Meine Daten

Deine Daten. Meine Daten. Unsere Daten.
Der gemeinsame Nenner: die DSGVO

Voll in Kraft getreten ist die fĂŒr alle EU Mitgliedstaaten bindende, europĂ€ische Verordnung zum 25. Mai 2018 und versetzte den ein oder anderen GeschĂ€ftsfĂŒhrer in angsterfĂŒllte Konfusion. Grund dafĂŒr gibt es aber nicht unbedingt. 

Ziel der neuen Regelung ist, die Verarbeitung personenbezogener Daten zu vereinheitlichen, um so eine höhere Sicherheit der persönlichen Informationen zu gewĂ€hrleisten. 

Firmen, die sich bis dato nicht oder nicht ausreichend mit dem bereits vorhandenen Bundesdatenschutzgesetz auseinandergesetzt und daraufhin entsprechende Vorkehrungen getroffen haben, standen nach der Verabschiedung des Gesetzes vor der Notwendigkeit, einige Anpassungen innerhalb ihrer Prozess-, Dokumentations- und Informationsstruktur vorzunehmen. 

Doch worum handelt es sich dabei eigentlich im Detail? 

Was bedeutet es „DSGVO-konform” zu handeln?

Schlicht ist die Antwort auf diese Frage nicht, trivial umso weniger. Denn die DSGVO ist sehr vielschichtig und bezieht sich auf alle Bereiche und Handlungen eines Unternehmens, bei denen personenbezogene Daten entgegengenommen, verarbeitet und weitergeleitet werden. Dies betrifft das ganze Spektrum von Daten “Schnittstellen” - angefangen bei den Kunden, ĂŒber die eigenen Mitarbeiter bis hin zu externen Dienstleistern. Eine prĂ€gnante Antwort wĂ€re also gewagt.

Dennoch werden wir den Versuch unternehmen und Ihnen einige handliche Hinweise geben.

Im Folgenden finden Sie einige praktische Fragen, die Sie sich in diesem Kontext stellen können, um Ihre aktuelle Unternehmenspraxis hinsichtlich der DSGVO und personenbezogenen Daten zu hinterfragen: 

Datenschutz Grundverordnung, DSGVO 2018

FAQ zur DSGVO

Wann handelt es sich um personenbezogene Daten? 

Per Definition fallen alle Informationen, die RĂŒckschlĂŒsse auf eine reale Person zulassen und sie somit identifizierbar machen, unter personenbezogene Daten. Hierzu zĂ€hlen auch Standortdaten und Device Tracking. 

Wie werden personenbezogene Daten anonymisiert verarbeitet?

Definition: Anonymisiert bedeutet in diesem Kontext, dass auf das Individuum keine RĂŒckschlĂŒsse mehr geschlossen werden können.

Wann ist die Nutzung personenbezogener Daten gemĂ€ĂŸ der DSGVO zulĂ€ssig?

Es gibt gesetzlich erlaubte UmstĂ€nde, die eine solche Datenverarbeitung legitimieren. Darunter fallen: 

  • VertrĂ€ge mit und Anfragen von der betreffenden Person
  • Gesetzliche Verpflichtungen, wie beispielsweise die Aufbewahrung von Rechnungen ĂŒber einen gewissen Zeitraum
  • Vorliegen eines berechtigten Interesses, welches jedoch immer gegenĂŒber dem Interesse des Nutzers am Datenschutz abzuwĂ€gen ist.

    So ist beispielsweise die Abfrage von Informationen, die von dem Nutzer selbst als „typischerweise eingeholte Informationen“ eingestuft werden, als legitim anzusehen. Sind jedoch relevante Nachteile des Nutzers dadurch zu erwarten und ĂŒberwiegt das rein wirtschaftliche Interesse, ist mit Konsequenzen zu rechnen, wenn diese Daten erhoben werden.

Habe ich DatenschutzvertrĂ€ge mit Subunternehmen aus EU oder DrittlĂ€ndern? 

