Datenschutz-Grundverordnung (DSGVO) – Was ist jetzt zu tun?

In den letzten Wochen und Monaten hat mich gelegentlich die Panik gepackt bei dem Gedanken, was mit der DSGVO, die am 25. Mai 2018 in Kraft tritt, auf alle Webeitenbetreiber und damit natürlich auch auf Webworker wie mich zukommt.

Vorübergehend habe ich sehr ernsthaft darüber nachgedacht, meine Brötchen künftig irgendwie anders zu verdienen. Aber wie das mit Neuerungen meist so ist: Nach den ersten Panik-Attacken hilft es, einmal tief durchzuatmen, die Fakten zu sortieren und dann sieht es meist gar nicht mehr so schlimm aus.

Bevor ich die einzelnen Aspekte der DSGVO beleuchte, noch ein kurzer, aber wichtiger Disclaimer:

Ich bin kein Jurist und kann mit diesem Blog-Beitrag auch keine Rechtsberatung leisten. Ich zeige Dir hier mein Verständnis der DSGVO und die aus meiner Sicht notwendigen Schritte auf. Diese erheben jedoch keinen Anspruch auf Vollständigkeit und ich kann hierfür auch keine Haftung übernehmen. Um sicherzustellen, dass für Deine spezielle Situation alles bedacht ist, kontaktiere bitte unbedingt einen Rechtsanwalt.

Warum überhaupt DSGVO

Die DSGVO ist im Grundsatz eine gute Sache. Denn es geht in der neuen Datenschutz-Grundverordnung nicht darum, Webseitenbetreiber das Leben schwer zu machen wie so mancher vielleicht denken mag. Die Intention der DSGVO ist eine sehr wichtige: Unser aller persönliche Daten sollen durch das neue Gesetzt besser geschützt werden. Wir alle – Du, ich, die Besucher unserer Websites – sollen Kontrolle darüber haben, wo unsere Daten gespeichert werden, warum und wie lange. Und wir bekommen durch die DSGVO das Recht, auf die Löschung unserer Daten zu bestehen.

Und auch, wenn die Panik betreffend der DSGVO große Wellen schlägt: In Deutschland ist vieles von dem, was die DSGVO regelt nicht neu. Ernesto Ruge hat dazu einen viel beachteten und sehr lesenswerten Artikel veröffentlich.

Um welche Daten geht es überhaupt?

Die DSGVO kümmert sich um den Schutz „personenbezogener Daten“.

Personenbezogene Daten sind unter anderem:

  • Name
  • Adresse
  • Geburtsdatum
  • Kontodaten
  • Religion
  • Aufenthaltsort
  • Krankheiten
  • Telefonnumer
  • E-Mail-Adresse
  • IP-Adresse

Was ist jetzt zu tun?

Buchhaltung, Kundenkartei und Co

Erst einmal ist es mir wichtig darauf hinzuweisen, dass die DSGVO nicht nur Deine Website betrifft, sondern Dein gesamtes Business. Das geht in der aktuellen Diskussion meines Erachtens ein wenig unter.

Heißt: Du musst grundsätzlich dokumentieren, wofür Du Daten Dritter erfasst und speicherst, wo Du das tust und wie lange diese Daten aufbewahrt werden.

Das gilt auch für Deinen Office-Bereich. Nutzt Du eine Buchhaltungs-Software, in der Du die Rechnungs-Adresse Deiner Kunden speicherst? Führst Du eine Kundenkartei, in der Du Daten Deiner Kunden erfasst (egal, ob elektronisch oder als Karteikasten-Box)? Benutzt Du ein CRM um Deine Kontakte zu verwalten? All diese Bereiche werden vom DSGVO mit abgedeckt.

Nach meinem Kenntnisstand reicht es für solche Datenerfassung aus, wenn Du eine Excel-Liste führst, in der genau dokumentiert wird, welche Daten mit welchem System warum erfasst werden und wie lange diese Daten gespeichert werden.

