DSGVO für Blogs, Webseiten, Unternehmen. Änderungen und Tipps
Die Datenschutzgrundverordnung (DSGVO) geht uns alle an. Egal ob man ein Blogger, ein Webseitenbetreiber, Shopbetreiber oder ein Unternehmen ist. Dabei spielt es keine Rolle, ob man Online oder Offline tätig ist. Wichtig ist es, dass man sich mit diesem Thema auseinandersetzt.
In Foren und in den sozialen Medien ist immer wieder zu hören “Ich habe keine Zeit für die DSGVO”, “ich mache nichts”, “ich warte ab”. Naja, das ist als Unternehmer gTrob fahrlässig abzuwarten, wo vieles nicht neu ist und schon lange im Einsatz ist. Siehe auch Blogbeitrag von Ernesto Ruge.
Daher wollte ich das Thema auch nochmal kurz aufgreifen und ein paar Informationen liefern, es gibt ja kaum welche zu diesem Thema 😉
Bevor ich starte, noch ein Disclaimer:
„Ich weise daraufhin, dass es sich hier um keine Rechtsberatung handelt. Bei Fragen bitte an einen entsprechenden Anwalt in diesem Bereich wenden. Dieser kann eine fachmännische Beratung anbieten.“
Was ist die Datenschutzgrundverordnung (DSGVO)?
Jeder, der im Online Marketing unterwegs ist oder allgemein im Internet und somit auch Daten in irgendeiner Form sammelt oder gar verarbeitet sollte dies nicht nur gehört haben, sondern sich damit beschäftigen.
Allerdings trifft das nicht nur Unternehmen, die im Internet tätig sind, sondern allgemein Daten verarbeiten, egal ob Kundendaten oder Mitarbeiterdaten. Aber gerade im Internet ist das Hantieren mit Daten sehr wichtig. Daher steht und fällt das ganze Geschäft mit einem ganz gewissen Thema und zwar „Datenschutz, Datensicherheit und DSGVO“.
Zunächst aber, was ist der Unterschied zwischen Datenschutz und Datensicherheit? Hier einige Definitionen:
Was ist Datenschutz?
Bei dem Datenschutz geht es um den Schutz der Privatsphäre eines jeden Menschen. Datenschutz garantiert jedem Bürger ein Recht auf informationelle Selbstbestimmung und schützt ihn vor missbräuchlicher Verwendung seiner Daten.
Für die Verarbeitung personenbezogener Daten gibt es Regeln, die hauptsächlich im BDSG bzw. den Datenschutzgesetzen der Länder niedergelegt sind. Hier wird also danach gefragt, ob personenbezogene Daten überhaupt verarbeitet werden dürfen. Quelle
Was sind personenbezogene Daten?
Personenbezogene Daten sind gemäß § 3 Abs. 1 BDSG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Das heißt, dass personenbezogene Daten Informationen sind, die irgendeinen persönlichen Bezug zu einer Person herstellen können. Darunter fallen unter anderen:
- Name und Anschrift
- E-Mail-Adresse
- Telefonnummer
- Kreditkarten- und Kontodaten
- Mitarbeiternummer
- Kundennummer
- Foto
- Personenbeschreibung
- KFZ-Kennzeichen
Darüber hinaus gibt es noch die „besonderen personenbezogenen Daten“, was mit medizinischen Informationen zur Person gleichzusetzen ist.
Was ist Datensicherheit?
Datensicherheit soll Sicherheitsrisiken begegnen und die Daten vor z.B. Manipulation, Verlust oder unberechtigter Kenntnisnahme schützen. Hier geht es also nicht um die Frage, ob Daten überhaupt erhoben und verarbeitet werden dürfen (das ist eine Frage des Datenschutzes), sondern um die Frage, welche Maßnahmen zum Schutz der Daten erhoben werden müssen.
Die Datensicherheit ist im Kontext des Datenschutzes gemäß § 9 BDSG (inkl. Anlage) durch Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu gewährleisten. Quelle
Das bedeutet also, dass du für den Datenschutz und die Datensicherheit der Daten verantwortlich bist. Du hast dafür Sorge zu tragen, dass die Daten – besonders die personenbezogenen Daten – deiner Besucher und Kunden geschützt sind.
Besonders auch dann, wenn du E-Mail-Adressen einsammelst und Tracking Tools wie Google Analytics, Matomo oder andere verwendest. Hier solltest du darauf achten, dass du diese datenschutzkonform verwendest.
