Die DSGVO ist in aller Munde. Stündlich trudeln Mails ein, über geänderte Datenschutzbestimmungen und wievielen Firmen meine Daten jetzt plötzlich sehr am Herzen liegen. Bei so viel Aufregung scheint es sich also um etwas wirklich Wichtiges zu handeln. Hier und da werden Foren oder Blogs geschlossen, aber niemand weiß eigentlich genau, warum. Ist es die Angst vor hohen Strafen? Oder der Unwille, sich näher mit dem Thema Datenschutz zu beschäftigen? Vielleicht ist ja alles nur halb so heiß gegessen, wie es gekocht wurde...
Was ist zu tun?
Ich möchte im Folgenden einige Hinweise geben, was wirklich wichtig ist und möchte aufzeigen, dass vieles von dem Geforderten eigentlich mit relativ geringem Aufwand umgesetzt werden kann. Denn wer sich stundenlang Statistiken aus dem Analytics über den eigenen Webauftritt ansehen kann, der kann auch mal (einmalig!!!) zwei bis drei Stunden investieren, um sich über die anfallenden Daten seiner Besucher und Kunden zu informieren und ein bisschen zu dokumentieren, was da eigentlich passiert.
Lesen Sie hier also in drei Teilen, was Sie hinsichtlich Ihres Webauftrittes tun sollten, was das Verzeichnis von Verarbeitungstätigkeiten ist und wie es aussieht mit ADV-Verträgen, technischen und organisatorischen Maßnahmen und dem Schutzniveau Ihrer Datenverarbeitungen.
Webauftritt
Der eigene Webauftritt ist sicher das, woran viele erstmal denken, wenn es um Datenschutz geht. Der ist ja auch für jeden zu sehen, das Aushängeschild, und gleichzeitig gibt es hier viele, die sowohl mit der Technik nicht in der Tiefe bewandert sind - und das neue Datenschutzrecht ist auch noch neu. Was ist also zu tun?
Datensammelei abschalten
Schalten Sie die Datensammelei ab. Sie haben kaum wirklich Vorteile, aber eine ganze Reihe Firmen lebt von Ihrer Arglosigkeit - dass Sie die Daten Ihrer Website-Besucher zum eigenen Vorteil an andere Firmen weitergeben, ohne, dass der Besucher etwas dagegen tun kann und ohne, dass er was davon hat. Sie bezahlen also den Service mit den Daten Ihrer Besucher.
Wie Sie das rausfinden sollen, was bei Ihnen läuft? Installieren Sie Ghostery oder uBlock Origin und schauen Sie, welche Scripts laufen und von diesen Tools als eliminierenswert angesehen werden. Denn das hat Gründe!
Datenschutzerklärung klar machen
Es gibt inzwischen eine ganze Reihe von Generatoren für DSGVO-konforme Datenschutzerklärungen. Die sind teilweise von Juristen geprüft. Nehmen sie die her und stören Sie sich nicht daran, dass da am Ende bei Ihnen ein Link zum Generator dieser Erklärung drunter stehen soll - ein bisschen Dankbarkeit hat ja noch niemandem geschadet.
Sie könnten natürlich auch mal einen tieferen Blick da rein werfen, dann sehen Sie, worum es eigentlich geht. Der wesentlichste Unterschied zu bisherigen Datenschutzerklärungen besteht wohl in den Informationspflichten für Betroffene (das sind Ihre Website-Besucher). Informiert werden diese über ihre Rechte. Denn seit dem 25. Mai 2018 müssen Sie Ihre Besucher über den Zweck Ihrer Datenverarbeitungen aufklären und Sie müssen Ihnen auch sagen, dass Sie die Daten auf Wunsch jederzeit löschen oder korrigieren werden, wenn gewünscht. Auch müssen Sie eine Aussage darüber treffen, wie lange Sie die Daten speichern wollen. Das muss nicht in Wochen oder Monaten angegeben werden, es könnte zum Beispiel für ein Newsletter- Abo auch heißen: Bis der Interessent sich wieder abmeldet.
Rechtsgrundlage für Datenspeicherung
Überhaupt dürfen Sie eigentlich gar keine personenbezogenen Daten anderer natürlicher Personen (das sind Menschen) mehr speichern, außer, es gibt eine Rechtsgrundlage dafür. Oft wird das zum Beispiel eine vertragliche Grundlage sein, zum Beispiel, wenn es sich um Kunden von Ihnen handelt und Sie Leistungen für diese erbringen müssen.
