Zum Abschluss meiner Artikelserie zur DS-GVO habe ich am Montag noch einige weitere Punkte angesprochen, mit denen man sich beschäftigen muss.
Dazu gehören unter anderem das eigene Auskunfts- und Löschkonzept, die technischen und organisatorischen Maßnahmen und mehr.
In meinem heutigen Praxis-Artikel gehe ich darauf ein, wie ich diese sonstigen Maßnahmen bei einer Nischenwebsite umsetzen werde.
[the_ad id=”18198″]
Hinweis:
Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden.
Auskunfts- und Löschkonzept
Das Gute an den grundlegenden Dokumentationen und Maßnahmen hinsichtlich der DS-GVO ist, dass man diese nicht für jede Website einzeln vornehmen muss. Genauso wie das Verzeichnis der Verarbeitungstätigkeiten werde ich auch das Auskunfts- und Löschkonzept einmal erstellen.
Die Auskunft gegenüber Lesern und Kunden ist relativ einfach zu bewerkstelligen. Da ich, abgesehen von Kommentaren und eMails, keine Daten von Kunden sammle, gibt es hier auch nicht viel zu sagen. Zudem sind die wenigen Daten, die ich von diesen Personen habe, sehr schnell gefunden.
Ähnlich sieht es bei den Wünschen nach Änderungen und Löschung aus. Wobei ich hier beachten muss, dass ich ggf. auch in Backups die Daten lösche. Auf der anderen Seite habe ich keine langfristigen Website-Backups, so dass es hier eine automatische Löschung nach einer gewissen Zeit gibt. Mails werden bei mir allerdings archiviert, wie es ja durch die GoBD vorgeschrieben ist. Aber hier kann ich recht einfach auch im Backup im Fall der Fälle die Mails einer Person löschen, falls diese nicht aus wichtigen Gründen bestehen bleiben müssen.
Meiner Meinung nach nicht betroffen bin ich vom Recht zur Datenübertragbarkeit. Schließlich gilt das nur für Profile und ähnliches. Kommentare und Mails von Nutzern zu übertragen macht wenig Sinn. Aber falls doch mal der Wunsch besteht, dass ich diese Daten jemandem zukommen lassen soll, dann ist das auch kein großes Problem.
Im Grunde habe ich diese Wünsche ja bisher auch schon erfüllt. Wenn jemand seine eMail-Adresse samt Namen oder gar den ganzen Kommentar aus meinem Blog raus haben wollte, dann bin ich dem nachgekommen. Wichtig war bisher auch schon, dass ich sicher gehen konnte, dass es auch wirklich die betreffende Person ist. Dazu musste der Wunsch von derselben Mail-Adresse kommen, mit der der Kommentar erstellt wurde.
Diese 3 Maßnahmen werde ich nun noch kompakt und übersichtlich niederschreiben und damit meiner Dokumentationspflicht hinsichtlich meines Auskunfts- und Löschkonzepts nachkommen.
TOM – Technische und organisatorische Maßnahmen
Etwas aufwändiger wird da wohl die Erstellung der TOM werden. Hier gilt zum einen schriftlich dazulegen, wie ich meine Nischenwebsite absichere. Das passiert unter anderem durch einen zusätzlichen Login-Schutz, regelmäßige Updates, Backups etc..
Hinzu kommt dann natürlich auch der Offline-Schutz. Der Zugangsschutz zu meinem PC ist da genauso ein Thema, wie lokale Backups und deren Sicherung. Die Alarmanlage im Büro nicht zu vergessen.
Das war es im großen und ganzen aber auch. Die im Montags-Artikel verlinkte Checkliste hilft dabei die TOM-Dokumentation zu erstellen. Es finden sich im Netz ja auch einige Beispiele und Vorlagen. So findet man hier eine Übersicht der wichtigsten Punkte, die das TOM-Dokument enthalten sollte.
Das sind:
- Zutrittskontrolle
Hier geht es grundsätzlich um den Schutz vor dem Zutritt Unbefugter. Wie also z.B. Dritte vom Betreten des Büros abgehalten werden.
- Zugangskontrolle
Bei diesem Punkt geht es darum, ob und wie verhindert wird, dass Ungefugte die Datenverarbeitungsanlagen benutzen können. Also z.B. den Bürocomputer.
- Zugriffskontrolle
Das ist vor allem bei größeren Unternehmen wichtig, wo nicht jeder Mitarbeiter Zugriff auf alle Daten haben darf.
- Weitergabekontrolle
Hier gibt es wohl die häufigsten Datenlecks. Hier wird definiert, wie die Weitergabe von Daten, z.B. per Mail oder USB-Stick geregelt ist. Themen wie Verschlüsselung etc. spielen hier eine Rolle.
- Eingabekontrolle
Nachvollziehbarkeit ist ebenfalls wichtig. Hier sind Maßnahmen zu nennen, wie im Nachinein festgestellt werden kann, wer, wann und was eingegeben oder verändert hat.
- Verfügbarkeitskontrolle
Vor allem Backups sind hier ein wichtiger Punkt. Schließlich sollen die personenbezogenen Daten z.B. nicht aus Versehen gelöscht werden.
- Trennungskontrolle
Auch wieder ein sehr abstrakter Punkt für Selbstständige. Daten, die zu unterschiedlichen Zwecken erhoben werden, müssen getrennt verarbeitet werden.
