DSGVO-Definitionen

Dieser Artikel dient allein der Information zum Thema DSGVO.
Er ist nach bestem Wissen recherchiert, aber eine Gewähr für die Richtigkeit der getroffenen Aussagen übernehmen wir nicht. Insbesondere stellt dieser Artikel keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.

 

DSGVO ist sicherlich eines der derzeit häufig genannten Schlagworte. Am 25. Mai 2018 tritt nach gut zwei Jahren Vorbereitung die neue Datenschutz-Verordnung europaweit in Kraft und regelt künftig für alle einen gewissen Mindeststandard im Umgang mit personenbezogenen Daten (pbD). Dabei ist es völlig unerheblich, ob die Daten privat oder geschäftlich, von einem kleinen Buchblogger oder einem großen Medienkonzern erhoben werden.

Das Juradeutsch oder Bürokratisch, mit dem die DSGVO daherkommt, erschwert vielen den ohnehin schon nicht ganz einfachen Zugang zum Thema. Wir haben daher die wichtigsten DSGVO-Definitonen hier einmal zusammengestellt.

Den richtigen Umgang mit der DSGVO selbst haben wir in einem anderen Artikel (Die Angst hat einen Namen) behandelt, den dieser Beitrag nur ergänzen will.

Immer geht es beim Datenschutz um

Personenbezogene Daten

So dreht und wendet sich auch in den DSGVO-Definitionen alles um die Frage, welche personenbezogenen Daten verarbeitet werden.

Personenbezogene Daten sind, um Art. 4 der DSGVO verkürzt wiederzugeben, Daten die eine natürliche Person identifizierbar machen.
Also Name, Adresse, Email, IP-Adressen, Geburtstag, Telefonnummer, Bankdaten etc., aber eben auch vermeintlich banale Dinge wie Lesevorlieben, Urlaubsziele, etc.

Das eigentliche Problem, und hier ist die EU unserer Meinung nach zu weit gegangen, ist die IP-Adresse, die gleichfalls zu den personenbezogenen Daten zählen soll. Die IP-Adresse ist unsere individuelle Anschlussstelle ans Internet.

Damit fällt allein das Bereitstellen einer Webseite in den Geltungsbereich der DSGVO!

Völlig egal, was ihr im Web treibt, ob ihr eine Seite öffnet, E-Mails versendet, etwas herunterladet – für alles benötigt man die IP-Adresse, damit der Sender seine Daten zum Empfänger bringen kann. Die meisten erhalten von ihren Provider eine IP-Adresse, die auch nur dieser Provider einer bestimmten Person oder einer konkreten Netzaktion zuordnen kann. Auch bei Firmennetzwerken kann man nur die Firma, ohne deren Zutun aber nicht den einzelnen User herausfinden.

Erlaubnisvorbehalt / Verarbeitungsberechtigung

Grundsätzlich ist weiterhin die Datenverarbeitung immer dann verboten, wenn sie nicht (ausnahmsweise) erlaubt ist. Das heißt, jegliche Verarbeitung persönlicher Daten muss entweder vom Gesetz oder durch den Betroffenen persönlich erlaubt sein (es muss ein entsprechender Auftrag vorliegen). Das ist nicht neu und das Prinzip heißt auch weiterhin „Auftragsdatenverarbeitung“.

Letztendlich gibt es drei Arten von Berechtigung zur Datenverarbeitung:

Einwilligung

Die Einwilligung von Besuchern eurer Seite in die Verarbeitung ihrer personenbezogenen Daten muss unmissverständlich, ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgen. Die Blogger müssen neuerdings nachweisen können, dass die Einwilligung erfolgt ist.

Wenn sich jemand wo einträgt und mittels Double-opt-In bestätigt, liegt eine Einwilligung vor. Das muss jetzt nachweisbar sein.

Zudem besagt das neu eingeführte Kopplungsverbot (Art. 7 Abs. 4 DSGVO), dass Webseiten-Betreiber ihre Besucher nicht zur Abgabe von Daten oder der Einwilligung zur Datenspeicherung verpflichten darf, die für die eigentliche Leistung nicht notwendig sind. Anders als bisher dürfen also bestimmte Leistungen nicht mehr von der Anmeldung für einen Online-Newsletter abhängig gemacht werden.

