Kein Datenschutz = Abmahnung! Checkliste zur DSGVO

Alex on 18. April 2018

Sie kommt… sie ist nicht mehr aufzuhalten! Mark Zuckerberg fürchtet sich davor! Gemeint ist die EU-Datenschutz-Grundverordnung (kurz: DSGVO), die am 25. Mai 2018 in Kraft tritt. Nun könnte man meinen „schon wieder ne Reform?“ oder „mir doch egal!“. Aber wer hier am Datenschutz spart, spart am Schutz seiner Kunden und riskiert letztendlich empfindliche Strafen.

Worum geht es?

Hintergrund der neuen Datenschutz-Regeln ist der strengere und transparentere Umgang mit Verbraucherdaten. Nun stehen diese Themen ja hierzulande stets auf der Tagesordnung. Trotz stetiger Pressemeldungen rund um Facebook und Co. ist dies aber kein reines Online-Thema. Es wird durch die galoppierende Digitalisierung aber immer mehr in Richtung online verschoben, da wir immer mehr Daten bei Dienstleistern, online bzw. auf Clouds abgelegen.

Unser Fabrikant Daniel ist zukünftig Ansprechpartner was das Thema Datenschutz im Allgemeinen betrifft. An dieser Stelle soll es aber nur um den Digitalen, sprich Online-Aspekt zu euren bestehenden Webpräsenzen gehen.

Checkliste DSGVO 2018

Okay, keine Panik. Folgend haben wir für euch eine Erste-Hilfe-Liste erstellt, was ihr künftig unbedingt online beachten solltet. Dies ist keine vollständige Liste, sondern quasi das Best-of der datenschutzrechtlichen Erfordernisse eurer Website, mit denen ihr eure Kunden/Besucher als auch euch selbst gegen „böse Überraschungen“ schützt:

  • Datenschutzerklärung

Klärt eure Seitenbesucher auf einer über die Startseite deutlich gekennzeichnete Seite namens „Datenschutz/erklärung“ über eure Maßnahmen diesbezüglich auf. Da reicht es aber nicht, eure persönlichen frommen Wünsche zum Thema Datenschutz/sparsamkeit aufzuzeigen.

Ihr müsst auf all eure Drittanbieter hinweisen, denen ihr letztendlich über eure Seite Zugang zu Daten eurer Besucher gewährt. Da reicht schon der Facebook-Like-Button, das Facebook-Pixel, der Google-Hinweis oder allgemein die Integration von Google Analytics, Fonts, YouTube oder Google Maps. Alle diese Drittanbieter beziehen umfangreiche Daten von euren Seitenbesuchern – das müsst ihr bezeugen, eure Besucher müssen das wissen!

Wichtig ist neben der Datenschutzerklärung aber auch das Impressum, zur Angabe aller verantwortlichen Quellen, als auch der Haftungsausschluss.

  • Auftragsdatenverarbeitung

Ihr gebt Kundendaten in fremde Hände? Sei es durch Newsletter-Anbieter (z.B. Mailchimp), Analysen (Google Analytics) oder rein durch euren Hoster? Dann solltet ihr hier künftig unbedingt einen Vertrag zur Auftragsdatenverarbeitung abschließen. Sprich: Eine Vereinbarung mit euren Anbietern darüber, wie z.B. die Verkehrsdaten oder persönlichen Daten eurer Kunden in eurem Auftrag hin verwendet bzw. behandelt werden.

Unabhängig davon, ob es hierbei um direkt erhobene Daten über eure Webseite geht, oder im Nachhinein erfasste Daten über euer CRM, eure Auftragsdatenverwaltung oder z.B. eure externe Finanzbuchhaltung oder Warenwirtschaft geht.

Wir nutzen z.B. Moco als Agentursoftware, Trello zur Projektplanung, Papershift zur Zeiterfassung. Und wir wissen ganz genau welche Daten dabei erfasst werden und haben für euch Kontrolle darüber!

