Jeder denkt es, keiner sagt es? Nicht hier, denn bei diesem Thema sind sich die meisten einig. Die ab dem 25. Mai 2018 geltende DSGVO hinterlässt bei vielen Unternehmen einen unangenehmen Geschmack auf der Zunge. Aus Nutzersicht hingegen hat diese Neuerung im Datenschutzrecht doch viele positive Aspekte, denn personenbezogene Daten werden nun allgemein sorgfältiger und gewissenhafter behandelt. Natürlich haben auch wir von den Schittigs vor allem unseren Internetauftritt datenschutzrechtlich aufgepeppt. Aber was genau machen wir jetzt anders? Und worüber brauchen wir uns keine Gedanken zu machen?

Was wir ändern

Sowohl kleine, als auch größere Änderungen sind nötig, um unsere Website für die neue EU-weite DSGVO auf Vordermann zu bringen. Generell gilt, galt aber auch schon vorher: Man soll so wenig Daten wie möglich, aber darf so viele wie nötig sammeln. Nimmt man sich diesen Grundsatz wirklich zu Herzen, ist das eine gute Basis, um der DSGVO mit einem milden Lächeln entgegenzutreten.

Grundlage

Für jeden Websitebetreiber besteht die Pflicht, die personenbezogenen Daten seiner User zu schützen. Dies gilt nicht nur für bereits gespeicherte Daten, sondern auch für die Übertragung dieser. Deshalb verwenden wir bei den Schittigs die Technik der SSL-Verschlüsselung, womit es möglich ist, Daten zwischen einem Rechner und einem Server auszutauschen, ohne dass diese von Dritten mitgelesen werden können. Um seinen Pflichten DSGVO-konform auf die einfachste Weise nachzukommen, legen wir deshalb jedem Websitebetreiber die Verwendung der SSL-Verschlüsselung ans Herz.

Datenschutzerklärung

SSL-Verschlüsselung ist zwar keine ausdrückliche Pflicht, Folgendes aber schon. Im Zuge der DSGVO war es nötig, unsere Datenschutzerklärung komplett zu überarbeiten. Vor allem geht es hier um die Rechte der User in Bezug auf ihre personenbezogenen Daten, die gegebenenfalls von uns gespeichert werden.

Auskunftsrecht

Welche Daten wir von unseren Besuchern haben, können die User jederzeit erfahren. Das Recht, Informationen über die von uns gespeicherten personenbezogenen Daten zu erhalten, setzen wir selbstverständlich stets auf persönliche Anfrage hin um.

Berichtigen und Löschen von personenbezogenen Daten

Stellen wir uns vor, wir haben Daten von Besuchern gesammelt, aber ein betroffener User ist damit nicht einverstanden und teilt uns sein Anliegen mit. Dann besteht unsere Pflicht darin, die betroffenen Daten zu löschen. Auch müssen wir Fehler bei personenbezogenen Daten berichtigen, falls ein User uns auf diese aufmerksam macht.

Widerspruchsrecht

Das Widerspruchsrecht gibt Usern die Möglichkeit, teilweise oder vollkommen die Verarbeitung ihrer Daten zu verhindern. Wir sind also dazu verpflichtet, Daten nur zu den ausdrücklich genehmigten Zwecken zu verwenden und zu verarbeiten.

Beschwerderecht

Zur Vollständigkeit ist hier auch noch das Beschwerderecht zu nennen, welches den User dazu berechtigt, eine Beschwerde bei einer zuständigen Aufsichtsbehörde zu äußern. Dies könnte der Fall sein, falls der Besucher einer Website Verstöße gegen den Datenschutz feststellt oder der Websitebetreiber sich bspw. weigert, seiner Pflicht auf Auskunft Folge zu leisten.

Google Analytics

Sehr viele Websites nutzen heutzutage Analysetools zur Beobachtung der Website-Aktivität durch User-Interaktion. Wegen der weiten Verbreitung sei Google Analytics hier als Beispiel aufgeführt, denn auch wir verwenden dieses Tool, um mit den damit gewonnenen Erkenntnissen unseren Online-Auftritt ständig weiterzuentwickeln und beispielsweise die Benutzerfreundlichkeit zu steigern. Die Analyse des Nutzerverhaltens geschieht zwar anonym anhand einer gekürzten IP-Adresse, jedoch ermöglicht die DSGVO nun, ein solches Tracking zu verhindern. Dafür wurde der auf unserer Seite implementierte Code um einen kleinen Schnipsel erweitert, der es Ihnen ermöglicht, einen sogenannten Opt-Out-Cookie zu setzen. Dieser sorgt dafür, dass auch bei wiederholtem Besuch unserer Website keine Analysedaten von Google Analytics erhoben und verarbeitet werden. Den Link zur Deaktivierung finden Sie in der entsprechenden Datenschutzerklärung.

Informationspflicht

Ein wichtiger Bestandteil ist die Informationspflicht, die man gegenüber seinen Usern hat. Auf unserer Website gibt es beispielsweise ein klassisches Kontaktformular, welches Sie zur einfachen Kontaktaufnahme mit uns nutzen können. Dabei wird Ihre E-Mail-Adresse von uns gespeichert, damit wir Ihnen auf Ihre Nachricht antworten können. Auf der Kontaktseite, auf der das Formular selbst zu finden ist, ändert sich zwar nichts, jedoch finden Sie auf einer separaten Unterseite dazu eine genaue Information, wofür wir Ihre Daten erheben und speichern. Diese erläuterten Gründe sind dann exklusiv - wir dürfen Ihre Daten nur zu den angegebenen Zwecken nutzen, aber ansonsten sind sie für alles andere tabu und unter Verschluss.

