Die DSGVO kommt am 25.05.2018 und alle sind in Panik. Ich bin ja ein totaler Fan von Jürgen Recha von der ->interev GmbH. Er ist Datenschutz Experte aus Hannover und hat es geschafft, das aktuelle Panik-Thema für Selbstständige: „DSGVO“ so einfach zu erklären, dass ich das total verstanden habe.
In Zusammenarbeit mit ihm ist der folgende Beitrag entstanden:
Inhalt:
Welche Daten sind für die DSGVO relevant?
Die DSGVO kümmert sich für personenbezogene Daten, wie z. b. Name, Adresse, Email, Telefonnummer, Geburtsdatum und IP-Adresse. Darüber hinaus gibt es besonders schützenswerte Daten z.B. über politische Ausrichtung, Gesundheit und sexuelle Vorlieben, die besonders sensibel gehandhabt werden müssen.
Es ist wichtig, dass Du beschreibst, was Du für Daten sammelst und was genau damit passiert. Beachte dabei auch die unterschiedlichen Gruppen: Mitarbeiter, Kunden und Lieferanten. Auch bei potentiellen Kunden muss Du dokumentieren, was mit ihren Daten passiert. Und vor allem musst Du beschreiben, was Du tust, damit diese Daten bei Dir gut aufgehoben sind.
Kurz gesagt: Welche Daten hast Du von wem bekommen? Und was machst Du damit?
Im Internet ist von Strafen die Rede, muss ich Panik vor Abmahnanwälten haben?
Nein, Du musst keine Panik haben. Der Weg um für das Nichteinhalten der DSGVO bestraft zu werden, ist anders als bei der Verletzung von Urheberrecht. Dort kann man Anwälte losschicken, die den ganzen Tag nichts anderes machen, als Leute für die Verletzung der eigenen Urheberrechte abzumahnen – weil sie das Geld von Dir direkt bekommen können.
Bei der DSGCO ist es anders. Nur wenn jemand nachweisen kann, dass er durch Deine Verletzung der DSGVO geschädigt wurdest, kann er Dich bei der entsprechenden Behörde anzeigen. Diese Behörde ist derzeit völlig unterbesetzt und total überfordert. Vermutlich verfolgen die auch nicht direkt jeden Kleinstfall. Die Behörde prüft jedenfalls, ob die Verletzung vorliegt und erst dann kommt es zu Strafen. Vorher hat jeder das Recht auf Stellungnahme. Das Vorgehen ist so, dass Du erst eine Verwarnung bekommst, anschließend eine Rüge, dann folgt eine Aussetzung der Datenverarbeitung und wenn Du dann immer noch nichts getan hast, gibt es saftige Strafen. (Das ist deutlich zu sehen in einer animierten ->Infografik der EU). Die Strafe richtet sich nach dem Schaden, den jemand durch Deine Nachlässigkeit bekommen hat. Also wird die Strafe für ein nicht optimal durchgeführten Double-Opt-in bei der Newsletter-Anmeldung sicher nicht so hoch sein, wie wenn ein Online-Shop konsequent den Datenschutz außer Acht lässt oder Du systematisch Deine Kundendaten an Spam-Firmen verkaufst.
Also wenn Du sorgsam mit den Daten Deiner Kunden umgehst, sollte hier Dein Risiko sehr klein sein.
Wer könnte mich für Fehler im Datenschutz anzeigen?
Ein Mitbewerber könnte auf die Idee kommen, dass er Wettbewerbsnachteile hat, weil Du viel zu locker mit den Datenschutzbestimmungen umgehst und er sie dagegen einhält. Dann kann er Dich anzeigen, weil er schwerer an Kunden kommt als Du und einen Wettbewerbsnachteil hat. Wobei ich als Kunde eher jemanden beauftragen würde, der sorgsam mit meinen Daten umgeht, aber nunja… wir reden über den Härtefall. Das ist dann faktisch aber kein Fall für den Datenschutz, sondern eher für das Gesezt zum unlauteren Wettbewerb (UWG). Das geht aber jetzt auch schon.
Ein (potentieller) Kunde stellt fest, dass mit seinen Daten Missbrauch getrieben wurde. Z.B. hat er nur Dir etwas mitgeteilt und das ist jetzt an anderer Stelle im Internet zu finden. Er hat einen Schaden und kann Dich anzeigen.
