TOP

Oh Schreck! Die DSGVO tritt in Kraft

Datenschutzgrundverordnung. Was ist das, worauf müsst ihr achten und wozu ist diese Verordnung überhaupt gut? Wir haben uns eingelesen und präsentieren euch hier alle wichtigen Fakten.

Disclaimer: Die Informationen in diesem Beitrag haben wir mit größter Sorgfalt recherchiert. Dennoch übernehmen wir keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen. Diese sind insbesondere allgemeiner Art und stellen keine Rechtsberatung dar. Zur Lösung von konkreten Rechtsfällen konsultiert bitte einen Rechtsanwalt.
Was ist die DSGVO?

Die DSGVO (EU-Datenschutzgrundverordnung) tritt zum 25. Mai 2018 in Kraft. Damit es nicht gleich zu Beginn zu Verwirrungen kommt: die Verordnung wird auch GDPR genannt (General Data Protection Regulation). Das Gesetz soll EU-weit zum Schutz personenbezogener Daten dienen. Damit löst die DSGVO die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ab. Eine vereinheitlichte Verordnung war längst überfällig, denn sind wir mal ehrlich, wer hat wirklich einen Überblick, wo Daten erfasst und an Dritte übermittelt werden?! Der Facebook-Skandal mit 87 Millionen geklauten Nutzerdaten ist daher ein viel zu später Weckruf unserer Gesellschaft, sich endlich mit dem Schutz der eigenen Daten zu befassen. Die DSGVO kommt daher wie gerufen, doch es hagelt auch viel Kritik an der neuen Verordnung, viel zu umständlich sei sie und zu vage formuliert. Wie das neue Gesetz letztendlich den Alltag aller beeinflusst, bleibt auszustehen. Wir wollen euch die wichtigsten Regelungen vorstellen.

dsgvo

Was sind personenbezogene Daten?

Unter personenbezogene Daten fallen alle Angaben über persönliche oder sachliche Verhältnisse einer natürlichen Person, also beispielsweise Name, Anschrift, Bankdaten Telefonnummer, E-Mail-Adresse, aber auch die IP-Adresse. Unter die DSGVO fallen also alle personenbezogenen Daten, die ihr (als Unternehmen) von jemandem erfasst. Das können Daten von Kunden*innen, Leser*innen, aber auch Mitarbeiter*innen sein. Ihr dürft diese Informationen auch weiter erfassen, nur müsst ihr die betreffende Person darüber informieren, wo, wann und wozu die Daten erfasst und weiterverarbeitet werden. Außerdem müsst ihr eine „angemessene Sicherheit“ der erhobenen Daten gewährleisten. Generell gilt der Grundsatz der Datensparsamkeit: es dürfen nur Daten erhoben werden, die für den jeweiligen Zweck benötigt werden. 

dsgvo

DSGVO – ein Überblick

Je nachdem, ob ihr ein Groß-, Online-  oder Kleinunternehmen seid oder „nur“ eine eigene Website betreibt, gibt es unterschiedliche Punkte zu beachten. Die nachfolgenden Aspekte gelten aber für alle (mit ganz wenigen Ausnahmen):

– Verfahrensverzeichnis (Datenerfassung- und Speicherung)
– Informationspflicht
– Anpassung der Datenschutzerklärung
– Auftragsdatenverarbeitung (ADV-Vertrag) bzw. Auftragsverarbeitung (AV-Vertrag)
– Sicherung der personenbezogenen Daten

Das Verfahrensverzeichnis

Verfahrensverzeichnis bedeutet ganz einfach Verzeichnis von Verarbeitungstätigkeiten. Darunter fallen alle Vorgänge im Unternehmen, die personengebundene Daten verarbeiten. Also wo kommt ihr mit Daten in Berührung hinter denen reale Personen stehen? Das wären bei Mitarbeiter*innen die Lohnabrechnung, aber auch Telefon-Einzelnachweise fallen darunter. Bei Kunden sind das E-Mail-Adressen, Zahlungsdaten oder auch Einkaufsverhalten.

Regina Stoiber berät Firmen zum Datenschutz und hat die Anforderungen an ein Verfahrenszeichen verständlich und kompakt auf ihrer Website zusammengefasst:

1. Name und Kontakt des Verantwortlichen
2. Zweck der Verarbeitung, also das WARUM
3. Welche Personengruppen sind betroffen und welche Daten von ihnen
4. Wem werden diese Daten zur Verfügung gestellt (intern, extern, auch Drittländer)
5. Beschreibung der Übermittlung an das Drittland (ist dies rechtlich abgesichert)?
6. Vorgesehene Löschfristen der Daten (wenn möglich)
7. Allgemeine Beschreibung der technischen Sicherheit der Daten (wenn möglich)

Als Einzelunternehmer wird das Verzeichnis deutlich kürzer ausfallen als bei einem Großunternehmen. Macht es euch nicht zu schwer, eine Excel-Tabelle mit den angeführten Punkten reicht völlig aus. Hier könnt ihr alles zum Verfahrensverzeichnis noch ausführlicher nachlesen.

dsgvo

Welche Daten fallen bei einem Blog an?

