DSGVO – verständlich erklärt Teil 2

Datenschutzverordnung
Die neue Datenschutzverordnung zu verstehen ist eine Sache. Sie aber auch korrekt anzuwenden eine ganz andere. Hier gibt es viel zu beachten und auch umzusetzen – manches scheint gar nicht so leicht. Daher möchte ich hier alle notwendigen Neuerungen und Umsetzungen so leicht verständlich und nachmachbar wie möglich erklären.  
Nochmal vorweg: Alle Daten, die ihr zur Ausführung eines Auftrages welcher Art auch immer benötigt fallen großteils aus dem Ganzen raus: ihr braucht dafür keine Einverständniserklärung und sie brauchen auch währenddessen nicht gelöscht werden, dürfen an Dritte weitergegeben werden (z.B. Druckerei, Post,…) Auch kann die Einwilligung vom Kunden NICHT entzogen werden.  
Fangen wir mal bei den leichteren Dingen an:

Datenspeicherung

Die neue Verordnung sieht vor, dass jeder Unternehmer genau notiert, welche Daten er wo und wie speichert – egal ob digital oder analog. Am Besten ist dazu eine Liste, die alle erforderlichen Angaben enthält. Die kann dann immer wieder aktualisiert werden und im Bedarf auch ausgedruckt werden. ABER: Es gibt auch Ausnahmen, wann die Liste NICHT geführt werden muss:  wenn:
  • die Datenverarbeitung keinerlei Risiko für Freiheiten und Rechte der Personen birgt
  • die Datenverarbeitung nur gelegentlich gemacht wird
  • die Datenverarbeitung keinerlei sensible Daten enthält
Inwieweit das dann auf euch zutrifft müsst ihr genau abklären. Wenn ihr die Punkte alle erfüllt, braucht ihr keine Liste führen.   Alle anderen müssen leider zu Papier und Bleistift greifen oder Excel anwerfen! Am Besten ist auch, ihr legt euch eine persönliche Liste an wo ihr mal für euch notiert, wo ihr überall Daten sammelt – damit ihr nichts übersehen könnt:
  • Bestellungen
  • Newsletter
  • Anmeldungen für (Online)Kurse
  • Kontaktformular
  • Gewinnspiele, etc
  • ……..
Das Verzeichnis muss enthalten:
  • Namen und Kontaktdaten des/der Verantwortlichen
  • Zweck der Datenverarbeitung
  • Beschreibung der Art betroffener Personen und der Art personenbezogener Daten (Kunde, Lieferant, Adressdaten,..)
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein anderes Land, z.B USA, Canada,…
  • Art der Personen, denen Daten übermittelt wurden (Finanzamt, Rechtsanwalt, Versicherungen, …)
  • wenn möglich: die Frist bis wann die Daten(arten) gelöscht werden
  • wenn möglich: Beschreibung der Sicherheitsmaßnahmen zum Schutz der Daten
Das Verzeichnis muss auf jeden Fall schriftlich geführt werden. Kann auch analog geführt werden, also auf Papier. Die Liste zur Datenspeicherung könnt ihr euch ganz unten runterladen!  

Daten einholen / Einverständniserklärung

Zuallererst ist wichtig, dass eure Kunden in die Dateneinholung und Verarbeitung deutlich einwilligen. Diese Einwilligung muss im Bedarf nachgewiesen werden können! WICHTIG: Bei der Einverständniserklärung muss der Kunde gleichzeitig auch über alle seine Rechte informiert werden! Die Rechte könnt ihr in TEIL 1 nachlesen. Varianten: Einverständniserklärung: Ihr lasst eure Kunden eine Einverständniserklärung unterschreiben, die ihr dann zu Rechnung, Lieferschein,… dazuheften könnt. Eine Einverständniserklärung könnt ihr ganz unten runterladen! Anfrage: Die Kunden kontaktieren euch von sich aus über das Kontaktformular oder per Mail und möchten einen Vertrag/Auftrag vergeben/was bestellen: Dann ist KEINE Einwilligung notwendig, da die Daten ja zur Vertragserfüllung dienen. Double-opt in. Das kennt ihr wahrscheinlich schon von Newslettern : ihr tragt eure Mail-Ad ein und bekommt dann ein Mail, wo ihr nochmals bestätigen müsst, dass ihr den Newsletter haben wollt. An alle Websiten / Blogbetreiber: das müsst ihr ab jetzt so einstellen, dass der User nochmals bestätigen muss. Und ihr müsst diese Bestätigung dann auch speichern um sie im Bedarf vorlegen zu können.  

