Die Datenschutz-Grundverordnung (DSGVO) geh\u00f6rt weiterhin zu den umfassendsten Datenschutzgesetzen weltweit. Sobald du personenbezogene Daten von Personen in der EU verarbeitest \u2013 egal ob du ein kleines Blog betreibst oder ein SaaS skalierst \u2013 ist DSGVO-Compliance Pflicht. Bei Verst\u00f6\u00dfen drohen Bu\u00dfgelder bis zu 20 Mio. \u20ac oder 4 % des weltweiten Jahresumsatzes (je nachdem, was h\u00f6her ist).<\/p>\n\n\n\n
Wichtig f\u00fcr die Praxis: DSGVO-Compliance ist nicht nur \u201eeine Datenschutzerkl\u00e4rung\u201c. Du brauchst technische und organisatorische Ma\u00dfnahmen, klare Prozesse f\u00fcr Betroffenenanfragen und vor allem die F\u00e4higkeit, die Einhaltung nachzuweisen (Accountability). Genau daf\u00fcr ist die folgende Checkliste gedacht.<\/p>\n\n\n\n
Die DSGVO (engl. GDPR \u2013 General Data Protection Regulation) ist seit dem 25. Mai 2018 in der EU in Kraft und regelt, wie Organisationen personenbezogene Daten erheben, nutzen, speichern und weitergeben. Sie gilt nicht nur f\u00fcr Unternehmen innerhalb der EU, sondern auch au\u00dferhalb, sobald personenbezogene Daten von EU-Bewohnern verarbeitet werden.<\/p>\n\n\n\n
Bevor du Checklisten abhaken kannst, musst du deine Rolle(n) sauber einordnen \u2013 denn daraus ergeben sich Pflichten. Wenn du Zweck und Mittel der Verarbeitung festlegst, bist du Data Controller<\/strong> (Verantwortlicher). Wenn du Daten im Auftrag eines anderen verarbeitest, bist du Data Processor<\/strong> (Auftragsverarbeiter). In der Praxis kann ein Unternehmen beides zugleich sein (z. B. als Betreiber einer Plattform und gleichzeitig als Dienstleister f\u00fcr Kunden).<\/p>\n\n\n\n Die folgenden Prinzipien sind der rote Faden durch alle Pflichten \u2013 auch, wenn du sp\u00e4ter in Details wie Cookie-Consent, L\u00f6schfristen oder Auskunftsersuchen gehst:<\/p>\n\n\n\n Die Checkliste ist nach Themen gruppiert. Zu jedem Punkt findest du (1) f\u00fcr wen er gilt (Controller\/Processor) und (2) die konkrete DSGVO-Referenz (Artikel), die typischerweise als Nachweis- und Argumentationsbasis dient.<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Du brauchst eine Liste der tats\u00e4chlich gespeicherten Datentypen (praktisch: \u201eSpalten\u201c), z. B. Name, Adresse, Sozialversicherungsnummer. F\u00fcr jeden<\/strong> Datentyp dokumentierst du: Quelle der Daten, mit wem du sie teilst, Zweck der Verarbeitung und Aufbewahrungsdauer.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Dokumentiere, wo<\/strong> personenbezogene Daten liegen und wie<\/strong> sie zwischen Systemen flie\u00dfen. Das umfasst nicht nur Datenbanken (z. B. MySQL), sondern auch Offline-Ablagen wie Papierakten.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Deine Privacy Policy (Datenschutzerkl\u00e4rung) sollte alle Prozesse zur Verarbeitung personenbezogener Daten beschreiben. Sie sollte die Datentypen enthalten (oder darauf verlinken) und erkl\u00e4ren, wo diese Daten gespeichert werden.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller<\/em><\/p>\n\n\n\n In der Datenschutzerkl\u00e4rung muss klar sein, auf welcher Rechtsgrundlage<\/strong> du personenbezogene Daten verarbeitest \u2013 z. B. zur Vertragserf\u00fcllung.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 6 \u2013 Lawfulness of processing<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Ein Data Protection Officer (DPO) ist nur in drei Szenarien verpflichtend:<\/p>\n\n\n\n Wenn ein DPO erforderlich ist, sollte diese Person DSGVO-Kenntnisse und ein gutes Verst\u00e4ndnis der internen Prozesse haben, in denen personenbezogene Daten vorkommen.