DSGVO einfach erklärt
Es scheint kein Entkommen mehr zu geben. Die Welt der Online-Unternehmer war bis Ende letzten Jahres noch heile. Doch nun in 2018 ändert sich alles. Sie kommt. Daran lässt sich nichts mehr ändern.
Sie ist unverständlich und kompliziert.
Und irgendwie scheint sie die Zeitrechnung zu teilen. In ein vor und ein nach. Wovon rede ich?
Von der EU-Datenschutzgrundverordnung, kurz EU-DSGVO.
Nun hat es auch Claudias Blog erwischt. Infiziert! Die DSGVO scheint wie eine Virusinfektion der üblen Art zu sein. Greift rasend schnell um sich und verbreitet Panik.
Aber sei beruhigt, denn hier bekommst du die DSGVO einfach erklärt!
9 Schritte gegen akute DSGVO Panikattacken:
1. Überblick verschaffen
Was ist für mich wichtig und was muss ich tun?
Nun wir sind Selbstständige. Die DSGVO unterscheidet nicht nach Größe eines Unternehmens, sondern nach Art der Daten und nach den Verarbeitungstätigkeiten. Was bedeutet das nun für mich genau?
Die Suche nach seriösen Quellen. Am umfangreichsten ist hier wohl die Sammlung des Bayrischen Landesamtes für Datenschutzaufsicht. Hier gibt es auch einen Selbsttest.
Auch eine gute Hör- und Leseempfehlung ist der Podcast und Blog vom Datenschutzguru.
2. Sich selbst strukturieren
Nachdem wir uns gut informiert haben, ist es wichtig sich selbst gut zu strukturieren. Wie geht man da nun vor? Man sollte das ganze als Projekt sehen. Das bedeutet, vor allem Zeit einplanen. Ca. 2 Wochen braucht man schon um einzelne Schritte zu gehen. Viel Zeit beansprucht die Recherche und das genaue definieren seiner eigenen Prozesse im Unternehmen.
3. Personenbezogene Daten
Eine der Kernfragen ist immer wieder, welche personenbezogenen Daten verarbeitet werden. Personenbezogene Daten sind Daten die eine natürliche Person identifizierbar machen. Also Name, Adresse, Email, IP-Adressen, Bankdaten etc.
Besondere personenbezogene Daten sind Daten die Gesundheit, Sexualleben, politische Meinung, religiöse Weltanschauung, Gewerkschaftszugehörigkeit, biometrische Daten oder Daten über Strafen.
Wer diese verarbeitet den trifft es härter. Falls Du zu den Unternehmern gehörst die solche Daten verarbeiten, lass von einem Rechtsanwalt oder Datenschutzbeauftragten mal prüfen, was du machen musst.
Generell sollte man sich eine Übersicht erstellen, welche personenbezogenen Daten man verarbeitet und wer die Betroffenen (Kunden, Newsletter-Abonnenten, Website-Besucher etc.) sind. Das vereinfacht die nächsten Schritte sehr.
9 Schritte gegen akute DSGVO Panikattacken! #DSGVO #einfacherklärt #marketingeinfacherklärt
4. Verarbeitungstätigkeiten
Verarbeitungstätigkeiten sind letztendlich die Prozesse in deinem Unternehmen.
Woher kommen deine Daten (über ein Kontaktformular auf deiner Website oder werden sie dir telefonisch oder als Email übersandt oder bekommst du sie über ein Tool)?
Was machst du mit Ihnen (Auftrag generieren in einem Tool, Rechnung schreiben, Newsletter versenden)?
Machst du das händisch oder über ein Tool?
Wenn du das aufschreibst, denke immer auch daran, eine Liste mit verwendeten Tools anzulegen und dir zu überlegen, was das Tool macht und wo die Daten gespeichert sind.
Was passiert mit den Daten, wenn sie nicht mehr gebraucht werden?
Wann werden diese gelöscht?
Über all diese Fragen lohnt es sich Gedanken zu machen und diese auch schriftlich festzuhalten.
5. Rechtsgrundlagen
Nun beschäftigen wir uns mit der Rechtsgrundlage auf der wir Daten verarbeiten. Letztendlich gibt es drei die wir immer wieder benutzen.
- Einwilligung, immer dann, wenn sich jemand irgendwo einträgt und mittels Double-Opt-in bestätigt, liegt eine Einwilligung vor. Wir können diese auch schriftlich offline einholen. Wichtig ist, dass sie nachweisbar ist. Und man sollte sich immer im Klaren darüber sein, dass die Einwilligung auch immer entzogen werden kann. Das bedeutet, dass die Daten dann gelöscht werden müssen (nach Ablauf der Rechenschaftspflichten und Aufbewahrungsfristen, aber Achtung verwenden kann ich sie dann trotzdem nicht mehr im verbleibenden Zeitraum.)
