Wenn es derzeit ein Kürzel gibt, das die Gemüter erhitzt und die Unternehmen nervös zusammen zucken lässt, dann ist es die neue DSGVO (Datenschutz-Grundverordnung).
Erforderlich wurde die Reform des Datenschutzes, weil immer mehr undurchsichtige Prozesse und Vorgänge mit unseren Daten gespeist werden. Mittlerweile dürfte auch der letzte Nutzer verstanden haben, dass Facebook, Google & Co. nicht wirklich kostenlos sind. Wir zahlen nur in einer anderen Währung als gewohnt. Mit unseren Daten. Darüber müssen die Menschen nun aufgeklärt werden und die Handhabung und Verarbeitung ihrer Daten müssen in einem geschützten Umfeld, mit mehr Transparenz, stattfinden.
Das ist der Kern der DSGVO. Im heutigen Artikel gehen wie auf die wichtigsten Punkte für Sie und Ihre Internet-Aktivitäten ein. Zunächst aber möchte ich Sie beruhigen. Es besteht kein Grund in Panik zu verfallen oder gar das Ende des Internet-Marketing einzuläuten. Auch wenn natürlich eine ansehnliche Zahl an Änderungen umgesetzt werden muss und eine gewisse Dringlichkeit entsteht, da am 25.05.2018 alles in Kraft tritt.
Sie sollten die neuen Anforderungen also ernst nehmen und ihnen die nötige Aufmerksamkeit schenken, da es sonst empfindlich teuer werden kann – die Rede ist im schlimmsten Fall von 4 % des Netto-Jahresumsatzes des Vorjahres. Trotzdem gilt es Ruhe zu bewahren und bis 25.05.2018 alle nötigen Änderungen bei Ihren Internet-Auftritten vorzunehmen, oder vornehmen zu lassen. Bei Bedarf sind wir gerne dabei behilflich und danach können wir uns wieder auf unsere eigentlichen Arbeitsabläufe konzentrieren. Mehr dazu auch am Ende dieses Beitrags.
Was beinhaltet die DSGVO und was müssen Sie beachten?
Wie immer, wenn die Bürokratie mal in Wallung kommt, besteht auch die DSGVO aus zahlreichen Bestimmungen und Unterpunkten. Bei einigen Punkten wird es mit Sicherheit noch Klärungsbedarf geben, wie diese im konkreten Fall umgesetzt werden müssen.
Das heißt, bis sich alles eingespielt hat, wird es immer noch kleinere Unwägbarkeiten geben, wie alles umzusetzen ist. Allerdings möchte ich Sie beruhigen. Wenn Sie sich an die wichtigsten Punkte halten und diese bei sich umsetzen, sind Sie zu einem hohen Prozentsatz auf der sicheren Seite. Es gibt für die Abmahnanwälte dann sicher “leichtere Opfer”, um es etwas salopp zu formulieren.
WICHTIG:
Die DSGVO bezieht sich nicht nur, wie vielfach angenommen, auf online erfasste und gespeicherte Daten, sondern auf alle Vorgänge mit personenbezogenen Daten, also auch der Speicherung Ihrer Kundendaten im Offline-Bereich.
Ebenfalls wichtig – wir sind keine Rechtsanwälte und können deshalb keine Garantie oder Haftung für Vollständigkeit und Richtigkeit der Angaben übernehmen. Wir haben sie nach bestem Wissen und Gewissen für Sie zusammengetragen, analysiert und Empfehlungen daraus abgeleitet.
Was müssen Sie ab 25. Mai beachten bzw. umstellen?
- Sie dürfen personenbezogene Daten nicht mehr ungeschützt übertragen. Das heißt, Sie müssen die Daten, die Sie von Ihrer Seite übertragen mit einem sogenannten SSL-Zertifikat schützen (Secure Socket Layer) – Verschlüsselung (https). Dieses verschlüsselt die Daten und verhindert, oder erschwert zumindest, den Zugriff durch Dritte. Personenbezogene Daten werden zum Beispiel über Ihr Kontaktformular übertragen. Aber auch eine IP-Adresse Ihrer Website-Besucher zählt dazu, wenn sie dort z.B. über ein Cookie erfasst wird.
- Die Besucher Ihrer Website müssen über eine Datenschutzerklärung darüber aufgeklärt werden, was mit deren Daten passiert und was auf Ihrer Seite verarbeitet und aufgezeichnet wird. Hier muss zum Beispiel aufgeführt werden, wenn Daten über Google-Analytics oder andere Tracking-Software aufgezeichnet werden oder über soziale Medien wie Facebook usw. erfasst werden oder auch nur Google-Fonts o. ä. Angebote genutzt werden, welche z.B. die IP-Adresse des Nutzers abrufen.
