EU - Datenschutz Grundverordnung DSGVO im Internet ? - Worauf Homepage-Betreiber achten müssen! Referent: Thomas Bunte
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Donnerstag 28.06.2018 EU – Datenschutz Grundverordnung DSGVO im Internet ? Worauf Homepage-Betreiber achten müssen! Referent: Thomas Bunte
Thomas Bunte 52 Jahre Beruflicher Werdegang: • Studium • 7 Jahre freiberuflicher Autor und Webdesigner • 7 Jahre verantwortlicher Projektleiter bei E-Business Tochter eines großen Möbel-Einkaufverband • 6 Jahre Leiter Technologie & Projekte, Prokurist und Anteilseigner einer Unternehmensberatung • Seit 6 Jahren Inhaber von Bunte – Technologie & Kommunikation als Projektmanager, Interimsmanager, Trainer und Experte für webbasierte Systeme. Schwerpunkte: • Websites & Webshops • SocialMedia- und Online-Marketing • Webbasierte Kommunikationslösungen • Schulungen • Seit vielen Jahren ehrenamtliches Engagement. Kontakt: Bunte – Technologie & Kommunikation, thomas@bunte-tk.de, www.bunte-tk.de, Tel. 0521 44812175 P.S. regelmäßige Infos zur DSGVO finden Sie auf unserer Facebook Page
Thomas Bunte – im Ehrenamt • Vorstandstätigkeit in mehreren Vereinen im Sportbereich. • Webmaster von: • www.segler-club-duemmer.de • www.wg-duemmer.de • www.p-boot.de • www.teeny-kv.de • Bis vor kurzem: www.rettendenduemmer.de und den jeweils zugehörigen SocialMedia Auftritten. • Ehrenamtliche Tätigkeit in Parteien
Disclaimer Wir müssen aber darauf hinweisen: wir können und dürfen keine Rechtsberatung tätigen. Es gilt: Alle folgenden Informationen haben wir mit größter Sorgfalt recherchiert. Dennoch können wir keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen übernehmen. Diese sind insbesondere allgemeiner Art und stellen keine Rechtsberatung dar. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.
Agenda Datenschutz Grundverordnung DSGVO (GDPR) im Internet ? • DSGVO – die Datenschutz Grundverordnung – Basisinformationen • Ab wann, für wen, für was? • Grundprinzipien der DSGVO • Wichtige Neuregelungen der DSGVO im Schnelldurchgang • Fragestellung Bildrechte • DSGVO und Ihre Website? • Technische Basismaßnahmen • Was ist zu tun – typische “Problembereiche” • Datenschutzerklärung • Fragerunde • Unsere Angebot zur DSGVO
Ab wann, für wen, für was? Basisinformationen Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Im englischen : General Data Protection Regulation
Ab wann, für wen, für was? Das heißt seit dem 25. Mai 2018 kommen auf uns alle mit der DSGVO umfassende Änderungen zu!! Aber warum war das ganze so knapp vom Zeitrahmen her? War es nicht! Die DSGVO ist am 25. Mai 2016 beschlossen worden. Am 25. Mai 2018 lief die 2jährige Übergangsfrist ab!
Quelle: Händlerbund HowTo Leitfaden 2018 Und auch vorher gab es mit dem Bundesdatenschutzgesetz schon weitgehende Regeln – die oft auch weitgehend ignoriert wurden!
Ab wann, für wen, für was? Anwendungsbereich: Gilt die DSGVO für mich? Die DSGVO gilt für alle in der EU ansässigen privaten Unternehmen sowie Niederlassungen, Freiberufler, Vereine und öffentlichen Stellen, unabhängig von ihrer Größe, die personenbezogene Daten von in der EU aufhältigen Personen automatisiert oder manuell verarbeiten und in einem Dateisystem speichern. Darunter fällt u.a.: • Die elektronische Datenverarbeitung, • aber auch der Eintrag in den Papier- kalender oder ein Reservierungsbuch, • die „analoge“ Ablage von Papier- rechnungen
Ab wann, für wen, für was? Was sind personenbezogene Daten Die neue Definition der DSGVO sagt dazu: „Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Neben klar definierten Daten (Name usw.) sind dies aber auch Kennungen anhand derer man eine Zuordnung ableiten kann, wie Standortdaten, eine Online-Kennung, aber auch z.B IP Adressen (bei Website-Besuchen) oder Cookies. Letztere weil damit das Verhalten der Person im Web getrackt werden kann und so Aufschluss über ihre Person und ihr (Online-)Verhalten gibt
Ab wann, für wen, für was? Was sind personenbezogene Daten? Beispiele • Name, Vorname, • Anschrift, • E-Mail, • Geburtsdatum, • IP-Adresse (die schon beim Aufruf Ihrer Website entstehen), • Telefonnummer, • Kauf-, Surf-, Klickverhalten usw. • Einkommen, Ausbildung, • Bankverbindung, • Bilddaten (Personenaufnahmen) • Religionszugehörigkeit, • Gesundheitsstatus, Genetische Daten, • KFZ-Kennzeichen usw.
Ab wann, für wen, für was? Grundregel: Sobald personenbezogene Daten nicht vollständig anonym erhoben werden, sondern einer bestimmten Person zugeordnet werden können, bewegen Sie sich im Bereich des Datenschutzrechts. Und auf einer Website passiert das aufgrund der Erfassung der IP Adresse - in fast allen Fällen! Sie sind also mit sehr hoher Wahrscheinlichkeit von der DSGVO betroffen!
