DSGVO – Warum das Thema JEDEN betrifft 2


DSGVO – diese sperrige Abkürzung geistert seit Wochen durch die Medien. Die europäische „Datenschutz-Grundverordnung (DS-GVO)“ gilt zwar schon seit längerem, aber zum 25.5.2018 endet die Übergangszeit und danach wird es ernst – Abmahnungen und hohe Strafen drohen (unabhängig vom Umsatz 20 Mio. EUR oder bis zu 4% des Umsatzes – es gilt der höhere Wert).

„Aber das betrifft MICH doch nicht!“

….das mögen viele von euch denken. Na ja … wenn du selbständig bist oder in einem Verein, einen Blog betreibst oder einen kleinen Shop, dann betrifft dich das neue Gesetz ganz direkt. Und auch als Privatperson solltest du zumindest deine neuen Rechte kennen.

Die DSGVO betrifft Trainer, Veranstalter, Vereine…

Das Folgende schreibe ich also explizit für diejenigen unter euch, die u.a. mit dem Reiten und Unterrichten zwangsweise personenbezogene Daten von Kunden für eine „nicht ausschließlich persönliche oder familiäre Tätigkeit“ verwenden. Für all diejenigen gilt nämlich die Regelung der DSGVO. Damit betrifft die DSGVO sehr viele: Reitvereine, Veranstalter und Teilnehmer von Turnieren, Blogbetreiber und JEDEN Trainer und Veranstalter – auch wenn er keine Webseite hat (!). Und für all die unter euch schreibe ich mal hier meine aktuellen Erkenntnisse zusammen.

Der übliche Hinweis: Ich bin kein Jurist und dies sind nur meine persönlichen aktuellen Kenntnisse, die keine juristische Beratung ersetzen und einfach nur helfen sollen für dieses Thema zu sensibilisieren. Aktiv werden muss jeder einzelne von euch und sich selbst juristischen Rat suchen!

Ein paar Beispiele wo sich die DSGVO auswirkt

Zuerst das Gute: der Schutz der persönlichen Daten ist wichtig und richtig. Und da die Datenschutzgesetze in Deutschland schon in der Vergangenheit streng waren im Vergleich zu einigen europäischen Nachbarn, ist der Unterschied nicht ganz so groß. Um es noch klarer zu formulieren: vieles davon galt schon im alten Datenschutzgesetz – aber das wurde häufig nicht ganz so ernst genommen. Die hohen möglichen Strafen sind, dass was alle mobilisiert. Endlich wird ein Gesetz auch von den großen Firmen ernst genommen. Jetzt muss niemand, der mühsam mit dem Reiten etwas Geld verdient, befürchten mehrere Millionen Strafe zahlen zu müssen, denn die Strafen müssen natürlich immer verhältnismäßig sein. Lasst euch also nicht verrückt machen!

Aber dennoch bedeutet die DSGVO für ALLE etliche Neuerungen – einige davon sind auch bestimmt für dich „überraschend“. Hier mal einige der Konsequenzen, die ich bisher verstanden habe, in ungeordneter Reihenfolge:

