Die Datenschutzgrundverordnung (EU-DSGVO) ist bereits im Jahr 2016 in Kraft getreten. Während größere Unternehmen ihren DSGVO-Change längst auf die Zielgerade gebracht haben, hinken kleine Betriebe immer noch hinterher. Dieser Beitrag gibt Dir einen kompakten Überblick über Elemente der DSGVO, die auch für Start-ups wichtig sind!

DSGVO: Für jede Rechtsform relevant!

Der Artikel kann und soll keine Rechtsberatung geben oder ersetzen! Datenschutz ist ein komplexes Thema. Bei aller Sorgfalt, die wir auf unsere Recherche verwenden, kann ein Blogbeitrag nicht alle Aspekte des Themas Datenschutz und Datensicherheit würdigen. Sicherheitshalber solltest Du die Details daher mit einem Anwalt oder Datenschutzexperten erörtern.

Trotzdem: Wenn Du jedoch die folgenden Punkte beachtet, bist Du auf dem richtigen Weg! 👍

Punkt #1: Rechtssicherheit

Als Erstes solltest Du Deine Datenschutzerklärung überarbeiten. Diese muss alle Details aufführen, welche personenbezogenen Daten Sie wo, zu welchem Zweck und auf welche Weise übertragen, speichern und verarbeiten. Am besten lässt Du Dir bei der Formulierung von einem Fachanwalt oder Datenschutzexperten helfen.

Wusstest Du, dass z. B. auch IP-Adressen personenbezogene Daten sind? Schließlich lassen sie sich zu einer Person zurückverfolgen. Die Datenschutzerklärung muss von jeder Seite der Website aus mit einem Klick erreichbar sein. Für jeden Verarbeitungszweck (bspw. ein Newsletter) benötigst Du eine Einwilligung der betroffenen Nutzer. Die Einwilligung solltest Du mit Zeitstempel speichern. Wenn der Betroffene seine Einwilligung widerruft, muss der Widerruf ebenfalls mit Zeitstempel protokolliert werden.

Unser Tipp: Sei gut darauf vorbereitet, auf Verlangen eines Nutzers, dessen sämtliche Daten aus Ihrem System zu löschen (Stichwort „Recht auf Vergessenwerden“) oder an einen anderen Dienstleister herauszugeben (Stichwort „Datenportabilität“). Es sei denn, die Daten unterliegen einer gesetzlichen Aufbewahrungspflicht.

GDPR =
General Data Protection Regulation
(Allgemeine Datenschutzverordnung)

Punkt #2: Meldepflichten

Betriebe, in denen mehr als zehn Mitarbeiter ständig mit Datenverarbeitung beschäftigt sind, müssen einen Datenschutzbeauftragten benennen. Datenlecks müssen binnen 72 Stunden nach Bekanntwerden an die zuständige Behörde gemeldet werden. Wenn der Vorfall Einfluss auf das Persönlichkeitsrecht von Betroffenen hat, müssen auch diese innerhalb desselben Zeitfensters informiert werden.

Punkt #3: Datensicherheit

Für die Datensicherheit benötigt Deine Website an erster Stelle ein SSL-Zertifikat. Dann ist es wichtig, State-of-the-Art-Technologien zu verwenden. Das bedeutet, dass Du immer die aktuellsten Versionen sowohl Deiner Web-Software (z. B. WordPress) als auch der verwendeten Plugins verwenden musst. Selbstredend müssen Sicherheitsupdates und Patches ebenfalls sofort installiert werden.

Die DSGVO fordert darüber hinaus „technische und organisatorische Maßnahmen“, so genannte TOMs, die den Datenschutz gewährleisten. Falls Du Software anbietest, so musst Du bei der Entwicklung die Grundsätze von Privacy by Design und Privacy by Default beachten, d. h. etwa bei Zugriffsberechtigungen ab Werk immer die höchste Sicherheitsstufe einstellen.

