Die DSGVO und dein Online Business

Ich denke, du hast es sicher auch schon mitbekommen. Im Mai 2018 kommt etwas auf uns zu, dass eine grosse Auswirkung auf unser Business haben kann. Es ist die Datenschutzgrundverordnung oder kurz DSGVO.

Wenn man von der DSGVO hört, dann wird oft auch das extrem hohe Strafmaß genannt. Pro Vorfall können Strafen bis zu 20 Millionen Euro oder 4% des Konzernumsatzes verhängt werden. Je nachdem, was von den beiden höher ist.

Ich persönlich denke, dass es vor allem für kleinere Unternehmen nicht gleich 20 Millionen Euro werden. Aber schon einige Tausend Euro pro Vorfall reichen aus um dein Geschäft zu gefährden.

Aus diesem Grund sollte man die DSGVO nicht auf die leichte Schulter nehmen und sich damit auf jeden Fall einmal auseinander setzen.

Ich möchte dir in meiner kleinen Artikel Serie die DSGVO etwas näher bringen und im ersten Teil einmal darauf eingehen, ob es dich überhaupt betrifft und welche Auswirkungen diese Verordnung auf dein Business hat.

In diesem Beitrag beschreibe ich dir die wichtigsten Informationen, die man als Unternehmen wissen sollte um möglichst gut und sicher auf die Umstellung vorbereitet zu sein. Im speziellen möchte ich auf die Herausforderungen und Punkte eingehen, die Unternehmen betreffen, die ein Online Business betreiben.

Aber auch wenn du kein Online Business betreibst, ist dieser Artikel sicher wertvoll für dich um eine Übersicht zu bekommen, was auf dich zukommt und was zu tun ist.

In diesem Beitrag wird Schritt für Schritt ein DSGVO Übersichts-Diagramm erstellt. In diesem Diagramm hast du am Ende dieses Beitrages einen Überblick der wichtigsten Bereiche und Aktivitäten in Bezug auf die DSGVO. Im Beitrag zur praktischen Umsetzung werden wir uns diese Grafik noch einmal hernehmen und daraus die konkreten Handlungsschritte ableiten.

Im nächsten Teil werden wir dann damit beginnen uns anzusehen, welche konkreten Massnahmen du auf jeden Fall einmal treffen solltest um einigermassen sicher zu sein. Ein Beitrag wird dann noch auf die Herausforderungen in Bezug auf IT-Sicherheit und DSGVO eingehen.

 

Wichtiger Hinweis

Einen ganz wichtigen Hinweis, möchte ich an dieser Stelle anbringen. Es handelt sich hier in keiner Weise um eine Rechtsberatung. Ich habe mich selbst sehr intensiv mit dem Thema beschäftigt und gebe dir hier mein Wissen und meine bisherigen Erfahrungen weiter.

Ich bin kein Jurist, was dir wahrscheinlich eher zu gute kommt. Denn ich werde versuchen Zitate aus Gesetzestexten zu vermeiden und auch nicht in Juristensprache zu reden (was ich eh nicht könnte). Dafür möchte ich dir klare Anweisungen geben, was du tun musst um Probleme ab dem 25. Mai 2018 zu vermeiden.

Wenn du dennoch an den Gesetzen zu den einzelnen Themen interessiert bist, stelle ich dir bei den jeweiligen Themen einen Link zu den passenden Gesetzestexten bereit.

Solltest du unsicher sein, was die praktische Umsetzung betrifft, dann würde ich dir auf jeden Fall raten, dich von einem Juristen beraten zu lassen.

So jetzt aber widmen wir uns dem Thema – der Datenschutzgrundverordnung oder auch einfach DSGVO.

 

Ab wann gilt die DSGVO?

In Wirklichkeit ist die DSGVO schon in Kraft getreten, aber am 25. Mai 2018 muss sie auch wirklich von jedem Unternehmen eingehalten werden. An diesem Tag läuft die Übergangszeit aus, in der wir uns aktuell befinden. Wirklich von jedem Unternehmen? Na ja es gibt sicher einige wenige, wo die Verordnung nicht zur Anwendung kommt. Viele haben aber doch mit „personenbezogenen Daten“ zu tun und dann wirkt die DSGVO.

Und hier haben wir gleich den ersten ganz entscheidenden Begriff – die „personenbezogene Daten“. Mehr Information dazu gibt es etwas später.

 

Was ist die DSGVO?

Bevor wir uns in die Thematik hineinstürzen, wer davon betroffen ist und was wir zu tun haben, werde ich dir noch kurz erklären was die DSGVO überhaupt ist und warum sie eingeführt wurde.

Zuerst einmal ist die DSGVO ein Verordnung und daher für die Mitgliedsstaaten der EU sofort wirksam. Es ist nicht notwendig, dass in den einzelnen Ländern Gesetze verfasst werden müssen. Im Gegensatz dazu gibt es EU-Richtlinien, die von den Ländern erst in lokale Gesetze verwandelt werden müssen.

Damit verschiedene EU-Staaten auch bei einer Verordnung eigene Regeln definieren können, gibt es mit den sogenannte „Öffnungsklauseln“ einen Weg das umzusetzen. Die zusätzlichen Regeln, dürfen aber die EU-Verordnung nur verschärfen.

Ziel der Verordnung war es, die unterschiedlichen länderspezifischen Gesetze in Bezug auf Datenschutz auf ein einheitliches Niveau zu bringen. Denn aktuell herrschen hier in Europa immer noch sehr große Unterschiede.

Ausserdem war es das Bestreben, vor allem auch die großen Konzerne, die sich immer wieder Schlupflöcher gesucht haben zu zwingen sich an den europäischen Datenschutz zu halten. Weiters hat man mit der DSGVO verhindert, dass Unternehmen die ihren Standort nicht in Europa haben von den Regeln ausgeschlossen sind.

 

Betrifft mich die DSGVO?

