Als externer, geprüfter Datenschutzbeauftragter berate ich Firmen, Vereine und Kirchengemeinden bei der Umsetzung des Datenschutzes.

 

Am 25.5. 2018 trat die europaweit identische EU-Datenschutz-Grundverordnung in Kraft und löste das bisherige Bundesdatenschutzgesetz ab. Außerdem traten inzwischen „neue“ Datenschutzgesetze des Bundes und der Länder zur Umsetzung nationaler Regelungen sowie Datenschutzgesetze bzw. -ordnungen vieler Religionsgemeinschaften in Kraft. 

Seit dem Stichtag müssen alle Datenverarbeiter (jeder, der Daten sammelt, also praktisch jede Organisation) umfassende organisatorische Maßnahmen ergreifen.

So muss z.B. ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden, welches u.a. die jeweiligen Regelungen zum Zweck der Datenverarbeitung, zu Löschfristen, zum Übermitteln in andere Länder und Informationspflichten für die betroffenen Personen enthält oder auch eine Beschreibung der technischen und organisatorischen Schutzmaßnahmen für die Datenverarbeitung.

Im Zuge dessen müssen auch Verträge mit Auftragsdatenverarbeitern überarbeitet und Datenschutzhinweise angepasst werden.

Mit der Einführung der EU-Verordnung änderte sich auch die Höhe von potentiellen Bußgeldern bei Datenschutzverstößen: 20 Millionen € oder im Fall von weltweit agierenden Konzernen bis zu 4% des Konzernumsatzes.

Ab dem 25.5.2018 müssen Sie einiges umsetzen – hier ein kleiner Überblick.

Passen Sie die Datenschutzerklärung Ihrer Webseite an:

  • Ihre Besucher müssen aufgeklärt werden, welche Daten von wem und wofür erfasst und wie lange bearbeitet werden. Dies fängt bei dem Hoster an: Dieser speichert in seinen Log-Dateien etliche Daten und löscht diese nach einiger Zeit. Bei 1und1 geschieht dies beispielsweise nach sieben Tagen.
  • Nutzen Sie Tracking-Tools wie Google Analytics? Dann müssen Sie ihre Besucher auch hierauf aufmerksam machen – zudem müssen Sie neben weiteren einen sog. Auftragsdatenverarbeitungsvertrag mit Google abschließen. Ich möchte anregen, dass Sie sich an dieser Stelle Gedanken machen, ob Sie dergleichen wirklich benötigen. Nutzen Sie alle Tools oder helfen Sie lediglich Google beim Datensammeln (ohne dafür ein entsprechendes Entgelt zu bekommen).
  • Nutzen Sie Cookies? Dann müssen Sie – insbesondere, wenn sie wie diese Webseite auf WordPress basiert – Ihre Besucher über einen sog. Opt-InButton aufklären. Auch dieser Button setzt einen Cookie. Sie benötigen einen Hinweis, wie man Cookies unterdrücken oder löschen kann. Übrigens: Der Cookie-Opt-In ist umstritten, ob dies in Zukunft so gestaltet werden kann klären sicherlich bald die Gerichte. Erklären Sie Ihren Besuchern auch, weshalb die Cookies gesetzt werden (z.B. Sammlung von Informationen) und ob diese – wie bei sog. Session-Cookies wie bei WordPress – beim Schließen des Browsers gelöscht werden.
  • Nutzen Sie z.B. Buttons von Social-Media Plattformen wie Facebook, Google oder Xing? Dann werden bei einem Zugriff eines auf einer der Plattform angemeldeten Rechners bei der Plattform Daten gesammelt und übertragen.
  • Nutzen Sie ein Kontaktfeld? Auch hier müssen Sie Ihre Besucher aufklären, was mit den Daten passiert und ggf. wofür Sie diese erheben (z.B. Speicherung für eventuelle Rückfragen). Ab dem 25. Mai haben Besucher das Recht auf Auskunft über die gespeicherten Daten, das Recht auf Widerruf, Löschung, Sperre und Berichtigung der Daten.
  • Erklären Sie Ihren Besuchern auch, dass die Datenübertragung unsicher ist – insbesondere, wenn Ihre Webseite nicht über ein SSL Zertifikatverfügt.
  • Versenden Sie einen Newsletter? Dann sollten Sie sicher sein, dass Sie die Daten auch verwenden dürfen – also dass Sie über eine möglichst schriftliche Einwilligung des Newsletterempfängers verfügen. Die Einwilligung muss freiwillig erfolgt sein (also nicht an andere Bedingungen gekoppelt worden sein) und Hinweise auf die Rechte des Empfängers enthalten (siehe „Kontaktfeld“). Nutzen Sie ein Verifizierungsverfahren – z.B.: Double-Opt-In.
  • Wenn Sie einen Newsletter versenden, weisen Sie Ihre Besucher auch daraufhin, ob beim Öffnen der Mail Daten übertragen werden können oder ob es Log-Pixel gibt (Beispiel: bei Mailchimp.org kann der Versender sehen, welche Newsletter wann geöffnet worden sind). Achtung: Mailchimp und viele andere Versender sitzen nicht in der EU – bei Weitergabe der Daten an diese handelt es sich um eine Übermittlung in Drittstaaten, die in der Regel unzulässig ist und über die Sie Ihre Empfänger schon beim Klicken auf den Bestellen-Button aufklären müssen. Mein Appell: Suchen sei einen Datenschutzkonformen Versender und bezahlen Sie nicht mit den Daten der Empfänger!
  • Fotos sind personenbezogene Daten, Ihre Einverständniserklärungen sollten die obigen Punkte enthalten. Sie müssen sich außerdem Gedanken machen, wie Sie bei einem Widerruf der Einverständniserklärung vorgehen, eventuell sind die Daten inzwischen nämlich auch anderswo im Netz gespeichert. Es ist dann Ihre Pflicht, diese Orte, z.B. Archive.org anzuschreiben und um Löschung zu bitten.

