DS-GVO: auf Panik machen oder einfach aussitzen?

DS-GVO Stichtag - Panikmache oder Entspannung?

DS-GVO Stichtag 25. Mai 2018

Keine Sorge, wir werden hier nicht in die organisierte Panikmache interessierter und halbwissender Kreise einstimmen. Und dennoch ist der Hinweis notwendig: JA, der 25. Mail 2018 ist DS-GVO Stichtag. Das heisst, die neue Datenschutz-Grundverordnung tritt ohne Übergangsfrist (aber nach langer Vorwarnzeit)  in Kraft.

Nun wird also alles neu und nichts mehr so, wie es einmal war. Ein guter Anlass zur großen Panikmache von denjenigen, die nach Schriftsatzlänge bezahlt werden und manchmal fern der alltäglichen Praxis stehen. Wir hatten gehofft, dass wir dieses Mal nicht vor dieser Methode warnen müssen. Das hat leider nicht funktioniert. Aber was ebenfalls nicht funktioniert, ist das „Aussitzen“. Deshalb atmen wir alle noch einmal in Ruhe durch und schauen auf das Wesentliche.

Des Gesetzes Kern

Die DS-GVO ersetzt einige Rechtsnormen, z.B. aus dem TMG. Ein gerade besonders gern diskutiertes Stichwort heißt „Tracking“. Sie bringt viele neue Begriffe ins Spiel. Und sie sorgt dafür, dass die meisten WebSites umfangreicher werden. Zumindest im juristischen Teil.

Wohl eine der wichtigsten Neuerungen ist allerdings die wesentlich umfangreichere Informationspflicht gegenüber dem Verbraucher. Denn sie betreffen alle Fragen der Verarbeitung personenbezogener Daten im Umfeld von WebSites. Hierzu gehört natürlich auch das Thema „eMail“.

Die neuen Informationspflichten erfordern Vorbereitung

  • Welche bzw. welche Arten von personenbezogenen Daten verarbeiten Ihre Server, z. B. im Kontext Ihrer WebSite?
    Todo:  Verarbeitungsprozesse auflisten
  • Warum brauchen bzw. verarbeiten Sie diese Daten in Ihren Online-Systemen?
    Todo: Begründung gegenüber Verbraucher
  • Mit welchem „Erlaubnistatbestand“ verarbeiten Sie bzw. Ihre Web-Dienste diese Daten?
    Todo: Erlaubnis-Tatbestände nennen
  • Wer hilft dabei mit?
    Todo: Auftragsverarbeiter dokumentieren
  • Wie lange müssen bzw. wollen Sie diese Daten speichern, d.h. aufbewahren?
    Todo: Speicher- bzw. Löschungs-Informationen dokumentieren

Der Umfang der Datenschutzerklärung wächst

Aus diesen paar Fragen ergeben sich leicht drei Seiten DIN A4 Text. Und das nur für die Datenschutz-Information auf Ihrer WebSite. In der Regel lassen viele diesen Text von jemandem schreiben, der meistens nur mit seinesgleichen zu tun hat, also mit Juristen. Doch die Sache hat einen Haken, denn die Zielgruppe, nämlich der Verbraucher ist hinterher kein Deut klüger, als vorher. Wenn also die Information auch wirklich ankommen soll und nicht nur für die Galerie geschrieben wird, dürfte sich das Verfassen der Datenschutzerklärung zum künstlerischen Prozess entwickeln.

Auch wir haben es probiert (natürlich ist unsere neue Datenschutzerklärung seit Monaten online). Ob es geglückt ist, können Sie entscheiden: https://www.bb-one.net/datenschutz/.

Achtung – Falle!

Eine andere Baustelle ist die unserer Meinung nach unseriöse Panikmache von Geschäftemachern aller Art. So war zum Beispiel aktuell zu lesen: „SSL-Zertifikat wird ab dem 25. Mai Pflicht.“ Und als Begründung lesen wir: „Anlass dafür sind steigende Zahlen der Datendiebstähle und Hackerangriffe auf Server weltweit, die es auf die Daten Ihrer Kunden abgesehen haben.“ Das ist grober Unfug. Denn Tatsache ist:

  1. TLS/SSL-Serverzertifikate sind zwar gut und notwendig, aber sie sind keine Wunderwaffen. Hacker-Angriffe auf eine WebSite können sie nicht verhindern.
  2. Die verschlüsselte Übertragung von Formulardaten mit personenbezogenen Angaben, also Bestellungen, Anfragen, Nachrichten (also eigentlich alle Webformulare) ist schon lange Pflicht. Ein Blick in das Gesetz hilft: § 13 Abs. 7 TMG. Das hat also nichts mit der DS-GVO zu tun.
  3. Und dass Sie die gesamte WebSite per https anbieten sollten, hat auch nichts mit der DS-GVO zu tun. Denn hier geht es darum, dass Sie Ihr Google-Ranking nicht verlieren. Und dass Browser-Warnmeldungen das Vertrauen Ihrer Besucher durch nicht stören.

Der DS-GVO Stichtag ist also nicht an allem Schuld. Und zum Aktionismus verleiten lassen sollten Sie sich deswegen schon mal gar nicht.

Fazit

Verehrte Kundinnen und Kunden, lassen Sie sich bitte nicht verrückt machen. Insbesondere, wenn Sie unsere Serie sowohl hier im Magazin als auch beim eBusiness Lotsen Berlin zum DS-GVO Stichtag verfolgt haben, sind Sie auf der sicheren Seite. Prüfen Sie einfach noch einmal, ob Sie folgende Arbeiten erledigt haben:

  • mit Ihrem Hosting-Anbieter (vorzugsweise BB-ONE.net) eine Vereinbarung über Auftragsverarbeitung schließen
  • Ihre neue Datenschutz-Erklärung online stellen
  • alle Ihre Verarbeitungs-Prozesse aufgelisten und diese mit Erlaubnis-Tatbeständen versehen
  • eine Beschreibung der technischen und organisatorischen Maßnahmen pflegen
  • alle dabei entdeckten „Leichen“ zur baldigen Verbesserung notieren (und beseitigen)

Und damit haben Sie nicht nur ihre Hausaufgaben gemacht, sondern auch Ihr Unternehmen generell ganz nach vorn gebracht.

Wertvolle Links