Hinweis: Dieser Beitrag dient nur als Ratgeber für eine praktische Anleitung zum Verständnis für den Datenschutz und des geforderten Datenschutz-Konzeptes. Der Inhalt stellt keine juristische Beratung dar und setzt nicht den Rechtsanwalt oder Datenschutzbeauftragten.
Bei vielen dürfte es schon lange angekommen sein, die Datenschutzgrundverordnung (DSGVO) sollte seit dem 25.05.2018 umgesetzt worden sein. Keine Angst, es gab noch einmal eine Aufschubzeit für bestimmte Themenfelder bis 2019, was aber nicht heißt, dass man sich entspannt zurücklehnen kann und bis 2019 die Arbeit aufschiebt.
Manchmal drängt sich derzeit der Verdacht auf, dass es einem Teil der Bevölkerung, gleich ob Privatmensch oder Unternehmen, nicht bewusst (oder schlicht egal) war, dass wir schon länger so etwas wie „Datenschutz“ hatten. Ja, die DSGVO verursacht Mehrarbeit und einige Unsicherheit sowie manche Skurrilität in der Praxis. Sätze wie „Wir hätten eine Übergangsfrist gebraucht.“, „Wieso dürfen wir Geburtstage auf einmal nicht mehr veröffentlichen?“, „Ach, WhatsApp wird als kritisch angesehen?“.
Was bringt die DSGVO?
Die DSGVO erfindet den Datenschutz nicht neu. Es bleibt natürlich bei den bisherigen Zielen und Grundsätzen des Datenschutzes, insbesondere,
- dem Verbotsprinzip mit Erlaubnisvorbehalt,
- dem Grundsatz der Datenvermeidung und Datensparsamkeit,
- dem Grundsatz der Zweckbindung,
- dem Grundsatz der Transparenz,
- dem informationellen Selbstbestimmungsrecht des Einzelnen.
Zu den Neuerungen zählen zum Beispiel:
- abschreckende, hohe Strafen,
- das Recht, seine Daten in einem Format zu erhalten, mit dem man zu anderen Anbietern, Organisationen, Vereinen, … wechseln kann.
Nach und nach versuche ich das Thema „Datenschutz“ im Verein oder der Organisation näher zu bringen, auf was zu achten ist und was man ggf. noch einmal überdenken sollte. Datenschutz ist kein Hexenwerk und wenn man es angeht dann ist schon einiges getan.
Vorab Checkliste
Webseiten, Social Media Seiten, … in der heutigen Zeit kaum noch weg zu denken, gerade diese „Werbeflächen“ können schon leicht Datenschutzkonform gemacht werden mit einzelnen Schritten. Und so macht es auch für außen den Eindruck das man sich mit dem Thema Datenschutz auseinandergesetzt hat.
I. Die Datenschutzerklärung
Problem:
Jede Internetseite benötigt eine neue Datenschutzerklärung. Die neue Datenschutzgrundverordnung regelt viele Punkte inhaltlich und formal anders als die bisherigen Vorschriften. Für jede Datenverarbeitung muss eine Rechtsgrundlage in der Datenschutzerklärung benannt werden.
Lösung:
Erstelle für die Internetseite eine neue Datenschutzerklärung. Hierfür kann ein Datenschutz Generator verwendet werden wie zum Beispiel von eRecht24.
II. Das Kontaktformular
Problem:
Fast jede Internetseite verfügt über ein Kontaktformular um es für die Besucher bequemer zu gestalten einen Kontakt aufzunehmen. Aber genau hier stellen sich schon gleich zwei Probleme. Zum einen, dass die Daten über das Kontaktformular verschlüsselt übergeben werden müssen, und das nach einem Urteil von den Seitenbetreibern gefordert wird bei Kontaktformularen eine Einwilligung / Checkbox der Nutzer einzuholen.
Lösung:
Ein SSL Zertifikat buchen und einbinden. Viele Provider bieten die kostenlose Variante von „Let’s Encrypt“ an, einfach einmal bei eurem Provider vorbeischauen oder nachfragen ob sowas angeboten wird.
Für die Checkbox für das Kontaktformular lässt sich folgende einfache Option anbieten:
– Verweis auf die Datenschutzerklärung (Link)
Formulierungs-Muster
Ich stimme zu, dass meine Angaben aus dem Kontaktformular zur Beantwortung meiner Anfrage erhoben und verarbeitet werden. Die Daten werden nach abgeschlossener Bearbeitung Ihrer Anfrage gelöscht. Hinweis: Sie können Ihre Einwilligung jederzeit für die Zukunft per E-Mail an info@XYZ.de widerrufen. Detaillierte Informationen zum Umgang mit Nutzerdaten finden Sie in unserer Datenschutzerklärung (<-Link).
III. Die Verschlüsselung der Internetseite
Problem:
Die DSGVO verlangt eine angemessene technische Maßnahme zum Schutz der personenbezogenen Daten. Alle Seiten, auf denen der Nutzer personenbezogene Daten eingibt oder hinterlässt sollten verschlüsselt sein. (https = Verschlüsselt – http = unverschlüsselt)
Lösung:
Ein SSL.Zertifikat beim Provider buchen und einbinden oder ggf. die kostenlose Variante von Let’s Encrypt nutzen (bietet nicht jeder Provider an, ggf. nachfragen).
IV. Auftragsverarbeitung und externe Dienstleister
Problem:
Viele Seitenbetreiber nutzen Dienste externer Anbieter, an die personenbezogene Daten vom Seitenbetreiber übertragen werden. Beispiel:
- Externe Newsletter-Anbieter
- Agenturen
- Hoster / Provider
Da diese Übertragung eigentlich die Einwilligung der betroffenen Personen verlangt, ist in diesem Fall ein Auftrags(daten)verarbeitungsvertrag (AV) notwendig, um die Zustimmung jedes Einzelnen zu umgehen.
Lösung:
Schließe mit deinem Provider, Seitenbetreiber, mit den jeweiligen Dienstleistern einen AV Vertrag ab.
Mehr Beiträge zum Datenschutz folgen
In weiteren Beiträgen werde ich noch näher auf bestimmte Themenfelder der Datenschutzgrundverordnung eingegangen. Zum Beispiel: Was personenbezogene Daten sind, auf was man achten muss, was für Daten gesammelt werden dürfen, ob der Gruppenleiter ein Verzeichnis der Mitglieder führen darf mit Adressen und vieles mehr.
Dieser Beitrag soll ein erster Anfang sein, um den vielen da draußen die erste „Insel“ bieten zu können. Mehr Infos findet ihr unter anderem auf erecht24.
