Foto par ev

| Veröffentlicht:

  • 11:27

| Lesezeit:

8 minutes

| Verfasser:

| Allgemeine Datenschutzverordnung (GDPR)

  1. GDPR: Was Sie wissen müssen
  2. WordPress 4.9.6: Bereit für GDPR
  3. Google Fonts und das DSGVO-Problem
  4. Google reCAPTCHA und DSGVO-Konformität

GDPR ist eine Initiative der Europäischen Union und ist wahrscheinlich die weitreichendste und wichtigste Regelung zum Datenschutz aller Zeiten. Ziel ist es, sicherzustellen, dass die Daten der Menschen sicher sind und nicht missbraucht werden. Sie gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig von der Größe oder dem Standort des Unternehmens.

Besorgniserregend ist, dass nur sehr wenige Menschen wissen, was dies tatsächlich für sie und ihr Unternehmen bedeutet. Es ist keine Überraschung, wenn man bedenkt, dass trotz der Frist für die Einhaltung der DSGVO am 25. Mai 2018 noch immer keine vollständigen Angaben darüber vorliegen, was die Einhaltung bedeutet. Dies führt dazu, dass viele Vermutungen und Annahmen angestellt werden, da die Digitalagenturen versuchen, alle möglichen Kriterien zu erfüllen oder einfach hoffen, dass am Ende alles gut geht.

Keine dieser beiden Optionen ist eine gute Idee, wenn man bedenkt, dass die Strafe für die Nichteinhaltung der Vorschriften bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens beträgt. Wie schwierig ist es also, die Vorschriften einzuhalten, und wie können Sie es vermeiden, gegen das Gesetz zu verstoßen? Lesen Sie weiter in unserem Leitfaden für Anfänger.

Bevor wir ins Detail gehen, sollten wir uns einen einfachen Überblick darüber verschaffen, was die DSGVO mit sich bringt:

  • Sie müssen: Sie müssen eine rechtmäßige Grundlage für die Erhebung und Verarbeitung personenbezogener Daten haben.
  • Sie müssen: Vollständige Transparenz darüber, welche Daten erhoben werden, wie sie verwendet werden und wie lange sie gespeichert werden.
  • Sie müssen: Personen Zugang zu einer Kopie ihrer personenbezogenen Daten gewähren oder deren Löschung verlangen.
  • Sie müssen: Sie müssen bei der Gestaltung Ihrer Dienste und Produkte den Ansatz “Datenschutz durch Voreinstellung” anwenden.
  • Sie müssen: All dies in leicht verständlicher Form dokumentieren.

Was gilt als personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die zur Identifizierung einer Person verwendet werden können, entweder direkt oder indirekt (d. h. durch Querverweise auf andere Datenquellen). Namen, E-Mail-Adressen und Rechnungsdaten liegen auf der Hand, aber auch die IP-Adresse eines Computers zählt, was das Netz erheblich ausweitet. Unabhängig davon, ob Ihre Website einen Online-Shop, Kontaktformulare oder einfach eine der üblichen Lösungen zur Besucheranalyse enthält, werden Sie in irgendeiner Form personenbezogene Daten sammeln.

Praktische Schritte

Um Ihre Organisation auf dem Weg zur Einhaltung der Vorschriften zu unterstützen, können Sie einige relativ unkomplizierte Schritte unternehmen.

  • Ernennung eines Datenschutzbeauftragten
  • Durchführung eines Audits Ihrer derzeitigen Datenverarbeitungspraktiken
  • Aktualisieren Sie Ihre für die Öffentlichkeit bestimmten Richtlinien und Opt-in-Verfahren
  • Planen Sie, wie Sie Anträge auf Aktualisierung und Löschung von personenbezogenen Daten bearbeiten werden
  • Einführung von Maßnahmen zur Umsetzung des Konzepts “Datenschutz durch Voreinstellung”.
  • Dokumentieren Sie alle oben genannten Punkte

Lassen Sie uns nun die einzelnen Schritte etwas genauer betrachten, um zu verstehen, wie Sie sie in die Praxis umsetzen können.

Ernennung eines Datenschutzbeauftragten

Dies sollte wahrscheinlich Ihr erster Schritt sein. Bestimmen Sie eine Person in Ihrer Organisation, die formell für den Datenschutz verantwortlich ist, und weisen Sie ihr die Rolle des Datenschutzbeauftragten (DSB) zu. Dabei kann es sich um einen bestehenden Mitarbeiter (solange dies nicht zu einem Interessenkonflikt führt) oder einen externen Auftragnehmer handeln. Wichtig ist, dass sie ihre Aufgabe gut verstehen und über die notwendigen Befugnisse und Ressourcen verfügen, um sie wirksam auszuführen. Ihr Datenschutzbeauftragter wird in allen Ihren öffentlich zugänglichen Unterlagen namentlich genannt und ist die erste Anlaufstelle für Aufsichtsbehörden und Einzelpersonen mit Datenschutzbedenken.

