Zum Abschluss meiner Artikelserie zur DS-GVO habe ich am Montag noch einige weitere Punkte angesprochen, mit denen man sich beschäftigen muss.

Dazu gehören unter anderem das eigene Auskunfts- und Löschkonzept, die technischen und organisatorischen Maßnahmen und mehr.

In meinem heutigen Praxis-Artikel gehe ich darauf ein, wie ich diese sonstigen Maßnahmen bei einer Nischenwebsite umsetzen werde.

Artikel der DS-GVO-Serie:

1. Die Analyse personenbezogener Daten

Praxis-Beispiel Schritt 1: Analyse

2. Verzeichnis der Verarbeitungstätigkeiten

Praxis-Beispiel Schritt 2: Verzeichnis

3. Informationspflichten auf Websites

Praxis-Beispiel Schritt 3: Informationspflichten

4. Was es sonst noch zu beachten gibt

Praxis-Beispiel Schritt 4: Sonstiges





Hinweis:

Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden*.

Auskunfts- und Löschkonzept



Das Gute an den grundlegenden Dokumentationen und Maßnahmen hinsichtlich der DS-GVO ist, dass man diese nicht für jede Website einzeln vornehmen muss. Genauso wie das Verzeichnis der Verarbeitungstätigkeiten werde ich auch das Auskunfts- und Löschkonzept einmal erstellen.

Die Auskunft gegenüber Lesern und Kunden ist relativ einfach zu bewerkstelligen. Da ich, abgesehen von Kommentaren und eMails, keine Daten von Kunden sammle, gibt es hier auch nicht viel zu sagen. Zudem sind die wenigen Daten, die ich von diesen Personen habe, sehr schnell gefunden.

Ähnlich sieht es bei den Wünschen nach Änderungen und Löschung aus. Wobei ich hier beachten muss, dass ich ggf. auch in Backups die Daten lösche. Auf der anderen Seite habe ich keine langfristigen Website-Backups, so dass es hier eine automatische Löschung nach einer gewissen Zeit gibt. Mails werden bei mir allerdings archiviert, wie es ja durch die GoBD vorgeschrieben ist. Aber hier kann ich recht einfach auch im Backup im Fall der Fälle die Mails einer Person löschen, falls diese nicht aus wichtigen Gründen bestehen bleiben müssen.

Meiner Meinung nach nicht betroffen bin ich vom Recht zur Datenübertragbarkeit. Schließlich gilt das nur für Profile und ähnliches. Kommentare und Mails von Nutzern zu übertragen macht wenig Sinn. Aber falls doch mal der Wunsch besteht, dass ich diese Daten jemandem zukommen lassen soll, dann ist das auch kein großes Problem.

Im Grunde habe ich diese Wünsche ja bisher auch schon erfüllt. Wenn jemand seine eMail-Adresse samt Namen oder gar den ganzen Kommentar aus meinem Blog raus haben wollte, dann bin ich dem nachgekommen. Wichtig war bisher auch schon, dass ich sicher gehen konnte, dass es auch wirklich die betreffende Person ist. Dazu musste der Wunsch von derselben Mail-Adresse kommen, mit der der Kommentar erstellt wurde.

Diese 3 Maßnahmen werde ich nun noch kompakt und übersichtlich niederschreiben und damit meiner Dokumentationspflicht hinsichtlich meines Auskunfts- und Löschkonzepts nachkommen.

TOM – Technische und organisatorische Maßnahmen

Etwas aufwändiger wird da wohl die Erstellung der TOM werden. Hier gilt zum einen schriftlich dazulegen, wie ich meine Nischenwebsite absichere. Das passiert unter anderem durch einen zusätzlichen Login-Schutz, regelmäßige Updates, Backups etc..

Hinzu kommt dann natürlich auch der Offline-Schutz. Der Zugangsschutz zu meinem PC ist da genauso ein Thema, wie lokale Backups und deren Sicherung. Die Alarmanlage im Büro nicht zu vergessen.

Das war es im großen und ganzen aber auch. Die im Montags-Artikel verlinkte Checkliste hilft dabei die TOM-Dokumentation zu erstellen. Es finden sich im Netz ja auch einige Beispiele und Vorlagen. So findet man hier eine Übersicht der wichtigsten Punkte, die das TOM-Dokument enthalten sollte.