Jetzt weisst du, wofür die DSGVO gedacht war, aber ich denke du wirst dich jetzt auch fragen – „Bin ich davon betroffen?“. Daher möchte ich jetzt darauf eingehen, wer wirklich von der DSGVO betroffen ist.

Kurz zusammengefasst, gilt die DSGVO für alle Unternehmen, die personenbezogene Daten von EU Bürgern verarbeiten. Sie gilt auch bei kostenlosen Angeboten oder auch nur bei der Beobachtung, wie etwa der Markt Recherchen.

Bei der Verarbeitung ist es übrigens völlig egal, ob diese elektronisch oder auf Papier in Ordnern erfolgt. Wenn du ein Online Business betreibst, gehe ich aber davon aus, dass die Verarbeitung bei dir elektronisch erfolgt.

Den passenden Gesetzestext findest du in Kapitel 1 Art. 2 bzw. Kapitel 1 Art. 3 der DSGVO.

Die Definition der Begriffe „personenbezogene Daten“ und „Verarbeitung“ findest du in den Begriffsbestimmungen der DSGVO Kapitel 1 Artikel 4. Es lohnt sich dort ein jeden Fall einmal reinzusehen, da in diesem Artikel sehr viele Begriffe zur DSGVO erklärt sind.

 

Was sind personenbezogene Daten?

DSGVO im Online Business - Personenbezogene Daten

Aus dem Gesetzestext einfach zusammengefasst, sind dies Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Wichtig ist auch zu wissen, dass es sich bei den Personen um EU Bürger handelt. Es ist hier völlig egal, ob mit der Person bereits Geschäfte abgewickelt werden oder ob die Daten nur für Recherche Zwecke gesammelt werden.

Um eine Person zu identifizieren, gibt es viele Eigenschaften, wobei einige davon recht fragwürdig sind. Klar sind einmal Name, Anschrift, E-Mail Adresse oder auch Telefonnummer. Fraglicher wird es allerdings bei Daten, wie der IP-Adresse des Users. Hier hat man als Website Betreiber in der Regel nicht so einfach die Möglichkeit den User zu identifizieren – zumindest nicht solange der User nirgends angemeldet ist. Dennoch würde sich die Person herausfinden lassen, da ja Zugangsprovider die Daten besitzen. Damit zählt auch die IP-Adresse zu den personenbezogenen Daten.

Auf den ersten Blick, wirst du dir vielleicht denken – „Das betrifft mich ja nicht, weil ich speichere diese Daten eh nicht ab.“ . Das ist zwar richtig, wenn du aber eine Webseite betreibst, dann werden in den Log Files des Servers bei deinem Provider die IP-Adresse mitgeschrieben. Und damit sind die Daten theoretisch vorhanden.

 

Personenbezogene Datenerfassung ermitteln

DSGVO im Online Business - Liste der Verarbeitungen

Wenn du jetzt nach einigen Nachdenken auch zur Erkenntnis gekommen bist, dass du von der DSGVO betroffen bist, was ich einmal annehme, dann wird es Zeit sich die nächsten Schritte zu überlegen.

Du weisst jetzt einmal, welche Daten von der DSGVO betroffen sind. Damit kannst du jetzt schon einmal anfangen, dir zu überlegen, welche personenbezogenen Daten du verarbeitest. Es spielt dabei jetzt keine Rolle, ob du das persönlich machst oder ein Dienstleister von dir, wie etwa dein Internet Provider.

Am besten machst du dir dazu eine einfache Liste, denn wir werden diese Informationen im weiteren noch ergänzen.

 

Erlaubnis zum Verarbeiten der Daten

DSGVO im Online Business - Erlaubnis der Verarbeitung

Wenn du die Liste der Daten hast, die du verarbeitest, musst du dir im nächsten Schritt überlegen, ob du dazu überhaupt die Erlaubnis hast.

In Kapitel 2 Artikel 6 der Grundverordnung geht es um die „Rechtmäßigkeit der Verarbeitung“. An dieser Stelle ist geregelt, dass mindestens eine der dort aufgeführten Bedingungen erfüllt werden muss, damit personenbezogene Daten verarbeitet werden dürfen. Von den dort aufgeführten 6 Bedingungen können wir diese auf für 3-4 relevante reduzieren.

1) Einwilligung (a)

Das ist zum Beispiel bei E-Mail Marketing das klassische Double Opt-In Verfahren. Das bedeutet, der Empfänger muss zuerst einen Link in einer Erstmail anklicken, damit er in der Datenbank gespeichert wird und du Mails an ihn senden darfst.

2) Verarbeitung für die Erfüllung eines Vertrages (b) oder Verarbeitung zur Erfüllung von rechtlichen Pflichten (c)

Dieser Punkt ist recht klar. Wenn du mit einer Person in einer Geschäftsbeziehung bist und die Daten zum Beispiel für die Rechnungslegung oder für Garantie bzw. Gewährleistungsansprüche benötigt werden, dann ist die Verarbeitung erlaubt. Auch jegliche vertragliche Vereinbarungen führen dazu, dass die Daten verarbeitet werden dürfen. Aber natürlich auch, wenn du Daten auf Grund von Behörden, wie Finanzamt verarbeiten und speichern musst.

3) Zur Wahrung der berechtigten Interessen des Verantwortlichen (f)

Das ist der Punkt, der am meisten Spielraum offen lässt. Man kann damit Daten zur Wahrung persönlicher Interessen verarbeiten, soweit nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern überwiegen. Das gilt vor allem dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Ein berechtigtes Interesse können wirtschaftliche Interessen sein, die dann zum Beispiel Marketing Aktivitäten rechtfertigen.

So schwammig, wie dieses Gesetz formuliert ist so gut muss man aufpassen daraus auch wirklich einen Grund für die Verarbeitung ableiten zu können. Sicherer ist man auf jeden Fall mit 1) und 2) dran.

