Muster einer DSGVO-Dokumentation
Dieser Artikel dient allein der Information zum Thema DSGVO.
Er ist nach bestem Wissen recherchiert, aber eine Gewähr für die Richtigkeit der getroffenen Aussagen übernehmen wir nicht. Insbesondere stellt dieser Artikel keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.
DSGVO ist sicherlich eines der derzeit häufig genannten Schlagworte. Am 25. Mai 2018 tritt nach gut zwei Jahren Vorbereitung die neue Datenschutz-Verordnung europaweit in Kraft und regelt künftig für alle einen gewissen Mindeststandard im Umgang mit personenbezogenen Daten (pbD). Dabei ist es völlig uerheblich, ob die Daten privat oder geschäftlich, von einem kleinen Buchblogger oder einem großen Medienkonzern erhoben werden.
Mit diesem Beitrag ergänzen wir den Artikel zur Umsetzung der DSGVO für Blogger: Die Angst hat einen Namen.
Erhebliche Verwirrung ist um Art. 30 der DSGVO entstanden, die regelt, wer zur Dokumentation in Form eines sogenannten Verfahrensverzeichnisses verpflichtet ist. Nachdem wir nicht auszuschließen können, dass man ein solches Verzeichnis auch als Blogger führen muss, empfehlen wir eine vereinfachte Dokumentation. Nachdem ohnehin eine Verwaltung der Drittanbieter (Provider, Google Analytics, Plugins etc.) erforderlich ist, kann man das auch kombinieren.
Wir würden die DSGVO-Dokumentation in 3 Teile gliedern:
- Hauptteil
- Das eigentliche Verzeichnis
- Technische und organisatorische Maßnahmen (TOM)
Der Hauptteil der DSGVO-Dokumenation
Der Hauptteil enthält die eigentlich unveränderlichen Informationen über euren Blog bzw. eure Webseite und gibt im Prinzip die Dinge wieder, die ihr ohnehin regeln müsst:
- ladungsfähige Anschrift der verantwortlichen Personen
(Name, Adresse, E-Mail, Funktion) - Datensicherheit (Geräte und Backup)
- Datenlöschungskonzept, welches für alle Verfahren gilt
- Vorgehen bei Übermittlungen in Drittstaaten (z.B. SSL-Verschlüsselung, Anonymisierung)
Das Verfahrensverzeichnis der DSGVO-Dokumentation:
Hier gehört nun hinein, was ihr auf oder mit eurer Webseite anstellt. Das geht am Besten in Form einer Tabelle. Bitte lest in unserem Artikel zu den DSGVO-Definitionen nach, welche Begriffe vom Gesetzgeber wie gemeint sind (z.B in Bezug auf die Rechtgrundlagen).
- Bezeichnung des Verfahrens (der Tätigkeit)
- Newsletter
- Blogroll
- Kontaktformular
- Kommentarfunktion
- Name der eingesetzten Tools oder Dienstleistungen (z.B. Apps und Plugins)
- Datum des Beginns der Nutzung des Verfahrens
- Datum der letzten Überprüfung des Verfahrens
- Zwecke der Verarbeitungstätigkeit (Wozu braucht ihr die Daten?)
- Art der erhobenen Daten (IP-Adresse, E-Mail-Adresse, Name, Anschrift …)
- Empfänger (z.B. Provider) und Rechtsgrundlage (Datenverarbeitungsvertrag, ggf. Zertifikat bei Unternehmen außerhalb der EU)
- Zulässigkeit der Datenverarbeitung (Rechtsgrundlage – Einwilligung, gesetzliche Pflicht, berechtigtes Interesse)
Dieser Teil der Dokumenation ist in besonderem Maße akutell zu halten. Änderungen hier führen fast immer auch zu Anpassungsbedarf der Datenschutzerklärung!
TOM – Die technischen und organisatorischen Maßnahmen
Hier solltet ihr schließlich eure Technik auflisten und unter sodann Datensicherheitsaspekten bewerten.
- Vertraulichkeit
Hier geht es um alles, was mit Zutritt und Zugang zu tun hat, wie gewährleistet ihr, dass nur Berechtigte Zugang zu den Daten haben? - Verschlüsselung
Hier geht es um den Schutz der Daten vor unberechtigten Zugang z.B. durch Passwörter auf Archiven.
Ihr verschlüsselt eure Daten? Wie? - Anonymisierung und Pseudonymisierung
Datensätze müssen nicht zwingend personenbezogen gespeichert oder übermittelt werden. Oft genügt es zu wissen, dass „ein“ User etwas angeklickt hat und eben nicht „dieser“ User. Nutzt ihr diese Möglichkeit, zB bei Google Analytics? - Integrität
Wie gewährleistet ihr, dass Daten auch zuverlässig gelöscht werden können? - Datensicherheit
Habt ihr euch Gedanken darüber gemacht, was ihr bei einem Systemabsturz macht? Wie sieht es mit Backups aus? - Kontrolle
Checkt ihr auch, ob eure Systeme funktionieren? Wie oft und womit?
Kontrolliert ihr eure Service-Drittanbieter regelmäßig (z.B. jährlich)?
Wir hoffen, das ihr mit dieser Checkliste einigermaßen zurecht kommt und euch nicht allzusehr fürchtet. Wenn die Dokumentation einmal erstellt ist, wird im weiteren die Bearbeitung deutlich einfacher und gar nicht mehr so schlimm.