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 37 \u2013 Designation of the data protection officer<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Stelle sicher, dass Schl\u00fcsselpersonen und Entscheider die Leitlinien der Datenschutzgesetzgebung kennen und auf aktuellem Stand bleiben.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Gerade bei SaaS-Produkten lohnt es sich, Security-Checklisten als Startpunkt zu verwenden, um sicherzustellen, dass die passenden technischen Ma\u00dfnahmen umgesetzt sind.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n Gilt f\u00fcr: Data Processor<\/em><\/p>\n\n\n\n Viele Sicherheitsprobleme entstehen dadurch, dass eine ahnungslose Person mit Systemzugang \u201emitspielt\u201c (z. B. Phishing). Mitarbeitende m\u00fcssen diese Risiken kennen.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n Gilt f\u00fcr: Data Processor<\/em><\/p>\n\n\n\n Wenn du Sub-Processor (Unterauftragsverarbeiter) nutzt, musst du Kunden dar\u00fcber informieren. Die Zustimmung erfolgt typischerweise \u00fcber die Annahme deiner Datenschutzerkl\u00e4rung.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 28 \u2013 Processor<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Wenn dein Unternehmen au\u00dferhalb der EU sitzt, aber Daten von EU-B\u00fcrgern verarbeitet, solltest du einen Vertreter in einem Mitgliedsstaat benennen. Diese Person behandelt Themen rund um die Verarbeitung \u2013 und muss insbesondere f\u00fcr lokale Beh\u00f6rden erreichbar sein.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 27 \u2013 Representatives of controllers or processors not established in the Union<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Verletzungen des Schutzes personenbezogener Daten m\u00fcssen binnen 72 Stunden<\/strong> an die lokale Aufsichtsbeh\u00f6rde gemeldet werden. Du berichtest, welche Daten betroffen sind, welche Folgen zu erwarten sind und welche Gegenma\u00dfnahmen du ergriffen hast. Au\u00dfer die geleakten Daten waren verschl\u00fcsselt, musst du den Vorfall auch den betroffenen Personen melden.<\/p>\n\n\n\n Referenzen:<\/strong> GDPR Article 33 \u2013 Notification of a personal data breach to the supervisory authority; GDPR Article 34 \u2013 Communication of a personal data breach to the data subject<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller<\/em><\/p>\n\n\n\n Sobald du Daten an einen Processor gibst (z. B. Hosting-Provider), brauchst du einen Vertrag, der die Verarbeitung ausdr\u00fccklich regelt. Der Vertrag sollte u. a. enthalten: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Typen personenbezogener Daten und Kategorien betroffener Personen sowie Pflichten und Rechte des Controllers.<\/p>\n\n\n\n Die gleichen Vertragsanforderungen gelten, wenn ein Processor wiederum einen Sub-Processor einsetzt, um Verarbeitungst\u00e4tigkeiten im Auftrag des Controllers zu erf\u00fcllen.<\/p>\n\n\n\n Referenzen:<\/strong> GDPR Article 28 \u2013 Processor; GDPR Article 29 \u2013 Processing under the authority of the controller or processor<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Du brauchst einen klar definierten Prozess, wie Betroffene Zugriff auf ihre personenbezogenen Daten anfordern k\u00f6nnen.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 15 \u2013 Right of access by the data subject<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Stelle einen Mechanismus bereit, mit dem Nutzer falsche Daten berichtigen k\u00f6nnen.