Tools

Kriterienkatalog

Ein Datenschutzrecht existiert bereits seit mehreren Jahrzehnten, in dem unter anderem die Sicherheit personenbezogener Daten oder „das Recht auf Vergessenwerden“ festgeschrieben ist. Auch aufgrund der Digitalisierung und dem damit verbundenen Wachstum der Verwendung digitaler Medien wurde dieses nun im Rahmen der DSGVO erweitert, um den Benutzer und seine Daten besser zu schützen. Grundlegend gilt: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist verboten, es sei denn, es wurde eine Erlaubnis, z.B. in Form einer Einwilligung der betroffenen Person, erteilt. Die neue Verordnung stellt nun folgende, zusätzliche Anforderungen. Es handelt sich dabei nicht um eine vollständige Auflistung aller Pflichten, sondern um eine Hervorhebung der bedeutsamsten Verordnungen.

• Für die Erfüllung der DSGVO ist die Wahlfreiheit des Nutzers essenziell. Er hat die Möglichkeit, der Datenverarbeitung oder anderen Services gezielt zuzustimmen oder zu widersprechen.
• Mit diesem Punkt geht auch einher, dass der Nutzer aktiv der Verwendung einer Technologie zustimmen muss und nicht implizit durch andere Aktionen automatisch einwilligt.
• Des Weiteren muss der Nutzer über alle Gegebenheiten im Zusammenhang mit der Datenverarbeitung informiert werden. Dazu gehören u.a. Informationen darüber, warum welche Daten erhoben werden und wer diese erhält. Ebenfalls enthalten ist dabei die Erinnerung auf das Recht zum Widerruf der Einwilligung.
• Die Einwilligung muss immer zweckgebunden erfolgen. Dem Nutzer muss demnach klar ersichtlich sein, welche Daten an welchen Anbieter, im Falle einer Zustimmung, fliesen würden. Generaleinwilligungen sind nicht erlaubt.
• Keine Datenverarbeitung vor Opt-In! Es muss sichergestellt sein, dass erst nach aktiver Zustimmung des Nutzers dessen Daten erhoben werden dürfen. Das alleinige Aufrufen einer Webseite beispielsweise befähigt den Betreiber nicht dazu, Nutzerdaten sammeln zu dürfen.
• Opt-Out! Jeder Anwender muss die Möglichkeit besitzen, seine Zustimmung ohne Begründung widerrufen zu können. Dies muss auf vergleichsweise einfache Art geschehen können wie die Einwilligungserklärung.
• Sämtliche Einwilligungen aller Benutzer müssen von den Unternehmen/Betreibern dokumentiert und aufbewahrt werden. Sie unterliegen nach der DSGVO der Beweispflicht und haben somit eine vollständige Einwilligungshistorie vorzuhalten.

Checkliste für DSGVO-konforme Software

Die oben genannten Punkte stellen grundsätzliche Anforderungen dar, zu denen der Betreiber dem Benutzer gegenüber verpflichtet ist. Nicht alle von ihnen sind vom Anwender überprüfbar, aber einige sind in Teilen in den Datenschutzerklärungen zu finden oder werden im Tool in Form von sogenannten „Cookies“ angezeigt, um den Benutzer zu informieren. Diese Checkliste soll helfen, Tools von außen auf ihre DSGVO-Konformität prüfen zu können:

	Beschreibung
Datenschutzerklärung	Suche nach Informationen zum Grund der Datenerhebung und zur Verarbeitung der personenbezogenen Daten
Cookie Banner	Wird man kurz und prägnant über die Datenerhebung informiert und ist diese einfach anzunehmen/abzulehnen
Verschlüsselte Webseite	Auch wenn Verschlüsselung per se nicht verpflichtend ist, ist der sichere Datentransport auf anderem Wege nur schwer zu gewährleisten
Social-Media-Plugins / Videos	Befinden sich auf einer Webseite z.B. ein (Like-)Button eines Social-Media Kanals oder ein eingebettetes Video, lässt sich die DSGVO meist nur schwer einhalten
Verpflichtende Formularfelder	Nur für eine Antwort relevante Felder dürfen verpflichtend sein. Vor- und Nachname sind das zumeist nicht.
Serverstandort	Sollte sich der Serverstandort außerhalb der EU befinden, muss der Betreiber zusätzliche Anforderungen erfüllen. Insbesondere darf sich der Gerichtsstand nicht außerhalb der EU befinden.