DSGVO: Schritt für Schritt-Anleitung für deine Website

​Viele Hundternehmer sind unsicher, wenn es um die Anforderungen geht, die sie für die neue Datenschutzverordnung erfüllen müssen. Diese erfordert ab dem 25.05.18 neue Richtlinien im Umgang mit personenbezogenen Daten und betrifft jeden, der mit seinem Hundternehmen im Internet auftritt. Doch was musst du tun, damit du auf der sicheren Seite bist? Folgender Artikel soll dir ein wenig weiterhelfen, einen Plan für dein Hundternehmen zu entwickeln. 

More...

​Es gibt bereits zahlreiche Firmen da draußen, die sich auf die Umsetzung der EU-DSGVO spezialisiert haben. ​Einige dieser Dienstleistungen kosten teilweise richtig viel Geld und garantieren trotzdem keine Rechtssicherheit. Für viele Hundternehmer ein Grund, sich selbst an die Umsetzung zu machen. Das ist natürlich möglich und spart viel Geld, aber dennoch solltest du am Ende noch einmal einen Anwalt draufschauen lassen. Denn Fehler oder unvollständige Angaben können für dein Hundternehmen schnell das Aus bedeuten.

Mit Strafen von 10 Mio. Euro (darunter gibt es nichts) ist schon fast davon auszugehen, dass viele kleine Hundternehmen, die sich mit dem Thema nicht oder nur unzureichend auseinandergesetzt haben, bald vor der Insolvenz stehen. Und beachte: Du haftest persönlich!

Wenn du dich der Sache selbst stellen musst und keine professionelle Unterstützung hast, haben wir hier einen kleinen Leitfaden für dich, wie du am besten vorgehst. Doch das Wichtigste zuerst:

​Disclaimer

​Dieser Artikel ​ersetzt keine professionelle Rechtsberatung. Ich habe mich mit den Bestimmungen der EU-DSGVO zwar intensiv beschäftigt, bin aber weder Jurist noch Datenschutzexperte. Ich habe mich jedoch in Bezug auf meine eigenen Blogs und auch den kostenlosen E-Mail-Kurs (siehe unten) entsprechend informiert.

Obwohl ich mit aller angemessenen Sorgfalt auf die Richtigkeit der veröffentlichten Informationen achte, kann ich hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie für ​​ Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben, keinerlei Gewähr übern​ehmen. Eine Rechtsberatung zur kompletten Absicherung wird trotzdem nötig sein und ich weise hiermit explizit darauf hin, dass ich das Hinzuziehen eines Experten dringend anrate. 

​1. Verschaffe dir einen Überblick

​Zuerst musst du die Frage klären, welche Anforderungen an dich und die Art, wie du dein Hundternehmen führst, gestellt werden. Hier ist es nicht entscheidend, ob dein Hundternehmen groß oder klein ist, sondern vielmehr, welche Art von Daten du verarbeitest. Das gilt sowohl online über deine Website, als auch für die Daten, die du physisch in deinem Büro (z.B. für das Finanzamt) besitzt. 


Nutze für die Recherche nur seriöse Quellen und glaube nicht gleich alles, was du in Foren oder bei Facebook darüber findest. Eine gute Quelle ist das Bayrische Landesamt für Datenschutzaufsicht. Dort kannst du auch in einem Selbsttest herausfinden, ob dein Hundternehmen auf die DSGVO ​ausreichend vorbereitet ist. 

​2. Strukturiere dich, bevor du anfängst

​Nachdem du festgestellt hast, welche Anforderungen du erfüllen musst, machst du dich an einen konkreten Plan. Schreibe alle Punkte auf, bei denen dein Hundternehmen Daten von Kunden, Usern oder Followers speichert und nutzt. Du solltest dir genug Zeit einplanen für die Umsetzung der einzelnen Schritte. Wahrscheinlich kann sich keiner von uns so richtig motivieren, das Thema anzugehen und uns fallen 1.000 bessere Sachen ein, als uns mit diesem bürokratischen Ungetüm auseinander zu setzen (Gassi gehen?). Schieb das Thema auf gar keinen Fall auf die lange Bank, sondern arbeite aktiv jeden Tag ein bißchen was ab.


Das ist wie bei jedem anderen Projekt: Du arbeitest jeden Tag ein Stück ab, hast das Gefühl, dass du voran kommst und kein schlechtes Gewissen, weil dir das Thema wochenlang im Hinterkopf herumschwirrt. Die meiste Zeit wirst du dazu benötigen, zu recherchieren und die Strukturen und Prozesse in deinem Hundternehmen zu benennen.