  • Verschlüsselte Kommunikation

Ihr bietet Kommunikationsmöglichkeiten (z.B. Kontaktformulare) an? Vielleicht sogar Bestellmöglichkeiten über einen Shop? Spätestens dann solltet ihr euren Kunden eine verschlüsselte Übertragung der Daten anbieten. Im Klartext: Eine verschlüsselte SSL/TLS-Verbindung inkl. Zertifikat (grünes Schloss in der URL-Leiste, siehe unser Blogbeitrag), das die Übertragung von sensiblen Daten von eurem Webserver hin bis zum Browser eurer Kunden und zurück gewährleistet. Und das nicht nur auf der Website selbst, sondern auch was die Kommunikation per E-Mail betrifft.

Hierbei soll sichergestellt werden, dass Dritten der Zugriff auf sensible Kommunikationsdaten unterbunden bzw. maximal erschwert wird.

Darüber hinaus muss bei den Kontaktformularen selbst darauf geachtet werden, dass nur die für die Art der Anfrage bzw. für dessen Beantwortung wirklich benötigten Daten abgefragt werden. Das Stichwort heißt hier Datensparsamkeit und sollte diesbezüglich auch die Pflichtfelder auf ein Minimum reduzieren. Erst wenn dann nach Eingabe der Daten eine Checkbox zur Zustimmung der verlinkten Datenschutzerklärung (mit entsprechendem Kontaktformular-Passus) gecheckt wurde, darf wiederum das Absenden der Formulardaten möglich sein.

  • Cookie-Hinweis

Ihr erhebt auf eurer Website Daten, die für den einfachen Betrieb der Website selbst oder weitergehende Informationen notwendig sind? Unterrichtet eure Seitenbesucher darüber über einen Cookie-Hinweis. Eure Besucher werden dadurch darüber informiert und können die Seite verlassen oder Maßnahmen dagegen ergreifen (z.B. Cookies per Browsereinstellung deaktivieren) oder diese akzeptieren.

Zum Verständnis: Der Keks (Cookie) ist dabei ein technisches Hilfsmittel, dass die besuchte Website auf dem Computer/Smartphone des Besuchers hinterlegt, um Informationen zum letzten Besuch zwischenzuspeichern. Das ist an sich nicht schlimm und enthält meist (wie auf der pfeiffer-medienfabrik.de) keine geheimen Informationen – aber eben doch trotz Anonymisierung relevante Informationen, über die der Seitenbesucher beim Besuch laut DSGVO unbedingt in Kenntnis gesetzt werden sollte!

  • Tracking

Ähnlich liegt der Fall bei der Verwendung von Analyse-Codes wie z.B. von Google Analytics oder dem Facebook-Pixel. Gebt euren Besuchern die Möglichkeit (nicht nur den Hinweis darauf) während des Besuchs eurer Website das Tracking bzw. die dadurch folgende Nutzerprofilierung zu deaktivieren. Das heißt, dass dadurch (und jetzt wird es spannend) zur Abwechslung mal ein dem Datenschutz wohlgesinntes Cookie auf dem Browserspeicher eures Kunden landet, das dafür sorgt, das eben kein Tracking stattfindet.

Aber Achtung: Hier herrscht noch ein Informationsvakuum, ob ein reiner Hinweis auf Verwendung von Tracking-Dienste genügt. Unabhängig des DSGVO-Termins am 25.5.2018 könnten hier in Zukunft weitere Regelungen in Kraft treten. Dann könnte die Notwendigkeit bestehen, dass der Seitenbesucher erst selbst aktiv das Tracking genehmigen bzw. damit aktivieren können muss. Ein Schritt der selbst Sascha Lobo zu weit gehen dürfte. Dazu passend „Wer macht die geileren Vorschriften“, gefunden auf spiegel.de.

  • Newsletter

Erst mal Entwarnung: Hier ändert sich nicht viel. Weiterhin muss der Abonnent deutlich auf die Datenschutzinformationen hingewiesen werden und darf nicht so „nebenher“ oder „aus versehen“ einen Newsletter abonnieren können. Der Abonnement muss klar und deutlich darauf hingewiesen werden und aktiv dem zukünftigen Erhalt der Newsletter zustimmen. Am besten mit einem Double Opt-In Verfahren.

Desweiteren muss der Webseitenbetreiber die Protokollierung für jede einzelne Anmeldung vorhalten und jederzeit die Möglichkeit eines Widerspruchs bzw. einer Austragung vom Newsletter gewähren.

