DS-GVO Anpassung einer Nischenwebsite – Praxis-Beispiel Schritt 2: Verzeichnis

DS-GVO Anpassung einer Nischenwebsite - Praxis-Beispiel Schritt 2: VerzeichnisIm zweiten Teil meiner kleinen Artikelserie über die kommende DS-GVO ging es am Montag um das Verzeichnis der Verarbeitungstätigkeiten.

In meinem heutigen Praxis-Artikel möchte ich euch zeigen, wie ich das Verzeichnis für meine eigene Nischenwebsite bzw. meine Websites generell umsetze.

Ihr findet im Folgenden auch ein Beispiel.

[the_ad id=”18198″]

Hinweis:
Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden.

Personenbezogene Daten

Im ersten Praxis-Artikel habe ich analysiert, welche personenbezogenen Daten ich auf meiner Nischenwebsite sammle. Das waren nicht viele, da ich dort weder Kommentare zulasse, noch Umfragen durchführe oder ähnliches. Deshalb bleibt nicht viel übrig, was ich in mein Verzeichnis der Verarbeitungstätigkeiten aufnehmen muss.

Ich nutze natürlich einen Hoster und muss dafür einen Eintrag vornehmen. Allerdings ist es nicht notwendig für jede Website einen einzelnen Eintrag vorzunehmen. Stattdessen reicht es pro Hoster einen Eintrag im Verzeichnis zu erstellen.

Die im letzten Praxis-Artikel zudem genannten anderen, spätestens mit der ePrivacy-Verordnung, kritisch werdenden externen Einbindungen (Bilder vom Amazon Partnerprogramm, externe Scripte, AdSense etc.) spielen für das eigene Verzeichnis der Verarbeitungstätigkeiten meiner Ansicht nur dann eine Rolle, wenn wirklich Daten erfasst und verarbeitet werden. Google Analyics ist auf meiner Nischnwebsite z.B. im Einsatz und auch dafür müsste man einen Eintrag im Verzeichnis anlegen. Allerdings nur einmal für alle Websites.

Auftragsdatenverarbeitung

Ist ein externer Dienstleister bei der Erfassung personenbezogener Daten beteiligt, wie es z.B. beim Hosting, bei einem Newsletter-Service oder bei Google Analytics der Fall ist, muss man zudem einen Auftragsverarbeitungsvertrag (ADV-Vertrag) abschließen, der den Regelungen zur DS-GVO entspricht.

Das ist laut DS-GVO aber nicht mehr in schriftlicher Form notwendig, so dass man dies auch elektronisch machen kann. Der Hoster Mittwald bietet z.B. bald eine Möglichkeit im Admin an, den ADV-Vertrag online abzuschließen.

Wer mit einem externen Dienstleister, der auf diese Weise personenbezogene Daten in eigenen Auftrag erfasst/verarbeitet, noch keinen ADV-Vertrag abgeschlossen oder einen schon deutlich älteren Vertrag hat, sollte vor dem 25.5. auf jeden Fall einen neue ADV-Vertrag abschließen.

Eine sehr nützliche Übersicht zu verschiedensten Diensleistern und Links zu deren ADVs gibt es auf blogmojo.de.

Beispiel für einen Eintrag ins Verzeichnis

Ich selber habe mir eine Vorlage genommen und diese ein wenig angepasst. Hauptsache ist, dass die wichtigsten Daten enthalten sind.

Das Verzeichnis selber hat ein Vorblatt, auf dem ausführliche Angaben zum Verantwortlichen stehen.

Danach folgen jeweils die einzelnen Einträge. Hier mein Beispiel für das Hosting meiner Websites beim Hoster All-Inkl.com. Dort habe ich die Speicherung der IP-Adressen in den Logfiles deaktiviert und auch in der Datenbank werden keine IP-Adressen gespeichert.

Somit werden dort lediglich Name und eMail-Adresse bei Kommentaren gespeichert. Das ist zumindest bei meinen Blogs und teilweise Websites der Fall, die ich bei All-Inkl.com hoste.

HINWEIS:
Das ist nur ein Beispiel, wie ich es aktuell machen würde. Ob das am Ende ausreichend ist oder ob es in der Praxis dann etwas anders gemacht werden muss, werden wir sehen, sobald praktische Beispiele für konkrete Daten verfügbar werden. Es ist also wichtig, dass ihr euch an den im Netz zu findenden Vorlagen orientiert, aber diese dann individuell ausfüllt. Ich übernehme auf jeden Fall keine Haftung, falls ihr meine Vorlage übernehmt und diese am Ende nicht 100% korrekt ist.