Hier wird es dann auch wirklich knifflig. Denn eine dritte Partei im Spiel zu haben, macht die Sache nicht einfacher. Eine vertragliche Verpflichtung zu Datenschutz GrundsÀtzen des Vertragspartners ist zwingend. Weniger Komplikationen gibt es zwar, wenn der Vertragspartner ebenfalls in der EU ansÀssig ist, jedoch sind auch hier weitere vertragliche Regeln festzuhalten, um den Datenschutz zu gewÀhrleisten.

Verwende ich Daten von Personen unter 16 Jahren? 

Ja. Richtig gehört. Auch diese Frage will wohl ĂŒberlegt sein. Denn die Datenverarbeitung dieser Zielgruppe ist zunĂ€chst per se nicht erlaubt. 

DSGVO Anforderungen fĂŒr Websites

Denken wir nun an Websites und die unvermeidliche Zwangshochzeit mit der DSGVO, könnte der ein oder andere Firmeninhaber oder Datenschutzbeauftragte die HĂ€nde ĂŒber dem Kopf zusammenschlagen. Doch das ist nicht nötig. Im Grunde sind die DSGVO Bestimmungen bei Websites sehr einfach zu implementieren. 

Allgemein gilt: AufklĂ€rung gehört nicht nur in eine gute Kinderstube - auch Website Nutzer haben gemĂ€ĂŸ der EU Datenschutz Verordnung ein Recht darauf, umfassend, transparent und verstĂ€ndlich aufgeklĂ€rt zu werden. 

Hierzu benötigen zeitgemĂ€ĂŸe Websites heute eine DatenschutzerklĂ€rung und die proaktive Opt-In Einwilligung des Nutzers. Plugins, Pixel und andere Tools von Drittanbietern dĂŒrfen nur dann in eine Website integriert werden, wenn entsprechende Rahmenbedingungen zur DatenschutzkonformitĂ€t existieren oder geschaffen werden. 

DatenschutzerklÀrung

Die Aufgabe der DatenschutzerklĂ€rung ist es, den Nutzer darĂŒber aufzuklĂ€ren, wie die Online-Datensammlung gestaltet ist (Art. 13/14 DSGVO). Das heißt im Klartext: Der Nutzer muss ĂŒber Art und Weise der Verarbeitung aufgeklĂ€rt werden, sowie darĂŒber, welche Parteien und Tools hierbei involviert sind, wann die Daten wieder gelöscht werden, sowie welche Rechte der Bereitsteller der Daten hat. DarĂŒber hinaus muss die ErklĂ€rung selbst sehr einfach auf der Webseite zu finden sein und muss transparent und verstĂ€ndlich formuliert sein.

Opt-In Einwilligung

Ein Cookie ist mehr als ein Keks. Es ist das Eintrittstor zur Datenbereitstellung: Neben der DatenschutzerklĂ€rung ist die aktive Einwilligung in die Verarbeitung der Daten ein unabdingbarer Bestandteil jeder Webseite. 

Kaum jemand kennt die aufpoppenden Cookie-Push-Nachrichten nicht: „Diese Webseite benutzt Cookies zur Verbesserung der ServicequalitĂ€t. Wenn Sie die Website weiter nutzen, stimmen Sie der Verwendung der Cookies zu.“ Eine wichtige Voraussetzung dieser Einwilligungsabfrage ist die Tatsache der Freiwilligkeit. 

Das bedeutet:

  • Freiwillig ist, wenn der Kunde eine echte Wahl hat. Dies weist dem Kunden einen essentiellen proaktiven Part in diesem Vorgang zu. Denn er muss aktiv werden, um diese Einwilligung abzugeben.
  • Freiwillig ist, wenn der Kunde seine Einwilligung jederzeit widerrufen kann. Dies setzt - wie bereits erwĂ€hnt - voraus, dass der Nutzer ĂŒber die Behandlung seiner datenbezogenen Daten, Rechte & Pflichten ausreichend aufgeklĂ€rt ist. 