Prüfen Sie Ihren derzeitigen Ansatz

Um wirksam auf die DSGVO reagieren zu können, müssen Sie wissen, welche Daten Sie derzeit erfassen und wie sie gehandhabt werden. Wir schlagen Ihnen vor, eine einfache Tabelle mit einer Spalte für jeden der unten aufgeführten Aspekte zu erstellen und diese für jede Art von Kundendaten, die Sie besitzen, auszufüllen. Damit sollten Sie sich schnell einen Überblick über Ihre aktuelle Position verschaffen können. Es ist wahrscheinlich, dass die Person, die Sie zum DSB ernennen, nicht den vollen Überblick hat, so dass Sie möglicherweise Teammitglieder aus dem Vertrieb, dem Marketing und der technischen Entwicklung einbeziehen müssen, um sicherzustellen, dass Sie alles abdecken.

  • Datentyp
  • Sammelstelle
  • Zweck
  • Form der Zustimmung
  • Speicherverfahren
  • Aufbewahrungsfrist
  • Wer hat Zugang
  • Zugriffsmethoden

Denken Sie daran, alle Drittanbieter einzubeziehen, die Sie nutzen, wie z. B. Zahlungsabwickler, E-Mail-Marketing-Anbieter oder Online-Backup-Lösungen, die möglicherweise die privaten Daten Ihrer Kunden in Ihrem Namen verarbeiten oder speichern. Informieren Sie sich über deren Datenschutzrichtlinien und fügen Sie die entsprechenden Links in Ihre Tabelle ein.

Bei dieser ersten Prüfung werden Sie wahrscheinlich Bereiche finden, in denen Daten unnötig gesammelt, zu freizügig weitergegeben oder über ihren praktischen Nutzen hinaus gespeichert werden.
Wenn Sie jetzt Änderungen in diesen Bereichen vornehmen, verringern Sie Ihre Haftung, minimieren die Komplexität Ihres künftigen Papierwegs und haben natürlich auch für die betroffenen Personen ein positives Ergebnis. Es ist allzu einfach, Daten aufzubewahren und sie in Offline-Archiven oder Online-Datenbanken anzusammeln – aber damit wachsen auch die potenziellen Auswirkungen einer Kompromittierung. Das bedeutet nicht, dass Sie einfach alles wegwerfen müssen. Alte Daten können immer noch das Potenzial haben, zukünftige Erkenntnisse zu liefern, aber oft brauchen Sie nicht alle Details. Die Anonymisierung von Datensätzen oder die Zusammenfassung von Informationen aus alten Datensätzen sind zwei alternative Möglichkeiten.

Aktualisieren Sie Ihre Datenschutzrichtlinie

Die Datenschutz-Grundverordnung legt den Schwerpunkt auf die Transparenz gegenüber Ihren Website-Besuchern und Ihre Fähigkeit, den Aufsichtsbehörden gegenüber Rechenschaft abzulegen. Wenn Sie also noch nicht über solide Datenschutz- und Datensicherheitsrichtlinien verfügen, ist es jetzt an der Zeit, diese zu erstellen. Ein guter Ansatzpunkt ist Ihre öffentliche Datenschutzrichtlinie. Jede Website sollte über eine solche verfügen, und gemäß der Datenschutz-Grundverordnung muss sie transparent, verständlich und umfassend sein.

Allgemeine Phrasen wie “wir können Ihre Daten an ausgewählte Dritte weitergeben” müssen durch Angaben darüber ergänzt werden, wer diese Dritten sind, welche Daten weitergegeben werden, zu welchem Zweck und wie sie behandelt werden. Ihr erstes Website-Audit sollte jedoch die meisten Informationen liefern, die Sie benötigen. Die größte Herausforderung besteht also darin, diese Informationen in einer für die Nutzer zugänglichen Form zu präsentieren.

Wir schlagen vor, Ihre Datenschutzrichtlinie nach den wichtigsten Interaktionen, die jemand mit Ihrem Dienst haben könnte, aufzuschlüsseln und für jede dieser Interaktionen zu erklären, welche personenbezogenen Daten erfasst werden (und warum), wie sie verwendet werden und wie lange sie gespeichert werden. Bei diesen Interaktionen kann es sich beispielsweise um das Ausfüllen eines Anfrageformulars oder um den Abschluss eines Kaufs handeln. Was auch immer es ist, versuchen Sie, Ihre Erklärung so klar und jargonfrei wie möglich zu halten, denken Sie eher an Klartext als an wortreiche Leagalease. Ein wichtiger Tipp in diesem Zusammenhang: Wenn Sie auf etwas stoßen, das Sie derzeit tun und das Sie nur schwer in Ihrer Datenschutzrichtlinie erklären oder rechtfertigen können, ist das in der Regel ein gutes Zeichen dafür, dass es sich lohnt, die Sache zu überdenken.