Ab wann, für wen, für was? Haftungsregeln und höhere Bußgelder die Strafen und Bußgelder sind erhöht worden auf bis zu 20 Mio. € oder 4% des Jahresumsatz. Und Datenschutzverstöße haben – wahrscheinlich – wettbewerbsrecht- liche Relevanz und können nach DSGVO abgemahnt werden. Deshalb die Sorge vor einer Abmahnwelle! Denn leider haben wir in Deutschland eine „Kultur“ der Abmahnung! Status aktuell: Es gibt erste Abmahnungen, aber BISHER ist die Welle noch eher klein! Was sich aber ändern kann. Am Ende aktuelle Beispiele im „Abmahnradar“
Abmahnungen – Unklare Rechtslage Ob Unternehmen ihre Konkurrenten wegen Verstößen gegen das Datenschutzrecht aus wettbewerbsrechtlichen Gründen abmahnen oder verklagen dürfen ist unklar. In Deutschland gab es hierzu auch vor der DSGVO keine einheitliche Rechsprechung. Das OLG Hamburg beispielsweise bejahte 2013 diese Frage, das Kammergericht Berlin dagegen 2011 nicht. (hob) In der Politik gibt es deswegen – leider erst jetzt – Überlegungen diese Fragestellung aktiv anzugehen!
Ab wann, für wen, für was? Meldepflicht von „Datenpannen” kommt es zu einer Datenpanne, weil etwa die Website gehackt wurde oder in Ihr Büro eingebrochen wurde, ist die Meldung bei der zuständigen Aufsichtsbehörde binnen 72 Stunden erforderlich! Aufsichtsbehörde in NRW: Die Landesbeauftragte für den Datenschutz Nordrhein- Westfalen Kavalleriestraße 2-4, 40213 Düsseldorf https://www.ldi.nrw.de/ Infos zum Thema DSGVO hier: https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/index.html
Ab wann, für wen, für was? Ist ein Datenschutzbeauftragter notwendig? Wenn mehr als 9 Personen mit personenbezogenen Daten arbeiten, ihr Unternehmen besondere Kategorien von Daten verarbeitet (z.B. Gesundheitsdaten, genetische oder biometrische Daten, rassische oder ethnische Herkunft usw.) oder Ihre Kerntätigkeit die Überwachung von Personen beinhaltet, brauchen Sie einen internen oder externen Datenschutzbeauftragten. Beim internen Datenschutzbeauftragten: Diese Tätigkeit setzt entsprechende technische und juristische Kenntnisse voraus. Insofern sind entsprechende regelmäßige Fortbildungen zu empfehlen. Wichtig – brauchen Sie keinen Datenschutzbeauftragten, fällt die Verantwortung für die datenschutzrechtlichen Fragestellungen an die Geschäftsführung.
Ab wann, für wen, für was? Datenschutzbeauftragter im Verein? Wenn ein Datenschutzbeauftragter notwendig ist – folgendes beachten: • Gewisse berufliche Qualifikation und Fachwissen in Datenschutzrecht und –praxis erforderlich • Darf kein Vorstandsmitglied sein • Bestellung durch Vorstand sinnvoller (Bei Wahlamt müsste bei Vakanz unverzüglich eine Mitgliederversammlung einberufen werden) Aufgaben: • Unterrichtung und Beratung des Verantwortlichen und der Mitglieder • Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften • Anlaufstelle für die Zusammenarbeit mit der Aufsichtsbehörde
Die Grundprinzipien der DSGVO • Grundsatz der Rechtmäßigkeit & Verarbeitung nach Treu und Glauben • Grundsatz der Zweckbindung • Grundsatz der Datenminimierung • Verbot mit Erlaubnisvorbehalt • Grundsatz der Transparenz • Grundsatz der Speicherbegrenzung, • Grundsatz der Integrität und Vertraulichkeit der Daten
Die Grundprinzipien der DSGVO Grundsatz der Rechtmäßigkeit & Verarbeitung nach Treu und Glauben Personenbezogene Daten dürfen nur nach den Vorgaben der DSGVO verarbeitet werden und die Verarbeitung muss für die Person, dessen Daten verarbeitet werden, nachvollziehbar sein. Diese Person muss über die Verarbeitung seiner Daten informiert werden. Grundsatz der Zweckbindung Sie dürfen Daten nur zu dem Zweck verarbeiten, für die sie diese erhoben haben. Grundsatz der Datenminimierung es dürfen nur die Daten erhoben und verarbeitet werden, die Sie tatsächlich benötigen. Das Motto dabei ist: nur so viel wie nötig, so wenig wie möglich!
Die Grundprinzipien der DSGVO Verbot mit Erlaubnisvorbehalt die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, Sie haben eine Erlaubnis. Diese kann entstehen aus: • die betroffene Person hat ihre Einwilligung zu der Verarbeitung für einen oder mehrere bestimmte Zwecke gegeben, diese muss dokumentiert sein (Nachweisbarkeit). • die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartner die betroffene Person ist, erforderlich / gesetzliche Erlaubnisse (aus dem BDSG, TMG, EU-DSGVO) Das gilt aber auch für Angebote, Angebotsanbahnung usw. • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
Die Grundprinzipien der DSGVO Grundsatz der Transparenz die dargestellten Informationen, z.B. in einer Datenschutzerklärung müssen präzise, leicht zugänglich und verständlich in klarer und einfacher Sprache verfasst sein. Grundsatz der Speicherbegrenzung, es dürfen keine über den Zweck hinausgehenden Daten erfasst werden und die Daten müssen inhaltlich und sachlich richtig und aktuell gehalten sein. Auch zeitlich muss die Speicherung begrenzt sein. Grundsatz der Integrität und Vertraulichkeit der Daten als Datenverarbeiter müssen Sie – unter Berücksichtigung des Stands der Technik – geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten!
