Die neue DSGVO und was das bedeutet
Zunächst aber folgender Hinweis: Dies hier ist keine Rechtsauskunft und vorbehaltlich von Fehlern oder Irrtümern. Wenn Sie formaljuristisch eine Auskunft benötigen, wenden Sie sich bitte an einen Fachanwalt. Informationen zur Verordnung finden Sie auf den offiziellen Seiten in allen relevanten Landesprachen. Wenn Sie G-Suite Nutzer sind, dann haben Sie bereits vor einigen Tagen schon alle relevanten Informationen und Quellhinweise erhalten. Wenn Sie nach den Hilfestellungen von Google verfahren sind - sind Sie bereits gut vorbereitet.
Also um was geht es eigentlich? Aktuelle Skandale wie bei Facebook zeigen, wie wichtig es ist, dass die Daten von Menschen geschützt werden müssen. Aber wenn Sie nun meinen damit ist es getan, dass die EU eine Verordnung durchsetzt - Fehlanzeige. Sie selbst haben die Hauptverantwortung was den Schutz Ihrer Daten angeht!!! Dennoch ist es durchaus richtig und das zeigt das jüngste Beispiel bei Facebook, dass auch der Gesetzgeber hier wichtige Grundlagen schaffen muss. Daher:
Also um was geht es eigentlich? Aktuelle Skandale wie bei Facebook zeigen, wie wichtig es ist, dass die Daten von Menschen geschützt werden müssen. Aber wenn Sie nun meinen damit ist es getan, dass die EU eine Verordnung durchsetzt - Fehlanzeige. Sie selbst haben die Hauptverantwortung was den Schutz Ihrer Daten angeht!!! Dennoch ist es durchaus richtig und das zeigt das jüngste Beispiel bei Facebook, dass auch der Gesetzgeber hier wichtige Grundlagen schaffen muss. Daher:
Die Datenschutz-Verordnung regelt europaweit, wie personenbezogene Daten von privaten Unternehmen und öffentlichen Stellen verarbeitet werden "dürfen" (sollten). „Die Intention der Verordnung ist, die Privatsphäre des Einzelnen zu schützen. Aber die Verordnung macht es Unternehmen nicht einfacher, da beispielsweise in manchen Fällen unklar bleibt, welche Regelung gültig ist“.
Daher ist das Ganze wieder ein gefundenes Fressen für "Geldmacherei". Berater, Anwälte, Zertifizierungs-Organisationen und und und - sind am Start, denn jetzt lässt sich Geld verdienen. Aber auch Versicherungen haben sich schon auf das Thema eingeschossen und bieten entsprechende Pakete oder Zusatzleistungen bspw. in der Haftpflicht an. Sprechen Sie mit Ihrem Versicherer, wenn Sie dahingehend einen Bedarf erkennen auf Online/Internet/Datenschutz oder Urheberrecht an und welche Kosten im Falle eines Falles übernommen werden.
Doch mit einigen Punkten, wenn diese Ihre Beachtung finden, sind Sie schon sehr gut aufgestellt. Letztlich wird man sehen, wie der "Feinschliff" bei der Verordnung seitens der Justiz ausfallen wird. Auch die verdienen satt daran, denn jeder Prozess bringt Geld.
Also hier einmal ein paar Punkte (ohne Rechtsanspruch und Zitate) die Sie sich in jedem Fall einmal ansehen sollten:
Verfügbarkeit - Jeder hat das Recht zu erfahren, welche Daten ein Unternehmen bzw. eine Organisation über einen besitzt. (Anmerkung: Das gilt vor allem auch für Behörden, wie bspw. auch die Agentur für Arbeit!!!)
Zitat: „Unternehmen und Organisationen müssen sicherstellen, dass sie bei einer entsprechenden Anfrage auch wirklich nur der berechtigten Person Auskunft geben und erhalten.“
Nachvollziehbarkeit - Unternehmen und Organisation müssen nachweisen können, wie personenbezogene Daten gespeichert und verarbeitet werden.
Zitat:„Für Unternehmen bedeutet Nachvollziehbarkeit, dass sie auch nachweisen müssen, wer die Informationen gesehen hat, aber auch, wer Zugriff darauf hatte.“
Wenn Sie G-Suite einsetzen können Sie die übrigens sehr gut und umfangreich nachweisen.
Verfügbarkeit - Jeder hat das Recht zu erfahren, welche Daten ein Unternehmen bzw. eine Organisation über einen besitzt. (Anmerkung: Das gilt vor allem auch für Behörden, wie bspw. auch die Agentur für Arbeit!!!)
Zitat: „Unternehmen und Organisationen müssen sicherstellen, dass sie bei einer entsprechenden Anfrage auch wirklich nur der berechtigten Person Auskunft geben und erhalten.“
Nachvollziehbarkeit - Unternehmen und Organisation müssen nachweisen können, wie personenbezogene Daten gespeichert und verarbeitet werden.
Zitat:„Für Unternehmen bedeutet Nachvollziehbarkeit, dass sie auch nachweisen müssen, wer die Informationen gesehen hat, aber auch, wer Zugriff darauf hatte.“
Wenn Sie G-Suite einsetzen können Sie die übrigens sehr gut und umfangreich nachweisen.
- Verweisen Sie auf G-Suite Dokumentation
- Sorgen Sie dafür das keine Freigaben außerhalb Ihrer Organisation erfolgen und wenn ja prüfen Sie diese Freigaben regelmäßig und löschen Sie diese wieder
Transparenz - Unternehmen und Organisationen müssen klar und verständlich formulieren, wie sie personenbezogene Daten verarbeiten und verwenden.