Jemand bewirbt sich einfach bei Dir (auch wenn es überhaupt keinen Sinn macht) und Du erwähnst z.B. in dem Antwortschreiben nicht, was jetzt mit diesen Daten passiert. Also, dass du die Dokumente und Daten sofort löschst. Das könnte ein Grund für eine Anzeige sein.
Darf ich mit der DSGVO potentielle Kunden noch anschreiben?
Das ist auch eins der Gerüchte die im Internet umgehen, dass man ab jetzt niemanden mehr anschreiben darf. Wenn Du private Kunden hast, stimmt das auch. Du darfst sie nur anschreiben, wenn Du von ihnen Ihr Einverständnis bekommen hast. Das heißt, Du musst explizit abfragen ob sie mit der Datenspeicherung und -verwendung einverstanden sind.
Bei geschäftlichen Kontakten ist es nicht ganz so hart. Wenn Dir jemand persönlich eine Visitenkarte überreicht hat, darfst Du diese Person anschreiben. Es hilft allerdings, wenn Du bei dem Gespräch abfragst, ob sie damit einverstanden sind, dass Du ihre Daten verwendest. Wenn jemand z.B. als Inhaber einer Firma der Eigentümer einer Webseite ist, ist diese Person Impressumspflichtig und damit sind diese Informationen über Name, Adresse, Telefonnummer etc. öffentlich verfügbar. Das heißt es handelt sich in diesem Fall nicht mehr um personenbezogene Daten. Diese Informationen kannst Du für Dein Marketing verwenden.
Kaltakquise ist allerdings ein Problem. Theoretisch darfst Du jemanden nur noch anrufen oder digital anschreiben, wenn Du das Ok von der Person bekommen hast. Das bei Kaltakquise ja nicht der Fall. Gute Email-Marketing Dienstleister fragen vorher an, ob sie ein Angebot per Mail unterbreiten dürfen. Kalte Telefonanrufe sind DSGVO-bezogen ein wenig fragwürdig. Ich glaube nicht, dass Dich jemand deswegen anzeigen würde, besonders wenn Du ein „Nein“ an der Stelle akzeptierst und Dich nicht wieder meldet. Wenn Du jemanden allerdings nervst, wäre ich vorsichtig. Unabhängig davon ist es ein Fall für den Bereich des unlauteren Wettbewerbs (UWG).
Auf was muss ich bei Tools achten, die ich verwende?
Wir alle verwenden haufenweise Tools, die uns das Leben erleichtern. Wir nutzen Google Analytics, haben einen Newsletter-Service, pflegen vielleicht ein CRM-Tool, speichern die Daten in der Cloud, haben Kontakte auf dem Telefon und synchronisieren mit Google, nutzen Whatsapp…
Hier ist es wichtig deutlich sensibler zu werden und sich mal wirklich zu informieren, was diese Unternehmen denn so mit Deinen Daten machen. Wo werden die gespeichert? In welchem Land? Halten die sich an die europäischen Gesetze? Und wenn etwas fragwürdig ist, dann sollte man mal überlegen, ob man den Anbieter nicht ersetzen kann.
Viele große Firmen bieten einen Service an, wo extra beschrieben wird, wie Deine Daten verarbeitet werden. Weil Du Auftraggeber der Datenverarbeitung bist, eben weil Du den Service/das Tool nutzt, kannst Du einen so genannten Auftragsdatenverarbeitungsvertrag abschließen. Also prüf bitte, bei welchen Tools personenbezogene Daten verarbeitet werden und schließ einen solchen Vertrag mit den Unternehmen ab. Es gibt überall Vorlagen von den gängigen Firmen, muss man nur googlen. Wer sowas nicht anbietet, sollte ggf. ausgetauscht werden.
4 einfache Tipps, die Dich besser für die DSGVO ausrüsten
DSGVO-Tipp 1: Du brauchst unbedingt eine Datenschutzerklärung auf Deiner Internetseite
- Diese muss mit einem Klick verfügbar sein
- Verständlich erklären, welche Daten Du von Deinen Kunden, Lieferanten und Mitarbeitern erfasst und was genau mit diesen Daten passiert. Ja, es gibt Vorlagen dazu im Internet, aber die reichen meist nicht aus. Die sind sehr pauschal. Schließlich hast Du ja Deine eigene Arbeitsweise. Trotzdem helfen sie schon mal an die richtigen Dinge zu denken. Frag Dich also, was genau tust Du mit den Informationen die Dir Kunden, Lieferanten und Mitarbeiter überlassen.