- Die Nutzer Ihrer Seite müssen darüber aufgeklärt werden (Datenschutzerklärung), dass sie ihre Daten auf Verlangen wieder löschen lassen können, und ebenfalls auf Verlangen Einsicht in die gespeicherten Daten erhalten können oder die Einwilligung in die Nutzung der Daten widerrufen können.
- Es gilt das sogenannte “Verbot mit Erlaubnisvorbehalt”. Das heißt Sie dürfen keine Daten speichern, es sei denn Sie erhalten die Erlaubnis dazu. Bei Formularen auf der Website muss deshalb eine datenschutzrechtliche Einwilligungserklärung vorhanden sein, damit die Daten gespeichert werden können. Zum Beispiel kann dies durch eine Checkbox im Formular umgesetzt werden. Wer hier sein Häkchen setzt, erklärt sich mit der Datenverarbeitung einverstanden. Im Text daneben muss über diesen Vorgang aufgeklärt werden und zur Datenschutzerklärung verlinkt werden, so dass sich der Nutzer darüber informieren kann, was mit seinen Daten passiert. Die Checkbox darf nicht vorausgefüllt sein, sondern das Häkchen muss aktiv vom Nutzer gesetzt werden.
- Es gibt aber eine Erlaubnis zur Verarbeitung von Daten auf Grundlage berechtigter (auch wirtschaftlicher) Interessen, zum Beispiel wenn ein Onlineshop auf eine Anfrage reagiert, oder die Lieferadresse des Kunden an einen Lieferanten weiterleitet, der die Ware direkt liefert. Und natürlich dürfen auch weiterhin personenbezogene Daten verarbeitet werden, wenn dies der Erfüllung eines Vertrags oder der Klärung vorvertraglicher Punkte dient (Bestellungen, Angebote usw.).
- Grundsätzlich werden durch die DSGVO die Rechte der Nutzer Ihrer Website und natürlich auch Ihrer Kunden und Interessenten gestärkt. Zum Beispiel das Recht auf Transparenz, was mit seinen Daten passiert (Datenschutzerklärung), das Recht auf Auskunft wie lange und wo seine Daten gespeichert werden, sowie das Recht auf “Vergessen werden”, also Löschung auf Verlangen – vorausgesetzt ein höheres Recht widerspricht dem nicht – z.B. wenn schon eine Rechnung für den Kunden erstellt wurde, gilt natürlich die Aufbewahrungs- und Dokumentationspflicht und somit entfällt das Recht auf Löschung in diesem Fall. Die Daten dürfen dann aber nur noch für diesen Zweck genutzt werden.
- Eine einmal gegebene Einwilligung zur Datenverarbeitung kann jederzeit widerrufen werden – darüber muss der Nutzer informiert werden, z.B. in der Datenschutzerklärung. Es wird empfohlen den entsprechenden Hinweis, mit Link zur Datenschutzerklärung, direkt beim Formular anzubringen.
- Daten dürfen nur zweckgebunden verarbeitet werden und der Nutzer muss über die Verwendung seiner Daten informiert werden (Datenschutzerklärung) und es dürfen nicht mehr Daten gesammelt werden, als benötigt werden. Das bedeutet, die Daten dürfen nur zu dem Zweck verwendet werden, zu dem der Nutzer seine Einwilligung gegeben hat. Wenn er also zum Beispiel für die Nutzung bei einem Gewinnspiel seine Einwilligung gegeben hat, darf man nicht mehr automatisch die Mailadresse für den Empfang des Newsletters und weitere Nachrichten nutzen.
- Werden Daten weitergegeben, muss die Datensicherheit gewährleistet werden. Das betrifft Drittanbieter, zum Beispiel den Hosting-Anbieter Ihrer Website, oder den Betreiber des Autoresponders, den Sie für Ihre Newsletter nutzen, oder auch Ihre Internet-Agentur, wenn diese Daten Ihrer Kunden verarbeitet (z.B. Betreuung der AdWords-Kampagne oder des Newsletters etc.). Dafür gibt es einen “Vertrag zur Auftragsverarbeitung”, den man mit diesen Firmen schließen muss. Dabei sind auch Cloud-Lösungen (Google-Drive, Dropbox, Amazon S3 etc.) zu berücksichtigen, wenn zum Beispiel das Backup Ihrer Daten dort gesichert wird.
