Einige Aspekte zur Datenschutz-Grundverordnung (DS-GVO)

Die Datenschutz-Grundverordnung (DS-GVO) regelt den Datenschutz für die gesamte Europäische Union. Diese trat am 25.05.2018 verbindlich in Kraft. Im Wesentlichen wird damit die Verarbeitung von personenbezogenen Daten jeglicher Art und Form reguliert. Damit betrifft die Verordnung so gut wie jeden. Egal, ob Sie Kunden „offline“ betreuen, eine Website pflegen oder regelmäßig Newsletter versenden. In diesem ersten Teil stellen wir die wesentlichen Punkte zur eigenen Website vor.

Mittlerweile gibt es erste Berichte über Abmahnwellen, die Websites mit nicht oder fehlerhafter Umsetzung der DSGVO im Fokus haben. Allerdings gibt es auch beruhigende Nachrichten, nach denen die Politik DSGVO-Abmahnungen im großen Stil schnell verhindern will. Das bedeutet natürlich nicht, dass sich nicht jeder Einzelne schnell mit den Vorgaben vertraut machen sollte und diese auch in der Praxis zügig umsetzen sollte – sofern noch nicht geschehen.

Vorab ein wichtiger Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar. Alle Inhalte wurden mit bestem Wissen und Gewissen zusammengetragen. Für etwaige Schäden oder Abmahnungen kann keine Haftung übernommen werden.

Was sind personenbezogene Daten?

Dabei handelt es sich um Daten, die sich konkret auf eine Person beziehen:

  • Name
  • Anschrift
  • Email-Adresse
  • Telefon
  • Geburtsdatum etc.

Was ist bei der Verarbeitung von Daten zu beachten?

  • Alle Daten dürfen nur rechtmäßig erhoben und verarbeitet werden.
  • Für alle erhobenen Daten muss es einen nachvollziehbaren Grund geben.
  • Die Daten werden nur solange gespeichert, wie diese auch benötigt werden.
  • Die Daten dürfen nur für den vorhergesehenen Zweck verwendet werden.
  • Die Daten müssen sicher sein und deren Verarbeitung muss dokumentiert werden.
  • Jede Person muss ihre Einwilligung zur Speicherung und Verarbeitung ihrer Daten geben. Ferner muss sie wissen, was mit den Daten passiert und die Möglichkeit bekommen, die Daten einzusehen, zu ändern und zu löschen.

Den Wortlaut der Bestimmungen gibt es hier: https://dsgvo-gesetz.de/

Was bedeutet die DS-GVO für die Website?

SSL-Verschlüsselung

Jede Website muss ab dem 25.05.2018 SSL-verschlüsselt sein, die in irgendeiner Weise personenbezogene Daten überträgt. Dies kann bei Kommentaren in einem Blog, beim Eintragen in einen Newsletter-Versand oder aber auch bereits beim Speichern von IP-Adressen der Website-Besucher der Fall sein.

Google Analytics

Wer Google Analytics nutzt, sollte dafür Sorge tragen, dass dieses rechtmäßig eingebunden ist.

Datenschutzerklärung

Die Datenschutzerklärung sollte auf der Website gut sichtbar und erreichbar sein. Der Einfachheit halber empfiehlt es sich, sogenannte Generatoren zu nutzen, die eine Datenschutzerklärung rechtmäßig generieren. Beispiele sind:

Hosting

Der Provider einer Website (bei uns ist das Strato) speichert Website-Zugriffe und alle Datenbanken der Website mit den gespeicherten Nutzerdaten. Hierfür ist es notwendig, mit dem Provider einen sogenannten Verarbeitungsvertrag abzuschließen. Die meisten Provider bieten einen vorbereiteten Vertrag für ihre Kunden an. Bei einigen muss man noch nachfragen.

Kontaktformulare

Zukünftig müssen ebenso Kontaktformulare angepasst werden. Am sichersten ist es, wenn der Nutzer aktiv eine Checkbox anwählt, in der er sich mit der Übertragung und möglichen Speicherung bzw. Verwendung der eingegebenen Daten einverstanden erklärt.

