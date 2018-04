Nachdem ich in den vorheringen Teilen meiner Artikelserie die wichtigsten Schritte zur Umsetzung der Datenschutz-Grundverordnung (DS-GVO) bei Websites beschrieben habe, geht es in meinem heutigen Artikel darum, was es sonst noch so zu beachten gibt.

Dabei schaue ich mir unter anderem wichtige Rechte der Betroffenen an, stelle Plugins vor und gehe zudem darauf ein, was ihr in eurem Büro beachten müsst.

Hinweis:

Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden*.

Was es bei der DS-GVO sonst noch zu beachten gibt



Im Folgenden spreche ich ein paar Punkte an, die man ebenfalls im Auge behalten sollte.

Die DS-GVO betrifft Unternehmen ganzheitlich. Das bedeutet, dass eben nicht nur die Website davon betroffen ist, sondern auch der sonstige Umgang mit personenbezogenen Daten.

Auskunfts- und Löschkonzept

In der Datenschutzerklärung, die im vorherigen Teil dieser Serie das Thema war, gibt es unter anderem Informationen zu den Rechten der Betroffenen, also der Website-Besucher.

Dazu gehört unter anderem das Recht auf Auskunft. So können Besucher jederzeit Auskunft darüber verlangen, ob und welche ihrer Daten verarbeitet werden. Dabei spricht das Gesetz davon, dass diese Information unverzüglich gegeben werden muss, aber das klingt schneller, als es dann tatsächlich sein muss. Innerhalb eines Monats muss die Auskunft erfolgen.

Dennoch ist es wichtig, dass man das Verzeichnis der Verarbeitungstätigkeiten gründlich erstellt hat, denn das erleichtert die Auskunft enorm. Neben der Frage, ob überhaupt Daten erfasst werden, muss auf Wunsch z.B. auch der Zweck der Verarbeitung, die Empfänger der Daten, Speicherdauer etc. genannt werden.

Wichtig ist hier aber auf jeden Fall, dass man sicherstellt, dass es auch wirklich die betroffene Person ist. Das kann man unter anderem durch die hinterlegte eMail-Adresse, Post-Adresse oder Telefonnummer sicherstellen. Keinesfalls sollte man leichtfertig einer Person Daten mitteilen, denn das kann zu einem Datenschutzverstoß führen. Weitere Informationen zu diesem Punkt.

Darüber hinaus haben die Betroffenen das Recht zur Datenübertragbarkeit. Die Datenübertragbarkeit betrifft vor allem Websites, die einen Login beinhalten und dort viele Kundendaten hinterlegt werden. Wie z.B. bei Social Networks oder eMail-Anbietern.

Dadurch soll es den Nutzern ermöglicht werden, sehr einfach und problemlos den Anbieter zu wechseln, was ich an sich wieder für einen guten Ansatz halte. Zu oft fühlt man sich bei einem Anbieter gefangen, da der Aufwand für den Umzug aller eigenen Daten aktuell sehr hoch ist.

In der Praxis ist dies aber ein sehr aufwändiger Prozess, den man auf jeden Fall im Vorfeld vorbereiten sollte, falls man viele Kundendaten sammelt. Für den normalen Website-Betreiber sollte es aber kein großes Thema sein, da kaum Daten von Nutzern gesammelt werden und schon gar keine Profile oder ähnliches angelegt werden.

Ebenfalls wichtig ist das Recht auf Bearbeitung und Löschung der personenbezogenen Daten. Auch hier gilt es vorbereitet zu sein, um dem Wunsch ggf. schnell nachkommen zu können. Hier gibt es allerdings ein paar Einschränkungen. Sind die Daten noch zur Erfüllung eines Vertrages oder etwas ähnlichem notwendig, dann muss man diesem Löschwunsch nicht nachkommen. Aber ansonsten muss man diese Löschen.

Nach dem Löschen der Daten dürfen diese übrigens nicht oder nur mit unverhältnismäßig hohem Aufwand wiederherstellbar sein. Digitale Daten müssen also dauerhaft gelöscht werden, auch aus Backups und so weiter. Übrigens muss man generell ein Löschkonzept haben. Darin sollte klar geregelt sein, welche Daten man wie lange speichert und wann diese automatisch gelöscht werden.

Ähnlich sieht es bei der Bearbeitung aus. Auch hier muss man dem Wunsch nachkommen, wenn keine rechtlichen oder anderen schwerwiegenderen Gründe dagegen sprechen.

TOM – Technische und organisatorische Maßnahmen

Die TOM (Technische und organisatorische Maßnahmen) habe ich ebenfalls schon angesprochen. Beim Verzeichnis der Verarbeitungstätigkeiten wurde das thematisiert.