  • Fotografien / Videos

Was hat das mit Datenschutz zu tun könnte man sich fragen? Sehr viel! Denn sobald wir eine Fotografie von z.B. einem belebten Marktplatz veröffentlichen, so geben wir damit viele persönliche Informationen über die darauf befindlichen Personen Preis. Das wären das Geschlecht, Haarfarbe, Aufenthaltsort usw.. Möglicherweise sogar verbunden mit einem EXIF-Stempel in der Datei mit weiteren Informationen wie Uhrzeit und GPS-Koordinaten.

Wow! Aber war das nicht schon früher so? Ja in der Tat. Vor dem 25.5.2018 musste man natürlich auch schon die Erlaubnis der aufgenommenen Personen einholen, bevor man Bilder veröffentlicht (ausgenommen man ist von der Presse, da gelten andere Regeln). Aber neuerdings läuft die Veröffntlichung eben nicht nur unter den Bestimmungen des Künstlerurhebergesetzes (KUG), sondern auch unter den strengeren Gesichtspunkten der DSGVO!

Beispiel: Wenn früher Passanten auf einem Foto hinter unserem eigentlichen Motiv (z.B. ein Hochzeitspaar) nur als „Beiwerk“ galten, so gelten Sie jetzt als sensible, schützenswerte persönliche Informationen. Was nun mit Fotos/Videos geschieht, die vor dem 25.5.2018 aufgenommen wurden: Tja, das ist rechtlich noch nicht klar definiert. Leider ein Fall für zukünftige Gerichtsurteile.

  • Datenschutzbeauftragter

Euer Unternehmen ist rechtlich dazu verpflichtet (aufgrund der Betriebsgröße bzw. des Datenaufkommens/Geschäftsfelds) einen Datenschutzbeauftragten zu stellen? Benennt ihn namentlich in eurer Datenschutzerklärung.

Ab Q4 2018 könnt ihr euch dazu auch direkt an uns wenden. Bzw. an unseren Daniel. 🙂

Ein Cookie auf den Datenschutz

Die ausführlichen Informationen zur Verordnung des Europäischen Parlaments findet ihr bei EUR-Lex. Weiterführende Informationen rund um das Thema bei Wikipedia. Die Lektüre dauert lang, stimmt deshalb einem Cookie zu. 😀

Was du nicht willst, das man dir tut…

Ich versuche in unserem Blog in möglichst einfachem Sprech relevante Informationen mit auf den Weg zu geben. Daher an dieser Stelle keine Garantie auf Vollständigkeit. Aber kurz und knapp folgender, wichtiger Hinweise allgemein zum Thema Datenschutz:

  • informiert Eure Kunden/Besucher darüber, welche Daten ihr sammelt
  • gewährt dem Einzelnen Einsicht darauf
  • gebt Möglichkeit zu widersprechen
  • ermöglicht das Löschen oder das Umziehen der erhobenen Daten
  • lasst eure Kunden/Besucher entscheiden, wie/ob sie getrackt werden

Und nun?

Das sind auch rein ohne die bekannten/bürokratischen Paragrafen die Grundpfeiler der Dateninformation bzw. des Datenschutzes im Allgemeinen und der ehrlichen Kommunikation zwischen euch und euren Kunden (oder potenziellen Kunden). Nicht mehr und nicht weniger wünscht ihr euch selbst wenn ihr wo „zu Gast“ seid. Und nicht weniger solltet ihr euren Gästen hinsichtlich der Datenschutzverordnung aber auch einfach hinsichtlich des gegenseitigen Respekts gewährleisten.

Solltet ihr diese Bestimmungen nicht erfüllen, so können Strafen in Höhe von 20 Millionen Euro, bzw. bis zu vier Prozent des weltweiten Umsatzes des Vorjahres anfallen. Zudem können Geschäftsführer, Datenschutzbeauftragter und Mitarbeiter haftbar gemacht werden. Stein des Anstoßes muss hierbei gar keine große „Datenpanne“ sein. Nein, es kann auch in Folge von wettbewerbsrechtlichen Verstößen erfolgen – eure Mitbewerber lassen grüßen.