Wichtige Neuregelungen im Schnelldurchgang Vertraulichkeit, Integrität und Belastbarkeit der datenführenden Systeme sichern, Optimierung und Schutz durch Technische und Organisatorische Maßnahmen –unter Berücksichtigung des Stands der Technik! Dokumentationspflichten und Datenschutzfolgenabschätzung sind Sie verpflichtet, die Folgen der Datenverarbeitung zu bewerten und dies in einer sog. Datenschutz-Folgenabschätzung festzuhalten. Rechenschaftspflicht Auf Aufforderung einer Datenschutzbehörde muss der Datenverantwortliche (Datenschutzbeauftragter / Geschäftsleitung) die Einhaltung aller Datenschutzprinzipien nachweisen können. Also ist das Thema Dokumentation sehr wichtig.
Wichtige Neuregelungen im Schnelldurchgang Pflicht zur Daten Portabilität Die Nutzer können von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem „gängigen Format“ an einen anderen Verantwortlichen weiterzugeben. Recht auf „Vergessenwerden” von Nutzerdaten Recht dass personenbezogenen Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt oder wenn der Anwender die Einwilligung widerruft. Sie müssen alle Daten löschen und dies auf Nachfrage auch nachweisen können.
Wichtige Neuregelungen im Schnelldurchgang Auskunftsansprüche der Nutzer Anwender haben auf Verlangen Anspruch auf Auskunft über: • Welche Daten werden erhoben • Zu welchen Zwecken werden diese erhoben • Die Herkunft der Daten (falls nicht selber erhoben) • Die geplante Speicherdauer • Hinweis zu Widerspruch und Berichtigung
Technische und organisatorische Maßnahmen zum Datenschutz • Sie sind für die Sicherstellung der Vertraulichkeit, Integrität und Belastbarkeit der Datenführenden Systeme verantwortlich und müssen diese durch entsprechende technische & organisatorische Maßnahmen sicherstellen – und diese auf Wunsch auch nachweisen können. Offline-Bereich – Organisation Ihres Büros • Lokales Computersystem auf den neuesten Stand halten (einspielen von Updates) und aktuelles Anti-Virenprogramm verwenden, • Ihre Rechner mit Passwortschutz vor unbefugter Nutzung schützen und sichere Passwörter nutzen (1234 wäre wohl nicht ausreichend), • die Passwörter selber schützen (z.B. nicht mit PostIt an den Monitor kleben), • Zugang zu Büros für unbefugtes Personal beschränken, Sicherung mit Schloss ermöglichen (denken Sie an diese Punkte z.B. bei Nutzung von Homeoffices),
Technische und organisatorische Maßnahmen zum Datenschutz Offline-Bereich – Organisation Ihres Büros • Aktenschränke verschlossen halten (mit Schloss gesichert), • schriftliche Dokumentation (z.B. Reservierungsbuch) nicht durch Unbefugte einsehbar, • datenschutzkonforme Aktenvernichtung sicherstellen, • regelmäßig Datensicherungen (Backups) machen und testen ob diese auch erfolgreich zurückspielbar, Backup Daten verschlüsselt ablegen, damit unbefugte darüber keinen Zugriff erhalten, Backup Bänder immer verschlossen aufbewahren (Safe, abgeschlossener Schrank), • Begrenzen Sie die Zahl der Mitarbeiter die Zugriff auf personen- bezogene Daten haben auf das notwendige Minimum. • Eine Verpflichtungs- & Vertraulichkeitserklärung durch die Mitarbeiter unterzeichnen lassen. Mustervorlage ist hinten angehängt. • schulen / sensibilisieren Sie Ihre Mitarbeiter hinsichtlich der neuen Regelungen.
Achtung „Reinigungdienste“ – Datengefahr! Bei Reinigungsdiensten ist nicht ausgeschlossen, dass die eingesetzten Reinigungskräfte Kenntnis von personenbezogenen Daten erhalten können. Zudem beinhaltet der Auftrag ggf. auch die Entsorgung von Papiermaterial oder Datenträgern in „Vernichtungsbehältnisse“ – oft auch Papierkorb genannt. Also wieder die Themen • Aktenschränke verschlossen (mit Schloss) • Nichts durch Unbefugte einsehbar, • datenschutzkonforme Aktenvernichtung, • Eine Datenschutzvereinbarung müsste Ihr Reinigungsunternehmen haben. • Wenn nicht kann eine Vorlage „übermittelt“ werden.
Verzeichnis der Verarbeitungstätigkeiten
Verzeichnis der Verarbeitungstätigkeiten Ein Verzeichnis aller Datenverarbeitungstätigkeiten ist erst für Unternehmen zwar erst ab 250 Personen Vorschrift, aber … dies ist schon im Text eingeschränkt mit ….wenn die Verarbeitung nicht nur gelegentlich erfolgt. – ohne Definition was das genau bedeutet. Empfehlung: ein Verzeichnis der Verarbeitungstätigkeiten erstellen und führen. Man erhält nämlich damit auch einen Überblick über die Verarbeitungsvorgänge, Prozesse, Software, eingesetzten Cloudlösungen u.v.m. im eigenen Unternehmen / Verein. Und wenn Sie der Aufsichtsbehörde im Falle einer Kontrolle generell nachweisen müssen, dass die Vorgaben der DSGVO eingehalten werden, ist dies mit einem Verzeichnis der Verarbeitungstätigkeiten sofort möglich und Sie haben direkt die benötigten Infos zur Hand.
Praxistipp zur Erstellung eines Verarbeitungsverzeichnis Notieren Sie in der ersten Woche lang z.B. in einer ExcelListe - oder auch analog auf einem Zettel - jedes Programm das Sie aufrufen, bzw. bei „analoger“ Verarbeitung welche Dokumente mit personenbezogenen Daten Sie bearbeiten. In der zweiten Woche tragen Sie ein ob und welche personenbezogenen Daten mit den „Verfahren“ erhoben werden. Im finalen Schritt können Sie jetzt auf dieser Grundlage alle genutzen Verfahren / Tools in einer Vorlage für ein Verarbeitungsverzeichnis eintragen, angehängt finden Sie z.B. eine Vorlage des Bitkoms. Name des Verfahrens, Zweck, Art der Kategorien von Daten, Kategorien von Empfängern, Herkunft der Daten, Löschfristen, Evtl. Dritte an die die Daten gehen, die Techn. und organisatorische Maßnahmen zum Schutz usw.