  • Fotos:
    Vorweg: Zu dem Thema FOTOS und Auswirkungen der DSGVO gibt es aktuell sehr unterschiedliche Meinungen. Im Kern dreht sich die Diskussion darum, dass das Gesetz hier nicht ganz eindeutig ist und die Frage bleibt, ob das Kunst-Urhebergesetz (KUG) und die DSGVO gilt und wie beides zusammen passt. Sicher wird es hier bald gerichtliche Klärungen geben. Solange gehe ich aber erstmal von der „schärferen“ Interpretation aus.
    Wenn ihr etwas „zu nicht ausschließlich persönlichen und familiären Zwecken“ fotografiert und da sind Personen drauf, benötigt ihr entweder ein „berechtigtes Interesse… sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt“ (DSGVO §6f) oder das explizite Einverständnis JEDER ABGEBILDETEN PERSON! Das bedeutet z.B. Für Veranstaltungen, dass ihr keine Fotos mehr veröffentlichen dürft, wenn ihr nicht das (schriftliche – wg. der Nachweisbarkeit) Okay aller Abgebildeten habt. Es reicht, wenn eine (evtl. zufällig vorbeigehende Person) auf dem Foto ist und nicht zugestimmt hat oder eine Person ihr Einverständnis später widerruft. Auch das ist eigentlich nichts Neues! Denn auch das alte Gesetz sprach von dem Recht am eigenen Bild.
    Ein allgemeiner Passus bei jeder Veranstaltung, wie ich ihn auch bisher in unseren Teilnahmebedingungen hatte, reicht zukünftig eventuell nicht mehr!
    Etwas anderes gilt jedoch für Fotos oder Videos von öffentlichen Vorgängen (z.B. Turniere und Sportveranstaltungen oder Shows): Hier ist es regelmäßig für eine rechtmäßige Veröffentlichung nicht erforderlich, die Einwilligung eines jeden Abgebildeten einzuholen. Diese Ausnahme gilt allerdings nur für Aufnahmen, bei denen die Ansammlung von Menschen (und nicht die einzelne Person) im Vordergrund steht. Aber auch hierzu finden sich noch ganz verschiedene Meinungen :-(
  • WhatsApp:
    Wenn ihr personenbezogenen Daten für nicht ausschließlich persönliche und familiäre Tätigkeiten nutzt oder weitergebt, benötigt ihr einen rechtlichen Grund (Rechtfertigungstatbestände nach Art. 6 DSGVO) oder das explizite Einverständnis der Person. Du meinst, dass du da „sauber“ bist? Nutzt du WhatsApp auf einem Handy auf dem auch berufliche Kontaktdaten sind? Dann hast du vermutlich ein Problem: WhatsApp greift auf ALLE deine Kontakte auf deinem Handy zu und speichert sie in den USA. In den neuen Datenschutzhinweisen von WhatsApp steht auch explizit, dass jeder Nutzer dafür sorgen muss, dass er das explizite Recht zum Teilen dieser personenbezogenen Daten mit WhatsApp in den USA von seinen Kontakten haben muss. Das ist das Aus für die Nutzung von WhatsApp im beruflichen Umfeld, wenn man nicht Abmahnungen und hohe Strafen riskieren will. Jeder berufliche Kontakt in einem Adressbuch auf einem Handy auf dem du privat WhatsApp nutzt ist natürlich genauso betroffen. Das ist die rechtliche Situation. Interessant wird die Auslegung dennoch. Bei der Verbreitung von WhatsApp kann man wohl davon ausgehen, dass die meisten die bequeme Kommunikation weiter nutzen werden…
  • e-Mail:
    Wer jetzt denkt „wie gut, dass ich nur E-Mail verwende“, ist sich noch nicht aus dem Schneider. Denn Kommunikation, die personenbezogene, sensible Daten enthält, muss verschlüsselt erfolgen. Ärzte und Rechtsanwälte müssen aufgrund der besonders sensiblen Daten ihre emails schon länger verschlüsseln. Inwieweit eine Verschlüsselung der personenbezogene Daten wie Name und E-Mail-Adresse selbst bereits nur verschlüsselt erfolgen kann, ist nicht final geklärt. Fest steht, dass die DSGVO Verschlüsselungen explizit als Mittel zum Schutz der Daten nennt. Es gibt natürlich Möglichkeiten zur Verschlüsselung von E-Mails, aber die haben sich bisher nicht so richtig durchgesetzt. Die DSGVO verleiht der email-Verschlüsselung aktuell einen Schub. Die Gesetzeslage hat sich dazu allerdings nicht geändert. Bereits das alte Gesetz hatte einen Passus zu den personenbezogenen Daten – nur die Strafen waren geringer.
  • Manuelle Verarbeitung: 
    „Wie gut, dass ich keinen PC nutze“. Sofern es tatsächlich noch jemanden gibt, der nichts digital macht: auch derjenige ist betroffen. Denn das Gesetz schützt zurecht personenbezogene Daten egal wo und wie sie bestehen. JEDER der personenbezogene Daten verarbeitet muss für deren Schutz garantieren und darf sie z. B. nicht rumliegen lassen und muss die vor unberechtigten Zugriff schützen. Und JEDER muss ein sogenanntes Verfahrensverzeichnis anlegen, in dem drin steht, auf welche Art und Weise bei euch personenbezogene Daten erfasst und verarbeitet werden. Und da gehört auch die manuelle Kundenkartei dazu oder das Adressbuch (hoffentlich ohne WhatsApp ? )
  • Hohe Strafen:
    Du denkst, dass dich das trotzdem kaum betrifft, weil du wie Pferdetermine.de z.B. kein Geld mit deiner Aktivität verdienst – oder zumindest so wenig, dass dich die 2 bzw. 4% Strafe, von der du vielleicht gelesen hast, kaum trifft?
    Da muss ich dich enttäuschen: das Gesetz sieht Strafen bis zu mehreren Millionen Euro vor ODER bis zu 4% des Umsatzes vor – der höhere Wert greift. D.h. auch ein Verein, oder eine Webseite wie meine ist betroffen! Allerdings spricht das Gesetz auch von der Verhältnismäßigkeit der Strafe.
  • Abmahn-Gefahr:
    „Meine Webseite ist so klein, dafür wird sich niemand interessieren!“ mag sein, aber es gibt viele Abmahn-Anwälte, die nur auf den 25.5.18 warten. Aber natürlich wird die Aufsichtsbehörde nicht direkt am 25.5.18 bei dir vor der Tür stehen. Und die großen Unternehmen sind auch da erstmal stärker im Fokus.

