Inhaltsverzeichnis
von Giovanna Franken
Prüfungen von Websites der wichtigsten EU-Organe und -Einrichtungen ergab, dass sieben von zehn der geprüften Websites Datenschutz- und Datensicherheitsprobleme haben. Diese Sicherheitslücke bereitet uns Bauchschmerzen, da wir wissen, dass es die Webseiten unserer Kunden ebenfalls betrifft. Daher haben wir einen FAQ-Katalog mit den passenden Antworten zusammengestellt, um die Sorgen mit der „DSGVO“ aus der Welt zu schaffen.
Was ist die DSGVO und wie ist die rechtliche Verankerung?
Die „DSGVO“, die Datenschutz-Grundverordnung ist eine Regelung der Europäischen Union zur Verarbeitung personenbezogener Daten und existiert seit dem 25. Mai 2018. Damit soll nicht nur die Sicherheit der Daten gewährleistet werden, sondern auch der freie Datenverkehr innerhalb der EU.
Was ist das Prinzip der Zweckgebundenheit?
Das Prinzip der Zweckgebundenheit beantwortet die Frage, welche Daten Ihrer Kunden gespeichert werden dürfen. In der Regel erheben Sie erst dann Daten, beispielsweise über ein Online-Formular, wenn Sie einen bestimmten Anlass dazu haben. Dieser kann z. B. durch einen Auftrag entstehen oder wenn sie ein Versandgeschäft betreiben und dafür die Anschrift benötigen oder auch wenn Sie Newsletter-Marketing betreiben möchten. Im Rahmen eines solchen Zweckes entsteht eine Abhängigkeit, wann und welche Kundendaten Sie sammeln und bewahren dürfen.
Hier gilt je konkreter, desto besser!
Was ist Datenspeicherung?
Innerhalb eines Unternehmens und dessen Geschäften umfasst der Begriff der Datenspeicherung das Erfassen, Aufnehmen und Aufbewahren personenbezogener Daten. Personenbezogene Daten wiederum sind diejenigen Informationen, die identifizierbare oder identifizierte natürliche Personen beschreiben. Identifizierbar bedeutet, dass der Betroffene durch bestimmte Merkmale wie etwa einer Kennung, eines Namens oder eines Standortes zugeordnet werden kann. Die Speicherung kann über einen physischen oder digitalen Datenträger vorgenommen werden und dient dem Zweck der Weiterverarbeitung für im Vorhinein klar definierte Aufgaben (Zweckgebundenheit). In der informationellen Selbstbestimmung liegt der Grund, warum z. B. Wohnort, Telefonnummer oder eine Kundennummer durch die DSGVO geschützt werden müssen.
Was ist die in der DSGVO verankerte Nachweispflicht?
Diese Pflicht besagt, dass Sie die Einhaltung der Datenschutzgrundsätze nachweisen können müssen. Konkret bedeutet dies im Zweifelsfall rechtskräftig die Rechtmäßigkeit der Datenverarbeitung erklären zu können. In Artikel 5 Absatz 2 der DSGVO ist diese sog. „Rechenschaftspflicht“ festgehalten.
Neben der allgemeingeltenden Nachweispflicht enthält die Verordnung aber auch noch mehrere eigenständige Dokumentationspflichten, deren nicht Einhaltung ebenfalls zu teuren Strafen führt. Eine Berühmt-Gefürchtete ist die Dokumentationspflicht zur Führung von Verarbeitungsverzeichnissen nach Artikel 30. Da dabei wiederum große Datenmengen gespeichert werden müssen, um nachvollziehen zu können, wer wann welche Verträge und deren Verzeichnisse an welchem Ort abgelegt hat, ist eine präzise und lückenlose Daten(schutz)organisation enorm wichtig.
Bedenken Sie, dass auch Datenschutzpannen nicht nur durch einen Meldeprozess aufgedeckt, sondern ebenfalls dokumentiert werden müssen.
Auch dabei stehen wir Ihnen jederzeit mit Rat und Tat zur Verfügung!
Wie lange dürfen Kundendaten gespeichert werden?
Achtung bei falscher Datenspeicherung, denn es kann zu Bußgeldern und Schadensersatzansprüchen kommen. Hier sollten Sie auf jeden Fall auf eine ordentliche Struktur und abteilungsübergreifende Einsicht- und Zugangsmöglichkeit achten. Ein passendes CRM-System kann Ihrem Unternehmen dabei helfen, eine unverzichtbare Übersicht zu erlangen. Sie ordnen Ihre Kontaktinformationen und arbeiten immer zu 100 % Datenschutz-konform. Bei der Auswahl, Installation sowie Integration stehen wir Ihnen selbstverständlich zur Seite!
Was tun, wenn der Aufbewahrungszweck nicht mehr gültig ist?
Löschpflicht nach Ablauf des Aufbewahrungszweckes, in DSGVO Artikel 12 Absatz 3 besagt einen Monat als möglichen zeitlichen Rahmen. Auch über die Datenlöschung, die Sie auch in einem Konzept festhalten und nach diesem durchführen sollten, müssen die Betroffenen informiert werden.