Wie bei allen Vorgängen ist es auf jeden Fall wichtig diese Erlaubnistatbestände zu dokumentieren. Das kannst du am besten in der bereits erstellten Liste tun.

Wichtig ist aber im Zusammenhang, dass du nicht nur selbst dokumentieren solltest, welche Daten mit welcher Erlaubnis erfasst werden, sondern die betroffenen Personen darüber informiert werden müssen.

Es ist also ziemlich sicher erforderlich, dass die Datenschutzinformationen auf deiner Website angepasst werden müssen. Den du musst darüber informieren,

  • Welche Daten erhoben werden
  • Der Zweck der Verarbeitung
  • und mit welchem Erlaubnistatbestand

 

Das Verfahrensverzeichnis entsteht

All die Informationen, die du bist jetzt gesammelt hast und die zum Teil noch dazu kommen, werden im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ festgehalten. Genauere ist in der DSGVO in Kapitel 4 Artikel 30 zu finden.

Es gibt zwar Ausnahmen, ein solches Verzeichnis zu führen, die werden aber auf dich im Online Business kaum zutreffen. Diese ist nämlich dann gegeben, wenn es sich um eine nicht regelmäßige Verarbeitung handelt.

Mehr zum Thema Verfahrensverzeichnis, gibt es dann im zweiten Teil meiner Artikel Serie, wo es um die konkrete Umsetzung geht.

 

Wo liegen deine Daten

DSGVO im Online Business - Wo liegen die Daten?

Jetzt weisst du einmal, welche personenbezogenen Daten du verarbeitest und auf welcher Rechtsgrundlage du das machst.

Im nächsten Schritt sehen wir uns einmal an, wo deine Daten liegen und was es dabei zu beachten gibt.

Wenn alle Daten und alle Verarbeitung bei Rechnern, die bei dir im Büro stehen stattfinden, dann hast du fast nichts mehr zu tun. Doch das ist leider selten der Fall. Oftmals liegen die Daten in irgendwelchen Rechenzentren oder andere Anbieter unterstützen dich mit ihren Dienstleistungen bei der Verarbeitung und Speicherung deiner Daten.

Bevor wir uns weiter überlegen, was zu tun ist, musst du einmal erfassen, wo die entsprechenden Daten liegen. Also wieder die bereits begonnene Liste hernehmen und dazu notieren wer dich bei der Verarbeitung unterstützt und wo die Daten liegen.

Gemeint ist da vor allem, in welchem Land die Daten gespeichert werden. Prinzipiell kannst du dabei in folgende Kategorien einteilen.

1 – In einem Land in der EU

2 – In einem sicheren Drittland (z.B. Schweiz)

3 – In einem Land mit speziellen Abkommen (z.B. USA)

4 – In einem unsicheren Drittland

 

Verarbeitung in der EU

Bei (1) ist die Angelegenheit recht einfach, denn dann hast du einmal problemlos das Recht die Daten zu verarbeiten.

Verarbeitung in einem sicheren Drittland

Auch bei (2) gibt es aktuell keine grossen Probleme. Nur könnte hier das Problem bestehen, dass sich dieser Zustand ändert, da die EU den Status der sicheren Drittländer regelmäßig neu bewertet. Es kann also vorkommen, dass ein Land, das heute als sicheres Drittland gilt, morgen keines mehr ist. In diesem Fall müsstest du dir einen anderen Ort oder einen anderen Anbieter suchen, wo deine Daten gespeichert oder verarbeitet werden.

Verarbeitung in der USA

Ähnlich ist es mit Ländern wie der USA. Dieses Land ist vom Prinzip nicht sicher. Es gibt aber das Privacy Shield, den Nachfolger von Safe-Habor. Dort wird einfach ausgedrückt geregelt, dass Unternehmen aus den USA Daten speichern und verarbeiten dürfen, wenn sich vertraglich dazu verpflichten gewisse Richtlinien einzuhalten.

Ob das Unternehmen, mit dem man zusammenarbeiten will eine solche Vereinbarung unterschrieben hat und damit im Privacy Shield ist, kann man auf folgender Webseite herausfinden.

https://www.privacyshield.gov/list

Die Gefahr bei der Verarbeitung in den USA ist, dass die EU jederzeit sagen könnte, dass das Privacy Shield nicht mehr reicht, damit Daten von EU Bürgern verarbeitet werden dürften.

In diesem Fall müsste man dann sehr rasch seine Partner wechseln. Es wird also die Aufgabe sein, zu beobachten, ob die EU die Einschätzung beibehält und das US-Privacy Shield zulässig für die DSGVO ist.

Wenn du also auf Nummer sicher gehen, dann solltest du darauf achten keinen Anbieter zu wählen der seine Daten ausserhalb der EU speichert.

 

Beispiele für externe Verarbeitungen

Kommen wir aber jetzt zu konkreten Fällen, die von der Verarbeitung personenbezogener Daten betroffen sein könnten. Im folgenden möchte ich dir einige Beispiele von Verarbeitungen aufzeigen, damit du ein Gefühl bekommst, wo überall Daten extern verarbeitet werden könnten.

Bei der Verarbeitung der Daten mit einem externen Anbieter gilt zu erst einmal zu prüfen, ob diese überhaupt rechtmäßig ist.

Im weiteren musst du dann mit diesem Verarbeiter einen Vertrag, auch Auftragsverarbeitung oder kurz AV genannt abschliessen.

Das Unternehmen, mit dem du diese Auftragsverarbeitung abschliesst ist übrigens im Fall von Verstößen ebenfalls haftbar.

 

Cloud Speicher

DSGVO Online Business Cloud SpeicherWir verwenden diese Dienste zum Teil schon so selbstverständlich, dass wir kaum darüber nachdenken, dass diese auch ein Problem sein könnten. Ich spreche von diversen Cloud Speicher Diensten, wie Dropbox, iCloud, Google Drive, OneDrive usw..