Einige Änderungen enthält die DSGVO auch für die Auftragsverarbeitung (früher „Auftragsdatenverarbeitung“). Wenn Du beispielsweise mit Cloud Software arbeitest (oder selber eine solche anbietest) musst Du einen Vertrag zur Auftragsverarbeitung schließen, der mit der neuen DSGVO kompatibel ist. Deine Internetpräsenzen – Website, Blog, Shop oder Ähnliches – müssen adäquat vor Hackern und Datendieben geschützt sein. Der Zugriff auf personenbezogene Daten muss auf das notwendige Maß beschränkt werden. Am besten schützt Du diese Daten durch Berechtigungen und Passwörter.

Punkt #4: Formulare

Hast Du Formulare auf Deiner Website, in die Nutzer ihre Daten eintragen? Dies sind zum Beispiel Registrierungsformulare, Bestellformulare, Kommentar- und Bewertungsformulare usw. Neben den jeweiligen Datenfeldern solltest Du in verständlicher Form darauf hinweisen, was mit den übertragenen Daten geschieht. Außerdem sollten Deine Formulare einen Verweis und Link auf Deine Datenschutzerklärung enthalten.

Bei der Registrierung solltest Du von den Nutzern ein komplexes Passwort verlangen. Akzeptiere z. B. nur Passwörter mit einer bestimmten Mindestlänge und einem Mix von Buchstaben, Zahlen und / oder Sonderzeichen.

Punkt #5: Newsletter

Newsletter-Bestellungen sollten nur mit einem Double-Opt-In möglich sein. Das bedeutet, dass der Benutzer als Erstes ein Bestell-Formular ausfüllt, in dem er auch anhakt, dass er Ihre Datenschutzerklärung akzeptiert, und als Zweites daraufhin eine E-Mail von Ihnen erhält, in der er einen Link anklicken muss, um seine Bestellung zu bestätigen.

Erkläre Deinem Nutzer genau, was er bekommt. Wenn Dein Newsletter neben Informationen auch Angebote enthält, solltest Du das transparent erklären. Bei mehreren Newslettern muss für jeden eine separate Einwilligung eingeholt werden. Der genaue Zeitpunkt der Einwilligung muss protokolliert werden (ebenso natürlich der Zeitpunkt eines eventuellen Widerrufs seitens des Nutzers).

Punkt #4: Newsletter- Service

Wird ein Newsletter-Service verwendet? Wenn ja, dann muss auch mit dem betreffenden Dienstleister ein Vertrag zur Auftrags(daten)verarbeitung geschlossen werden. Dienstleister außerhalb der EU müssen adäquate Datenschutzvorkehrungen nachweisen und vertraglich zusichern. US-Anbieter müssen EU-US Privacy Shield-zertifiziert sein.

Punkt #5: Bezahldienste

Wenn PayPal oder sonstige Dienstleister für die Online-Zahlungsabwicklung genutzt werden, muss in der Datenschutzerklärung genau beschrieben sein, welche Daten zu welchem Zweck wohin übertragen werden und von wem sie gespeichert werden.

Punkt #6: Eingebundene Technologien

Unter diesem Oberbegriff sind Plugins, Widgets, iFrames, Skripte und Schnittstellen gemeint. Wenn diese Elemente personenbezogene Daten der Website-Besucher oder -Nutzer speichern, sollte gewährleistet sein, dass:

• das Element DSGVO-konform ist (wird normalerweise vom Anbieter angegeben)
• nicht mehr Daten gesammelt werden, als für den Verarbeitungszweck (z. B. Bestellung, Newsletter-Versand) notwendig sind
• alle übrigen, hier aufgeführten Punkte beachtet werden (Erwähnung in der Datenschutzerklärung, sichere Speicherung der Daten, Zugriffsbeschränkung, Vertrag für Auftragsverarbeitung der Daten, eventuelle zusätzliche Zertifizierung und vertragliche Absicherung bei Anbietern außerhalb der EU).

Einen Beitrag über die DSGVO-Konformität von WordPress-Plugins findest Du hier. Außerdem geben die Entwicklertools von Chrome Auskunft, welche Daten Ihre Plugins senden. Du erreichst diese im Menü des Chrome Browsers. Dieses öffnest Du über den Button neben der Adresszeile ganz rechts oben. Klicke dann Weitere Tools > Entwicklertools (Strg+Umschalt+I). Auch andere Webtols, wie z. B. Ghostery, spüren Tracking-Technologien auf.

Aussagen des Autors geben nicht unbedingt die Meinung der Redaktion wieder.