DSGVO – das sollten Sie als Unternehmerin und Unternehmer beachten
Haben Sie schon überprüft, ob Ihre Website DSGVO-konform ist? Sie haben nur noch gut 3 Wochen, denn am 25. Mai 2018 tritt die neue Europäische Datenschutzverordnung in Kraft – und die betrifft alle Unternehmen, die Dienstleistungen und Produkte online anbieten. Wenn Sie eine Website haben, sind auch Sie betroffen. Datenschützerin Regina Stoiber beschreibt im Online-Kurs „DSGVO für Einzel- und Kleinunternehmer“* , wie Sie vorgehen sollten.
Lassen Sie sich nicht bange machen: Ganz so schlimm wird es nicht. Kleine Unternehmer*innen, Einzelunternehmer*innen und Freiberufler*innen können sich selbst darum kümmern und schlau machen, ohne allzu viel Aufwand zu betreiben. Ich beschreibe kurz die wichtigsten Punkte, auf die Sie achten müssen. Ausführlicher wird es im Online-Kurs von Regina Stoiber.*
Wer ist betroffen?
Unternehmen, Freiberufler und Gewerbetreibende haben als Verantwortliche jederzeit die Pflicht, die Einhaltung der Datenschutzgrundsätze gegenüber den Aufsichtsbehörden nachzuweisen. Das bedeutet, Sie müssen auf Anforderung der Datenschutzbehörde Unterlagen vorweisen, die belegen, dass Sie die Datenschutzgrundsätze beachten. Wie Sie diese Unterlagen selbst erstellen können, versuche ich hier zu skizzieren.
Was umfasst der Datenschutz?
Es geht um die Verarbeitung personenbezogener Daten, die nachweislich „rechtmäßig, nach Treu und Glauben, transparent, zweckgebunden, datenminimiert, richtig, speicherbegrenzt sowie integer und vertraulich“ erfolgen muss. Sie als Unternehmer*in sind in der Pflicht, den Nachweis zu erbringen, denn Sie sind der beziehungsweise die Verantwortliche. Betroffene sind die Endverbraucher, Mitarbeiter, Besucher, Leser Ihres Newsletters usw. Und dann gibt es noch die Dienstleister, etwa Steuerberater oder Newsletter-Versender, das sind die „Auftragsverarbeiter„.
Im DSGVO gibt es Verantwortliche, Betroffene und Auftragsverarbeiter Share on XZwar haben die meisten von uns ihre Website bereits nach dem Bundesdatenschutzgesetz – das auch weiterhin inkraft bleibt – abgesichert, aber das reicht nicht mehr: Viele Verträge müssen neu geschlossen und weitere Datenschutz-Maßnahmen ergriffen werden.
Die 4 wichtigsten Fragen:
- Ist Ihre Homepage SSL-verschlüsselt?
- Ist Ihre Datenschutzerklärung nach DSGVO aktualisiert?
- Hat Ihr Kontaktformular einen Hinweis zur Zustimmung der Datennutzung?
- Ist der Anmeldeprozess zum Newsletter datenschutz-konform gestaltet?
Das Verfahrensverzeichnis
Sie müssen ein Verfahrensverzeichnis erstellen, in dem Sie darlegen, wie Sie die Datenschutzerfordernisse erfüllen. Sie dokumentieren also die Prozesse, etwa die Newsletteranmeldung, und die Verantwortlichen und legen alles schriftlich oder digital nieder, so dass Sie es einer Aufsichtsbehörde jederzeit nachweisen können. Sie können das in einem Word-Dokument machen oder in einer Excel-Tabelle oder was immer Ihnen geboten scheint.
In so einer Tabelle gibt es dann zum Beispiel eine Zeile für den Newsletter, in dem das allgemeine Verfahren beschrieben wird, das eine bestimmte Personengruppe betrifft, und folgende Spalten:
- Name des Verfahrens (Newsletterversand)
- Beschreibung / Zweck (Information für Interessenten zum Thema xy)
- Auftragsverarbeitung für bzw. von wem (Newsletter-Dienstleister)
- welche Daten werden erfasst? (Name, eMail)
- wer sind die Betroffenen? (Kunden, Interessenten)
- woher kommen die Daten? (zum Beispiel bei Newsletter-Anmeldung: von den Betroffenen selbst per Double-Opt-In)
- wer empfängt die Daten?
