DIE TRÜGERISCHE STILLE NACH DEM STURM |

Damit es kein böses Erwachen gibt, habe ich Ihnen die Kernpunkte der Verordnung und die ersten Erfahrungen zusammengefasst.

WER UND WAS IST EIGENTLICH BETROFFEN? Die DSGVO

beschäftigt sich mit dem Schutz personenbezogener Daten, dazu gehören zum Beispiel: Namen, Adressen, Kontaktdaten wie Telefon und E-Mail, aber auch die IP-Adresse Ihres Computers, die Ihnen zugeordnet werden kann. Die DSGVO betrifft ALLE Personen, Unternehmen und Organisationen, die mit solchen Daten umgehen, sie speichern oder verarbeiten. Also im Prinzip jeden, der eine Website betreibt, Kunden und /oder Mitarbeiterdaten bearbeitet oder Daten über Vereinsmitglieder speichert – online genauso wie offline.

WAS MÜSSEN SIE BEI DER PRAKTISCHEN UMSETZUNG BEACHTEN?

Für die praktische Umsetzung gilt es zu unterscheiden, welche Bereiche der DSGVO von welcher Stelle aus kontrolliert werden. Daraus ergibt sich, zumindest für kleinere und mittlere Unternehmen, eine klare Hierarchie der Notwendigkeiten. Während zum Beispiel die Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen inklusive eines Löschkonzepts etc. von der Behörde kontrolliert wird, können die offensichtlichen Anforderungen, die auf der Website ersichtlich sind, von jedem abgemahnt werden, wenn den Vorschriften nicht nachgekommen wird. Die Behörde wird im Normalfall von sich aus nicht unbedingt tätig werden, aber bei Anzeigen und Verdachtsmomenten die entsprechenden Aufzeichnungen und Verträge von Ihnen anfordern. Dazu gehören die Verträge zur Auftragsverarbeitung mit Drittfirmen – zum Beispiel dem Hosting-Anbieter Ihrer Website, evtl. Anbietern von E-Mail-Diensten, Rechnungssoftware, Cloud-Anbietern, Google Ads oder anderen Diensten, die regelmäßig mit den Daten Ihrer Kunden, Interessenten oder auch Mitarbeitern umgehen.

Ausnahmen bilden Betriebe, die selbst Datenverarbeiter sind, wie zum Beispiel Ihr Steuerberater, und auch Facebook zählt dazu. Sollte eine Kontrolle stattfinden, dann wird man auch das Verzeichnis der Verarbeitungstätigkeiten einsehen wollen. Dies ist eine Dokumentation, wo und wie Sie Daten erfassen, speichern und verarbeiten und was mit diesen Daten passiert. Ergänzend wird in diesem Dokument aufgeführt, wer Zugang zu diesen Daten hat bzw. regelmäßig damit umgeht und ob mit diesen Drittfirmen entsprechende Verträge zur Datenverarbeitung geschlossen wurden. Im Prinzip sorgen Sie in diesen Verträgen dafür, dass auch Ihre Geschäftspartner sorgsam mit den Daten Ihrer Kunden umgehen. Die meisten Anbieter bieten Ihnen entsprechende Vorlagen, und oft kann das Ganze auch online abgeschlossen, bei Ihnen gespeichert und bei Bedarf ausgedruckt und abgelegt werden.

Wenn bei Ihrem Unternehmen mehr als 9 Personen mit der Verarbeitung personenbezogener Daten betraut sind, sensible Daten gespeichert werden oder eine Dauerüberwachung stattfindet, müssen Sie einen Datenschutzbeauftragten benennen, der für die Einhaltung der Vorschriften sorgt.

UMSETZUNG DER ÖFFENTLICH SICHTBAREN MASSNAHMEN

Zwar haben Ihre Kunden und Besucher auch jederzeit das Recht, Auskunft darüber einzufordern, welche Daten über sie bei Ihnen gespeichert sind und was mit diesen Daten passiert, aber die Wahrscheinlichkeit, dass jemand das bei Ihnen anfordert, ist wesentlich geringer, als dass ein „geschäftstüchtiger“ Wettbewerber oder Anwalt Ihre Website prüft und Verstöße gegen den Datenschutz abmahnt. Und auch wenn jemand Auskunft über seine Daten will, muss er Ihnen genügend Zeit für die Auskunft geben. Sie können das also nach und nach umsetzen. Auch wird die Behörde voraussichtlich nicht gleich gnadenlos alle Verstöße mit der höchstmöglichen Strafgebühr belegen, sondern eher zunächst Nachbesserungen fordern und erst im wiederholten Fall eine Strafe verhängen.

Verstöße, die von Anwälten und Mitbewerbern abgemahnt werden, sind hingegen meist sofort auch mit entsprechenden Gebühren verbunden. Leider hat der Gesetzgeber dem Missbrauch dieser Praxis keinen Riegel vorgeschoben. Deshalb bleibt uns allen nichts anderes übrig, als die wichtigsten Forderungen schnellstmöglich umzusetzen, sofern wir das noch nicht getan haben.