Verzeichnis von Verarbeitungstätigkeiten
Verzeichnis Nummer 1
Erstellungsdatum 24.05.2018
Datum der letzten Änderung
Bezeichnung der Verarbeitungstätigkeit Speicherung von Namen und eMail-Adressen in Zuge des Hostings auf All-Inkl.com
I. Angaben zur Verantwortlichkeit, Art. 30 Abs. 1 b) DS-GVO
Verantwortliche Person Herr Peer Wandiger
II. Angaben zur Verarbeitungstätigkeit
Risikobewertung
Besteht bei der Verarbeitung ein hohes Risiko für die betroffenen Personen?
 
Nein
Zwecke der Verarbeitungen/der Verarbeitungstätigkeit Abgabe von Kommentaren
Rechtsgrundlage der Verarbeitungen/der Verarbeitungstätigkeit Einwilligung (DS-GVO Art. 6 Abs. 1 lit. a) mit klarem Hinweis, welche Daten für welchen Zweck erhoben werden.
Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, Art. 30 Abs. 1 c) DSGVO Betroffene Personengruppen
Website-Besucher
 

Kategorien personenbezogener Daten
Name, eMail-Adresse
(ausschließliche Verwendung für Kommentare)

Kategorien von Empfängern, denen die Daten offengelegt worden sind oder noch offengelegt werden, Art. 30 Abs. 1 d) DSGVO Interne Empfänger
Peer Wandiger
 

Externe Empfänger

Vertragliche Dienstleister
All-Inkl.com, Neue Medien Münnich, Hauptstraße 68, D-02742 Friedersdorf
(Vertrag der Auftragsdatenverarbeitung als Anlage beifügen)

Datenübermittlungen in Drittländer oder an internationale Organisationen, Art. 30 Abs. 1 e) DSGVO Nein
Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien, Art. 30 Abs. 1 f) DSGVO Löschung der Daten bei Kündigung des Hostings bzw. Schließung der Website.
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen Art der eingesetzten DV-Anlagen und Software (optional)
Server von All-Inkl.com, WordPress als Content Management System
 

Konkrete Beschreibung der technischen und organisatorischen Maßnahmen
sieht TOM

_____________
Verantwortlicher
_____________
Datum
_____________
Unterschrift

TOM – Technische und organisatorische Maßnahmen

Die TOM sind die technischen und organisatorischen Maßnahmen, die zur sicheren Erfassung und Speicherung der personenbezogenen Daten getroffen wurden. Das sind in dem Fall zum einen die Maßnahmen bei All-Inkl.com, die im Zusammenhang mit dem ADV-Vertrag einzusehen sind.

Zum anderen sollte man selbst im Rahmen der DS-GVO Vorbereitungen ein eigenes TOM-Dokument erstellen. Also wie z.B. der eigene PC bzw. der Zugang zu den personenbzogenen Daten bei einem selbst abgesichert ist.

Diese PDF-Checkliste ist zwar noch für das bisherige Bundesdatenschutzgesetz gedacht, aber sie ist dennoch sehr nützlich bei der Erstellung des eigenen TOM-Dokumentes.

Verzeichnis erstellen und aktualisieren

Und so erstelle ich alle Einträge in das Verzeichnis der Verabreitungstätigkeiten bis zum 25.5.2018. Bei mir sind das Word-Dokumente, die ich dann ausdrucke.

Bei Änderungen, z.B. neuer Hoster, weitere Datenerfassung, neuer Service usw., erweitere bzw. aktualisiere ich das Verzeichnis.

Tipps für kleine Unternehmen

Das “Bayerische Landesamt für Datenschutzaufsicht” hat einige Beispiele von Verzeichnissen der Verabreitungstätigkeiten für kleine Unternehmen veröffentlicht. So gibt dort Beispiele z.B. für einen Verein, eine Kfz-Werkstatt, einen Steuerberater oder auch einen Online-Shop.

Letzteres Beispiel kommt normalen Website recht nahe, so dass man sich das mal anschauen sollte. Dort wird übrigens auch ein Aufzug aus dem TOM Dokument mitgeliefert.

Ich finde es sehr gut, dass es von offizieller Stelle nun auch mal solche praktischen Beispiele gibt, anstatt nur immer auf die Theorie einzugehen. Hier scheint man erkannt zu haben, dass viele kleine Unternehmen und Selbstständige mit der DS-GVO doch etwas überfordert sind, was ja auch absehbar war.