DSGVO und Mitarbeiterdaten Mitarbeiterdaten sollen nur dann verarbeitet werden, wenn dies für die Entscheidung über die Einstellung eines Bewerbers oder zur Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich ist. Und natürlich wenn es Erfüllung gesetzlicher Rechte & Pflichten, für Tarifvertrag, für eine Betriebs- oder Dienstvereinbarung oder zum Zwecke der Strafverfolgung Bedingung sind. Ob und wann die Erhebung tatsächlich erforderlich sind, bestimmt der Einzelfall, bzw. der rechtstaatliche Ablauf. Wer sich den rechtlichen Unsicherheiten rund um die „Erforderlichkeit“ entziehen will, kann freiwillig abgegebene Einwilligungen von seinen Arbeitnehmern einholen. Im Streitfall muss eine behauptete Freiwilligkeit der Einwilligung vom Arbeitgeber allerdings nachgewiesen werden.
DSGVO und Mitarbeiterdaten Checkliste DSGVO für Arbeitgeber von e-Recht24: • Analysieren Sie die datenschutzrelevanten Vorgänge in Ihrem Unternehmen • Welche personenbezogenen Daten werden wie, wann und warum verarbeitet? • Welche Verarbeitungsvorgänge sind datenschutzrechtlich problematisch? • Achten Sie auf eine datenschutzkonforme Vertragsgestaltung • Schließen Sie klare Vereinbarungen mit Geschäftspartnern, die Zugriff auf Beschäftigtendaten haben (z. B. externe Rechnungsstellen). • Holen Sie wirksame Einwilligungen von Ihren Mitarbeitern ein. • Unternehmensinternes Compliance-Management • Passen Sie Ihre unternehmensinterne Dokumentation und die sonstigen datenschutzrelevanten Prozesse an (Compliance-Management). • Beachten Sie die zahlreichen neuen Pflichten (z.B. Unterrichtungs- und Löschungspflichten). • Belehren Sie Ihre Mitarbeiter über die neuen Pflichten. Link zu Detailinfos
Bewerberdaten und die DSGVO Auch mit Bewerberdaten muss „datenschutzgerecht“ umgegangen werden. Unternehmen und auch öffentliche Stellen mussten schon immer Bewerber für Stellen über Zweck, Art und Umfang der Verarbeitung von personenbezogenen Daten informieren. Das ist – so gesehen – also noch keine Besonderheit, die jetzt durch die Datenschutz-Grundverordnung (DSGVO) anders werden würde. Was jetzt allerdings anders ist, ist, dass der Umfang der Informationen größer geworden ist und ich mir darüber hinaus auch Gedanken darüber machen muss, wie ich die Erteilung der Informationen ggf. nachweise. Hinweise zu den entsprechenden Datenschutz-Hinweisen und weitere Infos findet ihr hier.
Gute Info für KMU Unternehmen und Vereine https://www.lda.bayern.de/de/kleine-unternehmen.html
Todos für Vereine • Verpflichtungserklärung der datenverarbeitenden Personen auf Datengeheimnisse (Vorstand, Büromitarbeiter) . Vorlage hinten! • Einwilligung in die Datenverabeitung durch Mitglieder • Neumitglieder: Änderung Beitrittsformulare • Altmitglieder haben durch Vertragsabschluss (Mitgliedschaft) schon zugestimmt. • Aufnahme einer Klausel zum Datenschutz in die Satzung des Vereins • Erfassung und Dokumentation aller Prozesse zur Erhebung, Speicherung, Verarbeitung usw. von Daten (ggfs. im Rahmen der Erstellung eines Verarbeitungsverzeichnis) • Ergreifen technischer & organisatorischer Maßnahmen • Verträge zur Auftragsverarbeitung mit Dritten / IT Dienstleistern (Infos im 2. Teil) • Erstellen Datenschutzerklärung für die Website (Infos im 2. Teil) • Ablaufprozess & Benachrichtungspflicht bei Datenschutzpannen
Fragestellung Bildrechte & DSGVO • Ausnahmen lt. DSGVO ohne explizite Einwillung : • betroffene Person (=Abgebildeter) ist Vertragspartei ist (Portrait), • zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche (= Fotograf) unterliegt; • zur Wahrung der berechtigten Interessen des Verantwortlichen (= Fotograf) oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person (= Abgebildeter) überwiegen, insbesondere Kinder. • Beispiele: • Hochzeitsfotograf darf Brautpaar fotografiere – die Gäste aber erst nach Einwilligung • Sportfotografie – Sportler ja – Zuschauer erst nach Einwilligung. Usw. • Man sieht: die Situation schwierig zu nennen wäre ein Untertreibung. • Aktuell ist die Rechtslage noch unklar. Hoffnung: Öffnungsklausel der DSGVO durch nat. Gesetze (z.B. KUG) –aktuell aber nicht klargenutzt! Hinten im Linkbereich explizite Links zum Thema. U.a. ein Statement der Justiziarin des Berufsverband Freie Fotografen über eine Rückmeldung des Bundesinnenministeriums hat, nachdem das KUG greift!