- Folgende Dinge dürfen auf keinen Fall fehlen:
- Du nutzt Google Analytics oder etwas ähnliches? Wenn ja, sammelst Du personenbezogene Daten wie die IP-Adresse? Was passiert mit den Informationen?
- Du nutzt Facebook und Social Media? Was passiert da? Nimmst Du die Kontakte und überträgst sie ins CRM?
- Du nutzt ein CRM? Wer hat Zugriff auf die Daten? Wo werden sie gespeichert? In Deutschland oder im Ausland?
- Du hast einen Newsletter? Was passiert mit den Daten? Wofür werden sie verwendet?
- Du hast ein Kontaktformular? Was passiert mit den Daten? Wofür werden sie verwendet? Wie lange werden sie gespeichert?
- Du nutzt Email? Welchen Provider? Was passiert damit? Wer hat Zugriff? Sind die Daten verschlüsselt?
- …
DSGVO-Tipp 2: Bau Deine Newsletter-Anmeldung ein wenig um
Du musst ein Häkchen einfügen, dass Dein neuer Abonnement die Datenschutzerklärung von Dir gelesen hat und sie akzeptiert – bevor sich jemand anmelden kann. Das kann nicht implizit erfolgen, so nach dem Motto „Wenn du hier klickst akzeptierst Du automatisch die Datenschutzerklärung“, sondern es muss eine bewusste Entscheidung Deines zukünftigen Lesers sein.
Verwende unbedingt Double-Opt-in. Dass heißt, dass ein potentieller Abonnement zusätzlich per Link bestätigen muss, dass er/sie Deinen Newsletter wirklich selbst bestellt hat. Viele Anbieter, haben solche Funktionen standardmäßig integriert. Biete auch einen einfachen Weg an, um den Newsletter wieder abzubestellen und respektiere diese Entscheidung.
Du musst auch Vorsichtig mit der Formulierung bei Freebies sein. Theoretisch ist es nicht ok, jemand ein Freebie zu schenken, dafür die Email-Adresse einzusammeln und danach Werbung zu schicken. Hier öffnest Du potentiellen Abnahmern Tür und Tor. Aber wenn Du Dich mit dem Freebie dafür bedankst, dass sich jemand für Deinen Newsletter anmeldet, ist das besser.
DSGVO-Tipp 3: Mach Deine Webseite recht(s)sicher
Wenn Du eine eigene Webseite hast, solltest Du einige Dinge auf jeden Fall anpassen, damit Deine Konkurrenten gar nicht erst auf die Idee kommen können, Dich wegen der DSGVO abzumahnen. Es ist zwar noch alles nicht geklärt, was nun wirklich schlimm ist und was nicht. Aber solange ist eine Abmahnung einfach nur lästig, selbst wenn sie sich am Ende als gegenstandslos herausstellt.
Im weitesten Sinne kann man sagen, dass Du alles vermeiden solltest, was in irgendeiner Form dazu führt, dass Dinge von anderen Webseiten geladen werden, weil dann die IP-Adresse von dem Benutzer an diesen Server übermittelt wird. Außerdem sind Cookies offenbar böse.
Ich habe für meine WordPress-Seite folgendes umgesetzt:
- Cookies solltest Du nach Möglichkeit entweder ganz vermeiden oder eine Abfrage im Vorfeld einrichten. Bei WordPress geht am besten mit einem Plugin. ->Webtimizer hat dazu eine tolle Liste zusammengestellt. Ich habe mich jetzt für ->“Cookie Notice“ entschieden, weil es sich toll konfigurieren lässt und wirklich gut funktioniert. Besonders klasse fand ich, dass man auch Google Analytics mitintegrieren kann
- Google Fonts auf meinem Server lokal eingerichtet, damit die IP-Adresse nicht an Google übermittelt wird. Ich fand die Anleitung von ->WP-Ninjas sehr hilfreich für WordPress.
