Struktur Datenschutz

Praxisfall: Die DSGVO ist wie Sex – etwas sehr Individuelles

Kaum ein anderes Thema treibt aktuell die digitale Welt in der EU, wie es die EU-Datenschutzgrundverordnung (DSGVO) tut. Dabei sind die meisten Themen nichts Neues, sondern in Deutschland schon seit langer Zeit aktiv. Nur hat es niemanden interessiert, weil die Strafen zu niedrig waren oder weil sich die Leute einfach einen Dreck um den Datenschutz kümmern.

Lesedauer: 5 Minuten

DSGVO – mehr Panik, als notwenig

Allzu erstaunt war ich über die Entrüstung zum Facebook-Datenskandal. Kehre zunächst vor deiner eigenen Tür!

Hohe Bußgelder und Abmahnungen sind die KayPanicFacts. Es geht aber vor allem um „Schadensersatzansprüche bei Datenschutzverletzungen“. Im Grunde kann dir jeder gegen den Karren pissen. Und das vermeide und bekämpfe ich lieber aktiv als reaktiv.

Und es ist einfach, die gröbsten Themen umzusetzen. Doch es ist auch Arbeit und gehört einfach dazu. Wer diese Arbeit scheut, sollte weder eine Website oder Blog, noch ein Unternehmen führen.

Meine erste Website habe ich ca. 2001 ins Netz gestellt und es folgten viele Portale, Blogs und statische Websites für Firmen. Bestimmte Grundsätze wandte ich schon immer an und genau deshalb ist die DSGVO kein Teufelszeug.

Damit du nicht im Dschungel der Laieninterpretationen und Wutdiskussionen versinkst, kommt hier (m)ein Praxisfall. Wie bin ich an die Thematik herangegangen und welche Schritte habe ich unternommen. Vielleicht auch ein Fahrplan für dich, dann schaffst du es bis zum 25. Mai 2018.

Ein kleiner Disclaimer: Das ist kein Rechtsbeistand oder ähnliches und definitiv nicht vollumfassend oder auf Immer gültig. Möchtest du die Umsetzung individuell und sicher für dich, dann konsultiere den Datenschutzbeauftragten deines Vertrauens.

Die Grundlagen der DSGVO

Don’t trust the Gurus!

Seit das Thema in den sozialen Medien präsent geworden ist, schiessen Online-Kurse, eBooks etc. wie Pilze aus dem Boden. Es wird mit Bußgeldern Panikmache betrieben und Angst geschürt. Warum? Natürlich auch um die eigenen Kurse gewinnbringend an den Ahnungslosen zu bringen.

Daher achte darauf, wer wirklich Inhalte bietet und nicht wer am lautesten schreit.

Die DSGVO ist wie Sex – etwas sehr Individuelles

Das was du gleich liest, ist meine Strategie und sie funktioniert für mich. Du wirst es nicht Eins zu Eins so übernehmen können. Entwickle eine Sicht auf das Thema und hinterfrage lieber einmal mehr. Du kannst dir alle Bausteine ansehen, kategorisieren und dann entscheiden, was davon du wirklich benötigst bzw. für dich zutrifft.

„Privacy by design“

Überlege vor dem Start oder der Umsetzung, was du ggf. in Richtung Datenschutz beachten musst. Du möchtest einen Online-Shop eröffnen? Dann schreibe alle Datenarten auf, die du benötigst. So kannst du bei der Umsetzung bereits alles gestalten und musst nicht im Nachhinein teure und aufwendige Änderungen vornehmen.

Datenminimierung

Hinterfrage dich bei jeder Datenerfassung: „Brauche ich das wirklich?“ Je weniger Daten du verarbeitest oder speicherst, desto übersichtlicher und einfacher wird das Thema.

Beschreibe es in deinen eigenen Worten

Du kannst Copy&Paste Texte übernehmen. Wenn du sie jedoch nicht verstehst, dann kann es schnell gefährlich werden. Beschreibe daher soviel wie möglich in deiner eigenen Sprache. So wirst du es verstehen und kannst es auch begründen.

Machen machts!

