Was es sonst noch zu beachten gibt – DS-GVO gerechte Website erstellen Schritt 4

Was es sonst noch zu beachten gibt - DS-GVO gerechte Website erstellen Schritt 4Nachdem ich in den vorheringen Teilen meiner Artikelserie die wichtigsten Schritte zur Umsetzung der Datenschutz-Grundverordnung (DS-GVO) bei Websites beschrieben habe, geht es in meinem heutigen Artikel darum, was es sonst noch so zu beachten gibt.

Dabei schaue ich mir unter anderem wichtige Rechte der Betroffenen an, stelle Plugins vor und gehe zudem darauf ein, was ihr in eurem Büro beachten müsst.

[the_ad id=”18198″]

Hinweis:
Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden.

Was es bei der DS-GVO sonst noch zu beachten gibt

Im Folgenden spreche ich ein paar Punkte an, die man ebenfalls im Auge behalten sollte.

Die DS-GVO betrifft Unternehmen ganzheitlich. Das bedeutet, dass eben nicht nur die Website davon betroffen ist, sondern auch der sonstige Umgang mit personenbezogenen Daten.

Auskunfts- und Löschkonzept

In der Datenschutzerklärung, die im vorherigen Teil dieser Serie das Thema war, gibt es unter anderem Informationen zu den Rechten der Betroffenen, also der Website-Besucher.

Dazu gehört unter anderem das Recht auf Auskunft. So können Besucher jederzeit Auskunft darüber verlangen, ob und welche ihrer Daten verarbeitet werden. Dabei spricht das Gesetz davon, dass diese Information unverzüglich gegeben werden muss, aber das klingt schneller, als es dann tatsächlich sein muss. Innerhalb eines Monats muss die Auskunft erfolgen.

Dennoch ist es wichtig, dass man das Verzeichnis der Verarbeitungstätigkeiten gründlich erstellt hat, denn das erleichtert die Auskunft enorm. Neben der Frage, ob überhaupt Daten erfasst werden, muss auf Wunsch z.B. auch der Zweck der Verarbeitung, die Empfänger der Daten, Speicherdauer etc. genannt werden.

Wichtig ist hier aber auf jeden Fall, dass man sicherstellt, dass es auch wirklich die betroffene Person ist. Das kann man unter anderem durch die hinterlegte eMail-Adresse, Post-Adresse oder Telefonnummer sicherstellen. Keinesfalls sollte man leichtfertig einer Person Daten mitteilen, denn das kann zu einem Datenschutzverstoß führen. Weitere Informationen zu diesem Punkt.

Darüber hinaus haben die Betroffenen das Recht zur Datenübertragbarkeit. Die Datenübertragbarkeit betrifft vor allem Websites, die einen Login beinhalten und dort viele Kundendaten hinterlegt werden. Wie z.B. bei Social Networks oder eMail-Anbietern.

Dadurch soll es den Nutzern ermöglicht werden, sehr einfach und problemlos den Anbieter zu wechseln, was ich an sich wieder für einen guten Ansatz halte. Zu oft fühlt man sich bei einem Anbieter gefangen, da der Aufwand für den Umzug aller eigenen Daten aktuell sehr hoch ist.

In der Praxis ist dies aber ein sehr aufwändiger Prozess, den man auf jeden Fall im Vorfeld vorbereiten sollte, falls man viele Kundendaten sammelt. Für den normalen Website-Betreiber sollte es aber kein großes Thema sein, da kaum Daten von Nutzern gesammelt werden und schon gar keine Profile oder ähnliches angelegt werden.

Ebenfalls wichtig ist das Recht auf Bearbeitung und Löschung der personenbezogenen Daten. Auch hier gilt es vorbereitet zu sein, um dem Wunsch ggf. schnell nachkommen zu können. Hier gibt es allerdings ein paar Einschränkungen. Sind die Daten noch zur Erfüllung eines Vertrages oder etwas ähnlichem notwendig, dann muss man diesem Löschwunsch nicht nachkommen. Aber ansonsten muss man diese Löschen.

Nach dem Löschen der Daten dürfen diese übrigens nicht oder nur mit unverhältnismäßig hohem Aufwand wiederherstellbar sein. Digitale Daten müssen also dauerhaft gelöscht werden, auch aus Backups und so weiter. Übrigens muss man generell ein Löschkonzept haben. Darin sollte klar geregelt sein, welche Daten man wie lange speichert und wann diese automatisch gelöscht werden.

Ähnlich sieht es bei der Bearbeitung aus. Auch hier muss man dem Wunsch nachkommen, wenn keine rechtlichen oder anderen schwerwiegenderen Gründe dagegen sprechen.

