Datenschutzerklärung
Ab 25. Mai 2018 gilt auch in Deutschland die Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU). Durch das neue EU-Recht werden unmittelbar das bisherige Bundesdatenschutzgesetz (BDSG a.F.) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), auf der das BDSG basiert, abgelöst. Zeitgleich tritt ein dazu gehöriges BDSG neuer Fassung (BDSG n.F.) in Kraft, das die DSGVO zum Teil modifiziert und konkretisiert. Die DSGVO wird außerdem ergänzt werden durch die noch in Abstimmung befindliche EU-e-Privacy-Verordnung, die voraussichtlich 2019 in Kraft treten soll und Internet- und Telemediendienste betrifft.
Ziel der DSGVO ist zunächst ein weitestgehend einheitliches Datenschutzrecht innerhalb der EU. Darin sollen vor allem die Rechte und Kontrollmöglichkeiten derjenigen gestärkt werden, deren personenbezogene Daten verarbeitet werden (Betroffene). Personenbezogene Daten sollen dadurch stärker geschützt werden, gleichzeitig soll aber auch ihr freier Verkehr besser gewährleistet werden.
Wesentliche Elemente des bisherigen BDSG werden zwar erhalten bleiben. So gleichen die in Art. 5 DSGVO festgelegten Grundsätze der Datenverarbeitung, an denen sich die Verordnung orientiert, im Kern denen des BDSG a.F.: Rechtmäßigkeit, Zweckbindung, Datenminimierung (Datensparsamkeit), Richtigkeit, Zeitliche Beschränkung (Speicherbegrenzung), Integrität und Vertraulichkeit sowie eine Rechenschaftspflicht der Verantwortlichen für die Einhaltung dieser Grundsätze.
Dennoch wird es zukünftig einige Änderungen geben, die es zu beachten gilt – sowohl für Unternehmen als auch für Privatpersonen. Gerade für Unternehmen ist es wichtig, sich bereits jetzt in der Übergangsphase um die Umsetzung der neuen Regelungen zu kümmern und neue datenschutzrechtliche Prozesse zu etablieren. Sonst drohen im Extremfall immense Bußgelder für die verspätete Einführung der neuen Vorgaben.
9 Schritte gegen DSGVO Panik-Attacken:
1. Überblick verschaffen
Was ist für mich wichtig und was muss ich tun?
Nun wir sind Selbstständige. Die DSGVO unterscheidet nicht nach Größe eines Unternehmens, sondern nach Art der Daten und nach den Verarbeitungstätigkeiten. Was bedeutet das nun für mich genau?
Die Suche nach seriösen Quellen. Am umfangreichsten ist hier wohl die Sammlung des Bayrischen Landesamtes für Datenschutzaufsicht. Dort gibt es auch einen Selbsttest.
2. Sich selbst strukturieren
Nachdem wir uns gut informiert haben, ist es wichtig sich selbst gut zu strukturieren. Wie geht man da nun vor? Man sollte das ganze als Projekt sehen. Das bedeutet, vor allem Zeit einplanen. Ca. 2 Wochen braucht man schon um einzelne Schritte zu gehen. Viel Zeit beansprucht die Recherche und das genaue definieren seiner eigenen Prozesse im Unternehmen.
3. Personenbezogene Daten
Eine der Kernfragen ist immer wieder, welche personenbezogenen Datenverarbeitet werden. Personenbezogene Daten sind Daten die eine natürliche Person identifizierbar machen. Also Name, Adresse, Email, IP-Adressen, Bankdaten etc.
Besondere personenbezogene Daten sind Daten die Gesundheit, Sexualleben, politische Meinung, religiöse Weltanschauung, Gewerkschaftszugehörigkeit, biometrische Daten oder Daten über Strafen.
Wer diese verarbeitet den trifft es härter. Falls Du zu den Unternehmern gehörst die solche Daten verarbeiten, lass von einem Rechtsanwalt oder Datenschutzbeauftragten mal prüfen, was du machen musst.
Generell sollte man sich eine Übersicht erstellen, welche personenbezogenen Daten man verarbeitet und wer die Betroffenen (Kunden, Newsletter-Abonnenten, Website-Besucher etc.) sind. Das vereinfacht die nächsten Schritte sehr.
