Die Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Höchste Zeit, sich damit auseinanderzusetzen! Um Abmahnungen und Klagen zu entgehen, solltest du zumindest folgende fünf Schritte setzen. Beachte dabei bitte, dass ich kein Jurist bin und diese Schritte keinen Anspruch auf Vollständigkeit haben, sondern ich hier lediglich meine Schlüsse aus mehreren Vorträgen von Juristen anderen und Experten zu diesem Thema zusammenfasse!
Die 5 wichtigsten Schritte zur DSGVO
1. Binde eine Datenschutzerklärung auf deiner Website ein
Juristen gehen ab Inkrafttreten der DSGVO von einer Abmahnwelle im deutschsprachigen Raum aus. Auf jeder Website in der Europäischen Union – ob kommerziell oder als Hobby betrieben ist dabei unerheblich – muss ab 25. Mai 2018 eine Datenschutzerklärung eingebunden sein. Ein Muster gibt es auf der Website der Wirtschaftskammer Wien.
2. Lege ein Verarbeitungsverzeichnis an
Ein Verzeichnis, das deine Datenverarbeitungsprozesse beschreibt ist ab 25. Mai 2018 ebenso obligatorisch. Darin steht, welche Daten du aus welchem Grund wo speicherst und mit welchen Auftragsverarbeitern du zusammenarbeitest. Auch hier hat die Wirtschaftskammer Wien eine Vorlage parat.
3. Überprüfe deine Kontaktformulare
Die Nutzung von Kontaktformularen auf Websites ohne Sicherheitszertifikat (https) ist laut DSGVO zu unsicher. Aktiviere daher für deine Website ein solches Zertifikat, oder entferne Kontaktformulare, über die personenbezogene Daten (Name, E-Mail-Adresse, etc.) übermittelt werden. Solltest du kein SSL-Zertifikat einrichten können, empfiehlt es sich, Kontaktformulare von der Website zu entfernen – von Kunden werden diese sowieso kaum genutzt. Eine wichtige Neuerung bei Kontaktformularen ist das Kopplungsverbot: Du darfst die Teilnahme an Gewinnspielen oder die Übermittlung von Gutscheinen nicht daran koppeln, dass sich User für einen Newsletter anmelden müssen!
4. Schließe Verträge mit deinen Auftragsverarbeitern ab
Unternehmen, an die du personenbezogne Daten weitergibst, werden als Auftragsverarbeiter bezeichnet. Das kann Google sein, sofern du Gmail oder Google Drive nutzt; das kann Apple sein, wenn du die iCloud verwendest; das kann Facebook sein, wenn du Unternehmensseiten betreibst. Die Firma maismehl ist ebenso einer deiner Auftragsverarbeiter, da wir in der Regel Zugriff auf zahlreiche von dir erhobene personenbezogene Daten haben. Auftragsverarbeiter sind auch externe IT-Dienstleister_innen, Web-Administratoren und Administratorinnen, Grafiker_innen, Botendienste, externe Lohnverrechnung, oder Druckereien. Auch hier gibt es eine Vorlage der Wirtschaftskammer Wien.
Eine wichtige Info: Diese Verträge können in Österreich auch digital abgeschlossen werden! Das heißt, der Vertrag kann per E-Mail als PDF verschickt werden; eine Bestätigung kann ebenso per E-Mail erfolgen.
5. Bereite dich auf Anfragen vor
Ab 25. Mai 2018 haben Betroffene, also jene Menschen deren Daten du speicherst, das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragung, Widerruf und Widerspruch. Es empfiehlt sich einen Anfrage-Prozess in den Datenschutzbestimmungen zu beschreiben, jedoch können Anfragen über jede beliebige E-Mail-Adresse oder andere Kommunikationskanäle des Unternehmens erfolgen! Bereite daher deine Mitarbeiter darauf vor, dass Anfragen eintreffen könnten und diese unbedingt zu bearbeiten sind!
Nicht auf die leichte Schulter nehmen!
Das Höchststrafmaß für Verstöße ist mit 20 Millionen Euro enorm; auch wenn diese Summen auf große Unternehmen abzielen. Doch hat man beispielsweise personenbezogene Daten von 1000 Menschen gespeichert, und jedem dieser Betroffenen würden 100 Euro Schadensersatz zugesprochen, wäre das keine unerhebliche Summe mehr!
Die hier angeführten Punkte fassen meiner Ansicht nach lediglich die Mindestanforderungen für Unternehmen, Vereine, Verbände und Websitebetreiber_innen im Zusammenhang mit der DSGVO zusammen. Die laufende Aktualisierung des Verarbeitungsverzeichnisses, die bestmögliche Sicherung seiner Daten, die Schulung seiner Mitarbeiter_innen, die Dokumentation der Anfragen, sowie die Überprüfung einzelner Apps auf deren DSGVO-Tauglichkeit sollten ebenso auf der Agenda jeder betroffenen Person stehen!