​3. Personenbezogene Daten

​Was alles personenbezogene Daten sein können, haben wir letzte Woche bereits in diesem Artikel ​besprochen. Hier wird noch einmal nach Wichtigkeit unterschieden. Für die meisten Hundternehmer im Rudel wird nur die erste Kategorie in Frage kommen, z.B. Name, E-Mail-Adresse, Adresse, IP-Adresse, Bankdaten usw. 


Wer sensible Daten wie Gesundheit, Religion, politische Meinung, Sexualleben, biometrische Daten oder Straftaten gehört in die zweite Kategorie. Wenn dein Hundternehmen mit solchen Daten arbeitet, solltest du dich unbedingt mit einem Rechtsanwalt oder einem Datenschutzexperten in Verbindung setzen. ​


Erstelle dir am besten eine Liste mit allen personenbezogenen Daten, die du verarbeitest und wen das betrifft (Website-User, Kunden, Newsletter-Abonnenten etc.). Dann kannst du sicherstellen, dass du nichts vergisst und machst dir die nächsten Schritte um einiges einfacher. 

​4. Wie werden die Daten verarbeitet?

​Alle Prozesse, in denen du Daten in deinem Hundternehmen verarbeitest, fallen unter den Begriff Verarbeitungstätigkeiten. Hier stellen sich dir folgende Fragen:


  • Wo kommen die Daten her? Sammelst du sie über ein Kontaktformular oder die Anmeldung zum Newsletter auf deiner Website oder bekommst du sie persönlich/telefonisch/E-Mail bzw. über ein Plugin/Tool?
  • Was passiert mit den Daten? Hier musst du beantworten, was du mit den Daten tust. Nutzt du sie für Aufträge oder Rechnungen, für die du ein Tool benutzt oder verschickst du Newsletter, die ebenfalls über einen Drittanbieter laufen? 
  • Verarbeitest du die Daten eigenhändig oder nutzt du ​hierfür ein Tool oder eine Automatisierung? 
  • Wie lange werden die Daten gespeichert, wann und wie werden sie gelöscht?

Über diese Fragen solltest du dir Gedanken machen und sie ​​aufschreiben. 

​5. Rechtsgrundlagen zur Datenverarbeitung

Auch in Bezug auf deine Rechte bei der Nutzung der personenbezogenen Daten hat sich einiges geändert und hier liegt wohl einer der größten Stolpersteine für Hundternehmer. Die drei wichtigsten sind: 


  • Du brauchst eine Einwilligung, die durch ein Double-Opt-In bestätigt werden sollte. Diese musst du im Zweifelsfall auch nachweisen können. Diese Einwilligung kann dir aber auch jederzeit entzogen werden und dann musst du die Daten unwiderruflich löschen. Von gesetzlicher Seite hast du hier aber Rechenschaftspflichten und musst Aufbewahrungsfristen beachten. Erst nach Ablauf dieser Frist darfst du die Daten wirklich löschen. Nutzen darfst du sie aber bereits ​ab dem Zeitpunkt, an dem die Einwilligung dir entzogen wurde, nicht mehr. 
  • In dem Fall, dass ein Kunde dich von sich aus kontaktiert (Erstkontakt), spricht man von einem Vertrag bzw. einer vorvertraglichen Anbahnung. Das kann z.B. per E-Mail oder über das Kontaktformular auf deiner Website passieren. In diesem Fall benötigst du keine zusätzliche Einwilligung für die Verabreitung der Daten und der Kunde kann dir somit auch nichts entziehen. Er kann aber verlangen, dass du die Daten löschst. Dann darfst du die Daten ​dennoch bis zum Ende des Vertragsverhältnisses und dem Ablauf der Aufbewahrungsfrist weiter nutzen. Wichtig ist auch: Ein Verlangen der Löschung ist kein Rücktritt vom Vertrag!
  • Um Interessenabwägung geht es oft bei der Weitergabe der Daten an Dritte oder bei Cookies. Hier musst du die wirtschaftlichen Interessen deines Hundternehmens begründen. ​Du musst rechtfertigen, warum der Schutz der Betroffenen weniger wichtig ist als das Interesse deines Hundternehmens. Zum Beispiel, wenn du Kundendaten an den Steuerberater weiterg​ibst. Hier würde es den Ablauf in deinem Hundternehmen so stark beeinträchtigen, dass du hierfür keine Einwilligung holen musst. 

​Notiere für alle Arten der Datenverarbeitung, in welche Kategorie diese fallen. Besonders bei den Einwilligungen ist es wichtig, dass du sie nachweisen kannst. Für die Interessenabwägung musst du außerdem eine Risikoanalyse durchführen. Hole dir hier am besten die Unterstützung eines Datenschutzexperten (am Ende des Beitrags findest du ein paar Empfehlungen).