Dies ist nur ein kleiner Auszug der Themen, die hoffentlich zeigen: JEDER muss sich über die DSGVO Gedanken machen – und das schnell. Denn ab dem 25.5.018 stehen die Abmahnanwälte in den Startlöchern.

Die Grundidee der Datenschutz-Grundverordnung

Als erstes muss glaube ich die – wie ich finde – sehr gute Idee hinter der Datenschutzgrundverordnung jedem klar sein:

Die DSGVO geht davon aus, dass jede Person das Recht an den eigenen Daten hat und demnach personenbezogene Daten einen besonderen Schutz genießen. Personenbezogene Daten sind nicht nur Name, email, sondern auch Fotos auf denen man abgebildet ist genauso wie die IP-Adresse u.v.m. – einfach alles was eine Person identifizierbar macht und zu der Person gehört! Grundsätzlich muss jeder, der personenbezogene Daten zu nicht ausschließlich persönlichen und familiären Zwecken verarbeitet dafür einen Grund haben und den auch benennen (Rechtfertigungstatbestände nach Art. 6 DSGVO).

Die DSGVO (Artikel 6) erlaubt die Datennutzung demnach dann ohne Einwilligung,

  • wenn die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist (z.B. Adresse des Kunden, um den Auftrag vor Ort beim Kunden ausführen zu können).
  • zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. E-Mail-Adresse, um Fragen eines Kunden beantworten zu können, Telefonnummer um Termine abzustimmen).
  • zur Wahrung berechtigter Interessen des Trainers/Veranstalters oder eines Dritten sofern die Interessen der betroffenen Person nicht überwiegen (z.B. die Überprüfung der Kundendatei, um bestimmte Kunden zielgerichtet auf einen Kurs anzusprechen).

Für alle anderen Fälle ist es nötig, eine explizite Einwilligung von der betreffenden Person einzuholen. Und „explizit“ heißt in dem Fall tatsächlich extra ausgewählt (nicht voreingestellt), und natürlich am besten nachweisbar und dokumentiert.
Die DSGVO gilt dabei NICHT für ausschließlich persönliche oder zu familiären Zwecken verwendete personenbezogene Daten! Aber sobald man Daten von Kunden oder z.B. Mitgliedern in einem Verein verwendet, hat die DSGVO Gültigkeit.

