich mit Apple einen Auftragsdatenverarbeitungsvertrag schließen? Oder nutze ich dann doch besser die Google Dienste, die sind da wohl näher an der DSGVO?

Unsere Antwort:

Der Einsatz der iCloud war auch schon vor der DSGVO umstritten und bereits beim geltenden Recht (DSGVO) wurde bemängelt, dass es keine Möglichkeit gibt eine Auftragsdatenverarbeitung mit Apple zu schließen.

Ein Iphone an sich sollte nicht bedenklich sein, es ist eher die Synchronisation der Daten mit Drittanbietern die einer besonderen Regelung bedarf.

Die Frage ob Google in diesem Kontext besser ist, können wir auch nicht abschließend beantworten. Wir finden aber, Google wirkt „bemühter“.

Gerade bei Google Analytics gibt es einen Mustervertrag und Möglichkeiten zur Anonymisierung.
Für Googles Cloud-Dienste haben wir dieses Dokument gefunden. In wie weit dies den Ansprüchen der DSGVO genügt, bleibt fraglich.

Frage:  Vielen Dank für Ihre Seite und die Möglichkeit Fragen zu stellen.

Wie verhält es sich mit Dienstleistern wie Telefonprovidern (o2 usw.), Internetprovidern (unitymedia, o2 usw) oder sogar Banken? Hier werden mittels dieser Dienstleister auch personenbezogenen Daten verarbeitet bzw. weitergegeben.

Werden diese geschäfltlich benutzt, müssen hier gesonderte Vereinbarungen mit diesen Dienstleister getroffen werden?

Unsere Antwort:

Ja! Der Datenverarbeitungsauftrag muss ja aktuell auch mit dem Hoster geschlossen werden.
Unserer Meinung nach stellen die Einzelverbindungsnachweise bei der Telefonrechnung auch personenbezogene Daten dar und hier muss der Datenschutz gewahrt werden.

Bei den Banken haben wir schon mitbekommen, das einige Banken von sich aus Verarbeitungsaufträge an Ihre Kunden raussenden. Hier sind wir uns aber unsicher, in wie fern das Bankenwesen von der DSGVO ausgenommen ist, hier könnte es eventuell ähnliche Ausnahmen wie bei den öffentlichen Ämtern geben.

Also im Zweifel lieber noch einmal nachhaken und einen Datenverarbeitungsauftrag abschließen!

Bisher wurden nur wenige Fragen zum Datenschutz gestellt,
senden Sie uns doch Ihre Frage anonym zu.

Nutzen Sie dazu das Formularfeld:

Datenschutzprüfung Ihrer Webseite

Wir prüfen Ihre Webseite auf Datenschutzverstöße!
Dabei prüfen wir die 25 häufigsten Datenschutzverstöße
und erstellen für Sie einen Audit.

Experten-Prüfung Ihres Datenschutzes:

Gern unterstützen wir Sie bei der Einhaltung des Datenschutzes
und bei der Umsetzung von datenschutzkonformen Marketing.

Wir bieten Ihnen einen Datenschutz-Audit an
und prüfen dabei 25 der häufigsten Verstöße!

Senden Sie uns Ihre Webseite zu und geben Sie optional eine Telefonnummer an,
unter der wir Sie zurückrufen können.

Ihr Ansprechpartner: Tim Brettschneider

Direktkontakt:

Jetzt anrufen:
+49 3641 – 2232946

E-Mail senden >>

Probieren Sie den Datenschutzbot:

Wir prüfen automatisiert Ihre Webseite mit einer KI und einer manuellen Prüfung.
Danach erhalten Sie ein Angebot für den Audit von uns.

Back To Top