Safety Briefing 05/2018
Die neue Datenschutzgrundverordnung
Vorab:
Wir können keine rechtliche Beratung erbringen, dürfen das auch nicht. Wir informieren hier lediglich und wollen sensibilisieren und zum Handeln anregen. Gerne können wir Euch Partner empfehlen. Nehmt einfach Kontakt auf.
Am 25.05.2018 tritt die EU Datenschutzgrundverordnung in Kraft. In diesem Beitrag wollen wir uns auf das Wesentliche beschränken und uns auch emotionale Kommentare verkneifen.
Das Allerwichtigste: Eure Website muss den Vorgaben entsprechen!
Eure Website ist das Schaufenster zur Welt. Hier seid Ihr 24 Stunden für jedermann, der online ist, sichtbar. Also auch für die Herrschaften, denen die Einhaltung der DSGVO und des Wettbewerbsrecht so eine Herzensangelegenheit ist, und die sich dann auch mit freundlichen, kostenpflichtigen Briefen an Euch wenden, wenn etwas nicht stimmt.
1. Verschlüsselte Datenübertragung:
Ein absolutes Muss, wenn Ihr einen Shop betreibt oder über ein Kontaktformular personenbezogene Daten übertragt. Dies muss verschlüsselt erfolgen. Übliche Websites verwenden lediglich das HTTP-Verfahren. Wenn es jedoch um persönliche Daten geht – wie z. B. beim Online-Banking oder in Online-Shops – braucht Ihr eine HTTPS-Verschlüsselung. Dazu braucht Ihr ein SSL Zertifikat. Das ist eine kleine Datendatei, die einen kryptografischen Schlüssel digital an die Details einer Organisation bindet. Wenn es auf einem Webserver installiert ist, aktiviert es das Sicherheitsschloss und das https-Protokoll (über Port 443) und ermöglicht eine sichere Verbindungen von einem Webserver zu einem Browser. Setzt Euch hier mit dem Betreuer Eurer Website oder Eurem Provider in Verbindung und bucht das Zertifikat, damit die Seite darauf umstellt wird. Auch wenn Ihr keine Daten über den Browser übertragt, dann ist das HTTPS Protokoll sinnvoll. Denn Google rankt diese Seiten besser. Ihr werdet also besser gefunden.
2. Die Datenschutzerklärung
Am 24.05.2018 sollte jeder von euch eine aktuelle, den neuen Erfordernissen entsprechende Datenschutzerklärung auf seiner Seite haben. Diese muss direkt von der Startseite aus unmittelbar verfügbar sein. Also nicht irgendwo als Unterpunkt verstecken! Gilt analog für das Impressum, dass natürlich auch tiptop sein muss. Aber das ist ja nun wirklich nichts Neues. Die Datenschutzerklärung muss neben Standardtexten auch Erklärungen zu verwendeten Komponenten enthalten. Hier einige Beispiele:
– Google Maps, Bing Maps, OpenStreetMap
– Webanalyseprodukte, z.B. Google Analytics, eTracker, Piwik, etc.
– Social Media Widgets, z.B. Facebook Like Button, Twitter, Share Buttons etc.
– Newsletter Formulare/Anbieter, z.B. Clever Reach
– Videos, z.B über Youtube
– Werbeeinblendungen, wie Google Adsense etc.
– Alle über I-Frame eingebundene Inhalte
3. Cookie Hinweis:
Cookies sind kleine Dateien und sind dazu da, Nutzer wiederzuerkennen und ihnen das Surfen auf einer Website zu erleichtern, etwa dadurch, dass der Nutzer seine Zugangsdaten nicht bei jedem Besuch neu eingeben muss oder erkannt wird, was der Nutzer bereits gekauft hat. Holt Euch daher die Einwilligung der Nutzer ein. Der Einwilligungstext bei einem Cookie-Hinweis sollte beim ersten Aufruf der Seite eingeblendet werden. Der Text für die Cookie-Nutzung sollte aussagen, um welche Daten es geht, wozu diese genutzt werden und an wen diese Daten gegebenenfalls weiter gegeben werden. Der Nutzer muss diesen Text mit einem Klick bestätigen.