Datenschutz im Kontaktformular?
Alle Webseitenbetreiber sind dazu verpflichtet, für Erhebung von Daten, die selbstverständlich auch ein online Kontaktformular betrifft, die Privatsphäre der KundInnen zu schützen. Insbesondere das Kontaktformular ist der Bereich Ihrer Website, der Informationen sammelt, mit denen Personen eindeutig identifiziert werden können - leider auch von Unbestimmten.
Die DSGVO-Konformität muss nicht nur IMMER in Ihrem Kontaktformular enthalten sein, sondern auch richtig platziert, also im direkten Zusammenhang mit dem Formular stehen. Für Datenschutzhinweise gibt es zahlreiche Muster, die allerdings immer auf Ihr Unternehmen und den Verwendungszweck angepasst werden.
Grundsätzlich könne Sie sich daran orientieren, so wenig persönliche Informationen zu erheben wie nötig und dies setzt sich aus dem Zweck der Datenerhebung zusammen. Wenn Sie beispielsweise eine bloße Abfrage durchführen, brauchen Sie nicht zwingend die Telefonnummer Ihres Kunden. Wenn Sie diese dennoch erfragen, sollten Sie die Freiwilligkeit dieser Angabe aber unbedingt markieren.
Nicht die Checkbox vergessen! Wichtig ist es, dass Ihre Webseiten Besucher den Datenschutzbestimmungen auch zustimmen, denn der bloße Hinweis auf die DSGVO reicht hier nicht aus. Daher dürfen Sie die Einwilligungsbestätigung und die dazugehörige Widerrufsbelehrung sowie die Information über die Datenlöschung nicht auslassen.
Wir als IT-Experten legen Ihnen zudem ans Herz, die erhöhte Sicherheit durch eine SSL-Verschlüsselung zu nutzen. „https“ ist zwar noch keine Pflicht, aber eine gängige Methode, die Privatsphäre Ihrer User und sich vor hohen Bußgeldern zu schützen.
Welche Webseitenbereiche müssen noch DSGVO-konform sein?
- Alle geladenen Dienste und Dateien
- Erzeugte Cookies
- Verlinkungen
- Die Datenschutzerklärung selbst
- Impressum
- Kontaktformular
- E-Mail Sign-ups für Newsletter
Was geschieht überhaupt mit abgegriffenen Daten?
Das häufigste Problem mit nicht ausreichend geschützten Daten entsteht beim Tracking über unverschlüsselte Webformulare. Dritte können dann ohne Zustimmung Zugriff auf personenbezogene Daten erhalten, die häufig für Behavioral Targeting verwendet werden. Hoch sensible persönliche Daten werden dann genutzt, um ein Profil zu erstellen und Werbemaßnahmen stärker auf die Interessen des Kunden anzupassen. Dies geschieht auf der Grundlage der personenspezifischen Merkmale und der Zuordnung zu bestimmten Kundengruppen.
Was können Sie selbst tun, um Ihre Seiten zu prüfen?
Es gibt spezielle Tools, die Sie in Eigenregie nutzen können, um Ihre Seiten auf die DSGVO-Konformität (GDPR-Compliance) zu prüfen. Eines ist das Tool „ImmuniWeb“ und ist speziell auf kleine und mittelständische Unternehmen ausgerichtet. Es überprüft die in den Artikeln 5, 6, 7, 25, 32 und 35 DSGVO genannten Anforderungen für Websites und Webanwendungen.
Grundsätzlich muss in jedem Unternehmen ein Datenschutzbeauftragter ernannt werden, der entweder firmenintern oder eine externe Person sein kann. Diese Person sollte zwei elementare Eigenschaften mitbringen. Zum einen genügend Kenntnisse über die DSGVO und ihre Pflichten und zum anderen genügend Kapazität, sich um diese Angelegenheit gewissenhaft kümmern zu können. Dies bedeutet in der Praxis, sich beispielsweise ein strukturiertes Verarbeitungsverzeichnis anzulegen, die entsprechenden Dokumentationsvorgaben zu kennen und umzusetzen oder auch Datenschutzbestimmungen aufzusetzen und anzupassen.
Noch Fragen?
Falls nicht, haben wir noch eine Antwort, nach der Sie gar nicht offen Fragen brauchen, denn DSGVO hat nicht ohne Grund einen weitverbreiteten Ruf. Sie ist ein sehr komplexes, aber unumgängliches Thema. Ein jedes Unternehmen muss einen Verantwortlichen ernennen, in der Lage sein, eine Risiko- und Folgeneinschätzung abzugeben und für ein strukturiertes Organisations- und Dokumentationssystem sorgen. Dies erfordert zudem eine entsprechende technische Basis, die beherrscht werden will. Daher bieten wir Ihnen das Know-how in Sachen DSGVO und allem nötigen Drumherum für die Sicherheit Ihrer Website.
Sprechen Sie uns gerne an und nutzen unsere kostenlose Erstberatung.