Das bedeutet, du musst einen Vertrag mit Google Analytics unterzeichnen und diesen in zweifacher Ausführung zu Google Ireland Ltd. senden. Außerdem musst du deine Einstellungen so wählen, dass die IP Adressen der jeweiligen Besucher anonymisiert werden, sprich, bei der Option „anonymizeIP“ ein Häkchen setzen.
Gilt natürlich auch für jedes andere Tracking Tool das du einsetzt.
Auch bei den Social Media Buttons musst du aufpassen, da diese nur dann eingesetzt werden dürfen, wenn eine Verbindung erst dann hergestellt wird, sobald der Benutzer auf diesen Button klickt. Ein dauerhaftes Tracking ist somit nicht erlaubt. Mehr gibt es auch in meinem Buch*.
Wann tritt die DSGVO in Kraft?
Ab dem 25. Mai 2018 gilt die DSGVO komplett, sprich, die Übergangsphase von 2 Jahren ist vorbei und nun muss sich jeder daranhalten.
Egal ob du in der EU lebst oder nur einen Dienst in der EU anbietest, der die Daten von EU Bürgern nutzt und verarbeitet. Wer sich nicht daran hält, der muss mit Geldstrafen von bis zu 4% des weltweiten Umsatzes des Unternehmens oder bis zu 20 Millionen Euro rechnen.
Beim Einsammeln von E-Mail-Adressen musst du natürlich dafür sorgen, dass du die Double-Opt-In Variante einsetzt. Das bedeutet, wenn sich jemand in deinen Newsletter einträgt, dass er seine E-Mail-Adresse zunächst bestätigen muss und zwar aktiv.
Der User meldet sich also mit seinen Daten in deinem Newsletter an, bekommt eine Bestätigungsmail mit einem Bestätigungslink darin an die hinterlegte E-Mail zugesandt.
Erst, wenn der User diesen Link bestätigt, also anklickt, gilt er als ein bestätigter User und du darfst ihm deinen Newsletter zusenden. Andernfalls ist es nicht erlaubt und du kannst dafür belangt werden. Dies gilt nicht nur seit der DSGVO, sondern auch schon seit dem BDSG.
Des Weiteren ist es mit der DSGVO nun wichtig, dass du dem User, welcher auf deine Seite gelangt zeigst, welche Daten du sammelst, wie du dies tust und wofür du diese verwendest.
Das alles gehört in die Unterseite „Datenschutz“. Hier sollen sich die User mehr Informationen verschaffen können. Dies ist eine wichtige Seite, neben dem Impressum. Im Impressum gehört übrigens dein Name und deine Anschrift, E-Mail und eine Telefonnummer unter der du erreichbar bist.
Des Weiteren – sofern du eine Umsatzsteuer ausweist – gehört da deine UST-ID hinein. Aber nun weiter bzgl. der Datenschutzseite. Wenn du Social Media wie Facebook, Twitter etc. verwendest, musst du dies hier ebenfalls aufführen. Dasselbe gilt, wenn du am Partnerprogramm von Amazon teilnimmst.
Einen guten und kostenlosen Generator für Impressum und Datenschutz bietet e-recht24. Wobei der Premium Account zu empfehlen ist*, aufgrund weiterer Tools und einer erweiterter Datenschutzerklärung. Und für den Zusatz bei der Teilnahme am Amazon Partnerprogramm gibt es ebenfalls eine Vorlage, wie von Flegl Rechtsanwälte bereitgestellt.
Was muss ich bzgl. der DSGVO tun?
Du musst – wenn du Daten einsammelst und das wirst du schon alleine dann tun, wenn jemand deine Webseite besucht – außerdem ein Verarbeitungsverzeichnis erstellen.
Dies ist eine Dokumentation oder auch eine Tabelle, in der du aufführst, welche Daten du sammelst, wie diese verwendet werden, wer diese verwenden darf und ob sie die EU verlassen. Außerdem musst du angeben, wie lange diese gespeichert und wann sie gelöscht werden, also die Löschfristen.
Informationen über die technischen und organisatorischen Maßnahmen (TOM) musst du ebenfalls preisgeben. Hier ist zum Beispiel notwendig zu wissen, ob du die Dateien in irgendeiner Art und Weise verschlüsselst oder ob du den Interessenten, Kunden oder Partner schriftlich oder telefonisch auf die Erhebung und Verwendung der Daten hinweist.
