Am 25. Mai tritt die DSGVO in Kraft. So weit so gut. Die was? Wirst du jetzt vielleicht fragen. Die Datenschutzgrundverordnung der EU, die in Zukunft europaweit zum Einsatz kommt. Und gleich vorweg: nein, die DSGVO ist nichts Schlimmes!
Grundsätzlich ist, aus meiner Sicht, Datenschutz wichtig und geht uns alle etwas an, so gesehen ist auch die DSGVO eine gute Sache. Das ist auch der eigentlichen Grund des heutigen Beitrags und du wirst vielleicht bemerken, dass dieser teils etwas launisch geschrieben ist. Ja, das stimmt. Ich ärgere mich nämlich zunehmend darüber, wie mit dem Thema umgegangen wird.
Muss man sich vor der DSGVO fürchten?
Nein, man muss sich definitiv nicht davor fürchten, die DSGVO ordentlich umzusetzen. Bitte daher auch nicht mehr darüber zu jammern oder Horrorversionen a la „durch die DSGVO ist das Internet tot“ zu zeichnen!
Warum?
Vorweg, ich selbst habe einen sehr vorsichtigen Umgang und ein sehr ausgeprägtes Verständnis von Daten. Das rührt aus meiner jahrzehntelangen Tätigkeit als Meinungsforscherin her. Das wundert dich jetzt vielleicht. Aber sei dir gewiss, dass gerade die Markt- und Meinungsforscher, die eben tagtäglich mit Daten zu tun haben, hier sehr stark sensibilisiert sind und schon immer waren. Man ist sich bewußt, dass Daten wertvoll und diese daher auch zu schützen sind. Nicht nur die eigenen, sondern noch in viel höherem Ausmaß fremde Daten.
Und aus diesem Grund bin ich der Meinung, dass die DSGVO zwar ohne Zweifel viel Bürokratie und Aufwand bedeutet, jedoch der Schutz unserer eigenen Daten dies wert sein muss und ist. Du kannst jetzt gerne weiter jammern und über mich herfallen, das halte ich schon aus 😉
Es gibt mittlerweile eine Reihe an Informationen zur DSGVO in den Weiten des Internets. Aber sei vorsichtig! Einerseits wird Panik verbreitet, andererseits herrscht eine unglaubliche Laissez-Faire Haltung vor. Beides ärgert mich, zugegebenermaßen.
Doch schauen wir uns nun die trockenen Fakten zur DSGVO an:
Was ist die DSGVO?
Das Ziel der DSGVO, und vielleicht muss man sich dieses immer wieder vor Augen führen, ist, in Europa ein einheitliches Datenschutzniveau herzustellen. Bisher hatte jedes Land eine andere Regelung, manche strenger, manche etwas legerer. Natürlich soll ein einheitliches Datenschutzgesetz wirtschaftsfördernd wirken, indem alle die gleichen Wettbewerbsbedingungen vorfinden – einer der Grundsätze der EU.
Bei der DSGVO geht es im Wesentlichen um die Verarbeitung von personenbezogenen Daten. D.h. alle Daten, die du in irgendeiner Form verarbeitest, gehören hier dazu.
Personenbezogen sind alle Daten, die „sich auf eine identifizierte oder identifizierbare Person beziehen“. D.h. der Name einer Person, Adressen (ja, auch E-Mail Adressen), Telefonnummern, Kontodaten sind beispielsweise solche Daten. Dann gibt es noch den Bereich der sensiblen Daten, wie Krankheitsdaten, Daten zur politischen Meinung, ethnischer Herkunft etc. Diese sensiblen Daten bedürfen eines Extraschutzes.
Jetzt sind einige der Meinung, dass sie ja gar keine Daten verarbeiten. Das stimmt meistens nicht! Und deswegen sollte sich auch jeder Unternehmer, und ich meine jetzt wirklich jede/r, mit der DSGVO auseinandersetzen. Ein paar Beispiele, wo du vermutlich auch Daten verarbeitest, wären: deine Kundendaten. Wo liegen diese? Wie werden diese verarbeitet? Wo werden diese gespeichert? Daten von Personen, die sich bei dir beworben haben. Wie gehst du damit um?