Zusatzvereinbarungen zur Auftragsverarbeitung

Weil man als Websitebetreiber selbst manchmal nicht der Einzige ist, der mit Kundendaten oder anderweitigen personenbezogenen Daten in Berührung kommt, ist es außerdem nötig, mit betroffenen Partnern jeweils eine sogenannte Zusatzvereinbarung zur Auftragsverarbeitung zu schließen. Nur - wann und mit wem braucht man und brauchen vielleicht auch Sie für Ihre Website eine solche Vereinbarung?

Website-Hoster

Als Websitebetreiber hat man die Pflicht, die personenbezogenen Daten seiner User zu schützen. Falls diese Daten aber nicht auf eigenen Servern verarbeitet und gespeichert werden, sondern Ihre Website über einen externen Dienstleister gehostet wird, muss auch dieser Ihnen gegenüber versichern, dass er personenbezogene Daten nach der DSGVO gesetzeskonform behandelt. Deshalb haben wir mit unserem Hoster einen solchen Vertrag geschlossen. Sie müssen das auf alle Fälle auch tun, falls sie Ihre Website über einen externen Hoster betreiben. Als Beispiel: Der Hostinganbieter Netcup hat bereits viel Vorarbeit für seine Kunden geleistet, indem er auf seiner Seite das genaue Vorgehen erklärt und direkt den Download der Zusatzvereinbarung bereitstellt.

Software zur Verarbeitung von Kundendaten

Gleiches Spiel gilt, falls Sie eine Software zur Verarbeitung Ihrer Kundendaten verwenden. Diese kommt dann ebenfalls mit schützenswerten Daten in Kontakt, weshalb auch hier eine Zusatzvereinbarung nötig ist. Falls Ihr Anbieter deshalb nicht von allein auf Sie zukommt, sollten Sie hier nicht zögern, selbst die Initiative zu ergreifen.

Kunden unserer Agentur

Als Digitalagentur stampfen wir nicht nur Websites komplett neu aus dem Boden oder verleihen ihnen eine völlig neue Struktur und damit ein völlig neues Erscheinungsbild. Wir bieten außerdem auch Supportleistungen an und deshalb kann es vorkommen, dass wir bei manch einem Kunden mit personenbezogenen Daten in Berührung kommen, die dieser auf seiner Website erhebt. In solchen Fällen ist es für uns ebenfalls nötig, eine Zusatzvereinbarung mit den betroffenen Kunden zu schließen, um sicherzustellen, dass beide Parteien den Datenschutz der Websitebesucher ernst nehmen und die Daten DSGVO-konform behandeln. Zudem möchten wir unseren Kunden damit natürlich auch zeigen, wie wichtig uns der Schutz ihrer Daten ist.

Was die Schittigs nicht betrifft

Insgesamt kommen wir bei den Schittigs noch glimpflich davon, was die Umsetzung der DSGVO angeht. Einige Aspekte, die verschiedene und vor allem große Unternehmen und deren Websites berücksichtigen müssen, bereiten uns glücklicherweise kein Kopfzerbrechen, weil wir die betroffenen Kriterien nicht erfüllen. Aber von welchen Kriterien reden wir hier?

Seit der DSGVO (kurzer Reminder: steht für Datenschutzgrundverordnung) sind Unternehmen dazu verpflichtet, einen Datenschutzbeauftragten auszuwählen. Dieser muss, um diese Position einnehmen zu können, natürlich fachlich geeignet sein. Aber warum müssen wir uns bei den Schittigs um keinen Datenschutzbeauftragten kümmern? Der Grund ist ziemlich simpel: Ein Datenschutzbeauftragter ist nur dann nötig, wenn das Unternehmen mindestens zehn Mitarbeiter hat. In unserer Agentur sind wir aber nur zu acht. Knapp vorbei ist eben auch daneben (puh!). Falls Sie aber mehr als zehn Mitarbeiter haben sollten, ist dies ein weiterer Aspekt, um den Sie sich leider kümmern müssen.

Die DSGVO teilt außerdem Daten, die theoretisch erhoben werden könnten, in verschiedene Kategorien ein. Aus diesen Kategorien gehen hochsensible Daten hervor, die eine besondere Beachtung und gesonderte Behandlung erfordern, wie bspw. Informationen zur rassischen oder ethnischen Herkunft einer Person oder zur religiösen Überzeugung des Users. Wir aber haben auf unserer Website keine Gründe, solch hochsensible Daten zu speichern. Die Schittigs sind kein Online-Shop, es findet kein anderweitiger Zahlungsverkehr über die Website statt noch haben wir einen Login. Deshalb betreffen uns die Regelungen für hochsensible Daten nicht. Allerdings sollten Sie an dieser Stelle aufpassen und überprüfen, ob Sie laut Art. 9 der DSGVO hochsensible Daten erheben.

Im ganzen Chaos und inmitten des unverständlichen Fachjargons rund um die heiße Datenschutzdebatte konnte unser Artikel für Sie hoffentlich ein bisschen Licht ins Dunkel bringen. Aber beachten Sie: Um komplett auf der sicheren Seite zu sein, ist die Beratung durch eine Anwaltskanzlei das Mittel der Wahl. Die hier beschriebenen Maßnahmen sind nur die wichtigsten Punkte, die für uns auf der To-Do-Liste standen. Unsere Absicht ist es, Ihnen eine kleine Übersicht und vielleicht auch ein paar Denkanstöße zu geben - damit Sie keinen wichtigen Punkt auf Ihrer eigenen Agenda übersehen oder vergessen.

Aber auch wenn die neue EU-weite Verordnung viele Unternehmen erstmal in Panik versetzt hat, ist es doch lange kein Ding der Unmöglichkeit, alles Nötige umzusetzen, um pflichtbewusst und gewissenhaft mit dem Thema Datenschutz umzugehen.