4. Verarbeitungstätigkeiten
Verarbeitungstätigkeiten sind letztendlich die Prozesse in deinem Unternehmen.
Woher kommen deine Daten (über ein Kontaktformular auf deiner Website oder werden sie dir telefonisch oder als Email übersandt oder bekommst du sie über ein Tool)?
Was machst du mit Ihnen (Auftrag generieren in einem Tool, Rechnung schreiben, Newsletter versenden)?
Machst du das händisch oder über ein Tool?
Wenn du das aufschreibst, denke immer auch daran, eine Liste mit verwendeten Tools anzulegen und dir zu überlegen, was das Tool macht und wo die Daten gespeichert sind.
Was passiert mit den Daten, wenn sie nicht mehr gebraucht werden?
Wann werden diese gelöscht?
Über all diese Fragen lohnt es sich Gedanken zu machen und diese auch schriftlich festzuhalten.
5. Rechtsgrundlagen
Nun beschäftigen wir uns mit der Rechtsgrundlage auf der wir Daten verarbeiten. Letztendlich gibt es drei die wir immer wieder benutzen.
• Einwilligung, immer dann, wenn sich jemand irgendwo einträgt und mittels Double-Opt-in bestätigt, liegt eine Einwilligung vor. Wir können diese auch schriftlich offline einholen. Wichtig ist, dass sie nachweisbar ist. Und man sollte sich immer im Klaren darüber sein, dass die Einwilligung auch immer entzogen werden kann. Das bedeutet, dass die Daten dann gelöscht werden müssen (nach Ablauf der Rechenschaftspflichten und Aufbewahrungsfristen, aber Achtung verwenden kann ich sie dann trotzdem nicht mehr im verbleibenden Zeitraum.)
• Vertrag oder vorvertragliche Anbahnung. In diesem Fall geht der Erstkontakt vom Kunden aus. Zum Beispiel über eine Email oder ein Kontaktformular. Für die Verarbeitung von Daten in einem Vertragsverhältnis ist keine Einwilligung nötig. Sie kann auch nicht entzogen werden. Aber der Kunde kann eine Löschung verlangen. Auch hier gilt die Daten dürfen bis zur Beendigung des Vertragsverhältnisses und Ablauf der Aufbewahrungsfristen weiter genutzt werden. Ein Verlangen der Löschung ist kein Rücktritt vom Vertrag.
• Interessenabwägung. Diese wird oft bei Cookies oder bei Weitergabe von Daten an Dritte genutzt. Wichtig ist hier, dass das wirtschaftliche Interesse eines Unternehmens nicht aus der Luft gegriffen ist, sondern immer begründet werden kann. Das Interesse sollte rechtfertigen warum der Schutz der Betroffenen weniger wiegt als das Interesse eines Unternehmens. Ein Beispiel ist die Weitergabe der Daten an einen Steuerberater. Es würde ganz erheblich den Ablauf im Unternehmen beeinträchtigen, wenn man hierfür eine Einwilligung einholen würde.
In eine dieser drei Kategorien sollte man die Verarbeitung der Daten zuordnen können. Schreib Dir das auf.
Bei den Einwilligungen musst Du immer darauf achten, dass sie nachweisbar sind und dass sie nicht entzogen wurden.
Bei der Interessenabwägung muss eine Risikoanalyse durchgeführt werden. Wie das genau aussieht, kannst du bei einem Datenschutzbeauftragten erfragen.
6. Online-Tools, Plugins und technische organisatorische Maßnahmen
Erstelle eine Liste der Online-Tools und prüfe ob dort personenbezogene Daten verarbeitet oder gespeichert werden. Ist das der Fall, so besorge dir einen Auftragsverarbeitungsvertrag mit dem Anbieter. Bei Anbietern außerhalb der EU schaue, ob es Garantien gibt. In den USA ist das zum Beispiel das Privacy Shield Abkommen. Der Anbieter muss hier registriert sein.
Plugins deiner Website müssen auch überprüft werden. Auch hier muss geprüft werden ob diese personenbezogenen Daten verarbeiten oder speichern.
Was sind denn technische organisatorische Maßnahmen?
Das sind die Gegebenheiten, unter denen die personenbezogenen Daten bei dir im Unternehmen verarbeitet werden.
