Als zertifizierter Datenschutzbeauftragter (GDDcert. EU) berate ich Organisationen, Firmen, Vereine und Kirchengemeinden bei der Umsetzung des Datenschutzes.

Am 25.5. 2018 trat die europaweit identische EU-Datenschutz-Grundverordnung in Kraft und löste das bisherige Bundesdatenschutzgesetz ab. Außerdem traten inzwischen „neue“ Datenschutzgesetze des Bundes und der Länder zur Umsetzung nationaler Regelungen sowie Datenschutzgesetze bzw. -ordnungen vieler Religionsgemeinschaften in Kraft. 

Seit dem Stichtag müssen alle Datenverarbeiter (jeder, der Daten sammelt, also praktisch jede Organisation) umfassende organisatorische Maßnahmen ergreifen.

Mit der Einführung der EU-Verordnung änderte sich allerdings auch die Höhe von potentiellen Bußgeldern bei Datenschutzverstößen: 20 Millionen € oder im Fall von weltweit agierenden Konzernen bis zu 4% des Konzernumsatzes.

Seit dem 25.5.2018 müssen Sie einiges umsetzen – hier ein kleiner Überblick.

  • Die Besucher Ihrer Webseite müssen aufgeklärt werden, welche Daten von wem und wofür erfasst und wie lange bearbeitet werden. Dies fängt bei dem Hoster an: Dieser speichert in seinen Log-Dateien etliche Daten und löscht diese nach einiger Zeit. Bei 1und1 geschieht dies beispielsweise nach sieben Tagen.
  • Nutzen Sie auf Ihren Internetauftritten Tracking-Tools wie Google Analytics? Dann müssen Sie ihre Besucher auch hierauf aufmerksam machen – seit kurzem steht es auch höchstrichterlich fest: Dies geht nur mit Einwilligung.
  • Seit dem Wegfall des Privacy-Shields am 16.7.2020 ist die Vereinbarung über die Datenübermittlung in die USA nur noch mit Einwilligung oder durch Standardvertragsklauseln möglich. Dies muss beachtet werden.
  • Nutzen Sie Cookies? Dann müssen Sie (außer bei technisch notwenigen Cookies, z.B.bei Warenkörben) vor setzen des Cookies eine Einwilligung einholen.
  • Nutzen Sie z.B. Buttons von Social-Media Plattformen wie Facebook, Google oder Xing? Dann werden bei einem Zugriff eines auf einer der Plattform angemeldeten Rechners bei der Plattform Daten gesammelt und übertragen.
  • Nutzen Sie ein Kontaktfeld? Auch hier müssen Sie Ihre Besucher aufklären, was mit den Daten passiert und ggf. wofür Sie diese erheben (z.B. Speicherung für eventuelle Rückfragen). Ab dem 25. Mai haben Besucher das Recht auf Auskunft über die gespeicherten Daten, das Recht auf Widerruf, Löschung, Sperre und Berichtigung der Daten.
  • Erklären Sie Ihren Besuchern auch, dass die Datenübertragung unsicher ist – insbesondere, wenn Ihre Webseite nicht über ein SSL Zertifikatverfügt.
  • Versenden Sie einen Newsletter? Dann sollten Sie sicher sein, dass Sie die Daten auch verwenden dürfen – also dass Sie über eine möglichst schriftliche Einwilligung des Newsletterempfängers verfügen. Die Einwilligung muss freiwillig erfolgt sein (also nicht an andere Bedingungen gekoppelt worden sein) und Hinweise auf die Rechte des Empfängers enthalten (siehe „Kontaktfeld“). Nutzen Sie ein Verifizierungsverfahren – z.B.: Double-Opt-In.
  • Wenn Sie einen Newsletter versenden, weisen Sie Ihre Besucher auch daraufhin, ob beim Öffnen der Mail Daten übertragen werden können oder ob es Log-Pixel gibt (Beispiel: bei Mailchimp.org kann der Versender sehen, welche Newsletter wann geöffnet worden sind). Achtung: Mailchimp und viele andere Versender sitzen nicht in der EU – bei Weitergabe der Daten an diese handelt es sich um eine Übermittlung in Drittstaaten, die in der Regel unzulässig ist und über die Sie Ihre Empfänger schon beim Klicken auf den Bestellen-Button aufklären müssen. Mein Appell: Suchen sei einen Datenschutzkonformen Versender und bezahlen Sie nicht mit den Daten der Empfänger!
  • Fotos sind personenbezogene Daten, Ihre Einverständniserklärungen sollten die obigen Punkte enthalten. Sie müssen sich außerdem Gedanken machen, wie Sie bei einem Widerruf der Einverständniserklärung vorgehen, eventuell sind die Daten inzwischen nämlich auch anderswo im Netz gespeichert. Es ist dann Ihre Pflicht, diese Orte, z.B. Archive.org anzuschreiben und um Löschung zu bitten.

Treffen Sie organisatorische Maßnahmen:

  • Geben Sie Daten weiter? Betreiben Sie z.B. eine Cloud-Datenbank? Dann müssen Sie mit dem Betreiber unbedingt einen Vertrag über die Auftragsdatenverarbeitung abschließen. Sie müssen den Betreiber sorgfältig auswählen und dies dokumentieren.
  • Ihre Kunden haben ein Recht, die gespeicherten Daten auf Antrag in einem übertragbaren Format übergeben zu bekommen. Die Gerichte werden sicherlich noch entschieden müssen, wie weit dieser Begriff zu fassen ist (also auch bezogen auf konkrete Projekte). Aber Sie müssen jetzt schon den organisatorischen Background hierfür schaffen.
  • Datensicherheit ist ein weiterer Punkt: Stellen Sie sicher, dass es ihre Daten auch sind! Verschlüsselung, Anonymisierung, Datensicherung, Integrität und Zugriffskontrolle sind einige Stichworte hierfür.
  • Art. 5 DSGVO fordert ein Datenschutzkonzept, welches unter anderem das sog. Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 enthalten muss. Von etzterem sind zwar Unternehmen mit weniger als 250 Mitarbeitern ausgenommen, aber alle Unternehmen, die nicht nur gelegentlich Daten verarbeiten müssen ein Verzeichnis führen.  In jedem mir bekannten jedes Unternehmen, Verein und Kirche, werden täglich Daten verarbeitet (Pflege der Adressdatenbank, Mailverkehr usw.), alle diese Unternehmungen fallen hiermit unter die Verpflichtung zur Erstellung des Verzeichnisses.
  • Wenn die Kerntätigkeit Ihrer Tätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung (Profiling) von betroffenen Personen erforderlich machen oder in der umfangreichen Verarbeitung sog. besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht, benötigen Sie zwingend einen Datenschutzbeauftragten.

Sören Grünberg ist geprüfter Datenschutzbeauftragter und Mitglied in der Gesellschaft für Datenschutz und Datensicherheit e.V.