Ab heute – 25. Mai 2018 – ist es also soweit.
Nein , heute tritt nicht die DSGVO in Kraft. Die ist nämlich schon länger „in Kraft“ lief bislang aber noch in einem Übergangszeitraum in dem es keine Sanktionen/Bußgelder bei Verstoß gab bzw. diese waren nicht in Kraft. Ab heute jedoch sind auch die Bußgeldregeln in Kraft die bis zu 20 Mio Strafe bei Verstößen nach sich ziehen können.
Der Medienhype war in den letzten Tagen so hoch dass es bis zum letzten Internetausdrucker vorgedrungen ist.
Und was bedeutet das?
Das Problem: Niemand weiß genau was zu tun ist.
Es gibt/gab unzählige Informationsseiten, Veranstaltungen und Fachzeitschriftenberichte etc zum Thema aber der übergreifende Tenor war immer: Dies und das sollte man wahrscheinlich tun – ob es gerichtsfest ist wird aber erst die Zukunft zeigen.
Und so trieb das ganze doch sehr seltsame Blüten. Viele Bekannte stellten Ihre privaten , Vereins- und Firmenhomepages erst einmal offline. Im Facebook verbreiten sich schwachsinnige Posts in den Gruppen, dass man mit einem Kommentar unter ein Bild jetzt den Datenschutzregeln zustimmen müsse etc.
Gerade in Deutschland mit seiner weltweit führenden Abmahnindustrie hat das natürlich etwas von Negativ – Lotto. Wer wird der erste sein der die teuren Abmahnungen vor Gericht anfechten muss um die Wirksamkeit seiner endlosen Datenschutzzeilen zu belegen?
Obwohl ich mich auch beruflich mit dem Thema beschäftigen muss, bin ich doch etwas ratlos was zu tun ist. Mein Arbeitgeber hatte ebenfalls eine DSGVO – Schulung mit einer anerkannten Expertin organisiert. Herausgekommen ist aber doch nur Aktionismus bei einigen Abteilungen während andere eher „warten bis die erste Klage kommt“ um dann zu reagieren.
Mein Vorgehen
Ich betreibe selbst einige private, Vereins- sowie (klein-)gewerbliche Seiten und musste deshalb auch irgendwie reagieren.
Es gibt zwar diverse Seiten mit Generatoren für DSVGO-konforme Erklärungen aber natürlich können die nicht alles universell abdecken. Immerhin muss man jede Datenweitergabe die man betreibt benennen. Und das bedeutet auf Webseiten umgemünzt – jedes eingebundene Skript eines Drittanbieters muss benannt , begründet und ggf auf dessen Datenschutzerklärung verwiesen werden. Denn auch IP Adressen sind „personenbezogene Daten“ die an jeden Server weitergereicht werden von dem etwas nachgeladen wird.
Ebenfalls zu bedenken ist wenn ihr einen Shop o.ä betreibt :
- Wie und zu welchem Zweck erhebt ihr welche Daten und ist das wirklich nötig (Datensparsamkeit)
- An welche Firmen gebt ihr diese Daten weiter (Schufa, Versand-Dienstleister, Fakturafirma etc..)?
- Ist die Datenübermittlung gesichert? (SSL-gesichertes Formular , Speicherung nicht im Klartext online etc?)
Die Liste lässt sich beliebig verlängern.
Ebenfalls müsst ihr mit allen Firmen mit denen ihr aktiv oder passiv Daten austauscht eine „Auftragsverarbeitungsvereinbarung“ treffen, also erklären, dass ihr die Daten an die Firmen zur Erfüllung eines Auftrages abgebt.
Mein Postfach läuft voll von Firmen die mich bitten diese Erklärung auf deren Webseite abzugeben , vor allem bei uns Betreibern von Blogs die mit Affiliate-Links arbeiten muss man hier wirklich ein paar Stunden Zeit einplanen um alle zu besuchen und die jeweilige Erklärung dort zu bestätigen. Tut ihr es nicht, kann es sein dass die Affiliates die Zusammenarbeit mit euch erstmal aussetzen.
Wie erstelle ich eine Datenschutzerklärung die möglichst passend ist
Wie oben erläutert ist es aktuell bestenfalls „unklar“ ob eine Datenschutzerklärung letztendlich rechtssicher/abmahnsicher ist. Aber uns bleibt wohl keine Wahl als unser bestes zu versuchen und dann zu hoffen, dass es reicht. Wer nichts macht ist so oder so im Schussfeld.
Für meine Seiten bin ich folgendermaßen vorgegangen:
- Überblick: Auf der Homepage https://avalex.de/ kann man sich kostenlos die Webseite nach bekannten Daten-relevanten Diensten durchsuchen lassen. Das Generieren einer Datenschutzerklärung auf der Seite ist kostenpflichtig auch möglich, was ich aber nicht genutzt habe.
- Generator: Stattdessen habe ich den (für Privat und Kleingewerbe kostenlosen) Generator auf: https://datenschutz-generator.de/ genutzt um eine entsprechende Erklärung zu erstellen. Dieser fragt eine ganze Menge Möglichkeiten ab und ist meiner Meinung nach gut für Blogs mit Affiliatelinks geeignet.
- Seiten überprüfen: Anschließend habe ich auf meinen Seiten noch etwas herumgebastelt. Datensammler/Plugins die ich nicht unbedingt brauche, habe ich sicherheitshalber abgeschaltet (Gästebücher, Trackingpixel etc.). Außerdem habe ich für alle meine Seiten ein Let´s-Encrypt SSL Zertifikat erstellt und eingebunden. Das ist mittlerweile bei fast allen Hostern problemlos und kostenlos über deren Webinterface möglich.
Und Ihr?
Und so harre ich jetzt der Dinge die da kommen, mehr kann ich aktuell nicht tun und die Zukunft wird zeigen was die DSGVO sein wird: Ein wirklicher Mehrwert für Verbraucher oder nur ein weiteres Instrument der Abmahnanwälte in Deutschland um alles und jeden der im Netz publiziert um Geld zu bringen.
Wie habt ihr auf die DSGVO reagiert bzw was ist euer „Fahrplan“ ?