Daten speichern und sichern

Analog: Einen eigenen Ordner mit allen Rechnungen, Lieferscheinen, Mail-Ausdrucken, etc anlegen. Der Ordner muss gut geschützt sein – am Besten in einen versperrbaren Kasten oder eine versperrbare Lade geben! Die Daten dürfen nicht in die Hände von Fremden gelangen. Dazu zählen leider alle anderen ausser euch!  Vorsicht bei dieser Variante: Im Falle eines Wasserschadens /Brandes/Diebstahls müsst ihr trotzdem noch an die Daten eurer Kunden rankommen. Also auf jedenfalls alle Daten auch digital speichern oder notfalls eine komplette Kopie des Ordners an einem sicheren Platz (Bankschliessfach?) deponieren. Das gilt übrigens auch fürs Finanzamt! Digital: Welches Medium ihr da verwendet bleibt euch überlassen: USB-Stick oder externe Festplatte – oder auch eine CD, falls die noch jemand wirklich verwendet. Auch hier gilt: das Medium muss sicher sein und niemandem zugänglich sein. Dazu reicht ein Passwortschutz. Auch hier empfiehlt es sich wirklich, eine Kopie davon zu machen, also dann z.B. zwei USB-Sticks. Bitte dann aber immer wieder die Daten aktualisieren! Am PC/digital: wenn ihr (aus praktischen Gründen) die Daten auch am PC speichert dann müssen die Daten in einem passwortgeschützten Ordner abgelegt werden oder gleich der ganze PC mit einem Passwort gesichert werden! Auch hier gilt, dass kein anderer ausser euch auf die Daten zugreifen kann! Zusätzlich müsst ihr euren PC auf jedenfalls bestmöglich vor Angriffen von aussen schützen: Firewall, Spamschutz, AntiVir, etc sollten spätestens jetzt Standart sein. Und: die Tools müssen immer am letzten Stand sein, also regelmäßig upgedatet werden. Alle eure Sicherungsmaßnahmen müssen natürlich – wie könnte es anders sein – dokumentiert werden, da sie im Bedarf vorgelegt werden müssen. Auch eure Kunden können darüber Auskunft verlangen! (Siehe Teil 1)  

Die Website und die Datenschutzerklärung

Eure Kunden müssen detailliert über euren Datenschutz, ihre Reche und ihre Freiheiten informiert werden. Das macht ihr am Besten, indem ihr eine eigene Seite dafür anlegt. Diese Seite muss aber ohne viel Suchen vom Kunden erreichbar sein, also am Besten unter dem Impressum. Der Text für die Datenschutzerklärung ist sehr umfangreich und meist in Amtsdeutsch gehalten. Wer sich nicht sicher ist sollte vorsichtshalber einen Rechtsanwalt drüberlesen lassen. Am besten ihr stellt dort auch gleich das Formular für die Einverständniserklärung rein. Dann können eure Kunden die im Bedarf rauskopieren und euch unterschrieben zuschicken.  

