Wohl eine der wichtigsten Neuerungen ist allerdings die wesentlich umfangreichere Informationspflicht gegenüber dem Verbraucher. Denn sie betreffen alle Fragen der Verarbeitung personenbezogener Daten im Umfeld von WebSites. Hierzu gehört natürlich auch das Thema „eMail“.
Die neuen Informationspflichten erfordern Vorbereitung
- Welche bzw. welche Arten von personenbezogenen Daten verarbeiten Ihre Server, z. B. im Kontext Ihrer WebSite?
Todo: Verarbeitungsprozesse auflisten - Warum brauchen bzw. verarbeiten Sie diese Daten in Ihren Online-Systemen?
Todo: Begründung gegenüber Verbraucher - Mit welchem „Erlaubnistatbestand“ verarbeiten Sie bzw. Ihre Web-Dienste diese Daten?
Todo: Erlaubnis-Tatbestände nennen - Wer hilft dabei mit?
Todo: Auftragsverarbeiter dokumentieren - Wie lange müssen bzw. wollen Sie diese Daten speichern, d.h. aufbewahren?
Todo: Speicher- bzw. Löschungs-Informationen dokumentieren
Der Umfang der Datenschutzerklärung wächst
Aus diesen paar Fragen ergeben sich leicht drei Seiten DIN A4 Text. Und das nur für die Datenschutz-Information auf Ihrer WebSite. In der Regel lassen viele diesen Text von jemandem schreiben, der meistens nur mit seinesgleichen zu tun hat, also mit Juristen. Doch die Sache hat einen Haken, denn die Zielgruppe, nämlich der Verbraucher ist hinterher kein Deut klüger, als vorher. Wenn also die Information auch wirklich ankommen soll und nicht nur für die Galerie geschrieben wird, dürfte sich das Verfassen der Datenschutzerklärung zum künstlerischen Prozess entwickeln.
Auch wir haben es probiert (natürlich ist unsere neue Datenschutzerklärung seit Monaten online). Ob es geglückt ist, können Sie entscheiden: https://www.bb-one.net/datenschutz/.
Achtung – Falle!
Eine andere Baustelle ist die unserer Meinung nach unseriöse Panikmache von Geschäftemachern aller Art. So war zum Beispiel aktuell zu lesen: „SSL-Zertifikat wird ab dem 25. Mai Pflicht.“ Und als Begründung lesen wir: „Anlass dafür sind steigende Zahlen der Datendiebstähle und Hackerangriffe auf Server weltweit, die es auf die Daten Ihrer Kunden abgesehen haben.“ Das ist grober Unfug. Denn Tatsache ist:
- TLS/SSL-Serverzertifikate sind zwar gut und notwendig, aber sie sind keine Wunderwaffen. Hacker-Angriffe auf eine WebSite können sie nicht verhindern.
- Die verschlüsselte Übertragung von Formulardaten mit personenbezogenen Angaben, also Bestellungen, Anfragen, Nachrichten (also eigentlich alle Webformulare) ist schon lange Pflicht. Ein Blick in das Gesetz hilft: § 13 Abs. 7 TMG. Das hat also nichts mit der DS-GVO zu tun.
- Und dass Sie die gesamte WebSite per https anbieten sollten, hat auch nichts mit der DS-GVO zu tun. Denn hier geht es darum, dass Sie Ihr Google-Ranking nicht verlieren. Und dass Browser-Warnmeldungen das Vertrauen Ihrer Besucher durch nicht stören.
Der DS-GVO Stichtag ist also nicht an allem Schuld. Und zum Aktionismus verleiten lassen sollten Sie sich deswegen schon mal gar nicht.
Fazit
Verehrte Kundinnen und Kunden, lassen Sie sich bitte nicht verrückt machen. Insbesondere, wenn Sie unsere Serie sowohl hier im Magazin als auch beim eBusiness Lotsen Berlin zum DS-GVO Stichtag verfolgt haben, sind Sie auf der sicheren Seite. Prüfen Sie einfach noch einmal, ob Sie folgende Arbeiten erledigt haben:
- mit Ihrem Hosting-Anbieter (vorzugsweise BB-ONE.net) eine Vereinbarung über Auftragsverarbeitung schließen
- Ihre neue Datenschutz-Erklärung online stellen
- alle Ihre Verarbeitungs-Prozesse aufgelisten und diese mit Erlaubnis-Tatbeständen versehen
- eine Beschreibung der technischen und organisatorischen Maßnahmen pflegen
- alle dabei entdeckten „Leichen“ zur baldigen Verbesserung notieren (und beseitigen)
Und damit haben Sie nicht nur ihre Hausaufgaben gemacht, sondern auch Ihr Unternehmen generell ganz nach vorn gebracht.
Wertvolle Links
- Standardvertrag zur Auftragsverarbeitung
- Webinar zum Thema „Tracking im Kontext der DS-GVO“
- Webinar zum Thema „Hosting & DS-GVO“
- Hintergrund-Infos zur Einführung von https, http//2 etc.