Als Blogger oder Betreiber*in einer Website müsst ihr euch darüber klar sein, wann ihr wo welche Daten erfasst und weitergebt. Darunter fallen Cookies, E-Mail-Newsletter und natürlich auch Analyse-Tools wie Google-Analytics. WordPress ist in seiner heutigen Version (noch) nicht regelkonform. Die Programmierer planen jedoch die Implementierung neuer Funktionen und Plugins um WordPress DSGVO gerecht zu gestalten. Falls diese ambitionierten Pläne nicht rechtzeitig greifen, gibt es Plugins, die ihr euch selbst besorgen könnt. Daher empfehle ich euch, kurz vorm Stichtag, euer Theme zu updaten und die neuen Funktionen einzustellen. Es macht vielleicht Sinn alternative Plugins zu installieren, falls WordPress die Neuerungen nicht rechtzeitig umsetzen kann. Außerdem sind zukünftig die direkte Einbettung von YouTube-Videos bedenklich. Aber keine Sorge, mit einem Plugin und einer Zwei-Klick-Lösung, könnt ihr das Problem umgehen. Beispielsweise das „Embed videos and respect privacy“ Plugin, welches erst durch ein Klicken die Verbindung zum YouTube-Server aufbaut.Welche Plugins bei WordPress problematisch sind und welche sinnvoll findet ihr hier übersichtlich aufgelistet.

Die Informationspflicht

Immer wenn ihr personengebundene Daten direkt bei einer Person erhebt, muss das Einverständnis desjenigen eingeholt werden. Die Informationspflicht kann bei einer Website direkt über die Datenschutzerklärung abgedeckt werden. Für Mitarbeiter solltet ihr ein Dokument zur Informationspflicht übergeben. Dieses Dokument lässt sich wunderbar von dem Verfahrensverzeichnis ableiten. Eine genauere inhaltliche Auflistung findet ihr auf der Website der Datenschutz-Grundverordnung. Des Weiteren hat jede*r das Recht auf Löschung seiner Daten, dafür sollte ein rechtssicheres Impressum mit Kontaktdaten reichen, an die sich die betroffene Person wenden kann. Google Analytics hat hier schon reagiert und angekündigt, bis zum 25. Mai ein neues „deletion tool“ zu integrieren.

Natürliche Personen haben nicht nur das Recht auf Löschen der gesammelten personenbezogenen Daten, sondern ebenfalls das Anrecht auf Datenübertragbarkeit. Das bedeutet, dass alle personenbezogenen Daten (von der betroffenen Person) angefragt werden können. Ihr seid dann in der Pflicht, diese in strukturierter und digitaler Form innerhalb eines Monats auszuhändigen.

dsgvo

Anpassung der Datenschutzerklärung

Wichtig ist die Sichtbarkeit der Datenschutzerklärung für Website-Besucher*innen. Über einen angelegten Link, sollte diese direkt aufrufbar sein. Wir Blogger stehen in der Pflicht, unsere Leser*innen zu informieren. Die Datenschutzerklärung sollte dabei kein Standardschreiben sein! Es gibt eine gute Mustervorlage der DGD (Deutsche Gesellschaft für Datenschutz), die sich ohne Probleme mit ein paar Klicks personalisieren lässt.

Wo werden personenbezogene Daten auf eurem Blog erfasst und was ihr berücksichtigen müsst 

Formulare: Wenn mittels Formularen Daten erhoben werden, zum Beispiel bei einem Gewinnspiel, muss ausdrücklich um Erlaubnis gebeten werden.

Kommentare: Hier sollte eine Infobox angebracht werden, die darauf hinweist, dass Name, E-Mail-Adresse und Kommentar sowie Uhrzeit und IP-Adresse gespeichert werden. Am besten weist ihr gleich noch auf eure Datenschutzerklärung hin. Der/die Kommentator*in stimmt diesen durch das Setzen eines Häkchen zu.

Google Fonts: Die kostenlos verfügbaren Fonts haben die Typographie im Netz stark beeinflusst. Da die Schriften jedoch nicht am eigenen Server gespeichert werden, sondern aus der Cloud geladen werden, solltet ihr euch hier absichern. Wie das funktioniert, haben die Netzialisten sehr gut zusammengefasst (mit verständlicher Anleitung!).

Google Analytics Opt-Out Option: Damit Website-Besucher*innen selbst entscheiden können, ob ihre Daten für Google Analytics verwenden werden dürfen, sollte ein Google Analytics Opt-Out zur Deaktivierung von Google Analytics installiert werden.

Anonymisierung der IP-Adressen: Um Google Analytics zu anonymisieren, müssen die IP-Adressen der Website-Besucher*innen so verfremdet werden, dass Google die erfassten Daten keiner Person direkt zuweisen kann. WordPress Plugins (Google Analytics) verfügen normalerweise über die Option, die IP-Adresse zu verfremden. Für andere Möglichkeiten die IP zu anonymisieren bietet sich mit anonymizeIP an.