- Vertrag oder vorvertragliche Anbahnung. In diesem Fall geht der Erstkontakt vom Kunden aus. Zum Beispiel über eine Email oder ein Kontaktformular. Für die Verarbeitung von Daten in einem Vertragsverhältnis ist keine Einwilligung nötig. Sie kann auch nicht entzogen werden. Aber der Kunde kann eine Löschung verlangen. Auch hier gilt die Daten dürfen bis zur Beendigung des Vertragsverhältnisses und Ablauf der Aufbewahrungsfristen weiter genutzt werden. Ein Verlangen der Löschung ist kein Rücktritt vom Vertrag.
- Interessenabwägung. Diese wird oft bei Cookies oder bei Weitergabe von Daten an Dritte genutzt. Wichtig ist hier, dass das wirtschaftliche Interesse eines Unternehmens nicht aus der Luft gegriffen ist, sondern immer begründet werden kann. Das Interesse sollte rechtfertigen warum der Schutz der Betroffenen weniger wiegt als das Interesse eines Unternehmens. Ein Beispiel ist die Weitergabe der Daten an einen Steuerberater. Es würde ganz erheblich den Ablauf im Unternehmen beeinträchtigen, wenn man hierfür eine Einwilligung einholen würde.
In eine dieser drei Kategorien sollte man die Verarbeitung der Daten zuordnen können. Schreib Dir das auf.
Bei den Einwilligungen musst Du immer darauf achten, dass sie nachweisbar sind und dass sie nicht entzogen wurden.
Bei der Interessenabwägung muss eine Risikoanalyse durchgeführt werden. Wie das genau aussieht, kannst du bei einem Datenschutzbeauftragten erfragen.
6. Online-Tools, Plugins und technische organisatorische Maßnahmen
Erstelle eine Liste der Online-Tools und prüfe ob dort personenbezogene Daten verarbeitet oder gespeichert werden. Ist das der Fall, so besorge dir einen Auftragsverarbeitungsvertrag mit dem Anbieter. Bei Anbietern außerhalb der EU schaue, ob es Garantien gibt. In den USA ist das zum Beispiel das Privacy Shield Abkommen. Der Anbieter muss hier registriert sein.
Plugins deiner Website müssen auch überprüft werden. Auch hier muss geprüft werden ob diese personenbezogenen Daten verarbeiten oder speichern.
Was sind denn technische organisatorische Maßnahmen?
Das sind die Gegebenheiten, unter denen die personenbezogenen Daten bei dir im Unternehmen verarbeitet werden.
Was sind das nun für Maßnahmen?
Die DSGVO ist ein Fan von Pseudonymisierung und Verschlüsselung. Das bedeutete, dass die personenbezogenen Daten entweder pseudonymisiert und verschlüsselt verarbeitet werden. Pseudonymisierung ist nicht immer leicht herzustellen. Verschlüsselung schon. Und darauf sollte man auch achten. Wenn personenbezogenen Daten gespeichert werden, dann sollen diese verschlüsselt gespeichert werden.
Ein weiterer Punkt ist die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhanf mit der der Verarbeitung.
Das bedeutet, wer hat physisch die Möglichkeit meinen Arbeitsplatz und meine Arbeit zu sehen? Wer benutzt meinen PC? Hat der PC mehrere Benutzerkonten? Sind diese Passwort gesichert? Verwende ich ein komplexes Passwort oder wie oft wechsle ich dieses, verwende ich das gleiche Passwort an mehreren Stellen? Wie oft habe ich keinen Zugang zu Onlinetools? Habe ich einen Firewall und einen Virenscanner? Wie werden Daten vernichtet?
Weiter geht es mit der Verfügbarkeit der personenbezogenen Daten.
Wie komme ich bei einem physischen Zwischenfall (Feuer, Hochwasser, CPU kaputt) an die Daten ran und wie sieht es bei einem technischen Zwischenfall (Verschlüsselungstrojaner) aus? Wie schnell geht das? Das muss organsiert werden. Spätestens hier sollte man sich Gedanken über eine gute Backup-Strategie machen und diese auch testen.
Auch der Punkt wie man mit unbeabsichtigter Vernichtung, Verlust oder Veränderung von personenbezogenen Daten umgeht ist wichtig. Wie gesagt, Gedanken machen und aufschreiben.