Online-Tools und Cloud-Dienste

Wenn Du die Daten Deiner Kunden nicht auf Deinem eigenen Rechner speicherst sondern dafür Systeme externer Dienstleister nutzt (also die Daten auf deren Server speicherst) wird die Sache ein klein wenig komplexer.

Spontan fallen mir dazu ein (nicht vollumfänglich):

  • Online-Tools für die Buchhaltung ein wie Fastbill oder Debitoor,
  • Online-CRMs wie Zoho oder Salesforce,
  • Newsletter-Dienste wie CleverReach, KlickTipp, Mailchimp, ActiveCampaign etc.

Auch in diesem Fall musst Du – wie oben beschrieben – dokumentieren, welche Daten Du erfasst. Aber da Du die Daten von Dritten speichern lässt musst Du zusätzlich mit dem Anbieter des Online-Tools einen sogenannten „Vertrag zur Auftragsdatenverarbeitung“ (ADV) abschließen, in dem geregelt ist, was der Betreiber des Tools mit den in Deinem Auftrag gespeicherten Daten tun darf und was nicht.

Die meisten großen Anbieter haben bereits fertige Verträge zur Auftragsdatenverarbeitung, die sie zur Verfügung stellen oder arbeiten daran, diese Verträge bis zum 25. Mai 2018 abschließen zu können.

Ich empfehle Dir, eine Liste aller Tools zu erstellen, die Du aktuell nutzt. Dann prüfst Du, in welchen dieser Tools Du die Daten von Dritten (Kunden, Interessenten, Abonnenten, etc.) speicherst und kontaktierst dann den Support des jeweiligen Tools, um einen Vertrag zur Auftragsdatenverarbeitung abzuschließen.

Online-Auftritt

Wesentlich komplexer wird das ganze, wenn es um Deinen Internet-Auftritt geht. Denn dann spielen sehr viele Faktoren eine Rolle, an die man im ersten Moment gar nicht denkt.

Teil 2: DSGVO – Der Online-Auftritt
Teil 3: DSGVO – Was hat das mit Plugins zu tun
Teil 4: DSGVO – Plugins Teil 2

Beitragsbild:
©Onypix – Fotolia.de

Print Friendly, PDF & Email

Kommentare

Datenschutz-Grundverordnung (DSGVO) – Was ist jetzt zu tun? — 20 Kommentare

  1. Vielen Dank, dass du dieses Thema aufgreifst. Ich will keine Panik verbreiten, aber einige Fragen dazu bereiten mir noch ziemliche Kopfzerbrechen:

    1. Viele Dienste speichern im Hintergrund die IP Adressen und senden diese in die USA: Youtube, Vimeo, Gravatar, Google Maps, Google Fonts, usw. Kann ich diese überhaupt noch nutzen, oder schwebt da immer ein Damoklesschwert von Abmahnung oder Bußgelder über dem Haupt des Webseitenbetreibers?

    2. Bei vielen Plugins kann ich überhaupt nicht beurteilen, welche Daten hin und her geschickt werden. Wie soll ich da vorgehen? Gibt es dazu irgendwelche Listen?

    3. Datenminimierung: Darf ich bei Kommentaren überhaupt die Emailadresse und den Namen als Pflichtfeld fordern und die IP abspeichern? Wie kann ich das verhindern?

    4. Das Koppelungsverbot fordert eine neue Leadgewinnungs Strategie. Gibt es dazu Ideen?

  2. 1. Youtube kann datenschutzkonform genutzt werden, indem man den Erweiterten Datenschutzmodus benutzt. Simple Sache: statt http://www.youtube.de wird beim Einbetten einfach http://www.youtube-nocookie.de verwendet. Mit Google, Vimeo etc. müssen ADV geschlossen werden. Das geht bei Google recht einfach: PDF runterladen, unterschreiben, nach Irland schicken: https://www.google.com/analytics/terms/de.pdf
    Für die anderen Firmen: selber Googeln! Google Fonts: sämtliche Schriften lassen sich auch herunterladen und lokal einbinden. Lizenzen beachten!
    2. Listen gibt es sicher nicht, es bleibt dort wohl nichts anderes übrig, als ggf. den Quellcode zu studieren.
    3. Namen und Mailadresse, IP: Ja, das geht. Allerdings sollte der Hinweis vorhanden sein, dass mit dem Abschicken des Formulars der Verarbeitung der Daten zugestimmt wird. Idealerweise sogar mit einer eigenen Checkbox zum ankreuzen. Bonuspunkte gibts für den Hinweis, dass die Einwilligung jederzeit widerrufen werden kann und ein Verweis auf die Datenschutzrichtlinie.

