Der Countdown läuft. Am 25. Mai 2018 ist es soweit. Dann gilt die Datenschutz-Grundverordnung DSGVO der Europäischen Union verbindlich. Verstöße dagegen können drastisch ausfallen. Umso beängstigender ist es für die meisten Unternehmen, Vereine und Einzelkämpfer, dass kaum jemals zuvor ein Gesetz in Kraft getreten ist mit derartig weitreichenden Folgen für jedermann bei gleichzeitiger totaler Ahnungslosigkeit. Wer hat schon die gesamte DSGVO gelesen – und verstanden? Nicht nur im Onlinemarketing ist die Verunsicherung groß. Bevor es richtig akut wird, haben wir gedacht: eine DSGVO Checkliste muss her!
Kein Wunder, dass auch zum Countdown noch eine große Unsicherheit herrscht, ja beinahe eine Hysterie wie zuletzt vorm Millennium. Haben Sie an alles gedacht, um nicht in die Abmahnfalle zu tappen? Unsere DSGCVO Checkliste soll Ihnen helfen, auf der sicheren Seite in das neue digitale Datenzeitalter zu starten.
Für wen gilt die DSGVO?
Die DSGVO gilt für alle in der EU ansässigen privaten Unternehmen sowie Niederlassungen, Freiberufler, Vereine und öffentlichen Stellen, unabhängig von ihrer Größe. Auch wir als Digital full marketing Service Agentur sind gefordert und alle unsere Kunden ebenso. Das Ziel der Datenschutz-Grundverordnung soll eine Vereinheitlichung der Verarbeitung von personenbezogenen Daten in den EU-Mitgliedsstaaten gewährleisten. Diese Daten umfassen: Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Kontodaten, Standortinformationen und IP-Adressen.
Grundsätze DSGVO, die jeder gewährleisten muss
Wer oben aufgeführte Daten nutzt oder verarbeitet, ist per DSGVO verpflichtet, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Das beginnt beim harmlosen Newsletter und beinhaltet schließlich alle Kunden- und Mitarbeiterdaten. Wer in seinem Unternehmen nach solchen Daten sucht, hat schnell das Gefühl, eine Büchse der Pandora zu öffnen. Es hilft aber nichts! Ärmel aufkrempeln, jetzt geht es los:
- Prüfen Sie alle eingesetzten Systeme und Dienste bezüglich ihrer Vertraulichkeit, Integrität und Belastbarkeit.
- Gewährleisten Sie, dass nach einem physischen oder technischen Zwischenfall alle Daten und Zugänge umgehend wiederherstellbar sind.
- Verschlüsseln und pseudonymisieren Sie ab sofort personenbezogene Daten.
- Über alle getroffenen Maßnahmen müssen Sie jederzeit Nachweise erbringen können – auch hinsichtlich der Auftragsdatenverarbeitung.
Von allen Personen, mit deren Daten Sie arbeiten, muss die Zustimmung zur Datenverarbeitung vorliegen. Außerdem haben die Personen das Recht, jederzeit Auskunft darüber zu erhalten, ob und wie ihre personenbezogenen Daten verarbeitet werden. Sie erhalten ebenfalls eine Zusicherung, dass diese auf Wunsch gelöscht werden.
Datenschutzerklärung, Impressum & Co.
Die Rechtstexte auf der Website müssen DSGVO-konform angepasst werden. Überarbeiten Sie das Impressum. Es muss als eigenständiger Link von jeder Inhaltsseite aus erreichbar sein. Das Gleiche gilt für Ihre neue Datenschutzerklärung. Wer auf der Website einen Onlineshop betreibt, sollte die AGBs erstellen. Diese müssen ebenfalls von allen Seiten als eigenständiger Link erreichbar sein. Am einfachsten lassen sich diese Rechtstexte von Generatoren erstellen, beispielsweise diesem DSGVO Datenschutzgenerator. Passen Sie die Texte jeweils auf Ihre Bedürfnisse an.
Haben Sie schon Ihre Analysetools gecheckt?
Wichtiger Punkt auf Ihrer DSGVO Checkliste! Wer ein Analysetool wie Google Analytics, Piwik oder eTracker nutzt, muss die IP-Adressen der Nutzer anonymisieren. Das war übrigens schon vor der Datenschutz- Grundverordnung so. Wie das im Falle von Google Analytics mit WordPress funktioniert, ist in einem Artikel von Elbnetz zusammengefasst.
Was ist bei Onlineshop, Newsletter und geschützten Kundenbereichen zu beachten?