DAZU GEHÖREN VOR ALLEM:

Die Verschlüsselung Ihrer Website mit einem SSL-Zertifikat, das Sie bei Ihrem Hosting-Anbieter buchen können. Dieses verschlüsselt die Daten, die von Ihrer Website übertragen werden. Personenbezogene Daten werden so geschützt – dazu zählt zum Beispiel auch die IP-Adresse Ihrer Besucher. Diese Verschlüsselung ist also auch erforderlich, wenn Sie kein Kontaktformular oder Ähnliches auf Ihrer Seite nutzen.

Ihre Kontaktformulare müssen einen Hinweis auf die Verarbeitung der eingetragenen Daten enthalten, mit Link zur Datenschutzerklärung und zum Widerrufsrecht.

Wenn Sie einen Newsletter betreiben, muss enthalten sein, wie oft und über welche Themen Sie Ihre Abonnenten anschreiben. Diese geben dann ausschließlich für diese Verwendung ihre Zustimmung.

Es gibt keine Kopplungsgeschäfte mehr, zum Beispiel E-Book-Download gegen automatischen Eintrag in den Newsletter. Entweder Sie trennen beides voneinander – das heißt, der Download ist unabhängig vom Eintrag in den Newsletter möglich und der Newsletter-Eintrag muss dann aktiv durch Setzen eines entsprechenden Häkchens angeboten werden. Oder es gibt die Alternative der transparenten Kopplung – das heißt, Sie sagen klar und deutlich: „Wenn Sie sich hier eintragen, fordern Sie das E-Book und begleitend den Newsletter an.“ Bezeichnungen wie „Gratis“ oder „Geschenk“ dürfen dann nicht verwendet werden. Es muss klar sein, dass der Abonnent mit seinen Daten „bezahlt“.

Cookies und Tracking-Vorgänge auf Ihrer Seite müssen klar kommuniziert werden, und Sie müssen dem Besucher die Möglichkeit geben, diese Tracking-Vorgänge abzulehnen.

Eine Datenschutzerklärung entsprechend den neuen Richtlinien muss auf Ihrer Seite eingebunden sein. Sie können diese in sogenannten Konfiguratoren für Ihre Erfordernisse anpassen und zusammenklicken, oder die sichere Variante wählen und einen Anwalt damit beauftragen, der auf diesen Bereich spezialisiert ist.

Plugins und Programme, die Daten an Drittanbieter übertragen, sind generell problematisch. Google-Fonts (Schriftarten von Google) sind besonders ins Visier der Abmahner gerückt. Hier werden in der Online-Variante Daten der Besucher Ihrer Website an Google übertragen. Sie können das DSGVO-gerecht einrichten, indem Sie oder Ihr Webmaster diese Schriftarten lokal speichern. Achtung: Auch YouTube-Videos oder Google-Maps nutzen diese Schriftarten, und auch diese Einstellungen müssen korrigiert werden. Auch die beliebten Share-Buttons der sozialen Medien sind betroffen, weil hier Daten der Nutzer zu Facebook & Co. übertragen werden. Hier müssen Lösungen eingebunden werden, die den Nutzer darüber aufklären und eine explizite Einwilligung durch einen weiteren Klick einholen.

Mit der DSGVO wurde das Recht am eigenen Bild ebenfalls verschärft. Bilder, auf denen einzelne Personen abgebildet sind, zum Beispiel Ihre Kunden oder Ihr Mitarbeiter-Team, dürfen nur mit Einwilligung dieser Personen veröffentlicht werden. Die Form ist zwar nicht vorgegeben, aber wenn es später darum geht, die Einwilligung zu beweisen, hilft Ihnen natürlich nur die Schriftform mit Unterschrift oder eine digitale Signatur (wenn technisch möglich).

Vorsicht mit WhatsApp und ähnlichen Diensten. Wenn Sie den Messenger Dienst bisher zur Kommunikation mit Ihren Kunden oder Interessenten genutzt haben, raten die Experten davon vorerst Abstand zu nehmen, da diese Dienste aktuell noch nicht DSGVO-konform eingesetzt werden können. Diese von mir soeben vorgestellte Liste erhebt keinen Anspruch auf Vollständigkeit und soll lediglich die wichtigsten Punkte für Sie zusammenfassen. Wenn Sie diese beachten, haben Sie einen Großteil der Vorgaben erfüllt und sind wesentlich sicherer als Unternehmen, die weitermachen, als wäre nichts geschehen.