Social Media Buttons: Die Teilen-Buttons senden automatisch Informationen über die Website-Besucher*innen an die sozialen Netzwerke. Dafür müssen die Besucher*innen noch nicht einmal auf die Buttons klicken. Das Computermagazin c’t  hat ein Plugin entwickelt, um dem entgegenzuwirken. „Shariff“ lässt sich in WordPress installieren, wodurch ihr datenschutzkonforme Teil-Button erstellen könnt.

Newsletterversand: Der Newsletterversand sollte nur nach einem Double-Opt-In-Verfahren erfolgen. Das bedeutet, der/die Leser*in muss sich für den Newsletter eintragen und per versendeten E-Mail-Link bestätigen. Seid transparent, was der/die Empfänger*in des Newsletters bekommen. Arbeitet ihr mit einem Newsletter-Dienstleister zusammen, muss ein AV-Vertrag abgeschlossen werden.

Die einzelnen Aspekte habe ich via datenschmutz.net recherchiert. Dort findet ihr eine sehr gute Übersicht inklusive Checkliste für Blogger. Ein Blick auf die Website lohnt sich also!

Die Auftragsdatenverarbeitung (ADV-Vertrag) wird zu Auftragsverarbeitung (AV-Vertrag)

Immer, wenn ihr personenbezogene Daten durch einen Dienstleister (Auftragnehmer) erheben oder verarbeiten lasst, muss ein AV-Vertrag abgeschlossen werden. Diese Pflicht gab es schon vor der DSGVO, die Verträge müssen jetzt jedoch den neuen Regelungen angepasst werden. Der frühere ADV-Vertrag wird also zum AV-Vertrag. Google hat bereits reagiert und in allen bestehenden Verträgen innerhalb der EU einen Zusatz eingefügt, der DSGVO konform ist und zum 25. Mai in Kraft tritt. Nutzt ihr andere Tools als Google Analytics, müsst ihre euren Vertrag mit dem jeweiligen Datenverarbeitungs-Unternehmen überarbeiten. Ein Hinweis, auch das Übertragen von personenbezogenen Daten in eine Cloud stellt das Übermitteln von Daten an „Dritte“ dar und muss mit einem schriftlichen AV-Vertrag festgehalten werden.

Ein Glück stellt die Gesellschaft für Datenschutz und Datensicherheit eine Mustervorlage kostenlos als Download zur Verfügung. Und keine Sorge, die meisten Datenverarbeitungs-Anbieter sollten mit den neuen Regelungen vertraut sein. Sonst fragt einfach nach.

dsgvo

Sicherung der personenbezogenen Daten

Was ich bisher außen vor gelassen habe, was aber zentraler Kern des Ganzen ist, ist die Sicherung der personenbezogenen Daten. Ihr, oder/und euer Auftragnehmer für Datenverarbeitung, müsst dafür Sorge tragen, dass die gesammelten Daten ausreichend gesichert sind. Das geschieht durch Verschlüsselung der Daten. Außerdem müssen verloren gegangene Daten schnell wiederhergestellt werden und vor unbeabsichtigter Löschung geschützt sein. Mit der 3-2-1 Regel sichert ihr euch genügend ab – drei Kopien aller kritischen Dateien auf zwei unterschiedlichen Medien, wovon eins an einem anderen Standort, als die Original-Daten gelagert wird. Kommt es zu Datenpannen, haftet nicht nur ihr, sondern auch der Auftragsverarbeiter, falls ihr einen beauftragt habt. Wie oben bereits erwähnt, müssen Datenschutzverletzungem binnen 72 Stunden bei Behörden und Kunden gemeldet werden. Macht euch nicht verrückt! Überlegt, wie ihr die gespeicherten Daten sichert, wenn es über “Dritte“ passiert, müssen die einzelnen Aspekte zur Sicherung der Daten im AV-Vertrag aufgelistet sein.

Auch wenn die DSGVO am Anfang etwas sperrig wirkt, glaube ich, dass die Verordnung sich sehr positiv für alle EU-Bürger auswirken wird. Letzten Endes werden die Unternehmen zu mehr Transparenz verpflichtet, unabhängig in welchem Land das Unternehmen seinen Standort hat. Durch diese vereinheitlichte Regulierung erhalten alle EU-Bürger deutliche mehr Kontrolle über ihre Daten. Und das kann nur im Sinne aller (Bürger) sein.

Deshalb hoffe ich, euch etwas die Angst genommen zu haben. Schaut einfach, wo bei euch personenbezogene Daten gespeichert und verarbeitet werden. Denkt an die Informationspflicht. Fragt nach, bevor ihr Daten erhebt. Mit der Mustervorlage für die Datenschutzerklärung und das Verfahrensverzeichnis seid ihr gut gewappnet.

Eva kam durch Vrenis legendären Flohmarkt zu neverever.me - nach einem Praktikum war klar, hier möchte sie bleiben. Jetzt ist Eva heißgeliebter Bestandteil des Teams. Nachhaltigkeit und Veganismus sind ihre Herzensthemen. Wenn sie nicht bloggt, dann findet ihr sie in der Uni-Bibliothek, wo sie (mal mehr mal weniger fleißig) für ihre Bachelorarbeit recherchiert.