Im zweiten Teil meiner kleinen Artikelserie über die kommende DS-GVO ging es am Montag um das Verzeichnis der Verarbeitungstätigkeiten.
In meinem heutigen Praxis-Artikel möchte ich euch zeigen, wie ich das Verzeichnis für meine eigene Nischenwebsite bzw. meine Websites generell umsetze.
Ihr findet im Folgenden auch ein Beispiel.
[the_ad id=”18198″]Hinweis:
Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden.
Personenbezogene Daten
Im ersten Praxis-Artikel habe ich analysiert, welche personenbezogenen Daten ich auf meiner Nischenwebsite sammle. Das waren nicht viele, da ich dort weder Kommentare zulasse, noch Umfragen durchführe oder ähnliches. Deshalb bleibt nicht viel übrig, was ich in mein Verzeichnis der Verarbeitungstätigkeiten aufnehmen muss.
Ich nutze natürlich einen Hoster und muss dafür einen Eintrag vornehmen. Allerdings ist es nicht notwendig für jede Website einen einzelnen Eintrag vorzunehmen. Stattdessen reicht es pro Hoster einen Eintrag im Verzeichnis zu erstellen.
Die im letzten Praxis-Artikel zudem genannten anderen, spätestens mit der ePrivacy-Verordnung, kritisch werdenden externen Einbindungen (Bilder vom Amazon Partnerprogramm, externe Scripte, AdSense etc.) spielen für das eigene Verzeichnis der Verarbeitungstätigkeiten meiner Ansicht nur dann eine Rolle, wenn wirklich Daten erfasst und verarbeitet werden. Google Analyics ist auf meiner Nischnwebsite z.B. im Einsatz und auch dafür müsste man einen Eintrag im Verzeichnis anlegen. Allerdings nur einmal für alle Websites.
Auftragsdatenverarbeitung
Ist ein externer Dienstleister bei der Erfassung personenbezogener Daten beteiligt, wie es z.B. beim Hosting, bei einem Newsletter-Service oder bei Google Analytics der Fall ist, muss man zudem einen Auftragsverarbeitungsvertrag (ADV-Vertrag) abschließen, der den Regelungen zur DS-GVO entspricht.
Das ist laut DS-GVO aber nicht mehr in schriftlicher Form notwendig, so dass man dies auch elektronisch machen kann. Der Hoster Mittwald bietet z.B. bald eine Möglichkeit im Admin an, den ADV-Vertrag online abzuschließen.
Wer mit einem externen Dienstleister, der auf diese Weise personenbezogene Daten in eigenen Auftrag erfasst/verarbeitet, noch keinen ADV-Vertrag abgeschlossen oder einen schon deutlich älteren Vertrag hat, sollte vor dem 25.5. auf jeden Fall einen neue ADV-Vertrag abschließen.
Eine sehr nützliche Übersicht zu verschiedensten Diensleistern und Links zu deren ADVs gibt es auf blogmojo.de.
Beispiel für einen Eintrag ins Verzeichnis
Ich selber habe mir eine Vorlage genommen und diese ein wenig angepasst. Hauptsache ist, dass die wichtigsten Daten enthalten sind.
Das Verzeichnis selber hat ein Vorblatt, auf dem ausführliche Angaben zum Verantwortlichen stehen.
Danach folgen jeweils die einzelnen Einträge. Hier mein Beispiel für das Hosting meiner Websites beim Hoster All-Inkl.com. Dort habe ich die Speicherung der IP-Adressen in den Logfiles deaktiviert und auch in der Datenbank werden keine IP-Adressen gespeichert.
Somit werden dort lediglich Name und eMail-Adresse bei Kommentaren gespeichert. Das ist zumindest bei meinen Blogs und teilweise Websites der Fall, die ich bei All-Inkl.com hoste.
HINWEIS:
Das ist nur ein Beispiel, wie ich es aktuell machen würde. Ob das am Ende ausreichend ist oder ob es in der Praxis dann etwas anders gemacht werden muss, werden wir sehen, sobald praktische Beispiele für konkrete Daten verfügbar werden. Es ist also wichtig, dass ihr euch an den im Netz zu findenden Vorlagen orientiert, aber diese dann individuell ausfüllt. Ich übernehme auf jeden Fall keine Haftung, falls ihr meine Vorlage übernehmt und diese am Ende nicht 100% korrekt ist.