- Youtube Videos setzen Cookies, noch bevor jemand das Video angeklickt hat. Aber es gibt eine Möglichkeit, sich den iFrame-Code direkt bei Youtube datenschutzkonform erstellen zu lassen. ->Blogmojo beschreibt auch noch andere Varianten, wie das bei WordPress funktioniert, wenn Du schon viele Videos eingebunden hast und stellt einige nützliche Plugins vor.
- Den Gravataren hab ich ein wenig hinterher geweint, weil jetzt meine Kommentare irgendwie kahl aussehen. Leider machen sie eine Abfrage zu einer anderen Webseite. Glücklicherweise kann man sie in WordPress Backend ganz einfach ausschalten unter Einstellungen -> Diskussion -> Avatare ausschalten.
- Wenn Du schon auf der Seite bist, kannst Du gleich noch überlegen, ob Email-Adresse bei WP-Kommentare eingeben werden können. Ich habe mich für „Ja“ entschieden. Nicht weil ich die Emails für Werbung benutzen will, sondern weil ich es selbst nützlich finde, wenn ich bei Antworten zu meinen Nachrichten benachrichtigt werde und das auch anderen ermöglichen will.
- Das Plugin Jetpack habe ich in dem Zusammenhang ganz rausgeschmissen. Ich habe ohnehin nie so richtig verstanden, was es mir nützt. Jedenfalls setzt es viele Cookies und macht Webabfragen. Für viele Funktionen hatte ich ohnehin schon andere Plugins und auf die übrigen Funktionen verzichte ich eben.
- Facebook Share habe ich auch soweit abgestellt, dass jetzt nicht mehr vorher eine Abfrage an Facebook gemacht wird, sondern nur noch der Share-Button angezeigt wird. Das ist jetzt nur noch ein Bild mit einem Link dahinter. Dieser baut erst eine Verbindung auf, wenn man draufklickt. Ist zwar auch nicht so komfortabel aber dafür datenschutzkonform.
- Den Facebook Pixel nutze ich im Moment noch nicht, aber ich habe –>hier ein gutes Tool gefunden, mit dem er sich datenschutzkonform einbinden lässt.
Natürlich ist das keine Garantie, dass dies jetzt alles ist, damit Deine Seite rechtssicher ist. Deine Seite kann noch andere Dinge tun. Wie Du herausfindest, was so auf Deiner Seite suboptimales passiert, empfehle ich Dir sie mal mit den Webentwickler-Tools zu prüfen. Diese findest Du z.B. im Firefox Menü unter -> Web-Entwickler -> Werkzeuge ein/ausblenden.
In dem Reiter „Netzwerkanalyse“ findest Du alle Abfragen, Deiner Webseite und kannst sehen, welche Seiten aufgerufen werden. Hier solltest Du möglichst alles mal durchgeklickt haben und alles ausbauen, wo Dinge von außerhalb Deiner Seite geladen werden.
Im Tab „Web-Speicher“ kannst Du sehen, welche Cookies gesetzt werden. Hier solltest Du erst alles löschen (mit einem Rechtsklick), bevor Du Deine Seite testest. Es kann noch einige Cookie-Leichen geben, die nicht mehr aktuell sind. Achte bitte darauf, dass möglichst alles was Du nicht dringend brauchst, abgeschaltet wird. Alles andere löst Dein Cookie Banner für Dich und Deine Datenschutzerklärung, wenn Du das vernünftig machst.
DSGVO-Tipp 4: Prüf Tools, die Du verwendest
- Sind sie DSGVO konform? Wo werden die Daten gespeichert?
- Gibt es die Möglichkeit einen Auftragsdatenverarbeitungsvertrag abschließen?
- Hast Du sie in Deiner Datenschutzerklärung erwähnt?
DSGVO-Tipp 5: Gewöhne Dir eine andere Arbeitsweise an
Gewöhne Dir an, neue Kontakt zu fragen, ob Du sie kontaktieren darfst und vermerk Dir das Datum in Deinem CRM-Tool. Ja, diese Einwilligung darf auch unter Berücksichtigung der Verhältnismäßigkeit mündlich erfolgen, Du musst sie nur dokumentieren.
Lass Deine Klienten noch mal bestätigen, dass sie mit der Datenverarbeitung einverstanden sind. Da reicht ein Standard-Text, den Du einmal entwickelst, von Deinen Kunden unterschreiben lässt und dann ablegst.