 

Und damit wird auch klar, was der Gesetzgeber grundsätzlich erwartet:

  1. Jeder mit einem „nicht-privaten“ Interesse muss sagen welche personenbezogenen Daten er aus welchem Grund verarbeitet (Rechfertigungstatbestände). Alle Prozesse, die personenbezogene Daten verarbeiten müssen dokumentiert sein (das sog. Verfahrensverzeichnis).
  2. Die Datenverarbeitung personenbezogener Daten muss hohen Sicherheitsanforderungen genügen, weil es sich um besonders schützenswerte Daten handelt.
  3. Der Betroffene hat jederzeit ein Auskunftsrecht, ein Widerspruchsrecht und das Recht, dass Daten – unter Wahrung bestimmter Regeln – gelöscht werden. Darüberhinaus hat er das Recht auf korrekte Daten und das Recht seine Daten in angemessener digitaler Form zu einem anderen Anbieter mitzunehmen.
  4. Als Verantwortlicher für die Datenverarbeitung musst du dich darum kümmern mit allen, die für dich diese Daten verarbeiten (z.B. deinem Hoster), Auftragsverarbeitungsverträge zu schließen.

Was muss ich bis zum 25.5.18 tun?

Ich versuch mich mal an einem einfachen Szenario: Nehmen wir an du bist als Reitlehrer selbstständig, hast vielleicht eine kleine Webseite (ich gehe mal von WordPress aus) – eventuell sogar mit einem Newsletter und bist auf Facebook. Kunden hast du natürlich auch und irgendwie musst du ja auch eine Abrechnung machen.

Natürlich solltest du dich zu allererst einmal selbst schlau machen und ggf. einen Anwalt um eine Beratung bitten.

Aber vielleicht hilft dir meine bisherige Erfahrung schon mal weiter das Thema für dich abzuschätzen.

 

1. Webseite

Ich würde mich tatsächlich als erstes um die Webseite kümmern, denn die ist direkt und offensichtlich für jedermann einsehbar – und somit ab dem 25.5.18 „abmahngefährdet“.

Kontaktformular und Anmeldemöglichkeiten

Nutzt du ein Kontaktformular, eine Kommentarfunktion oder sogar eine Online-Anmeldefunktionalität auf deiner Webseite? Kann ein Nutzer sozusagen auf deiner Webseite direkt seine personenbezogenen Daten (Name oder email z.B.) eingeben? Wenn ja, muss deine Webseite zum 25.5.18 spätestens über ein SSL-Zertifikat verfügen.

Du weißt nicht was SSL ist? SSL ist eine Verschlüsselungstechnik für Webseiten. Über ein SSL-Zertifikat wird der Traffic deiner Webseite nur noch verschlüsselt übertragen. Du erkennst Webseiten mit SSL daran, dass vor der eigentlichen URL „https://“ steht und nicht mehr nur „http://“. Wenn du „nur“ ein einfaches Kontaktformular benutzt, würde ich mir an deiner Stelle überlegen einfach das Kontaktformular raus zu nehmen und statt dessen deine email so direkt auf der Webseite als Kontaktmöglichkeit anzugeben: name (AT) domain.de.
Ansonsten ist eine SSL-Umstellung gar nicht so schwierig. Es gibt kostenlose SSL-Zertifikate von LetsEncrypt – einige Hoster haben die auch direkt im Angebot. Andere Hoster lassen sich die SSL-Zertifikate extra monatlich bezahlen. Bei ElmaStudio gibt es eine gute Anleitung zur Umstellung einer WordPress-Seite auf SSL hier.
Alle Anmeldemöglichkeiten musst du in deiner neuen Datenschutzerklärung besonders aufnehmen. Anmeldemöglichkeiten benötigen i.d.R. immer ein Double-Opt-In, einen Hinweis auf die Datenschutzregeln und eine Widerrufsmöglichkeit.