Leider sind in diesen Beispielen heikle Dinge, wie Google AdSense, nicht enthalten. Aber dennoch eine empfehlenswerte Lektüre.

Fazit

Im Grunde ist es also gar nicht so schwer, so ein Verzeichnis der Verabreitungstätigkeiten anzulegen. Allerdings muss man sich erstmal ausführlich Gedanken machen, wie die betreffenden Daten verarbeitet werden und wer verantwortlich ist.

Der Aufwand hängt natürlich stark davon ab, wie viele personenbezogene Daten man sammelt und verarbeitet. Datensparsamkeit, die ja generell durch der DS-GVO gefordert wird, hilft hier also dabei Arbeit bei der Erstellung des Verzeichnisses zu sparen.

Am Ende noch der Hinweis, dass solche Einträge im Verzeichnis der Verarbeitungstätigkeiten für alle personenbezogenen Daten erfolgen muss, die ihr sammelt und verarbeitet. Nicht nur für die, die auf eurer Website gesammelt werden.

[the_ad id=”18198″]
Peer Wandiger

21 Gedanken zu „DS-GVO Anpassung einer Nischenwebsite – Praxis-Beispiel Schritt 2: Verzeichnis“

  1. Hallo Peer,

    vielen Dank für diesen hilfreichen Beitrag, der eine eigentlich leicht umzusetzende Forderung des Datenschutzes aufgreift. An dieser Stelle sei auch angemerkt, dass es diese Bestimmungen der Dokumentationspflicht nicht erst seit heute gibt. (Aber jetzt werden wohl gerade alle wieder aus einem Dornröschenschlaf geweckt.)

    Im Rahmen der neuen Verordnung wird dieses Thema aber augenscheinlich bei vielen wieder in den Focus gerückt….was auch gut ist.

    Die Begrifflichkeiten Datenintegrität, Zuverlässigkeit der Systeme und Wiederherstellbarkeit sind aus meiner Sicht wohl neu oder neu definiert. Webseitenbetreiber müssen nun zum Beispiel auch auf dieser Grundlage gewährleisten, dass sie in ihrem Leistungsumfang eingesetzte Systeme im Störungsfall wiederherstellen können. (Backups nennt man das wohl auch).

    • Ich wüsste nicht, dass es bisher schon bei normalen Selbstständigen Dokumentationspflichten diesbezüglich gegeben hat. Mal abgesehen von der bisherigen Datenschutzerklärung.

      Es gab ein öffentlich zugänglichen Verzeichnis solcher Verarbeitungstätigkeiten, aber das war nur bei wenigen Tätigkeiten Pflicht.

      Die TOM werde ich hier wohl auch nochmal in einem Artikel ausführlich behandeln. Das ist ein Thema für sich.

    • Das eine hat mit dem anderen nichts zu tun. Die Logfiles sind tatsächlich Dateien auf dem Server. Diese kannst du in den Einstellung deiner Domain deaktivieren. Dort einfach die Statistik deaktivieren.

      IP-Adressen, die in deiner Datenbank gespeichert werden, stammen von der Website selbst. Z.B. von der Kommentar-Funktion und von diversen Plugins. Das musst du dann im Einzelfall prüfen, welche das bei dir sind.

    • Hallo Jack,
      um die IPs von Kommentaren nicht zu speichern gibt es dieses PlugIn für WP: https://de.wordpress.org/plugins/remove-ip/. Dieses PlugIn wurde zwar schon lange nicht mehr aktualisiert, enthält aber auch nur diese eine Funktion. Wenn du diesem wegen dem Alter nicht traust, kannst du auch dieses PlugIn nutzen, musst es allerdings selbst downloaden und dann als ZIP-Datei oder via SFTP hochladen: https://github.com/ThomasLeister/remove-comment-ip/blob/master/remove-comment-ip.php

      Davon werden aber nur die IPs bei Kommentaren ersetzt. Alle anderen PlugIns etc. die die IP deiner Besucher speichern, werden davon mit sehr großer Wahrscheinlichkeit nicht beeinflusst. Zudem werden auch nur neue IPs geändert. Bereits gespeicherte IPs müsstest du immer noch selbst prüfen.

