Checkliste Datenschutzgrundverordnung

Vorab ein paar grundsätzliche Gedanken:

- Datenschutz halte ich für wichtig. Deshalb ist die DSGVO aus meiner Sicht kein Brüsseler Monster, sondern eine sinnvolle Vorgabe. Leider eben mit Arbeit verbunden.

- Absurd ist: Die DSGVO fordert, die Datenschutzhinweise in verständlicher, einfacher Sprache zu präsentieren. Das gelingt den Autoren des Verordnung leider selbst überhaupt nicht. Siehe hier: https://dsgvo-gesetz.de/

- Sorge habe ich vor allen, in den Fokus der Abmahnindustrie zu geraten. Deshalb haben wir die Datenschutzerklärung und das Impressum von der Indizierung bei Suchmaschinen ausgeschlossen.

Diese Checkliste enthält, ohne Priorisierung, einige Hinweise, worauf Unternehmen und Institutionen bei der Verarbeitung von personenbezogenen Daten achten müssen. Sie ist entstanden bei der Vorbereitung unserer Agentur auf die Datenschutzgrundverordnung. 

Checkliste:

  1. Newsletter

1.1. Das Anmeldeformular anpassen

- genau beschreiben, in was der Betroffene einwilligt (Art und Zweck der Erhebung).

- Auf Widerrufmöglichkeit und Speicherdauer der personenbezogenen Daten hinweisen

- Link auf Datenschutzerklärung setzen

1.2. Opt-In-E-Mail anpassen

- Mit der Bestätigungsmail bei der Newsletter-Anmeldung auch die Akzeptanz zur Datenschutzerklärung erfragen. So wird sichergestellt dass der Betroffene diese zur Kenntnis genommen hat und über den genauen Umfang und Zweck der Datenerhebung aufgeklärt wurde. Die Einverständniserklärung muss gespeichert werden.

1.3. Datenschutzerklärung anpassen

- Newsletter in die Datenschutzerklärung aufnehmen: Welche Daten werden wie lange gespeichert? Recht auf Widerruf und Löschung erklären.

- GGf. Auftragsverarbeiter in der Datenschutzerklärung benennen und einen Vertrag zur Auftragsverarbeitung mit dem Verarbeiter abschließen. Sollten sich dessen Server im Nicht-Eu-Ausland befinden auf die dann geltenden Datenschutzbestimmungen hinweisen. Ggf. muss man überprüfen, ob man mit dem entsprechenden Auftragsverarbeiter überhaupt DSGVO-konform zusammen arbeiten kann.

- bei Verwendung eines Zugriffsschutzes im Anmeldeformular (z.B. ReCaptacha von google) die Datenschutzerklärung entsprechend anpassen. Bei Cleverreach habe ich ein Muster für reCaptcha gefunden: https://www.cleverreach.com/de/funktionen/whitelisting-qualitaet-und-spam-tests/eu-dsgvo/

1.4. SSL-Verschlüsselung

Soweit ich sehe, muss eine Website, die Daten über Formulare erhebt, SSL-verschlüsselt sein.

  1. Datenschutzerklärung auf der Website

- Jede nicht ausschließlich private Website braucht eine Datenschutzerklärung (auch bislang bereits)

- Der Link zur Datenschutzerklärung sollte auf der Startseite eingebunden werden.

- Die meisten Experten im Internet empfehlen, eine neue Datenschutzerklärung aufzusetzen, die die neuen rechtlichen Bestimmungen berücksichtigt. Hier gibt es ein Muster: https://www.uni-muenster.de/Jura.itm/hoeren/itm/wp-content/uploads/Musterdatenschutzerk%C3%A4rung-nach-der-DSGVO.docx

Oder hier einen kostenfreien Generator:

https://www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator/

- Wichtig: Es reicht nicht, die Muster von den Generatoren zu übernehmen. Es sind meist zusätzliche, individuelle Anpassungen nötig. Zum Beispiel muss man Auftragsverarbeiter benennen. Dazu muss man sich fragen:

- Welche Dienste sind in die Website eingebunden? Diese sind zum Teil Auftragsverarbeiter, mit denen ggf. Verträge zu schließen sind. An vielen Stellen jedenfalls reicht die Website personenbezogene Daten weiter, z.B.: Social Plugins (der berühmte Facebook-Button), google analytics, Newsletter-Dienstleister oder auch eingebundene Youtube-Videos. Hierzu muss jeweils ein entsprechender Hinweis in die Datenschutzerklärung aufgenommen werden bzw. überprüft werden, ob die Einbindung mit dem Datenschutz überhaupt vereinbar ist. Bei Youtube und google analytics etwa hilft es, in den Einstellungen bei den entsprechenden Diensten Anpassungen vorzunehmen.