WordPress: Plugins, Social Media und weitere Drittsoftware

Wenn du deine Webseite auf WordPress erstellt hast, gibt es tausende von nützlichen Plugins und natürlich will man auch, dass Leser Inhalte auf Social Media Kanälen teilen können und etwas Statistik und Analyse des Nutzerverhaltens ist natürlich bei den meisten Webseiten auch sinnvoll. Diese Funktionalitäten findest du natürlich auch in anderen Webseiten-Baukästen analog.
Die DSGVO ist ein guter Grund mal nachzugucken welche Plugins du tatsächlich verwendest, wie die mit personenbezogenen Daten umgehen und etwas „aufzuräumen“. Einige Plugins sind aus DSGVO-Sicht kritisch und es lohnt sich nach Alternativen zu gucken. Ich habe daraufhin z.B. für die „Teilen“-Funktionalität auf PferdeTermine.de auf das Plugin „Shariff“ gewechselt, denn die meisten anderen Teilen-Plugins geben Facebook bereits alle Daten deiner Webseitenbenutzer noch bevor der Nutzer überhaupt vor hat auf den Teilen Button zu drücken. Und das ist natürlich nicht DSGVO-konform und schlicht eine Frechheit. Das ist schon alles lange bekannt – aber spätestens jetzt damit auch Pflicht für dich auf deiner Webseite eine DSGVO-konforme „Teilen“-Funktionalität zu nutzen oder die Funktion erstmal zu streichen.

Es gibt noch viele andere Plugins und Software von Drittanbietern, die aus Datenschutzsicht schwierig sind. Eine gute Liste von WordPress-Plugins mit einer Bewertung in Bezug auf die DSGVO-Konformität findest du hier auf Blogmojo.

Wenn es einfach und schnell gehen soll, kann man natürlich alle problematischen Plugins entfernen. Auf jeden Fall gehört jede Drittsoftware, die personenbezogene Daten (z.B. die IP-Adresse deines Nutzers) verwendet, mit in die Datenschutzerklärung!

Datenschutzerklärung

Du benötigst für eine nicht private Webseite AUF JEDEN FALL eine neue Datenschutzerklärung. Ich habe einen Generator dazu gefunden, bei dem man sehr viele Inhalte, die man als Webseite verwendet, auswählen kann. Ggf. musst du das Ergebnis noch für deine Zwecke weiter anpassen, aber es ist auf jeden Fall schon mal eine Basis. Hier findest du den Datenschutzerklärungs-Generator von WBS-Law.
Die Datenschutzerklärung muss auf jeden Fall vor dem 25.5.18 aktualisiert sein und alle Dritttsoftware abdecken, die du auf deiner Webseite verwendest, sofern sie personenbezogene Daten (z.B. IP-Adresse) verarbeitet!

Newsletter

Du versendest regelmäßig News an deine Kunden bzw. an eine Mailing-Liste? Dann musst du die Newsletter-Registrierung ebenfalls anpassen. Ich gehe davon aus, dass du auch in der Vergangenheit bereits das Double-Opt-In-Verfahren genutzt hast, denn das ist schon sehr lange Vorschrift. Auch muss jeder Newsletter von dir eine direkte „Abbestell“-Möglichkeit enthalten – auch das war schon lange Vorschrift.
Jetzt benötigst du zusätzlich noch eine explizite Checkbox im Newsletter (die bitte nicht vorausgewählt ist), in der du deine Newsletter-Abonnenten nochmal explizit um Erlaubnis zum Marketing fragst und 1. über die Widerspruchsmöglichkeit aufklärst und 2. auf deine und die Datenschutzregeln deines Mail-Dienstleisters hinweist. Wie ich das auf PferdeTermine.de gelöst habe, siehst du hier. Wenn du – wie ich – z.B. Mailchimp verwendest, gehört ein Hinweis in diese Info hinein, dass die Daten in den USA verarbeitet werden. Voraussetzung ist, dass dein Anbieter sich an die DSGVO-Regeln hält und du mit ihm einen gültigen Auftragsverarbeitungsvertrag geschlossen hast (s. nächster Punkt).

Auftragsverarbeitungs-Verträge

Du glaubst du brauchst keine weiteren Verträge? Doch! Wenn du eine berufliche Webseite hast, dann benötigst du mindestens einen Auftragsverarbeitungsvertrag mit deinem Hoster. I.d.R. sind die inzwischen online bei den Hostern abzurufen, zu unterschreiben und denen wieder zuzuschicken.
Hast du noch einen Newsletter, benötigst du auch von deinem Newsletter-Anbieter so einen Auftragsverarbeitungsvertrag. Auch danach kann man googeln ;-)

Nutzt du für deine Rechnungsstellung Software von Dritten – eventuell in einer Cloud? Dann benötigst du einen Auftragsverarbeitungsvertrag! Macht jemand anderes für dich deine Abrechnungen und sind da auch die Rechnungen mit Daten der Kunden dabei? Dann benötigst du einen Auftragsverarbeitungsvertrag!