7. Auftragsverarbeiter
Häufig finden sich im Onlinebusiness Auftragsverarbeiter. Klassisch sind das Dienstleister, an die ich personenbezogene Daten gebe und die in meinem Auftrag diese verarbeiten. Was fällt darunter? Die klassisch outgesourcten Bürotätigkeiten einer virtuellen Assistentin zum Beispiel oder Freelancer die Websites gestalten oder Online-Tools einrichten und auch Support leisten. Mit diesen Dienstleistern muss ein Auftragsverarbeitungsvertrag geschlossen werden. Das ist wichtig. Denn das Fehlen eines solchen Vertrages wird hart bestraft. Schon jetzt ist das Fehlen teuer. Wichtig ist auch, der Auftraggeber fragt danach, der Auftragnehmer (also VA oder Freelancer) hat diesen Vertrag bereit zu stellen. Denn die technischen und organisatorischen Maßnahmen sind ein Teil dieses Vertrages.
8. Website und Datenschutzerklärung
Wie schon in den vorigen Absätzen erwähnt, ist auch die Website zu beachten.
Neben den Plugins und Cookies die geprüft werden müssen, muss auch die Datenschutzerklärung angepasst werden. Von Generatoren rate ich dir ab. Warum? Mit einem Generator kannst du keine Rechtssicherheit herstellen. Denn die Datenschutzerklärung muss individuell auf dein Unternehmen angepasst sein. Wirkliche Rechtssicherheit kannst du nur über einen Anwalt erlangen. Nimm das Geld in die Hand und lass dir das von einem Anwalt erstellen. Denn ab Mai 2018 werden die Abmahnanwälte wahrscheinlich wieder zuschlagen.
9. Königsklasse – die Kombination
Was ich noch gar nicht erwähnt habe, ist die Übersicht der Verarbeitungstätigkeiten.
Generell steht in der DSGVO, dass Unternehmen mit mehr als 250 Mitarbeitern ein solches Verzeichnis führen müssen. Allerdings wird auch erwähnt, dass Unternehmen die personenbezogenen Daten regelmäßig verarbeiten ebenfalls dazu verpflichtet sind. Dieses Verzeichnis ist nur intern und auf Anfrage einer Aufsichtsbehörde zugänglich zu machen. Auch hier gibt es schon recht gute Vorlagen. Fündig wird man zum Beispiel beim GDD.
DSGVO und Deine Fragen
Ich hoffe, ich konnte Dir mit diesem Artikel ein wenig die Angst nehmen. Im Grunde ist es sehr viel Arbeit, die sich aber auch lohnt, um Struktur in sein Unternehmen zu bringen und zu überlegen, ob das alles so richtig und sinnvoll ist, was man macht.
Die DSGVO setzt das Geschäftsmodell auf den Prüfstand.
Bei Unsicherheiten kannst Du in Claudias Facebook Gruppe gerne Deine Fragen stellen. Hier habe ich für alle Mitglieder auch eine Frage-Antwort-Runde gemacht. Um die Aufzeichnung anzusehen, musst Du Mitglied der kostenfreien Gruppe sein - klick.
Die Autorin
Jasmin Lieffering ist seit 2015 zertifizierte Datenschutzbeauftragte. Sie hilft innovativen Unternehmern ihre Ideen auf eventuelle Datenschutzverstöße zu prüfen und Lösungen zu erarbeiten. Jasmin berät anders, leicht und verständlich, flexibel und agil.
Vielen lieben Dank, mit diesem Thema beschäftige ich mich auch gerade! Gerade die einzelnen Schritte sind für mich gut nachvollziehbar und erscheinen sinnvoll.
Super, das freut mich!
Herzliche Grüsse
Claudia
super – und wieder genau zeitgerecht! Tolle Tips, danke an Jasmin. Freue mich auf den Expertentag.
Eine Frage habe ich: was ist mein Risiko – was kommt auf mich zu – wenn ich mich mit der DSGVO beschäftigt habe, meine Prozesse dokumentiert, Privacy Policy angepasst … mich also durchgewurschtelt habe, aber ich habe Dinge falsch verstanden, falsch umgesetzt, …?
Bin gespannt.
Danke,
Cathrin
Toll, vielen Dank! Da werde ich mich jetzt Schritt für Schritt durcharbeiten …
Herzliche Grüße, Monika
Ich finde es wichtig, dass dieses Thema auch einfach für alle Laien simpel erklärt wird.
Wenn man sich einmal wirklich tief eingelesen hat, dann ist es eigentlich gar nicht so kompliziert.
Ich habe selber für mich mal die wichtigen Passagen in dem Gesetzestext gelsen. Im Endeffekt lässt es sich auf wenige Aspekte herunterbrechen.
[…] innerhalb weniger Stunden erstellen kann. Alternativ kannst du dir als Hilfestellung auch diesen Gastartikel von Jasmin Lieffering durchlesen, der die einzelnen Aspekte der Umsetzung der DSGVO einfach und […]