Wir legen dort unsere Daten ab, um jederzeit und von jedem Ort aus darauf zugreifen zu können. Wir tauschen darüber schnell und einfach Daten aus und wir speichern unsere Backups in der Cloud.

Das alles ist kein Problem, wenn es sich dabei nicht um personenbezogene Daten handelt. Sobald du aber ein Backup deiner lokalen Daten in der Cloud ablegst könntest du schon betroffen sein, weil du auch auf diesem Weg personenbezogene Daten bei einem dieser Anbieter ablegst.

Verschlüsseln der Daten (z.B. mit Boxcryptor), wäre zwar eine Massnahme um dem Thema IT-Sicherheit gerecht zu werden, dennoch ist es auch in verschlüsselter Form nicht erlaubt ohne eine Vereinbarung die Daten bei einem Cloud Dienst abzulegen.

 

E-Mail Dienst (GMail,….)

Genau so oder vielleicht noch mehr als Cloud Speicher, verwenden wir alle verschiedene E-Mail Dienste. Ich spreche hier nicht von E-Mail Marketing, sondern vom normalen E-Mail Verkehr. Natürlich handelt es in den meisten Fällen auch hier um personenbezogene Daten, was zur Folge hat, dass wir uns um einen AV kümmern müssen.

Grosse Dienste, wie etwa Google treten zumindest bei den Business Accounts bereits aktiv an ihre Kunden heran um einen AV Vertrag abzuschliessen. Das gilt sowohl für Cloud Speicher als auch für Mails. Ebenso setzt auch Microsoft bei den Business Produkten stark darauf DSGVO Konform zu sein.

 

E-Mail Marketing

Das wichtigste Instrument im Bereich Online Marketing ist immer noch das E-Mail Marketing. Bei allen Social Media Aktivitäten, ist das E-Mail Marketing immer noch die sicherste Möglichkeit seine Interessenten und Kunden zu erreichen.

Mühsam hat man sich in den letzen Jahren eine Datenbank mit E-Mail Adressen aufgebaut. Und jetzt ist es Zeit darüber nachzudenken, ob der aktuelle Partner überhaupt geeignet ist, um mit ihm nach dem 25. Mai 2018 sein E-Mail Marketing zu betreiben.

Zweifelsohne ist man mit europäischen Anbietern auf der sicheren Seite. Aber auch grosse E-Mail Marketing Anbieter, wie MailChimp oder ActiveCampaign befinden sich im Privacy Shield und werden ziemlich sicher auch eine Auftragsverarbeitung mit ihren Kunden abschliessen.

Es bleibt aber auch hier immer noch die Unsicherheit, wie lange diese Unternehmen als sicher im Sinne der DSGVO gelten.

 

Kontaktdatenbank (CRM)

Möchte man seine Kundenbeziehung genauer dokumentieren, dann greift man oft zu CRM Systemen oder vielleicht auch nur zu einfachen Kontaktdatenbanken. Der Trend der Zeit hat leider zur Folge, dass man immer öfter auf Systeme zurückgreift, die im Internet ihre Daten ablegen und damit, du ahnst es schon, musst du dir auch über diesen Dienst Gedanken machen.

Auch zu beachten ist, dass diese Programme möglicherweise ihre Daten lokal speichern, aber diverse Cloud Speicher Dienste dazu nutzen um zwischen Geräten zu synchronisieren.

 

Zeiterfassung

Wenn du für Kunden arbeitest, dann wird es wahrscheinlich auch notwendig sein, deine aufgewendete Zeit zu dokumentieren. Nichts ist praktischer als die diversen Time Tracking Tools. Diese speichern natürlich ihre Daten online ab.

Das ganze wäre auch kein Problem, wenn du die Daten anonym erfasst. Das macht allerdings bei einer Zeiterfassung wenig Sinn, denn irgendwie willst du ja schon wissen, für wen du wie lange gearbeitet hast.

 

Rechnungslegung, Buchhaltung

DSGVO Online Business BuchhaltungWenn du vielleicht die Zeit nicht mitschreibst, irgendwann kommt der Zeitpunkt, wo du Rechnungen schreibst. Das sollte man als Unternehmen schon ab und zu machen, sonst wird dein Business nicht lange existieren.

Auch hier ist alles kein Problem, solange alle personenbezogenen Daten bei dir bleiben. Nutzt du aber zum Beispiel einen Online Dienst zum Schreiben deiner Rechnungen, dann kennst du das Problem ja schon.

Du bist aber genau so betroffen, wenn du jemanden hast, der dich dabei unterstützt deine Buchhaltung zu führen. Es ist übrigens nicht wichtig, dass die Daten online ausgetauscht werden müssen. Jegliche Weitergabe der Daten an Dritte ist problematisch. Also auch, wenn du deinen Ordner mit den ausgedruckten Rechnungen weiter gibst.

 

Buchungsdienste

DSGVO Online Business BuchungsdiensteOnline Buchungsdienste wie z.B. „You can book me“ oder ähnliche, sind sehr beliebt, da es für beide Seiten sehr praktisch ist Termine zu vereinbaren. Du kannst dabei einfach freie Zeitslots definieren und deine User können dort völlig automatisch einen Termin auswählen.

Diese Systeme kümmern sich um die Verwaltung und die Kommunikation. Dabei müssen natürlich personenbezogene Daten erfasst werden und das Online.

 

Webinardienste

Webinare sind eine gute Möglichkeit sein Wissen „live“ an eine größere weltweit verteilte Gruppe weiterzugeben. In vielen Fällen bietet der Anbieter des Webinarsystems aber nicht nur die Technik zum durchführen des Webinares an, sondern auch die Möglichkeit den Anmeldeprozess über ihn abzuwickeln. Sobald das passiert, haben wir es ebenfalls mit personenbezogenen Daten zu tun, die Dritte verarbeiten.