Dabei kann die Einwilligung immer auch entzogen werden. Dann müssen die Daten gelöscht werden, wenn nicht zum Beispiel steuerliche Pflichten eine Aufbewahrung erforderlich machen (dann aber nur zu diesem und keinem anderen Zweck und nicht länger als hierfür zwingend erforderlich). Um das Recht auf Löschung ordentlich umzusetzen, ist ein rechtskonformes Impressum unerlässlich.

Vertrag oder vorvertragliche Anbahnung

Wenn der Erstkontakt vom Kunden ausgeht, ist man natürlich sicher. Wer über ein E-Mail oder eine Kontaktformular-Anfrage angesprochen wird, kann vorab keine Einwilligung verlangen. Aber der Kunde kann eine Löschung verlangen. Auch hier gilt, dass die Daten bis zur Beendigung des Vertragsverhältnisses und Ablauf der Aufbewahrungsfristen weiter genutzt werden dürfen. Das gilt im Prinzip nicht nur in Shops, sondern auch für Gewinnspiele. Wer die Daten des Siegers aber an den Sponsor des Preises weitergibt (und sei es nur zum Versand), sollte aber darauf hinweisen und sich die Einwilligung holen.

Interessenabwägung

Bei Cookies oder bei Weitergabe von Daten an Dritte wird oft diese gesetzliche „Lücke“ genutzt, indem man sich auf „berechtigte Interessen“ beruft. Das berechtigte Interesse umfasst übrigens jedes legitime rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse.

Wann ein solches berechtigtes Interesse vorliegt, muss ein Webseitenbetreiber für jeden Zweck, zu dem Daten verarbeitet werden, genau bestimmen und diese Abwägung auch in die Datenschutzerklärung aufnehmen.

Im Netz finden sich da viele Formulierungsvorschläge, die pauschal wirtschaftliche Interessen oder den Wunsch nach Einheitlichkeit (für die Verwendung von Google Fonts) für berechtigt erklären. Hier muss man abwarten, welche Leitlinien die Rechtsprechung entwickeln wird.

Datensparsamkeit

Es wird mehr Wert als bisher auf Datensparsamkeit gelegt. Es ist grundsätzlich nicht erlaubt, Daten auf Vorrat zu erheben. Sie müssen immer einem konkreten Zweck dienen, der von vorherein feststehen und klar kommuniziert sein muss. Falls ein Seitenbesucher wissen will, wie seine Daten gespeichert werden, müsst ihr dazu Auskunft geben können und diese Daten ggf. auch löschen.

Verarbeitungstätigkeiten

Nachdem wir jetzt also wissen, wer bei der DSGVO geschützt werden soll, sehen wir uns an, wovor genau:

Datenverarbeitung ist im Prinzip jeglicher Umgang mit Daten, also das Abfragen, sammeln, speichern, sortieren, auswerten und interpretieren, benutzen, weitergeben, verändern, löschen …

Die große Frage ist also: Was macht ihr mit den Daten, die ihr auf eurer Seite „sammelt“? Da interessiert sich die DSGVO für

  • Herkunft der Daten?
    über ein Kontaktformular auf der Website oder werden sie per Messenger, Facebook oder auch über das Telefon oder als Email übersandt oder bekommt ihr sie über ein Tool, das die Zugriffe auf eure Seite automatisch registriert?
  • Was geschieht mit den Daten
    Auftrag generieren in einem Tool, Rechnung schreiben (z.B. bei Bestellungen von Büchern, Buchpaketen oder einem kleinen Shop), Newsletter versenden?
  • Wie macht ihr das?
    Werden die Daten händisch übernommen oder kommt ein Tool zum Einsatz, entstehen dabei ggf. weitere Zugriffsrechte Dritter (bei ausgelagerten Apps auf einem fremden Server nicht ungewöhnlich)?
  • Was passiert mit den Daten, wenn sie nicht mehr gebraucht werden?
    Wann und wie werden die Daten gelöscht, wenn sie nicht mehr gebraucht werden? Löschst du selbstständig oder nur auf Verlangen?