PlugIns und Cookies

sind eine heikle Sache. Wenn ihr mit PlugIns arbeitet dann müsst ihr genau prüfen, ob sie Daten speichern und wenn ja welche und wo. Cookies: hier wird es etwas kompliziert, denn: die Websitenbesucher müssen VORHER ihr Einverständnis zu den Cookies geben! (Nennt man Opt-In). Ausserdem müssen sie auch vorher über die Verwendung von Cookies informiert werden und die Zustimmung dazu muss freiwillig geschehen. ACHTUNG: Der Hinweis auf Cookies (deren Verwendung) sowie Googel Analytics, etc muss sofort sichtbar sein, sprich: am Besten platziert ihr diesen Hinweis auf der Startseite. Nur im Impressum ist zu wenig! Auf der Startseite muss auch gleich die Möglichkeit zur Zustimmung gegeben sein (Button „ich stimme zu“) Auch wichtig: achtet auf die Cookies von Dritten, die ihr auf eurer Website platziert! So schaut eine korrekte Cookie-Information aus:   
Diese Website verwendet Cookies Ich verwende Cookies, um Inhalte und / oder Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf meine Website zu analysieren. Ausserdem gebe ich Informationen zu Ihrer Verwendung meiner Website an meine Partner für Soziale Medien, Werbung und Analysen weiter. Meine Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben.
  Wer sich jetzt wundert: das zielt vor allem auf die allseits beliebten „Folge mir“ und „Like“ und „Pin it“ – Buttons ab!   PlugIns: Vorsicht bei den gängigen WordPress-Plugins! Besonders Akismet Anti-Spam, Antispam Bee, Google Analytics, Sumo Me und die diversen Newsletter-Plugins sind besonders kritisch! Das alles hier im Detail aufzuführen würde den Rahmen sprengen. Ich werde dazu wohl einen eigenen Post schreiben.   

IP-Adresse

Natürlich ist es auch nicht mehr zulässig, einfach die IP-Adressen zu speichern. Hier wird es zeitweise richtig kompliziert! Wenn ihr einen Blog betreibt oder eine Website über WordPress ist es nicht ganz so schlimm. Wichtig zu wissen: auch wenn wer euren Blogpost kommentiert, wird dessen IP-Adresse gespeichert. Das muss in Zukunft unterbunden werden. IP-Adressen bei WordPress löschen und Speicherung verhindern: 
  • Am Server einloggen
  • In die Datenbank einsteigen
  • Ins WordPress-Verzeichnis gehen
  • wp_comments auswählen
  • Alle Daten in der Spalte comment_author_IP löschen
Speichern verhindern: 
  • wp-content
  • themes
  • functions.php Datei öffnen
  • Code einfügen: function wpb_remove_commentsip( $comment_author_ip ) { return ''; } add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Achtung: wenn ihr den Code nicht in ein Child-Theme kopiert sondern ins originale Theme müsst ihr den Code bei jedem Update des Themes wieder neu eingeben!!

Wer da trotzdem nicht durchblickt dem hilft das PlugIn „Remove IP“.  

Google Analytics

Für Google Analytics braucht ihr eine Möglichkeit dass eure Besucher diese Art von Tracking ablehnen können. Für WordPress-User gibt es da eine relativ einfache Methode: Google Analytics Opt-Out.   und so gehts: 
  • PlugIn installieren
  • Unter  „Einstellungen“ das Plugin konfigurieren
  • Wenn ihr den UA-Code braucht: den findet ihr in Google Analytics unter Verwaltung–> Property-Einstellungen
  • speichern
  • „Editor-Button anzeigen“ anklicken
  • Den Text in den eckigen Klammern könnt ihr ändern wenn ihr wollt.
  • Den Opt-Out-Link in die Datenschutzerklärung kopieren (!!) Beim Punkt „Google Analytics“.
 

HILFREICHE DOWNLOADS (MUSTER):

ACHTUNG: Diese Muster sind eben nur Vorlagen – ihr müsst sie euren Bedürfnissen anpassen, bzw eure eigenen Daten hineinschreiben. Copy&Paste ergibt da keine Rechtssicherheit! Im Zweifel einfach den Juristen eures Vertrauens drüberschauen lassen! [download id=“4521″] [download id=“4524″] [download id=“4527″]   Das war mal ein Teil der korrekten Anwendung der Anwendung der Datenschutzbestimmung. Leider ist das ein wirklich weites Feld – daher wird es auch noch einen dritten Teil geben!   Datenschutzverordnung