Auch wenn der Anmeldeprozess nicht über den Anbieter läuft, musst du aufpassen, ob der User wirklich anonym beitreten kann, oder ob er beim Einstieg seine persönlichen Daten eingeben muss.

Es spielt übrigens keine Rolle, ob es sich bei dem Webinar um ein Live-Webinar oder um ein automatisiertes Webinar handelt. Entscheidender Faktor ist, ob personenbezogene Daten zur Teilnahme abgefragt werden.

 

Websites (Provider)

DSGVO Online Business Website (Provider) Jetzt kommen wir zu dem Bereich, der wahrscheinlich alle betrifft, zumindest, wenn du im Online Business tätig bist.

Ich gehe einmal davon aus, dass du eine Webpräsenz für dein Business hast. Es spielt hier überhaupt keine Rolle, wie umfangreich diese ist. Also egal, ob eine einfache einzelne Landingpage oder eine umfangreiche Darstellung deines Unternehmens und deiner Leistungen.

Jetzt kommt wahrscheinlich der Gedanke bei dir auf – „Ich erfasse auf meiner Webseite ja gar keine Daten“. Leider ist das nicht so. Allein dadurch, dass der User deine Seite besucht, werden zumindest bei deinem Provider in den Log Files die IP-Adressen gespeichert.

Dagegen kannst eigentlich gar nichts tun. Das hängt nicht von deiner Technik und deinen Cookies usw. ab. Das ist die Basis Installation des Providers für deine Webseiten.

Nachdem die IP-Adresse als personenbezogenes Datum gilt (weil der User über bestimmte Wege identifizierbar ist), sollte man auch mit seinem Webhoster eine Auftragsverarbeitung abschliessen.

Wenn du auf deiner Webseite selbst Daten erfasst, dann solltest du dir noch überlegen, wo diese sonst noch verarbeitet werden, als nur auf deinem Server. Wesentlich ist vor allen, ob diese Daten an externe Stellen weiter gesendet werden.

Was du zusätzlich auf deiner Webseite noch benötigst ist eine ausführliche Datenschutzerklärung, die deine Besucher darüber informiert, welche Daten beim Besuch der Seite erfasst werden. Dazu gehört auch die Information, dass IP-Adressen im Log File gespeichert werden.

Etwas mehr zur Information zur Datenschutzerklärung gibt es weiter unten.

 

Mitgliederbereich

Wenn du auf deiner Webseite einen Mitglieder Bereich zur Verfügung stellst, dann verarbeitest du ebenfalls Personen bezogene Daten. Den Vertrag mit deinem Provider hast du ja schon auf Grund deiner Webpräsenz abgeschlossen. Zusätzlich musst du aber daran denken die Informationen über die gespeicherten Informationen zu erweitern.

 

Mitarbeiter

DSGVO Online Business MitarbeiterHast du vielleicht Mitarbeiter, dann kommt hier gleich eine doppelte Aufgabe auf dich zu.

Zum einen sind die Daten deiner Mitarbeiter ebenfalls personenbezogene Daten. Auf der anderen Seite musst du deine Mitarbeiter schulen bzw. informieren, wie sie mit personenbezogenen Daten umgehen sollen.

Diese Massnahme sollte auf jeden Fall dokumentiert und vom Mitarbeiter auch unterzeichnet werden.

 

Virtuelle Assistenten

DSGVO Online Business Mitarbeiter Virtuelle AssistentenEine freiere Form der Mitarbeiter sind die virtuellen Assistenten, die immer häufiger eingesetzt werden.

Auch hier hast du zwei Bereiche. Du arbeitest mit personenbezogenen Daten deiner virtuellen Assistenten. Aber noch wichtiger, virtuelle Assistenten arbeiten mit deinen Daten.

Das bedeutet wiederum, dass mit dem virtuellen Assistenten eine Auftragsverarbeitung und / oder ein Geheimhalteabkommen abgeschlossen werden sollte.

 

Die mobile Welt

DSGVO Online Business MobileAls letzten Punkt der möglichen Verarbeitungen, möchte ich dir noch einige Gedanken mitgeben, was Mobilität und DSGVO miteinander zu tun haben könnten.

Du speicherst auf deinem Handy sicher eine Menge personenbezogener Daten ab. Selbst wenn diese Daten nicht in einem Online Dienst gespeichert werden und nur auf dem Gerät bleiben, könnten das eine Auswirkung haben.

Denke einmal nach, was passiert, wenn du dein geliebtes Gerät verlierst. Dann haben möglicherweise andere Personen Zugriff auf diese personenbezogenen Daten.

Das Handy ist nur ein Beispiel für die Mobilität deiner Daten. Es könnte genau so ein USB-Stick sein oder auch dein Notebook, dass wahrscheinlich sehr viele personenbezogenen Daten gespeichert hat.

Um diesen Gedanken abzuschliessen, solltest du auch darüber nachdenken, welche Systeme in deinem Büro Daten speichern, die betroffen sein könnten. Denn auch ein Einbruch – egal ob ein Cyber Einbruch oder ein „echter“ Einbruch, kann den Verlust dieser Daten an fremde Personen zu Folge haben.

Wenn du die Liste hast, die wir an Beginn des Artikels begonnen und schrittweise ausgebaut haben, dann fällt es dir im Notfall zu mindestens leichter herauszufinden, welche Daten betroffen sind.

Mache dir also in dieser Hinsicht nochmals Gedanken, wo personenbezogene Daten abgelegt sind und ergänze bei Bedarf deine Liste.

 

Meldung bei Verstößen

DSGVO im Online Business - Meldung bei Verstößen

Im Zusammenhang mit den vorigen Gedanken zum Thema Verlust oder Diebstahl möchte ich noch anmerken, dass auch dieser Fall in der DSGVO bedacht wurde.

