EU DSGVO kompakt

DSGVO Checkliste und Einführung für Webseiten und Blogger. Datenschutzgrundverordnung für Einsteiger. Kompakt erklärt mit Tipps. Inkl. ADV und Checklisten für DSGVO im Marketing

© / Copyright: 2019

Eugen Grinschuk

2. Auflage

Das Werk, einschließlich seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung ist ohne Zustimmung des Verlages und des Autors unzulässig. Dies gilt insbesondere für die elektronische oder sonstige Vervielfältigung, Übersetzung, Verbreitung und öffentliche Zugänglichmachung.

1) Datenschutz, Datensicherheit & DSGVO

Die Datenschutzgrundverordnung (DSGVO) geht uns alle an. Egal ob man ein Blogger, ein Webseitenbetreiber, Shop Betreiber oder ein Unternehmen ist. Dabei spielt es keine Rolle, ob man online oder offline tätig ist.

Wichtig ist es, dass man sich mit diesem Thema auseinandersetzt. In Foren und in den sozialen Medien ist immer wieder zu hören „Ich habe keine Zeit für die DSGVO“, „ich mache nichts“, „ich warte ab“. Das ist als Unternehmer grob fahrlässig, abzuwarten, wo vieles nicht neu ist und schon lange Gültigkeit hat.

Noch ein wichtiger Hinweis:

„Ich weise daraufhin, dass es sich hier um keine Rechtsberatung handelt. Bei Fragen bitte an einen entsprechenden Anwalt in diesem Bereich wenden. Dieser kann eine fachmännische Beratung anbieten. Ebenfalls sollte zur individuellen Beratung ein entsprechender Berater / Fachanwalt zur Rate gezogen werden.“

Jeder, der im Online Marketing tätig ist oder allgemein im Internet und somit auch Daten in irgendeiner Form sammelt oder gar verarbeitet, sollte dies nicht nur gehört haben, sondern sich damit beschäftigen. Denn das ganze Geschäft steht und fällt mit einem ganz gewissen Thema, und zwar „Datenschutz, Datensicherheit und DSGVO“. Zunächst aber, was ist der Unterschied zwischen Datenschutz und Datensicherheit? Hier einige Definitionen:

Bei dem Datenschutz geht es um den Schutz der Privatsphäre eines jeden Menschen. Datenschutz garantiert jedem Bürger ein Recht auf informationelle Selbstbestimmung und schützt ihn vor missbräuchlicher Verwendung seiner Daten. Für die Verarbeitung personenbezogener Daten gibt es Regeln, die hauptsächlich im BDSG bzw. den Datenschutzgesetzen der Länder niedergelegt sind. Hier wird also danach gefragt, ob personenbezogene Daten überhaupt verarbeitet werden dürfen. Quelle siehe Fußnote1

Personenbezogene Daten sind gemäß § 3 Abs. 1 BDSG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Quelle siehe Fußnote 2

Datensicherheit soll Sicherheitsrisiken begegnen und die Daten vor z.B. Manipulation, Verlust oder unberechtigter Kenntnisnahme schützen. Hier geht es also nicht um die Frage, ob Daten überhaupt erhoben und verarbeitet werden dürfen (das ist eine Frage des Datenschutzes), sondern um die Frage, welche Maßnahmen zum Schutz der Daten erhoben werden müssen. Die Datensicherheit ist im Kontext des Datenschutzes gemäß § 9 BDSG (inkl. Anlage) durch Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu gewährleisten. Quelle siehe Fußnote 3

Das bedeutet also, dass du für den Datenschutz und die Datensicherheit der Daten verantwortlich bist. Du hast dafür Sorge zu tragen, dass die Daten – besonders die personenbezogenen Daten – deiner Besucher und Kunden geschützt sind.

Besonders auch dann, wenn du E-Mail-Adressen einsammelst und Tracking Tools wie Google Analytics, Matomo oder andere verwendest. Hier solltest du darauf achten, dass du diese datenschutzkonform verwendest. Das bedeutet, du musst einen Vertrag mit Google bzgl. Analytics unterzeichnen und diesen in zweifacher Ausführung zu Google Ireland Ltd. senden.

Außerdem musst du deine Einstellungen so wählen, dass die IP-Adressen der jeweiligen Besucher anonymisiert werden, sprich, in Google Analytics bei der Option „anonymizeIP“ ein Häkchen setzen. Gilt natürlich auch für jedes andere Tracking Tool, das du einsetzt.

Auch bei den Social Media Buttons musst du aufpassen, da diese nur dann eingesetzt werden dürfen, wenn eine Verbindung erst dann hergestellt wird, sobald der Benutzer auf diesen Button klickt. Ein dauerhaftes Tracking ist somit nicht erlaubt.

Ab dem 25. Mai 2018 gilt die DSGVO komplett, sprich, die Übergangsphase von 2 Jahren ist vorbei und nun muss sich jeder daranhalten.

Egal ob du in der EU lebst oder nur einen Dienst in der EU anbietest, der die Daten von EU-Bürgern nutzt und verarbeitet. Wer sich nicht daran hält, der muss mit Geldstrafen von bis zu 4% des weltweiten Umsatzes des Unternehmens oder bis zu 20 Millionen Euro rechnen.