Versuch einen Überblick über gespeicherte Informationen Deiner Kontakte zu bekommen. Schließlich kann jederzeit mal jemand nachfragen, welche Informationen Du gespeichert hast und um Löschung bitten. Dafür solltest Du Dir überlegt haben, wie Du das machen würdest.
Hab eine Standardantwort für potentielle Bewerbungen parat, die DSGVO-konform ist, auch wenn du das lächerlich findest.
Setz dein Impressum, Deine Datenschutzerklärung und Dein öffentliches Verfahrensverzeichnis auf „No-Follow“ und am besten auch auf „No-Index“, wenn Du das kannst. Wenn es nicht gegoogelt werden kann, kann auch kein Crawler drüber laufen und automatisch nach Formulierungen suchen.
Integriere in Deinen Email-Footer einen Link zur Datenschutzerklärung.
Und der wichtigste Tipp: Hab mindestens so viel Datenschutz, wie Deine Mitbewerber und sei ein wenig sensibel mit den Daten die Dir anvertraut wurden.
Ist also alles gar nicht so schlimm mit der DSGVO
Am wichtigsten ist allerdings, dass Du wegen der DSGVO nicht in Panik versetzen lässt und nicht in blinden Aktionismus verfällst. Glaub bitte nicht alles was im Internet zu dem Thema diskutiert wird, sondern frag lieber eine Fachkraft.
Sei Dir bewusst, dass Du ein Unternehmer bist und als Unternehmer gehst Du jeden Tag Risiken ein, auch wenn Du derer vielleicht nicht immer bewusst bist. Das gehört zum Job. Klar ist es wichtig, darauf zu achten, dass Du möglichst viele Risiken aus dem Weg räumst, die Deine Existenz gefährden könnten. Aber die DSGVO macht nicht so viel mehr, als die aktuell bestehenden Datenschutz-Verordnungen in Deutschland. Wenn Du also schon recht viel machst, ist es doch schon ziemlich gut.
Meine Empfehlung ist, mach so viel Datenschutz, damit Du damit gut schlafen kannst, denn schließlich bedeutet Risiko: „Eintrittswahrscheinlichkeit“ multipliziert mit „Schadenhöhe“. Ändere also mindestens die Dinge, die eine hohe Eintrittswahrscheinlichkeit haben. Wenn Du nicht weißt, wie hoch die Eintrittswahrscheinlichkeit ist, informiere Dich darüber.
Dummerweise gibt es viel Unsicherheit im Netz und leider sind sich selbst Experten nicht sicher, wie bestimmte Dinge ausgelegt werden können, was man nun darf und was nicht. Abmahner werden das UWG und die Unsicherheit zumindest ausnutzen um Wettbewerber abzumahnen. Es bleibt abzuwarten, wie weit sie damit kommen. Ich hoffe ja darauf, dass die auch im Interesse der Verhältnismäßigkeit und für das Fortbestehen der KMUs nicht jede Kleinigkeit ahnden.
Wenn Du nicht gut schlafen kannst, weil Du unsicher bist, ob das was Du tust richtig ist, such Dir bitte einen Experten, der sich Deine Datenschutzaktivitäten ansieht. Da lohnt es nicht zu sparen. Im Zweifel ist das immer noch günstiger, jetzt einen Experten zu bezahlen, als später einen existenzbedrohenden Schaden zu haben oder doch hohe Anwaltskosten. Sieh die Investition in einen Experten also als eine Art Versicherung.
Falls doch eine Abmahnung ins Haus flattert, verfall nicht gleich in Panik. Da ist oftmals viel heiße Luft dahinter. Frag also erstmal einen Experten, ob es sich hier um einen echten Fall handelt oder etwas an den Haaren herbeigezogenes ist, was vor Gericht keinen Bestand hat.
Empfehlungen und Links
Wenn Du immer noch Panik hast: Ich habe bei Dr. Web letztens noch einen interessanten Beitrag darüber gelesen, ->wie das mit den Abmahnungen und der DSGVO wirklich ist. Falls Du immer noch Unsicher bist, empfehle ich Dir diesen Artikel.