Du kannst tagelang in Foren mosern, diskutieren und schimpfen. Du kannst Petitionen unterschreiben oder lethargisch in der Ecke sitzen. Oder du gehst es an!

Die Umsetzung

Zugegeben, auch ich war in einem kleinen Loch als mir das Ausmaß der Anforderungen bewusst wurde. Allerdings konnte ich auf meine rationale Seite zurückgreifen und sammelte die Themen in einer Checkliste. Danach war es „nur noch“ die Umsetzung und inzwischen bin ich sehr gut aufgestellt und kann mich wieder auf meine Kerntätigkeiten stürzen.

Du denkst dir „Das dauert doch ewig!“ Ja und nein. In den meisten Fällen, die ich in Facebook-Gruppen mitbekommen habe, ist der Umfang überschaubar und es dauert insgesamt keinen halben Tag. Jeder, der ein Unternehmen führt oder ernsthaft eine Website betreibt, sollte sich nicht davor fürchten, sondern handeln.

1. Beschäftigung mit dem Thema

Hol dir ein eBook oder ein physisches Buch. Vielleicht auch einen Online-Kurs. Es muss aber nicht teuer sein. Wichtiger ist die Praxis und das es verständlich erklärt ist.
Für mich war es das eBook von T3n und Dr. Thomas Schwenke.

2. Sammlung von Prozessen, bei denen personenbezogene Daten gespeichert oder verarbeitet werden

Mache eine komplette Liste mit allen Orten, Prozessen usw. wo du (personenbezogene) Daten speicherst. Wenn du dir nicht sicher bist, ob der Punkt dazu gehört, aufschreiben! Im Zweifel immer rein damit.Ich habe es im iPhone in den Notizen gemacht und über einige Tage gesammelt.

3. Sammlung von Services, welche ich nutze (Mail, Hosting, usw.)

Wie in Punkt 2: Sammle alle Orte und Dienste, wo Daten verarbeitet und gespeichert werden. Vergiss hier auch nicht Mobiltelefon, Apps, Mail-Programme, Marketing-Tools etc.!

4. Überprüfung der Einbindung von externen Sourcen auf den WebProjekten (GoogleFonts, Analytics, VGWort, Cookies usw.)

Beim Thema Website ist es wichtig zu wissen, wo Daten oder Module nachgeladen werden.

Beispiele:

  • Statistik-Tools (GoogleAnalytics, Piwik und Co)
  • Schriften die auf anderen Servern liegen (GoogleFonts etc.)
  • VGWort „Pixel“
  • CDN’s (Hosting von Dateien auf externen Servern zur Ladezeitminimierung)
  • Embedded Content ((YouTube) Videos, Instagram Feed etc.)

Nachvollziehen kannst du es mit diversen Tools, die für die gängigen Browser als AddOn bereitgestellt werden. Ich nutze „WebDeveloper“ im FireFox und sehe dort in der Netzwerkanalyse, was von wo geladen wird.

5. Umstellung aller Websites auf SSL / TLS

Dies sollte seit Jahren schon Standard sein. https:// ist ein Muss!

6. Anlage des Kataloges von Datenverarbeitungsprozessen. Beschreibung der Prozesse und Services

Ob benötigt oder nicht, ich empfehle dir ganz klar einen „Katalog der Datenverarbeitung“ anzulegen. Dies verursacht anfangs Arbeit, jedoch erhältst du so einen guten Überblick über deine Daten und das Bewusstsein dafür. Bei Anfragen von extern durch Behörden, Marktbegleiter oder Kunden kannst du außerdem schnell reagieren und musst dich nicht immer wieder reindenken.

7. Sammlung/ Anforderung und Übersicht der Auftragsdatenverarbeitungsverträge

Überall, wo „deine“ Daten durch Externe verarbeitet und gespeichert werden (Google, Hosting-Provider, E-Mail-Provider etc.), benötigt es einen Auftragsdatenverarbeitungsvertrag (ADV).
Warum? Der Verarbeiter muss dir mitteilen und bestätigen, was er mit den Daten macht und wo diese gelagert werden, so dass du sicherstellen kannst zu wissen, was mit den Daten passiert.