TOM – Technische und organisatorische Maßnahmen

Die TOM (Technische und organisatorische Maßnahmen) habe ich ebenfalls schon angesprochen. Beim Verzeichnis der Verarbeitungstätigkeiten wurde das thematisiert.

Hierbei geht es einfach um die Sicherheit der erhobenen personenbezogenen Daten. Es reicht eben nicht alle betroffenen Personen zu informieren und das alles zu dokumentieren. Wenn die Daten durch Dritte kopiert oder manipuliert werden können, handelt es sich ebenfalls um einen Datenschutzverstoß, der sehr teuer werden kann.

Deshalb muss man sicherstellen, dass die Daten vor dem Zugriff Dritter geschützt sind. Dies dokumentiert man in den sogenannten TOM, die eine Übersicht beinhalten, welche Maßnahmen man ergriffen hat, bzw. welche Prüfungen man durchgeführt hat.

Bei der eigenen Website betrifft das zum einen die Verschlüsselung bzw. Anonymisierung. Wer also z.B. Kreditkarten-Daten im eigenen Online-Shop speichert, muss diese verschlüsseln und zudem sicherstellen, dass kein Unberechtigter darauf Zugriff hat.

Die meisten Websitebetreiber werden neben IP-Adressen vielleicht noch Namen und eMail-Adressen in der Datenbank speichern (für Kommentare). Das sind keine besonders sensiblen Daten, weshalb die Schutzmaßnahmen hier auch nicht besonders hoch sein müssen. Dennoch sollte man den Zugang zum Backend ordentlich absichern und auch die Backups vor dem Zugriff dritter schützen. Also nicht einfach CDs mit Daten im unverschlossenen Büro herumliegen lassen.

Übrigens betrifft die TOM auch die externen Dienstleister, die man nutzt. So muss man z.B. mit einem Hoster einen Auftragsdatenverarbeitungsvertrag abschließen und sich von diesem auch seine TOM aushändigen lassen und eigentlich prüfen. Ob das der Otto-Normalverbraucher kann, sei mal dahingestellt.

[the_ad id=”18198″]

Datenschutz im Büro

Der Datenschutz im Büro bzw. dort, wo man arbeitet, ist ebenfalls sehr wichtig. Auch hier greifen die TOM und müssen beachtet werden. Der Passwort-Schutz des Arbeitsrechners, der Einsatz einer Anti-Viren-Software und die Verschlüsselung externer Datenträger gehört unter anderem dazu.

Personenbezogene Daten auf Ausdrucken oder Datenträgern sollte man in abschließbaren Schränken verstauen. Generell emfiehlt es sich den Zugang zum Arbeitszimmer oder Büro zu beschränken. Im Idealfall ist dieses abschließbar. Oft ist sogar eine Alarmanlage zu empfehlen.

Hat man Mitarbeiter, muss man Vertraulichkeitsvereinbarungen mit diesen abschließen und sie auch im datenschutzgerechten Umgang mit personenbezogenen Daten schulen. Und der Datentransport muss klar geregelt sein. Das “Herumfliegen” von USB-Stick mit Daten ist in dieser Form schon jetzt ein Datenschutzverstoß und kann in Zukunft richtig teuer werden.

Die TOM betreffen also sowohl die Website, als auch generell den Offline-Bereich. Mit Hilfe dieser Checkliste, die zwar noch auf dem alten BDSG beruht, kann man ein eigenes TOM-Dokument erstellen. Mehr Informationen findet man in diesem Artikel.

DS-GVO Plugins

Am Ende dieses Artikels komme ich nochmal zurück zur eigenen Website. Es gibt einige Plugins, die versprechen bei der Umsetzung der DS-GVO zu helfen.

Kostenpflichtig sind die Plugins von e-recht24.de. Wer dort Mitglied ist, kann unter 2 Plugins wählen, die es für Joomla und WordPress gibt.

Das eRecht24 Rechtstexte Plugin generiert einen rechtsicheren Google Analytics Code und integriert das dort erstellte Impressum und die Datenschutzerklärung. Gerade für jene, die sich technisch nicht so gut auskennen, ist das eine wertvolle Hilfe.

Das eRecht24 Safe Sharing Tool ist eine rechtssichere Alternative beim Social Sharing. Die offiziellen Plugins und Widgets der Social Networks darf man nicht mehr nutzen. Dieses Plugin bietet alternative Sharing-Buttons an. Allerdings gibt es dafür auch andere gute Plugins, wie das Shariff Wrapper Plugin.