Das heißt auch nicht, dass du diese Daten nicht mehr speichern oder verarbeiten darfst. Du darfst diese Daten jedoch nur zweckgebunden nutzen und benötigst eine Einwilligung der betroffenen Person! Du musst dokumentieren wie du mit diesen Daten umgehst, d.h. welche Daten du verarbeitest, zu welchem Zweck, ob du eine Einwilligung dazu hast, gegebenenfalls wie lange du die Daten speicherst, wer der Zuständige im Unternehmen ist etc. – ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten führen.
Meist werden die Daten mit Hilfe verschiedener Tools und Programme verarbeitet. Mit den Anbietern dieser Programme und Tools musst du ev. sogenannte Auftragsverarbeitungsverträge abschließen. Das sind z.B. Newsletter-Anbieter, Anbieter von CRM-Systemen und viele weitere.
So, und nun bin ich mir ziemlich sicher, dass du nicht mehr sagst, dass du ja keine Daten sammelst und daher nicht von der DSGVO betroffen bist, oder? Ohne Panik verbreiten zu wollen, aber bitte nehme diese Verordnung, die übrigens sofortige Wirkung entfaltet und nicht erst von den einzelnen EU-Mitgliedsstaaten umgesetzt werden muss, ernst. Andernfalls drohen hohe Strafen, bis zu 2 Mio Euro und 4% des weltweiten Umsatzes. Ich denke, hier leichtfertig zu agieren, zahlt sich nicht aus.
Was muss ich bei meiner Webseite beachten?
Vorweg ein kleiner Einwurf: ich höre, dass viele unter den neuen Anforderungen der DSGVO ziemlich stöhnen. Ja, eh. Aber: vieles davon, was jetzt unter dem Schlagwort „DSGVO“ abgehandelt wird, war bereits davor geltendes Recht und ist nicht neu!
Auch bisher hat jede Webseite, das gilt bitte auch für Facebook pages, ein Impressum benötigt, wo klar hervorgeht wer die betreffende Seite betreibt. Ebenso war auch bisher eine Datenschutzerklärung auf der eigenen Webseite nicht ein Nice-to-have, sondern eine Vorschrift. Du musst diese gegebenenfalls anpassen, aber so neu, wie es teils vermittelt wird, ist das ganze nicht.
Ebenso war auch bisher empfehlenswert, dass die Daten auf der eigenen Webseite verschlüsselt verarbeitet werden, eine sogenannte ssl-Verschlüsselung. Du erkennst ganz leicht, ob eine Seite verschlüsselt ist oder nicht: ist sie mit https (statt nur http) erreichbar? Das sollte sie sein. Ebenso siehst du bei verschlüsselten Seiten ein kleines Schloß vor dem Domain-Namen, wie auf dieser Seite oben.
Wenn du eine eigene Webseite hast, wie diese hier, dann verwendest du vermutlich noch ein paar weitere Tools, wie z.B. einen Newsletter-Eintrag? Google Analytics? Ein Kontaktformular? Social Media Buttons? Terminvereinbarungstools?
Wenn ja, dann heißt es mit all diesen Anbietern Auftragsverarbeitungsverträge abzuschließen und die Speicherung und Verarbeitung der Daten zu dokumentieren. Dies machst du nicht im stillen Kämmerchen, sondern beschreibe alle Vorgänge in deinem Verzeichnis und in deiner Datenschutzerklärung! Wie Daten verarbeitet werden, muss für jeden ersichtlich sein. Schaue dir daher nochmals deine eigene Datenschutzerklärung an und ergänze diese gegebenenfalls.
Du hast noch gar keine Datenschutzerklärung? Dann wird es aber höchste Zeit eine zu erstellen!
Grundsätzlich darfst du Daten nur zweckgebunden verwenden, wie bereits oben erwähnt. Ein Beispiel? Wenn du z.B. eine Anfrage per E-Mail erhalten hast, dann darfst du natürlich antworten. Aber du darfst die E-Mail Adresse nicht einfach für deinen Newsletter verwenden. Eigentlich auch nichts Neues, auch bisher hast du das sogenannte Double-Opt-In Verfahren anwenden müssen, wenn sich jemand für den Newsletter eingetragen hat. D.h. der Newsletter-Empfänger muss sich selbst in den Newsletter eintragen (und nicht du trägst irgendjemanden in deinen Newsletter ein, nur weil du die E-Mail Adresse von der Person kennst) und erhält danach eine E-Mail, wo er nochmal bestätigen muss, dass er den Newsletter tatsächlich erhalten will.