Technisch organisatorische Maßnahmen

Die Datenverarbeitung erfolgt in der Regel mittels sogenannter technisch organisatorischer Maßnahmen. In Art. 24 der DSGVO verbirgt sich die Frage, wie konkret ihr die Daten verarbeitet. Gemeint sind vor allem Online-Tools (auch Cookies, Apps und Plugins), die ihr euch gezogen habt, um die Arbeit etwas angenehmer und einfacher zu gestalten.

Auch hier ist es zwar im Augenblick lästig, aber auf lange Sicht durchaus nützlich, wenn man sich selbst mal einen Überblick verschafft, was man eigentlich alles an datenverarbeitenden Tools auf seinen Geräten herumschleppt. Uns z.B. hat sich nicht erschlossen, warum eine Taschenlampen-App Zugriff auf die Kontakte braucht.

Systemsicherheit

Dahinter verbirgt sich die Beurteilung, wie sicher euer System, im Prinzip eure Hardware ist. Das wirft die ganz triviale Frage auf, wo ihr die Daten bearbeitet. In der U-Bahn am Handy, mehr oder minder offen einsehbar am Laptop im Café oder mit passwortgeschütztem Zugriff auf eurem Rechner zu Hause.

Wie stellt ihr sicher, das physisch Unberechtigte und Neugierige eure Arbeit und vor allem die dazu erforderlichen Daten nicht sehen?

  • Wer benutzt euren PC?
  • Hat er mehrere Benutzerkonten?
  • Ist der Passwortschutz regelkonform?
    „Passwort“, „12345Qwertz“ sind weitverbreitet, aber keine guten Passwörter. Ebenso wenig der Name von Kind, Ehepartner oder Haustier, die auch durch die Social Media geistern.
    Wie oft wechselt ihr das Passwort, verwendet es ihr mehrfach und an verschiedenen Stellen/Log-ins?
  • Habt ihr eine Firewall und einen aktuellen Virenscanner?

Das sind Fragen, die nicht nur die DSGVO und damit fremde Daten, sondern eben auch eure eigene Sicherheit betreffen. Darüber nachzudenken, lohnt sich also doppelt. Das sollte einmal aus Sicherheitsgründen ordentlich dokumentiert werden.

Datenverfügbarkeit

Wie schaut es mit eurer Backup-Strategie aus? Backup? Ja, das ist das, dessen Wert man exakt 5 Sekunden, nach dem man es gebraucht hätte, erkennt. 😊 Da ihr bei der Verarbeitung personenbezogener Daten aber nicht nur in eigener, sondern auch fremder Sache verantwortlich seid, sind nun entsprechende Sicherheitsvorkehrungen Pflicht.

  • Wie kommt ihr bei einem physischen Zwischenfall (Feuer, Hochwasser, CPU kaputt) an die Daten ran
  • Und wer sonst noch?
  • Was passiert bei einer technischen Panne (Hacker?).
  • Die Backup-Strategie sollte getestet werden und der Test dokumentiert.

Auftragsverarbeiter

Die wenigstens von Euch haben ihren Blog auf einem eigenen Server und verarbeiten ihre Newsletter, Kontaktformulare mit eigenen Programmen. Mit all diesen Helfern, die für und mit euch Daten verwalten (juradeutsch: Auftragsverarbeiter) müsst ihr regeln, dass sie in eurem Sinne arbeiten.

Dazu muss ein Auftragsverarbeitungsvertrag geschlossen werden. Das ist wichtig! Denn das Fehlen eines solchen Vertrages wird künftig teuer.

 

Rechenschaftspflicht

Neu ist, dass die Art und Weise der Erfassung von personenbezogenen Daten nunmehr fortlaufend überprüft und dokumentiert werden muss (Rechenschaftspflicht).

Durch den neuen Grundsatz der Rechenschaftspflicht sind Seitenbetreiber dazu verpflichtet, eine entsprechende Dokumentation anzufertigen, die Aufschluss über den Umgang mit persönlichen Daten gibt. Erfasst werden müssen

  • Aufzeichnungen über erfasste personenbezogenen Daten,
  • die Art und Weise der Erfassung,
  • die Verarbeitung und den Austausch sowie
  • die angewandten Prozesse zur Sicherstellung von Datenschutzgrundsätzen

Diese Dokumentation ist aufzubewahren, den künftig wird ihr Fehlen unter Strafe gestellt. Wir haben euch eine Mustergliederung für diese DSGVO-Dokumentaton gebastelt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.