DSGVO: Was Sie hierzu wissen müssen

    7 Minuten

Datenschutzgrundverordnung (EU-DSGVO)

Die DS-GVO ist eine Initiative der EU und ist wahrscheinlich eine der weitreichendsten und wichtigsten Richtlinien betreff des Datenschutzes.  Die Zielsetzung ist es, dass personenbezogene Daten sicher verwaltet und nicht zu unlauteren Zwecken missbraucht werden. Die Verordnung betrifft alle Unternehmen, Vereine und Gewerbe, von denen personenbezogene Daten von EU-Bürgern verarbeitet werden, ungeachtet ihrer Größe und ihres Standorts.

Leider wissen noch immer nur Wenige, was dies nun wirklich für sie und ihre Unternehmungen, und vor allem Ihre Webpräsenzen, bedeutet. Das ist nicht weiter verwunderlich, denn trotz des Wirksamkeitstermins am 25.5.2018 gibt es noch immer nicht viele Informationen, wie Konformität denn nun wirklich aussehen soll.  Dadurch gibt es viel Raterei und viele Vermutungen, während vor allem Digitalagenturen verzweifelt versuchen alle Möglichkeiten abzuhaken, oder einfach hoffen, dass letztendlich doch alles in Ordnung sein wird.

Keine dieser beiden Optionen sind ideal, besonders weil die möglichen Bußgelder bei Datenschutzverstößen bis zu 20 Mio. Euro bzw. 4 % des letztjährigen globalen Umsatzes sein können. Wie schwierig ist Konformität und wir können Sie es vermeiden dagegen zu verstoßen? Lesen Sie hierfür unseren Leitfaden für Anfänger.

Bevor wir das im Detail betrachten, verleihen wir Ihnen erstmal einen simplen Überblick darüber, was die DSGVO erwartet:

  • Sie müssen…einen rechtmäßigen Grund für die Erhebung und Verarbeitung von personenbezogenen Daten haben.
  • Sie müssen… für vollständige Transparenz darüber sorgen, welche Daten erhoben werden, wie diese verarbeitet und wir lange sie gespeichert werden.
  • Sie müssen… es jeder Person ermöglichen, auf eine Kopie ihrer Daten zuzugreifen, oder das Löschen ihrer Daten zu verlangen.
  • Sie müssen… den Ansatz der “Datenminimierung” oder “Datensparsamkeit” (d.h. die Verarbeitung nur solcher Daten, die zur Erfüllung einer Aufgabe benötigt werden)  im Design all Ihrer Leistungen und Produkte umsetzen.
  • Sie müssen… all dies leicht verständlich dokumentieren.

Was sind personenbezogene Daten?

Personenbezogene Daten umfassen alle Informationen, durch die – direkt oder indirekt (z.B. durch Querverweis mit anderen Daten) – Einzelpersonen identifiziert werden können.  Namen, Email-Adressen und Abrechnungsinformationen sind hier offensichtlich m aber auch die IP-Adresse eines Computers zählt dazu, und das weitet das Netz natürlich bedeutend.  Egal ob Ihre Webseite einen Online-Shop oder Kontaktformular enthält, oder auch nur eine Tracking-Lösung für Besucher umfasst, in jedem Fall erheben Sie hierbei personenbezogene Daten.

Praktische Schritte

Um Ihrer Unternehmung in Richtung Konformität zu helfen, gibt es einige relativ einfache Schritte, die Sie vornehmen können.

  • Ernennen Sie einen Datenschutzbeauftragten
  • Führen Sie eine Prüfung Ihrer jetzigen Datenverarbeitungsverfahren durch
  • Aktualisieren Sie Ihre veröffentlichten Grundregeln und Opt-In-Verfahren
  • Erstellen Sie einen Plan, wie Sie Anfragen zur Aktualisierung und das Löschen von personenbezogenen Daten bearbeiten werden
  • Setzen Sie Verfahren für den Ansatz der Datensparsamkeit um
  • Erstellen Sie für all dies die nötige Dokumentation

Jetzt können wir uns genauer ansehen, wie diese Schritte praktisch umgesetzt werden können.

