DSGVO – an sich ganz easy
Am 25. Mai 2018 gilt die neue europäische Datenschutzgrundverordnung (EU-DSGVO, engl: GDPR). Diskussionslos, das ist dann einfach so. Es waren zwei Jahre Zeit, die Prozesse daraufhin anzupassen, drauf gekommen sind die meisten erst gegen Mitte Februar 2018. Macht aber nix, so schlimm ist das alles nämlich gar nicht und das meiste ist schon seit dem Datenschutzgesetz 2000 so.
Hinweis: Dieser Artikel stellt keine Rechtsberatung dar!
Weiters handelt es sich um einen ersten, groben Überblick und hat keinen Anspruch auf Vollständigkeit. Es werden weitere Artikel mit detaillierteren Informationen folgen, die sich dann mit den einzelnen „ToDos“ befassen. Dieser Artikel wird mit weiteren Links versehen und über die nächste Zeit ein paar Updates bekommen.
Wenn Du gerade schon unruhig bist, weil so viel Text folgt: Du kannst Dich auch einfach direkt per eMail an mich wenden.
Jetzt aber zur DSGVO: Es geht dabei immer um den Schutz personenbezogener Daten. Das sind Name, Geburtsdatum, Adresse, eMailadresse, IP Adresse, Sozialversicherungenummer, Telefonnummer, Foto, Tonaufnahme, etc. Außerdem zählen auch z.B. Kundennummern, da diese eine Person bestimmbar machen. Verschlüsselte personenbezogene Daten gelten als indirekt personenbezogen. (Mehr Infos dazu, was personenbezogene Daten sind, findest Du im Detail-Artikel „Was sind personenbezogene Daten?“)
Obacht bei Informationen über politische Meinung, religiöse Ausrichtung, Sexualität, Gesundheitsdaten, genetische oder biometrischen Daten (Gesichtsbilder, Stimme und alles, woran eine Person identifizierbar ist – für Krimiautoren: Fingerabdrücke, Gebissabdruck, …) – all diese gelten als besondere Kategorien personenbezogener Daten, auch „sensible Daten“ genannt. Hier ist besonderer Schutz geboten und hier braucht es immer eine ausdrückliche Einwilligung der betroffenen Person, dass Du diese Daten verarbeitest und als Verarbeiten gilt alles, was man mit Daten machen kann, also auch speichern.
Was wir jetzt alle zu tun haben, ist wie eine Mischung aus Keller Aufräumen mit Katalogisieren und WeightWatchers.
a) Schau Dir der Reihe nach alles an, was Du so an Tools und Software bei Dir in Verwendung hast, das mit personenbezogenen Daten in Berührung kommt. Dein Mailprogramm mal ganz vorne weg – synchronisiert das auch noch mit Deinem Telefon oder hast Du überhaupt nur einen Webzugang? Benutzt Du ein Photoshop in der Cloud und bearbeitest Gesichtsbilder von Menschen? Hast Du ein CRM (Customer Relationship Management System), in dem Du Deine ganzen Kontaktdaten speicherst und Rechnungen erstellst? Lädst Du Dinge in die Dropbox? Und: Brauchst Du das alles wirklich?
Für den Überblick, was eigentlich alles an Daten bei Dir durchkommt (Mails, Rechnungen, Visitenkarten, Fotos von Menschen, Stimmaufnahmen, …), legst Du Dir einen Zettel auf Deinen Schreibtisch und schreibst beim nächsten (Kunden-) Projekt mal alles mit, was Du machst – welche Tools Du benutzt, welche Daten gehen da rein, ist das Programm dafür gedacht, dass diese Daten da drin landen? Und ggf.: Wohin überträgst Du die Daten noch? Also auch Buchhalter, Steuerberater? Sind Cloudlösungen dabei? Hochladen eines Scans der Visitenkarte in Evernote oder ein Foto der Person plus Telefonnummer, etc. im Adressbuch bei Google?
b) Überlege Dir: Brauchst Du das alles? Geht Dir ein Tool schon gehörig auf den Keks und Du wolltest schon eine ganze Weile nach einer Alternative suchen? Gratuliere, dann ist jetzt der beste Zeitpunkt! Nimm am besten ein Stück Software, dessen Hersteller seinen Firmensitz in der EU hat. Falls Du drauf kommst, dass Du Daten rumliegen hast, die Du wirklich nicht mehr brauchst, löschen. (Aber Vorsicht: Auf gesetzliche Aufbewahrungsfristen achten! Manches kann gleich nach Projektabschluss weg (Arbeitsdaten), Anderes muss für die Finanz 7 oder zur Geltendmachung oder Abwehr von Schadensersatzansprüchen 30 Jahre aufbewahrt werden.)
c) Wenn Du die Kalorien (oder Punkte) für die Praline nicht aufschreiben möchtest, dann iss sie nicht. -> Wenn Du die Nutzung eines Tools nicht ausweisen möchtest, z.B. weil es scheußliche Sachen tut (Tracking, Weiterleitung von personenbezogenen Daten Deiner Kunden an US-Unternehmen, bei denen man nicht weiß, was die damit machen oder sie höchstwahrscheinlich weiterverkaufen, etc.), dann benutz es nicht.
