Sie haben jetzt ein Verarbeitungsverzeichnis. Wenn Sie schlau sind, dann können Sie dieses Verzeichnis auch noch ein ganz wenig erweitern. Dokumentieren Sie noch, welche Dienstleister Sie nutzen und besorgen Sie sich jeweils einen ADV-Vertrag - mehr dazu unten.
Sie sollten vielleicht auch noch zwei weitere Punkte in Betracht ziehen: Die DSGVO verpflichtet Sie, mit den Daten Ihrer Nutzer sorgsam umzugehen. Aber wie wollen Sie das nachweisen? Daher habe ich meine Liste noch um zwei Themen ergänzt:
- Technische und organisatorische Maßnahmen (TOMs), die den Datenschutz bei Ihnen gewährleisten und eine
- Risikoeinschätzung, nach der Sie auch noch wissen, ob alles bei Ihnen paletti ist.
Technische Maßnahmen wären zum Beispiel, dass Ihre Website mit https läuft und so Daten, die Ihre Nutzer in Formulare eingeben, auch verschlüsselt übertragen werden. Oder dass Sie regelmäßig, am besten automatisiert, ein Backup machen. Und nicht nur von der Website, auch von den Daten auf Ihrem Notebook!!!
Eine Risikoeinschätzung ist auch schnell gemacht. Dazu müssen Sie wissen, was Risiko eigentlich ist. Risiko kann definiert werden als möglicher Schaden mal Eintrittswahrscheinlichkeit. Mögliche Schäden für Betroffene wären von gering (z.B. die E-Mail-Adresse ist versehentlich öffentlich bekannt geworden) bis hin zu sehr hoch, z.B: wenn durch Sie ein Leben in Gefahr gerät. Ein Risiko für den Betroffenen kann beispielsweise bestehen bei Vernichtung, Verlust, Veränderung oder Offenlegung seiner personenbezogenen Daten.
Haben Sie einen Plan
Die DSGVO sagt nicht, anhand welcher Kriterien Sie das machen sollen. Sie können es auch aus dem Bauch heraus machen, aber legen Sie sich einen Plan zurecht, den Sie auch anderen erklären können.
Eintrittswahrscheinlichkeit ist einfacher. Wie wäre es zum Beispiel mit:
- Unwahrscheinlich = einmal alle zehn Jahre
- Möglich= einmal im Jahr
- Wahrscheinlich = einmal pro Monat
- Sehr wahrscheinlich = einmal pro Woche
Da sollten Sie natürlich ehrlich sein.
Datenschutzniveau ausreichend?
Ok, was ist jetzt aber Sinn der ganzen Sache? Ganz einfach: Sie können nun einschätzen, ob die von Ihnen durchgeführten technischen und organisatorischen Maßnahmen in Bezug auf das bestehende Risiko ausreichen, um ein vernünftiges und ausreichendes Schutzniveau zu gewährleisten.
Auftragsverarbeiter
ADV heißt AuftragsDatenVerarbeitung. Das ist zum Beispiel Ihr Provider, wo Ihr Wordpress läuft, das ist Google, wenn Sie Analytics nutzen, dass ist jeder, der Daten bekommt und in Ihrem Auftrag was damit macht. Auch Herr Zuckerberg, wenn Sie sein Whatsapp nutzen, um mit Ihren Kunden zu kommunizieren, obwohl Whatsapp laut Nutzungsbedingungen nicht geschäftlich genutzt werden darf.
Eine sehr umfangreiche Liste mit ADV-Verträgen der bekanntesten Dienstleister und Provider finden Sie bei Finn und Nele auf ihrem Blog Blogmojo.
In diesem Zusammenhang sollten Sie einmal Folgendes bedenken: Wenn Sie privat Ihre Daten eintauschen gegen einen kostenlosen Service, dann sei Ihnen das unbenommen. Wenn Sie ungefragt die Daten Ihrer Nutzer oder Kunden eintauschen, damit Sie einen Vorteil haben, dann haben Sie ein datenschutzrechtliches Problem. Sie sollten also entweder diese darüber informieren und eine Einwilligung von Ihnen haben - oder es komplett sein lassen.
Warum benötigen Sie denn überhaupt einen Vertrag? Es läuft doch auch so ganz gut? Das Gesetz schreibt vor, dass Sie bestimmten Verpflichtungen nachkommen müssen, was die ihnen anvertrauten Daten angeht. Wie wollen Sie das tun, wenn Sie nicht durchgreifen können, weil Sie keinen Vertrag haben? Und: Schauen Sie da auch rein. Es nützt Ihnen nichts, wenn Sie einen Pro-Forma-Vertrag haben, wenn Sie nicht die Durchgriffsmöglichkeiten haben, die Sie benötigen.
Besorgen Sie sich also die nötigen Verträge, die meisten Anbieter sind darauf vorbereitet. Im Übrigen ist es natürlich auch ganz interessant zu sehen, welcher Anbieter sich Mühe gibt und welcher Anbieter Sie einfach abblitzen lässt, weil es ihnen Arbeit macht. Ggf. sollten Sie darüber nachdenken, einen Anbieter auch zu wechseln, wenn Sie das Gefühl haben, dass dieser mit dem Datenschutz überfordert ist.