Fragestellung Bildrechte • Erstes Urteil vom 18.Juni vom Oberlandesgericht Köln: • Das Kunsturhebergesetz (KUG) findet laut OLG Köln auch nach Wirksamwerden der DSGVO Anwendung. Für die Bildberichterstattung bedeutet dies etwas Rechtssicherheit. • Das OLG sieht das KUG als eine nach §85 DSGVO mögliches, abweichendes nationales Gesetz im Sinne einer Öffnungsklausel. Auch Meinung deutscher Datenschutzbehörden • Nach wie vor offen ist, was für die Veröffentlichung von Bildnissen im nicht-journalistischen Bereich gelten soll Hilfreich dazu unter anderem eine Broschüre des Landendatenschutz- beauftragen Brandenburg. https://www.lda.brandenburg.de/media_fast/4055/DSGVOFotografienfinal.pdf
Fragestellung Bildrechte
Agenda Datenschutz Grundverordnung DSGVO im Internet ? • DSGVO – die Datenschutz Grundverordnung – Basisinformationen • Ab wann, für wen, für was? • Grundprinzipien der DSGVO • Wichtige Neuregelungen der DSGVO im Schnelldurchgang • DSGVO und Ihre Website? • Technische Basismaßnahmen • Was ist zu tun – typische “Problembereiche” • Datenschutzerklärung • Fragerunde
Website - Technische Basismaßnahmen
Technische Basismaßnahmen Auch auf der Website gilt die Notwendigkeit des Schutzes der datenverarbeitenden Systeme – wie im Offline-Bereich. Denn Sie müssen den „Grundsatz der Integrität und Vertraulichkeit der Daten“ sicherstellen. • Das Websystem muss auf einem aktuellen Stand sein, das gilt für • Das eigentliche System (wenn ein Redaktionssystem / CMS) • Eingesetzte Zusatzkomponenten (Plugins) • Gestaltungsvorlagen (Themes / Templates) • Nutzen Sie auch hier keine Standardbenutzernamen (admin), • Notwendigkeit komplexer Passwörter (1234 oder Passwort reicht nicht), • Sinnvoll sind Tools die automatisierte Einwahlversuche blockieren (Limit Login Attempts), • Weitere Sicherungsmaßnahmen – Fragen Sie Ihren Webbetreuer.
Technische Basismaßnahmen Machen Sie regelmäßige Datensicherungen / Backups Ihrer Website? Legen Sie diese Backups dann auch verschlüsselt ab? Backups enthalten in der Regel personenbezogene Daten! Stellen Sie sicher das diese Fragestellung korrekt beantwortet werden. Denn Sie müssen den „Grundsatz der Integrität und Vertraulichkeit der Daten“ sicherstellen.
Technische Basismaßnahmen Erfolgt der Versand Ihres Kontakt- oder Buchungsformular über https / SSL Zertifikat? Überall da wo Sie personenbezo- gene Daten über das Netz abfragen ist https ein Muss! Aber es ist auch für die Suchmaschinenoptimierung wichtig – als positives Signal für Google. Viele Hoster bieten kostenlose Zertifikate (Let‘s Encrypt) an. Wenn eingesetzt – Vermerk in der Datenschutz Erklärung.
Website: Was ist zu tun – typische Probleme!
Einwilligungen einholen: zentrale Frage!
Einwilligungen einholen • Einwilligungen müssen zweckgebunden eingeholt werden – also genaue Erläuterung des Nutzungszwecks - z.B. nur zur Terminabsprache. Wenn der Kunde sich auch in einen Newsletter eintragen soll – zweite Checkbox und damit auch dafür Einwilligung einholen. Pauschale Einwilligungen als „Blanko-Unterschrift“ gehen nicht! • Einwilligung kann mündlich, elektronisch oder schriftlich erfolgen. Aber: Sie muss dokumentiert und nachweisbar sein – was gegen mündlich spricht. Sie als Betreiber sind in der Beweispflicht! • Die Einwilligung muss widerrufbar sein. Und der Widerruf muss genauso einfach wie die Einwilligung sein. Am besten wird also immer ein Link mitgesendet, über den der Widerruf möglich ist. Jeder Widerruf muss dokumentiert und der Empfänger darf KEINE weitere E-Mail (außer der Abmeldebestätigung) mehr erhalten. Denn: Jede E-Mail nach einem Widerruf kann eine Abmahnung oder ein Bußgeld nach sich ziehen.
Einwilligungen einholen • Einwilligung muss freiwillig sein – kein Zwangseintrag in NL bei Kauf z.B.. Einwilligung darf nicht gekoppelt werden – oft findet man z.B. kostenloses E-Book für Newslettereintrag – das geht nicht mehr. Eine Vorausgefüllte Auswahlbox ist nicht erlaubt, Kunde muss aktiv selber einwilligen. • Einwilligung muss Kunden bei Newslettern auch informieren wie oft dieser erscheint. Lieber eine höhere Sequenz angeben, als ggfs. später ausgesendet wird. • Einwilligung bei Minderjährigen unter 16 Jahren ist nur wirksam wenn die Eltern diese bestätigen sind – Nachweis!!. • Alte Einwilligungen - die sich an die in der Vergangenheit gültigen Anforderungen des BDSG und des TMG gehalten haben – bleiben gültig.
Website Statistik / Analyse? Setzen Sie Webstatistik Systeme wie Google Analytics, Matomo (Piwik) oder ähnliches ein. Das am meisten verbreitetste System Google Analytics kann datenschutzrechtlich sauber eingesetzt werden –wenn: • Ein Vertrag zur Auftragsverarbeitung mit Google abgeschlossen wird. • die IP Adressen bei der Datenerhebung anonymisiert werden. • Ein Widersspruchsrecht der User eingebaut ist (OptOut Link in Datenschutzerklärung) • Die Datenschutzerklärung angepasst werden. Achten Sie auf Besonderheiten für mobile Ansichten und seit dem 12.04. auf die Möglichkeit die zeitliche Speicherung zu begrenzen. Empfehlung 14 Monate.