- gibt es Empgfänger in einem Drittland?
- wie lange werden sie gespeichert?
- wie sind sie gesichert und wie ist die Umgebungssicherheit?
Machen Sie für jeden Punkt eine Spalte und tragen Sie alles ein, oder gegebenenfalls ein „nicht zutreffend“ oder „entfällt“. Gehen Sie bei diesem Verzeichnis sehr sorgfältig vor und tragen alles detailliert ein, dann können Sie bei späteren Fragen stets darauf verweisen.
DSGVO: Was gehört in das Verfahrensverzeichnis? Share on XNatürlich gibt es professionelle Datenschützer, die uns hilfreiche Vorlagen liefern, damit wir uns nicht alles selbst aus den Fingern saugen müssen. Fragen Sie einen Datenschutzberater oder schauen Sie auf die Webseiten von BSI und DuD. Ich selbst habe den Online-Kurs der Datenschützerin Regina Stoiber besucht und kann ihn sehr empfehlen: Sie liefert eine Schritt-für-Schritt-Anleitung und beantwortet die Fragen der Teilnehmer im Forum.
Auftragsverarbeitung
Nun müssen Sie dokumentieren, wer die von Ihnen erhobenen Daten verarbeitet (externer Buchhalter, Provider, Google etc) und darlegen, welche Verträge Sie mit dem Drittanbieter geschlossen haben, um sicherzustellen, dass alle Daten gesetzeskonform verarbeitet und abgelegt werden. Das erfordert in vielen Fällen neue Verträge mit diesen Dienstleistern. Auch hierzu gibt es Vorlagen.
DSGVO:Was bedeutet Auftragsverarbeitung und wie muss ich damit umgehen? Share on XIhre Online-Präsenz
Um die Online-Präsenz DSGVO-konform zu machen, muss sie zunächst auf https umgestellt werden, falls Sie das noch nicht gemacht haben. Ich habe kürzlich mehrere Beiträge zur Frage veröffentlicht, wie Sie dabei Schritt für Schritt vorgehen können:
- WordPress auf SSL umstellen: der einfache Weg
- WordPress auf https umstellen in 3 Schritten: die 5-Minuten-Anleitung
Ich freue mich auf Ihr Feedback!
DSGVO: Stellen Sie Ihre Website auf SSL um Share on XAls nächstes müssen Sie Ihr Newsletter-Abo wasserdicht machen: Setzen Sie unter den Newsletter-Eintrag den Zusatz „Tragen Sie Ihre eMail-Adresse ein, um Informationen und Angebote zum Thema xy zu erhalten.“ Auch wenn Sie bisher nur Informationen per Newsletter verbreitet haben, empfiehlt sich sicherheitshalber der zusätzliche Hinweis auf Angebote, falls doch einmal ein Angebot auf diese Weise den Weg zum Interessenten finden sollte.
Haben Sie weitere Seiten, auf denen Benutzerdaten verarbeitet werden? Zum Beispiel ein Kontaktformular, eine Termninanfrage, die Anmeldung zu einer Veranstaltung? Dann gehört auch dort die Information hinein, dass die Daten verarbeitet werden und wie das geschieht.
DSGVO: Auf welchen Seiten werden Nutzerdaten verarbeitet? Share on XDSGVO: Werfen Sie unnötigen Ballast über Bord! Share on XKleiner Tipp am Rande: Auf zwei Webseiten haben wir bei der Prüfung festgestellt, dass die dort angebotenen Kontaktformulare in den letzten beiden Jahren so gut wie nie genutzt wurden. Da lohnt sich ehrlich gesagt der Aufwand nicht, wir haben die Seiten einfach herausgenommen – zumal genügend andere Möglichkeiten bleiben, Kontakt aufzunehmen.