Auf Grund Artikel 33 in Kapitel 4 der DSGVO musst du in diesem Fall die Aufsichtsbehörde darüber informieren, dass Daten abhanden gekommen sind. Je nach Art der Daten ist es nach Artikel 34 in Kapitel 4 der DSGVO auch erforderlich die betroffenen Personen zu informieren. Dafür hast du allerdings nicht unendlich viel Zeit, denn es stehen dir maximal 72 Stunden zur Verfügung.

Dabei musst du genau Angaben darüber machen, welche Daten betroffen sind und auch die Folgen abschätzen, die dieser Verlust hat. Gegebenenfalls musst du auch Massnahmen beschreiben, die getroffen werden um den Schaden abzumildern.

 

Datenschutz-Folgenabschätzung

DSGVO im Online Business - Datenschutz Folgenabschätzung

Eine Rolle spielt hier auch die Datenschutz-Folgenabschätzung in Artikel 35 der DSGVO. Hier geht es vor allem darum, vorab zu bewerten, ob es Risiken für die Rechte und Freiheiten der Betroffenen gibt. Bei Bedarf sind Strategien zu entwickeln um die Risiken zu vermindern.

Ob eine solche Datenschutz-Folgenabschätzung durchgeführt werden muss, ist in oben genannten Artikel 35 geregelt.

Bei Bedarf sind die Informationen in unserer bereits gewachsenen Liste der Verarbeitungen hinzuzufügen.

 

Betroffenen Rechte

DSGVO im Online Business - Betroffenen Rechte

Das Recht der Betroffenen nimmt in der DSGVO ein ganzes Kapitel ein. In Kapitel 3 ist von Artikel 12 bis Artikel 23 alles zu diesem Thema geregelt.

Kurz zusammengefasst, haben die Personen dessen Daten verarbeitet werden das Recht auf Auskunft, Löschung und Berichtigung ihrer Daten. Weiters besteht eine umfassende Informationspflicht bei der Erfassung von personenbezogenen Daten.

Weiters gibt es auch ein Widerspruchsrecht und das Recht auf Übertragung.

Du musst im Fall einer Anfrage der betroffenen Person Auskünfte über die verarbeiteten Daten bezüglich der anfragenden Person geben. Ausserdem besteht das Recht darauf, dass Daten berichtigt und vor allem auch gelöscht werden. Beim Löschen ist im Falle von Backups darauf zu achten, dass diese im Fall eines Restores nicht wieder in deinem System vorhanden sind.

Das Widerspruchsrecht steht im Zusammenhang mit dem Erlaubnistatbestand des berechtigten Interesses. Hier kann die betroffene Person ein Widerspruchsrecht geltend machen, dass dir die weitere Verarbeitung untersagt.

Beim Recht auf Übertragung geht es darum, dass eine Person das Recht hat, dass über sie gespeicherte Daten an andere Unternehmen übertragen werden. Ein Beispiel wäre der Wechsel von einem Versicherungs Unternehmen zu einem anderen.

Auch für die Rechte der Betroffenen hilft dir unsere Liste der Verarbeitungen ein Stück weiter. Denn nur wenn dir klar ist, womit und wo die Daten verarbeitet werden, kannst du auch entsprechende Massnahmen bezüglich Auskunft, Berichtigung oder Löschung ergreifen.

 

Deine Website

DSGVO im Online Business - Die Website

Kommen wir jetzt zu einem wahrscheinlich zentralen Bestandteil deines Business, zumindest dann, wenn du ein Online Business betreibst. Es geht um deine Website.

Bisher muss man auf seiner Seite gesetzlich ein Impressum und relativ einfache Datenschutzerklärungen haben. Auch der Einsatz von Cookies und Tracking Tools war ohne größere Aktionen möglich.

Mit der DSGVO ist auch hier einiges strenger geworden. Vor allem ist im Sinne der Informationspflicht die Datenschutzerklärung und damit die Verpflichtung auf jegliche Verarbeitung von Userdaten ausführlich hinzuweisen.

 

Cookies und Tracking

Beginnen wir mit den allseits beliebten Cookies. Sie ermöglichen dem Website Betreiber bzw. der dort laufenden Software einen User wieder zu erkennen und auch seinen Weg zu verfolgen.

Eigentlich sollte zum Zeitpunkt des in Kraft treten der DSGVO auch der Umgang mit Cookies geregelt werden. Allerdings findet diese Regelung nicht in der DSGVO statt, sondern in der E-Privacy-Verordnung. Es ist aber aktuell damit zu rechnen dass diese erst Anfang 2019 in Kraft treten wird.

Dort ist klar der Umgang mit Cookies und dem Tracking geregelt und hat gravierende Auswirkungen auf die aktuelle Praxis mit solchen Technologien zu arbeiten.

Aktuell ist es ausreichend in den Datenschutzinformation umfassend über den Einsatz solcher Technologien zu informieren. Mit der E-Privacy-Verordnung werden wir dann einigen technischen Aufwand treiben müssen um Tracking bei Bedarf User bezogen zu deaktivieren.

Bestimmte Technologien, wie etwa der Facebook Pixel, sind heute schon rechtlich fraglich und sollten durch Techniken, wie dem Facebook Pixel Opt-Out eingebunden werden. Eine Lösung, wie so etwas realisiert werden kann findet ihr hier:

How To: Opt-Out-Lösung für Analytics & Facebook Tracking mit dem Google Tag Manager

 

Datenschutzinformation

DSGVO im Online Business - Datenschutzinformation

Wie vorhin bereits erwähnt, ist es mit der DSGVO erforderlich seine Datenschutzbestimmungen erheblich zu überarbeiten und alle Datenverarbeitungen zu erwähnen und genau zu beschreiben.

Dazu zählen auf der einen Seite die bereits erwähnten Cookies und Tracking Tools aber auch alle Datenverarbeitungen, die in Zusammenhang mit deiner Webseite stehen.