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 16 \u2013 Right to rectification<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller, Data Processor<\/em><\/p>\n\n\n\n L\u00f6schprozesse sollten m\u00f6glichst automatisiert sein. Beispiel: Daten von Kunden automatisch entfernen, deren Vertrag nicht verl\u00e4ngert wurde.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 5 \u2013 Principles relating to processing of personal data<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Implementiere einen Prozess, um L\u00f6schanfragen sauber zu bearbeiten (Recht auf Vergessenwerden).<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 17 \u2013 Right to erasure (‘right to be forgotten’)<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Nutzer haben das Recht, die Verarbeitung ihrer Daten einschr\u00e4nken zu lassen. Das erfordert einen operativen Prozess (und in vielen Systemen einen technischen \u201eStatus\u201c oder ein Flag).<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 18 \u2013 Right to restriction of processing<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Du musst erm\u00f6glichen, dass Betroffene ihre Daten in einem strukturierten, g\u00e4ngigen und maschinenlesbaren Format erhalten \u2013 und sie sich selbst oder einem Dritten zustellen lassen k\u00f6nnen.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 20 \u2013 Right to data portability<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller<\/em><\/p>\n\n\n\n Relevant nur, wenn du Profiling oder andere automatisierte Entscheidungsfindung einsetzt, die Betroffene beeinflussen kann. Dann brauchst du einen Prozess, wie Betroffene dem widersprechen k\u00f6nnen.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 22 \u2013 Automated individual decision-making, including profiling<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller<\/em><\/p>\n\n\n\n Wenn deine Verarbeitung auf Consent basiert, muss die Einwilligung freiwillig, konkret, informiert und widerrufbar sein. Bei Websites hei\u00dft das praktisch: gut sichtbarer Link zur Datenschutzerkl\u00e4rung, klare Best\u00e4tigung (Terms\/Privacy). Einwilligung braucht eine aktive Handlung \u2013 vorangekreuzte Checkboxen sind nicht erlaubt.<\/strong><\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller<\/em><\/p>\n\n\n\n Die Datenschutzerkl\u00e4rung muss klar und einfach formuliert sein und darf ihre Absicht nicht verschleiern \u2013 sonst kann das die Vereinbarung insgesamt entwerten. Wenn du Dienste f\u00fcr Kinder anbietest, muss die Erkl\u00e4rung so verst\u00e4ndlich sein, dass Kinder sie nachvollziehen k\u00f6nnen.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 7.2 \u2013 Conditions for consent<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller<\/em><\/p>\n\n\n\n Der Widerruf einer Einwilligung darf nicht komplizierter sein als das Erteilen.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 7.3 \u2013 Conditions for consent<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller<\/em><\/p>\n\n\n\n Wenn du personenbezogene Daten von Kindern verarbeitest, brauchst du bei Kindern unter 16 Jahren die Einwilligung der Erziehungsberechtigten. Erfolgt die Einwilligung \u00fcber die Website, solltest du versuchen sicherzustellen, dass die Zustimmung tats\u00e4chlich von der erziehungsberechtigten Person stammt (und nicht vom Kind selbst).