Ein Gegencheck: Jemand kommt zu dir und fragt dich „Was passiert bei Google oder wird gespeichert, wenn ich auf deiner Website bin?“ Das musst du beantworten können und genau dafür ist der ADV notwendig.

8. (Technische) Änderungen an den Websites, um nur noch minimal externe Quellen zu nutzen.

Nachdem mir bewusst wurde, welche Daten ich von extern hole, habe ich angefangen nach und nach diese zu deaktivieren oder den ADV zu holen.

  • ADV beim Hoster angefordert
  • Gravatar im WordPress deaktiviert
  • GoogleFonts „lokal“ eingebunden
  • Sharing von YouTube-Videos geändert (werden jetzt erst nach Akzeptierung des CookieConsent geladen)
  • Verzicht auf CDN. Speicherung verschiedener Skripte auf dem eigenen Host

9. Erweiterung und Anpassung der Datenschutzerklärung (DSE) auf jedem Projekt

Im Zuge dessen habe ich das Impressum und die Datenschutzerklärung auf allen Projekten angepasst. Dafür habe ich Fragmente aus den Guides übernommen, aus Generatoren und auch eigene Teile integriert. Bei den Datenschutzerklärungen achte darauf, dass nur Dinge enthalten sind, die du auch wirklich nutzt und benötigst. In Generatoren kannst du meist alles anklicken, das ist aber nicht sinnvoll. Wenn du kein Facebook- oder Twitter-Plugin einsetzt, dann benötigst du dafür auch keinen Text in der DSE.

Wichtig! Passe auf bei Generatoren. Die Sicherheit ist trügerisch. Hinterfrage jeden Punkt und achte auf Vollständigkeit. Vergleiche mit deiner Prozesssammlung.

Mein Tipp: Schaue ab und an auf den Websites vom TÜV Süd, diversen Rechtsanwälten und Co in die DSE und das Impressum und vergleiche die Formulierungen und Inhalte. Hier ist mit Sicherheit davon auszugehen, dass sie auf den aktuellen Stand und rechtlich sicher sind.

10. Erläuterung der Sicherheitsmaßnahmen / des Sicherheitskonzeptes

Für die meisten vermutlich nicht unbedingt notwendig, jedoch sinnvoll. Beschreibe in eigenen Worten, welche Sicherheitsmaßnahmen du triffst. Für mich ist es zum Beispiel selbstverständlich für jeden Zugang ein eigenes Passwort und eine eigene E-Mail-Adresse zu vergeben. Klingt kompliziert? Mit „CatchAll-E-Mail-Adressen“ ist das einfach umgesetzt. Auch die regelmäßige Änderung von Passwörtern, die sichere Verwahrung von lokalen Sicherungen, Nutzung aktueller Updates etc. spielen in diesen Punkt mit ein.

11. Zusammengefasste Risikoabschätzung

Wenn du nur Daten mit geringem Risiko oder geringer Relevanz erfasst und verarbeitest, dann reicht es aus, dies so kurz zu beschreiben. Natürlich bist auch du verpflichtet, bei Datenpannen die zuständige Behörde innerhalb weniger Stunden zu informieren.

12. Templates für Antworten

Mit der DSGVO ist es für jeden möglich bei dir anzufragen, welche Daten von ihm gespeichert sind oder verarbeitet werden. Dazu ist es ratsam und zeitsparend diverse Vorlagen und Textbausteine zu überlegen. Hier wird es nach dem Start Ende Mai nach und nach Standardtexte geben, die du dann auch für dich anpassen kannst.

Und jetzt gehst du es an! Um zum Schluss eine Prüfung zu machen, stelle dir selbst die Frage: „Was passiert bei Prozess X, wenn ich das oder das mache?“ Kannst du das (und du kannst es für beliebige Prozesse) beantworten, dann hast du es sehr gut umgesetzt.

(Den Stresstest kannst du mit dem „DSGVO-Abltraum-Brief“ machen).

Und jetzt viel Erfolg und DON’T PANIC!