Etablierte Content Management Systeme wie Wordpress und Co. greifen bereits auf ein automatisch generiertes Cookie-Banner zurĂŒck, auch in TYPO3 lĂ€sst es sich einfach integrieren. Ein solches Banner muss auch bei allen anderen Webseiten integriert werden.

Plugins, Pixel & andere Drittparteien

Auch bei der Einbindung von Plugins, Pixeln oder anderen Tools von Drittparteien - wie beispielsweise von Facebook - mĂŒssen bestimmte Vorkehrungen getroffen werden, gerade weil die großen Datenkraken wie Facebook, Google & Co. nicht in der EU ansĂ€ssig sind. Bereits definierte Regularien, wie das „Privacy Shield“ oder „Data-Processing-Agreement“ zertifizieren und verpflichten Firmen aus DrittlĂ€ndern, die EU-Datenschutzvorgaben einzuhalten. Mit Organisationen, die eine solche Zertifizierung vorweisen können, kann folglich kooperiert werden. 

DarĂŒber hinaus gilt es, sich vertraglich mit der entsprechenden Drittpartei auf ein gemeinsames Datenverarbeitungsvorgehen zu verstĂ€ndigen. Hierbei handelt es sich um einen sogenannten „Auftragsverarbeitungsvertrag“. Bei einer solchen grenzĂŒbergreifenden Zusammenarbeit sind sowohl der , als auch – und vor allem – der Informationspflicht, den Kunden ĂŒber diese Kollaboration aufzuschlauen, Folge zu leisten. An dieser sind selbstverstĂ€ndlich erneut die Grundlagen einer freiwilligen, proaktiven Einwilligung seitens des Kunden zu berĂŒcksichtigen. 

Fleiß hat seinen Preis und Preise wollen gewonnen werden

Neben den anfallenden Anpassungen an die DSGVO gilt darĂŒber hinaus auch immer die Dokumentationspflicht ĂŒber die TĂ€tigkeiten, Prozesse und Vorkehrungen rund um die Sicherstellung des Datenschutzes. Dies wird auch als Rechenschaftspflicht (engl. Accountability) bezeichnet und stellt eine wesentliche Komponente der DSGVO dar. Sich hierfĂŒr ein  anzulegen ist definitiv empfehlenswert und macht allzeit auskunftsbereit. 

Hilfreiche Links

Im Folgenden finden Sie einige Links, die Ihnen bei der Optimierung Ihrer Firma zur DatenschutzkonformitÀt hilfreich sein können!

Allgemeines

Allgemeine Informationen ĂŒber die DSGVO:
https://dsgvo-gesetz.de/ 

Standarddatenschutzklauseln beim Auftragsverarbeitungsvertrag:
https://ec.europa.eu/info/law/law-topic/data-protection_en 

Verarbeitungsverzeichnis:
https://www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html

Ihre DSGVO konforme Website 

Einbindung von Facebook in die eigene Webseite gemĂ€ĂŸ DSGVO:
https://www.facebook.com/business/gdpr

Einbindung von Google Analytics gemĂ€ĂŸ DSGVO:
https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/ 

Fazit

Die Datenschutzverordnung ist ein umfangreiches und technisches Thema, das wir in einem Artikel nicht hinreichend ausfĂŒhren können. Dennoch haben wir versucht, Ihnen in diesem Artikel ein GrundverstĂ€ndnis an die Hand zu geben, mit dem Sie arbeiten können. Denn die DSG Verordnung ist fĂŒr jedermann ein Thema – ganz besonders, wenn man online prĂ€sent ist. 

Nun wissen Sie vor lauter Artikeln und Klauseln nicht mehr wo Ihnen der Kopf steht?! Melden Sie sich gern. Wir bringen Ordnung und Struktur in Ihre Online-PrĂ€senz und zeigen, dass die neuen Regelungen kein Buch mit sieben Siegeln sind. Mit hunderten DSGVO Updates fĂŒr Kundenprojekte seit Anfang des Jahres, sind wir notgedrungen zu Datenschutz-Experten avanciert.