Ein praktischer Leitfaden zu DSGVO-Checkliste

Dieser Leitfaden erklärt DSGVO-Checkliste praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Eine GDPR-Checkliste ist kein Ersatz für Rechtsberatung, aber sie ist eine praktische Möglichkeit, Lücken zu finden, bevor Kunden, Aufsichtsbehörden oder Vorfälle dies tun. Der GDPR basiert auf Rechenschaftspflicht: Organisationen müssen nachweisen können, was sie verarbeiten, warum, auf welcher Rechtsgrundlage, mit welchen Schutzmaßnahmen und für wie lange.

Verwenden Sie diese Checkliste als Betriebsüberprüfung für Websites, SaaS-Produkte, Marketingsysteme und interne Tools.

1. Ordnen Sie Ihre Daten zu

Erstellen Sie ein Verzeichnis der von Ihnen verarbeiteten personenbezogenen Daten. Enthalten:

• Kontaktformulare.
• Analysetools.
• CRM Datensätze.
• E-Mail-Marketinglisten.
• Unterstützen Sie Gespräche.
• Abrechnungsdaten.
• Produktnutzungsereignisse.
• Serverprotokolle.
• Authentifizierungssysteme.
• Skripte und Pixel von Drittanbietern.

Erfassen Sie für jede Verarbeitungstätigkeit die Datenkategorien, den Zweck, die Rechtsgrundlage, die Aufbewahrung, die Empfänger, den Speicherort und den Verantwortlichen. GDPR Artikel 30 verlangt für viele Organisationen Aufzeichnungen über Verarbeitungstätigkeiten, und selbst wenn eine formelle Aufzeichnung nach Artikel 30 nicht erforderlich ist, ist die Durchführung unerlässlich.

2. Identifizieren Sie eine Rechtsgrundlage

Für jede Verarbeitungstätigkeit ist eine der sechs Rechtsgrundlagen gemäß Artikel 6 erforderlich: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen. Siehe den Text von GDPR Artikel 6.

Geben Sie Ihre Zustimmung nicht vor. Die Einwilligung muss freiwillig erteilt und widerrufbar sein. Der Vertrag kommt nur dann zustande, wenn die Verarbeitung für die Vertragsabwicklung erforderlich ist. Berechtigte Interessen bedürfen einer Abwägung und dürfen die Rechte der Menschen nicht außer Kraft setzen.

Für die Analyse öffentlicher Websites verlassen sich viele Teams entweder auf die Zustimmung zu Cookie-basierten Tools oder entscheiden sich für Analysen ohne Cookies, die personenbezogene Daten minimieren und Gerätespeicherung vermeiden.

3. Lesen Sie die Cookie- und Tracking-Regeln

GDPR ist nur ein Teil des Bildes. In Europa regeln ePrivacy-Regeln das Speichern von oder den Zugriff auf Informationen auf dem Gerät eines Benutzers. Analyse-Cookies, Werbepixel, lokale Speicherkennungen und einige Tracking-Links können eine Einwilligung erfordern.

Überprüfen Sie Ihre Website in einem sauberen Browserprofil:

• Welche Skripte werden vor der Einwilligung geladen?
• Welche Cookies werden vor der Einwilligung gesetzt?
• Funktioniert die Ablehnung aller nicht wesentlichen Nachverfolgungen?
• Werden Analytics-Ereignisse nach einer Ablehnung weiterhin gesendet?
• Werden Formularwerte oder personenbezogene Daten an Analyseanbieter gesendet?

Wenn Sie Geschäftsanforderungen mit aggregierten Analysen ohne Cookies erfüllen können, können Sie möglicherweise eine Hauptursache für die Komplexität der Einwilligung beseitigen.

4. Machen Sie Datenschutzhinweise korrekt

GDPR Artikel 13 und 14 erfordern transparente Informationen über die Verarbeitung. In Ihrer Datenschutzerklärung sollte Folgendes erläutert werden:

• Wer ist der Verantwortliche?
• Welche Daten werden erhoben.
• Warum es gesammelt wird.
• Rechtsgrundlagen.
• Empfänger und Lieferanten.
• Internationale Überweisungen.
• Aufbewahrungsfristen.
• Rechte und wie man sie ausübt.
• Beschwerderechte.
• Kontaktdaten für Datenschutzanfragen.

Der Hinweis muss der Realität entsprechen. Wenn Ihre Website Google Analytics, Meta Pixel, ein Heatmap-Tool, ein Chat-Widget und einen CRM-Formularhandler lädt, muss die Richtlinie dies widerspiegeln. Besser noch: Entfernen Sie Werkzeuge, die Sie nicht benötigen.

5. Bereiten Sie sich auf die Rechte der betroffenen Person vor

Personen können Zugriff, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Einspruch oder Widerruf der Einwilligung beantragen. Erstellen Sie einen Workflow, bevor die erste Anfrage eintrifft.

Checkliste:

• Aufnahme per E-Mail oder Formular.
• Regeln zur Identitätsprüfung.
• Schritte zur Systemsuche.
• Schritte zur Lieferantenanfrage.
• Antwortvorlagen.
• Terminverfolgung.
• Aufzeichnung des Ergebnisses.