      • Mal schauen, ob da auch noch ein Update von WordPress selbst kommt. Schließlich wäre es am einfachsten, wenn WordPress selbst eine Option hat jegliche IP-Erfassung zu verhindern. Na mal schauen.

  2. Hallo Peer,

    Danke für den aufschlussreichen Artikel. Muss ich für die VGWort dann auch einen Eintrag im Verzeichnis machen?

    Sehe ich das richtig, dass ich diese Dokumente nirgendwo einreichen sondern bei mir einfach nur dokumentarisch vorhalten muss falls ggf. mal eine Kontrolle statt findet?

    Gruss Chris

    • Da man selber die Daten nicht selber erfasst und auch keinen Zugriff darauf hat, muss man dafür auch keinen Eintrag machen, meiner Meinung nach.

      Das Verzeichnis muss man nur selbst vorhalten, falls die Datenschutz-Behörden danach fragen sollten.

  3. Hallo Peer,

    toller Beitrag und Ratgeber. Du schreibst von “alle Einträge in das Verzeichnis der Verabreitungstätigkeiten” Welche Verzeichnisse meinst du noch außer All Ink.
    Es sind nur die Verzeichnisse einzutragen die personenbezogene Daten abrufen?
    Oh man es ist ein kompliziertes Thema wenn man sich zum ersten mal damit beschäftigt. Danke schon mal.

    • Das hängt von jedem selbst ab. Wer wirklich nur eine Website betreibt und sonst keine Daten sammelt (kein Newsletter, keine Rechnungen an Werbekunden …), der hat im eigenen Verarbeitungsverzeichnis wirklich nur den Hoster stehen.

      Bei mir sind es schon ein paar mehr Einträge.

  4. Hi Peer,

    super Info.

    Frage: Was bedeutet die DSGVO für den Newsletterversand per MailChimp?

    a) müssen die bestehenden Abonnenten die neuen Bedingungen aktiv bestätigen?
    – würde ja bedeuteten, dass die Liste um ca. 80-90% kleiner wird.

    b) oder nur die neuen ab 25.5.?

    Zu dem Thema kann ich keine konkreten Handlungsempfehlungen finden.

    Viele Grüße,
    Daniel

    • Mailchimp ist nicht in europa ansässig, soweit ich weiß, und das ist schon mal sehr problematisch. Allerdings gibt es wohl einen ADV Vertrag von Mailchimp.

      zu a) Laut diverse Juristen eher nein. Wenn man bisher schon auf Double-Opt-In gesetzt hat und die Abonnenten freiwillig den Newsletter abonniert haben, dann muss man keine neue Einwilligung einholen.

      zu b) wie bisher dann auch die neuen Abonnenten ab dem 25.5. per Double-Opt-In

  5. Hallo,

    wir nutzen die Custom Audience von Facebook. Durch die Nutzung ist Facebook doch ein Auftragsverarbeiter oder liege ich hier falsch? Muss hier dann auch ein ADV-Vertrag abgeschlossen werden? Gibt es von Facebook eine Vertragsvorlage?

  6. Hallo Peer,

    vielen Dank für die nützlichen Infos!

    Wenn man nun einfach eine Kontakt-Emailadresse auf einen Website angibt verarbeitet man ja auch ankommende Emails (deren Inhalt, Sender-Emailadresse, und Namen/Firma) unabhängig der Kommentarfunktion. Wäre dies dann ein separater Eintrag ins Verarbeitungsverzeichnis?

    Viele Grüße,
    Christian

  7. Hallo Peer,

    Wie hast Du es genau mit deinem Hoster bzgl. ADV-Vertrag geregelt? Ich blicke da nur bedingt durch. Mein Blog ist im Prinzip ähnlich zu deinem mit News / Infos. Es gibt weder einen Bereich für Mitglieder oder einen Shop. Einzige Möglichkeiten sind WordPress Kommentare und die normalen Kontaktwege via E-Mail.

    Wenn ich das richtig verstanden habe (ADV Vertrag von Hosteurope) wären die Art der Daten also Personenstammdaten und Kommunikationsdaten? Und der Kreis der Betroffenen wären dann Interessenten (Website-Besucher) oder gebe ich mich selbst an? Vielleicht hast Du ja ein paar Tipps hierzu.

    • Ja, im Grunde genau das. Je nach Hoster funktioniert das mit dem AV-Vertrag ja etwas anders. Man wählt einfach die Datenarten aus, die für die eigene Website passen und dasselbe dann bei den Betroffenen.

Schreibe einen Kommentar