Mittlerweile ist die ganz große Aufregung rund um die DSGVO stark abgeebbt und die Diskussionen sind ruhiger geworden. Nichtsdestotrotz ist es für uns Unternehmer*innen  weiterhin wichtig, sich zumindest in den Grundzügen damit auszukennen.

Falls du noch nichts davon gehört haben solltest: die DSGVO, also die neue Datenschutzgrundverordnung, ist im Mai 2018 in Kraft getreten und regelt – ganz vereinfacht gesagt – den Umgang mit personenbezogenen Daten.

Das betrifft alle Unternehmer, Unternehmen und im Prinzip jeden Menschen, der eine Website besitzt.

Für dich als Selbständige*r oder Gründer*in macht es daher Sinn, sich von Anfang an mit diesem Thema auseinanderzusetzen. Um dir den Einstieg zu erleichtern, habe ich hier eine Übersicht über die wichtigsten Themen erstellt. Das sind zum einen die ersten 4 Schritte für Unternehmer zur Umsetzung der DSGVO, eine Checkliste für eine DSGVO-konforme Website sowie am Schluss noch eine Übersicht über die relavantesten Themen der DSGVO.*

 

​Hol dir den Website-Fahrplan!

Auf 11 Seiten erkläre ich ​dir die wichtigsten Begriffe rund ums Webdesign.

Zusätzlich erläutere ich, welche ​4 Schritte ​du gehen musst, um eine professionelle Website zu ​erstellen.

Trage dich hier in meine Liste ein. Als Dankeschön erhältst du gratis den Website-Fahrplan. Keine Sorge, Spam mag ich genauso wenig wie du. :-) Wenn dir meine Mails nicht gefallen, ​kannst du dich jederzeit abmelden. ​Es gilt die Datenschutzerklärung.

4 erste Schritte für Unternehmen

Schritt1:

Klärung, ob ein Datenschutzbeauftragter bestellt werden muss

Schritt 2:

Verschwiegenheitserklärung mit allen Mitarbeitern aktualisieren bzw. abschließen

Schritt 3:

Ermittlung aller Kunden/Dienstleister, für die im Auftrag personenbezogene Daten verarbeitet werden und zeitnah AV-Verträge abschließen

Schritt 4:

Verzeichnis von Verarbeitungstätigkeiten erstellen

 

Für alle genannten Vorgänge gibt es zum Beispiel hier bei activemind kostenlose Mustervorlagen/-verträge zum Download.

 

(DSGVO – ein Überblick

 

Auftragsdatenverarbeitung:

Häufig werden personenbezogene Daten nicht nur im eigenen Unternehmen gespeichert, sondern auch bei Dienstleistern, wie zum Beispiel dem Provider, bei dem die Website gehostet wird, evtl. bei Google (wegen Analytics) oder bei Mailing-Diensten, über die Newsletter versendet werden, wie zum Beispiel MailChimp. Im ersten Schritt ist es erforderlich zu prüfen, bei wem Daten von Kunden liegen, um im zweiten Schritt mit den entsprechenden Anbietern einen sogenannten Auftragsdatenverarbeitungs-Vertrag (AV-Vertrag) abzuschließen.

Cookies

Der Umgang mit Cookies wird in der E-Privacy-Verordnung geregelt. Das bespreche ich an anderer Stelle.

Datenschutzbeauftragter:

Es gibt verschiedene Kriterien, nach denen beurteilt wird, ob man als Unternehmen einen Datenschutzbeauftragten benötigt oder nicht. Bei mindestens 10 Mitarbeitern braucht man ihn auf jeden Fall. Falls dazu Unsicherheit besteht, helfen Fragenkataloge (z.B. auch in dem Heft „Erste Hilfe zur Datenschutzgrundverordnung“ enthalten).

Datenschutzerklärung:

Nahezu alle Datenschutzerklärungen auf Webseiten müssen mit Geltung der DSGVO neu erstellt oder überarbeitet werden. Dabei müssen unter anderem die Verwendung von Kontaktformularen, Registrierungen, Social Icons usw. thematisiert werden.

Kopplungsverbot:

Man darf nur solche Daten abfragen, die zum Abschluss des Geschäftes/der Dienstleistung notwendig sind. Beispiel: man dürfte beim Verkauf von Lippenstiften nicht das Gewicht, das Geschlecht die Größe oder das Alter des Kunden als Pflichtangabe abfragen…

Newsletter:

Bisher regelten das Bundesdatenschutzgesetz (BDSG) und das Gesetz gegen den unlauteren Wettbewerb (UWG) die werbliche Nutzung von persönlichen Daten, die DSGVO löst diese nun ab.