- Social-Plugins: Die Verwendung von sogenannten Social-Plugins, also den Icons, mit denen man Inhalte schnell in seinen Social-Media-Kanälen teilen kann, entsprechen der Übertragung personenbezogener Daten. Somit ist eine “informierte Einwilligung” notwendig, das heißt der Nutzer muss dieser Übertragung aktiv zustimmen.
- Besonderheiten WordPress-Seiten und WordPress-Plugins: WordPress speichert bei Kommentaren standardmäßig die IP-Adresse der Nutzer mit – dies muss deaktiviert werden. Außerdem erlaubt WordPress die Nutzung von Google-Fonts – dabei werden Daten des Nutzers an Google übertragen. Generell muss bei WordPress-Plugins darauf geachtet werden, wo Daten übertragen werden, und falls welche übertragen werden, wie man das umgehen kann.
- Datentransparenz ist gefordert – deshalb ist in Zukunft ein sogenanntes Daten-Verarbeitungsverzeichnis zu erstellen, auch “Verzeichnis der Verarbeitungstätigkeiten” genannt. Die Form ist nicht genau festgelegt – es empfiehlt sich eine Art Tabellenformat mit folgenden Grundangaben:
– Name des Unternehmens
– Adresse des Unternehmens
– Geschäftsführer
– Registergericht / Registernummer
– Kontaktdaten (Telefon, E-Mail)
– Zuständige Person für den Datenschutz, bzw.
– Datenschutzbeauftragter (sofern erforderlich)
– Kontaktdaten (Telefon, E-Mail) - Ein Datenschutzbeauftragter muss benannt werden, sobald:
– mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten betraut sind. Dazu zählt jede Form von Bearbeitung, z.B. Buchhaltung, Versand, Kommissionierer, Verkäufer usw. von Angestellten oder freien Mitarbeitern.
– wenn Daten in “besonderen Kategorien” gemäß Artikel 9 der DSGVO verarbeitet werden – darunter fallen z.B. Gesundheitsdaten, genetische / biometrische Daten, sexuelle Orientierung, religiöse, politische Angaben, Gewerkschaftszugehörigkeit, ethnische Herkunft usw.
– wenn eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen stattfindet (z.B. bei Videoüberwachung usw.)
Der klassische Kleinbetrieb braucht also im Normalfall keinen Datenschutzbeauftragten benennen, muss aber natürlich trotzdem dessen Aufgaben erfüllen, sprich: es muss trotzdem dafür gesorgt werden, dass die Bestimmungen umgesetzt werden. - Alle, die mit einer E-Mail-Liste arbeiten, bzw. einen Autoresponder nutzen und bisher schon E-Mail-Adressen von ihren Interessenten und Kunden gespeichert haben, können diese weiterhin anschreiben, vorausgesetzt:
– diese kamen über ein Double-Opt-In-Verfahren in die Liste und
– sie kamen nicht aufgrund von Kopplungsgeschäften in die Liste (also z.B. Tausch E-Mail-Adresse gegen E-Book)
Praktische Umsetzung – wer ist von welchen Teilen der DSGVO betroffen?
- Personenbezogene Daten verarbeiten Sie, wenn Sie über ein Kontaktformular Daten abfragen, für einen Newsletter Daten erfassen und speichern, wenn Sie Google-Analytics oder andere Tracking-Tools nutzen oder sonstwie erfassen und aufzeichnen was Ihre Nutzer tun. Natürlich auch bei Bestellungen, online wie offline, und dazu Daten abspeichern.
- Wird ein Kontaktformular genutzt muss eine Klausel in der Datenschutzerklärung eingefügt werden. Das Formular muss eine Checkbox zur Einwilligung enthalten. Ohne darf das Formular nicht abgeschickt werden (Pflichtfeld). Ebenfalls muss direkt beim Formular auf die Datenschutzerklärung und das Widerrufsrecht hingewiesen und dorthin verlinkt werden.
- Sie müssen sich schon im Vorfeld der Datenerfassung überlegen, wofür Sie die gesammelten Daten verwenden wollen (z.B. Informationen über Inhalte und Angebote etc.) und Sie müssen den Nutzer darüber informieren, wofür seine Daten verwendet werden.
- Ein SSL-Zertifikat (https) wird zur Pflicht und muss deshalb bei Ihrem Hoster eingerichtet werden
- Social Plugins erfordern aktive Zustimmung des Nutzers. Hier können Sie das Problem lösen indem Sie entweder komplett auf solche Social-Plugins verzichten, oder eine 2-Klick-Lösung installieren (hier wird der Nutzer vor Absenden der Daten bestätigen, dass er das wirklich tun will), oder durch ein Shariff-Script die Nutzung der Social-Plugins absichern.