Einige dieser Verarbeitungen habe ich weiter oben schon erwähnt. Hast du zum Beispiel ein E-Mail Marketing System, dann gehört dieses ebenso erwähnt, wie Tools zu Nutzerregistrierung oder auch deine Kommentar Funktion.

Nicht zu vergessen ist hier der Provider, der ja die IP-Adressen deiner Besucher speichert und auf seinen Web Servern auch alle von dir erfassten Daten deiner User.

Auch die oben erwähnten Rechte deiner Besucher sollten hier erwähnt werden.

Wenn du dir das Leben vereinfachen oder nur einmal ein Bild machen möchtest, wie eine solche Datenschutzerklärung aussieht, dann kann ich dir den kostenlosen Datenschutzgenerator von Dr. Schwenke:

https://datenschutz-generator.de/

oder auch von e-recht24.de:

https://www.e-recht24.de/muster-datenschutzerklaerung.html

empfehlen.

Bei eRecht24 gibt es für Mitglieder auch die Möglichkeit die erweiterte und detailliertere Version generieren und zusätzlich auch eine englische Variante zu erstellen zu lassen.

 

Kopplungsverbot

Im Zusammenhang mit der DSGVO wird oft von einem Kopplungsverbot gesprochen. Dieser Begriff kommt zwar in der DSGVO direkt nicht vor, allerdings beruft man sich bei diesem Begriff auf Artikel 7 / Absatz 4 in Kapitel 2 der DSGVO.

Es geht dabei vorwiegend darum, dass die Einwilligung zur Verarbeitung der personenbezogenen Daten nicht von Leistungen abhängig gemacht werden dürfen, die damit direkt nichts zu tun haben.

Als Beispiel wäre hier die Teilnahme an einem Gewinnspiel zu nennen. Um daran teilnehmen zu können, stimmt man der Verarbeitung der Daten zu. Das ist mit der DSGVO nicht mehr möglich.

Aber auch, wenn du kein Gewinnspiel veranstaltest, könntest du von diesem Kopplungsverbot betroffen sein. Die übliche Methode, ein Freebie etwa ein eBook oder ähnliches gratis gegen die Eintragung in eine E-Mail Liste herzugeben ist damit sehr fraglich.

Bei diesem Thema diskutieren Juristen allerdings noch, ob das jetzt wirklich so zu sehen ist. Wenn du auf Nummer sicher gehen willst, dann solltest du auf diese Art des Einsammelns von E-Mail Adressen ab 25. Mai 2018 verzichten.

 

Schutz der Daten

DSGVO im Online Business - Schutz der Daten (TOM)

Der Schutz der Daten wird in der DSGVO in Kapitel 4 – Artikel 32 geregelt.

Es wird hier von technisch organisatorischen Massnahmen oder kurz TOM gesprochen.

Du musst demnach dafür sorgen, dass du angemessene technische und organisatorische Massnahmen ergreifst um die Sicherheit und die Verfügbarkeit deiner Systeme zu gewährleisten.

Es geht beim Thema Sicherheit auf der einen Seite darum den Zugriff  soweit einzuschränken, dass nur die Personen auf Daten Zugriff haben, die auch damit arbeiten sollen. Es wird damit notwendig sein ein Berechtigungssystem einzurichten, damit nicht jeder auf die am File Server liegenden Daten Zugriff hat. Das selbe gilt auch für Cloud Lösungen und der eingesetzten Software.

Die Einschränkungen sollte sich aber nicht nur auf die digitalen Daten beziehen. Die ganzen Ordner mit personenbezogenen Daten, die im Büro so herumliegen oder in Ordner abgelegt sind, gehören vor unberechtigten Zugriffen geschützt.

Das sind aber nicht nur die eigenen Mitarbeiter im Unternehmen. Das könnte zum Beispiel auch das Reinigungspersonal sein, dass mitunter sogar von externen Unternehmen bereit gestellt wird. Es müssen daher entsprechende Massnahmen ergriffen werden, damit nur berechtigte Unternehmen Zugriff auf diese Daten haben.

Ein weiteres Beispiel, dass viele kleine Unternehmen betrifft sind vielen Home Office Betriebe. Du musst in deinem Home Office dafür sorgen dass keine anderen Personen aus deiner Familie Zugriff auf personenbezogene Daten haben. Auch hier musst du den digitalen und nicht digitalen Bereich beachten.

Weg mit dem Papier, dass einfach für jeden zugänglich ist. Ein versperrbarer Schrank ist zum Beispiel eine Massnahme. Auch ein aufgeräumter Schreibtisch wird jetzt aus Sicht der DSGVO eine Voraussetzung für die Sicherheit der Daten sein.

Und dann ist der Computer im Home Office. Schnell mal die Kinder etwas spielen lassen, damit sie eine Ruhe geben. Dem Partner einen Brief mit Word schreiben lassen, dass am Office Rechner eh schon installiert ist. Das sind nur zwei der möglichen Aktivitäten, die zu einer Datenschutzverletzung führen können. Ich denke dir fallen sicher noch weitere Beispiele dazu ein.

Wenn du dann dafür gesorgt hast, dass der Zugriff auf personenbezogene Daten nur mehr berechtigten Personen erlaubt ist, dann ist das Thema Sicherheit noch nicht erledigt.

Jetzt musst du mit geeigneten Massnahmen dafür sorgen, dass du auch den Zugriff auf deine Daten für Personen verhinderst, die Böses im Sinn haben. Auch hier musst du die digitale Welt und die nicht digitale Welt berücksichtigen.

Entsprechender Schutz vor Einbrechern, wie zum Beispiel mit Sicherheitschlössern oder Alarmanlagen sind nur einige der möglichen Wege.

Genau so, wie du dein Büro, dein Haus oder deine Wohnung absicherst, musst du es auch für deine digitalen Bereiche machen. Dazu zählt einmal dein Computer aber auch deine Ort, wo du Daten ablegst. Beispiele sind externe Platten, USB-Sticks und viele mehr.

