Teure Abmahnungen und Bußgelder bis zu 20 Mio. Euro – die neue Datenschutzgrundverordnung (DSGVO) tritt in Kürze in Kraft und Seitenbetreibern wird schon jetzt Angst und Bange gemacht.
Seid Ihr schon bestens auf die strengeren Auflagen vorbereitet oder löst die DSGVO bei euch eher die große Panik aus? Falls letzteres der Fall ist, möchte ich Euch die Sorge ein wenig nehmen und Euch einen kurzen Überblick geben, was es bis zum 25. Mai 2018 noch zu tun gibt. Mein gut gemeinter Rat vorab: die DSGVO ist zwar kein Grund, den Kopf in den Sand zu stecken und Eure Page lahm zu schalten, aber ignorieren solltet Ihr die neue Reform auch nicht.
• Was ist die neue DSGVO eigentlich?
Überall spielt die Erhebung persönlicher Daten eine Rolle und mit der neuen Datenschutzgrundverordnung, kurz DSGVO soll der Umgang von personenbezogenen Daten durch Unternehmen in der EU einheitlich geregelt werden.
• Was ist der Sinn dahinter?
“Was passiert eigentlich mit meinen Daten, die werden doch sicherlich für viel Geld verkauft” – diese Frage stellen sich viele EU-Bürger ständig. Mit der neuen Reform sollen die Bürger die Hoheit über ihre Daten zurückerlangen und Unternehmen müssen wieder anfangen, zu reflektieren, wofür sie die Daten ihrer Kunden eigentlich erheben und was damit geschieht.
• Um was geht es in der DSGVO-Reform genau?
Ich zitiere mal: „Jede Datenverarbeitung muss rechtmäßig erfolgen, anhand vorab festgelegter Zwecke, transparent, in möglichst geringem Umfang und soll die Daten vor unberechtigter Veränderung sowie Verlust schützen.“
Das trifft es so ziemlich auf den Punkt. Ich habe unheimlich viel von Transparenz, Datenminimierung, Vertraulichkeit, Speicherbegrenzung und Zweckbindung gelesen, wobei ich gar nicht so tief ins Detail gehen will, denn der Sinn dahinter sollte wohl glasklar sein: der Schutz personenbezogener Daten steht an erster Stelle.
• Wer ist davon betroffen?
Kurz und schmerzhaft, wie beim Pflaster abziehen: wir sind alle betroffen. Jedes Unternehmen (vom riesigen Konzern bis zum kleinen Freiberufler), das in der EU ansässig und im Internet aktiv ist und/ oder personenbezogene Daten nutzt.
• Was droht bei Verstoß?
Nochmal Zähne zusammen beißen: Verstöße gegen die DSGVO bringen Bußgelder bis zu 20 Millionen Euro mit sich oder 4% des Umsatz des letzten Jahres. Abmahnungen und Gerichtsverfahren sind da wohl noch das geringere Übel.
• Was ist jetzt zu tun?
1. Darüber klar werden, welche Daten Ihr eigentlich auf Eurer Website erhebt
Bei personenbezogenen Daten, wie Name, Adresse, Geburtsdatum, Telefonnummer, Kontodaten etc. dürfte das recht fix gehen. Aber denkt auch an Online-Kennungen, wie Standorte, IP-Adressen und Cookies.
Checkliste:
( ) Speichert und/ oder übermittelt Ihr die IP-Adressen Eurer Website-Besucher?
( ) Erhebt Ihr in Eurer Kommentarfunktion die Email-Adresse und Nicknames der User?
( ) Habt Ihr ein Kontaktformular?
( ) Können Sich Eure Kunden für einen Newsletter anmelden?
( ) Analysiert Ihr das Nutzerverhalten über Cookies oder Analytics?
( ) Nutzt Ihr Social Media Plugins, die nicht datenschutzkonform sind?
Falls Ihr diese Fragen mit “Ja” beantwortet, empfehle ich, Euch unbedingt näher mit der DSGVO zu beschäftigen.
2. Verzeichnis von Verarbeitungsverträgen abschließen
Jedes Unternehmen, das nicht nur gelegentlich Daten verarbeitet, hat nun die Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten anzulegen.
Werdet Euch außerdem darüber im Klaren, welche Drittunternehmen dabei Zugriff auf die Daten Eurer Nutzer haben. Achtung: da gehört sogar Euer Webhoster dazu.
3. Auftragsverarbeitungsverträge mit Drittunternehmen abschließen
Mit jeder dieser Drittunternehmen, welches Zugang zu den personenbezogenen Daten Eurer Kunden hat, sollte Ihr Euch in einem Auftragsverarbeitungsvertrag absichern. Denkt daran: Euer Webhoster hat Zugriff auf IP-Adressen und Nachrichten. Der Dienstleister hinter Eurem Newsletter ist in Eure Datenerhebung involviert, ebenso wie Google Analytics. Musterverträge tummeln sich glücklicherweise genügend im Web.
