Keine Panik wg DSGVO – die Checkliste liefert wichtigen Überblick

Liebe Kunden,
in den letzten Wochen ist keiner mehr an dem Thema Datenschutz-Grundverordnung (DSGVO) vorbeigekommen, die ab dem 25.05. in Kraft treten wird.

Zunächst einmal folgender Hinweis, der mir sehr wichtig ist:
Es versteht sich von selbst, dass ich aufgrund meiner beruflichen Qualifizierung und auch aus juristischer Sicht keine Rechtsberatung biete! Im Rahmen meiner Arbeit als DIGITAL-Dienstleister habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen. Ich empfehle Ihnen IMMER das Konsultieren eines Anwalts, der sich explizit auf das Thema Online-Marketing und DSGVO spezialisiert hat (sprechen Sie mich gerne an, wenn Sie eine Liste möglicher Kontakte haben möchten).

Nachfolgend zähle ich die wichtigsten Punkte auf. Im Anschluss führe ich hilfreiche Links in den Shownotes hinzu. Die von mir genannten Link-Verweise sind aus meiner Sicht besonders hilfreich und bieten übersichtlich aufbereitete Informationen. Es ist sehr leicht, im DSGVO-Dschungel den Überblick zu verlieren. Leider trifft man auch im Internet auf sehr viel Halbwissen und Profitgier, die Whitepaper, Online-Schulungen und Last-Minute-Kurse an Ahnungslose verkaufen wollen und somit die Unübersichtlichkeit des Themas DSGVO für sich ausnutzen wollen. Da ich die Szene und die Entwicklung auf dem Anbietermarkt intensiv betrachte, erlaube ich mir einige besonders seriös und zugleich kompetent daher kommende Anbieter namentlich zu nennen, mit denen ich in der Vergangenheit bereits positive Erfahrungen machen konnte.

An dieser Stelle möchte ich Ihnen die Investition in eine DSGVO-konforme Umsetzung als auch eine extra generierte Datenschutzerklärung für Ihre Website dringend nahelegen. Als sehr übersichtlich und schon seit vielen Jahren im OM-Marketing bestens vertraut sowie hochgradig kompetent sehe ich hier eRecht24 an erster Stelle. Mit der Premium-Mitgliedschaft erhalten Sie Zugriff auf die wichtigen Unterlagen und können den DSGVO-konformen Datenschutzerklärungs-Generator nutzen (nein, ich bekomme keine Provision für diese Empfehlung und spreche diese nur aufgrund bester Erfahrungen mit eRecht24 aus und der sehr kompetenten Umgangsweise mit dem Thema DSGVO, die RA Sören Siebert sehr frühzeitig gestartet hat).

Eine andere Empfehlung spreche ich für RA Sabrina Keese-Haufs aus, die mit lawlikes sehr erfolgreich DSGVO-Kurse anbietet. Auch in unzähligen FB-Gruppen können Sie Hilfestellungen zum Thema erhalten oder sich in Webinaren umfangreich informieren. Egal, welchen Weg Sie wählen, es bleiben jede Menge ToDos auf Ihrer Liste übrig, die nur mit viel Aufwand von Ihnen (oder ihrem Datenschutzbeauftragten) gleistet werden können. Insofern sind Hilfestellungen, Schulungen und alles andere wichtig, aber nicht alle Aufgaben lassen sich an Dienstleister auslagern – die DSGVO-konforme Umsetzung liegt nach wie vor in Ihrer Verantwortung (sofern Sie nicht einen Datenschutz-Experten beauftragen und damit das Haftungsrisiko auslagern).

Was ist in Hinblick auf die DSGVO-konforme Umsetzung für Ihre Website zu tun?

  • Sicherstellen, dass Ihre Website über ein SSL-Zertifikat verfügt
  • Vereinbarung zur Auftragsdatenverarbeitung – kurz: ADV (mit Hosting-Anbieter sowie allen weiteren Anbietern rund um Ihre Website gesondert abschließen wie z.B. Google Analytics und allen Extensions- bzw. Plugin-Anbietern etc., sofern Daten verarbeitet werden)
  • Wenn Sie auf der Website Daten erheben, muss dies im Verfahrensverzeichnis dokumentiert werden.
  • Impressum DSGVO-konform anpassen (Tipp: Jede Änderung mit Screenshots dokumentieren)
  • Datenschutzerklärung DSGVO-konform anpassen (Tipp: Jede Änderung mit Screenshots dokumentieren)
  • Cookie Consent
  • IP-Adressen anonymisieren
  • Opt-out Möglichkeiten anbieten
  • FB-Pixel DSGVO-konform implementieren
  • Tracking-Code anpassen
  • Aufbewahrungsdauer der Daten festlegen
  • ggf. Löschung von Altdaten
  • einbetten von YouTube-Videos mit erweitertem Datenschutzmodus

Hinweis: Die Dokumentation aller Punkte ist ein wichtiger Aspekt. Beachten Sie bitte, dass außer der Website in Hinblick auf die DSGVO auch andere Bereiche wie z.B. Google AdWords, Newsletter, Lead-Generierung durch Whitepaper und Freebies (Stichwort: Kopplungsverbot), Kundendaten im CRM u.v.m. berücksichtigt werden müssen.