Bei Erhebung von Daten über ein Kontaktformular müssen die Daten mithilfe einer SSL Verschlüsselung vor Zugriffen Dritter geschützt werden. Das betrifft Onlineshop wie Newsletterversand gleichermaßen. Wer einen Log-in geschützten Kundenbereich eingerichtet hat, der das Kommentieren von Blogbeiträgen erlaubt, muss künftig SSL-verschlüsselt arbeiten. Das gilt auch für Websites, die Social-Media-Plug-ins anbieten, also auf Facebook, Twitter & Co verlinken. Auch wer Werbenetzwerke wie Google AdSense oder Amazon-Partnerprogramme nutzt, ist hier in der Pflicht. Jonas Tietgen von den wp Ninjas hat eine Liste zusammengetragen, welche Plug-ins DSGVO kompatibel sind.
Fraglich: Re-Opt-in für Newsletterkunden
Viele Versender von Newslettern verschicken derzeit hektisch sogenannte Re-Opt-In-Mailings, in denen sie sich der Erlaubnis versichern, den Newsletter an die Adressaten weiterhin verschicken zu dürfen. Das ist allerdings nicht ganz unumstritten. Denn damit wird kommuniziert, dass eigentlich davon ausgegangen wird, keine Einwilligung zu haben. Strenggenommen ist dieses Mailing also bereits Werbung, für die es eine Einwilligung bräuchte. Gab es bereits eine gültige Einwilligung nach BDSG, ist dies auch für die Zukunft nach DSGVO ausreichend. Gab es diese Einwilligung nicht, ist das mit der DSGVO der gleiche Verstoß wie zur Zeit des BDSG. Faktisch dürfen, wie zuvor schon, nur Adressen für Newsletter verwendet werden, deren Personen schriftlich ihre Einwilligung gegeben haben. Diese schriftliche Einwilligung muss nachweisbar sein.
Denken Sie an die Datenschutzerklärung der Mitarbeiter?
Laut Gesetz muss jeder Mitarbeiter bei Aufnahme seiner Tätigkeit auf das Datengeheimnis nach § 5 BDSG verpflichtet werden. Das wird zukünftig noch strenger gehandhabt: Eine zuverlässige und lückenlose Verpflichtung aller Mitarbeiter muss sichergestellt sein. ActiveMind stellt Ihnen kostenlose Mustervorlagen für die Verpflichtungserklärung und Vertraulichkeitserklärung von Mitarbeitern, externen Dienstleistern und ehrenamtlichen Hilfen zur Verfügung. Alle Mitarbeiter, die mit Daten in Berührung kommen, müssen eine solche Erklärung unterschreiben.
Regelmäßige Datenschutzschulungen der Mitarbeiter nicht vergessen
Denken Sie daran, die Beschäftigten regelmäßig in den Belangen des Datenschutzes zu schulen. Dazu gehören sowohl rechtliche Grundlagen als auch praktische Umsetzung durch die Mitarbeiter. Achtung: Die Aufsichtsbehörden verlangen hier sogar schriftliche Nachweise über die Schulung. Der Umfang der Schulung richtet sich nach der Sensibilität der Daten.
Verzeichnis der Verarbeitungstätigkeiten erstellen
Die Nachweis- und Dokumentationspflicht steht bei der DSGVO im Vordergrund, daher ist es notwendig, alle erhobenen personenbezogenen Daten zu dokumentieren. Dieser Punkt sollte jedoch auf keinen Fall auf Ihrer DSGVO Checkliste fehlen! Das „Verarbeitungsverzeichnis“ umfasst alle erhobenen und gespeicherten Daten. Muster und Vorlagen „Verzeichnis von Verarbeitungstätigkeiten“ finden Sie bei WKO.
⇒ Disclaimer: Die Informationen in diesem Beitrag haben wir mit größter Sorgfalt recherchiert. Trotzdem übernehmen wir keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der hier bereitgestellten Informationen. Diese stellen keine Rechtsberatung dar. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.
Wir schreiben in diesem Blog Wissenswertes rund ums Online Marketing. Bleiben Sie mit startklar! am Puls der Zeit!
War unsere DSGVO Checkliste hilfreich?
Unser Tipp: Wir erarbeiten nicht nur eine DSGVO Checkliste für Sie. Wir planen gern Ihr komplettes Online Marketing Konzept mit Ihnen gemeinsam. Denn als Digital Marketing full servce Agentur wir die Experten.
Schauen Sie doch auch einmal wieder auf unseren Seiten bei Google+ und Twitter vorbei! startklar! unterstützt Sie im gesamten Prozess!
Bildquelle Beitragsbild: www.pixabay.com