​6. Online Tools und Plugins

​Erstelle dir eine Liste der Online-Tools und Plugins, die du in deinem Hundternehmen nutzt und prüfe, inwiefern dort Daten verarbeitet oder gespeichert werden. Wenn das Tool keine Daten speichert, ist alles gut. Wenn der Drittanbieter Daten speichert oder nutzt, brauchst du einen so genannten Auftragsverarbeitungsvertrag mit dem jeweiligen Anbieter. Bei Anbietern in der EU ist das kein Problem, die meisten stellen Vorlagen für solch einen Vertrag bereits auf ihren Websites zur Verfügung. 


Wenn du mit Anbietern außerhalb der EU, z.B. den USA, arbeitest, dann solltest du darauf achten, dass diese beim Privacy Shield Abkommen​ registriert sind. 


Überprüfe unbedingt auch die Plugins, die du auf deiner Website nutzt. Auch hier werden oft Daten gespeichert oder verarbeitet, selbst wenn es sich nur um die IP-Adresse des Nutzers handelt.


Google geht für Google Analytics mit gutem Beispiel voran und hat hier bereits das entsprechende Dokument zur Verfügung gestellt. Ähnliche Verträge benötigst du auch mit allen anderen Anbietern.


​7. Technische organisatorische Maßnahmen

​Darunter versteht man die Art und Weise, wie personenbezogene Daten in deinem Hundternehmen verarbeitet werden. Die DSGVO verlangt​, dass die Daten nur noch pseudonymisiert (schwierig umzusetzen) oder verschlüsselt gespeichert werden. 


Wichtig ist außerdem, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, welche die Daten verarbeiten, zu prüfen. Hier solltest du dir folgende Fragen stellen:


  • Wer hat physisch die Möglichkeit, deinen Arbeitsplatz bzw. deine Arbeit zu sehen?
  • Wer benutzt deinen PC? Hat dieser mehrere Benutzerkonten und sind diese mit Passwörtern gesichert?
  • Passwörter: Sind sie komplex und werden regelmäßig geändert oder verwendest du an mehreren Stellen immer das gleich Passwort bzw. nur leicht​ geändert?
  • Ist dein PC mit einer Firewall und einem Virenscanner gesichert?
  • Wie vernichtest du Daten?

Außerdem solltest du dich fragen, wie es mit der Verfügbarkeit der personenbezogenen Daten aussieht. Hier ist es wichtig, eine richtige Strategie für Backups zu haben. 


  • Wie kommst du nach einem physischen Zwischenfall (Feuer, Hochwasser, CPU kaputt) an die Daten ran?
  • Was passiert bei einem technischen Zwischenfall, z.B. durch einen Virus bzw. einen Trojaner?
  • Wie schnell kannst du die personenbezogenen Daten wieder herstellen?
  • Was machst du, wenn die Daten versehentlich vernichtet werden, du sie verlierst oder sie verändert werden?

Mach dir hierzu Gedanken und schreibe die Prozesse auf.


​8. Auftragsverarbeiter

​Wahrscheinlich wirst du in deinem Hundternehmen auch mit einigen so genannten Auftragsverarbeitern zusammenarbeiten. Das sind Dienstleister, die in deinem Auftrag personenbezogene Daten verarbeiten, z.B. alle Büroarbeiten, die du outgesourced hast. Dazu gehören virtuelle Assistenten, Freelancer, die an deiner Website arbeiten oder Support geben.


Wichtig: Mit ihnen solltest du einen Auftragsverarbeitungsvertrag schließen, denn wenn du keinen hast, warten harte Strafen auf dich. Diesen muss dir dein Auftragnehmer zur Verfügung stellen, weil der Umfang des Auftrags und eventuelle Datenverarbeitungen im Zusammenhang damit, spezifisch geklärt werden müssen. 


Wenn du also Hundternehmer bist und öfter für andere Kunden (außer dich selbst) Aufträge abwickelst, solltest du dir eine Vorlage dafür zulegen. Alle, die unseren E-Mail-Kurs zum Thema DSGVO abonnieren, bekommen in den nächsten Tagen ein Template zugeschickt. Weitere Infos zu dem kostenlosen E-Mail-Kurs findest du am Ende des Beitrages!


​9. Website und Datenschutzerklärung

​Die ​eigene Website ist für viele Hundternehmer das Zentrum ihrer hundternehmerischen Aktivitäten. Hier sammelst du nicht nur Kontakte (Leads), sondern hast vielleicht auch einen Online Shop, bietest Online Kurse oder andere Produkte an. 


