Wissen haben ist unsere professionelle Pflicht. Wissen vermitteln unsere Leidenschaft. Hier findest du Nahrung für den Geist, schmackhaft serviert und inhaltsreich. Wohl bekomm‘s!
Kein Datenschutz = Abmahnung! Checkliste zur DSGVO

Sie kommt… sie ist nicht mehr aufzuhalten! Mark Zuckerberg fürchtet sich davor! Gemeint ist die EU-Datenschutz-Grundverordnung (kurz: DSGVO), die am 25. Mai 2018 in Kraft tritt. Nun könnte man meinen „schon wieder ne Reform?“ oder „mir doch egal!“. Aber wer hier am Datenschutz spart, spart am Schutz seiner Kunden und riskiert letztendlich empfindliche Strafen.

Worum geht es?

Hintergrund der neuen Datenschutz-Regeln ist der strengere und transparentere Umgang mit Verbraucherdaten. Nun stehen diese Themen ja hierzulande stets auf der Tagesordnung. Trotz stetiger Pressemeldungen rund um Facebook und Co. ist dies aber kein reines Online-Thema. Es wird durch die galoppierende Digitalisierung aber immer mehr in Richtung online verschoben, da wir immer mehr Daten bei Dienstleistern, online bzw. auf Clouds abgelegen.

Unser Fabrikant Daniel ist zukünftig Ansprechpartner was das Thema Datenschutz im Allgemeinen betrifft. An dieser Stelle soll es aber nur um den Digitalen, sprich Online-Aspekt zu euren bestehenden Webpräsenzen gehen.[/vc_column_text][vc_row_inner][vc_column_inner][vc_column_text]

Checkliste DSGVO 2018

Okay, keine Panik. Folgend haben wir für euch eine Erste-Hilfe-Liste erstellt, was ihr künftig unbedingt online beachten solltet. Dies ist keine vollständige Liste, sondern quasi das Best-of der datenschutzrechtlichen Erfordernisse eurer Website, mit denen ihr eure Kunden/Besucher als auch euch selbst gegen „böse Überraschungen“ schützt:

  • Datenschutzerklärung

Klärt eure Seitenbesucher auf einer über die Startseite deutlich gekennzeichnete Seite namens „Datenschutz/erklärung“ über eure Maßnahmen diesbezüglich auf. Da reicht es aber nicht, eure persönlichen frommen Wünsche zum Thema Datenschutz/sparsamkeit aufzuzeigen.

Ihr müsst auf all eure Drittanbieter hinweisen, denen ihr letztendlich über eure Seite Zugang zu Daten eurer Besucher gewährt. Da reicht schon der Facebook-Like-Button, das Facebook-Pixel, der Google-Hinweis oder allgemein die Integration von Google Analytics, Fonts, YouTube oder Google Maps. Alle diese Drittanbieter beziehen umfangreiche Daten von euren Seitenbesuchern – das müsst ihr bezeugen, eure Besucher müssen das wissen!

Wichtig ist neben der Datenschutzerklärung aber auch das Impressum, zur Angabe aller verantwortlichen Quellen, als auch der Haftungsausschluss.

  • Auftragsdatenverarbeitung

Ihr gebt Kundendaten in fremde Hände? Sei es durch Newsletter-Anbieter (z.B. Mailchimp), Analysen (Google Analytics) oder rein durch euren Hoster? Dann solltet ihr hier künftig unbedingt einen Vertrag zur Auftragsdatenverarbeitung abschließen. Sprich: Eine Vereinbarung mit euren Anbietern darüber, wie z.B. die Verkehrsdaten oder persönlichen Daten eurer Kunden in eurem Auftrag hin verwendet bzw. behandelt werden.

Unabhängig davon, ob es hierbei um direkt erhobene Daten über eure Webseite geht, oder im Nachhinein erfasste Daten über euer CRM, eure Auftragsdatenverwaltung oder z.B. eure externe Finanzbuchhaltung oder Warenwirtschaft geht.

Wir nutzen z.B. Moco als Agentursoftware, Trello zur Projektplanung, Papershift zur Zeiterfassung. Und wir wissen ganz genau welche Daten dabei erfasst werden und haben für euch Kontrolle darüber!

