Die EU-weite Datenschutz-Grundverordnung (DS-GVO) ist am 25. Mai 2018 in Kraft getreten. Doch noch lange nicht alle Selbstständigen haben die erforderlichen Maßnahmen umgesetzt. Und noch immer hört man „DS-G was?? Kann man das essen??“. In diesem Beitrag geben wir Tipps für die Selbstständigen, die „sehr spät dran sind“. Aber bitte daran denken: hier werden nur eigene Erfahrungen wiedergegeben – das kann und soll eine Rechtsberatung NICHT ersetzen.
Zugegeben, wer das erste Mal von dieser Verordnung hört, wird von den diversen Begriffen wie „Datenschutzerklärung“, „Verfahrensverzeichnis“ oder „ADV-Vertrag“ schlicht erschlagen. Aber gerade hier gilt: auch der längste Weg fängt mit dem ersten Schritt an.
Also, was tun, wenn man dieses Thema bislang vernachlässigt hat? Nun, am besten geht nach der Wichtigkeit der umzusetzenden Punkte vor:
Die Datenschutzerklärung. Für jeden Selbstständigen mit einer Webseite sind das Impressum und die Datenschutzerklärung die wichtigsten Seiten! Während das Impressum noch relativ statisch aufgebaut ist, ist die Datenschutzerklärung von vielen Faktoren abhängig. Doch dafür gibt es viele gute „Generatoren“, die eine solche Erklärung zusammenstellen. Beispiel: https://www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator/
Während es einige Maßnahmen zur DS-GVO-Konformität gibt, die tatsächlich technisch auf der Webseite verändert werden müssen (siehe unten), können einige Punkte, wie zum Beispiel der Einsatz von Besucher-Analyse-Tools oder Verlinkungen zu Social-Media-Seiten auch durch entsprechende Erläuterungen in der Datenschutzerklärung datenschutzkonform abgesichert werden.
Das Verfahrensverzeichnis. In vielen Artikeln wird das Verfahrensverzeichnis zu Recht sehr komplex beschrieben, aber ich empfehle dennoch den Ansatz frei nach Lehrer Bömmel aus der Feuerzangenbowle: „Wat is’n Dampfmaschin? Da stelle ma uns janz dumm und sajen: ’nen Verfahrensverzeichnis is großer schwarzer Raum mit zwei Löchern. Durch das eine Loch kommen personenbezogene Daten rein – und dat andere Loch… dat kriegen ma später.“ Anders ausgedrückt: lieber ein rudimentäres Start-Dokument, als gar kein Verfahrensverzeichnis. Konkret ist das ein Schriftstück (z. Bsp. eine Word-Datei), in dem alle Verarbeitungstätigkeiten beschrieben sind, bei denen Sie oder Ihre Mitarbeiter in Kontakt mit Daten kommen, die sich auf reale Menschen beziehen. Simples Beispiel: „Herr Müller bekommt zum Zweck der Rechnungslegung eine E-Mail mit den Adressdaten des Kunden“.
Übrigens: die Erstellung dieses Verzeichnisses hat auch sein Gutes, weil man sich tatsächlich einmal klar macht, welche Daten man erhebt, zu welchem Zweck man das tut, an wen man diese Daten weitergibt und wo man sie speichert.
ADV-Verträge. Beim Erstellen des Verfahrensverzeichnisses werden Sie wahrscheinlich festgestellt haben, dass Sie personenbezogene Daten auch an externe Dienstleister weitergegeben haben. Im einfachsten (und fast immer gültigen) Fall ist das Ihr Internet-Hoster (Provider) oder Sie haben zum Beispiel einen Dienstleister für Ihre Personalabrechnungen oder Sie nutzen ggf. ein Online-Portal zur Rechnungserstellung. Diese Anbieter verarbeiten von Ihnen angelieferte personbezogene Daten. Daher kommt der Begriff Auftragsdatenverarbeitungs-Vertrag, kurz der ADV-Vertrag, den Sie mit dem Dienstleister explizit abschließen müssen. Viele Anbieter stellen diesen Vertrag online zur Verfügung; beim Download wird dieser dann automatisch mit Ihren Daten ergänzt.
Die Daten-Verschlüsselung: Ihnen ist sicherlich schon mal in der Adressleiste Ihres Browsers ein grünes Schloss-Symbol links von der Internetadresse aufgefallen:
Beispiel Chrome-Browser / Firefox-Browser:
Dieses Symbol erscheint, wenn ein sogenanntes SSL-Zertifikat für Ihre Internetadresse angelegt wurde. Dieses Zertifikat sorgt dafür, dass niemand die Daten, die von oder zu dieser Seite gesendet werden, „abhören“ kann. Wenn Sie also beispielsweise ein Kontaktformular haben, werden die Angaben, die Ihr Besucher Ihnen überträgt, sicher verschlüsselt; und genau das verlangt die DS-GVO. Ein solches Zertifikat bieten sehr viele Provider heute schon kostenlos zu einer Homepage mit an. Suchen Sie dazu auf den Einstellungsseiten Ihres Providers nach „SSL“.
Der Cookie-Hinweis: Kaum ein Internet-Auftritt kommt heutzutage noch ohne „Cookies“ aus. Das sind kleine Daten-Dateien, die Informationen (z. Bsp. letzte angeschaute Artikel) auf dem Computer des Seitenbesuchers speichern. Sie sollten zumindest Ihre Besucher darauf hinweisen und das mit einem Klick bestätigen lassen. Wer beispielsweise seine Seite mit dem berühmten „WordPress“ betreibt, kann dafür das PlugIn „Cookie Notice“ nutzen.
Newsletter: Zu diesem Thema lassen sich nur schwer wirklich verbindliche Aussagen zur DS-GVO-Konformität finden. Unser Ratschlag:
- weisen Sie im Anmeldeformular deutlich auf die Datenschutzerklärung hin, bzw. lassen Sie diese bestätigen,
- verwenden Sie das das sogenannte Double-Opt-In-Verfahren,
- geben Sie dem Empfänger eine leicht zu findende Möglichkeit, sich von dem Newsletter abzumelden
- und achten Sie auf einen entsprechenden ADV-Vertrag.
Diese Punkte sind ganz sicher nur eine Teilmenge der erforderlichen Maßnahmen, aber sobald Sie diese erledigt haben, haben Sie den sicherlich größten Schritt in Richtung DS-GVO-Konformität hinter sich gebracht.
Einen weiteren, sehr anschaulichen Erfahrungsbericht finden Sie hier:
https://www.socialmedia-betreuung.de/dsgvo/