Wenn Sie einige spezielle Abschnitte einfügen, in denen Sie angeben, mit welchen Drittanbietern Sie Daten austauschen und welche Tracking-Cookies Ihre Website möglicherweise setzt, werden diese wichtigen Informationen für Ihre Kunden leichter zugänglich sein. Sie sollten auch eine Kontaktstelle für Datenschutzfragen benennen und erklären, wie eine Person eine Aktualisierung oder Löschung ihrer Daten beantragen kann. Die Datenschutz-Grundverordnung schreibt vor, dass Sie auf solche Anfragen innerhalb eines Monats antworten und innerhalb von drei Monaten Maßnahmen ergreifen müssen. Unabhängig davon, welche Messlatte Sie anlegen, sollten Sie angeben, wie lange es dauern kann, bis jemand eine Antwort auf seine Anfrage erhält, und erklären, wie diese bearbeitet wird.

Bereiten Sie Ihre Dokumentation vor

Die andere Art von Dokumentation, die Sie für die DSGVO bereithalten müssen, sind interne Aufzeichnungen über Ihre Datenverarbeitungstätigkeiten. Diese Informationen benötigen Sie, wenn Sie jemals aufgefordert werden, die Einhaltung der Vorschriften nachzuweisen oder sich gegen eine formelle Datenschutzbeschwerde zu verteidigen. Es gibt drei Arten von Dokumenten, die Sie erstellen sollten:

  • Klare Richtlinien für den Umgang mit Daten innerhalb Ihrer Organisation
  • Ein Protokoll der Verarbeitungstätigkeiten
  • Eine angegebene Rechtsgrundlage für die Erhebung jeder Art von personenbezogenen Daten

Diese Dokumente werden Ihnen helfen, die Privatsphäre Ihrer Nutzer besser zu schützen, indem Sie sicherstellen, dass Ihre Mitarbeiter wissen, wie sie Daten verantwortungsvoll verarbeiten, und Sie in die Lage versetzen, diese Daten von der Erfassung über Ihre internen Systeme bis hin zur Weitergabe an Dritte zu verfolgen. Auch wenn ihre Einrichtung anfangs zeitaufwändig sein mag, werden sie sich mit Sicherheit in der Zeit bezahlt machen, die Sie bei der Beantwortung künftiger Anfragen von betroffenen Personen oder bei der Durchführung der Due-Diligence-Prüfung im Zusammenhang mit einer Datenschutzverletzung einsparen.

Ein wichtiger Aspekt, den Ihre Richtlinien umfassen sollten, ist die Art und Weise, wie Sie die Konzepte “Privacy by Design” und “Privacy by Default” (PbD) in alles, was Sie tun, einbeziehen. Mit anderen Worten: Welche technischen und organisatorischen Maßnahmen ergreifen Sie, um sicherzustellen, dass standardmäßig nur solche personenbezogenen Daten erhoben werden, die unbedingt erforderlich sind, und dass geeignete Schutzmaßnahmen vorhanden sind, um sie zu schützen, während Sie sie speichern und verarbeiten? Während einige allgemeine Wertaussagen hier zweifellos nützlich sind, um den richtigen Ton zu treffen, wird die Identifizierung einiger spezifischer technologischer Lösungen wie Verschlüsselung und Pseudonymisierung als integraler Bestandteil der Gestaltung Ihres Dienstes viel dazu beitragen, zu zeigen, dass Sie es mit dem eingebauten Datenschutz ernst meinen. An dieser Stelle muss betont werden, dass die Datenschutz-Grundverordnung anerkennt, dass nicht alle Unternehmen gleich tiefe Taschen haben, wenn es um die Finanzierung des Datenschutzes geht. Sie erwartet ein angemessenes Verhältnis zwischen den Kosten und den potenziellen Risiken.

Identifizierung Ihrer Rechtsgrundlage

Die Bedeutung dieses Aspekts kann gar nicht hoch genug eingeschätzt werden. Wenn Sie keine Rechtsgrundlage für die Erhebung oder Verarbeitung der personenbezogenen Daten einer Person haben, dann spielt es keine Rolle, wie sorgfältig Sie mit den Daten umgehen oder wie gut Sie auf Löschungsanträge reagieren, Sie werden weder mit der DSGVO noch mit früheren britischen Datenschutzgesetzen konform gehen. An dieser Stelle sei noch einmal darauf hingewiesen, dass wir keine qualifizierten Datenschutzanwälte sind, so dass Sie die folgenden Ausführungen als Ausgangspunkt für Ihre eigenen Recherchen betrachten sollten. Im Zweifelsfall sollten Sie immer fachkundigen Rechtsrat einholen.