Nun prüfen Sie alle Plugins Ihrer Website: Sind darin Plugins aus Drittländern, also aus Nicht-EU-Ländern wie den USA? Welche Plugins verwenden Sie für die Sozialen Medien? Datenschützerin Regina Stoiber gibt in ihrem Online-Kurs Onlinekurs DSGVO für Einzel- und Kleinunternehmer sehr konkrete Empfehlungen, worauf Sie bei Plugins und Social-Media-Buttons achten sollten, wenn Sie auf Nummer Sicher gehen möchten.
Datenschutzvorfälle und Rechte der Betroffenen
Jetzt müssen Sie noch Standardabläufe für zwei Prozesse definieren: Wie gehen Sie mit den Rechten der Betroffenen um und was passiert, wenn es mal einen Vorfall gibt? Zu den Rechten der Betroffenen gehören etwa das Recht auf Auskunft, das Recht auf Berichtigung und das Recht auf Löschen. Zu jedem dieser Punkte gibt es einen eigenen Paragraphen.
DSGVO: Definieren Sie Standardabläufe für Ihre Prozesse Share on XBei einem Datenschutzverstoß geht es u.a. darum, wie die Aufsichtsbehörde und die Betroffenen informiert werden. Ein Risiko besteht zum Beispiel darin, dass die Website oder das Portal gehackt werden und Daten abgegriffen werden. Im schlimmsten Fall werden bei einem Online-Shop Kreditkarteninformationen abgegriffen. Wie in diesem Fall vorgegangen wird, soll detailliert protokolliert werden, so dass Sie im Fall des Falles genau wissen und anschließend belegen können, wie vorgegangen wird. Dazu legen Sie am besten eine Beschreibung als PDF im entsprechenden Ordner ab.
Mitarbeiter und Datenschützer
Wissen die Mitarbeiter, welche Pflichten sie im Datenschutz haben? Sie sollten regelmäßig unterrichtet werden und eine Verpflichtung zum Datenschutz unterschreiben. Wenn Ihr Unternehmen mehr als 10 Mitarbeiter beschäftigt oder im Bereich Marktforschung tätig ist, müssen Sie einen Datenschutzbeauftragten intern abstellen oder einen externen Datenschutzbeauftragten engagieren.
IT-Sicherheit
Zum Abschluss sei noch einmal auf einige Grundsätze der IT-Sicherheit hingewiesen. Dazu gehören Regeln, die hier schon öfter zur Sprache kamen:
- Achten Sie auf sichere Passwörter!**
- Öffnen Sie keine Mails von unbekannten Absendern und schon gar nicht Mails von Fremden!
- Kein Business ohne regelmäßige Datensicherung: Machen Sie regelmäßige Backups!
- Kein WhatsApp auf dem Geschäfts-Handy!
** Lesen Sie zu Passwörtern die Beiträge:
Zum guten Schluss …
Ich hoffe, die Schritt-für-Schritt-Anleitung hilft Ihnen, und empfehle noch einmal den Online-Kurs DSGVO für Einzel- und Kleinunternehmer von Datenschützerin Regina Stoiber*, der für kleines Geld die notwendigen Details liefert, gute Vorlagen für Excel-Dateien und andere Formulare zur Verfügung stellt und Ihnen vor allem ein Forum für Ihre persönlichen Fragen bietet.
Selbstverständlich kann ich als Anbieter von Unternehmensberatung und Online-Marketing-Dienstleistungen keine verbindliche Rechtsberatung zur DSGVO geben und erst recht keine “rechtliche Prüfung” oder einen “Rechts-Check” anbieten. Wenden Sie sich bitte an einen Anwalt oder Datenschützer.
*Ich bin Affiliate-Partnerin dieses Kurses. Wenn Sie den Kurs über meinen Link buchen, erhalte ich eine kleine Provision. (Danke dafür 🙂 Ich habe den Kurs selbst mitgemacht und kann ihn sehr empfehlen!