In den letzten Wochen und Monaten wird das Thema „Datenschutzgrundverordnung (kurz: DSGVO)“ immer lauter und brisanter. Das ist auch gut so, denn die DSGVO steht unmittelbar vor der Tür. Naja, besser gesagt, ist die „Schonfrist“ ab dem 25.05.2018 um. Danach wird es ernst. Die Strafen, wenn man gegen die Datenschutzverordnung verstößt, sind enorm. Bis zu 4% des weltweiten Gesamtumsatzes oder bis zu 20 Millionen Euro drohen. Das sind in der Tat sehr hohe Strafen die ganz schnell eine gesamte Existenz zunichte machen können.

Die Datenschutzgrundverordnung ist allerdings nicht ganz neu, denn die meisten Regelungen finden bereits mit dem Telemediengesetz (TMG) sowie dem Bundesdatenschutzgesetz (BDSG) ihre Anwendung. Allerdings regelt die europäische DS-GVO nicht alle Bestandteile des BDSG, sodass mit der Einführung der DS-GVO ein überarbeitetes Bundesdatenschutzgesetz in Kraft treten wird.

Doch zuerst noch der Disclaimer:

„Ich weise daraufhin, dass es sich hier um keine Rechtsberatung handelt. Bei Fragen bitte an einen entsprechenden Anwalt in diesem Bereich wenden. Dieser kann eine fachmännische Beratung anbieten.“

Was ist also wirklich neu in der DSGVO?

Das ist die Informationspflicht. Das bedeutet, dass du den Besuchern die Möglichkeit geben musst, noch BEVOR Daten über ihn / sie gesammelt werden, gegen diese Datenerhebung zu widersprechen. Dies gilt, sofern du die Daten des Users direkt verarbeitest. Direkt heißt, bei dir auf der Seite erhebst und diese auch in irgendeiner Form nutzt. Solltest du die Daten auf einem anderen Wege erhalten, dann hast du die Pflicht, die Betroffenen innerhalb von 4 Wochen zu informieren, dass du die Daten von ihnen verarbeitest.

Und was muss ich nun tun?

Wenn Ihr nicht zufällig gerade auf dem PrivacyDay seid und euch informiert oder euch den LiveStream (1) oder hier anschaut, gilt es zunächst alle Services und Tools aufzulisten, die bei euch auf der Webseite oder im Unternehmen Einsatz sind und im Zusammenhang mit dem Datenschutz eine Rolle spielen. Ein klassisches Thema sind die Social Media Buttons. Wenn du solche benutzt, dann sollte keine Verbindung zu dem sozialen Netzwerk aufgebaut werden, wenn der User durch deine Seite surft. Wenn dies allerdings geschieht, dann hast du hier dringenden Handlungsbedarf und das schon seit längerer Zeit.

Wichtig ist, dass du deine kompletten Verfahren durchgehst und schaust, welche Verfahren werden eingesetzt, welche von diesen werden weiterhin benötigt. Besonderes Augenmerk solltest du auf die Datenverarbeitung legen. Sprich, welche Daten werden von den Benutzern eingesammelt, bzw. über diese gesammelt? All diese Informationen musst du entsprechend in dem Verarbeitungsverzeichnis aufführen. Des Weiteren musst du mit all deinen Datenverarbeitern – in der Regel Webhoster, Newsletteranbieter und andere Anbieter, die Daten von Besuchern und Kunden erhalten und in irgendeiner Art und Weise verarbeiten (können) – einen Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) schließen. Die meisten Webhoster haben dies bereits getan und bieten hier schon etwas an, einige allerdings nicht. Eine gute Übersicht bzgl. Dienstleister und ADV-Vertrag wurde auf blogmojo erstellt.

Plugins, Tools, Newsletter, Trackingtools

Wenn du Newsletter Applikationen / Tools / Plugins nutzt, dann ist es auch hier notwendig, dass du einen Hinweis gibst, welche Daten erhoben werden und zu welchem Zweck diese getan wird. Außerdem musst du jedes Plugin, Tool, Service, etc. in deine Datenschutzerklärung schreiben. Diese wird in Zukunft also noch größer werden. Eine gute Übersicht bei blogmojo.de zeigt euch Plugins für WordPress, die laut Recherche des Autors Finn Hillebrandt der neuen Verordnung entsprechen sollen.

Wenn du Tracking Plugins einsetzt, dann musst du dafür sorgen, dass diese auch DSGVO-konform sind. Besonders Google Analytics ist hier stark im Fokus. Dieses Tool wird am häufigsten verwendet, allerdings ist Google – neben Facebook – ohnehin ein Dorn im Auge der Datenschützer. Natürlich hat sich Google bereits auf die neue Datenschutzverordnung vorbereitet und bietet seinen Nutzern eine richtlinienkonforme Integration mit Hilfe von Anonymisierung, Opt-out Funktionalität und „per Klick“ durchführbaren Auftragsdatenverarbeitung (ADV) an. Wer dennoch unsicher ist, kann ggf. auf eine Alternative umsteigen, wie zum Beispiel Matomo (ehemals Piwik). Ebenfalls muss auch die IT dahinter, wo die Daten gespeichert werden, entsprechend abgesichert sein. Sprich, sichere Passwörter und eine relativ sichere Infrastruktur. Für die meisten wird es einfach der Webhoster sein, der dies übernehmen muss.

Eine DSGVO Checkliste kannst du hier auch in PDF Form runterladen und die einzelnen Punkte durchgehen und deine Seite bzgl. Konformität prüfen. Wichtig ist, dass du dich nicht verrückt machen lässt. Einige Dinge sind noch unklar und müssen in den nächsten Wochen und Monaten noch genauer spezifiziert werden. Allerdings solltest du das Thema auf gar keinen Fall auf die ganz leichte Schulter nehmen, sondern dich an die geltenden Gesetze halten, diese sind schließlich nicht umsonst da. Mehr gibt es auch in meinem Buch.

Ich wünsche dir viel Erfolg, gute Nerven und gutes Gelingen bei der Umsetzung.