Was Du brauchst, wenn Du mit personenbezogenen Daten zu tun hast (IP-Adresse gilt auch!):
1. eine Datenschutzerklärung auf Deiner Website, wo alles drinsteht, welche Daten von Dir gesammelt werden und wozu. Hast Du einen Blog und Menschen können bei Dir kommentieren? Schon sammelst Du Mailadresse und ggf. Namen ein. Und wo liegen die Daten eigentlich? Wer ist Dein Hoster? Rechtsbelehrung nicht vergessen, dass Deine User wissen, an wen sie sich wenden sollen, wenn sie Fragen haben oder Auskunft möchten. Ja, es gibt mittlerweile Generatoren für Datenschutzerklärungen und die sind genau das: generisch. Das kann ein guter Anfang sein, aber es kann Dir keiner abnehmen, Dich mit Deinem eigenen Setup einmal gründlich auseinanderzusetzen. Schau gern meine Datenschutzerklärung als Beispiel an. Mehr Infos findest Du auch im Detail-Artikel „Die Datenschutzerklärung, Aufzucht & Hege“
2. ein „Verfahrensverzeichnis“, aufbauend auf der o.g. Liste, was Du so alles benutzt, was mit personenbezogenen Daten in Berührung kommt. „Verfahren“ hat in diesem Zusammenhang nichts mit Gerichtsverfahren zu tun und auch nichts damit, den falschen Weg eingeschlagen zu haben. „Verfahren“ ist im Sinne von „Vorgang“, „Prozess“ oder „Ablauf“ gemeint.
Fang mit einer Liste an:
Als Faustregel für den Firmensitz (des Herstellers) gilt:
Dein eigenes Heimatland -> yay! | EU -> ok | non-EU -> doof
Es gehören noch ein paar Informationen in dieses Verfahrensverzeichnis hinein, hierzu folgt in Kürze noch ein neuer Artikel. Fang derweil mit dieser Übersicht an.
So eine Liste musst Du als Verantwortlicher für Dein Business führen. Wenn Du Auftragsverarbeiter für jemand anderen bist, brauchst Du solch eine Liste auch noch für jeden Deiner Kunden.
3. Auftragsverarbeitungsverträge mit allen, die personenbezogene Daten in Deinem Namen verarbeiten (speichern gilt als verarbeiten!) – Da fallen auch so Sachen wie Newsletter-Versender, Mailprovider, Websitehoster, Steuerberater, Analytics-Hersteller, Cloudanbieter, Cloud-Office oder Podcast-Plattform, etc. rein. Obacht: Stimme gilt als biometrisches Merkmal und somit sogar als sensibles Datum, ebenso wie Fotos von Gesichtern oder Händen (-> Fingerabdrücke).
Für Österreich findest Du unter wko.at/datenschutz einige brauchbare Informationen und auch Mustervorlagen.
Wenn Du selbst Auftragsverarbeiter für jemand anderen bist, braucht derjenige mit Dir ebenfalls einen Vertrag.
Update vom 21.5.2018: 4. die Rechtsgrundlagen, aufgrund derer Du die personenbezogenen Daten verarbeitest. Das kann eine Einwilligung der betroffenen Personen sein (im Falle sensibler Daten brauchst Du diese tatsächlich und ausdrücklich), es gibt aber auch noch fünf weitere gute Gründe, aus denen Du personenbezogene Daten verarbeiten darfst. Diese findest Du in Artikel 6.1 a-f der DSGVO. Nach der Einwilligung folgen noch Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse sowie berechtigtes Interesse.
Nochmal zu den Einwilligungen: Denk dran, auch Leute zu fragen, ehe Du sie fotografierst. Und wenn Du Podcaster*in bist, mach Speakeragreements mit Deinen Gästen, denn die Stimme ist ein sensibles Datum. Hinweis: Einwilligungen können zwar schriftlich, mündlich und für „normale“ Daten auch konkludent erfolgen, aber die Einwilligung muss nachweisbar sein. Schriftlich ist also eine gute Idee. Und bei sensiblen Daten muss die Einwilligung wirklich ausdrücklich vorliegen. Bei einem Interview könntest Du ggf. auch zu Beginn der Aufnahme fragen, ob die Person einwilligt, dass Du ihre Stimmaufnahmen verarbeitest und in diesem bestimmten Podcast veröffentlichst, dann hast Du die Einwilligung auf Band. Natürlich muss das nicht im später veröffentlichten Gespräch vorkommen, aber wenn jemand danach fragst, solltest Du die Einwilligung nur auch wiederfinden und nicht versehentlich gelöscht haben. Noch ein Hinweis: Menschen dürfen ihre Einwilligung auch jederzeit widerrufen.