Verzeichnis von Verarbeitungstätigkeiten | |
Verzeichnis Nummer | 1 |
Erstellungsdatum | 24.05.2018 |
Datum der letzten Änderung | – |
Bezeichnung der Verarbeitungstätigkeit | Speicherung von Namen und eMail-Adressen in Zuge des Hostings auf All-Inkl.com |
I. Angaben zur Verantwortlichkeit, Art. 30 Abs. 1 b) DS-GVO | |
Verantwortliche Person | Herr Peer Wandiger |
II. Angaben zur Verarbeitungstätigkeit | |
Risikobewertung Besteht bei der Verarbeitung ein hohes Risiko für die betroffenen Personen? |
Nein |
Zwecke der Verarbeitungen/der Verarbeitungstätigkeit | Abgabe von Kommentaren |
Rechtsgrundlage der Verarbeitungen/der Verarbeitungstätigkeit | Einwilligung (DS-GVO Art. 6 Abs. 1 lit. a) mit klarem Hinweis, welche Daten für welchen Zweck erhoben werden. |
Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, Art. 30 Abs. 1 c) DSGVO | Betroffene Personengruppen Website-Besucher Kategorien personenbezogener Daten |
Kategorien von Empfängern, denen die Daten offengelegt worden sind oder noch offengelegt werden, Art. 30 Abs. 1 d) DSGVO | Interne Empfänger Peer Wandiger Externe Empfänger Vertragliche Dienstleister |
Datenübermittlungen in Drittländer oder an internationale Organisationen, Art. 30 Abs. 1 e) DSGVO | Nein |
Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien, Art. 30 Abs. 1 f) DSGVO | Löschung der Daten bei Kündigung des Hostings bzw. Schließung der Website. |
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen | Art der eingesetzten DV-Anlagen und Software (optional) Server von All-Inkl.com, WordPress als Content Management System Konkrete Beschreibung der technischen und organisatorischen Maßnahmen |
_____________ Verantwortlicher_____________ Datum_____________ Unterschrift |
TOM – Technische und organisatorische Maßnahmen
Die TOM sind die technischen und organisatorischen Maßnahmen, die zur sicheren Erfassung und Speicherung der personenbezogenen Daten getroffen wurden. Das sind in dem Fall zum einen die Maßnahmen bei All-Inkl.com, die im Zusammenhang mit dem ADV-Vertrag einzusehen sind.
Zum anderen sollte man selbst im Rahmen der DS-GVO Vorbereitungen ein eigenes TOM-Dokument erstellen. Also wie z.B. der eigene PC bzw. der Zugang zu den personenbzogenen Daten bei einem selbst abgesichert ist.
Diese PDF-Checkliste ist zwar noch für das bisherige Bundesdatenschutzgesetz gedacht, aber sie ist dennoch sehr nützlich bei der Erstellung des eigenen TOM-Dokumentes.
Verzeichnis erstellen und aktualisieren
Und so erstelle ich alle Einträge in das Verzeichnis der Verabreitungstätigkeiten bis zum 25.5.2018. Bei mir sind das Word-Dokumente, die ich dann ausdrucke.
Bei Änderungen, z.B. neuer Hoster, weitere Datenerfassung, neuer Service usw., erweitere bzw. aktualisiere ich das Verzeichnis.
Tipps für kleine Unternehmen
Das “Bayerische Landesamt für Datenschutzaufsicht” hat einige Beispiele von Verzeichnissen der Verabreitungstätigkeiten für kleine Unternehmen veröffentlicht. So gibt dort Beispiele z.B. für einen Verein, eine Kfz-Werkstatt, einen Steuerberater oder auch einen Online-Shop.
Letzteres Beispiel kommt normalen Website recht nahe, so dass man sich das mal anschauen sollte. Dort wird übrigens auch ein Aufzug aus dem TOM Dokument mitgeliefert.
Ich finde es sehr gut, dass es von offizieller Stelle nun auch mal solche praktischen Beispiele gibt, anstatt nur immer auf die Theorie einzugehen. Hier scheint man erkannt zu haben, dass viele kleine Unternehmen und Selbstständige mit der DS-GVO doch etwas überfordert sind, was ja auch absehbar war.
Leider sind in diesen Beispielen heikle Dinge, wie Google AdSense, nicht enthalten. Aber dennoch eine empfehlenswerte Lektüre.
Fazit
Im Grunde ist es also gar nicht so schwer, so ein Verzeichnis der Verabreitungstätigkeiten anzulegen. Allerdings muss man sich erstmal ausführlich Gedanken machen, wie die betreffenden Daten verarbeitet werden und wer verantwortlich ist.
