„Freiheit und Selbstbestimmung in der digitalen Welt hängen ganz entscheidend davon ab, dass wir die Souveränität über unsere persönlichen Daten behalten.“ Heiko Maas

Bibliografische Information der Deutschen Nationalbibliothek:

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie detaillierte bibliografische Daten sind im Internet über www.dnb.de abrufbar.

© 2019 Thomas Scharler

Herstellung und Verlag:

BoD – Books on Demand GmbH, Norderstedt

ISBN: 978-3-7481-0560-2

Inhalt

1. Datenschutz, Datensicherheit & DSGVO
2. DSGVO-Checklisten
3. Auftragsdatenverarbeitungsvertrag (ADVV)
   • 3.1 Was ist ein ADVV?
   • 3.2 Wer braucht einen ADVV?
4. Datenschutzerklärung
   • 4.1 Was ist eine Datenschutzerklärung?
   • 4.2 Was sind personenbezogene Daten?
5. Verarbeitungsverzeichnis
   • 5.1 Was ist ein Verarbeitungsverzeichnis?
   • 5.2 Wer braucht ein Verarbeitungsverzeichnis?
   • 5.3 Was gehört in ein Verarbeitungsverzeichnis?
   • 5.4 Wie sieht ein Verarbeitungsverzeichnis aus?
6. Informationspflicht
7. DSGVO in Unternehmen
8. Strafen bei Verstößen
9. Neuerungen durch die DSGVO
10. Kopplungsverbot
11. Schriftliche Zustimmung (Vorlage)
12. Tracking Tools
    • 12.1 Google Analytics
    • 12.2 Google Analytics‘ Datenschutzerklärung
13. Social Plugins & Tools
    • 13.1 YouTube
    • 13.2 WordPress
14. E-Mail-Marketing
    • 14.1 Gratis Downloads zum Leads zu generieren?
    • 14.2 Ist E-Mail-Tracking erlaubt?
    • 14.3 E-Mail-Marketing mit externen Tools
15. Mitarbeiterdaten
16. Schlusswort

• Bonus

1. Datenschutz, Datensicherheit & DSGVO

Die Datenschutz-Grundverordnung (DSGVO) betrifft uns alle. Egal ob Sie Blogger, Websitebetreiber, Shopbesitzer oder ein Unternehmen sind.¹ Es ist egal ob Sie online oder offline arbeiten. Es ist wichtig, dass Sie sich mit diesem Thema auseinandersetzen.

In Foren oder Social Medias hört man immer wieder „Ich habe keine Zeit für die DSGVO“, „Ich werde gar nichts machen“, „Ich warte einfach mal ab“.

Als Unternehmer ist es grob fahrlässig einfach abzuwarten und zu schauen was passiert. Vor allem sind die meisten in der DSGVO geregelten Themen nicht neu und bereits seit Jahren in Kraft. So gab es zum Beispiel in Österreich bereits durch die DSG2000 die Pflicht zur Führung eines Verarbeitungsverzeichnisses.

Eine weitere, wichtige Information:

„Bei diesem Buch handelt es sich um keine Rechtsberatung. Sollten Sie etwaige Fragen haben wenden Sie sich bitte an unsere Agentur, einen Datenschutzbeauftragten oder fachkundigen Anwalt in Ihrer Nähe. Dieser kann Ihnen professionelle, individuelle Beratung bieten.“

Jeder der im Onlinemarketing tätig oder generell im Internet aktiv ist und dadurch Daten sammelt, oder sogar verarbeitet, egal in welcher Form, sollte von der DSGVO nicht nur gehört, sondern sich auch mit dieser beschäftigt haben. Das ist deshalb wichtig, da der gesamte Onlinemarkt mittlerweile von „Datenschutz, Datensicherheit & DSGVO“ abhängig ist.

