Laut DSGVO Art. 4.1 sind das alle Informationen, mit denen man ein Individuum identifizieren kann:
● direkt durch Name, Bild, Telefonnummer, Adresse…
● indirekt durch Nutzername, Profilbild, IP-Adresse, Cookie-ID…
Diese Daten fallen zum Beispiel an, wenn Sie für ein Gewinnspiel nach der Adresse fragen, wenn Ihre Kunden ein Profil mit ihren Kontaktdaten anlegen oder für eine Rückrufbitte eine Telefonnummer eingegeben wird.
Die DSGVO legt in Artikel 4.7 und 4.8 fest, dass die unmittelbaren Nutzer (Data Controller) und die Datenverarbeiter (Data Processor) gleichermaßen für die Daten verantwortlich sind, wenn es keine anderslautenden vertraglichen Regelungen gibt. Das bedeutet, dass Sie unter Umständen auch dann für die Daten verantwortlich sind, wenn Sie jemand anderen mit der Verarbeitung beauftragen.
Beispiel: Sie möchten allen Mitgliedern Ihres Vereins eine Weihnachtskarte schicken und geben die Adressen dafür an eine Druckerei weiter, die sich um alles kümmert. In diesem Fall sollten Sie:
● vorher am besten schriftlich sicherstellen, dass alle Mitglieder dieser Nutzung ihrer Daten zugestimmt haben,
● vertraglich festlegen, dass Forderungen bei Verstößen der Druckerei gegen die DSGVO nicht auf Sie zurückfallen. Das mag übertrieben bürokratisch klingen und in den meisten Fällen nur eine Vorsichtsmaßnahme sein, kann Ihnen aber im Härtefall viel Ärger und Kosten ersparen.
Rechenschaftspflicht und Nutzeranfragen
Alle Verantwortlichen müssen die technischen und organisatorischen Voraussetzungen haben, um zeigen zu können, dass die Datenverarbeitung den Vorgaben der DSGVO entspricht. In der Praxis bedeutet das auch, dass Sie in der Lage sind, betroffene Personen innerhalb eines Monats darüber zu informieren, welche Daten Sie von ihnen verarbeiten, wie sie das tun und warum (DSGVO Art. 13). Betroffene Personen haben auch das Recht, Daten löschen oder berichtigen zu lassen.
Außerdem müssen betroffene Personen darüber informiert werden, wo (in der EU oder außerhalb) ihre Daten gespeichert werden und wie lange.
Tipp: Bestimmen Sie einen Datenschutzbeauftragten für Ihr Unternehmen. Dabei kann es sich auch um einen externen Datenschutzexperten handeln. Arbeiten Sie mit ihm zusammen eine Datenschutzvereinbarung oder eine Datenschutzklausel für Ihre Verträge und Formulare aus (DSGVO Art. 26).
Dauer und Zweck der Datenspeicherung
Daten gelten als das „Gold des Informationszeitalters“. Die Versuchung, Daten zu horten, ist groß. Dieser Vorratsdatenspeicherung setzt die DSGVO klare Grenzen: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie man sie nachvollziehbar für den Verwendungszweck braucht (DSGVO Art. 5.1)
Beispiel: Wenn Sie ein Gewinnspiel veranstalten, müssen sämtliche personenbezogenen Daten gelöscht werden, sobald die Aktion beendet ist. Anders ist es bei einem Newsletter, bei dem Sie die E-Mail-Adresse und gegebenenfalls den Namen benötigen, solange Sie den Newsletter verschicken.
Immer, wenn Sie personenbezogene Daten nutzen, brauchen Sie dafür die Erlaubnis des Betroffenen. Gibt er Ihnen seine E-Mail-Adresse, um bei einem Gewinnspiel über den Gewinn benachrichtigt zu werden, dürfen Sie ihm mit dieser Adresse keinen Newsletter schicken oder frohe Weihnachten wünschen.
Grundsätzlich haben Betroffene jederzeit das Recht, ihre Einwilligung zur Nutzung der Daten zu widerrufen oder einzuschränken. Personen haben auch das Recht, Daten löschen (Recht auf Vergessenwerden) oder berichtigen zu lassen. Sie müssen dafür sorgen, dass Nutzer dazu die Möglichkeit haben.