Bei richtiger Gestaltung ist es oft schwierig, Analysedaten einer Person zuzuordnen. Das ist ein Vorteil. Wenn Ihr Analysetool Besucher nicht identifizieren kann, werden viele Rechteanfragen einfacher, da kein Analyseprofil auf Personenebene abgerufen werden kann.

6. Sichern Sie die Daten

GDPR Artikel 32 erfordert geeignete technische und organisatorische Maßnahmen. Für die meisten Teams bedeutet das:

• Multi-Faktor-Authentifizierung.
• Zugriff mit den geringsten Privilegien.
• Verschlüsselung während der Übertragung und gegebenenfalls im Ruhezustand.
• Protokollierung und Audit-Trails.
• Zugangskontrollen für Lieferanten.
• Backup-Schutz.
• Pläne zur Reaktion auf Vorfälle.
• Mitarbeiterschulung.

Exporte nicht vergessen. CSV-Dateien, Dashboard-Screenshots und BI-Extrakte werden oft zum schwächsten Punkt für den Datenschutz.

7. Überprüfen Sie Anbieter und Verträge

Geben Sie für jeden Anbieter, der personenbezogene Daten verarbeitet, an, ob es sich um einen Auftragsverarbeiter, einen Verantwortlichen oder einen gemeinsamen Verantwortlichen handelt. Auftragsverarbeiter benötigen die Datenverarbeitungsbedingungen gemäß Artikel 28. Überprüfen Sie Unterauftragsverarbeiter, Übertragungsmechanismen, Löschfristen, Sicherheitsmaßnahmen und Prüfrechte.

Analytics-Anbieter verdienen besondere Aufmerksamkeit, da sie sich auf öffentlichen Seiten befinden und möglicherweise IP-Adressen, Benutzeragenten, URLs, Kampagnendaten und Ereignisdetails von jedem Besucher erhalten.

8. Überprüfen Sie internationale Überweisungen

Für Übermittlungen außerhalb des EWR ist ein rechtlicher Mechanismus erforderlich, beispielsweise eine Angemessenheitsentscheidung, Standardvertragsklauseln, verbindliche Unternehmensregeln oder ein anderer GDPR Kapitel V-Weg. Das EU-US-Datenschutzrahmenwerk hat die Übertragungsoptionen für teilnehmende US-Organisationen geändert, es beseitigt jedoch nicht die Notwendigkeit, die Beteiligung des Anbieters, den Umfang, die Weiterübertragungen und die Produktkonfiguration zu verstehen.

9. Minimieren und löschen

Legen Sie die Aufbewahrung nach Zweck fest. Für die Website-Analyse sind möglicherweise keine jahrelangen rohen Ereignisdaten erforderlich. Serverprotokolle benötigen möglicherweise nur Wochen oder Monate, sofern sie nicht aus Sicherheitsgründen erforderlich sind. Alte Leadlisten sollten bereinigt werden. Ruhende Konten sollten überprüft werden.

Datenminimierung ist einer der Grundsätze von Artikel 5. Dies ist auch die einfachste Möglichkeit, die Auswirkungen von Sicherheitsverletzungen zu reduzieren.

10. Entscheidungen dokumentieren

Beweise aufbewahren:

• Datenkarten.
• Beurteilung berechtigter Interessen.
• Einwilligungsunterlagen.
• Bewertungen von Anbietern.
• DPIAs, sofern erforderlich.
• Sicherheitskontrollen.
• Aufbewahrungspläne.
• Versionen der Datenschutzhinweise.

Die ausgereiftesten Datenschutzprogramme sind nicht diejenigen mit dem meisten Papierkram. Dabei handelt es sich um diejenigen, bei denen die Datenerfassung beabsichtigt und leicht zu erklären ist.

Wann diese Checkliste ausgeführt werden sollte

Führen Sie die Checkliste durch, bevor Sie eine neue Website starten, ein Tracking-Tool hinzufügen, CRM oder E-Mail-Plattformen ändern, einen neuen EU-Markt betreten oder Analysen mit Werbung verbinden. Führen Sie es auch nach Vorfällen aus: Eine durchgesickerte Tabelle, ein defektes Einwilligungsbanner, eine überraschende Lieferantenintegration oder eine Kundenbeschwerde offenbaren in der Regel eine Prozesslücke, die es zu beheben lohnt.

Endgültige Startprüfung

Bevor Sie ein neues Tracking-Setup starten, notieren Sie jedes erfasste Ereignis, die Entscheidung, die jedes Ereignis unterstützt, ob es Speicher oder Kennungen verwendet, welche Anbieter es erhalten und wann die Rohdatensätze ablaufen. Testen Sie dann die Seite in einem sauberen Browserprofil und vergleichen Sie den Ladevorgang mit der Datenschutzerklärung.

Wenn der Browser weiterhin ungeplante Anrufe Dritter, persistente Identifikatoren oder personenbezogene Daten in URLs anzeigt, ist die Checkliste noch nicht vollständig. Korrigieren Sie zuerst die Implementierung und aktualisieren Sie dann den Papierkram.