Zunächst die Frage was der Unterschied zwischen Datenschutz und -sicherheit ist. Hier der Versuch sie möglichst einfach zu erklären:

• Datenschutz handelt darüber, die Privatsphäre eines jeden Einzelnen zu schützen. Datenschutz gewährt jedem Bürger das Recht auf Selbstbestimmung in Bezug auf seine Informationen und schützt ihn vor Missbrauch seiner Daten. Für die Verwendung von persönlichen Daten gibt es Richtlinien, die entweder in der DSGVO oder den jeweiligen Datenschutzgesetzen der einzelnen Länder geregelt sind.
• Personenbezogene Daten sind gem. Art. 4 Z 1 DSGVO „Angaben, die bei Zuordnung zu einer natürlichen Person Einblicke ermöglichen in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität.“ Also kurz gesagt alle Daten, die Rückschluss auf eine konkrete Person geben können.
• Datensicherheit behandelt Sicherheitsrisiken und den Schutz der Daten vor Manipulation, Verlust oder unerlaubten Zugriff. Hier geht es also nicht darum ob Daten gesammelt und verarbeitet werden (das ist Thema des Datenschutzes), sondern welche Maßnahmen zu ergreifen sind, um die Daten zu schützen. Die Datensicherheit muss gem. Art. 25 u. 32 DSGVO gewährleistet werden, wobei nicht nur technische, sondern auch organisatorische Maßnahmen zu ergreifen sind.

Das bedeutet demnach, dass Sie für den Datenschutz personenbezogener Daten sowie deren Sicherheit verantwortlich sind. Sie müssen also sicherstellen, dass die Daten – insbesondere die personenbezogenen – von Ihren Besuchern und Kunden geschützt sind.

Besonders wichtig ist dies, wenn Sie E-Mail-Adressen sammeln, oder Trackingtools wie Google Analytics, Matomo usw. benutzen. Hier sollten Sie sicherstellen, dass die von Ihnen verwendeten Tools und Prozesse DSGVO-konform sind. Dies bedeutet, dass Sie zum Beispiel einen Vertrag mit Google Analytics schließen und eine Kopie davon an Google Ireland Ltd. schicken müssen.

Außerdem sollten Sie die Einstellungen Ihrer Website so konfigurieren, dass die IP-Adresse Ihrer Websitebesucher anonymisiert werden. In Google Analytics brauchen Sie dafür ganz einfach nur die Option „IP anonymisieren“ aktivieren. Natürlich muss die Maßnahme auch bei anderen Trackingtools getroffen werden.

Vergessen Sie auch nicht die Social-Media-Buttons Ihrer Website, diese dürfen nur dann eine Verbindung herstellen, wenn der User aktiv auf den Knopf drückt. Ein permanentes Tracking ist nicht erlaubt.

Seit 25. Mai 2018 ist die DSGVO mittlerweile voll in Kraft und jeder hat sie zu befolgen. Dabei ist es egal, ob Sie in der EU leben oder in der EU einen Service anbieten, der Daten von EU-Bürgern verwendet. Bei Nichtbefolgung der DSGVO können Strafen von bis zu 4% des weltweiten Konzernumsatzes oder bis zu 20 Millionen Euro festgesetzt werden!

Sollten Sie E-Mail-Adressen sammeln, wie zum Beispiel bei einem Newsletter, dann müssen Sie selbstverständlich das Double-Opt-In-Verfahren verwenden. Das bedeutet, wenn sich jemand in Ihren Newsletter einträgt müssen diese zunächst ihre E-Mail-Adresse bestätigen und das aktiv, also zB indem sie diese eigenständig eintippen. Der User loggt sich damit mit seinen Daten in Ihren Newsletter ein und bekommt anschließend eine Bestätigungsmail mit einem Bestätigungslink darin, den er anklicken muss.

Nur wenn User diesen Link bestätigten ist dieser ein bestätigter User und Sie können ihm Ihren Newsletter senden. Ansonsten ist ein Newsletterversand nicht gestattet und Sie können dafür belangt werden. Dies gilt nicht erst seit der Einführung der DSGVO, sondern bereits davor durch die länderspezifischen Datenschutzgesetze, wie in Österreich das DSG2000.