Hierbei geht es einfach um die Sicherheit der erhobenen personenbezogenen Daten. Es reicht eben nicht alle betroffenen Personen zu informieren und das alles zu dokumentieren. Wenn die Daten durch Dritte kopiert oder manipuliert werden können, handelt es sich ebenfalls um einen Datenschutzverstoß, der sehr teuer werden kann.

Deshalb muss man sicherstellen, dass die Daten vor dem Zugriff Dritter geschützt sind. Dies dokumentiert man in den sogenannten TOM, die eine Übersicht beinhalten, welche Maßnahmen man ergriffen hat, bzw. welche Prüfungen man durchgeführt hat.

Bei der eigenen Website betrifft das zum einen die Verschlüsselung bzw. Anonymisierung. Wer also z.B. Kreditkarten-Daten im eigenen Online-Shop speichert, muss diese verschlüsseln und zudem sicherstellen, dass kein Unberechtigter darauf Zugriff hat.

Die meisten Websitebetreiber werden neben IP-Adressen vielleicht noch Namen und eMail-Adressen in der Datenbank speichern (für Kommentare). Das sind keine besonders sensiblen Daten, weshalb die Schutzmaßnahmen hier auch nicht besonders hoch sein müssen. Dennoch sollte man den Zugang zum Backend ordentlich absichern und auch die Backups vor dem Zugriff dritter schützen. Also nicht einfach CDs mit Daten im unverschlossenen Büro herumliegen lassen.

Übrigens betrifft die TOM auch die externen Dienstleister, die man nutzt. So muss man z.B. mit einem Hoster einen Auftragsdatenverarbeitungsvertrag abschließen und sich von diesem auch seine TOM aushändigen lassen und eigentlich prüfen. Ob das der Otto-Normalverbraucher kann, sei mal dahingestellt.

DS-GVO Schritt-für-Schritt Generator Ein große Hilfe bei der Erstellung des eigenen Verarbeitungsverzeichnisses, der Risikoanalyse, der Technische und organisatorische Maßnahmen und des eigenen Datenschutz­konzepts bietet dieser Schritt-für-Schritt Generator*. Hier sind über 40 Verfahren und über 100 vorausgefüllte Vorlagen enthalten, so dass man in kürzester Zeit die eigenen DS-GVO Unterlagen erstellt hat.

Datenschutz im Büro

Der Datenschutz im Büro bzw. dort, wo man arbeitet, ist ebenfalls sehr wichtig. Auch hier greifen die TOM und müssen beachtet werden. Der Passwort-Schutz des Arbeitsrechners, der Einsatz einer Anti-Viren-Software und die Verschlüsselung externer Datenträger gehört unter anderem dazu.

Personenbezogene Daten auf Ausdrucken oder Datenträgern sollte man in abschließbaren Schränken verstauen. Generell emfiehlt es sich den Zugang zum Arbeitszimmer oder Büro zu beschränken. Im Idealfall ist dieses abschließbar. Oft ist sogar eine Alarmanlage zu empfehlen.

Hat man Mitarbeiter, muss man Vertraulichkeitsvereinbarungen mit diesen abschließen und sie auch im datenschutzgerechten Umgang mit personenbezogenen Daten schulen. Und der Datentransport muss klar geregelt sein. Das „Herumfliegen“ von USB-Stick mit Daten ist in dieser Form schon jetzt ein Datenschutzverstoß und kann in Zukunft richtig teuer werden.

Die TOM betreffen also sowohl die Website, als auch generell den Offline-Bereich. Mit Hilfe dieser Checkliste, die zwar noch auf dem alten BDSG beruht, kann man ein eigenes TOM-Dokument erstellen. Mehr Informationen findet man in diesem Artikel.

DS-GVO Plugins

Am Ende dieses Artikels komme ich nochmal zurück zur eigenen Website. Es gibt einige Plugins, die versprechen bei der Umsetzung der DS-GVO zu helfen.

Kostenpflichtig sind die Plugins von e-recht24.de*. Wer dort Mitglied ist, kann unter 2 Plugins wählen, die es für Joomla und WordPress gibt.

Das eRecht24 Rechtstexte Plugin generiert einen rechtsicheren Google Analytics Code und integriert das dort erstellte Impressum und die Datenschutzerklärung. Gerade für jene, die sich technisch nicht so gut auskennen, ist das eine wertvolle Hilfe.

