Deine Daten. Meine Daten. Unsere Daten.
Der gemeinsame Nenner: die DSGVO
Voll in Kraft getreten ist die Datenschutz-Grundverordnung (DSGVO)für alle EU Mitgliedstaaten bindende, europäische Verordnung zum 25. Mai 2018 und versetzte den ein oder anderen Geschäftsführer in angsterfüllte Konfusion. Grund dafür gibt es aber nicht unbedingt.
Ziel der neuen Regelung ist, die Verarbeitung personenbezogener Daten zu vereinheitlichen, um so eine höhere Sicherheit der persönlichen Informationen zu gewährleisten.
Firmen, die sich bis dato nicht oder nicht ausreichend mit dem bereits vorhandenen Bundesdatenschutzgesetz auseinandergesetzt und daraufhin entsprechende Vorkehrungen getroffen haben, standen nach der Verabschiedung des Gesetzes vor der Notwendigkeit, einige Anpassungen innerhalb ihrer Prozess-, Dokumentations- und Informationsstruktur vorzunehmen.
Doch worum handelt es sich dabei eigentlich im Detail?
Was bedeutet es „DSGVO-konform” zu handeln?
Schlicht ist die Antwort auf diese Frage nicht, trivial umso weniger. Denn die DSGVO ist sehr vielschichtig und bezieht sich auf alle Bereiche und Handlungen eines Unternehmens, bei denen personenbezogene Daten entgegengenommen, verarbeitet und weitergeleitet werden. Dies betrifft das ganze Spektrum von Daten “Schnittstellen” - angefangen bei den Kunden, über die eigenen Mitarbeiter bis hin zu externen Dienstleistern. Eine prägnante Antwort wäre also gewagt.
Dennoch werden wir den Versuch unternehmen und Ihnen einige handliche Hinweise geben.
Im Folgenden finden Sie einige praktische Fragen, die Sie sich in diesem Kontext stellen können, um Ihre aktuelle Unternehmenspraxis hinsichtlich der DSGVO und personenbezogenen Daten zu hinterfragen:
FAQ zur DSGVO
Wann handelt es sich um personenbezogene Daten?
Per Definition fallen alle Informationen, die Rückschlüsse auf eine reale Person zulassen und sie somit identifizierbar machen, unter personenbezogene Daten. Hierzu zählen auch Standortdaten und Device Tracking.
Wie werden personenbezogene Daten anonymisiert verarbeitet?
Definition: Anonymisiert bedeutet in diesem Kontext, dass auf das Individuum keine Rückschlüsse mehr geschlossen werden können.
Wann ist die Nutzung personenbezogener Daten gemäß der DSGVO zulässig?
Es gibt gesetzlich erlaubte Umstände, die eine solche Datenverarbeitung legitimieren. Darunter fallen:
- Verträge mit und Anfragen von der betreffenden Person
- Gesetzliche Verpflichtungen, wie beispielsweise die Aufbewahrung von Rechnungen über einen gewissen Zeitraum
- Vorliegen eines berechtigten Interesses, welches jedoch immer gegenüber dem Interesse des Nutzers am Datenschutz abzuwägen ist.
So ist beispielsweise die Abfrage von Informationen, die von dem Nutzer selbst als „typischerweise eingeholte Informationen“ eingestuft werden, als legitim anzusehen. Sind jedoch relevante Nachteile des Nutzers dadurch zu erwarten und überwiegt das rein wirtschaftliche Interesse, ist mit Konsequenzen zu rechnen, wenn diese Daten erhoben werden.
Habe ich Datenschutzverträge mit Subunternehmen aus EU oder Drittländern?
Hier wird es dann auch wirklich knifflig. Denn eine dritte Partei im Spiel zu haben, macht die Sache nicht einfacher. Eine vertragliche Verpflichtung zu Datenschutz Grundsätzen des Vertragspartners ist zwingend. Weniger Komplikationen gibt es zwar, wenn der Vertragspartner ebenfalls in der EU ansässig ist, jedoch sind auch hier weitere vertragliche Regeln festzuhalten, um den Datenschutz zu gewährleisten.
Verwende ich Daten von Personen unter 16 Jahren?
Ja. Richtig gehört. Auch diese Frage will wohl überlegt sein. Denn die Datenverarbeitung dieser Zielgruppe ist zunächst per se nicht erlaubt.
DSGVO Anforderungen für Websites
Denken wir nun an Websites und die unvermeidliche Zwangshochzeit mit der DSGVO, könnte der ein oder andere Firmeninhaber oder Datenschutzbeauftragte die Hände über dem Kopf zusammenschlagen. Doch das ist nicht nötig. Im Grunde sind die DSGVO Bestimmungen bei Websites sehr einfach zu implementieren.
Allgemein gilt: Aufklärung gehört nicht nur in eine gute Kinderstube - auch Website Nutzer haben gemäß der EU Datenschutz Verordnung ein Recht darauf, umfassend, transparent und verständlich aufgeklärt zu werden.
Hierzu benötigen zeitgemäße Websites heute eine Datenschutzerklärung und die proaktive Opt-In Einwilligung des Nutzers. Plugins, Pixel und andere Tools von Drittanbietern dürfen nur dann in eine Website integriert werden, wenn entsprechende Rahmenbedingungen zur Datenschutzkonformität existieren oder geschaffen werden.
Datenschutzerklärung
Die Aufgabe der Datenschutzerklärung ist es, den Nutzer darüber aufzuklären, wie die Online-Datensammlung gestaltet ist (Art. 13/14 DSGVO). Das heißt im Klartext: Der Nutzer muss über Art und Weise der Verarbeitung aufgeklärt werden, sowie darüber, welche Parteien und Tools hierbei involviert sind, wann die Daten wieder gelöscht werden, sowie welche Rechte der Bereitsteller der Daten hat. Darüber hinaus muss die Erklärung selbst sehr einfach auf der Webseite zu finden sein und muss transparent und verständlich formuliert sein.