Neben einer Anpassung der Cookies und Plugins solltest du unbedingt auch deine Datenschutzerklärung aktualisieren. Für diese Rechtstexte gibt es bereits verschiedene Generatoren, in die du nur ein paar Daten eingeben musst und die dir dann das (angeblich) perfekte Dokument ausspucken. Hier musst du vorsichtig sein! Denn auch wenn sie deine Arbeit massiv vereinfachen, gibt das ​Ergebnis dir noch lange nicht die Sicherheit, dass auch alle Punkte korrekt erfüllt worden. Sicherheitshalber solltest du also alles noch einmal von einem Anwalt oder Datenschutzbeauftragten prüfen lassen. 


Hier kannst du aber gut Zeit und Nerven sparen, wenn du zum Beispiel zuerst ein Tool nutzt, das Ergebnis dann noch individuell anpasst und es dann erst von einem Anwalt checken lässt.




Die Datenschutzerklärung musst du individuell auf dein Hundternehmen anpassen. Wenn das nicht passt, wirst du wahrscheinlich ab dem 26.05.18 schnell Post von einem der Abmahnanwälte bekommen, die schon jetzt in den Startlöchern stehen. Wenn du die Datenschutzerklärung selbst oder über ein Tool erstellt hast, haftest du auch persönlich. 


Folgende Angaben gehören in deine Datenschutzerklärung:


  • Welche Daten erhebst du und wie werden sie gespeichert?
  • ​In welcher Form leitest du Daten an Dritte weiter?
  • Du solltest deine User über die Änderung der Datenschutzerklärung informieren und ein Widerrufsrecht einräumen.
  • ​Gebe alle Cookies, Tracking, Monitoring, Statistik-Tools und Plugins an.
  • ​Welche Daten werden über dein Kontaktformular und den Newsletter erhoben?
  • Die Datenschutzerklärung sollte über alle Punkte Auskunft geben.
  • Gib einen Ansprechpartner für Fragen rund um den Datenschutz an, am besten mit E-Mail und Telefon.

In den nächsten Tagen gibt es für alle, die sich für unseren kostenlosen E-Mail-Kurs (siehe unten) anmelden, ein Beispiel für eine gute Datenschutzerklärung.

​10. Erstelle eine Übersicht der Verarbeitungstätigkeiten

​Wenn dein Hundternehmen mehr als 250 Mitarbeiter hat oder du regelmäßig personenbezogene Daten verarbeitest, musst du ein Verzeichnis der Datenverarbeitungstätigkeiten führen. Dieses ist intern, du musst ​es aber auf Anfrage vorzeigen können. 


Hierzu gibt es gute Vorlagen bei der Gesellschaft für Datenschutz und Datensicherheit e.V.


​E-Mail-Kurs: Sei live dabei, wenn ich meine Blogs umstelle

Ich werde meine beiden Seiten Hundternehmer und Lieblingsrudel in den nächsten Wochen auf die neue EU-Datenschutzverordnung umstellen. Um dabei auf der sicheren Seite zu sein, habe ich mir einen erfahrenen und gut vernetzten Partner an die Seite geholt. Das Ganze sogar mit einer Förderung der EU, die ich für dieses Projekt beantragt habe. Auch spezifische Fragen zu deinem Hundternehmen können wir so beantworten und daraus eine Lernerfahrung für alle Hundternehmer im Rudel machen. 


​Wenn du Interesse hast, sozusagen live die Schritte zur Umstellung auf die EU-DSGVO mitzumachen, dann schreibe mir eine E-Mail oder kommentiere unter diesem Beitrag. ​Wenn allgemein Interesse besteht, dokumentiere ich das Ganze gern und ​informiere dich per Blog bzw. E-Mail über die einzelnen Schritte. Dort stelle ich dann auch Unterlagen, Checklisten und Übersichten zu meinen eigenen Umstellungen zur Verfügung. Den E-Mail-Kurs kannst du kostenlos einfach per Mail abonnieren.


Hat dir dieser Beitrag gefallen? Dann teile ihn mit befreundeten Hundternehmern und folge uns bei Facebook und Instagram. Wenn du ab sofort keinen Beitrag mehr verpassen möchtest, dann melde dich gleich noch für unseren Newsletter an.


Und wenn du Fragen  oder Anregungen zu dem Thema hast oder uns einfach nur von deinem Hundternehmen erzählen möchtest, dann kommentiere unter dem Beitrag oder schicke uns eine Mail. Wir freuen uns über jede Nachricht!


Folge uns