Mein Tipp: anonymisiert die Google Analytics IP, beispielsweise mit der Funktion anonymizeIP.
4. Datenschutzerklärung aktualisieren
Was unbedingt in die Datenschutzerklärung rein muss, sind: die Zwecke der Datenverarbeitung, Name und Kontaktdaten vom Verantwortlichen sowie vom Datenschutzbeauftragten, gesetzliche Legitimation für die Datenverarbeitung, Empfänger der erhobenen Daten, die Speicherfrist, die Absicht, die Daten an Drittunternehmen oder Drittländer weiterzugeben, Rechte auf Auskunft und Löschung, Beschwerderecht bei der Datenschutzaufsichtsbehörde.
Dabei müsst Ihr die Informationen präzise, transparent, verständlich und leicht zugänglich verfassen.
Ich empfehle hier den Guide von Thomas Schwenke für 99€ oder das Premium-Abo bei eRecht 24 abzuschließen, wenn Ihr auf Nummer sicher gehen wollt.
5. Website auf HTTPS umstellen
Mit der SSL-Verschlüsselung erhöht sich die Sicherheit Eurer Website und die Daten zwischen Server und Browser werden verschlüsselt übetragen. Die Umstellung ist häufig über den eigenen Webhoster möglich und gar nicht so schwierig. Schaut Euch doch mal diese tolle Schritt-für-Schritt-Anleitung an.
6. Kontaktformular, Newsletter und Kommentarfunktion berücksichtigen
Diese Features brauchen nun eine explizite Einwilligung für Übertragung, Speichern und Verarbeitung der Daten. Ich empfehle hier einen Hinweis und einen Link zur Datenschutzerklärung, bevor der User Kommentar oder Kontaktanfrage absendet, beispielsweise in einer Checkbox, die sich mit dem Plugin WP Discos konfigurieren lässt.
Newsletter-Abos müssen über Double-Opt-In laufen und nachdem jemand Euren Newsletter abbestellt hat, müsst Ihr seine Daten auch unverzüglich löschen.
7. Tracker identifizieren
Alle Schritte umgesetzt? Perfekt, doch es kann immer noch vorkommen, dass im Hintergrund Eurer Page technische Prozesse ablaufen, die Euch gar nicht bewusst sind. Um beispielsweise Verknüpfungen oder Tracking-Aktivitäten ausfindig zu machen, empfehle ich das Tool Ghostery.
Nochmal zusammenfassend:
Fragt nur Daten ab, die Ihr auch tatsächlich braucht und erfasst diese auf rechtmäßige Weise und für den vorgesehenen Zweck.
Holt Euch die erforderlichen Einwilligungen ein, um den User über den Zweck der Datenerhebung genauestens zu informieren. Diese Einwilligungen müssen jedoch auch jederzeit widerrufen werden können.
Bewahrt die personenbezogenen Daten nur so lange, wie nötig und in einem sicheren Umfeld auf, wobei Verfahren wie die SSL-Verschlüsselung oder Pseudonymisierung zum Einsatz kommen.
Führt Nachweise über jegliche Datenverarbeitungsprozesse und prüft die gespeicherten Daten regelmäßig.
Achtet im ganzen Unternehmen auf datenschutzkonforme Vorgänge, wie Vertragsgestaltung, Dokumentationen und Löschpflichten.
Bringt in Erfahrung, on Ihr einen Datenschutzbeauftragten einstellen müsst.
• Was ist nun das Positive daran?
Klar, Online-Marketing und die Kommunikation mit Kunden werden nun deutlich schwieriger für uns. Doch verlassen wir einmal die Unternehmersicht und versetzen uns in die Rolle des Verbrauchers. Für diese wird es nämlich im bisher undurchschaubarem Daten-Dschungel endlich transparenter, was mit deren Daten eigentlich geschieht. Der Kunde als solcher wird wieder wertvoller, da es nicht mehr so einfach sein wird, seine Aufmerksamkeit zu erregen. Endlich werden Verbraucher und Konsumenten gleichermaßen für das Thema Datenschutz sensibilisiert – auch wenn uns das sicher nicht vor Massenüberwachung und Big Data schützt.
Disclaimer: Ich möchte betonen, dass dies nur die wichtigsten Punkte sind, die es zu berücksichtigen gilt. Diese Punkte entsprechen keiner Rechtsberatung und sollten in jedem Falle noch einmal mit Eurem Anwalt oder Eurem Datenschutzbeauftragten besprochen werden.
Schreibe einen Kommentar