Nutzt du ebay und Facebook, PferdeTermine.de oder noch weitere Webseiten um Veranstaltungen zu promoten und erlaubst dort die direkte Online Buchung oder die Eingabe personenbezogener Daten (email reicht)? Dann benötigst du dafür von den Anbietern auch einen Auftragsverarbeitungsvertrag!!!

Und jetzt kommt etwas in eigener Sache: Wenn du Veranstaltungen auf PferdeTermine.de veröffentlichst und dort die kostenlose Buchungsfunktionalität nutzt, dann erhebst du als Verantwortlicher personenbezogene Daten von deinen Interessenten/Teilnehmern und PferdeTermine.de ist in dem Fall Auftragsverarbeiter und damit benötigen wir einen Auftragsverarbeitungsvertrag. Puh! Und das obwohl ich das alles hier bislang kostenlos und als Hobby ohne irgendwelche Vorteile für mich mache. Ganz ehrlich: An dem Punkt knabbere ich aktuell selbst noch. Ich bin mir nicht sicher, ob ich bereit dazu bin solche Verträge zu machen oder ob ich die Funktionalität wegen des neuen Abmahnrisikos doch noch einstellen muss. Das hab ich für mich noch nicht entschieden… aber ich halte euch dazu auf dem Laufenden!

YouTube Videos

Videos auf Webseiten sind immer gut :-) Natürlich musst du dafür sorgen, dass die abgebildeten Personen dir die Veröffentlichung auch explizit erlaubt haben. Jetzt geht es mir um die Art der Einbindung eines Videos auf deiner Webseite. Wenn du einfach nur die Youtube-URL reinkopierst, ist das zwar schon einfach, aber aus Datenschutzsicht schlecht. Durch das Einbetten von YouTube-Videos werden diverse Verbindungen zu Google-Servern aufgebaut, durch welche mehrere Cookies im Browser deiner Leser gespeichert und Informationen über diese an YouTube und Googles-Werbedienst DoubleClick gesendet werden – und das noch bevor sich jemand überhaupt das Video angeguckt hat. Eindeutig nicht DSGVO-konform ;-) Es ist relativ einfach ein Youtub-Video im erweiterten Datenschutzmodus einzubinden – da werden dann keine Daten weitergegeben. Dafür geht man unter dem YouTube-Video auf Teilen > Einbetten, scrollt herunter und setzt ein Häkchen bei „Erweiterten Datenschutzmodus aktivieren“. Dann steht in dem code statt der normalen URL sowas mit „< ... src="https://www.youtube-nocookie.com/embed/...." ....>. Wenn du nur wenige Videos eingebettet hast, ist das schnell geändert.
Es gibt auch hierfür wieder Plugins – allerdings ist die DSGVO-Konformität mir dabei noch nicht ganz klar. Empfehlen kann ich den Blogbeitrag von blogmojo zu dem Thema.
Auch die Youtube-Nutzung gehört natürlich in deine Datenschutzerklärung rein! (Alternativ vimeo o.ä. natürlich auch).

UPDATE: Google Fonts

Ein sehr verbreitetes Thema habe ich beim ersten Aufschreiben völlig vergessen: Die Google Fonts, die heute die meisten Webseiten nutzen! Sobald man diesen praktischen und sehr weit verbreiteten Service nutzt, gehen personenbezogene Daten, wie die IP des Nutzers an externe Server bei Google, sobald die Webseite aufgerufen wird. Es ist ganz interessant sich die eigene Webseite in Google Chrome mal aufzurufen und dann die rechte Maustaste zu drücken und das Pop-up-Menü „Untersuchen“ auszuwählen. Da geht dann rechts eine Seitenleiste auf in der man ganz oben „Sources“ auswählen kann. Dort mal einfach reingucken, ob nur eure eigene Domain auftaucht, oder nicht vielleicht auch „fonts.googleapis.com“ und andere externe Server. Wenn bei dir externe Server auftauchen, musst du dazu jeweils einen Passus in deine Datenschutzerklärung aufnehmen. Beliebt sind auch noch externe Quellen für Google Maps oder Statistiken. Check am besten deine Seite, was dort alles angezeigt wird. Die Generatoren berücksichtigen das meistens – man muss nur eben wissen, was die eigene Webseite so verwendet.