Eine andere Rechtsgrundlage könnte sein, das Sie ein sogenanntes berechtigtes Interesse haben. Zum Beispiel könnte es sein, dass Sie gerne für einige Tage die Logfiles Ihres Webservers mit den IP-Adressen (personenbezogene Daten) Ihrer Besucher drin speichern möchten. Zum Beispiel, um Fehler Ihrer Anwendung zu erkennen oder um Angriffe zu erkennen. Sie können das Logging natürlich auch abschalten, denn so brauchen Sie Ihre Besucher auch nicht über die damit zusammenhängenden Rechte informieren: Keine Datenverarbeitung, keine Pflichten! Mal ganz unter uns, wann haben Sie das letzte Mal Ihre Logfiles analysiert?
Eine weitere Rechtsgrundlage wäre zum Beispiel die Einwilligung Ihres Nutzers. Zum Beispiel abonniert er Ihren Newsletter. Wenn er das selber tut, dann kann er ja auch einwilligen, dass Sie so lange seine E-Mail-Adresse zu diesem Zweck speichern und natürlich auch speichern müssen. Verweisen Sie hier einfach auf den entsprechenden Abschnitt in Ihrer Datenschutzerklärung.
Ebenso kann es auch sein, dass sie rechtlich verpflichtet sind, bestimmte personenbezogene Daten Ihrer Nutzer, Besucher oder Kunden aufzuheben. Haben Sie zum Beispiel Geschäfte mit Ihren Kunden gemacht, gibt es eine gesetzliche Pflicht, bestimmte kaufmännisch-relevante Daten für zwei, sechs oder zehn Jahre aufzubewahren - das ist dann gleichzeitig auch die Rechtsgrundlage im Sinne der DSGVO.
Sie Informieren
Sie müssen die Betroffenen Ihrer Datenspeicherung zum Zeitpunkt der Speicherung über das informieren, was Sie mit den Daten vorhaben. Am besten fassen Sie das alles in der oben schon erwähnten Datenschutzerklärung zusammen. In Kürze: Wer ist verantwortlich für die Verarbeitung, was ist der Zweck, was ist die Rechtsgrundlage - und wenn diese Ihr berechtigtes Interesse ist, dann sollten Sie die auch nennen. Die Empfänger, also, wer die Daten ggf. noch bekommt. Falls diese in ein Drittland gehen, dann ggf. auch noch, aufgrund welchen Abkommens der EU-Kommision diese Datentransfers abgesichert sind, zum Beispiel "Privacy Shield" für die USA. Da gibt es eine ganze Menge amerikanischer Firmen...
Sagen Sie Ihrem Besucher oder Kunden auch noch, wie lange sie die Daten speichern, dass er ein Recht auf Auskunft über diese Datenverarbeitung hat. Sie müssen ihm auch sagen, dass er die Daten berichtigen lassen kann oder löschen - oder, ggf. auch die Verarbeitung durch Sie einschränken lassen kann, wenn das Sinn macht. Zum Beispiel dass ein Bild gesperrt wird, wenn er merkt, dass er nicht die Rechte daran hat.
Falls er eingewilligt hat, müssen Sie ihm auch mitteilen, dass er jederzeit diese Einwilligung widerrufen kann. Und, dass er sich bei einer Datenschutzaufsichtsbehörde über Sie beschweren kann, wenn er meint, dass Sie Schindluder mit seinen Daten treiben.
Falls die Person die Daten bereitstellen muss, weil es gesetzlich oder vertraglich gefordert ist, dann müssen Sie ihm sagen, ob er das wirklich tun muss und wenn ja, was passieren würde, wenn er die Daten Ihnen nicht gibt.
Und zu guter Letzt müssen Sie ihn informieren, wenn Sie seine Daten nutzen, um ein Profiling durchzuführen. Beispiel: Sie beobachten Ihren Besucher oder Kunden und sammeln Daten über ihn. Anhand der Daten erstellen Sie nun ein Profil, beispielsweise, zu welcher Zeit er Ihre Website besucht oder für welche Themen er sich interessiert. Solche Daten kann man (vermutlich nicht Sie) nutzen, um dann auf dieser Basis automatische Entscheidungen zu fällen. Sollten Sie sowas Böses doch tun, müssen Sie diese Person von vorne bis hinten im Detaul über alles aufklären, was da passiert, mit welchen Daten, was bei raus kommt. etc...
Ach ja, und wenn Sie Daten, die Sie von jemandem haben, doch für etwas anderes benutzen wollen, dann beginnt das ganze Spiel von vorne.
Schlimm?
Nein, nicht schlimm. Einmal drüber nachdenken, in der Datenschutzerklärung niederschreiben und fertig. Eigentlich schnell gemacht. Lesen Sie einfach mal den Artikel 13 der DSGVO, da steht alles haar-klein drin. Und Gesetze lesen kostet nichts. In den meisten von Generatoren erstellten Datenschutzerklärungen ist das auch alles schon enthalten bzw. vorgesehen.
Lesen Sie weiter über das Verzeichnis von Verarbeitungstätigkeiten und ADV-Verträge, TOMs und Risikobetrachtung.