Das eRecht24 Safe Sharing Tool ist eine rechtssichere Alternative beim Social Sharing. Die offiziellen Plugins und Widgets der Social Networks darf man nicht mehr nutzen. Dieses Plugin bietet alternative Sharing-Buttons an. Allerdings gibt es dafür auch andere gute Plugins, wie das Shariff Wrapper Plugin.

Darüber hinaus finden sich im Plugin-Verzeichnis von WordPress weitere Plugins, die sich der DS-GVO widmen. Sehr interessant finde ich das Plugin WP GDPR Compliance. Dieses hilft bei Einstellungen und der Ausgabe wichtiger Hinweise. Zudem enthält es eine kleine Checkliste.

Damit kann man z.B. Kommentare aktivieren oder deaktivieren. Falls man sie aktiviert, kann man einen Hinweis und eine Checkbox für die Nutzer im Kommentarfeld ausgeben.

Das ist auch für die Formulare von Contact Form 7, Gravity Forms und WooCommerce möglich. Weitere Plugins sollen in Zukunft unterstützt werden. Das finde ich ein sehr nützliches Plugin, welches ich wahrscheinlich in Zukunft auf meinen Websites einsetzen werde.

Wer viele registrierte Nutzer im eigenen WordPress hat, sollte darüber nachdenken diese Daten (Login, Name, Passwort …) zu verschlüsseln. Hierfür bietet das Plugin WP GDPR Data Protection eine Lösung. Allerdings würde ich hier vorsichtig sein. Das Plugin ist sehr neu und ob es wirklich so reibungslos funktioniert, ist die Frage.

Das Plugin GDPR Personal Data Reports ermöglicht es den Nutzern einer Website automatisch auf die eigenen gespeicherten Daten zuzugreifen und diese ggf. auch zu löschen. Für die meisten Fälle ist das aber wohl nicht notwendig und auch hier würde ich erstmal ausführlich testen, wie gut das funktioniert.

Es gibt noch viele weitere Plugins, die sich mit der DS-GVO beschäftigen. Ich empfehle aber vorsichtig zu sein und es damit nicht zu übertreiben. Zum einen gibt keiner der Entwickler irgendwelche Garantien, dass es wirklich rechtlich sicher ist. Zum anderen kann es immer passieren, dass so ein Plugin nicht mehr weiter entwickelt wird oder selber unsicher ist.

Fazit zur DS-GVO

Der Anpassungsaufwand ist hoch und es sind gerade mal noch knapp 6 Wochen Zeit, die Anpassungen vorzunehmen. Es ist sehr zu empfehlen, bis zum 24.5.2018 zumindest die neue Datenschutzerklärung umgesetzt zu haben. Die Analyse muss dafür aber bereits durchgeführt worden sein.

Das Verzeichnis der Verarbeitungstätigkeiten samt der TOM muss ja nur auf Aufforderung der Datenschutzbehörde vorgelegt werden. Hier könnte man also noch nach dem 25.5. die Umsetzung beenden. Aber wer sicher gehen will, sollte dies ebenfalls zum Stichtag fertig haben.

So sehr die verschiedenen neuen Anforderungen auch nerven und viele Einzelunternehmer überfordern, sollte man die Ruhe bewahren. Das generelle Ziel eines besseren Datenschutzes betrifft zwar alle Unternehmen, aber im Fokus der Datenschutzbehörden stehen nicht unbedingt die einzelnen Selbstständigen. Das bedeutet nicht, dass man die DS-GVO nicht ernst nehmen sollte, aber selbst in der Verordnung steht, dass auch die Behörden angemessen reagieren sollen. Meiner Meinung nach werden Datenschützer deshalb Selbstständige anders beurteilen, als einen Konzern. Zudem ist es gerade für Einzelunternehmer einfacher, da sie alles in einer Hand haben.

Wer sich mit den Punkten in dieser Artikelserie beschäftigt, den eigenen Umgang mit personenbezogenen Daten verbessert, ein ordentliches Verarbeitungs-Verzeichnis anlegt, die Datenschutzerklärung auf der Website aktualisiert und sich um die grundlegenden Schutzmaßnahmen im Büro etc. Gedanken macht, sollte auf der sicheren Seite sein.

Zudem sollte man auch nach dem 25.5. die weitere Entwicklung beobachten. Auf e-recht24.de gibt es z.B. für Mitglieder eine FAQ zur DS-GVO und dort sind noch viele Fragen offen. Das zeigt, dass hier noch vieles im Wandel ist und erst durch Urteile etc. klargestellt wird. Das sollte man im Auge behalten.

Ich werde mich in den nächsten Wochen weiter darum kümmern, meine Websites und mein Business an die DS-GVO anzupassen.

