Foto: BeneditGeyer / CC0

Was ist die DSGVO, warum gibt es sie, für wen ist sie relevant und -vor allem- was muss ich nun als Blogger oder Website-Betreiber tun?

Im Folgenden habe ich einige Punkte aufgeführt, die mir bekannt sind und über die ich mich erkundigt habe. Ich weise ganz klar darauf hin, dass es sich hierbei lediglich um eine Recherche und nicht um eine rechtliche Beratung handelt!

 

DSGVO – Welchen Sinn hat sie?

Es geht hier um den Schutz personenbezogener Daten. Und dies im gesamten Europäischen Raum.

Ab wann tritt sie in Kraft?

Die Verordnung tritt am 15. Mai 2018 in Kraft.

Für wen ist sie relevant?

Die Verordnung ist für jeden relevant, der personenbezogene Daten im europäischen Raum speichert und/oder verarbeitet.

Auch Firmen aus Drittstaaten (Asien, USA etc. – eben solche die nicht der EU angehören) müssen sich den Regelungen anpassen. Beispielsweise darf eine Firma in der Schweiz keine Daten aus Deutschland verarbeiten, sofern sie lediglich nach dem Schweizer Recht operiert.

Es ist im übrigen egal, ob es sich um einen kleinen Blogger, ein Kleinunternehmen oder einen großen Konzern handelt. Wo auch immer personenbezogene Daten gespeichert und/oder verarbeitet werden, hat die DSGVO Relevanz.

Was ist zu beachten?

Es ist notwendig, neue Datenschutz-Erklärungen (DSE) zu erstellen. Hierbei ist folgendes zu beachten:

  • die DSE muß klar und verständlich sein (ggf. kann man eine Seite mit allgemeinen Erklärungen vorschalten)
  • Die Kontaktdaten des Seitenbetreibers müssen genannt werden
  • Ein etwaiger Datenschutzbeauftragter muß genannt werden
  • Benennen Sie die Rechtsgrundlage für die Datenerhebung  in der DSE.
  • Die Einwilligung des Kunden bzw. Webseite-Besuchers muß vorliegen
  • Es muß klar sein, wie Sie die Daten verarbeiten, bzw. wie Ihre Website dies tut
  • Hinweise auf Tracking, Social Media und Cookis müssen enthalten sein (Regelung Cookis in e-Privacy erst ab 2019 geändert)
  • Dauer der Speicherung muss benannt werden
  • Rechte der Personauf Auskunft, Berichtigung, Löschung und Widerspruch sowie auf Datenherausgabe müssen ersichtlich sein
  • Für Newsletter muss ein Hinweis eingebunden sein, dass ein Vertrag zur Auftragsdatenverarbeitung vorliegt (Hinweis: Immer besser einen Anbieter aus dem EU-Raum nutzen, zum Beispiel Newsletter2go.)
  • Eine Einwilligung der Person ist nicht in der Datenschutzvereinbarung enthalten.
  • Hinweise auf Facebook-Share-Buttons sind nicht ausreichend, um rechtlich sicher zu sein.
  • Ein Impressum und die Datenschutzerklärung können Sie hier erstellen lassen.

Was ist noch wichtig?

Kopplungsverbot

Sie dürfen keine Freebies mehr verwenden, um Ihre Kunden dazu zu bewegen, sich beispielsweise in Ihre Newsletter-Liste einzutragen.

Verarbeitungsverzeichnis

Wann ist ein Verarbeitungsverzeichnis zu führen?

  • Beschäftigung von mehr als 250 Personen in Ihrem Unternehmen oder
  • Verarbeitung besondere Datenkategorien oder
  • Sie verarbeiten nicht gelegentlich Daten.

Insgesamt ist es einfach so, dass es grundsätlich sicherer ist, ein solches  Verzeichnis zu führen.

Muster und Infromationen hierzu finden Sie hier.

Datenschutzbeauftragter

Wann ist ein Datenschutzbeauftragter gemäß DSGVO erforderlich?

  • mehr als 10 Personen verarbeitenregelmäßig Daten (auch externe Dienstleister wie  Freelancer)
  • Es besteht die Pflicht zur Datenschutz-Folgeabschätzung

Wer darf Datenschutzbeauftragter sein / werden?

  • jeder mit Sonderausbildung beim TÜV, ausgenommen die Geschäftsführung (Interessenskonflikt)
  • externe Dienstleister (ggf. günstiger)

Wer müssen Sie informieren?

  • Aufsichtsbehörde (Landesdatenschutzbehörde)

Verschlüsselung

  • Die Festplatten im Unternehmen müssen verschlüsselt sein. Weiterhin muß der Zugang zum Rechner z.B. duch ein Passwort geschützt sein.
  • externe Dienstleister sind genau zu prüfen (Skripte vorhanden?)
  • Die Übermittlung von Bestellprozessen bzw. Kontaktformularen muss SSL-verschlüsselt sein.

Löschung von Daten

Wann müssen Daten gelöscht werden?

  • Erhebungszweck weggefallen
  • Einwilligung widerrufen (Newsletter-Abmeldung)
  • Widerpsruch des Nutzers („Löschen Sie meine Daten“)
  • Es besteht keine gesetzliche Speicherfrist entgegen (Steuerdaten, Buchhaltung etc.)

Der Newsletter

Der Kunde muss sich im Double-Opt-in-Verfahren eintragen. Hier sollte auch sofort auf die Datenschutzerklärung hingewiesen werden.

Was passiert, wennsich der Kunde austrägt?

-> Die Daten müssen gelöscht werden. Eine weitere Speicherung der Daten mit einem Sperrvermerk ist nicht zulässig!

Auftragsdatenvereinbarung (ADV)

Mit wem müssen Sie eine ADV schließen?

  • Externe Unternehmen, die Kundendaten zur Verarbeitung erhalten (z.B. externe Newsletter-Anbieter)
  • Google Analytics (Mittlerweile ist es möglich, einen entsprechenden Vertrag auszudrucken, zu unterschreiben und per Email an Google zu versenden)
  • Hoster
  • externe Firmen, die mit der Wartung beauftragt werden

Neu ist, dass ggf. ein Verfahrensverzeichnis erforderlich ist. Hierin sollten alle Weisungen des Verantwortlichen dokumentiert werden.

-> Beide Parteien sind hier haftbar!

Datenpannen

Wer kennt es nicht von Facebook & Co? Sie wurden gehackt und Ihre Daten wurden gestohlen. Was nun?

  • unverzüglich (ohne schuldhaftes Zögern), binnen 72 Stunden der zuständigen Behörde melden
  • Dokumentationen
  • Betroffene informieren

Google  analytics

Wichtig hier ist folgendes, um nach DSGVO zu agieren:

  • Privacy Shield (aktuell bei Google i.O., bei weiteren Anbietern sollte man dies prüfen)
  • Passus in der DSE mit Opt-Out-Link
  • IP-Anonymisierung
  • ADV

Ich hoffe, ich konnte mit meinen kurzen Ausführungen ein wenig weiterhelfen. In meinem nächsten Beitrag wird es um Google Analytics gehen. Bleiben Sie gespannt!

 

Melden Sie sich zu unserem Newsletter an

Erhalten Sie Informatinen bezüglich aktueller Themen sowie besonderer Angebote.

Als Dankeschön erhalten Sie das Ebook "Bloggen - so geht´s" als pdf-Download.

Ihre Zustimmung ist erforderlich

Ihre Anmeldung war erfolgreich.