Darüber hinaus finden sich im Plugin-Verzeichnis von WordPress weitere Plugins, die sich der DS-GVO widmen. Sehr interessant finde ich das Plugin WP GDPR Compliance. Dieses hilft bei Einstellungen und der Ausgabe wichtiger Hinweise. Zudem enthält es eine kleine Checkliste.

Damit kann man z.B. Kommentare aktivieren oder deaktivieren. Falls man sie aktiviert, kann man einen Hinweis und eine Checkbox für die Nutzer im Kommentarfeld ausgeben.

Was es sonst noch zu beachten gibt - DS-GVO gerechte Website erstellen Schritt 4

Das ist auch für die Formulare von Contact Form 7, Gravity Forms und WooCommerce möglich. Weitere Plugins sollen in Zukunft unterstützt werden. Das finde ich ein sehr nützliches Plugin, welches ich wahrscheinlich in Zukunft auf meinen Websites einsetzen werde.

Wer viele registrierte Nutzer im eigenen WordPress hat, sollte darüber nachdenken diese Daten (Login, Name, Passwort …) zu verschlüsseln. Hierfür bietet das Plugin WP GDPR Data Protection eine Lösung. Allerdings würde ich hier vorsichtig sein. Das Plugin ist sehr neu und ob es wirklich so reibungslos funktioniert, ist die Frage.

Das Plugin GDPR Personal Data Reports ermöglicht es den Nutzern einer Website automatisch auf die eigenen gespeicherten Daten zuzugreifen und diese ggf. auch zu löschen. Für die meisten Fälle ist das aber wohl nicht notwendig und auch hier würde ich erstmal ausführlich testen, wie gut das funktioniert.

Es gibt noch viele weitere Plugins, die sich mit der DS-GVO beschäftigen. Ich empfehle aber vorsichtig zu sein und es damit nicht zu übertreiben. Zum einen gibt keiner der Entwickler irgendwelche Garantien, dass es wirklich rechtlich sicher ist. Zum anderen kann es immer passieren, dass so ein Plugin nicht mehr weiter entwickelt wird oder selber unsicher ist.

Fazit zur DS-GVO

Der Anpassungsaufwand ist hoch und es sind gerade mal noch knapp 6 Wochen Zeit, die Anpassungen vorzunehmen. Es ist sehr zu empfehlen, bis zum 24.5.2018 zumindest die neue Datenschutzerklärung umgesetzt zu haben. Die Analyse muss dafür aber bereits durchgeführt worden sein.

Das Verzeichnis der Verarbeitungstätigkeiten samt der TOM muss ja nur auf Aufforderung der Datenschutzbehörde vorgelegt werden. Hier könnte man also noch nach dem 25.5. die Umsetzung beenden. Aber wer sicher gehen will, sollte dies ebenfalls zum Stichtag fertig haben.

So sehr die verschiedenen neuen Anforderungen auch nerven und viele Einzelunternehmer überfordern, sollte man die Ruhe bewahren. Das generelle Ziel eines besseren Datenschutzes betrifft zwar alle Unternehmen, aber im Fokus der Datenschutzbehörden stehen nicht unbedingt die einzelnen Selbstständigen. Das bedeutet nicht, dass man die DS-GVO nicht ernst nehmen sollte, aber selbst in der Verordnung steht, dass auch die Behörden angemessen reagieren sollen. Meiner Meinung nach werden Datenschützer deshalb Selbstständige anders beurteilen, als einen Konzern. Zudem ist es gerade für Einzelunternehmer einfacher, da sie alles in einer Hand haben.

Wer sich mit den Punkten in dieser Artikelserie beschäftigt, den eigenen Umgang mit personenbezogenen Daten verbessert, ein ordentliches Verarbeitungs-Verzeichnis anlegt, die Datenschutzerklärung auf der Website aktualisiert und sich um die grundlegenden Schutzmaßnahmen im Büro etc. Gedanken macht, sollte auf der sicheren Seite sein.

Zudem sollte man auch nach dem 25.5. die weitere Entwicklung beobachten. Auf e-recht24.de gibt es z.B. für Mitglieder eine FAQ zur DS-GVO und dort sind noch viele Fragen offen. Das zeigt, dass hier noch vieles im Wandel ist und erst durch Urteile etc. klargestellt wird. Das sollte man im Auge behalten.

Ich werde mich in den nächsten Wochen weiter darum kümmern, meine Websites und mein Business an die DS-GVO anzupassen.

Habt ihr die DS-GVO Anforderungen für eure Website umgesetzt?