Was ist mit Cookies? (Stand vor 26.04.2018) Cookies sind kleine Systemdateien, die Ihre Website beim Besucher auf dem Rechner hinterlässt. Aktuell gibt es dazu keine klare Regelung, weil die Neuregelung, die ePrivacy Verordnung – die eigentlich mit der DSGVO kommen sollte - erst 2019 neu geregelt wird. Damit bleibt die etwas unsichere aktuelle Rechtslage und man sollte wohl erstmal mit den aktuell oft genutzten Cookie Hinweisen arbeiten.
Was ist mit Cookies? Am 26.04. hat die Datenschutzkonferenz DSK der Datenschutzbehörden des Bundes und der Länder eine Auslegung der Cookiefragestellung in Hinblick auf Tracking veröffentlicht: Sie folgern aus der DSGVO, dass Tracking-Maßnahmen wie z.B. von Google Analytics, Matomo usw. nur noch dann angewendet werden könnten, wenn der betroffene Seitenbesucher hierzu explizit eine Einwilligung erteilt – also explizit mit einem OptIn (Checkbox zum „ankreuzen“) dem Tracking zustimmt und zur Einwilligung umfassend und wirksam informiert wurde. Der Beschluss der DSK ist aber „nur“ die rechtliche Auffassung der Exekutive. Befürchtung: Abmahner nutzen die Rechtsauffassung der DSK als Grundlage! Bis dahin gilt wohl die Aussage: Wer auf Nummer sicher gehen will, sollte aktiv die Einwilligungen der Seitenbesucher zum Tracking einholen (wie z.B. oben rechts) – oder auf Websitetracking verzichten.
Social Media Plugins zum Teilen? Nicht die die offiziellen Plugins/Buttons der sozialen Netzwerke zum Teilen auf der eigenen Website nutzen. Diese übermitteln sogar schon beim Betreten der Website Daten an den jeweiligen Anbieter, egal ob man dort Mitglied ist oder nicht. Wir empfehlen zum Beispiel den Einsatz einer datenschutzrechtlich korrekten Variante wie Sharif (entwickelt von der Computerzeitschrift ct) oder dem eRecht24 Safe Sharing Tool.
Versenden Sie einen Newsletter? Einwilligung der Empfänger muss nachgewiesen werden können. Nur mit Double OptIn – alle Schritte dieses Prozesses müssen nachgewiesen werden können. Keine Koppelung mit anderen Maßnahmen. Checkbox darf nicht vorausgewählt sein. Wo sitzt Versand-Dienstleister? In der Linksammlung findet sich eine Anleitung einer Anwältin als PDF zum DSGVO-gerechten Einsatz von Newslettern?
Newsletter – Empfehlung Mindestandards Im Rahmen der Einwilligung zum Newsletterversand sollten folgende Mindeststandards enthalten sein • Art der beabsichtigten Werbung (Brief, E- Mail/SMS, Telefon, Fax), • Produkte oder Dienstleistungen, für die geworben werden soll, • zeitliche Frequenz der Werbenachrichten (streitig), • das/die werbenden Unternehmen, • Hinweis auf Widerrufsmöglichkeit Zuletzt müssen Sie daran denken, die Einwilligungserklärung beweissicher zu dokumentieren, dies erreichen Sie durch Installierung eines „Double- Opt-In“-Verfahrens!
Nutzen Sie Google Fonts? Oft werden Google Schriften eingebunden und von Google Servern geladen, ohne das es dem Betreiber bewusst ist. Es ist davon auszugehen, das dabei auch zumindestens IP-Adressen gelesen (und wohl auch gespeichert) werden. Aktuell gibt es keine klare Aussage der Experten ob das „kritisch“ wird. Wenn genutzt auf jeden Fall in Datenschutz Erklärung mit angeben. Die Google Schriften können auch lokal auf dem eigenen Webhostingpaket gespeichert und der Aufruf der Google Server blockiert werden – ist sogar wahrscheinlich etwas schneller. Reden Sie mit Ihrem Webbetreuer!
Online-Werbung - z.B. Google Adwords? Über berechtigtes Interesse (Online-Werbung) auch weiterhin möglich – aber da Daten gespeichert werden wenn die Kunden auf der Website landen: Wenn genutzt auf jeden Fall in Datenschutz Erklärung mit angeben. Gleiches gilt z.B. auch für ein Spam-Schutz Tool wie Google ReCaptcha. Sie haben ein berechtigtes Interesse an der Nutzung. Aber in er Datenschutz Erklärung mit angeben.
Auftragsverarbeitung: Vertrag mit dem Hoster? Hosten Sie Ihre Website selber (im Keller) - oder sind Sie bei einem Hostinganbieter? Wenn ja haben Sie von diesem schon einen Vertrag zur Auftragsverarbeitung? Den er hat Zugriff auf personenbezogene Daten. Gleiches gilt aber auch z.B. für den EDV- Dienstleister der regelmäßig Ihre lokalen Rechner oder Netzwerke betreut. Auch mit diesem brauchen Sie zu Ihrer Absicherung einen Vertrag zur Auftragsverarbeitung.
Datenschutzerklärung Die bisherigen Datenschutzerklärungen sind nicht mehr ausreichend. Es gibt deutlich gestiegene Anforderungen: • Einfache und verständliche Sprache Zur Klarstellung kann eine vorgeschaltete, allgemein-zusammenfassende Erklärung Sinn machen. • Die Datenschutzerklärung muss leicht zugänglich sein. Eine „Platzierung“ im Impressum geht nicht, die Datenschutzerklärung muss – wie das Impressum – von jeder Seite im Angebot direkt zu erreichen sein. • Die Kontaktdaten des Seitenbetreibers müssen benannt sein. Ebenfalls die des Datenschutzbeauftragten, wenn vorhanden. • Die Rechtsgrundlage der Datenerhebung/Verarbeitung muss konkret benannt werden. • Es müssen alle Datenverarbeitungsvorgänge auf der Webseite benannt werden.
