Ihnen geht das Thema DSGVO  doch sicher auch schon auf die Nerven, oder? Es wäre allerdings töricht, wenn wir dieser Verordnung, die am 25. Mai 2018 in Kraft tritt,  keine Beachtung schenken würden. Schließlich verarbeiten auch wir personenbezogene Daten. Wir versenden nämlich monatlich eine Mail an unsere Abonnenten. Alle zwei Monate weisen wir dann auf unser neu veröffentlichtes E-Magazin hin. Und in den anderen Monaten gibt es eine Zusammenfassung der wichtigsten News auf unserer Homepage.

Außerdem wollen wir natürlich auch wissen, wie erfolgreich unsere Seite gerade läuft und welche Artikel gern gelesen werden. Dafür nutzen wir Google Analytics.

Allein diese beiden Tatsachen reichen aus, dass auch wir uns mit der Datenschutzgrundverordnung (DSGVO) beschäftigen mussten.

DSGVO –  Schikane für BloggerInnen und Website-BetreiberInnen?

Nein. Dafür wurde diese Verordnung nicht aufgesetzt. Schließlich geht es vorrangig um den Schutz von Daten und des Persönlichkeitsrechts von Privatpersonen. Gleichzeitig geht es um den freien Verkehr personenbezogener Daten im EU-Raum. Hört sich schizophren an? Jein. Ohne Datenverkehr geht es heutzutage nicht mehr und dieser soll auch stattfinden dürfen. Aber in einem Rahmen, der es jedem Individuum ermöglicht, Einfluss auf seine personenbezogenen Daten zu nehmen.

Es ist nicht leugnen, dass nun jeder Verein, jede Unternehmerin und auch jede private Person schauen muss, ob sie personenrelevante Daten verarbeitet. Dazu zählen:

• Vorname,
• Name,
• Anschrift,
• E-Mail-Adresse,
• Telefonnummer,
• Geburtstag,
• Kontoverbindungen etc.

Dass es sich hier um personenbezogene Daten handelt, läßt sich leicht erschließen. Was viele häufig nicht bedenken: Online-Kennungen, wie Standortdaten, IP-Adressen, Cookies etc., gehören ebenso dazu.

Sie merken also, allein das Einbinden einer Kommentarfunktion bringt Sie in die Zwänge der DSGVO. Obwohl User ja eigentlich freiwillig kommentieren. Wollen Sie hier auf Nummer sicher gehen, geben Sie einen Hinweis auf die Datenspeicherung (im besten Fall auch auf die Datenschutzerklärung) und implementieren Sie eine Checkbox, dass der User einverstanden ist.

Datenschutz betrifft nicht nur das Netz

Die DSGVO betrifft aber noch ganz andere Bereiche als die Datenerhebung im Netz. Unternehmen müssen nachweisen, was mit den Daten der Mitarbeiter geschieht. Sie haben Ihre Lohnbuchhaltung extern vergeben? Dann benötigen Sie auch hier einen Auftragsverarbeitungsvertrag. Die Mitarbeiter haben jederzeit ein Anrecht darauf, zu erfahren, an wen ihre Daten weitergegeben werden.

Und es geht nicht nur um den Onlinebereich. Jeder Coach, Berater, Anzeigenverkäufer, der eine Kundendatei führt, verarbeitet personenbezogene Daten.

 

Vergessen Sie nicht den Auftragsverarbeitungsvertrag (AV Vertrag)

Was?  Noch so ein Fremdwort. – Wer zum Beispiel seiner Userdaten trackt und statistisch auswertet (Google Analytics, Etracker, Matoma (früher Piwik) etc.), sollte mit den Anbietern dieser Trackingtools einen Auftragsverarbeitungsvetrag abschließen.

Dieser Vertrag regelt, dass der Auftragnehmer die ihm anvertrauten Daten alleinig für die Zwecke verarbeitet, für den die Daten vom Auftraggeber erhoben wurden. Der Verarbeiter ist durch den Vertrag verpflichtet, die ihm anvertrauten Daten umfangreich zu schützen.

Das gilt auch, wenn man Newsletter über einen externen Anbieter versendet, Paid Content über Dienste wie Paypal bezahlen läßt oder  Umfragedienste nutzt. Die Umfänglichkeit des AV-Vetrages regelt Artikel 28 DSGVO. Einen Mustervertrag können Sie sich hier ansehen und herunterladen.

Dokumentation ist alles – das Verarbeitungsverzeichnis

Wer Daten verarbeitet ist verpflichtet ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis muss alle Datenverarbeitungsvorgänge dokumentieren. Dazu zählt auch der „Zweck der Verarbeitung“. Außerdem sind die Löschfristen zu vermerken. Diese können je nach Verarbeitungszweck nämlich varieren. Bei Kaufaktivitäten mit Gewährleistungsansprüchen (Garantie) sollten zumindest für den Zeitraum der Garantie, die Daten gespeichert werden. Bei Marketingaktivitäten können diese auch wesentlich kürzer ausfallen. Eine übersichtliche Excel-Tabelle erfüllt diese Ansprüche. Wichtig ist, dass diese auf Anfrage vorgezeigt werden kann. Einen praktischen Leitfaden bietet die bitkom als Download an.

Auskunftspflicht und -recht

Artikel 15 der DSGVO regelt das Auskunftsrecht der betroffenen Personen. Diese können jederzeit Auskunft darüber verlangen:

• ob  und welche ihrer Daten gespeichert und verarbeitet werden
• welcher Verarbeitungszweck vorliegt
• in welchen Kategorien personenbezogene Daten gespeichert und verarbeitet werden
• welchen Empfängern die Daten zugänglich gemacht werden , insbesondere bei Empfängern in Drittländern
• wie lange die Daten gespeichert werden
• dass ein Recht auf Löschung der Daten besteht
• dass ein Beschwerderecht bei einer Aufsichtsbehörde vorliegt
• von wem die Daten stammen, sofern sie nicht selbst erhoben wurden

 

Mehraufwand – mehr als nervig

Wir haben hier jetzt nur die wichtigsten Themen angerissen. Dass die Datenschutzbestimmungen auf der Website angepasst sein müssen, versteht sich eigentlich von selbst. Von der geforderten Bürokratieerleichterung für UnternehmerInnen und GründerInnen ist das weit entfernt. Wir werden jedenfalls unser bestes tun, alle Anforderungen zu erfüllen.