Blog-Kommentare

Das Gleiche gilt für Kommentare in einem Blog oder unter Artikeln. Auch hier ist es am sichersten, wenn der Nutzer aktiv eine Checkbox anwählt, in der er sich mit der Übertragung und möglichen Speicherung bzw. Verwendung der eingegebenen Daten einverstanden erklärt.

Social Media Plugins

Wer Social Media Buttons unter den eigenen Artikeln und Seiten auf der Website nutzt, stellt beim Aufruf dieser automatisch eine Verbindung zu den jeweiligen Netzwerken her. Diese müssen entfernt werden.

IP-Adressen

Das Speichern von IP-Adressen über Statistiktools oder mit der Übertragung von Kommentaren und Chatnachrichten stellt ein weiteres Problem dar. Einige aber speichern IP-Adressen, um beispielsweise eine strafrechtliche Verfolgung bei Beleidigungen oder der Verletzung von Persönlichkeitsrechten zu gewährleisten. Eine mögliche Lösung ist, gespeicherte IP-Adressen nach einem bestimmten Zeitraum zu löschen.

Newsletter

Auch beim Newsletter-Versand gibt es nun einige Dinge mehr zu beachten. Auch hier empfiehlt es sich, dem Nutzer beim Eintragen in einen Newsletter-Verteiler eine Checkbox anwählen zu lassen, in er sich mit der Speicherung und Nutzung der Daten gemäß den Datenschutzbedingungen auf der Website aktiv einverstanden erklärt.

Zusätzlich ist bei jedem Anmelden das sogenannte Double Opt-in Verfahren erforderlich. Das heißt im Grunde nichts anderes, als dass der Nutzer seine Anmeldung ein zweites Mal über die Bestätigung seiner Email-Adresse aktiv vollziehen muss.

Des Weiteren ist es notwendig, in jedem versendeten Newsletter einen Hinweis auf die Datenschutzbestimmungen zu integrieren. Auch hier sollten einige spezielle Hinweise integriert werden. Zudem war es schon vor dem 25.05.2018 Pflicht, dem Nutzer in jedem Newsletter An- und Abmeldeinformationen zur Verfügung zu stellen.

Services von Drittanbietern

Durchforsten Sie Ihre Website nach Services von Drittanbietern. Hierzu zählen nicht nur Email- und Statistikservices, sondern zum Beispiel auch das Nutzen von Google Web Fonts oder Gravataren.

Dokumentationspflichten

Nicht nur für die Website gelten die neuen Datenschutzbedingungen. Jegliche Nutzung von persönlichen Daten sind betroffen. Für Sie als Freelancer und Selbstständiger betrifft das vor allem die Informationen zu Ihren Kunden und Klienten.

Die DS-GVO gibt genauestens vor, wie mit diesen Daten unter welchen Bedingungen umgegangen werden darf.

Das Verfahrensverzeichnis

Vorab ein wichtiger Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar. Alle Inhalte wurden mit bestem Wissen und Gewissen zusammengetragen. Für etwaige Schäden oder Abmahnungen kann keine Haftung übernommen werden.

Was ist überhaupt ein Verfahrensverzeichnis?

Im Gesetz trägt das Verfahrensverzeichnis den Titel „Verzeichnis von Verarbeitungstätigkeiten“. Darunter sind im Sinne des Datenschutzes alle Vorgänge von Unternehmen und Unternehmern, die personenbezogene Daten verarbeiten, zu verstehen. Vereinfacht ausgedrückt handelt es sich um eine Auflistung von Prozessen, in denen Sie als Unternehmer, Ihre Kollegen oder Ihre Mitarbeiter mit Informationen in Kontakt kommen, bei von realen Personen stammen. Als Beispiel sind hier für Unternehmen die Lohnabrechnung oder die Mitarbeiterverwaltung zu nennen. Für Selbstständige betrifft es insbesondere die Kunden- und Klientenverwaltung. Im Verfahrensverzeichnis listen Sie nun alle „Verfahren“ auf, bei denen Sie diese Daten erfassen oder verarbeiten. Je nach Größe des Unternehmens oder Leistungsumfang von Selbstständigen ist diese Liste unterschiedlich lang.

