Datenschutz-Grundverordnung (DSGVO) – Was ist jetzt zu tun?
In den letzten Wochen und Monaten hat mich gelegentlich die Panik gepackt bei dem Gedanken, was mit der DSGVO, die am 25. Mai 2018 in Kraft tritt, auf alle Webeitenbetreiber und damit natürlich auch auf Webworker wie mich zukommt.
Vorübergehend habe ich sehr ernsthaft darüber nachgedacht, meine Brötchen künftig irgendwie anders zu verdienen. Aber wie das mit Neuerungen meist so ist: Nach den ersten Panik-Attacken hilft es, einmal tief durchzuatmen, die Fakten zu sortieren und dann sieht es meist gar nicht mehr so schlimm aus.
Bevor ich die einzelnen Aspekte der DSGVO beleuchte, noch ein kurzer, aber wichtiger Disclaimer:
Ich bin kein Jurist und kann mit diesem Blog-Beitrag auch keine Rechtsberatung leisten. Ich zeige Dir hier mein Verständnis der DSGVO und die aus meiner Sicht notwendigen Schritte auf. Diese erheben jedoch keinen Anspruch auf Vollständigkeit und ich kann hierfür auch keine Haftung übernehmen. Um sicherzustellen, dass für Deine spezielle Situation alles bedacht ist, kontaktiere bitte unbedingt einen Rechtsanwalt.
Warum überhaupt DSGVO
Die DSGVO ist im Grundsatz eine gute Sache. Denn es geht in der neuen Datenschutz-Grundverordnung nicht darum, Webseitenbetreiber das Leben schwer zu machen wie so mancher vielleicht denken mag. Die Intention der DSGVO ist eine sehr wichtige: Unser aller persönliche Daten sollen durch das neue Gesetzt besser geschützt werden. Wir alle – Du, ich, die Besucher unserer Websites – sollen Kontrolle darüber haben, wo unsere Daten gespeichert werden, warum und wie lange. Und wir bekommen durch die DSGVO das Recht, auf die Löschung unserer Daten zu bestehen.
Und auch, wenn die Panik betreffend der DSGVO große Wellen schlägt: In Deutschland ist vieles von dem, was die DSGVO regelt nicht neu. Ernesto Ruge hat dazu einen viel beachteten und sehr lesenswerten Artikel veröffentlich.
Um welche Daten geht es überhaupt?
Die DSGVO kümmert sich um den Schutz „personenbezogener Daten“.
Personenbezogene Daten sind unter anderem:
- Name
- Adresse
- Geburtsdatum
- Kontodaten
- Religion
- Aufenthaltsort
- Krankheiten
- Telefonnumer
- E-Mail-Adresse
- IP-Adresse
Was ist jetzt zu tun?
Buchhaltung, Kundenkartei und Co
Erst einmal ist es mir wichtig darauf hinzuweisen, dass die DSGVO nicht nur Deine Website betrifft, sondern Dein gesamtes Business. Das geht in der aktuellen Diskussion meines Erachtens ein wenig unter.
Heißt: Du musst grundsätzlich dokumentieren, wofür Du Daten Dritter erfasst und speicherst, wo Du das tust und wie lange diese Daten aufbewahrt werden.
Das gilt auch für Deinen Office-Bereich. Nutzt Du eine Buchhaltungs-Software, in der Du die Rechnungs-Adresse Deiner Kunden speicherst? Führst Du eine Kundenkartei, in der Du Daten Deiner Kunden erfasst (egal, ob elektronisch oder als Karteikasten-Box)? Benutzt Du ein CRM um Deine Kontakte zu verwalten? All diese Bereiche werden vom DSGVO mit abgedeckt.
Nach meinem Kenntnisstand reicht es für solche Datenerfassung aus, wenn Du eine Excel-Liste führst, in der genau dokumentiert wird, welche Daten mit welchem System warum erfasst werden und wie lange diese Daten gespeichert werden.
Online-Tools und Cloud-Dienste
Wenn Du die Daten Deiner Kunden nicht auf Deinem eigenen Rechner speicherst sondern dafür Systeme externer Dienstleister nutzt (also die Daten auf deren Server speicherst) wird die Sache ein klein wenig komplexer.
Spontan fallen mir dazu ein (nicht vollumfänglich):
- Online-Tools für die Buchhaltung ein wie Fastbill oder Debitoor,
- Online-CRMs wie Zoho oder Salesforce,
- Newsletter-Dienste wie CleverReach, KlickTipp, Mailchimp, ActiveCampaign etc.
Auch in diesem Fall musst Du – wie oben beschrieben – dokumentieren, welche Daten Du erfasst. Aber da Du die Daten von Dritten speichern lässt musst Du zusätzlich mit dem Anbieter des Online-Tools einen sogenannten „Vertrag zur Auftragsdatenverarbeitung“ (ADV) abschließen, in dem geregelt ist, was der Betreiber des Tools mit den in Deinem Auftrag gespeicherten Daten tun darf und was nicht.
Die meisten großen Anbieter haben bereits fertige Verträge zur Auftragsdatenverarbeitung, die sie zur Verfügung stellen oder arbeiten daran, diese Verträge bis zum 25. Mai 2018 abschließen zu können.
Ich empfehle Dir, eine Liste aller Tools zu erstellen, die Du aktuell nutzt. Dann prüfst Du, in welchen dieser Tools Du die Daten von Dritten (Kunden, Interessenten, Abonnenten, etc.) speicherst und kontaktierst dann den Support des jeweiligen Tools, um einen Vertrag zur Auftragsdatenverarbeitung abzuschließen.
Online-Auftritt
Wesentlich komplexer wird das ganze, wenn es um Deinen Internet-Auftritt geht. Denn dann spielen sehr viele Faktoren eine Rolle, an die man im ersten Moment gar nicht denkt.
Teil 2: DSGVO – Der Online-Auftritt
Teil 3: DSGVO – Was hat das mit Plugins zu tun
Teil 4: DSGVO – Plugins Teil 2
Beitragsbild:
©Onypix – Fotolia.de