<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 8 \u2013 Conditions applicable to child’s consent in relation to information society services<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller<\/em><\/p>\n\n\n\n Wenn du deine Privacy Policy aktualisierst, musst du bestehende Kunden informieren \u2013 zum Beispiel per E-Mail \u00fcber anstehende \u00c4nderungen. Die Kommunikation sollte einfach erkl\u00e4ren, was sich ge\u00e4ndert hat.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller<\/em><\/p>\n\n\n\n Du solltest regelm\u00e4\u00dfig pr\u00fcfen, ob deine Richtlinien noch passen: \u00c4nderungen in Prozessen, Wirksamkeit von Ma\u00dfnahmen, Ver\u00e4nderungen an Datenfl\u00fcssen \u2013 und auch \u00c4nderungen der \u201eState of Affairs\u201c in L\u00e4ndern, in die Daten \u00fcbertragen werden.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller<\/em><\/p>\n\n\n\n Relevant f\u00fcr Unternehmen, die gro\u00dffl\u00e4chige Datenverarbeitung, Profiling oder andere Verarbeitung mit hohem Risiko f\u00fcr Rechte und Freiheiten durchf\u00fchren. In solchen F\u00e4llen ist eine Data Protection Impact Assessment (DPIA) erforderlich.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 35 \u2013 Data protection impact assessment<\/p>\n\n\n\n Gilt f\u00fcr: Data Controller, Data Processor<\/em><\/p>\n\n\n\n \u00dcbermittle Daten au\u00dferhalb der EU nur in L\u00e4nder mit angemessenem Datenschutzniveau. Diese grenz\u00fcberschreitenden Datenfl\u00fcsse solltest du in deiner Datenschutzerkl\u00e4rung offenlegen. Bei Transfers in L\u00e4nder ohne Angemessenheitsbeschluss kommen Standard Contractual Clauses (SCCs) oder Binding Corporate Rules (BCRs) zum Einsatz.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 45 \u2013 Transfers on the basis of an adequacy decision<\/p>\n\n\n\n Unabh\u00e4ngig davon, ob du Controller oder Processor bist: Die DSGVO definiert konkrete Rechte f\u00fcr Data Subjects. Praktisch hei\u00dft das: Du brauchst Prozesse (und oft UI\/Export\/L\u00f6schmechanismen), um diese Rechte zu bedienen.<\/p>\n\n\n\n Der Controller muss geeignete Ma\u00dfnahmen treffen, um Informationen zur Verarbeitung pr\u00e4zise, transparent, verst\u00e4ndlich und leicht zug\u00e4nglich bereitzustellen \u2013 in klarer, einfacher Sprache, insbesondere wenn Informationen gezielt an ein Kind gerichtet sind. Die Information ist schriftlich oder in anderer Form bereitzustellen, einschlie\u00dflich (wo passend) elektronischer Mittel.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 12<\/p>\n\n\n\n Wenn personenbezogene Daten direkt bei der betroffenen Person erhoben werden, umfasst die Information mindestens:<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 13<\/p>\n\n\n\n Wenn Daten nicht direkt bei der betroffenen Person erhoben werden, m\u00fcssen \u00e4hnliche Informationen bereitgestellt werden \u2013 zus\u00e4tzlich inkl. Kategorien der betroffenen Daten und der Quelle, aus der die Daten stammen.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 14<\/p>\n\n\n\n Betroffene k\u00f6nnen eine Best\u00e4tigung verlangen, ob ihre Daten verarbeitet werden, sowie Zugriff auf u. a.:<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 15<\/p>\n\n\n\n Betroffene haben das Recht, unverz\u00fcglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen sowie unvollst\u00e4ndige Daten vervollst\u00e4ndigen zu lassen.