Was sind das nun für Maßnahmen?
Die DSGVO ist ein Fan von Pseudonymisierung und Verschlüsselung. Das bedeutete, dass die personenbezogenen Daten entweder pseudonymisiert und verschlüsselt verarbeitet werden. Pseudonymisierung ist nicht immer leicht herzustellen. Verschlüsselung schon. Und darauf sollte man auch achten. Wenn personenbezogenen Daten gespeichert werden, dann sollen diese verschlüsselt gespeichert (Stichwort SSL Verschlüsselung!*) werden.
Ein weiterer Punkt ist die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhanf mit der der Verarbeitung.
Das bedeutet, wer hat physisch die Möglichkeit meinen Arbeitsplatz und meine Arbeit zu sehen? Wer benutzt meinen PC? Hat der PC mehrere Benutzerkonten? Sind diese Passwort gesichert? Verwende ich ein komplexes Passwort oder wie oft wechsle ich dieses, verwende ich das gleiche Passwort an mehreren Stellen? Wie oft habe ich keinen Zugang zu Onlinetools? Habe ich einen Firewall und einen Virenscanner? Wie werden Daten vernichtet?
Weiter geht es mit der Verfügbarkeit der personenbezogenen Daten.
Wie komme ich bei einem physischen Zwischenfall (Feuer, Hochwasser, CPU kaputt) an die Daten ran und wie sieht es bei einem technischen Zwischenfall(Verschlüsselungstrojaner) aus? Wie schnell geht das? Das muss organsiert werden. Spätestens hier sollte man sich Gedanken über eine gute Backup-Strategie machen und diese auch testen.
Auch der Punkt wie man mit unbeabsichtigter Vernichtung, Verlust oder Veränderung von personenbezogenen Daten umgeht ist wichtig. Wie gesagt, Gedanken machen und aufschreiben.
7. Auftragsverarbeiter
Häufig finden sich im Onlinebusiness Auftragsverarbeiter. Klassisch sind das Dienstleister, an die ich personenbezogene Daten gebe und die in meinem Auftrag diese verarbeiten. Was fällt darunter? Die klassisch outgesourcten Bürotätigkeiteneiner virtuellen Assistentin zum Beispiel oder Freelancer die Websites gestalten oder Online-Tools einrichten und auch Support leisten. Mit diesen Dienstleistern muss ein Auftragsverarbeitungsvertrag geschlossen werden. Das ist wichtig. Denn das Fehlen eines solchen Vertrages wird hart bestraft. Schon jetzt ist das Fehlen teuer. Wichtig ist auch, der Auftraggeber fragt danach, der Auftragnehmer (also VA oder Freelancer) hat diesen Vertrag bereit zu stellen. Denn die technischen und organisatorischen Maßnahmen sind ein Teil dieses Vertrages.
8. Website und Datenschutzerklärung
Wie schon in den vorigen Absätzen erwähnt, ist auch die Website zu beachten.
Neben den Plugins und Cookies die geprüft werden müssen, muss auch die Datenschutzerklärung angepasst werden. Von Generatoren rate ich dir ab. Warum? Mit einem Generator kannst du keine Rechtssicherheit herstellen. Denn die Datenschutzerklärung muss individuell auf dein Unternehmen angepasst sein. Wirkliche Rechtssicherheit kannst du nur über einen Anwalt erlangen. Nimm das Geld in die Hand und lass dir das von einem Anwalt erstellen. Denn ab Mai 2018 werden die Abmahnanwälte wahrscheinlich wieder zuschlagen.
9. Königsklasse – die Kombination
Was ich noch gar nicht erwähnt habe, ist die Übersicht der Verarbeitungstätigkeiten.
Generell steht in der DSGVO, dass Unternehmen mit mehr als 250 Mitarbeitern ein solches Verzeichnis führen müssen. Allerdings wird auch erwähnt, dass Unternehmen die personenbezogenen Daten regelmäßig verarbeiten ebenfalls dazu verpflichtet sind. Dieses Verzeichnis ist nur intern und auf Anfrage einer Aufsichtsbehörde zugänglich zu machen. Auch hier gibt es schon recht gute Vorlagen. Fündig wird man zum Beispiel beim GDD.