Es gibt eine Reihe von Rechtsgrundlagen, auf denen Sie die personenbezogenen Daten einer Person rechtmäßig verarbeiten können. Dazu gehören die Einwilligung, die vertragliche Notwendigkeit, die Erfüllung rechtlicher Verpflichtungen und berechtigte Interessen.

Wenn Ihre angegebene Rechtsgrundlage die Einwilligung ist (wenn Daten auf der Grundlage der Einwilligung der betroffenen Person verarbeitet werden), dann müssen Sie nach der DSGVO besonders sicher sein, dass Sie diese auch tatsächlich haben. Die Einwilligung nach dem bisherigen Datenschutzrecht erforderte immer eine eindeutige, bestätigende Handlung, um als Einwilligung zu gelten – das Unterlassen einer Handlung (z. B. das Entfernen des Häkchens in einem bereits angekreuzten Kästchen) ist also nicht gleichbedeutend mit einer Einwilligung – und die DSGVO geht in dieser Hinsicht noch weiter. Bei sensiblen personenbezogenen Daten wie Krankenakten liegt die Messlatte sogar noch höher: Hier reicht eine nachweisbare, ausdrückliche Zustimmung aus. Und in Situationen, in denen Sie die Daten von Kindern unter 16 Jahren verarbeiten müssen, ist auch die Zustimmung der Eltern erforderlich.

Manchmal haben Sie den durchaus berechtigten Wunsch, Daten auf eine Weise zu verarbeiten, für die Sie keine direkte Einwilligung haben und die nicht durch vertragliche Notwendigkeiten oder die Erfüllung anderer rechtlicher Verpflichtungen gedeckt ist. In diesen Fällen könnten “berechtigte Interessen” als Rechtsgrundlage angeführt werden, sofern Ihre Verwendung die Rechte und Freiheiten der betroffenen Personen nicht beeinträchtigt.

Wenn Sie z. B. im Rahmen einer Online-Kaufabwicklung Adressdaten erheben, benötigen Sie natürlich eine direkte Zustimmung, um diese Daten an Dritte zu verkaufen, aber Sie könnten ein berechtigtes Interesse daran haben, diese Daten mit anderen Kundendaten, die Sie besitzen, zusammenzufassen, um breitere Muster in der Kundennachfrage nach Standort zu erkennen, damit Sie Ihren Service verbessern können.

Oder wenn sich jemand gegen Ihre Direktwerbung entscheidet, wäre es legitim, einige der personenbezogenen Daten dieser Person in einer Unterdrückungsliste aufzubewahren, um sicherzustellen, dass kein weiteres Marketingmaterial versandt wird. Das bedeutet nicht, dass Sie diese Informationen nicht in Ihre Datenschutzrichtlinie aufnehmen sollten, sondern nur, dass Sie nicht die direkte Zustimmung einer Person benötigen, um ihre personenbezogenen Daten auf diese Weise zu verwenden.

Wie geht es weiter?

Die Datenschutz-Grundverordnung wird von vielen als längst überfällige Neugewichtung der Interessen des Einzelnen an der Kontrolle seiner personenbezogenen Daten gegenüber denen der Unternehmen angesehen, die bisher alle Daten, die sie in ihrem eigenen Interesse sammeln und nutzen können, als Freiwild betrachtet haben und kaum verpflichtet waren, sie zu schützen. Aber natürlich bringt jede neue Verordnung die Befürchtung mit sich, dass unnötige Belastungen oder Hindernisse eingeführt werden, die die Art und Weise, wie wir unsere Geschäfte tätigen können, grundlegend verändern werden.

Für die meisten Unternehmen, deren Tätigkeit sich nicht auf die Verarbeitung sensibler personenbezogener Daten konzentriert, sollte die Einhaltung der Vorschriften kein Problem darstellen. Ja, es wird einige Vorarbeiten geben, um Ihre Papiere und Praktiken in Ordnung zu bringen, aber die wichtigste Veränderung wird in der Art und Weise liegen, wie wir über den Datenschutz denken, was letztendlich allen zugute kommen dürfte.

Brauchen Sie Hilfe?

Wir halten die Datenschutz-Grundverordnung für eine gute Idee, aber die Einhaltung der Vorschriften vor dem Stichtag 25. Mai 2018 verursacht bei vielen Unternehmen eine Menge Stress. Wenn das auf Sie zutrifft, rufen Sie die Code Clinic KreativAgentur noch heute an unter +49 (0)9181-8833-897 (de) oder +44 (0)161-408-4759 (en) an.

LET’S WORK TOGETHER.

Wir unterstützen unsere kunden zur besseren Markenbekanntheit, ein besseres Nutzererlebnis und einem klaren Wettbewerbsvorteil.