USB-Sticks können schnell gestohlen aber auch verloren werden. Sind die Daten dann für jeden frei zugänglich dann hast du ein echtes Problem. Selbiges gilt zum Beispiel auch für andere mobilen Geräte, also auch dein Notebook, dein Tablet oder dein Smartphone.

Jetzt kommt noch der Online Bereich. Bei Plattformen, die du technisch nicht betreust kannst du nicht viel machen. Hier muss dein Zugang nur soweit abgesichert sein, damit in deinen Account niemand unbefugt einsteigen kann. Als Massnahme zählt hier zum Beispiel ein sicheres Passwort. Mehr zum Thema sicheres Passwort, findest du in meinem Artikel „Warum du sofort deine Passwörter ändern solltest„.

Systeme, für die du selbst verantwortlich bist bedeuten schon etwas mehr Aufwand. Du musst dafür sorgen, dass diese Systeme entsprechend abgesichert sind. Nicht aktualisierte Software, unsichere Passwörter, fehlende Backups usw. sind sicher problematisch. Du musst dafür sorgen, dass deine eingesetzte Software entsprechend abgesichert ist.

Für die DSGVO zählt übrigens nicht nur die Absicherung vor Zugriffen, sondern auch die Verfügbarkeit. Das vorhin erwähnte Backup könnte dir da zum Beispiel schon weiterhelfen.

Zum Thema Sicherheit deiner eigenen Systeme, kann ich dir einen Artikel von mir empfehlen. Dieser zeigt dir im Fall von WordPress, welche 10 Massnahmen du setzen solltest um dein System sicherer zu machen – „WordPress absichern – 10 Tipps und warum du das tun solltest“.

Du hast sicher schon bemerkt, das Thema der Datensicherheit ist nicht so klein und es gibt dazu noch einiges zu sagen.

Ich werde mich daher diesem Thema in einem Eigenen Beitrag widmen, wo ich etwas weiter ins Detail gehen möchte und dir Tipps geben werde, wie du die Sicherheit deiner Daten gewährleisten kannst.

 

 

Zusammenfassung

Du hast in diesem Beitrag erfahren, was die DSGVO ist und wie sie dein aktuelles Business betrifft. Weiters habe ich dir die ersten Schritte beschrieben, die du unternehmen solltest um fit für den 25. Mai 2018 zu sein. Am besten siehst du die nochmal die in diesem Beitrag entstandene Grafik an und überlegst dir, wo bei dir noch Handlungsbedarf besteht.

 

Schreib mit doch in den Kommentaren, wie es die mit der DSGVO geht. Hast du bereits mit der Umsetzung begonnen. Hast du spezielle Fragen. 

Ich freue mich auf deine Kommentare.

Bis zum nächsten Teil – Andreas

 

DSGVO Gratis News

Ich möchte gerne informiert werden, wenn es neue Infos rund um das Thema DSGVO gibt.

Du musst deinen Namen nicht angeben, aber es würde mich freuen, wenn ich dich persönlich ansprechen könnte. Du kannst dir übrigens sicher sein, ich versende keine SPAM Mails.

Kategorien: Business.

Comments

  1. Hallo Andreas,
    das ist eine sehr nützliche Hilfe für Solopreneure. Danke schön für die Arbeit, die darin steckt.

    Ich habe den Artikel gern in meinem Blog (Fahrplan zur DSGVO) verlinkt

    Herzliche Grüße
    Monika Birkner

    • Hallo Monika,

      es ist schön, wenn man merkt, dass sich die Arbeit lohnt und man damit anderen weiterhelfen kann. Das gilt auch für deine tolle Zusammenstellung von Artikeln zum Thema DSGVO. Schön, dass es auch mein Artikel in deine Liste geschafft hat.

      Liebe Grüße
      Andreas

  2. Inna

    Hallo Andreas,
    danke für den tollen Artikel! Super!
    Ich hätte nur noch eine Frage: überall wird bis jetzt von der möglicherweise problematischen Einbindung von YouTube Videos gesprochen usw. Wie ist es nun aber mit Vimeo-Videos? Darüber hab leider noch keine Infos finden können. Ich will nämlich auf meiner Webseite auf eigens erstellte Videos zu Vimeo verlinken (also Urheberrecht liegt bei mir).
    LG Inna

    • Hallo Inna,

      freut mit, dass dir der Artikel gefällt.

      Zu deiner VIMEO Frage. Aktuell wird dieses Thema an verschiedenen Stellen diskutiert. Aktuell ist VIMEO nicht im Privacy Shield und stellt auch keinen Auftragsverarbeitungsvertrag zur Verfügung. Allerdings, kann man bei Aufruf des Videos den Parameter „?dnt=1“ (steht für do not tracking) hinzufügen, was die Übertragung von bzw. die Verarbeitung der IP verhindern soll und auch keine Cookies setzt. Damit sollte man auch im sicheren Bereich sein. Wenn es mehr Informationen zum Thema VIMEO gibt, werde ich das in meinem Blog auf jeden Fall veröffentlichen.

      Liebe Grüße
      Andreas

  3. Lieber Andreas,

    danke für den klar formulierten, in erträglichen Häppchen aufbereiteten Artikel!
    Werde ihn auch von meinem Blogartikel zur DSGVO verlinken!

    Liebe Grüße
    Alexandra
    (Contentessa)

  4. Laura

    Danke dir vielmals für diese ausführliche -und doch übersichtliche- Zusammenfassung zum Thema DSGVO!
    Liebe Grüße, Laura

    • Hallo Laura,

      vielen Dank für das Kommentar, das freut mich, wenn ich ein wenig weiterhelfen konnte etwas mehr Klarheit im DSGVO Dschungel zu bringen.

      Liebe Grüße
      Andreas

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

This site uses Akismet to reduce spam. Learn how your comment data is processed.