5. einen Prozess für Auskunftserteilung. Jeder User Deiner Website und all Deine Kunden dürfen jederzeit um Auskunft bitten, welche Daten Du über sie gespeichert hast und Du hast einen Monat Zeit, darauf zu reagieren. Wenn Du Deine Listen ordentlich beisammen hast, solltest Du die Anfragen flink abhandeln können. Solche Anfragen sind von Dir kostenfrei zu beantworten, außer jemand wird exzessiv; in solch einem Fall darfst Du sogar eine angemessene Gebürh verlangen. Und nicht in Panik verfallen, wenn jemand will, dass Du ALLE Daten, die Du von der Person hast, SOFORT löschst. Erst auf die gesetzlichen Aufbewahrungspflichten achten!
Es gilt ab 25. Mai auch das sogenannte „Kopplungsvervot“. Das heißt, Du darfst eine Leistungserbringung nicht an die Hergabe von Daten binden. Bestes Beispiel: Freebies. Du darfst Freebies weiterhin anbieten, aber nicht gegen z.B. eine Mailadresse, außer diese ist für die Zustellung des Frieebies oder die Leistungserbringung zwingend notwendig. Gratis Onlinekurs, wo die Mailadresse gebraucht wird, um sich einzuloggen -> OK. Gratis eBook, das man auch anders runterladen könnte und die Mailadresse „nur“ für den Newsletter eingesammelt wird -> NOT OK.
Offline hast Du auch Daten rumliegen – Deine Buchhaltung zum Beispiel, Visitenkarten, die SD-Karte aus der Kamera oder Briefverkehr. Wenn Du wie ich Deinen Schreibtisch mitten in der Wohnung hast und außer der Katze noch mindestens ein anderer Zweibeiner dort wohnt oder mal Besuch vorbeikommt, besorg Dir einen abschließbaren Schrank und pack alle Unterlagen dort hinein.
„Ja, alles einfacher gesagt, als getan. Der ganze heiße Scheiß muss doch heute gemacht werden, sonst verkauft man ja nichts mehr! Und überhaupt wird die ganze Werbeindurstrie ruiniert! …“ Jo. Gewöhn Dich dran, 2019 kommt dann die ePrivacy-Verordnung, die wird dann wirklich restriktiv. Mit der DSGVO kann man das Meiste noch machen, man muss es halt nur ausweisen. Das sieht zwar scheiße aus, wenn man auflistet, an wen man alles seine säuberlich gesammelten Kundendaten verkauft, ist aber in weiten Teilen noch nicht verboten. 2019 werden mit der ePrivacy-Verordnung einige Sachen voraussichtlich wirklich verboten sein. Noch ist Zeit, Dir eine andere Branche zu suchen, wenn die Auswertung von persönlichen Daten Dein Geschäftsmodell ist. (Ja, das ist mein Ernst.)
Noch ein Hinweis: Laut den Leitlinien der Artikel-29-Datenschutzgruppe gilt als „regelmäßige und systematische Überwachung“: jede Form der Verfolgung und Profilerstellung im Internet (auch zu Zwecken der verhaltensbasierten Werbung) – online & offline gemeint! Weiters: Betrieb eines Telekommunikationsnetzes, Anbieten von Telekommunikationsdienstleistungen, verfolgende eMail-Werbung, datengesteuerte Marketingtätigkeiten, Typisierung und Scoring zu Zwecken der Risikobewertung […], Standortverfolgung […], Treueprogramme, verhaltensbasierte Werbung, Überwachung von Wellness-, Fitness- und Gesundheitsbezogenen Daten durch […] Wearables, Überwachungskameras oder vernetzte Geräte (wie intelligente Stromzähler, intelligente Autos, Haustechnik, usw.)
Last not least möchte ich Dir die Facebookgruppe von Sabrina Keese-Haufs „Online Marketing Recht“ ans Herz legen. Dort sind einige findige Menschen, die sich gerade sehr aktiv mit dem Thema befassen und auch ihre Erfahrungen und Erkenntnisse dort zusammentragen. Außerdem gibt es jede Woche ein informatives Video zu einem Teilbereich des Themas. (Ja, es ist Facebook und sie verwenden Google Docs, aber die Infos sind durchaus wertvoll.)
Das war es für heute. Toll, dass Du bis hier hin durchgehalten hast, das Thema ist leider wirklich etwas sperrig. Es wird zu den einzelnen Teilbereichen noch weitere Artikel geben, die ich dann natürlich hier verlinke.
Und immer dran denken: alles wird gut!
***
Artikel aus dem Bereich Datenschutz:
Übersichtsartikel „DSGVO – An sich ganz easy“
„Was sind personenbezogene Daten?“
Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
Die Datenschutzerklärung – Aufzucht und Hege
Auftragsverarbeitungsverträge – sichere Dich rechtlich ab
9 Kommentare