Beim Besuch deiner Webseite durch den User sollte dieser einen Hinweis bzgl. der Nutzung von Cookies angezeigt bekommen und die Möglichkeit haben, zuzustimmen, abzulehnen und weitere Details nachzulesen. Für weitere Details kann in der Regel auf deine Datenschutz-Unterseite verlinkt werden.
Als Beispiel für ein Verarbeitungsverzeichnis kann bei der BITKOM eingesehen werden.
Es muss ein Verantwortlicher benannt werden, der im Falle von Anfragen seitens der Behörden zur Verfügung steht. In der Regel ist es der Geschäftsführer, der Inhaber bzw. Betreiber der Webseiten oder des Dienstes.
Bei privaten Unternehmen, die größer als 250 Mitarbeiter sind, ist ein Datenschutzbeauftragter notwendig. Außer es werden besonders risikoreiche Daten verarbeitet.
Wichtig ist noch anzuführen, dass deine Lösung (Webseite, Dienst, etc.) bereits so definiert und gestaltet werden sollte, dass es die Richtlinien der DSGVO erfüllt, Stichwort „privacy by default and privacy by design“. Das Vergessenwerden muss möglich werden. Mehr zum Thema „DSGVO“ findest du auf der offiziellen DSGVO Webseite.
Ebenfalls solltest du deine Webseite prüfen, ob hier nicht zu viel getrackt und spioniert wird oder ob deine Plugins, die du verwendest, so gar nicht benutzen darfst, aufgrund des Trackings. Eine gute Übersicht findest du bei blogmojo.de. Eine entsprechende Checkliste findest du hier: DSGVO Checkliste.
Dies war nur ein kleiner Ausritt in das Thema des Datenschutzes, Datensicherheit und der DSGVO. Dies sind komplexe Themen und bedürfen einer fachmännischen und individuellen Beratung durch einen Experten, der bei der Analyse und Implementierung helfen kann.
Ich wollte an dieser Stelle lediglich auf die wichtigsten Dinge hinweisen, damit man davon gehört hat und nicht vor vollendeten Tatsachen steht.
Nachdem du diesen Abschnitt gelesen hast, wirst du möglicherweise etwas verwirrt sein. Denn es sind in der Tat einige Dinge, die man umsetzen und beachten muss. Allerdings sei gesagt, wenn du startest, musst du so oder so einige Dinge beachten, sodass du es gleich von Anfang an richtig machen kannst.
Damit brauchst du die alten Sachen nicht ändern, nachdokumentieren oder ändern. Für die meisten Sachen gibt es bereits Hilfen und Tools, teilweise sogar kostenlos, sodass du diese Hürde relativ einfach nehmen kannst. Lass dich daher nicht verunsichern und mache mit deiner Idee und deinem Projekt weiter.
Ein paar dazugehörige Themen möchte ich ebenfalls nochmal aufgreifen:
Was ist ein Auftragsdatenverarbeitung Vertrag (ADV-Vertrag)?
Jetzt wurde das Wort „Auftragsdatenverarbeitung“ ADV schon einige Male verwendet. Vollständigkeitshalber würde ich das hier nochmal kurz erklären, was das ist.
Wenn du die Dienste von Webhostern oder anderen Dienstleistern nutzt, dann verarbeiten diese die personenbezogenen Daten deiner Kunden. Damit die Sicherheit und der Schutz der Daten dieser Nutzer und Kunden durch den externen Auftragnehmer gewährleistet werden kann.
Für diese Verarbeitung von Daten durch einen externen Auftragnehmer, wird ein sogenannter Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag) notwendig und geschlossen.
Wer benötigt einen Auftragsdatenverarbeitung Vertrag?
Jeder, der personenbezogene Daten verarbeitet. Das bedeutet also, wenn du einen Dienstleister oder einen Dienst von einem externen Anbieter nutzt oder die personenbezogenen Daten deiner Benutzer auf einem Server gespeichert werden, der nicht dir gehört, dann ist ein ADV-Vertrag notwendig.
In vielen Unternehmen werden zahlreiche Daten verarbeitet und an externe Anbieter übergeben, teilweise ohne, dass man sich damit auseinandergesetzt hat oder dem bewusst ist.
Daher ist es notwendig, dies Datenübermittlung zu überprüfen und hinterfragen, ob die Daten überhaupt in diesem Detailgrad an den externen Dienstleister und Partner übermittelt werden müssen.