  • Verschlüsselte Kommunikation

Ihr bietet Kommunikationsmöglichkeiten (z.B. Kontaktformulare) an? Vielleicht sogar Bestellmöglichkeiten über einen Shop? Spätestens dann solltet ihr euren Kunden eine verschlüsselte Übertragung der Daten anbieten. Im Klartext: Eine verschlüsselte SSL/TLS-Verbindung inkl. Zertifikat (grünes Schloss in der URL-Leiste, siehe unser Blogbeitrag), das die Übertragung von sensiblen Daten von eurem Webserver hin bis zum Browser eurer Kunden und zurück gewährleistet. Und das nicht nur auf der Website selbst, sondern auch was die Kommunikation per E-Mail betrifft.

Hierbei soll sichergestellt werden, dass Dritten der Zugriff auf sensible Kommunikationsdaten unterbunden bzw. maximal erschwert wird.

Darüber hinaus muss bei den Kontaktformularen selbst darauf geachtet werden, dass nur die für die Art der Anfrage bzw. für dessen Beantwortung wirklich benötigten Daten abgefragt werden. Das Stichwort heißt hier Datensparsamkeit und sollte diesbezüglich auch die Pflichtfelder auf ein Minimum reduzieren. Erst wenn dann nach Eingabe der Daten eine Checkbox zur Zustimmung der verlinkten Datenschutzerklärung (mit entsprechendem Kontaktformular-Passus) gecheckt wurde, darf wiederum das Absenden der Formulardaten möglich sein.

  • Cookie-Hinweis

Ihr erhebt auf eurer Website Daten, die für den einfachen Betrieb der Website selbst oder weitergehende Informationen notwendig sind? Unterrichtet eure Seitenbesucher darüber über einen Cookie-Hinweis. Eure Besucher werden dadurch darüber informiert und können die Seite verlassen oder Maßnahmen dagegen ergreifen (z.B. Cookies per Browsereinstellung deaktivieren) oder diese akzeptieren.

Zum Verständnis: Der Keks (Cookie) ist dabei ein technisches Hilfsmittel, dass die besuchte Website auf dem Computer/Smartphone des Besuchers hinterlegt, um Informationen zum letzten Besuch zwischenzuspeichern. Das ist an sich nicht schlimm und enthält meist (wie auf der pfeiffer-medienfabrik.de) keine geheimen Informationen – aber eben doch trotz Anonymisierung relevante Informationen, über die der Seitenbesucher beim Besuch laut DSGVO unbedingt in Kenntnis gesetzt werden sollte!

  • Tracking

Ähnlich liegt der Fall bei der Verwendung von Analyse-Codes wie z.B. von Google Analytics oder dem Facebook-Pixel. Gebt euren Besuchern die Möglichkeit (nicht nur den Hinweis darauf) während des Besuchs eurer Website das Tracking bzw. die dadurch folgende Nutzerprofilierung zu deaktivieren. Das heißt, dass dadurch (und jetzt wird es spannend) zur Abwechslung mal ein dem Datenschutz wohlgesinntes Cookie auf dem Browserspeicher eures Kunden landet, das dafür sorgt, das eben kein Tracking stattfindet.

Aber Achtung: Hier herrscht noch ein Informationsvakuum, ob ein reiner Hinweis auf Verwendung von Tracking-Dienste genügt. Unabhängig des DSGVO-Termins am 25.5.2018 könnten hier in Zukunft weitere Regelungen in Kraft treten. Dann könnte die Notwendigkeit bestehen, dass der Seitenbesucher erst selbst aktiv das Tracking genehmigen bzw. damit aktivieren können muss. Ein Schritt der selbst Sascha Lobo zu weit gehen dürfte. Dazu passend „Wer macht die geileren Vorschriften“, gefunden auf spiegel.de.

  • Newsletter

Erst mal Entwarnung: Hier ändert sich nicht viel. Weiterhin muss der Abonnent deutlich auf die Datenschutzinformationen hingewiesen werden und darf nicht so „nebenher“ oder „aus versehen“ einen Newsletter abonnieren können. Der Abonnement muss klar und deutlich darauf hingewiesen werden und aktiv dem zukünftigen Erhalt der Newsletter zustimmen. Am besten mit einem Double Opt-In Verfahren.

Desweiteren muss der Webseitenbetreiber die Protokollierung für jede einzelne Anmeldung vorhalten und jederzeit die Möglichkeit eines Widerspruchs bzw. einer Austragung vom Newsletter gewähren.