Wenn Du mehr machen willst: Wenn Du mehr machen möchtest, leite ich eine Empfehlung von ->Mike Borchert (SEO-Experte) weiter. Er hat unterschiedliche Tools ausprobiert, mit denen man ein umfassendes Verfahrensverzeichnis erstellen kann. Er empfielt das Tool ->Datenschutzverwaltung.
Wenn Du Fragen hast: Wenn irgendwas noch unklar ist, oder Du Dich mit einem Experten unterhalten möchtest, kann ich Dir Jürgen Recha von der ->interev GmbH wärmstens empfehlen. Der ist echt top und mega verständlich.
Nachtrag vom 23.05.2018
Checkboxen in den Formularen: Offenbar ist es doch nicht notwendig, diese Checkbox tatsächlich anzuzeigen und kann sogar ungünstig für Dich sein, wenn Du die Formulierung nicht gut wählst. Wenn du sowas schreibst wie: „Bitte akzeptiere die Datenschutzbestimmungen.“ musst Du genau diese Version der Datenschutzbestimmungen zusätzlich mit dem Opt-in dokumentieren und in Zukunft immer wieder das Einverständnis einholen, wenn Du sie änderst. Ich glaube, dazu hat keiner von uns wirklich Lust. Besser ist so ein Satz wie: „Nimm die Datenschutzbestimmungen zur Kenntnis.“ Die Information dazu kann beim ->Datenschutz-Guru auch noch mal nachgelesen (oder besser gehört) werden.
Datenschutzverarbeitungsverträge: Ich habe noch eine tolle Link-Liste bei –>BlogMojo gefunden, wo die Links zu den Verträgen der gängigen Tools zusammengefasst wurden.
————————————-
Disclaimer
Ich bin kein Rechtsexperte und versuche es auch nicht zu sein. Dieser Beitrag ersetzt keine Rechtsberatung. Ich kann für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen. Wenn Du wirklich einen Problem oder Fragen hast, wende Dich bitte an an einen Experten.
————————————-
Klasse! Vielen Dank für die Informationen. Endlich, eine aus meiner Sicht, gesunde und vernünftige Einschätzung der Lage. Diese Panik-Mache auf allen Kanälen des Internets ist ja nicht auszuhalten.
Wow… Vielen Dank Maik. So hab ich mir das auch vorgestellt. Beachte auch den Nachtrag, den ich eben dazu geschrieben habe. Der enthält noch einen sehr nützlichen Link.
Vielen Dank, das war sehr gut erklärt. Sehe jetzt etwas klarer.
Vielen Dank für Dein Feedback
Ich hätte da noch eine Frage : …
Auf welcher Grundlage können mich dann „Abmahn-Anwälte“ zur Kasse bittenwenn ihnen doch gar kein Schaden entstanden ist?
Hallo Maik, Also Anwälte handeln eigentlich in diesem Fall nicht für sich sondern für einen Mandanten, der einen Schaden geltend macht. Kunden fühlen sich von uns kleinen im Moment selten geschädigt, sondern eher genervt, von den vielen Cookie Bannern, denen sie jetzt immer zustimmen müssen. Gegen einige große Unternehmen wie Facebook wurden allerdings Klagen eingereicht. Der Schaden sind für die Anwender der Missbrauch von Daten. Hier geht es eher um grundsätzliches Recht und nicht um Abzocke.
Was man eher von „Abmahnanwälten“ in diesem Zusammenhang befürchtet sind Abmahnungen von Konkurrenten. Sie behaupten, dass sie Wettbewerbsnachteile haben, weil sie sich an die Regeln halten und der abgemahnte eben nicht. Der Schaden, der angeblich entsteht sind Kosten durch nicht realisierter Umsatz.
Das ist einerseits schwer nachzuweisen und andererseits ist noch nicht klar, ob man mit sowas durch kommt. Deswegen wird es die große befürchtete Abmahnwelle so nicht geben. Wie gesagt, es ist anders als beim Urheberrecht.
Um Abmahnungen dennoch zu vermeiden, weil es einfach nur nervig ist, sollte man allerdings die Webseite sicher machen, wie ich das im Beitrag beschrieben habe.
Hallo Jasmin, vielen herzlichen Dank für die Informationen!
Ich empfehle Deine(n) Artikel fleissig weiter. Endlich mal Deeskalation statt Panikmache! 🙂