In jedem Fall benötigt man hier einen ADV-Vertrag. Wichtig ist vor allem, dass es für alle Dienstleister und Partner in der EU gilt. Dienstleister außerhalb der EU müssen die Datenschutzbestimmungen nach der Datenschutzgrundverordnung (DSGVO) erfüllen, da die personenbezogenen Daten ansonsten dort nicht verarbeitet werden dürfen.
Eine super Übersicht über die verschiedenen Dienstleister und deren Beitrag zum ADV-Vertrag wurde auf blogmojo erstellt. Dort siehst du, welche Hoster und Dienstleister bereits ADV-Verträge erstellt haben. Diese kannst du dann herunterladen, ausfüllen und an den Dienstleister versenden.
Was ist eine Datenschutzerklärung?
Auch dieser Begriff taucht öfter in der Checkliste auf. Eine Datenschutzerklärung beschreibt die Maßnahmen, die jemand tritt, um die Privatsphäre der Kunden, Mitarbeiter oder Benutzer zu wahren. Besonders beachtenswert sind hier die personenbezogenen Daten.
Eine Datenschutzerklärung zu erstellen ist neben dem Impressum Pflicht. Diese kannst du über einen Anwalt erstellen lassen, was sehr kostspielig wird oder du nutzt die kostenlosen oder kostenpflichtigen Generatoren im Internet hierfür.
Du kannst zum Beispiel die folgenden Generatoren nutzen:
- Datenschutz-Generator der DGD (Deutsche Gesellschaft für Datenschutz, kostenlos)
- Datenschutz-Generator von eRecht24 (Wobei der Premium Account zu empfehlen ist*, aufgrund weiterer Tools und einer erweiterter Datenschutzerklärung.)
- Datenschutz-Generator von Dr. Schwenke (kostenlos)
Was ist ein Verfahrensverzeichnis?
Das Verfahrensverzeichnis wurde in den letzten Wochen und Monaten ständig im Gespräch. Immer wurde gefragt, was das überhaupt ist und was dort überhaupt hineinmüsste. Aber keine Angst, es ist oft gar nicht so schlimm.
Beim Verfahrensverzeichnis handelt es sich um eine Übersicht aller eingesetzten Verfahren und Prozesse, die mit personenbezogenen Daten in Berührung kommen und diese verarbeiten.
Also egal ob es Kollegen oder Mitarbeiter sind, die mit diesen Daten in Kontakt kommen, für diese Prozesse und Verfahren wird ein Verfahrensverzeichnis benötigt.
Dabei muss man beachten, dass es nicht nur um Kundendaten handelt, sondern auch um Benutzer- und Mitarbeiterdaten. So ist eine Lohnabrechnung und Mitarbeiterverwaltung sowie Einzelverbindungsnachweis und E-Mail-Liste für den Newsletter entsprechend einzustufen und es wird ein Verfahrensverzeichnis benötigt.
Wer braucht ein Verfahrensverzeichnis?
Kurz gesagt: JEDER! Im Artikel 30 der DSGVO „Verzeichnis von Verarbeitungstätigkeiten“ steht drin, dass erst ab 250 Mitarbeiter ein solches Verzeichnis benötigt wird. Allerdings steht im gleichen Absatz drin, dass dies nur gilt, wenn die Verarbeitung nicht nur gelegentlich erfolgt.
Wenn du nun also mit den eingesammelten E-Mail-Adressen der Newsletter-Abonnenten hantierst und diesen E-Mails zuschickst, dann ist dies nicht mehr gelegentlich.
Auch mit den Mitarbeiterdaten und Kundendaten wird nicht nur gelegentlich hantiert, sondern regelmäßig. Fraglich ist hier, was man unter gelegentlich versteht.
Was gehört in ein Verfahrensverzeichnis?
Im Artikel 30 der DSGVO „Verzeichnis von Verarbeitungstätigkeiten“ wird aufgelistet was alles in das Verfahrensverzeichnis gehört. Die nachfolgenden Informationen müssen in das Verfahrensverzeichnis aufgenommen werden:
- Name des Datenschutzbeauftragen (falls benötigt)
- Name und Kontakt des Verantwortlichen des Verfahrens
- WARUM (Zweck) der Verarbeitung der Daten
- Wer ist davon betroffen? (Personengruppen)
- Welche Daten werden von den Betroffenen erhoben?