Beim Einsammeln von E-Mail-Adressen musst du natürlich dafür sorgen, dass du die Double-Opt-In Variante einsetzt. Das bedeutet, wenn sich jemand in deinen Newsletter einträgt, dass er seine E-Mail-Adresse zunächst bestätigen muss, und zwar aktiv. Der User meldet sich also mit seinen Daten in deinem Newsletter an, bekommt eine Bestätigungsmail mit einem Bestätigungslink darin an die hinterlegte E-Mail zugesandt.

Erst, wenn der User diesen Link bestätigt, also anklickt, gilt er als ein bestätigter User und du darfst ihm deinen Newsletter zusenden. Andernfalls ist es nicht erlaubt und du kannst dafür belangt werden. Dies gilt nicht nur seit der DSGVO, sondern auch schon seit dem BDSG.

Des Weiteren ist es mit der DSGVO nun wichtig, dass du dem User, welcher auf deine Seite gelangt, zeigst, welche Daten du sammelst, wie du dies tust und wofür du diese verwendest. Diese Hinweise gehören in die Unterseite „Datenschutz“.

Hier sollen sich die User mehr Informationen verschaffen können. Dies ist eine wichtige Seite, neben dem Impressum. Im Impressum gehört übrigens dein Name und deine Anschrift, E-Mail und eine Telefonnummer, unter der du erreichbar bist.

Des Weiteren – sofern du eine Umsatzsteuer ausweist – gehört da deine UST-ID hinein. Aber nun weiter bzgl. der Datenschutzseite. Wenn du Social Media wie Facebook, Twitter etc. verwendest, musst du dies hier ebenfalls aufführen. Dasselbe gilt, wenn du am Partnerprogramm von Amazon teilnimmst.

Einen guten und kostenlosen Generator für Impressum und Datenschutz bietet e-recht24.4 Wobei der Premium Account zu empfehlen ist5, aufgrund weiterer Tools und einer erweiterter Datenschutzerklärung. Und für den Zusatz bei der Teilnahme am Amazon Partnerprogramm gibt es ebenfalls eine Vorlage, wie von Flegl Rechtsanwälte bereitgestellt.6

Du musst – wenn du Daten einsammelst und das wirst du schon alleine dann tun, wenn jemand deine Webseite besucht (IP-Adresse) – außerdem ein Verarbeitungsverzeichnis erstellen. Dies ist eine Dokumentation oder auch eine Tabelle, in der du aufführst, welche Daten du sammelst, wie diese verwendet werden, wer diese verwenden darf und ob sie die EU verlassen.

Außerdem musst du angeben, wie lange diese gespeichert und wann sie gelöscht werden, also die Löschfristen. Informationen über die technischen und organisatorischen Maßnahmen (TOM) musst du ebenfalls preisgeben.

Hier ist zum Beispiel notwendig zu wissen, ob du die Dateien in irgendeiner Art und Weise verschlüsselst oder ob du den Interessenten, Kunden oder Partner schriftlich oder telefonisch auf die Erhebung und Verwendung der Daten hinweist.

Beim Besuch deiner Webseite durch den User sollte dieser einen Hinweis bzgl. der Nutzung von Cookies angezeigt bekommen und die Möglichkeit haben, zuzustimmen, abzulehnen und weitere Details nachzulesen. Für weitere Details kann in der Regel auf deine Datenschutz-Unterseite verlinkt werden.

Als Beispiel für ein Verarbeitungsverzeichnis kann bei der BITKOM eingesehen werden.7

Es muss ein Verantwortlicher benannt werden, der im Falle von Anfragen seitens der Behörden zur Verfügung steht. In der Regel ist es der Geschäftsführer, der Inhaber bzw. Betreiber der Webseiten oder des Dienstes. Bei privaten Unternehmen, die größer als 250 Mitarbeiter sind, ist ein Datenschutzbeauftragter notwendig. Außer es werden besonders risikoreiche Daten verarbeitet.

8

Dies war nur ein kleiner Ausritt in das Thema des Datenschutzes, Datensicherheit und der DSGVO. Dies sind komplexe Themen und bedürfen einer fachmännischen und individuellen Beratung durch einen Experten, der bei der Analyse und Implementierung helfen kann. Ich wollte an dieser Stelle lediglich auf die wichtigsten Dinge hinweisen, damit man davon gehört hat und nicht vor vollendeten Tatsachen steht.

Nachdem du diesen Abschnitt gelesen hast, wirst du möglicherweise etwas verwirrt sein. Denn es sind in der Tat einige Dinge, die man umsetzen und beachten muss. Allerdings sei gesagt, wenn du startest, musst du so oder so einige Dinge beachten, sodass du es gleich von Anfang an richtig machen kannst.

Damit brauchst du die alten Sachen nicht ändern, nachdokumentieren oder ändern. Für die meisten Sachen gibt es bereits Hilfen und Tools, teilweise sogar kostenlos, sodass du diese Hürde relativ einfach nehmen kannst. Lass dich daher nicht verunsichern und mache mit deiner Idee und deinem Projekt weiter.

In den nächsten Kapiteln möchte ich das Ganze etwas in kleinere Stücke aufteilen, damit es einfacher und hilfreicher wird.