Der Aufwand hängt natürlich stark davon ab, wie viele personenbezogene Daten man sammelt und verarbeitet. Datensparsamkeit, die ja generell durch der DS-GVO gefordert wird, hilft hier also dabei Arbeit bei der Erstellung des Verzeichnisses zu sparen.
Am Ende noch der Hinweis, dass solche Einträge im Verzeichnis der Verarbeitungstätigkeiten für alle personenbezogenen Daten erfolgen muss, die ihr sammelt und verarbeitet. Nicht nur für die, die auf eurer Website gesammelt werden.
[the_ad id=”18198″]- Danke für 16 tolle Jahre - 13. Juli 2023
- So erstellst du deine erste Newsletter-Mail in 10 Schritten mit CleverReach - 13. Juli 2023
- Die 5 besten Features des Amazon Affiliate WordPress Plugin – AAWP - 12. Juli 2023
Hallo Peer,
vielen Dank für diesen hilfreichen Beitrag, der eine eigentlich leicht umzusetzende Forderung des Datenschutzes aufgreift. An dieser Stelle sei auch angemerkt, dass es diese Bestimmungen der Dokumentationspflicht nicht erst seit heute gibt. (Aber jetzt werden wohl gerade alle wieder aus einem Dornröschenschlaf geweckt.)
Im Rahmen der neuen Verordnung wird dieses Thema aber augenscheinlich bei vielen wieder in den Focus gerückt….was auch gut ist.
Die Begrifflichkeiten Datenintegrität, Zuverlässigkeit der Systeme und Wiederherstellbarkeit sind aus meiner Sicht wohl neu oder neu definiert. Webseitenbetreiber müssen nun zum Beispiel auch auf dieser Grundlage gewährleisten, dass sie in ihrem Leistungsumfang eingesetzte Systeme im Störungsfall wiederherstellen können. (Backups nennt man das wohl auch).
Ich wüsste nicht, dass es bisher schon bei normalen Selbstständigen Dokumentationspflichten diesbezüglich gegeben hat. Mal abgesehen von der bisherigen Datenschutzerklärung.
Es gab ein öffentlich zugänglichen Verzeichnis solcher Verarbeitungstätigkeiten, aber das war nur bei wenigen Tätigkeiten Pflicht.
Die TOM werde ich hier wohl auch nochmal in einem Artikel ausführlich behandeln. Das ist ein Thema für sich.
Hey Peer, wie kann ich bei Allinkl die Speicherung der IP-Adressen in den Logfiles deaktivieren, so dass diese auch nicht in der Datenbank gespeichert werden? LG Jack
Das eine hat mit dem anderen nichts zu tun. Die Logfiles sind tatsächlich Dateien auf dem Server. Diese kannst du in den Einstellung deiner Domain deaktivieren. Dort einfach die Statistik deaktivieren.
IP-Adressen, die in deiner Datenbank gespeichert werden, stammen von der Website selbst. Z.B. von der Kommentar-Funktion und von diversen Plugins. Das musst du dann im Einzelfall prüfen, welche das bei dir sind.
Hallo Jack,
um die IPs von Kommentaren nicht zu speichern gibt es dieses PlugIn für WP: https://de.wordpress.org/plugins/remove-ip/. Dieses PlugIn wurde zwar schon lange nicht mehr aktualisiert, enthält aber auch nur diese eine Funktion. Wenn du diesem wegen dem Alter nicht traust, kannst du auch dieses PlugIn nutzen, musst es allerdings selbst downloaden und dann als ZIP-Datei oder via SFTP hochladen: https://github.com/ThomasLeister/remove-comment-ip/blob/master/remove-comment-ip.php
Davon werden aber nur die IPs bei Kommentaren ersetzt. Alle anderen PlugIns etc. die die IP deiner Besucher speichern, werden davon mit sehr großer Wahrscheinlichkeit nicht beeinflusst. Zudem werden auch nur neue IPs geändert. Bereits gespeicherte IPs müsstest du immer noch selbst prüfen.
Mal schauen, ob da auch noch ein Update von WordPress selbst kommt. Schließlich wäre es am einfachsten, wenn WordPress selbst eine Option hat jegliche IP-Erfassung zu verhindern. Na mal schauen.
Vielen Dank für diesen äußerst informativen Beitrag.