Datenschutzerklärung • Es müssen Infos zum Umgang mit Kunden- / Bestelldaten gegeben werden. • Infos zum Einsatz von Tracking-Tools, Cookies und/oder Social Media Netzwerken. • Infos zu Newsletter und – wenn im Einsatz –Auftragsverarbeitung für NL Versand. • Hinweise zur Dauer der Datenspeicherung und Löschfristen. (Im Linkbereich findet sich eine Liste von gesetzl. Aufbewahrungsfristen) • Hinweise zur Daten-Auskunft, -Berichtigung, -Löschung und zum Widerruf der Datenverarbeitung. • Infos über das Recht auf Datenherausgabe und Übertragbarkeit. • Einwilligungen zur Datenerhebung dürfen nicht in der Datenschutzerklärung stehen.
Datenschutzerklärung Früher kostenlose Generatoren für Datenschutzerklärungen sind aufgrund der Komplexität fast alle kostenpflichtig geworden. Lassen Sie sich bei der Erstellung einer Datenschutzerklärung durch einen fachkundigen Anwalt beraten … … oder nutzen Sie das für Vereine kostenlose Angebot auf der Website https://datenschutz-generator.de/ des bekannten Fachanwalt für Internetrecht Dr. Thomas Schwenke. Auch das Impressum prüfen, denn auch dort lauern meist noch Fehlerquellen, die gerne von Abmahnern genutzt werden. Z.B. die Nennung des Vereinsregisters und der Vereinsnummer.
Angebote B-TK DSGVO Website-Check mit Empfehlungen Wir sichten Ihre Website auf mehr als 60 Fragestellungen und weisen auf in unserem Report auf kritische Punkte hin. Mustertexte / vorlagen für Datenschutz Erklärung und Impressum (eRecht24 Premium Agenturpartner) Fehlerbehebung / Optimierung nach dem Website-Check Wenn technisch möglich (CMS bekannt) bereinigen wir die im Website Check gefundenen Fehler. Mehr Infos hier oder info@bunte-tk.de oder Tel. 0521 448121750
Kurz-Info – wichtigste Abmahngründe Noch ein frischer Artikel auf Computerwoche.de zum Thema: DSGVO - Wo die Abmahnung droht! • keine oder fehlerhafte Informationen über die Verarbeitung der personenbezogenen Daten (z.B. im Rahmen der Datenschutzerklärung oder bei der Einholung von Einwilligungserklärungen) • Nutzung von Adressdaten, ohne die erforderliche Einwilligung, Hinweise zur Dauer der Datenspeicherung und Löschfristen. https://www.computerwoche.de/a/wo-die-abmahnung-droht,3544586
Abmahnmonitor – erste Abmahngründe • Unkorrekter Einsatz von Google Analytics (keine IP Anonymisierung), weitere Fälle wegen fehlendem OptIn Cookie. • keine oder fehlerhafte Datenschutzerklärung • Einsatz von Google Fonts unter Nutzung der Google CDN Server • Einsatz von Facebook like und share Buttons • Fehlende Verschlüsselung von Kontaktformularen. • V.a. Abmahnung von „nicht-IT Fachanwälten“ (Arbeitsrechtler, Sozialrechtler usw.)
Link-Sammlung 1 Hilfreiche Links mit Infos und Mustervorlagen • Thema Datenschutz Grundverordnung allgemein erläutert und wichtige Basisinformationen https://www.bunte-tk.de/blog/dsgvo-datenschutz-grundverordnung-basis/4863 • Die Datenschutz Grundverordnung und Ihre Auswirkung auf Websites https://www.bunte-tk.de/blog/dsgvo-auswirkung-auf-website/4909 • Handreichungen zur DSGVO für kleine Unternehmen und Vereine vom Bayerisches Landesamt für Datenschutzaufsicht – sehr hilfreiche Darstellung anhand von Branchen usw. mit den wichtigen zu beachtenden Punkten und Mustervorlagen. https://www.lda.bayern.de/de/kleine-unternehmen.html • Vorlage Bitkom für Verarbeitungsverzeichnis https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF- Verarbeitungsverzeichnis-online.pdf • Kostenlose Dokumente, Muster & Vorlagen für Datenschutz der ActiveMind AG – einem Dienstleister für Datenschutzfragestellungen https://www.activemind.de/datenschutz/dokumente/ • Kostenfreie Basisinformationen zum Thema Datenschutz Grundverordnung von eRecht24 https://www.e-recht24.de/datenschutzgrundverordnung.html • Information zur Datenschutz Grundverordnung DSGVO von Datenschutz.org https://www.datenschutz.org/dsgvo/ • Artikel Computerwoche – DSGVO: Wo die Abmahnung droht. https://www.computerwoche.de/a/wo-die-abmahnung-droht,3544586 • Artikel Akademie.de über gesetzl. Aufbewahrungsfristen von geschäftl. & privaten Unterlagen https://www.akademie.de/wissen/aufbewahrungsfristen