Welche Angaben gehören in ein Verfahrensverzeichnis?

In größeren Unternehmen ist der Datenschutzbeauftragte für das Führen, Erstellen und Aktualisieren eines Verfahrensverzeichnisses verantwortlich. Selbstständige hingegen kommen nicht umhin, sich selbst um diese Angelegenheit zu kümmern. Ausnahmeregelungen gibt es so gut wie keine.

Der konkrete Inhalt wird in Artikel 30 der Datenschutzgrundverordnung definiert. Hier ist zusammenfassend aufgelistet, welche Informationen enthalten sein müssen.

  • Name und Kontakt des Verantwortlichen
  • Zweck der Verarbeitung
  • welche Personengruppen und dazugehörige Informationen sind betroffen
  • wem werden diese Daten zur Verfügung gestellt (intern, extern, auch Drittländer)
  • Beschreibung der Übermittlung an das Drittland (ist dies rechtlich abgesichert)?
  • vorgesehene Löschfristen der Daten (wenn möglich)
  • allg. Beschreibung der technisch Sicherheit der Daten (wenn möglich)

Diese Daten müssen für jeden einzelnen Prozess bzw. jedes einzelne „Verfahren“ dokumentiert und regelmäßig aktualisiert sowie auf Nachfrage betroffenen Personen und Behörden zur Verfügung gestellt werden.

Typische „Verfahren“

Es gibt einige Daten-verarbeitende Prozesse, die bei den meisten Unternehmen/ Unternehmern bzw. Selbstständigen im Gesundheitswesen vorkommen. Hierzu zählen zum Beispiel Kontakt-, Zahlungs- und Gesundheitsdaten von Kunden, Klienten und Patienten. Infolgedessen entstehen Rechnungsdaten und die dazugehörige Buchführung, in der personenbezogene Daten ggf. auch an den Steuerberater weitergegeben werden. Zu den Verfahren zählt ebenfalls die Verarbeitung personenbezogener Daten, die über eine Website generiert werden (Newsletter, Blog, Email-/ Kontaktformulare etc.). Wer Mitarbeiter beschäftigt, muss ebenfalls deren Datenverarbeitung und -nutzung (z.B. Lohnbuchhaltung etc.) dokumentieren.

Muster für selbstständige Ernährungsfachkräfte

Wir empfehlen Ihnen das Führen einer Exceldatei mit dem folgenden Muster:

  • Name des Verfahrens
  • als Auftragsverarbeiter (ja/nein)
  • Datum der Erfassung
  • Name des Verantwortlichen
  • Email des Verantwortlichen
  • Telefonnummer des Verantwortlichen
  • Beschreibung der Verarbeitung / Zweck
  • Betroffene Personengruppen
  • Betroffene Daten
  • Empfänger der Daten
  • Empfänger der Daten in einem Drittland
  • Beschreibung der Absicherung der Datenübermittlung in das Drittland
  • Löschfrist
  • Beschreibung der IT-Sicherheit der Daten
  • Beschreibung der physikalischen Sicherheit der Daten

Natürlich können Sie diese Excel Liste um beliebige Spalten ergänzen. Das ist meine Empfehlung nach Artikel 30 ein Verfahrensverzeichnis einfach und kompakt zu erstellen. Mit diesen Feldern haben Sie auch relativ wenig Aufwand, die Verfahren zu beschreiben. Gehen Sie Ihre täglichen und regelmäßig anfallenden Prozesse und ToDos gedanklich durch und erfassen Sie im Verfahrensverzeichnis die Verarbeitungen personenbezogener Daten.