  • Nein, aber vor dem 25.5.2018 schaffe ich das. (23%, 102 Stimmen)
  • Ja, aber so ganz sicher bin ich mir nicht. (21%, 96 Stimmen)
  • Teilweise. (20%, 91 Stimmen)
  • Nein und das werde ich auch nicht mehr pünktlich schaffen. (17%, 77 Stimmen)
  • Ich schalte meine Website ab. (14%, 65 Stimmen)
  • Ja, und ich fühle mich nun sicher. (4%, 18 Stimmen)

Teilnehmerzahl: 449 (max. 1 Stimmen)

Peer Wandiger

7 Gedanken zu „Was es sonst noch zu beachten gibt – DS-GVO gerechte Website erstellen Schritt 4“

  1. Bei diesem Aufwand, den man hie betreiben muss, ist es vielleicht einfacher zu versuchen, auf die Speicherung von Daten weitestgehend zu verzichten. Ich werde mal versuchen, das auf meiner Computerecke und dann auf meinen anderen Projekten umzusetzen, so dass der Aufwand überschaubar bleibt.

    Cookies kann man recht leicht vermeiden, Kommentare werde ich wohl deaktivieren, Formulare setze ich eh nicht ein, genauso wie Google Analytics.

    Die vom Webhoster erstellten Server-Logs kann man eigentlich auch deaktivieren. Und dann sollte das doch schon recht gut aussehen…

    Antworten
    • Eine Minimierung der Datenerfassung ist auf jeden Fall sinnvoll. Aber alles kann und sollte man auch nicht deaktivieren. Manche daten sind einfach sinnvoll, um die eigene Selbstständigkeit positiv zu gestalten.

      Antworten
  2. Hallo Peer,
    du schreibst hier:

    So sehr die verschiedenen neuen Anforderungen auch nerven und viele Einzelunternehmer überfordern, sollte man die Ruhe bewahren. Das generelle Ziel eines besseren Datenschutzes betrifft zwar alle Unternehmen, aber im Fokus der Datenschutzbehörden stehen nicht unbedingt die einzelnen Selbstständigen. Das bedeutet nicht, dass man die DS-GVO nicht ernst nehmen sollte, aber selbst in der Verordnung steht, dass auch die Behörden angemessen reagieren sollen.

    Ich glaube der Hautpgrund dieser “Panik” vor der DSGVO – geschürt durch die hohen Strafen die auf einen Zukommen können – sind aber nicht unbedingt die Behörden sondern andere Berufsgruppen, welche daraus Profit schlagen möchten.
    Und gerade Einzelunternehmer haben einfach nicht die selben Ressourcen wie große Unternehmen zur Verfügung. Außerdem stellt uns dieses Gesetz vor eine Reihe von Unklarheiten – das finde ich für ein Gesetzt ziemlich schwach.
    Schönen Gruß

    Antworten
    • Ich bin sowieso kein großer Fan dieser Panikmache mit den hohe Strafzahlungen. Das sind zum einen Werte, die bei Konzernen aufgerufen werden können. Nicht umsonst ist die DS-GVO vor allem im Hinblick auf Facebook und Co. gemacht und an die kleinen Selbstständigen hat dabei mal wieder keiner gedacht.

      Zudem sind das Strafen, die von den Datenschutzbehörden verhängt werden können. Abmahnanwälte können wie bisher nur deutlich niedrigere Beträge aufrufen, die natürlich auch wehtun, aber mit den kursierenden Zahlen nichts zu tun haben.

      Antworten
      • Dass die Datenschutzbehörden höhere Strafen verhängen können ist wohl nur ein schwacher Trost, wenn die rechtlichen Unsicherheiten des DSGVO uns trotzdem noch teure Abmahnungen be­sche­ren.
        Ich gebe zu, ich bin da (leicht) pesimistisch was das Angeht auch wenn ich es begrüße, dem Datenschutz einen höheren Stellenwert zu geben.

        Antworten
  3. Wieder was gelernt, was man als Webmaster so integrieren muss. Z.B. mit der Datenschutzerklärung hatte ich mich vorher nie beschäftigt. Man sieht also, dass das Internet alles andere als ein rechtsfreier Raum ist. Schön, dass man hier alles so genau erfährt, danke.

    Antworten
  4. Hallo Peer,

    danke für deine übersichtliche Artikelserie. Das gibt eine gute Orientierung bei all den neuen und teils unterschiedlich ausgelegten Regelungen. Werde meine Nischenseiten nun auch alle überarbeiten und versuchen, diese DS-GVO-konform anzupassen.

    Gruß,
    Paul

    Antworten

Schreibe einen Kommentar