Link-Sammlung 2 (u.a. auch Bildrechte) • Artikel auf Heise Online zum Thema DSGVO auch mit weiterführenden Links und Informationen https://www.heise.de/ct/ausgabe/2018-5-Die-DSGVO-bringt-den-Buergern-neue-Rechte-3965940.html | https://www.heise.de/ix/heft/Informationsverpflichtet-3920059.html • c‘t Booklet mit den wichtigsten Infos zum Thema DSGVO als PDF https://www.heise.de/ct/downloads/04/2/4/2/7/4/4/6/1811-076.pdf • Schnell-Checkliste des Bundesverband mittelständische Wirtschaft zum Thema DSGVO: https://www.bvmw.de/fileadmin/suborganization/Hamburg/PDF/checkliste-12-fragen-zum-datenschutz.pdf • Informationen für Vereine vom VIBSS des Landessportbund NRW: http://www.vibss.de/vereinsmanagement/recht/datenschutz/ • Die Landesbeauftragte für den Datenschutz Niedersachsen (LBDN) https://www.lfd.niedersachsen.de/ • Informationen der LBDN zum Thema DSGVO https://www.lfd.niedersachsen.de/startseite/datenschutzreform/dsgvo/ Einige Links zum Thema Bildrechte: • Foto-Einwilligungen zur Presse- und Öffentlichkeitsarbeit entsprechend der DSGVO http://nordbild.com/foto-einwilligungen-dsgvo/ • Wissen zur DSGVO – 7 Tipps für Fotografen https://www.ipcl-rieck.com/allgemein/wissen-zur-dsgvo-7-tipps-fuer-fotografen.html • Info der Justiziarin des Bundesverbandes Freie Fotografen .. Nach Absprache mit BundesInnenministerium wonach KUG greift: https://bff.de/news/die-bff-justiziarin-dorothe-lanc-dsgvo-zulaessigkeit-personenaufnahmen/ • Leitfaden "Verarbeitung personenbezogener Daten bei Fotografien„ des LDA Brandenurg. https://www.lda.brandenburg.de/media_fast/4055/DSGVOFotografienfinal.pdf
Link-Sammlung 3 Schwerpunkt Website • Probleme nach der Neueinschätzung CookieHandling und Tracking durch DSK https://www.datenschutz-guru.de/aufsichtsbehorden-als-wegbereiter-fur-abmahner-von- internetseiten/ https://www.bvdw-datenschutz.de/allgemein/dsk-sieht-einwilligungserfordernis-bei- reichweitenmessung-und-targeting | http://www.online-marketing-recht.de/tracking-nur-noch- mit-einwilligung-was-ist-dran-am-beschluss-der-datenschutzkonferenz/ • DSGVO-Fahrplan der Kanzlei LawLikes mit Schwerpunkt auf der Thematik Newsletteranmeldung https://lawlikes.de/dsgvo-kompakt/Infos zum Thema DSGVO und WordPress von den WP-Ninjas- Sehr hilfreich die Einschätzung von Plugins: https://wp-ninjas.de/wordpress-dsgvo • Infos zum Thema DSGVO und WordPress – Ein sehr informativer Guide der WordPress Spezialisten von Raidboxes: https://raidboxes.de/wordpress-dsgvo-guide/ Weitere Tipps und Links zum Thema WordPress und DSGVO https://www.webtimiser.de/so-bereitest-du-wordpress-auf-die-dsgvo-vor/ https://www.blogmojo.de/wordpress-plugins-dsgvo/ https://martinahonecker.com/dsgvo-leitfaden/ • DSGVO und Joomla – hier zwei Infoseiten zum Thema: https://www.eresource.de/leistungen/datenschutzgrundverordnung-unter-joomla https://www.joomla-upgrade-service.de/service/datenschutzgrundverordnung-dsgvo/
Link-Sammlung 4 Bewerdaten / Mitarbeiter • Bewerberdaten und die DSGVO • https://www.searchsecurity.de/lernprogramm/Datenschutzgerechter-Umgang-mit-Bewerberdaten • https://prescreen.io/de/downloads/dsgvo-recruiting-rechte-und-pflichten-im-recruiting/ • https://arbeitgeber.monster.de/hr/personal-tipps/personalmanagement/arbeitsrecht/datenschutz-umgang-mit- bewerberdaten.aspx • Mitarbeiterdaten nach der DSGVO • https://www.isico-datenschutz.de/blog/2017/05/22/mitarbeiterdatenschutz-nach-der-dsgvo-und-dem-neuen-bdsg/ • https://www.deutsche-handwerks-zeitung.de/eu-vorgaben-und-digitalisierung-datenschutz-im- umbruch/150/3098/355999 • https://www.e-recht24.de/datenschutzgrundverordnung.html#arbeitgeber
Link-Sammlung 5 (Schwerpunkt Vereine) • DSGVO Linktipps für Museen und Kulturinstitutionen https://musermeku.org/2018/04/04/dsgvo-fuer-museen/ • Information des LandesSportBund Niedersachsen zum Thema DSGVO https://www.lsb-niedersachsen.de/lsb-mitgliederservice/lsb-mitgliederservice-downloads/ • Anforderungen DSGVO an Vereine (Bayerisches Landesamt für Datenschutzaufsicht): https://www.lda.bayern.de/media/muster_1_verein.pdf Muster Verarbeitungsverzeichnis für Vereine: https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf • Überblicksinfo des Landessportbund BadenWürtemberg zur DSGVO https://wlsb.de/component/phocadownload/category/24-datenschutz- internet?download=1201:dsgvo-das-wichtigste-im-ueberblick-stand-november-2017 • Infopapier des VIBSS NRW zum Thema DSGVO http://www.vibss.de/fileadmin/Vereinsmanagement/Download/VIBSS-Infopapiere/IP- Datenschutz-im-Sportverein_2018_01_30.pdf • Zusammenfassende Darstellung DSGVO im Verein als MindMap von Thomas Bunte https://www.mindmeister.com/1077782532?t=CFWuTXczOb • Muster einer Einwilligungserklärung für die Veröffentlichung von Mitgliederdaten im Internet https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/03/Verein- Einwilligungserkl%C3%A4rung-angepasst.pdf
Danke für Ihre Aufmerksamkeit! Bei Fragen, Bedarf für Consulting & Beratung, Hilfestellung, weiterer Schulung oder Umsetzung kontaktieren Sie mich einfach! Ihr Thomas Bunte Kontakt: Bunte – Technologie & Kommunikation Plaßstr. 73e, 33611 Bielefeld thomas@bunte-tk.de, www.bunte-tk.de Tel. 0521 44812175 P.S. regelmäßige Infos zur DSGVO finden Sie auf unserer Facebook Page Bildrechte: Bunte – Technologie & Kommunikation / Colourbox
Sie können auch lesen