DSGVO3

DSGVO – verständlich erklärt Teil 3

/ Allgemein / Von

So, jetzt ist er also da, der Tag X. Der Tag an dem die DSGVO komplett umgesetzt sein sollte.

In den letzten Tagen überschlagen sich auf allen Social-Media-Kanälen die Posts zu diesem Thema. Was ich da rauslese:  viele sind (sehr) verunsichert. Was gilt jetzt für wen? Was ist mit diesem oder jenem Tool? Darf man das noch verwenden, wieviel Info muss ich auf meiner Seite bereitstellen?

Was ich auch sehe : es wird auch vieles kommuniziert, was so nicht korrekt ist oder nicht für alle gilt. Auch ich bin kein Rechtsanwalt oder Jurist und habe auch nicht die Gesetze geschrieben.

Ich erteile daher hier auch keine Rechtsauskunft. Aber ich habe mich (wohl oder übel) sehr mit der Materie beschäftigt und diverse offizielle Seiten wie die der WKO genau studiert. Und natürlich alles genau nach bestem Wissen und Gewissen umgesetzt.

Einverständniserklärung:

Weil es immer noch dazu Unsicherheit gibt:

Für alle Daten, die du für einen Auftrag, eine Vertragserfüllung brauchst  ist KEINE Einverständniserklärung notwendig! Das steht auch so in der Einverständniserklärung, die du jetzt auf deiner Website haben solltest.

Du brauchst die Einverständniskerklärung wenn: 

  • Du deinen Kunden Info- oder Werbemails elektronisch oder per Post schicken möchtest
  • Du deinen Kunden Newsletter schickst.
  • Du E-Mail-Adressen von Kunden über Facebook hochladen willst um zu überprüfen, ob diese einen Facebook-Account haben
  • Du Daten eines Kunden speicherst, der nur angefragt hat, es aber zu keinem Vertrag/Auftrag gekommen ist
  • Wenn die „Kunden“ noch keine Kunden sind, sondern erst Interessenten sind und du ihnen Werbung schicken möchtest

Prinzipiell kann die Einverständniserklärung auch mündlich erfolgen, zur Sicherheit würde ich aber die schriftliche Version empfehlen.

Wenn Du schon eine Einverständniserklärung z.B. deiner Newsletter-Abonnenten hast brauchst du jetzt KEINE mehr. Du hast ja schon eine.

ADV-Vertrag

Der Auftragsdatenverarbeitungs-Vertrag. Den solltest du jetzt auch haben. Du brauchst ihn wenn du eine Website hast die du bei einem Anbieter hostest. Dann musst du mit dem Anbieter diesen Vertrag abschliessen. Bei einigen Anbietern kann man den Vertrag elektronisch signieren und dann ausdrucken. Dieser Ausdruck muss gut aufgehoben werden und bei einer Kontrolle vorgelegt werden. Oder du druckst ihn aus, unterschreibst und schickst ihn an den Anbieter per Mail oder per Post.

Auftragsverarbeiter sind: 

  • Alle Anbieter von Serverspace (wo man seine Website hosten kann)
  • Alle Anbieter von Newsletter-Service (MailChimp, Newsletter2Go, …)
  • Alle Cloud-Dienste

Du darfst nur solche Auftragsverarbeiter wählen, die auch eine datenschutzkonforme Verarbeitung gewährleisten.

Der DSGVO-konforme Webshop

Neben den schon selbstverständlichen AGB und dem Impressum brauchst du jetzt auch eine Seite für die Datenschutzerklärung. Die muss im Hauptmenü sein, damit sie der potentielle Kunde sie sofort öffnen kann. Das gilt nicht nur für Shops sondern für ALLE Websites.

Da es sich bei einem Shop um eine Auftrags/Vertragserfüllung handelt, brauchst du beim Bestellformular KEINE Einverständniserklärung zur Datenverarbeitung. Du darfst dabei aber nicht mehr Daten abfragen als unbedingt nötig sind!

Es besteht das Kopplungsverbot: soll heissen, du darfst die Vertragserfüllung nicht von der Einverständniserklärung abhängig machen. Die Website/der Webshop muss auch ohne Datenerhebung funktionsfähig sein.

Und natürlich muss dein Shop SSL-verschlüsselt sein!

 

Social Media auf Website und Blog

Vorsicht bei den gängigen Buttons für Facebook und Co! Warum? Weil die bei Anklicken sofort alle möglichen Daten an Facebook, Twitter und dergleichen weiterleiten – wo sie dann ausgewertet werden.

Wenn du sie trotzdem verwendest – was ja erlaubt ist – musst du das ausführlichst in der Datenschutzerklärung dokumentieren. War prinzipiell immer schon notwendig.

Tipp für WordPress-User: verwende das Plugin „Shariff Wrapper“. Das sind „neutrale“ Buttons, die nur auf deine Social-Media-Seite weiterleiten aber keinerlei Daten speichern.

Geschäfte über Facebook, etc abzuwickeln ist sowieso keine gute Idee. Der beliebte Messenger ist dafür denkbar ungeeignet: erstens sind da Daten nicht geschützt und zweitens kann man den Chatverlauf schwer dokumentieren bzw speichern. Schicke KEINE sensiblen Daten oder Angebote, Rechnungen mit dem Messenger! Erstkontakt ist ok, alles Weitere sollte ausschliesslich per Mail abgewickelt werden! 

Die Dropbox

Da solltest du zuerst prüfen, ob Dropbox zuverlässig ist. Dropbox hat eine genaue Stellungnahme zu Sicherheit und Datenschutz abgegeben: https://www.dropbox.com/business/trust   und  https://www.dropbox.com/de/help/security/general-data-protection-regulation 

Und hier kannst du nochmal checken, ob du auch alles erledigt hast:

Datenschutzerklärung vollständig und ausführlich angelegt

Einverständniserklärung für Kunden bereitgestellt (am Besten gleich bei der Datenschutzerklärung)

Alle Seiten / Shop SSL-verschlüsselt

Cookie-Hinweis deutlich platziert und mit Opt-In

Datenschutzerklärung im Hauptmenü angelegt

ADV unterzeichnet und abgeheftet

Verarbeitungsverzeichnis komplett ausgefüllt und abgeheftet

Alle Daten gesichert und geschützt (Passwort!)

Anti-Vir-Programme installiert und upgedatet

Auf deiner geschäftlichen FB-Page die Datenschutzerklärung als Link gepostet

PS: falls ich etwas vergessen habe werde ich es natürlich ergänzen!

 

Verwandte Beiträge

Nach oben scrollen