- Wer hat Zugriff auf diese Daten (intern, extern, außerhalb der EU)
- Wie findet die Übermittlung an das Drittland (außerhalb der EU) statt?
- Ist diese Übermittlung rechtlich abgesichert?
- Welche Löschfristen sind für diese Daten vorgesehen (falls welche vorgesehen sind)
- Allgemeine technische Beschreibung der Datensicherheit (falls möglich) (=TOM => Technische und organisatorische Maßnahmen)
Bitkom hat hier ein Beispiel, bzw. ein Muster inkl. Leitfaden bereitgestellt, dass kostenlos heruntergeladen und angepasst werden kann und zwar hier: Bitkom Verfahrensverzeichnis.
Auch eine sehr gute Übersicht bietet Frau Regina Stoiber, inkl. Erklärung und Muster zum Download.
Informationspflicht in der DSGVO
Vieles ist in der Datenschutzgrundverordnung bereits seit dem BDSG vorhanden und somit nicht neu. Allerdings ist die Informationspflicht diesmal neu. Mit der Informationspflicht musst du deine Benutzer VOR der Verarbeitung der Daten informieren, was du mit diesen Daten machst, sofern du diese bei ihm direkt erhebst.
Solltest du diese NICHT direkt vom Betroffenen erhalten, sondern über andere Wege, dann ist das auf jeden Fall anzuzeigen, sprich, du musst den Betroffenen innerhalb von 4 Wochen darüber informieren.
Bei Webseiten und Blogs wird diese Informationspflicht in der Regel durch die Datenschutzerklärung getan.
Sofern du außerhalb deiner Webseite Daten von Benutzern erhebst und verarbeitest, musst du diesen darüber informieren. Verschiedene und neue Änderungen in der DSGVO gegenüber dem BDSG hat die Datenschützerin Regina Stoiber in ihrem Blogbeitrag niedergeschrieben.
DSGVO Checkliste
Wenn du das Geschriebene zusammengefasst haben möchtest und sehen willst, welche Änderungen es gibt, was du dabei zu beachten hast und wie du dabei am besten vorgehen kannst, kannst du dir gerne unsere DSGVO Checkliste ansehen oder du kannst die DSGVO Checkliste in PDF herunterladen.
Dort siehst du verschiedene Anforderungen aufgeführt und kannst diese Punkt für Punkt durchgehen und bei Erfüllung korrigieren.
DSGVO für Mittelstand & Enterprise Unternehmen
Für größere Unternehmen und damit über die Bloggergröße hinaus, geht es für die meisten Unternehmen noch weiter. Daher hatte man auch ausreichend Zeit (2 Jahre), sich mit diesem Thema auseinanderzusetzen und die entdeckten Maßnahmen umzusetzen.
Wie bereits erwähnt, ist vieles gleich geblieben und es gibt nur ein paar neue Änderungen. Das meiste ist bereits seit dem Telemediengesetz (TMG) oder dem Bundesdatenschutzgesetz (BDSG) vorhanden und wurde dennoch teilweise nicht umgesetzt.
Für viele Unternehmen geht es also weiter und es gilt zu prüfen, was alles gemacht werden muss. Da die Systeme und Verfahren teilweise historisch gewachsen sind, gilt zu prüfen, was alles geändert werden muss und was überhaupt geändert werden kann.
Manchmal müssen gar neue Systeme und Verfahren etabliert werden. Hier sind die Analyse und die Dokumentation das A und O. Wer bereits alles gut und strukturiert dokumentiert hat, dürfte bei der Analyse deutlich weniger große Anstrengungen unternehmen müssen.
Fazit zur DSGVO
Wer bis jetzt noch nichts getan hat und denkt, er habe weder Zeit noch Lust sich damit zu beschäftigen, der sollte sich das nochmals überlegen, da vieles nicht neu ist. Und sollte etwas sein, so darf man sich dann eben nicht wundern.
Wer bereits schon immer es nach den Gesetzen und Richtlinien umgesetzt hat, der dürfte nicht viel zu tun haben. Ein paar kleine Änderungen möglicherweise. Natürlich sind noch ein paar Unklarheiten vorhanden und müssen von Gerichten etc. weiter definiert und konkretisiert werden, aber andere Dinge sind bereits klar.
So oder so, nach Einführung wird sich zeigen, welche Unklarheiten besetitigt werden können und welche nicht. Mehr gibt es auch in meinem Buch.
Keine Kommentare vorhanden