Du hast sicherlich schon von der DSGVO gehört, der Datenschutzgrundverordnung. Sie ist zur Zeit in aller Munde und wir wollen dir dringend empfehlen, dich damit zu beschäftigen. Ab 25. Mai 2018 greift diese neue europäische Verordnung. Und es betrifft jeden, der in irgendeiner Form personenbezogen Daten seiner Kunden verarbeitet. Und das ist schon die notierte Telefonnummer, die E-Mail oder der Provider deiner Webseite, der mindestens die IP-Adressen aller Besucher verarbeitet.
Also nicht nur du selber kannst Daten deiner Kunden verarbeiten, sondern auch Dritte in deinem Auftrag. Das sind sog. Auftragsverarbeiter. Mit diesen benötigst du einen Auftragsverarbeitungsvertrag. Sprich du bist jetzt in der Pflicht, mit diesen Anbietern Kontakt aufzunehmen und sie um so einen Auftragsverarbeitungsvertrag zu bitten. Zusätzlich ist es nötig, über all diese Verarbeitungen Verzeichnisse anzulegen. Du musst dokumentieren, wie du welche Daten (und ggf. mit welchem dritten Anbieter) verarbeitest. Ein Verzeichnis für jede Verarbeitung. Also als Beispiel: wie verarbeitest du die Daten aus deinen E-Mails? Wie verarbeitet der Provider die Daten, wie das Plugin auf deiner Webseite, welches ein Kontaktformular bereit stellt usw?
Es ist also sinnvoll, als ersten Schritt eine Liste zu erstellen mit allen Dingen, Tools, Anbietern, die man so nutzt. Das hilft, den Überblick nicht zu verlieren. Dann muss man herausfinden, welche dieser Anbieter nun Daten meiner Kunden verarbeiten und welche das nicht tun. Die kann man dann beruhigt links liegen lassen, um die geht es bei der DSGVO nicht. Alle anderen müssen kontaktiert werden und um den Auftragsverarbeitungsvertrag gebeten werden. Und dann legst du für jede dieser Verarbeitungen ein Verzeichnis an.
In dem Verzeichnis muss z.B. aufgeführt werden, wer die verantwortliche Person ist (nämlich du), was der Zweck der Verarbeitung ist (also z.B. der Kundenkontakt per E-Mail), welche Daten verarbeitet werden, von Kunden, Interessenten, Mitarbeitern, Lieferanten etc. und auch welche Daten genau verarbeitet werden. Nur die IP-Adresse oder doch Namen und Anschrift? Das Geschlecht, sensible Daten oder arbeitsbezogene Daten wie Zeugnisse usw.? Dann geht es darum, wer der Empfänger eurer Daten ist. Also in dem Fall euer E-Mail-Provider. Wie werden dort die Daten verarbeitet, wer hat Zugang zu den Daten und gehen die Daten über Drittstaaten? Wenn ihr das alles nicht wisst, fragt auch hier den Anbieter. All das solltet ihr dokumentieren.
Das ist deswegen so wichtig, weil ein Datenschützer (oder auch ein Kunde von dir) später einmal einen Nachweis von dir verlangen kann, was du wie mit den Daten machst. Das kannst du dann einfach belegen, indem du die Verzeichnisse und Verträge vorweist.
Zugegeben, viel Arbeit (ich stecke selber gerade drin und versuche, alles entsprechend vorzubereiten), aber leider ein notwendiges Übel. Kümmert man sich nicht, drohen Abmahnungen. Leider kann aktuell auch kein Anwalt 100% Sicherheit garantieren, weil es zu dieser neuen Verordnung natürlich noch keine gerichtlichen Entscheidungen gibt. Diese werden erst abgewartet, bevor die Anwälte sich auf irgendwas beziehen.
Auch deine Webseite musst du flott machen, stimmt dein Impressum und vor allem, listet die Datenschutzerklärung alles auf, was du irgendwie nutzt und erklärt sie, wie dann die Daten wo verarbeitet werden? Diese Angaben sind nicht leicht zu formulieren und sollten durch einen Fachanwalt aufgesetzt werden. Die Webseite e-Recht24.de bietet einen Generator für die Datenschutzerklärung, man muss aber wissen, dass dann dort nur bestimmte Dinge aufgenommen werden und vielleicht die Tools, die du nutzt, nicht dabei sind. Und es wird keine Garantie gegeben, ein wichtiger Punkt, sollte es mal wirklich drauf ankommen.
Ich empfehle für all diese Dinge einen Anwalt, der fundierte Antworten geben kann. Bei Facebook gibt es die Gruppe der Anwältin Sabrina Keese-Haufs, die sich ausführlich mit der DSGVO beschäftigt hat. Dort findest du schon sehr viele Antworten, Tipps, hilfreiche Videos und Checklisten, die dir die Arbeite für die DSGVO erleichtern. Schau unbedingt mal vorbei. Eine Checkliste findet ihr z.B. hier zum Download.
Und es geht natürlich weiter mit dem Newsletter, falls du einen schreibst. Das Double-Opt-In-Verfahren kennst du sicherlich und wendest es an. Du musst von Anfang an auf den Widerruf hinweisen, wo und wie der Leser widerrufen kann. Und du darfst das Eintragen in deine Newsletter-Liste am 25. Mai 2018 nicht mehr mit einem Freebie koppeln, wie wir es alle gerne machen. Soweit hier zumindest die Einschätzung der Anwältin zu dem Thema.
Du siehst, sehr umfangreich das ganze, aber leider auch sehr wichtig. Deswegen der Rat von uns, schiebe die DSGVO nicht weg, sie betrifft dich genauso wie uns und leider müssen wir uns damit beschäftigen.