Übertragbarkeit - Jede Person kann verlangen, dass ein Unternehmen oder eine Organisation die gespeicherten Daten an Dritte übergibt.
Korrektur - Jede Person hat das Recht, dass falsche Daten korrigiert werden.
Löschung - Jede Person kann verlangen, dass seine Daten gelöscht werden. Das gilt auch dann, wenn er der Speicherung seiner Daten bereits zugestimmt hat. Und zwar vollständig - also auch innerhalb der Weiterverarbeitung!
Sorgen Sie dafür, dass Ihre Website verschlüsselt ist. Setzen Sie Google Sites ein so ist dies gewährleistet auch wenn die Domain in der URL nicht mit "https" aufgelöst (angezeigt) wird. SSL Zertifikate sind bspw. bei Hosting-Anbietern, wie Strato im Domain Paket enthalten, müssen aber aktiviert werden. Das kann aber zu Problemen mit der eMail Verschlüsselung führen, wenn die Website-Inhalte nicht beim Hoster liegen wo auch eMail läuft.
Internetseiten, auf denen personenbezogene Daten erhoben werden, müssen künftig "grundsätzlich" verschlüsselt sein. Dies gilt in jedem Falle dort, wo es um Kontaktformulare oder Newsletteranmeldungen geht.
Der Laie denkt verschlüsselte Seiten erkennt man daran, dass die URL mit https anfängt. Viele Browser zeigen dann ein Schloss vor der URL an oder das Wort „sicher“. Also machen Sie es sich leichter und auch den Besuchern Ihrer Website, etc. und sorgen Sie dafür das dies angezeigt wird.
So sieht es aus wenn es richtig läuft (Chrome-Browser):
Ebenso wichtig oder noch wichtiger ist das Thema, wie Sie mit eMails umgehen. Der Weg über POP3 ist ggf. kritisch! Bearbeiten Sie Ihre eMails möglichst online direkt beim Anbieter (GMails bei Google) ohne diese weiter zu leiten oder herunterzupollen, dann ist dies sicherer. Mit bspw. G-Suite und in Verbindung mit Chromebooks oder anderer Chrome OS Hardware, können Sie zudem sicherstellen, dass Mitarbeiter auch keine Daten mitnehmen, wenn Sie das Unternehmen verlassen. Übrigens: Die Übertragung der eMails innerhalb Google ist maximal sicher! Also alles was lokal gespeichert werden kann ist erstmal "pfui"!
Überprüfen Sie alle Formulare auf ihrer Webseite! Kann man auf Ihrer Website einen Termin vereinbaren? Oder sich für einen Newsletter anmelden? Oder Ihnen über ein Formular eine Nachricht schreiben? Dann müssen Sie das Kontaktformular genauer ansehen. Sie dürfen in ihren Formularen nämlich nur die personenbezogenen Daten erheben, die Sie tatsächlich brauchen!
Zitat:"Daher dürfen die Felder für den Vor- und den Nachnamen KEINE Pflichtfelder sein. Pflichtfelder in Formularen – in diesem Fall nur das Feld für die E-Mail-Adresse – müssen gekennzeichnet sein. Wenn Sie noch weitere Daten erheben wollen, dann muss für den Nutzer klar sein, dass diese Angaben freiwillig sind."
Social Media Plugins - Kurz um: Finger weg vom Facebook-Like-Button oder verzichten Sie darauf, das sich Nutzer über Facebook, Twitter etc. einloggen können. Zitat:" Wer sich nackt auf den Marktplatz stellt, braucht sich nicht zu wundern, wenn er dafür nicht nur Lob und Anerkennung erntet."
Informieren Sie über Cookies - Fast alle Webseiten verwenden Cookies. Besonders bei PWA Websites GANZ WICHTIG, die kommen ohne Cookies nicht aus.
Informieren Sie über Datenschutz und Widerspruchsrecht/ Widerrufsrecht.
Wenn Sie sich bisher noch nicht gekümmert haben - dann wird es aber Zeit!
Fazit (Achtung Meinung enthalten): Die Verordnung ist ein wichtiger Schritt in die richtige Richtung. Bedauerlich, dass es sein muss, weil mit dem Schutz von Daten nicht selten so fahrlässig umgegangen wird. Es ist nicht leicht, wenn der Nutzer alles kostenlos will aber dann nicht versteht, dass es alterativen Finanzierungswegen bedarf um Leistungen überhaupt anbieten zu können. Das geschieht in der Regel über Werbung. Dieser Weg ist auch soweit erst einmal in Ordnung. Daten anderweitig zu vermarkten, wie im Fall von Facebook ist ein ganz schlechter Stil. Dennoch - es war nicht nur absehbar, sondern völlig logisch. Brancheninsider verwundert es auch überhaupt nicht. Und dennoch ist der Weg, der nun über diese Verordnung gegangen wird letztlich nur Semi-Sinnvoll. Viel wichtiger wäre den Schutz der Daten dort zu verankern wo die Datenquelle liegt. Damit spreche ich von Zweifaktoren-Authentifizierung oder der Verantwortung bei jedem selbst der seine Daten geschützt haben möchte. Wer seine Adresse nicht angeben will, der muss die Ware halt abholen. Doch ganz ehrlich so schützend wert sind nicht alle Daten und da wo es darauf ankommt Daten zu schützen macht gerade der Staat turbulente Kapriolen, wenn es bspw. um Gesundheitsdaten und Krankenakten oder im Zuge von staatlicher Kontrolle bei dem Thema Vorratsdatenspeicherung geht. Mal Klartext: Wenn es euch interessiert - meine Schuhgröße ist 45 aber warum ich zuletzt beim Arzt war geht euch einen Schei..... an!
In diesem Sinne: Es bleibt spannend!