Grundsätzlich gilt nach der DSGVO (weiterhin): Du darfst keinerlei (werbliche) E-Mails versenden, sofern du nicht vorher die ausdrückliche Einwilligung dafür erhalten hast. Dies gilt unabhängig davon, ob es sich beim Empfänger um ein Unternehmen oder eine Privatperson handelt. Für Kunden, deren E-Mail Adresse im Zusammenhang mit einem Geschäftsabschluss erhoben wurde (Bestandskunden), gibt es ein Ausnahmeregelung, die allerdings mehrere, genau definierte Voraussetzungen erfüllen muss (s. §7 UWG). Falls dich das betrifft, setze dich am Besten mit einem Anwalt zusammen, der kann konkret auf deinen Fall eingehen.

Mündlich erteilte Einwilligungen von Kunden lassen sich im Ernstfall kaum nachweisen. Daher sollten Einwilligungen stets schriftlich oder elektronisch eingeholt werden.

Für das Sammeln von E-Mail Adressen und die damit verbundene Einwilligung ist das Double opt-in das einzige Verfahren, das auch mit der DGSVO rechtssicher ist.

 

Share Buttons:

Social Plugins müssen rechtssicher eingebunden werden und die Datenschutzerklärung muss daraufhin angepasst werden. Dazu gibt es wenige Plugins/Erweiterungen, die das ermöglichen. Alte Sharing-Quellcodes oder Erweiterungen müssen entfernt werden.

Verbot mit Erlaubnisvorbehalt:

Das bedeutet, dass niemand mit personenbezogenen Daten von anderen umgehen darf, wenn er nicht eine ausdrückliche Einwilligung dafür hat oder sich auf eine Rechtsgrundlage berufen kann. Eine Einwilligung ist zum Beispiel ein Opt-In-Formular der Eintragung in Newsletter. Daten, die zur Erfüllung eines Vertrages notwendig sind, dürfen verarbeitet werden.

Verschwiegenheitsklausel:

Von allen Mitarbeitern, Freelancern, virtuellen Assistenten etc. benötigt man eine Verschwiegenheitsklausel.

Verzeichnis von Verarbeitungstätigkeiten:

Jedes Unternehmen, welches regelmäßig personenbezogene Daten verarbeitet, muss dokumentieren, in welcher Form und in welchem Zusammenhang mit diesen Daten gearbeitet wird. Dafür muss ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten erstellt werden. Das Verzeichnis dient der eigenen Qualitätskontrolle und muss keinem Kunden vorgezeigt werden. Darüberhinaus muss es jederzeit der Aufsichtsbehörde vorgelegt werden können. Das Verzeichnis muss stets aktuell sein. Um die Aktualtität nachweisen zu können, wird empfohlen, die unterschiedlichen Versionen der Verzeichnisse mindestens für den Zeitraum von einem Jahr aufzuheben.

Eine kostenlose Vorlage gibt es zum Beispiel bei activeMind oder in dem Heft: „Erste Hilfe zur Datenschutzgrundverordnung für Unternehmen und Vereine“, (herausgegeben vom Bayrischen Landesamt für Datenschutzaufsicht, erschienen im C.H. Beck Verlag), erhältlich direkt beim Verlag oder bei Amazon.

 

Buch- und Link-Tipps:
https://www.e-recht24.de/datenschutzgrundverordnung.html

Das oben genannte Heft „Erste Hilfe zur Datenschutz-Grundverordnung“ für einen Überblick, inkl. Checklisten und Vorlagen.

 

Ein Rechtsanwalt sagte letztens zu dem Thema:

„Eine 100%ige Sicherheit gibt es nicht. Nicht in diesem Bereich, noch in sonst einem. Man kann nur versuchen, „die Löcher klein zu halten“.“

 

Also tun wir dies.

 

* Haftungshinweis:

Diese Übersicht wurde von mir mit größter Sorgfalt erstellt. Sie dient als erster Überblick von Handlungsbedarf, der sich aus der Datenschutzgrundverordnung (DSGVO) ergibt. Bitte beachte, dass diese Informationen keine rechtsverbindliche Auskunft darstellen. Daher übernehme ich keine Haftung auf Richtigkeit und Vollständigkeit. Insbesondere weise ich darauf hin, dass jeder Fall gesondert zu prüfen ist und dieser Beitrag natürlich keine individuelle Rechtsberatung ersetzt. 🙂

Checkliste für eine DSGVO-konforme Website