Treffen Sie organisatorische Maßnahmen:

  • Geben Sie Daten weiter? Betreiben Sie z.B. eine Cloud-Datenbank? Dann müssen Sie mit dem Betreiber unbedingt einen Vertrag über die Auftragsdatenverarbeitung abschließen. Sie müssen den Betreiber sorgfältig auswählen und dies dokumentieren.
  • Ihre Kunden haben ein Recht, die gespeicherten Daten auf Antrag in einem übertragbaren Format übergeben zu bekommen. Die Gerichte werden sicherlich noch entschieden müssen, wie weit dieser Begriff zu fassen ist (also auch bezogen auf konkrete Projekte). Aber Sie müssen jetzt schon den organisatorischen Background hierfür schaffen.
  • Datensicherheit ist ein weiterer Punkt: Stellen Sie sicher, dass es ihre Daten auch sind! Verschlüsselung, Anonymisierung, Datensicherung, Integrität und Zugriffskontrolle sind einige Stichworte hierfür.
  • Vermutlich gehören Sie auch zu dem Kreis derjenigen, die ein detailliertes Datenschutzkonzept, das sog. Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 erstellen müssen. Diese Verpflichtung gilt zwar nicht für Unternehmen mit weniger als 250 Mitarbeitern, aber für alle Unternehmen, die nicht nur gelegentlich Daten verarbeiten. So ziemlich jedes Unternehmen, jeder Verein und jede Kirche, die ich kenne, verarbeitet mindestens täglich Daten (Pflege der Adressdatenbank, Mailverkehr, Briefe, Terminvereinbarungen, Recherche usw.) und fällt hiermit unter die Verpflichtung zur Erstellung des Verzeichnisses. Die Ausnahmeregelung ist zugegebenermaßen Interpretationssache, aber realistisch betrachtet fällt vielleicht ein Verein hierunter, der lediglich einmal im Jahr Spendenbescheinigungen ausstellt.
  • Wenn die Kerntätigkeit Ihrer Tätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung (Profiling) von betroffenen Personen erforderlich machen oder in der umfangreichen Verarbeitung sog. besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht, benötigen Sie zwingend einen Datenschutzbeauftragten.

 

Sören Grünberg ist geprüfter Datenschutzbeauftragter und Mitglied in der Gesellschaft für Datenschutz und Datensicherheit e.V.