  • Fotografien / Videos

Was hat das mit Datenschutz zu tun könnte man sich fragen? Sehr viel! Denn sobald wir eine Fotografie von z.B. einem belebten Marktplatz veröffentlichen, so geben wir damit viele persönliche Informationen über die darauf befindlichen Personen Preis. Das wären das Geschlecht, Haarfarbe, Aufenthaltsort usw.. Möglicherweise sogar verbunden mit einem EXIF-Stempel in der Datei mit weiteren Informationen wie Uhrzeit und GPS-Koordinaten.

Wow! Aber war das nicht schon früher so? Ja in der Tat. Vor dem 25.5.2018 musste man natürlich auch schon die Erlaubnis der aufgenommenen Personen einholen, bevor man Bilder veröffentlicht (ausgenommen man ist von der Presse, da gelten andere Regeln). Aber neuerdings läuft die Veröffntlichung eben nicht nur unter den Bestimmungen des Künstlerurhebergesetzes (KUG), sondern auch unter den strengeren Gesichtspunkten der DSGVO!

Beispiel: Wenn früher Passanten auf einem Foto hinter unserem eigentlichen Motiv (z.B. ein Hochzeitspaar) nur als „Beiwerk“ galten, so gelten Sie jetzt als sensible, schützenswerte persönliche Informationen. Was nun mit Fotos/Videos geschieht, die vor dem 25.5.2018 aufgenommen wurden: Tja, das ist rechtlich noch nicht klar definiert. Leider ein Fall für zukünftige Gerichtsurteile.

  • Datenschutzbeauftragter

Euer Unternehmen ist rechtlich dazu verpflichtet (aufgrund der Betriebsgröße bzw. des Datenaufkommens/Geschäftsfelds) einen Datenschutzbeauftragten zu stellen? Benennt ihn namentlich in eurer Datenschutzerklärung.

Ab Q4 2018 könnt ihr euch dazu auch direkt an uns wenden. Bzw. an unseren Daniel. 🙂

Die ausführlichen Informationen zur Verordnung des Europäischen Parlaments findet ihr bei EUR-Lex. Weiterführende Informationen rund um das Thema bei Wikipedia. Die Lektüre dauert lang, stimmt deshalb einem Cookie zu. 😀

Was du nicht willst, das man dir tut…

Ich versuche in unserem Blog in möglichst einfachem Sprech relevante Informationen mit auf den Weg zu geben. Daher an dieser Stelle keine Garantie auf Vollständigkeit. Aber kurz und knapp folgender, wichtiger Hinweise allgemein zum Thema Datenschutz:

  • informiert Eure Kunden/Besucher darüber, welche Daten ihr sammelt
  • gewährt dem Einzelnen Einsicht darauf
  • gebt Möglichkeit zu widersprechen
  • ermöglicht das Löschen oder das Umziehen der erhobenen Daten
  • lasst eure Kunden/Besucher entscheiden, wie/ob sie getrackt werden

Und nun?

Das sind auch rein ohne die bekannten/bürokratischen Paragrafen die Grundpfeiler der Dateninformation bzw. des Datenschutzes im Allgemeinen und der ehrlichen Kommunikation zwischen euch und euren Kunden (oder potenziellen Kunden). Nicht mehr und nicht weniger wünscht ihr euch selbst wenn ihr wo „zu Gast“ seid. Und nicht weniger solltet ihr euren Gästen hinsichtlich der Datenschutzverordnung aber auch einfach hinsichtlich des gegenseitigen Respekts gewährleisten.

Solltet ihr diese Bestimmungen nicht erfüllen, so können Strafen in Höhe von 20 Millionen Euro, bzw. bis zu vier Prozent des weltweiten Umsatzes des Vorjahres anfallen. Zudem können Geschäftsführer, Datenschutzbeauftragter und Mitarbeiter haftbar gemacht werden. Stein des Anstoßes muss hierbei gar keine große „Datenpanne“ sein. Nein, es kann auch in Folge von wettbewerbsrechtlichen Verstößen erfolgen – eure Mitbewerber lassen grüßen.

Fragt mich, wenn ihr der Meinung seid, dass eure Website hier und da noch nicht den Erfordernissen der Datenschutzgrundverordnung entspricht. Mein Team und ich unterstützen euch gerne, bieten allerdings keine Rechtsberatung an. 🙂