- Anpassung Ihrer WordPress-Einstellungen an die DSGVO – Sie müssen Plugins auf Datenweitergabe prüfen und ggf. ändern oder austauschen.
- Sie müssen einen “Vertrag zur Datenverarbeitung” mit folgenden Partnerfirmen abschließen:
– Google – wenn Sie Google-Analytics nutzen
– Ihrem Hosting Anbieter
– dem Betreiber Ihres Autoresponder / E-Mail-Dienstes
– Ihrer Internet-Agentur, sofern diese Daten für Sie bearbeitet (z.B. Newsletter erstellt oder ähnliche Kundenbereiche bearbeitet und Zugriff auf die Daten Ihrer Nutzer und Kunden erhält)
– alle sonstigen Drittfirmen (Cloudservice, Terminvereinbarungs-Software usw.), die Zugriff auf die von Ihnen erhobenen Daten haben. - Im Prinzip sind Sie verantwortlich dafür, dass auch dort sorgsam mit den Daten Ihrer Kunden umgegangen wird – in dem Vertrag zur Datenverarbeitung vereinbaren Sie dies mit Ihren Partnerfirmen.
- Ein Datenschutzbeauftragter muss benannt und eingesetzt werden, wenn Ihr Unternehmen mehr als 9 Personen mit der Verarbeitung personenbezogener Daten betraut ist, oder sensible Daten gespeichert werden, oder eine Dauerüberwachung stattfindet.
- Falls Sie eine bestehende E-Mail-Liste haben, muss geprüft werden, wie diese erfasst wurden. Notfalls muss eine nachträgliche Zustimmung eingeholt werden.
Nochmals zur Wiederholung: Wir sind keine Rechtsanwälte. Diese Angaben erheben deshalb keinen Anspruch auf Vollständigkeit und sind auch keine Rechtsberatung. Diese Auflistung soll Ihnen lediglich dazu dienen, den Veränderungen der Datenschutzbestimmungen sicher zu begegnen. Sie ersetzen nicht die Beratung durch einen Rechtsanwalt.
Fazit und Hilfestellung
Sie sehen anhand der Auflistung, dass die neue Datenschutzverordnung grossen Aufwand mit sich bringt, auch für kleine bis mittelständische Betriebe, die weder die technischen Mittel noch die Möglichkeit haben, Mitarbeiter speziell für den Bereich Datenschutz auszubilden.
Allerdings war es aufgrund der Entwicklung der letzten Jahre absehbar, dass schärfere Bestimmungen kommen werden. Es gilt also jetzt einfach alles auf einen angemessenen Stand zu bringen, damit das Internet weiterhin für gute und saubere Geschäfte genutzt werden kann und die Daten der Nutzer bestmöglich geschützt sind.
Mit dem nötigen Überblick und dem Wissen welche die wichtigsten Stellschrauben sind, bei denen Sie ansetzen müssen, wird die Umstellung auf den neuen Standard machbar sein. Wir unterstützen Sie sehr gerne dabei.
Derzeit gibt es noch einige Grauzonen und Unklarheiten, wie einzelne Bereiche in der Praxis umgesetzt werden müssen. Hier hilft nur abwarten bis die ersten Grundsatzurteile gesprochen sind. Wenn Sie die wichtigsten Punkte beachten, sind Sie auf einem guten Weg und relativ sicher, denn eventuelle, teure Abmahnungen werden sich zunächst auf diejenigen beschränken, die diese Punkte ganz offensichtlich ignorieren.
Zu erwähnen ist noch die Tatsache, dass in Zukunft alle Personen und Institutionen eine Verfehlung abmahnen können, auch wenn sie selbst gar nicht davon betroffen sind. Bisher brauchte ein Abmahnanwalt einen Betroffenen, also z.B. jemand der unberechtigt Mails von einem Anbieter erhalten hat. Erst dann konnte er das Vergehen kostenpflichtig abmahnen. Mit der neuen DSGVO kann er dies nun auch direkt tun. Das wird sicher nicht zu weniger Abmahnungen führen.
Damit Ihnen die Umstellung leichter fällt, arbeiten wir gerade ein Paket aus, das die wichtigsten Anforderungen der DSGVO aufnimmt. Wir setzen damit wichtige Bestimmungen für Sie um und listen Ihnen weitere Empfehlungen auf, damit Sie auf der sicheren Seite sind.
Bitte gedulden Sie sich noch einige Tage.
Bis dahin alles Gute
Ihr
Thomas Issler
Ergänzung 12.05.2018: Das Angebot ist nun online.