Ernennen Sie einen Datenschutzbeauftragen

Das sollte wahrscheinlich der erste Schritt sein. Bestimmen Sie jemanden in Ihrem Unternehmen, der offiziell für den Datenschutz verantwortlich sein soll und ernennen Sie diese Person zum Datenschutzbeauftragten. Es kann sich hierbei um einen Mitarbeiter handeln (solange dies keinen Interessenkonflikt darstellt) oder ein externer Beauftragter.  Das wichtige hierbei ist, dass diese Person ein gutes Verständnis für die Position sowie die nötige Befugnis und nötigen Ressourcen hat wirksam zu walten. Ihr Datenschutzbeauftragter muss auf aller veröffentlichten Dokumentation namentlich genannt werden und ist die Kontaktperson für Behörden und andere Personen mit Datenschutzfragen.

Prüfen Sie Ihren jetzigen Ansatz

Um der DSGVO effektive zu entsprechen, sollte Sie untersuchen, welche Daten Sie momentan erheben, und was mit diesen geschieht. Wir schlagen vor, mit einem einfachen Excel-Arbeitsblatt zu beginnen, mit einer Spalte für jeden der unten aufgelisteten Punkte, und dies dann für jede Art von Kundendaten auszufüllen, die Sie erheben. Dadurch sollten Sie schnell einen Überblick der jetzigen Situation erhalten. Der von Ihnen ernannte Datenschutzbeauftragte wird wahrscheinlich nicht alle Informationen zu Hand haben, also müssen auch andere Mitarbeiter aus den Bereichen Vertrieb, Marketing und technischer Entwicklung miteinbezogen werden, damit alles abgedeckt wird.

  • Datenart
  • Erhebungsquelle
  • Zweck
  • Art der Einwilligung
  • Speichermethode
  • Aufbewahrungsfrist
  • Zugangsbefugnis
  • Zugangsmethoden

Vergessen Sie nicht, auch Leistungen Dritter mit einzubeziehen, wie z.B. Zahlungsbearbeiter, Email-Marketing-Provider oder Online-Backup-Lösungen, die in Ihrem Auftrag ebenfalls die Daten Ihrer Kunden speichern oder verarbeiten können. Sehen Sie sich deren Datenschutzerklärungen an und fügen Sie die entsprechenden Links zur Ihrem Arbeitsblatt hinzu.

Im Verlauf dieser anfänglichen Prüfung finden Sie wahrscheinlich Bereiche, wo Daten grundlos erhoben, zu freizügig geteilt oder über den ursprünglichen Zweck hinaus gespeichert werden.

Indem Sie diese Bereiche jetzt einsparen können Sie Ihre Haftung reduzieren, die Komplexität Ihrer Verfahren minimieren und dies könnte natürlich auch eine positive Auswirkung auf diejenigen bedeuten, deren Daten involviert sind. Es passiert leicht dass man Daten einbehält, und diese in Offline-Archiven oder Online-Datenbanken ansammelt – aber durch diese Ansammlung vergrößert sich auch das Risiko, dass dies negative Auswirkungen hat.   Das heißt nicht, dass Sie einfach alles wegwerfen sollen,  denn auch alte Daten haben das Potenzial zukünftige Einblicke zu gewähren, aber oft benötigt man hierzu nicht die vollständigen Details. Anonymisierung oder zusammenfassen von Daten sind hier gute Alternativen.

Aktualisieren Sie Ihre Datenschutzerklärung

Die DSGVO betont Transparenz für Ihre Webseitenbesucher und Ihre Fähigkeit als Betreiber, Ihre Verantwortung gegenüber den Behörden zu zeigen.  Sollten Sie also noch keine verlässliche Datenschutzerklärung haben, wäre es nun an der Zeit, diese zu erstellen. Am besten fängt man hier mit der veröffentlichen Datenschutzerklärung an. Jede Webseite benötigt diese und, entsprechend der DSGVO, muss diese transparent, verständlich und umfassend sein.

Verallgemeinerungen wir “Ihre Daten werden vielleicht mit ausgesuchten Partnern geteilt werden” müssen nun aufgeschlüsselt werden, und erklären wer diese Partner sind, welche Daten geteilt werden, für welchen Zweck und wie diese verarbeitet werden. Allerdings sollte Ihre Webseitenprüfung Ihnen diese Informationen schon bereitstellen. Die Herausforderung ist nun, wie Sie dies Ihren Besuchern verständlich näher bringen können.