Das sind:

Zutrittskontrolle Hier geht es grundsätzlich um den Schutz vor dem Zutritt Unbefugter. Wie also z.B. Dritte vom Betreten des Büros abgehalten werden. Zugangskontrolle Bei diesem Punkt geht es darum, ob und wie verhindert wird, dass Ungefugte die Datenverarbeitungsanlagen benutzen können. Also z.B. den Bürocomputer. Zugriffskontrolle Das ist vor allem bei größeren Unternehmen wichtig, wo nicht jeder Mitarbeiter Zugriff auf alle Daten haben darf. Weitergabekontrolle Hier gibt es wohl die häufigsten Datenlecks. Hier wird definiert, wie die Weitergabe von Daten, z.B. per Mail oder USB-Stick geregelt ist. Themen wie Verschlüsselung etc. spielen hier eine Rolle. Eingabekontrolle Nachvollziehbarkeit ist ebenfalls wichtig. Hier sind Maßnahmen zu nennen, wie im Nachinein festgestellt werden kann, wer, wann und was eingegeben oder verändert hat. Verfügbarkeitskontrolle Vor allem Backups sind hier ein wichtiger Punkt. Schließlich sollen die personenbezogenen Daten z.B. nicht aus Versehen gelöscht werden. Trennungskontrolle Auch wieder ein sehr abstrakter Punkt für Selbstständige. Daten, die zu unterschiedlichen Zwecken erhoben werden, müssen getrennt verarbeitet werden.

Ggf. kann man auch noch Punkte wie Auftragskontrolle (Schulung der Mitarbeiter) oder Belastbarkeit hinzufügen. In dieser Vorlage des Berufsverband der Datenschutzbeauftragten Deutschlands gibt es eine Struktur, die etwas anders gegliedert ist, aber im Grunde genau desselben Zweck erfüllt. Auch hier geht es darum aufzuzeigen, wie die Daten vor ungefugten Zugriff geschützt und wie die Sicherheit der Daten überprüft werden kann.

Wie das in der Praxis aussehen kann, sieht man an diesem Beispiel eines deutschen Hosters. Und auch hier benötige ich nur ein Dokument für meine gesamte Tätigkeit.

DS-GVO Schritt-für-Schritt Generator Ein große Hilfe bei der Erstellung des eigenen Verarbeitungsverzeichnisses, der Risikoanalyse, der Technische und organisatorische Maßnahmen und des eigenen Datenschutz­konzepts bietet dieser Schritt-für-Schritt Generator*. Hier sind über 40 Verfahren und über 100 vorausgefüllte Vorlagen enthalten, so dass man in kürzester Zeit die eigenen DS-GVO Unterlagen erstellt hat.

DS-GVO Plugins

Es gibt einige interessante Plugins, um die eigene Website an die DS-GVO anzupassen. Das Plugin WP GDPR Compliance finde ich dabei sehr interessant, da es auf sehr einfache Art die (wahrscheinlich) notwendigen Einwilligungen beim Kontaktformular und Kommentarfeld bereitstellt.

Da ich auf meiner Nischenwebsite allerdings weder ein Kontaktformular, noch eine Möglichkeit für Kommentare habe, benötige ich das Plugin dort nicht. Bei meinen Blogs wird es aber zum Einsatz kommen.

Unklar ist hier allerdings, in wie weit dieses Plugin im Fall der Fälle dann rechtlich ausreicht. Schließlich findet keine Dokumentation der Einwilligung statt. Streitet sich am Ende also jemand mit mir bzgl. der Speicherung seiner Daten, ziehe ich wohl doch den Kürzeren.

Dennoch ist dieses Plugin meiner Meinung nach sinnvoll, denn es geht, wie bisher auch, darum möglichst wenig Angriffsfläche zu bieten. Die größte Gefahr droht meiner Ansicht nach nicht von den Datenschutzbehörden. Ich gehe nicht davon aus, dass diese als erstes kleine Selbstständige mit einer Website überprüfen. Die werden mit großen Unternehmen zu tun haben und waren ja auch bisher schon mehr als ausgelastet. Deshalb bin ich mir sicher, dass die allermeisten Selbstständigen niemals was von der Datenschutzbehörde hören werden. (Nichtsdestotrotz sollte man aber vorbereitet sein.)

Viel größer sehe ich die Gefahr einer Abmahnung. Und die wird, wie bisher auch, am ehesten die treffen, die wenig bis gar nichts gemacht haben. Deshalb ist es sinnvoll diese Einwilligung zu integrieren. Ein „abmahnfreundiger“ Anwalt wird sich nicht den Stress machen wollen jemanden abzunahmen, der fast alles richtig macht und nur in Details evtl. nicht ganz perfekt ist. Stattdessen wird er sich auf Websites stürzen, die auf den ersten Blick sichtbare Mängel beim Datenschutz aufweisen.

Fazit

Das war es mit meiner Artikelserie und den Praxisbeispielen für die Umsetellung der eigenen Website auf die GS-GVO. Es ist noch gut ein Monat Zeit diese Umstellung vorzunehmen. Auch wenn dies nicht viel ist, sollte es bei Selbstständigen mit einer oder wenigen Websites machbar sein.

Wichtig ist, dass man zum Stichtag auf jeden Fall die öffentlich sichtbaren Anpassungen (vor allem die Datenschutzerklärung) vorgenommen hat.

Mich würde sehr interessieren, wie weit ihr mit der Umsetzung der DS-GVO seid und auf welche Probleme ihr gestoßen seid.