Kurz die wichtigsten Punkte, was Ihr tun solltet.
1. Klärt, ob Ihr einen Datenschutzbeauftragten braucht.
2. Checkt Eure Website und erstellt eine Datenschutzerklärung.
3. Stellt sicher, dass Kunden, welche Euch Ihre Daten geben, eine „Belehrung“ über deren Verwendung erhalten und wie sie widersprechen können, bzw. wann sie wieder gelöscht werden.
4. Stellt intern ein Verzeichnis der Tätigkeiten auf (Verfahren und Verarbeitungsverzeichnis).
5. Erstellt ein Datenschutzkonzept.
6. Lasst Euch von jedem Mitarbeiter eine Vertraulichkeitsverpflichtung unterschreiben. Hierzu gehört auch eine Belehrung und eine Übergabe der relevanten Informationen und Gesetztestexte, die hierzu gehören. Lasst Euch das auch unterschreiben.
Datenschutzbeauftragter & Co – holt Euch Unterstützung!
Kurzum, das Thema ist herausfordernd. Entweder Ihr habt einen Fachmann für Datenschutz an der Hand, dann sollte er diese Erklärungen erstellen. Dies kann der externe Datenschutzbeauftragte sein. Einen Datenschutzbeauftragten, ob extern oder intern, braucht Ihr, wenn bei Euch ab 10 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Hier zählen alle, auch Freelancer etc.
Alleine schon die Frage: „Wer darf Datenschutzbeauftrager sein?“ würde gut und gerne ein Buch füllen.
Vieles ist vom Gesetzgeber aus unserer Sicht viel zu schwammig formuliert und schlichtweg gar nicht definiert worden. Die Detailarbeit wurde somit wieder einmal von unseren Volksvertretern den Gerichten übergeben, die dann auslegen dürfen. Und hier seid Ihr bekanntlich in Gottes Hand. Es wird sicher die nächsten Monaten eine Vielzahl an Prozessen und Urteilen geben.
Gerne bieten wir Euch über einen Partner den Check Eurer Website, sowie die Erstellung einer rechtssicheren Datenschutzerklärung an. Es würde hier zu weit gehen, alle Punkte zu erklären. Wichtig ist wirklich, dass zum 25.05. Eure Websites abmahnsicher sind.
Was kann passieren? Ihr müsstet beweisen, dass alles korrekt lief!
Bisher konnte ein Betroffener auch schon eine Anzeige beim Datenschutzbeauftragten des jeweiligen Bundeslandes machen. Der Anzeigenerstatter musste beweisen, dass tatsächlich ein Verstoß gegen die Datenschutzbestimmungen vorlag.
Ab dem 25.05. gilt: Nun muss bei einer Anzeige das angezeigte Unternehmen beweisen, dass es alles richtig gemacht hat. Hierzu dienen die vorgenannten Punkte. Nach erfolgter Anzeige wird sich die Datenschutzbehörde bei Euch melden und die Möglichkeit der Stellungnahme geben. Wenn Ihr dann die Verzeichnisse etc. der Behörde vorlegen könnt und diese richtig erstellt wurden, dreht sich die Beweislast. Jetzt muss der Anzeigenerstatter den Verstoß belegen, was er wohl in den meisten Fällen nicht kann. Ohne diese Verzeichnisse gibt es erst einmal ein Bußgeld (Achtung, die Bußgelder können sehr sehr hoch ausfallen) und dann gibt es Auflagen. Im schlimmsten Fall kommt die Behörde zu Euch und nimmt alles auseinander. Den Beamten der Datenschutzbehörde ist Zutritt zu gewähren. Über die Folgen will ich mich nicht weiter auslassen.