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 16<\/p>\n\n\n\n Betroffene haben ein Recht auf L\u00f6schung ihrer Daten, wenn:<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 17<\/p>\n\n\n\n Betroffene haben das Recht auf Einschr\u00e4nkung der Verarbeitung, wenn:<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 18<\/p>\n\n\n\n Der Controller muss jede Berichtigung, L\u00f6schung oder Einschr\u00e4nkung der Verarbeitung allen Empf\u00e4ngern mitteilen, an die personenbezogene Daten offengelegt wurden \u2013 au\u00dfer das ist unm\u00f6glich oder mit unverh\u00e4ltnism\u00e4\u00dfigem Aufwand verbunden.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 19<\/p>\n\n\n\n Betroffene haben das Recht, ihre personenbezogenen Daten in einem strukturierten, g\u00e4ngigen und maschinenlesbaren Format zu erhalten und diese ohne Behinderung an einen anderen Controller zu \u00fcbertragen.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 20<\/p>\n\n\n\n Betroffene k\u00f6nnen aus Gr\u00fcnden ihrer besonderen Situation jederzeit Widerspruch einlegen gegen Verarbeitungen, die auf berechtigten Interessen oder \u00f6ffentlichem Interesse beruhen \u2013 inklusive Profiling.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 21<\/p>\n\n\n\n Betroffene haben das Recht, keiner Entscheidung unterworfen zu sein, die ausschlie\u00dflich auf automatisierter Verarbeitung (inkl. Profiling) beruht und rechtliche Wirkung entfaltet oder sie in \u00e4hnlicher Weise erheblich beeintr\u00e4chtigt.<\/p>\n\n\n\n Referenz:<\/strong> GDPR Article 22<\/p>\n\n\n\n Viele DSGVO-Pflichten werden erst im Incident-Fall richtig teuer. Deshalb ist Basissicherheit nicht \u201enice to have\u201c, sondern Teil der Integrit\u00e4t und Vertraulichkeit.<\/p>\n\n\n\n Wenn du nicht-essenzielle Cookies nutzt, brauchst du vor deren Aktivierung eine explizite Einwilligung. Entscheidend ist, dass Tracking & Co. bis zum Opt-in technisch blockiert sind.<\/p>\n\n\n\n Dein Cookie-Banner muss:<\/p>\n\n\n\n Scrollen oder Nichtstun gilt nicht als Einwilligung.<\/p>\n\n<\/div>\n\n\n\n Jedes Formular, das personenbezogene Daten abfragt, muss DSGVO-konform gestaltet sein \u2013 nicht nur \u201eirgendwo\u201c \u00fcber einen Footer-Link.<\/p>\n\n\n\n WordPress bringt eigene Datenschutz-Features mit, aber in der Praxis h\u00e4ngt Compliance stark am Plugin-Stack und an Drittanbietern (Analytics, Formulare, Zahlungsanbieter). F\u00fcr Website-Betreiber sind das die wichtigsten Punkte:<\/p>\n\n\n\n Die DSGVO unterscheidet grob zwei Sanktionsstufen:<\/p>\n\n\n\n Zus\u00e4tzlich zu Bu\u00dfgeldern k\u00f6nnen Beh\u00f6rden weitere Ma\u00dfnahmen ergreifen, z. B.: Warnungen aussprechen, Verarbeitung vor\u00fcbergehend oder dauerhaft untersagen, Datenl\u00f6schung anordnen oder Datentransfers einschr\u00e4nken.<\/p>\n\n\n\n\n\n
Die 7 Grundprinzipien der DSGVO (als Leitplanken f\u00fcr jede Entscheidung)<\/h2>\n\n\n\n
\n\n
Vollst\u00e4ndige DSGVO-Compliance-Checkliste<\/h2>\n\n\n\n
1) Daten (Inventory, Flows, Dokumentation)<\/h3>\n\n\n\n
1.1 Verzeichnis: Welche personenbezogenen Daten du hast, woher sie kommen, wohin sie gehen, wof\u00fcr du sie nutzt und wie lange du sie beh\u00e4ltst<\/h4>\n\n\n\n
1.2 Liste der Speicherorte und Datenfl\u00fcsse<\/h4>\n\n\n\n
1.3 \u00d6ffentlich zug\u00e4ngliche Datenschutzerkl\u00e4rung, die alle Prozesse rund um personenbezogene Daten abdeckt<\/h4>\n\n\n\n
1.4 Rechtsgrundlage in der Datenschutzerkl\u00e4rung: Warum du \u00fcberhaupt verarbeiten darfst<\/h4>\n\n\n\n
2) Accountability & Management (Organisation, Vertr\u00e4ge, Breach-Prozess)<\/h3>\n\n\n\n
2.1 Datenschutzbeauftragten (DPO) benennen \u2013 wenn erforderlich<\/h4>\n\n\n\n
\n\n
2.2 Entscheider sensibilisieren: DSGVO-Wissen aktuell halten<\/h4>\n\n\n\n
2.3 Technische Sicherheit auf aktuellem Stand halten<\/h4>\n\n\n\n