  1. google analytics und andere tracking tools

- Cookie-Hinweis auf die Startseite nehmen

- Passus zu den verwendeten tracking tools in die Datenschutzerklärung aufnehmen; in der Datenschutzerklärung entsprechende "Opt-Out"-tools als Link anbieten, damit sich der Website-User gegen die Verwendung von Cookies schützen kann.

- mit den Anbietern der tracking tools (z.B. google analytics) muss ein Vertrag zur Auftragsverarbeitung geschlossen werden, der den Anbieter auf die deutschen und europäischen Datenschutzregeln verpflichtet.

  1. Auftragsverarbeiter

Welche sonstigen Auftragsverarbeiter haben Zugriff auf personenbezogene Daten des Unternehmens? Mit allen Auftragsverarbeitern müssen Verträge bestehen, die diese auf die Einhaltung des Datenschutzes verpflichten, z.B.:

- EDV, IT, Webadmins etc.

- Buchhaltung + Lohnbuchhaltung

- Steuerberatung

- Hoster

Größere Anbieter bieten Muster für solche Verträge an. Mit kleineren Geschäftspartnern muss man selbst Verträge aufsetzen. Hier gibt es ein Muster: https://www.activemind.de/datenschutz/dokumente/av-vertrag/

  1. Pressemeldungen und „berechtigtes Interesse“

- Versenden Sie Pressemeldungen per E-Mail? Hier könnte es nötig sein, einen Datenschutzhinweis anzubringen, wenn die Pressemeldungen auch an persönliche E-Mail-Adressen von Journalisten gesendet werden. Ich gehe davon aus, dass solche Datenschutzhinweise wichtig sind, weil nach der DSGVO, so wie ich sie verstehe, jeglicher Newsletterversand per Mail verboten ist, mit drei Ausnahmen:

  • bei expliziter und dokumentierter Einwilligung des Empfängers
  • bei einem Vertragsverhältnis zwischen Sender und Empfänger
  • mit Verweis auf das „berechtigte“ Interesse des Senders, das höher zu gewichten sein muss als das Schutzbedürfnis des Empfängers.

Für den Versand von Pressemeldungen könnte man sich auf das „berechtigte Interesse“ in Kapitel 2, Paragraph 6, Absatz 1f der Datenschutzgrundverordnung beziehen.

  1. Speicherung von personenbezogenen Daten im Computer

- Künftig muss man, bevor man einen Kontakt in seiner EDV speichert, die betroffene Person darüber informieren und die rechtliche Grundlage benennen, auf der die Verarbeitung der Daten erfolgt. Auch über die verschiedenen Rechte (z.B. Löschung, Widerruf, Auskunftserteilung etc.) muss informiert werden. Ein Musterformular dazu gibt es hier: https://www.lexware.de/dsgvo/mustervorlagen/

  1. Weitere interne Pflichten

- Mitarbeiter sollten auf den Datenschutz verpflichtet werden. Alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, müssen außerdem in einem Verarbeitungsverzeichnis erfasst sein. Muster für diese Protokollpflichten gibt es ebenfalls hier: https://www.lexware.de/dsgvo/mustervorlagen/

  1. Sonstiges

Zur Nutzung von Whatsapp auf dem Geschäftshandy habe ich hier einen hilfreichen Artikel gefunden: https://www.deutsche-handwerks-zeitung.de/whatsapp-betrieblich-nutzen-was-beim-datenschutz-wirklich-gilt/150/3101/363865

Über Ergänzungen, Korrekturen, Anmerkungen etc. bin ich dankbar!

 

Peter von Cube
- 18. Mai 2018 at 09:03

Sehr geehrter Herr Dr. Gerhard,
ein löbliches Werk, das Sie da verfasst haben – viele gute Tipps!
Nachstehend ein link eines Druckereibetriebs, der das alles schon mal in "voller Länge" umgesetzt hat; wer soll das alles noch wirklich ernst nehmen (außer den Abmahn-Anwälten)?
https://www.satz-druck-molnar.de/index.php?id=19
Mit am scheena Gruaß
Peter von Cube
Schreiben Sie ein Kommentar