Hallo Peer,
Danke für den aufschlussreichen Artikel. Muss ich für die VGWort dann auch einen Eintrag im Verzeichnis machen?
Sehe ich das richtig, dass ich diese Dokumente nirgendwo einreichen sondern bei mir einfach nur dokumentarisch vorhalten muss falls ggf. mal eine Kontrolle statt findet?
Gruss Chris
Da man selber die Daten nicht selber erfasst und auch keinen Zugriff darauf hat, muss man dafür auch keinen Eintrag machen, meiner Meinung nach.
Das Verzeichnis muss man nur selbst vorhalten, falls die Datenschutz-Behörden danach fragen sollten.
Danke Peer, für die sehr gute Aufstellung der Dokumentationspflicht.
Hallo Peer,
toller Beitrag und Ratgeber. Du schreibst von “alle Einträge in das Verzeichnis der Verabreitungstätigkeiten” Welche Verzeichnisse meinst du noch außer All Ink.
Es sind nur die Verzeichnisse einzutragen die personenbezogene Daten abrufen?
Oh man es ist ein kompliziertes Thema wenn man sich zum ersten mal damit beschäftigt. Danke schon mal.
Das hängt von jedem selbst ab. Wer wirklich nur eine Website betreibt und sonst keine Daten sammelt (kein Newsletter, keine Rechnungen an Werbekunden …), der hat im eigenen Verarbeitungsverzeichnis wirklich nur den Hoster stehen.
Bei mir sind es schon ein paar mehr Einträge.
Hi Peer,
super Info.
Frage: Was bedeutet die DSGVO für den Newsletterversand per MailChimp?
a) müssen die bestehenden Abonnenten die neuen Bedingungen aktiv bestätigen?
– würde ja bedeuteten, dass die Liste um ca. 80-90% kleiner wird.
b) oder nur die neuen ab 25.5.?
Zu dem Thema kann ich keine konkreten Handlungsempfehlungen finden.
Viele Grüße,
Daniel
Mailchimp ist nicht in europa ansässig, soweit ich weiß, und das ist schon mal sehr problematisch. Allerdings gibt es wohl einen ADV Vertrag von Mailchimp.
zu a) Laut diverse Juristen eher nein. Wenn man bisher schon auf Double-Opt-In gesetzt hat und die Abonnenten freiwillig den Newsletter abonniert haben, dann muss man keine neue Einwilligung einholen.
zu b) wie bisher dann auch die neuen Abonnenten ab dem 25.5. per Double-Opt-In
DANKE dir Peer!
Hallo,
wir nutzen die Custom Audience von Facebook. Durch die Nutzung ist Facebook doch ein Auftragsverarbeiter oder liege ich hier falsch? Muss hier dann auch ein ADV-Vertrag abgeschlossen werden? Gibt es von Facebook eine Vertragsvorlage?
Hallo Peer,
vielen Dank für die nützlichen Infos!
Wenn man nun einfach eine Kontakt-Emailadresse auf einen Website angibt verarbeitet man ja auch ankommende Emails (deren Inhalt, Sender-Emailadresse, und Namen/Firma) unabhängig der Kommentarfunktion. Wäre dies dann ein separater Eintrag ins Verarbeitungsverzeichnis?
Viele Grüße,
Christian
Das muss auf jeden Fall ins Verarbeitungsverzeichnis. Ob man das mit den Kontaktformularen zusammen ins Verzeichnis aufnimmt, ist Geschmackssache.
Danke!
Hallo Peer,
Wie hast Du es genau mit deinem Hoster bzgl. ADV-Vertrag geregelt? Ich blicke da nur bedingt durch. Mein Blog ist im Prinzip ähnlich zu deinem mit News / Infos. Es gibt weder einen Bereich für Mitglieder oder einen Shop. Einzige Möglichkeiten sind WordPress Kommentare und die normalen Kontaktwege via E-Mail.
Wenn ich das richtig verstanden habe (ADV Vertrag von Hosteurope) wären die Art der Daten also Personenstammdaten und Kommunikationsdaten? Und der Kreis der Betroffenen wären dann Interessenten (Website-Besucher) oder gebe ich mich selbst an? Vielleicht hast Du ja ein paar Tipps hierzu.
Ja, im Grunde genau das. Je nach Hoster funktioniert das mit dem AV-Vertrag ja etwas anders. Man wählt einfach die Datenarten aus, die für die eigene Website passen und dasselbe dann bei den Betroffenen.