Wir schlagen vor, dass Sie Ihre Daetnschutzerklärung nach den Interaktionen unterteilen, die ein Besucher mir Ihren Leistungen hat, und für jede davon zu erklären, welche personenbezogenen Daten hierbei erhoben werden (und warum), wie diese verarbeitet und wie lange sie gespeichert werden.  Diese Interaktionen umfassen das z.B. das Ausfüllen eines Anfrage-Formulars oder die Ausführung eines Online-Kaufs.  Halten Sie Ihre Erklärung so klar und frei von Fachausdrücken wie möglich – nutzen Sie Alltagssprache anstatt Rechtskauderwelsch. Ein guter Tipp hierfür ist, dass wenn Sie wenn Sie es selber schwierig finden, eine Ihrer jetzigen Methoden zu erklären oder in Ihrer Datenschutzerklärung zu rechtfertigen, dann ist das ein gutes Zeichen, dass hier ein Umdenken erforderlich ist.

Spezifische Abschnitte mit Informationen über Dritte, mit denen Sie Daten teilen, oder auch Tracking Cookies, die von Ihrer Webseite genutzt werden, sind hilfreich, um Ihren Besuchern einfachen Zugang zu diesen wichtigen Informationen  u gewähren. Außerdem sollten Sie Ihren Nutzern einen Kontakt für Datenschutzanfragen nennen, sowie eine Erklärung, wie Einzelpersonen die Aktualisierung oder Löschung ihrer Daten anfordern können. DSGVO schreibt vorm dass Sie innerhalb eines Monats auf solche Anfragen reagieren und innerhalb von drei Monaten die entsprechenden Maßnahmen vornehmen müssen. Auch hier ist es nützlich, Angaben zu machen, wie schnell eine Antwort Ihrerseits zu erwarten ist, und wie Sie diese Anfragen bearbeiten werden.

Erstellen Sie Ihre Dokumentation

Sie müssen auch eine andere Art an Dokumentation zur Verfügung stellen, um Ihre Datenverarbeitungsverfahren intern darzulegen. Diese enthält die nötigen Informationen, sollten Sie jemals aufgefordert werden Ihre Konformität darzulegen, oder sich gegen eine offizielle Datenschutzbeschwerde verteidigen zu müssen.   Es gibt hier drei verschiedene Dokumente, die Sie erstellen können:

  • Ein klares Datenverarbeitungsverzeichnis, darüber wie Daten in Ihrem Unternehmen verarbeitet werden müssen
  • Ein Protokoll aller Verarbeitungsaktivitäten
  • Eine festgelegte gesetzliche Grundlage für die Erhebung der entsprechenden Arten von personenbezogenen Daten

Diese Dokumente werden Ihnen dabei helfen, die Daten Ihrer Nutzer besser zu schützen, indem Sie Ihren Mitarbeitern Klarheit vermitteln, wie Daten verantwortungsvoll verarbeitet, und sie geben Ihnen die Werkzeuge um Daten ab dem Erhebungszeitpunkt, durch Ihre internen System und bis zur Weitergabe an Dritte zu tracken.  Auch wenn dies anfänglich eine zeitintensive Aufgabe sein kann, wird sich das Investment spätestens dann lohnen, wenn Sie mit zukünftigen Anfragen von Einzelpersonen oder jeglicher Aktivität bezüglich einer Datenschutzverletzung zu tun haben.

Ein wichtiger Aspekt Ihrer Verfahren sollte eine umfassende Erklärung sein, wie Sie die Konzepte von Datenschutz durch Technikgestaltung und Datenschutz durch Standardeinstellungen umsetzen werden. Anders gesagt, welche technischen und organisatorischen Maßnahmen werden Sie einsetzen damit standardgemäß nur wirklich notwendige personenbezogenen Daten erhoben werden, und entsprechende Schutzmechanismen bestehen, die während der Verarbeitung dieser Daten für Sicherheit sorgen. Natürlich sind hierbei grundlegende Aussagen hilfreich, allerdings sollten Sie auch bereits spezifische technische Lösungen wie z.B. Verschlüsselung und Pseudonymisierung als wichtige Bestandteile Ihrer Designleistungen darlegen. Es ist an dieser Stelle wichtig zu sagen, das die DSGVO anerkennt, dass nicht alle Unternehmen genügend finanzielle Mittel haben, um die Umsetzung von Datenschutzmaßnahmen vorzunehmen. Sie erwartet allerdings eine angemessene Ausgewogenheit zwischen Kosten und möglichen Risiken.