Fragt mich, wenn ihr der Meinung seid, dass eure Website hier und da noch nicht den Erfordernissen der Datenschutzgrundverordnung entspricht. Mein Team und ich unterstützen euch gerne, bieten allerdings keine Rechtsberatung an. 🙂

0 Kommentare
Gib deinen Senf dazu ab

Ja, ich habe eure Datenschutzerklärung gelesen und bin einverstanden!

und sonst so

on 8. März 2018

Die Schlote qualmen wieder: Unsere Einweihungsparty

Feiern bis die Polizei kommt? Okay, soweit kam es dann doch nicht. Aber die Ziele waren schon hoch gesteckt: Den...

weiterlesen
on 6. November 2017

Heiße Filmpremiere: Jetzt Plätze sichern!

Okay, ja... wir waren es! Wir haben nachts in Happurg gezündelt, geschossen und gebrüllt. Sorry, echt! Aber wisst ihr was?...

weiterlesen
on 28. August 2017

U18-Wahl: Gebt der Jugend eine Stimme!

Der Einstieg in diesen Blogbeitrag fällt mir nicht leicht. Werde nicht zu politisch. Greife nicht die ältere Generation an, aber...

weiterlesen
on 1. Mai 2018

And the Stevie Award Goes To…

Wir waren in Berlin und haben uns den Stevie Award 2018 in der Kategorie Imagefilm abgeholt. Wow, das kam unerwartet!...

weiterlesen
on 11. Juni 2018

Was ist Performance Marketing? Umfrage + Gewinnspiel

Performance Marketing ist ein Teil eines neuen Megatrends – der Digitalisierung im Marketing. Wer sich zu spät damit befasst, wird...

weiterlesen
on 10. November 2017

Es war nass, es war kalt, es war geil!

Am 24.09. haben wir unsere Badehosen eingepackt, sind nach Bad Tölz gefahren und haben uns in einem Rafting-Boot in die...

weiterlesen
on 31. August 2017

Nachwuchs für die Medienfabrik

Vor nicht all zu langer Zeit haben wir unseren ehemaligen Azubi Valentin schweren Herzens ziehen lassen. Nach Norwegen, wo er...

weiterlesen
on 14. Juli 2017

Blutspende: Bei uns läuft’s

Hat Charity irgendwas mit diesen roten Piemont-Kirschen zu tun? Wenn sich Krankheiten per Blut übertragen, dann vielleicht auch Kreativität? Diese...

weiterlesen
on 12. Dezember 2017

PRINT IS DEAD ‒ LONG LIVE PRINT! – TEIL 2

In unserem ersten Teil zu „PRINT IS DEAD – LONG LIVE PRINT” haben wir darüber berichtet, dass Print mehr reizt,...

weiterlesen
on 4. Dezember 2017

PRINT IS DEAD ‒ LONG LIVE PRINT! ‒ TEIL 1

In einem Zeitalter der Reizüberflutung und Oberflächlichkeit zeigen Printmedien ihre wahre Stärke: Glaubwürdigkeit, Greifbarkeit, Tiefe und Inspiration! Die Bestätigung dafür...

weiterlesen
on 18. April 2018

Kein Datenschutz = Abmahnung! Checkliste zur DSGVO

Sie kommt... sie ist nicht mehr aufzuhalten! Mark Zuckerberg fürchtet sich davor! Gemeint ist die EU-Datenschutz-Grundverordnung (kurz: DSGVO), die am...

weiterlesen
on 25. März 2018

Mailsignatur erstellen, Eindruck hinterlassen

Tag ein, Tag aus E-Mails bis zum Abwinken. Antwort hierhin, Rückfrage dorthin, weiterleiten an XYZ. Nichts Besonderes, macht ja jeder....

weiterlesen
on 21. Dezember 2017

Onlinemarketing kurz erklärt #1

Wir möchten euch im Dickicht des Onlinemarketings­ nicht alleine lassen und erklären euch in 10 Lektüren einige der wichtigsten Kennzahlen....

weiterlesen
on 29. November 2017

WordPress Plugin programmieren: Do it yourself

Mit großem Abstand basieren die meisten unserer Medienfabrik-Websites auf der Grundlage des Content-Management-Systems WordPress. Es bringt zwar schon ordentlich Grundfunktionen...

weiterlesen
on 14. September 2017

Wozu ein SSL-Zertifikat?

Das Internet ist unsicher! An meine Daten soll niemand ran! Google und Facebook weiß viel zu viel über mich! Wer...

weiterlesen