DSGVO-Checkliste

Eine Checkliste steht für alle (zur Ansicht) zur Verfügung, die schnell und einfach die DSGVO – ganz ohne Panik – noch rechtzeitig umsetzen wollen. Aber Achtung: Die ADV-Vertragsliste ist entsprechend anzupassen. Und alles ohne Gewähr!

Verfahrensverzeichnis:
Was gehört alles in ein Verfahrensverzeichnis?
Der Inhalt definiert sich aus Artikel 30 der Datenschutzgrundverordnung. Hier ist zusammenfassend aufgelistet, welche Informationen enthalten sein müssen.
  • Name und Kontakt des Verantwortlichen
  • Zweck der Verarbeitung, also das WARUM.
  • Welche Personengruppen sind betroffen und welche Daten von ihnen
  • Wem werden diese Daten zur Verfügung gestellt (intern, extern, auch Drittländer)
  • Beschreibung der Übermittlung an das Drittland (ist dies rechtlich abgesichert)?
  • Vorgesehene Löschfristen der Daten (wenn möglich)
  • allg. Beschreibung der technisch Sicherheit der Daten (wenn möglich)
Wie sieht ein Muster eines Verfahrensverzeichnisses aus? Natürlich können Sie sich auch dafür eine spezielle Software kaufen. Aber in vielen Fällen wäre damit mit Kanonen auf Spatzen geschossen. Ich empfehle Ihnen eine einfach Excel-Liste die folgende Spalten enthält:
  • Name des Verfahren
  • Als Auftragsverarbeiter (j / n)
  • Datum der Erfassung
  • Name des Verantwortlichen
  • E-mail des Verantwortlichen
  • Telefonnummer des Verantwortlichen
  • Beschreibung der Verarbeitung / Zweck
  • Betroffene Personengruppen
  • Betroffene Daten
  • Empfänger der Daten
  • Empfänger der Daten in einem Drittland
  • Beschreibung der Absicherung der Datenübermittlung in das Drittland
  • Löschfrist
  • Beschreibung der IT-Sicherheit der Daten
  • Beschreibung der physikalischen Sicherheit der Daten

Google Analytics DSGVO-konform einsetzen

Google Analytics ist auch mit der kommenden DSGVO noch datenschutzkonform einsetzbar. Dazu müssen laut Diercks Digital Recht und datenschutzbeauftragter-info.de allerdings mehrere Punkte beachtet werden:

  1. AV-Vertrag mit Google ausdrucken, unterschreiben und nach Irland schicken
  2. Zusatz zur Datenverarbeitung zustimmen (unter Verwaltung > Konto-Einstellungen), bitte Hinweise dazu von RA Schwenke beachten!
  3. IP-Adressen anonymiseren
  4. Widerspruchsmöglichkeit anbieten, z. B. per Plugin oder Erweiterung des
  5. Tracking-Codes
  6. Aufbewahrungsdauer der Daten auf 14 Monate begrenzen (unter Verwaltung > Property auswählen > Tracking-Informationen > Datenaufbewahrung)
    User ID-Funktion deaktivieren (unter Verwaltung > Property auswählen > Tracking-Informationen > User-ID)
  7. Datenschutzerklärung anpassen

Es ist zudem möglich, dass in Zukunft ein Opt-In für Google Analytics Pflicht werden könnte. Ein Positionspapier der DSK (Datenschutzkonferenz) vom 26.04.2018 legt dies nahe.

Share-Buttons:
Die Nutzung von Teilen-Buttons (und anderen Social-Plugins) des sozialen Netzwerkes Google+ u.a. Social-Kanälen bringt rechtliche Risiken mit sich. Das war schon lange vor der DSGVO so. RA Schwenke wies z. B. bereits 2011 darauf hin, dass die Rechtslage bei Teilen-Buttons von Google+ ähnlich ist wie beim Like-Button von Facebook. Kritisch ist nicht nur, dass eigene Aktivitäten durch Google+ aufgezeichnet werden, wenn man mit dem eigenen Google-Account eingeloggt ist, sondern dass möglicherweise auch Nutzer getrackt werden, die nicht eingeloggt sind oder gar keinen Google-Account haben. Als Alternative um Teilen-Buttons von Google+ weiterhin zu nutzen, bietet sich eine Zwei-Klick-Lösung, wie z. B. Shariff an, die es auch als WordPress-Plugin gibt.

+ + + + +

Ich hoffe, dass diese Informationen für Sie einen großen Nutzen bieten. Das es eine starke Herausforderung für Sie darstellt und ich Sie mit einem sehr großen Haufen an Informationen konfrontiere, ist mir bewusst. Viele Unternehmen werden die Umsetzung der DSGGVO nicht rechtzeitig bis zum 25.05. umsetzen können. Es hat sich mittlerweile (nach den Monaten der großen Aufregung) ein Pragmatismus breit gemacht, dass die wichtigsten Schritte schnell eingeleitet werden (Impressum und Datenschutzerklärung auf der Website, ADV-Verträge etc.) und der Rest auch noch nach dem Stichtag des 25.05. Stück für Stück abgearbeitet wird. Vielleicht wird es in allerletzter Minute noch eine Auflockerung der DSGVO geben, aber vermutlich nur für Vereine, Wissenschaftler etc. Hierauf sollten Sie nicht allzu große Hoffnung setzen…
Also ganz tief durchatmen, in Hinblick auf den 25.05. die Ruhe bewahren und die anstehenden Aufgaben systematisch abarbeiten.

Besten Gruß
Maike Petersen