    • Hallo Martin, ganz herzlichen Dank für das ausführliche Feedback.

      Bei Youtube bin ich aber nicht sicher, ob das genügt. Das Probem ist ja nicht nur das Cookie, sondern das beim Aufruf von Youtube-Videos auf der Website Daten an Youtube übertragen werden. Soweit ich das bisher überblicke dürften Youtube-Videos erst geladen werden, nachdem der Website-Besucher ein Overlay bestätigt, dass ihm bewusst ist, das mit ansehen des Videos Daten an Youtube übertragen werden.

      Das gilt analog auch für Plattformen wie zum Beispiel Vimeo.

      Ich lasse mich aber auch gern eines besseren belehren, wenn mein Kenntnisstand hierzu falsch ist.

      Herzliche Grüße
      Michaela

    • „Allerdings sollte der Hinweis vorhanden sein, dass mit dem Abschicken des Formulars der Verarbeitung der Daten zugestimmt wird. Idealerweise sogar mit einer eigenen Checkbox zum ankreuzen.“ wie bindet man das technisch ein?

      • So eine Checkbox kannst Du normalerweise über einen Auswahlbutton einbinden. In Contact Form 7 gibt es dafür einen eigenen Tag „Checkbox“. Wichtig ist nur, dass der nicht voraktiviert ist.

        Herzliche Grüße
        Michaela

        • Hallo Michaela, vielen Dank für die Antwort. Ich kenne und nutze Contakt Form 7 auch, hab das Plugin aber jetzt deaktiviert. Über das Kontaktformular kamen kaum Anfragen und ich schmeiße alles raus, was nicht unbedingt notwendig ist.

          Aber, wie binde ich die Checkbox unter dem Kommentarfeld ein? Das habe ich nicht verstanden.

    • Eine Alternative (wenn auch keine gute) wäre, die Videos selbst zu hosten. Aber das ist wegen Performance und Browserkompatibilität normalerweise keine gute Idee.

      Was ich jetzt schon ein paarmal gehört habe: Statt des Videos eine Grafik einbinden und die auf Vimeo oder Youtube verlinkt. Das Video wird dann erst bei Klick auf die Grafik geladen. Und man kann über der Grafik darauf hinweisen, dass bei Klick auf das Video Daten übermittelt werden.

      • Ich nutze Vimeo für meinen kostenpflichtigen Kurs, da ist so ein Link auf eine Grafik nicht praktikabel. Wie machst du das? Du hast doch auch Videokurse?

  3. Klasse Michaela, sehr hilfreich, was Du uns hier näher bringst.

    Ergänzen würde ich Office365, wenn direkt über Microsoft abgeschlossen. Die Daten liegen dann ja in den USA.

    • Hallo Rositta,

      Du meinst, weil dann die E-Mails über die USA laufen wenn man Outlook nutzt? Wichtiger Hinweis, da wäre ich von allein nicht drübergestolpert.

      Vielen Dank dafür!

      Herzliche Grüße
      Michaela

  4. Pingback: WP-News: WordPress 5.0 Performance-Test & die RAIDBOXES WP-Community in Slack « RAIDBOXES

  5. Pingback: Die Datenschutzgrundverordnung und mein Blog – HorstScheuer

  6. Pingback: Neue Datenschutzverordnung ab Mai

  7. Pingback: Die 10 besten Informationsquellen zur neuen Datenschutz-Grundverordnung - sichtbar-im-netz

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


Ich möchte auch den WordPress-Rundbrief abonnieren