DATENSCHUTZ IST EIN PROZESS, KEINE EINMALIGE ARBEIT

Generell gesagt, gilt das Prinzip der Datensparsamkeit und das Recht an den eigenen Daten. Das ist ein laufender Prozess, bei dem es auch immer wieder Anpassungen geben wird. Es bedeutet zum Beispiel, dass Sie in Zukunft nur noch die Daten erheben dürfen, die Sie für den angegebenen Zweck brauchen. Wenn Sie zum Beispiel einen Newsletter herausgeben, dann brauchen Sie dazu die E-Mail-Adresse Ihrer Abonnenten – Sie brauchen aber nicht den Vornamen oder andere Angaben.

Der Nutzer hat jederzeit das Recht zu erfahren, was über ihn oder sie gespeichert wird und was mit diesen Daten passiert, und er oder sie hat ein Recht auf vergessen werden, also auf die Löschung seiner Daten. Vorausgesetzt es greift kein höheres Gesetz, zum Beispiel wenn schon eine Rechnung erstellt wurde. Dann wiegt die Aufbewahrungspflicht für Ihre Buchhaltung natürlich höher. Allerdings dürfen die Daten dann auch nur dafür verwendet werden.

WAS KOMMT NOCH ALLES?

Es droht schon neues Ungemach. Facebook ist das Angriffsziel, und da der große Konzern für die EU nicht richtig zu greifen ist, werden jetzt die Betreiber von Firmenseiten ins Visier genommen, sozusagen als indirektes Druckmittel auf Facebook. Der Fanpage-Betreiber soll zusammen mit Facebook für die Verwendung der Daten haften und somit auch für Verfehlungen, die Facebook zu verantworten hat. Die Betreiber der Seite sollen ihre Fans und Besucher darüber aufklären, was mit ihren Daten passiert, obwohl diese darauf keinen Einfluss haben.

Die Rechtmäßigkeit wurde vorläufig auf den Prüfstand geschickt und die Wirkung ausgesetzt. Dennoch ist es jetzt schon ratsam, eine spezielle Datenschutzerklärung auch auf der Facebook-Fanpage zu hinterlegen. Achtung: Dafür kann nicht die Datenschutzerklärung der Website verwendet werden. Sie benötigen eine eigene Version der Datenschutzerklärung. Sowohl die Datenschutzerklärung als auch Ihr Impressum können Sie bei Facebook auf Ihrer Firmenseite unter Info hinterlegen. Außerdem wird es im Jahr 2019 noch eine ergänzende Regelung zu Cookies geben, die uns weiter auf Trab halten dürfte. Es bleibt also spannend ...

WAS SOLLTEN SIE NUN TUN?

Zurück zur eigentlichen Datenschutz-Grundverordnung, kurz DSGVO. Der große Sturm ist vorbei, aber das heißt nicht, dass Sie sich gänzlich zurücklehnen und weitermachen können wie zuvor. Es gab schon erste Abmahnungen, vor allem wegen fehlender Verschlüsselung der Seiten mit einem SSL-Zertifikat, wegen mangelhafter Datenschutzerklärungen und wegen Google-Fonts, die von vielen Websites genutzt werden und Nutzerdaten erfassen und übertragen, wenn man sie nicht lokal einstellt.

Sofern also noch nicht geschehen – machen Sie sich im ersten Schritt daran, Ihre Website entsprechend der DSGVO umzustellen. Wenn Sie das nicht selbst machen wollen, beauftragen Sie den Webmaster Ihres Vertrauens (und auch wir von 0711-Netz haben ein passendes Angebotspaket geschnürt. Bei Interesse finden Sie Informationen dazu unter: www.0711-netz.eu).

Danach erstellen Sie Schritt für Schritt Ihre Dokumentation, indem Sie sich um die Verträge zur Auftragsverarbeitung kümmern und ein Verzeichnis der Verarbeitungstätigkeiten anlegen, inklusive eines sogenannten „Lösch- Konzepts“, das sicherstellt, dass alle nicht mehr benötigten Daten wieder gelöscht werden. Auch das gehört zur neuen Verordnung. Daten dürfen nur solange gespeichert bleiben, wie sie benötigt werden.

Danach sind Sie erst einmal für alle Eventualitäten gerüstet. Bleiben Sie einfach aufmerksam für weitere Entwicklungen und konzentrieren Sie sich ans onsten wieder auf Ihr Kerngeschäft. Denn davon leben wir alle und nicht von der Umsetzung der DSGVO. Machen Sie alles gewissenhaft, entsprechend den Vorgaben, aber verheddern Sie sich nicht im Gestrüpp der Vorschriften. Betrauen Sie im Zweifelsfall besser einen Fachmann mit der Umsetzung.

Ich hoffe, ich konnte Ihnen dieses umfangreiche Thema etwas näherbringen und dabei helfen, dass nach der großen Panik nicht das trügerische Sicherheitsgefühl eintritt, es würde schon nichts passieren. Alles Gute und viel Erfolg bei der Umsetzung!