Ggf. kann man auch noch Punkte wie Auftragskontrolle (Schulung der Mitarbeiter) oder Belastbarkeit hinzufügen. In dieser Vorlage des Berufsverband der Datenschutzbeauftragten Deutschlands gibt es eine Struktur, die etwas anders gegliedert ist, aber im Grunde genau desselben Zweck erfüllt. Auch hier geht es darum aufzuzeigen, wie die Daten vor ungefugten Zugriff geschützt und wie die Sicherheit der Daten überprüft werden kann.
Wie das in der Praxis aussehen kann, sieht man an diesem Beispiel eines deutschen Hosters. Und auch hier benötige ich nur ein Dokument für meine gesamte Tätigkeit.
[the_ad id=”18198″]
DS-GVO Plugins
Es gibt einige interessante Plugins, um die eigene Website an die DS-GVO anzupassen. Das Plugin WP GDPR Compliance finde ich dabei sehr interessant, da es auf sehr einfache Art die (wahrscheinlich) notwendigen Einwilligungen beim Kontaktformular und Kommentarfeld bereitstellt.
Da ich auf meiner Nischenwebsite allerdings weder ein Kontaktformular, noch eine Möglichkeit für Kommentare habe, benötige ich das Plugin dort nicht. Bei meinen Blogs wird es aber zum Einsatz kommen.
Unklar ist hier allerdings, in wie weit dieses Plugin im Fall der Fälle dann rechtlich ausreicht. Schließlich findet keine Dokumentation der Einwilligung statt. Streitet sich am Ende also jemand mit mir bzgl. der Speicherung seiner Daten, ziehe ich wohl doch den Kürzeren.
Dennoch ist dieses Plugin meiner Meinung nach sinnvoll, denn es geht, wie bisher auch, darum möglichst wenig Angriffsfläche zu bieten. Die größte Gefahr droht meiner Ansicht nach nicht von den Datenschutzbehörden. Ich gehe nicht davon aus, dass diese als erstes kleine Selbstständige mit einer Website überprüfen. Die werden mit großen Unternehmen zu tun haben und waren ja auch bisher schon mehr als ausgelastet. Deshalb bin ich mir sicher, dass die allermeisten Selbstständigen niemals was von der Datenschutzbehörde hören werden. (Nichtsdestotrotz sollte man aber vorbereitet sein.)
Viel größer sehe ich die Gefahr einer Abmahnung. Und die wird, wie bisher auch, am ehesten die treffen, die wenig bis gar nichts gemacht haben. Deshalb ist es sinnvoll diese Einwilligung zu integrieren. Ein “abmahnfreundiger” Anwalt wird sich nicht den Stress machen wollen jemanden abzunahmen, der fast alles richtig macht und nur in Details evtl. nicht ganz perfekt ist. Stattdessen wird er sich auf Websites stürzen, die auf den ersten Blick sichtbare Mängel beim Datenschutz aufweisen.
Fazit
Das war es mit meiner Artikelserie und den Praxisbeispielen für die Umsetellung der eigenen Website auf die GS-GVO. Es ist noch gut ein Monat Zeit diese Umstellung vorzunehmen. Auch wenn dies nicht viel ist, sollte es bei Selbstständigen mit einer oder wenigen Websites machbar sein.
Wichtig ist, dass man zum Stichtag auf jeden Fall die öffentlich sichtbaren Anpassungen (vor allem die Datenschutzerklärung) vorgenommen hat.
Mich würde sehr interessieren, wie weit ihr mit der Umsetzung der DS-GVO seid und auf welche Probleme ihr gestoßen seid.
Habt ihr die DS-GVO Anforderungen für eure Website umgesetzt?
- Nein, aber vor dem 25.5.2018 schaffe ich das. (23%, 102 Stimmen)
- Ja, aber so ganz sicher bin ich mir nicht. (21%, 96 Stimmen)
- Teilweise. (20%, 91 Stimmen)
- Nein und das werde ich auch nicht mehr pünktlich schaffen. (17%, 77 Stimmen)
- Ich schalte meine Website ab. (14%, 65 Stimmen)
- Ja, und ich fühle mich nun sicher. (4%, 18 Stimmen)
Teilnehmerzahl: 449 (max. 1 Stimmen)
Wer wir sind und wie wir arbeiten. In unserem Büro im Zentrum von Köln arbeiten gegenwärtig sieben ausgebildete Redakteur/innen an der Ausarbeitung erstklassiger Inhalte, auf die du dich verlassen kannst. Sämtliche Artikel werden nach dem Vier-Augen-Prinzip publiziert: Nach Fertigstellung der Rohfassung werden die Texte von (mindestens) einem/r anderen Redakteur/in auf orthografische und inhaltliche Richtigkeit hin überprüft.
Diese Seite ist ein Angebot der 4pub GmbH mit Sitz in Köln. Wir haben uns auf den Betrieb hochwertiger redaktioneller Online-Portale spezialisiert und berichten stets redaktionell unabhängig.
- Danke für 16 tolle Jahre - 13. Juli 2023
- So erstellst du deine erste Newsletter-Mail in 10 Schritten mit CleverReach - 13. Juli 2023
- Die 5 besten Features des Amazon Affiliate WordPress Plugin – AAWP - 12. Juli 2023
Ah das Plugin hab ich gesucht. Hab mich schon über die neue checkbox gewundert hier.
Bin gespannt ob es eine Abmahnwelle geben wird.
Wieder eine neue Regulierung, welche die Großen einfach stemmen und die Kleinen Bluten dabei aus.
Am perversesten finde ich die Verantwortungsabwälzung der Großen(fb, google, werbeprovider) auf die kleinen Pages. Ich soll Nutzerzustimmungen einholen. Facebook macht das ganz leicht.
Wenn du das macht ist deine Konversion im Keller und Game-Over.