Der folgende Beitrag stellt nur meine laienhafte Meinung dar und ist keine Rechtsberatung. Für die Korrektheit dieser Infos übernehme ich keine Gewähr. Im Zweifel fragt Ihr einfach noch den Anwalt Eures Vertrauens. Weiter unten gebe ich Euch noch einen DSGVO-Buchtipp (Amazon-Affiliate-Link).
Das Thema EU-Datenschutzgrundverordnung (DSGVO) geistert ja schon seit über zwei Jahren im Netz herum, doch erst in den letzten Wochen wurde das Thema so richtig schön aufgeregt diskutiert. Diese DSGVO soll ab 25.05.2018 endgültig (denn die Übergangsfrist läuft schon seit 2 Jahren) für eine EU-weit einheitliche Regelung bezüglich der Erfassung und Verarbeitung personenbezogener Daten stehen.
Dies betrifft Selbständige, Gewerbetreibende, Nebenberufler, Groß-Konzerne, KMU, Künstler usw. – also all diejenigen, die mit personenbezogenen Daten zu tun haben.
Für diejenigen, die bezüglich der DSGVO den Wald vor lauter Bäumen nicht sehen, habe ich eine kleine Anleitung erstellt. Folgende 4 Schritte schlage ich Euch vor:
1. Schritt – Arbeitsprozesse dokumentieren
Verschafft Euch als aller Erstes einen Überblick über Eure Arbeitsprozesse. Schreibt diese Prozesse z. B. in eine Excel-Tabelle oder Ähnliches. Bei welchen Prozessen werden personenbezogene Daten verarbeitet? Wie werden sie verarbeitet bzw. von wem? Sowohl online als auch offline. Ja, auch offline. In Gesprächen mit Kollegen höre ich immer wieder heraus, dass sie den Datenschutz lediglich in Bezug auf Ihre Website betrachten. Aber nein, Datenschutz bezieht sich auf sämtliche Handlungen innerhalb unseres Unternehmens.
2. Schritt – Vertrag zur Auftragsdatenverarbeitung
Wenn man all diese Prozesse mal aufgeschrieben hat, stellt man eventuell fest, dass die personenbezogenen Daten nicht nur zu Hause auf dem eigenen Computer verarbeitet werden, sondern dass diese Daten ggf. noch bei von anderen Unternehmen verarbeitet werden (Webhoster, Steuerberater, Cloud-Speicher, Bildergalerieanbieter, cloud-basierte Buchhaltungssoftware, Tracking-Software usw.). Mit diesem muss man dann Vertrag über die Auftragsdatenverarbeitung (ADV) abschließen. Solltet Ihr in der Vergangenheit schon solche Verträge abgeschlossen haben, solltet Ihr diese ggf. noch einmal auf DSGVO-Konformität prüfen.
3. Schritt – Technische und organisatorische Maßnahmen (TOM)
Dann kann man in diesem Zuge zu den o. g. aufgeschriebenen Prozessen die technischen und organisatorischen Maßnahmen (so genannte TOM) aufschreiben. Dafür nehme ich genau die gleiche Liste. Somit stehen die Prozesse und die dazugehörigen TOm in einer Liste. Da stehen dann so Sachen wie Backup-Konzept, SSL, Zustimmungshäkchen für Kontaktformulare & Co. (also die Maßnahmen, die ich ergreife, um die Sicherheit der mir anvertrauten personenbezogenen Daten zu gewährleisten)
Bei diesem ganzen Aufgeschreibe würde ich immer überlegen, ob einige bisher durchgeführte Datenverarbeitungsprozesse überhaupt noch nötig sind. Sprich: Kann ich ggf. Prozesse bei einem Anbieter bündeln? Kann ich auf Prozesse verzichten? An welcher Stelle kann ich die Prozesse in Hinblick auf den Datenschutz optimieren?
4. Schritt – Datenschutzerklärung
Und dann zu guter Letzt entsteht eine Datenschutzerklärung. Mit dieser Datenschutzerklärung klärt Ihr Kunden, Interessenten usw. darüber auf, in welcher Form Ihr personenbezogenen Daten erhebt und verarbeitet.
Aber Achtung! Es kann sein, dass Ihr sogar mehrere leicht abgewandelte Datenschutzerklärungen benötigt. Je nach Zweck: Online, Offline, Messeauftritt etc. Kann sein, muss nicht. Hängt einfach vom Einzelfall ab. Aber wie schon oben geschrieben: es genügt nicht, die Datenschutz-Brille nur für die eigene Website (bzw. auch für mehrere eigene Websites) aufzusetzen. Also Vorlage für meine Datenschutzerklärungen nutze ich den Datenschutz-Generator.
Matomo, Podcast, Buchtipp und eine nüchterne Betrachtungsweise
Zu den o. g. 4 Schritten folgen nun noch ein paar ergänzende Gedanken.
Da ich Google Analytics so in der Tiefe nicht mehr benötige, wechsel ich für das Website-Tracking seit einiger Zeit nach und nach zu Matomo (auf mehreren Seiten). Da benötige ich keine ADV, da liegen dann die Daten bei mir auf der eigenen Website und ich kann die Anonymisieren schön per Mouseclick einstellen. Kein nerviges Code-Gebastel (wie man es bei Google Analytics immer im Blick haben muss).
Markus Schmitt und ich haben letztens das Thema DSGVO in epischer Länge in unserem Podcast beleuchtet. Auch für diejenigen, die nicht reinhören, sind vielleicht die Links in den Show Notes interessant:
Zusätzlich haben wir uns in einer knackigen 25-minütigen Folge Matomo angeschaut.
Zu guter Letzt hier noch ein günstiger Buchtipp (5,50 EUR):
Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine: Das Sofortmaßnahmen-Paket* (Dieses Buch hat mir sehr geholfen, die DSGVO noch besser zu begreifen. Achtung, dies ist ein Amazon-Affiliate-Link. Wenn Ihr diesen Link klickt und dann bei Amazon irgendetwas bestellt, erhalte ich eine Provision von Amazon. Ihr bezahlt keinen Cent extra, unterstützt mich dadurch aber indirekt)
Vielleicht helfen die o. g. Ausführungen sowie die Links dabei weiter, das Thema DSGVO/Datenschutz mit einer gewissen Nüchternheit anzugehen. Ja, das Thema ist nicht sexy, aber hier gilt es kühlen Kopf zu bewahren und die o. g. Schritte nach und nach abzuarbeiten. Ich weiß, es gibt schönere Dinge im Leben.
Hallo Dennis,
wie du schon schreibst, es gibt schönere Dinge im Leben als die DSGVO.
Das Thema hängt vielen schon zum Hals raus, dennoch finde ich es wichtig, sich darüber zu informieren. Vielen Dank für deinen Beitrag! Damit wirst du mit Sicherheit vielen weiterhelfen. 🙂
Lieben Gruß