Cookies, Datenanalyse und Einverständniserklärungen
Wenn Sie Dienste wie Google Analytics auf Ihrer Website nutzen, sollten Sie sich davon überzeugen, ob diese Angebote der DSGVO entsprechen. Ist das der Fall, können Sie wie gewohnt damit weiterarbeiten.
Unternehmen, die hauptsächlich Daten verarbeiten, unterliegen noch strengeren Auflagen als Unternehmen, die geschäftsbedingt mit personenbezogenen Daten zu tun haben. Unter anderem müssen Daten verarbeitende Unternehmen wie Analyseunternehmen, Profiler oder Ähnliche einen Datenschutzbeauftragten haben und ihr Vorgehen transparent dokumentieren. Diese Dokumentation zeigt Ihnen, ob Ihre Partner DSGVO-konform sind.
Auch bei der Zusammenarbeit mit anderen kleineren Webagenturen oder Dienstleistern sollten Sie sich durch eine Datenschutzvereinbarung absichern. Eine Datenschutzvereinbarung ist natürlich ebenfalls zu empfehlen, wenn Sie selbst eine Webagentur leiten oder Daten-Dienstleistungen anbieten. Richtig ist: Immer wenn Kunden personenbezogene Daten übermitteln, weisen Sie – leicht verständlich – darauf hin, was mit den Daten passiert und wer dabei involviert ist.
Bei E-Mail-Abonnements ist bereits jetzt eine zweifache Bestätigung (Double-Opt-in) vorgesehen. Der Einsatz von Cookies ist aktuell mit einer Einverständniserklärung verbunden, die auf dem Bildschirm erscheint. Mit beidem sollten Sie sich nach wie vor absichern.
Generell spricht die DSGVO in Art. 25 vom Konzept des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Websites sollten also so gestaltet werden, dass personenbezogene Daten standardmäßig geschützt werden.
Die DSGVO in der Praxis
Personenbezogene Daten sollten Sie wie hochexplosiven Raketentreibstoff behandeln – ähnlich wie das bei geistigem Eigentum oder dem Recht am eigenen Bild der Fall ist. Richtig eingesetzt bringen sie Ihr Unternehmen voran, bei einem Fehler kann Ihnen alles um die Ohren fliegen.
Wenn Sie Kundendaten nur für die notwendige Geschäftsabwicklung verwenden, müssen Sie vor allem für eine sichere Verwahrung sorgen. Lieferadressen, ein Geburtsdatum zur Alterskontrolle usw. sind damit relativ unproblematisch in der Anwendung.
Interessant wird es in allen Fällen, die nicht zu Ihrem Kerngeschäft gehören. Also vor allem beim Profiling, Marketing und der Datenanalyse. Für Profiling und Analysen brauchen Sie einen kompetenten Anbieter, der DSGVO-konform arbeitet. Bei Marketing-Aktionen sollten Sie Folgendes bedenken:
● Weisen Sie darauf hin, was mit den Daten passiert.
● Verwenden Sie nur die Daten, die Sie unbedingt brauchen.
● Speichern Sie die Daten nur so lange, wie Sie sie unbedingt brauchen.
● Anonymisieren Sie Daten immer, wenn das möglich ist.
● Kommunizieren Sie klar mit Ihren Kunden und holen Sie sich deren Einverständnis für eine möglichst konkrete Verwendung.
● Arbeiten Sie mit Unternehmen zusammen, die die DSGVO erfüllen und mit denen Sie eine Datenschutzvereinbarung abgeschlossen haben.
● Lassen Sie sich im Zweifelsfall von einem Datenschutzexperten beraten.
Das sollten Sie außerdem tun
Prüfen Sie beim Kontaktformular auf der Website, bei einem Rückrufwunsch, bei Gewinnspielen usw.: Wie geht Ihr Unternehmen mit personenbezogenen Daten um? Welche Person oder welches Partnerunternehmen verarbeitet welche Daten? Wo und wie sicher werden Daten gespeichert?
Notieren Sie sich jeden Handlungsbedarf und arbeiten Sie die Punkte nach und nach ab. Wer ganz sichergehen will, setzt auf professionelle Unterstützung durch einen eigenen oder einen externen Datenschutzbeauftragten.
Die Autorin
Ursula Martens
Friesin, wohnhaft in Freising. Die Texterin und Konzepterin erstellt B2B- und B2C-Texte für nahezu alle Branchen.
Kontakt und Info unter:www.wortkind.de