Darüber hinaus musst du dafür sorgen, dass deine Webseite immer auf dem aktuellsten Stand ist, damit du möglichen Hackern keine Angriffsfläche bietest Daten abzuziehen – andernfalls machst du dich strafbar. Jedoch auf eine aktuelle Version deiner Webseite solltest du so oder so immer achten!
An wen soll ich mich wenden?
Mach dich mit der DSGVO vertraut, lese den Gesetzestext. Versuche zu allererst intern deine Abläufe zu klären. Überlege an welchen Stellen du Daten sammelst, speicherst und verarbeitest. Erstelle eine Liste dazu. Prüfe, ob du einen Datenschutzbeauftragten benötigst. Dies ist der Fall, wenn du regelmäßig und systematisch Daten erhebst oder sensible Daten erhebst. Der Datenschutzbeauftragte kann intern oder extern bestellt werden und nein du als Unternehmer kannst nicht gleichzeitig auch der Datenschutzbeauftragte deines Unternehmens sein. Die meisten Unternehmen werden jedoch keinen eigenen Datenschutzbeauftragten benötigen.
Mittlerweile gibt es jede Menge Unterlagen und Hilfestellung zur DSGVO im Internet. Lese, mache dich mit der DSGVO vertraut. Aber sei dabei achtsam! Prüfe die Quellen sorgfältig! Wie bereits erwähnt, derzeit wird auch viel Panik betrieben! Oft wird behauptet, dass irgendetwas dann nicht mehr möglich ist. Bitte prüfe solche Aussagen, oft stimmen diese nämlich schlicht und einfach nicht. Ja, es sind häufig Anpassungen notwendig, aber diese sind meist machbar.
Wenn du auf Facebook unterwegs bist, dann gibt es auch jede Menge Gruppen dazu, wo sich UnternehmerInnen zu den Anforderungen der DSGVO austauschen. Empfehlen kann ich dir die Gruppe von Sabrina Keese-Haufs, sie selbst ist Anwältin aus Deutschland, die auf Online-Marketing spezialisiert ist. Da die DSGVO eine europaweite Verordnung ist, sind die Tipps und Informationen auch für uns ÖsterreicherInnen wertvoll.
In Österreich hat die Wirtschaftskammer sehr ausführliche Informationen zur DSGVO bereit gestellt, inkl. Checklisten, Musterverträgen, Online-Ratgebern. Ebenso die Industrie- und Handelskammer in Deutschland. Beide Kammern veranstalten derzeit regelmäßig Veranstaltungen zur Datenschutzgrundverordnung, besuche nach Möglichkeit eine davon.
Auch viele Branchen-Verbände stellen ihren Mitgliedern Informationen zur Verfügung, die speziell auf die Bedürfnisse der Mitglieder abgestimmt sind. Schau mal bei deinen Branchen-Verbänden nach.
Wenn du besonders viel mit Daten zu tun hast oder im Online-Marketing tätig bist, dann rate ich dir einen Spezialisten zu Rate zu ziehen. Hier in erster Linie Anwälte, die jedoch möglichst auf den Online-Bereich spezialisiert sein sollten, um die Anforderungen auch zu verstehen. Diese können dir auch bei der Erstellung der Datenschutzerklärungen behilflich sein.
Juristen sagen übrigens auch, dass Vieles jetzt noch nicht absehbar ist, weil man erst sehen wird, wie die Urteile bei Vergehen aussehen werden, d.h. wie die Justiz Vergehen bewerten wird. Dennoch sollte das keine Ausrede sein, sich nicht mit der DSGVO auseinanderzusetzen.
Fazit
Mache dich mit den Anforderungen der DSGVO vertraut! Je mehr Informationen du dazu hast, desto besser. Aber: verfalle bitte einerseits nicht in Panik und andererseits nimm die DSGVO nicht auf die zu leichte Schulter.
Herzlichst, deine
Karin
PS Und was macht TILA DIGITAL? Bei mir wird die Umsetzung der DSGVO im April mein Arbeits-Schwerpunkt sein. Bisher habe ich mir dazu viel Wissen angelesen und ja, es bedeutet auch Aufwand für mich, der sich jedoch in Grenzen hält, da ich von Beginn an auf einen ordnungsgemäßen Umgang mit Daten geachtet habe und mir eine Datenschutzerklärung vom Anwalt erstellen habe lassen. Beides hilft schon mal weiter. So, keep cool 🙂
powered by Borlabs Cookie