Bestätigen Sie Rechtsgrundlagen zur Erhebung von Daten

Die Bedeutung dieses Aspekts kann nicht genug betont werden. Wenn Sie keine Rechtsgrundlage für die Erhebung von personenbezogenen Daten haben, dann ist es egal wie vorsichtige Sie bei der Verarbeitung dieser sind, oder wie schnell Sie auf Aufforderungen zur Datenlöschung reagieren – Sie sind nicht DSGVO-konform. Da wir allerdings keinerlei Rechtsberatung zum Thema Datenschutz betreiben dürfen regen wir Sie hiermit dazu an, Ihre eigenen Recherchen über dieses Thema zu betreiben, oder sich idealerweise an einen entsprechend ausgebildeten Anwalt zu wenden.

Allgemein gesagt, gibt es verschiedene Rechtsgrundlagen aufgrund welche Sie personenbezogene Daten verarbeiten können – diese umfassen Einwilligung, vertragliche Notwendigkeit, Konformität mit gesetzlichen Pflichten, sowie berechtigtes Interesse.

Wenn Sie Einwilligung (d.h. die Person hat in die Verarbeitung der Daten eingewilligt) als Grundlage anführen, dann müssen Sie unter der DSGVO sicher sein, dass Sie diese auch wirklich haben.  Schon aufgrund vorhergehender Datenschutzrichtlinien war hierfür eine klare, positive Aktion nötig, damit eine Einwilligung vorliegt (also konnte eine Unterlassung, wie z.B. den standardmäßig gesetzten Haken entfernen) galt schon nicht als Einwilligung und die DSGVO hat dies nochmal klargestellt.

Und jetzt?

Die DSGVO wird von vielen als lang überfällig angesehen, zum Ausgleich der Interessen jener, die mehr Kontrolle über ihre eigenen personenbezogenen Daten verlangen, gegenüber solcher Unternehmen, die bisher die Erhebung jeglicher Daten von Nutzern als legitime Ressourcen gesehen haben, mit geringer Verantwortung für deren Schutz. Natürlich bringt auch jegliche neue Gesetzgebung die Angst vor unnötiger Last oder Hindernissen mit sich, welche die Art und Weise, wie wir Geschäfte betreiben grundsätzlich ändern wird.

Für die meisten Unternehmen, deren Hauptaktivitäten nicht in der Verarbeitung von sensiblen personenbezogenen Daten bestehen, sollte es relativ einfach möglich sein, DSGVO-konform zu handeln. Natürlich muss man erstmal zusätzlichen Aufwand betreiben, um Verfahren und Dokumentation auf Vordermann zu bringen, aber die hauptsächliche Veränderung wird darin bestehen, wie wir den Schutz von Daten ansehen, und dass sollte letztendlich jedem zu Gute kommen.

Sie brauchen Hilfe?

Wir sind der Meinung die DSGVO ist etwas positive, aber wir wissen auch dass der Gedanke vor dem Stichtag am 25. Mai 2018 vielen Unternehmern Stress verursacht. Wenn es Ihnen auch so geht, rufen Sie die Code Clinic KreativAgentur heute noch an: +49 (0)9181-8833-897

Alke Healey on EmailAlke Healey on FacebookAlke Healey on Linkedin
Alke Healey
[Account Manager]
Alke ist bringt langjährige Erfahrung im Projektmanagement und Kundenverkehr und kümmert sich um die Umsetzung unserer Arbeitsabläufe, damit unsere Kunden stets gut informiert und Projekte zeit- und budgetgerecht geliefert werden. Als ausgebildete Trainerin ist sie auch für unsere Workshops und Schulungen zuständigm, so dass unsere Kunden ihre Webseite, Software und Marketingkampagnen bestmöglich nutzen können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.