2.4 Mitarbeitende schulen: Awareness als Sicherheitsma\u00dfnahme<\/h4>\n\n\n\n
2.5 Sub-Processor-Liste f\u00fchren und in der Privacy Policy offenlegen<\/h4>\n\n\n\n
2.6 Unternehmen au\u00dferhalb der EU: EU-Vertreter benennen<\/h4>\n\n\n\n
2.7 Data Breaches melden: an Beh\u00f6rde und ggf. Betroffene<\/h4>\n\n\n\n
2.8 Vertr\u00e4ge mit Processors: klare Weisungen und Mindestinhalte<\/h4>\n\n\n\n
3) Neue Rechte & Prozesse (Self-Service, L\u00f6schung, Portabilit\u00e4t)<\/h3>\n\n\n\n
3.1 Auskunftsanfragen m\u00fcssen einfach m\u00f6glich sein<\/h4>\n\n\n\n
3.2 Nutzende m\u00fcssen ihre Daten einfach korrigieren k\u00f6nnen (Richtigkeit sicherstellen)<\/h4>\n\n\n\n
3.3 Daten automatisiert l\u00f6schen, wenn du sie nicht mehr brauchst<\/h4>\n\n\n\n
3.4 L\u00f6schanfragen (Right to be forgotten) umsetzbar machen<\/h4>\n\n\n\n
3.5 Einschr\u00e4nkung der Verarbeitung auf Anfrage erm\u00f6glichen<\/h4>\n\n\n\n
3.6 Datenportabilit\u00e4t: Export in strukturiertem, maschinenlesbarem Format<\/h4>\n\n\n\n
3.7 Widerspruch gegen Profiling\/automatisierte Entscheidungen<\/h4>\n\n\n\n
4) Einwilligung (Consent) \u2013 wenn du darauf basiert verarbeitest<\/h3>\n\n\n\n
4.1 Einwilligung muss freiwillig, spezifisch, informiert und widerrufbar sein<\/h4>\n\n\n\n
4.2 Datenschutzerkl\u00e4rung in klarer, verst\u00e4ndlicher Sprache<\/h4>\n\n\n\n
4.3 Widerruf muss so einfach sein wie das Erteilen<\/h4>\n\n\n\n
4.4 Daten von Kindern: Alter pr\u00fcfen und Zustimmung der Erziehungsberechtigten einholen<\/h4>\n\n\n\n
4.5 Bei Updates der Datenschutzerkl\u00e4rung Bestandskunden informieren<\/h4>\n\n\n\n
5) Follow-up (laufende Pflege statt einmaliges Projekt)<\/h3>\n\n\n\n
5.1 Regelm\u00e4\u00dfige Reviews: Policies, Wirksamkeit, Datenhandling, Drittland-\u00c4nderungen<\/h4>\n\n\n\n
6) Sonderf\u00e4lle<\/h3>\n\n\n\n
6.1 DPIA verstehen und durchf\u00fchren, wenn Hochrisiko-Verarbeitung vorliegt<\/h4>\n\n\n\n
6.2 Datenexporte au\u00dferhalb der EU nur mit angemessenem Schutzniveau<\/h4>\n\n\n\n
Betroffenenrechte (User Rights \/ Data Subject Rights) \u2013 was du als Website-Betreiber abbilden musst<\/h2>\n\n\n\n
Recht auf transparente Information<\/h3>\n\n\n\n
Informationspflicht bei direkter Erhebung<\/h3>\n\n\n\n
\n\n
Informationspflicht bei indirekter Erhebung<\/h3>\n\n\n\n
Auskunftsrecht (Right of access)<\/h3>\n\n\n\n
\n\n
Recht auf Berichtigung (Right to rectification)<\/h3>\n\n\n\n
Recht auf L\u00f6schung (\u201eRight to be forgotten\u201c)<\/h3>\n\n\n\n
\n\n
Recht auf Einschr\u00e4nkung der Verarbeitung<\/h3>\n\n\n\n
\n\n
Mitteilungspflicht bei Berichtigung, L\u00f6schung oder Einschr\u00e4nkung<\/h3>\n\n\n\n
Recht auf Daten\u00fcbertragbarkeit<\/h3>\n\n\n\n
Widerspruchsrecht<\/h3>\n\n\n\n
Recht, nicht ausschlie\u00dflich automatisierten Entscheidungen unterworfen zu sein<\/h3>\n\n\n\n
Praktische Umsetzung auf Websites: konkrete Schritte<\/h2>\n\n\n\n
1) Website absichern (Security als Datenschutzma\u00dfnahme)<\/h3>\n\n\n\n
\n\n
2) Cookie-Consent-Banner korrekt umsetzen<\/h3>\n\n\n\n
\n\n
Wichtig f\u00fcr Consent<\/h4>\n\n\n
3) Website-Formulare pr\u00fcfen (Kontakt, Checkout, Newsletter, Bewerbungen)<\/h3>\n\n\n\n
\n\n
4) Einwilligung f\u00fcr Marketing-E-Mails sauber einholen<\/h3>\n\n\n\n
\n\n
5) Auf Data Breaches vorbereitet sein<\/h3>\n\n\n\n
\n\n
WordPress-spezifisch: typische Baustellen im WP-\u00d6kosystem<\/h2>\n\n\n\n
\n\n
Bu\u00dfgelder & beh\u00f6rdliche Ma\u00dfnahmen: warum Nachweise so wichtig sind<\/h2>\n\n\n\n
\n\n
FAQ zur DSGVO-Compliance (kurz und praxisnah)<\/h2>\n\n\n\n