Opt-In Einwilligung
Ein Cookie ist mehr als ein Keks. Es ist das Eintrittstor zur Datenbereitstellung: Neben der Datenschutzerklärung ist die aktive Einwilligung in die Verarbeitung der Daten ein unabdingbarer Bestandteil jeder Webseite.
Kaum jemand kennt die aufpoppenden Cookie-Push-Nachrichten nicht: „Diese Webseite benutzt Cookies zur Verbesserung der Servicequalität. Wenn Sie die Website weiter nutzen, stimmen Sie der Verwendung der Cookies zu.“ Eine wichtige Voraussetzung dieser Einwilligungsabfrage ist die Tatsache der Freiwilligkeit.
Das bedeutet:
- Freiwillig ist, wenn der Kunde eine echte Wahl hat. Dies weist dem Kunden einen essentiellen proaktiven Part in diesem Vorgang zu. Denn er muss aktiv werden, um diese Einwilligung abzugeben.
- Freiwillig ist, wenn der Kunde seine Einwilligung jederzeit widerrufen kann. Dies setzt - wie bereits erwähnt - voraus, dass der Nutzer über die Behandlung seiner datenbezogenen Daten, Rechte & Pflichten ausreichend aufgeklärt ist.
Etablierte Content Management Systeme wie Wordpress und Co. greifen bereits auf ein automatisch generiertes Cookie-Banner zurück, auch in TYPO3 lässt es sich einfach integrieren. Ein solches Banner muss auch bei allen anderen Webseiten integriert werden.
Plugins, Pixel & andere Drittparteien
Auch bei der Einbindung von Plugins, Pixeln oder anderen Tools von Drittparteien - wie beispielsweise von Facebook - müssen bestimmte Vorkehrungen getroffen werden, gerade weil die großen Datenkraken wie Facebook, Google & Co. nicht in der EU ansässig sind. Bereits definierte Regularien, wie das „Privacy Shield“ oder „Data-Processing-Agreement“ zertifizieren und verpflichten Firmen aus Drittländern, die EU-Datenschutzvorgaben einzuhalten. Mit Organisationen, die eine solche Zertifizierung vorweisen können, kann folglich kooperiert werden.
Darüber hinaus gilt es, sich vertraglich mit der entsprechenden Drittpartei auf ein gemeinsames Datenverarbeitungsvorgehen zu verständigen. Hierbei handelt es sich um einen sogenannten „Auftragsverarbeitungsvertrag“. Bei einer solchen grenzübergreifenden Zusammenarbeit sind sowohl der , als auch – und vor allem – der Informationspflicht, den Kunden über diese Kollaboration aufzuschlauen, Folge zu leisten. An dieser sind selbstverständlich erneut die Grundlagen einer freiwilligen, proaktiven Einwilligung seitens des Kunden zu berücksichtigen.
Fleiß hat seinen Preis und Preise wollen gewonnen werden
Neben den anfallenden Anpassungen an die DSGVO gilt darüber hinaus auch immer die Dokumentationspflicht über die Tätigkeiten, Prozesse und Vorkehrungen rund um die Sicherstellung des Datenschutzes. Dies wird auch als Rechenschaftspflicht (engl. Accountability) bezeichnet und stellt eine wesentliche Komponente der DSGVO dar. Sich hierfür ein anzulegen ist definitiv empfehlenswert und macht allzeit auskunftsbereit.
Hilfreiche Links
Im Folgenden finden Sie einige Links, die Ihnen bei der Optimierung Ihrer Firma zur Datenschutzkonformität hilfreich sein können!
Allgemeines
Allgemeine Informationen über die DSGVO:
https://dsgvo-gesetz.de/
Standarddatenschutzklauseln beim Auftragsverarbeitungsvertrag:
https://ec.europa.eu/info/law/law-topic/data-protection_en
Verarbeitungsverzeichnis:
https://www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html
Ihre DSGVO konforme Website
Einbindung von Facebook in die eigene Webseite gemäß DSGVO:
https://www.facebook.com/business/gdpr
Einbindung von Google Analytics gemäß DSGVO:
https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/
Fazit
Die Datenschutzverordnung ist ein umfangreiches und technisches Thema, das wir in einem Artikel nicht hinreichend ausführen können. Dennoch haben wir versucht, Ihnen in diesem Artikel ein Grundverständnis an die Hand zu geben, mit dem Sie arbeiten können. Denn die DSG Verordnung ist für jedermann ein Thema – ganz besonders, wenn man online präsent ist.
Nun wissen Sie vor lauter Artikeln und Klauseln nicht mehr wo Ihnen der Kopf steht?! Melden Sie sich gern. Wir bringen Ordnung und Struktur in Ihre Online-Präsenz und zeigen, dass die neuen Regelungen kein Buch mit sieben Siegeln sind. Mit hunderten DSGVO Updates für Kundenprojekte seit Anfang des Jahres, sind wir notgedrungen zu Datenschutz-Experten avanciert.
Über den Autor
Richard Albrecht ist Webentwickler, SEO und CEO und betreut mit seinem Unternehmen Kunden in ganz Deutschland. Gemeinsam haben sie seit 2006 über 1300 Website Projekte realisiert.
Richard berät als Dozent bei Seminaren und Veranstaltungen (z.B. Handelskammer und Handwerkskammer Hamburg oder Hamburger Gründertag) und veröffentlicht ab und zu über Themen, in die er sich bei der Arbeit tief eingearbeitet hat. Meist schreibt er über die technische und inhaltliche Optimierung von Websites und Suchmaschinenoptimierung.