Google Fonts kann man übrigens auch auf seinem eigenen Server lokal laden und dann in der eigenen CSS-Datei den Code so ändern, dass nicht mehr die Schrift vom Google-Server, sondern von dem eigenen genommen wird.

2. Kontaktdaten von Kunden bis Rechnungsschreibung – Das Verzeichnis der Verarbeitungstätigkeiten

Als nächstes solltest du dich unbedingt um deine eigentlichen Kundendaten kümmern. Von den normalen Kontaktdaten z.B. im manuellen (Listen, Notizen, Visitenkarten) oder elektronischen Adressbuch bis hin zu zB. Rechnungsschreibungen. An vielen Stellen wirst du personenbezogene Daten verarbeiten, wenn du als Trainer oder Veranstalter oder Reitstallbetreiber dein Geschäft abwickelst.
Jede Software, in der du diese Daten verarbeitest, sollte z.B. Passwort-geschützt sein, die Daten sollten (am besten) verschlüsselt und sicher (vor fremden Zugriff geschützt) gespeichert sein. Auch die manuellen Listen müssen sicher und vor unberechtigtem Zugriff geschützt aufbewahrt werden!
Der Gesetzgeber verlangt, dass jeder, der personenbezogene Daten nicht ausschließlich zu persönlichen oder familiären Zwecken nutzt, ein „Verfahrensverzeichnis“ aufstellt: Nach Erwägungsgrund 82 der DSGVO soll der Verantwortliche „zum Nachweis der Einhaltung dieser Verordnung“ ein Verzeichnis von Verarbeitungstätigkeiten führen. Dieses wird in Artikel 30 DSGVO spezifiziert. Ausnahmen gibt es nur, wenn es z.B. nur gelegentliche Verarbeitung von personenbezogenen Daten gibt (das dürfte für die meisten Trainer und Veranstalter nicht zutreffen, sondern allenfalls nur, wenn jemand z.B. einmalig einen Flohmarkt organisiert).

Das Verfahrensverzeichnis kann eine einfache Liste sein. Vorlagen findest du dazu zu genüge im Internet.
Das gehört ins neue Verfahrensverzeichnis:

  • Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten (Vereine benötigen ab 10 Mitgliedern einen Datenschutzbeauftragten!)
  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung (Rechtsgrundlage)
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland und die Dokumentation geeigneter Garantien für den Datenschutz
  • wenn möglich, vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Das liest sich jetzt vielleicht aufwendig, aber wenn ihr Veranstalter oder Trainer seid, dann wird das Verzeichnis nicht sehr viele Einträge enthalten. Ganz gut finde ich die Beispiele auf der Webseite des bayrischen Landesdatenschutzamtes für kleine Unternehmen und Vereine hier….

Vereine

Kleine Ergänzung noch zu Reitvereinen. Wie bereits oben mehrfach erwähnt gilt die DSGVO auch für Vereine. Zusätzlich ist für Vereine noch relevant, dass sie ab 10 Personen, die regelmäßigen Umgang mit personenbezogenen Daten haben (sich z.B. um die Mitgliederverwaltung kümmern), einen Datenschutzbeauftragten benötigen.

In letzter Zeit habe ich Widersprüchliches dazu gelesen, ob Vereine auch Wettkampfergebnisse veröffentlichen dürfen. Aus meiner Sicht ist es einleuchtend, dass ein Reitverein z.B. ohne Einwilligung der Teilnehmer Ranglisten mit Namen der Reiter/Pferde veröffentlichen darf, da Turniere regelmäßig öffentlich sind und der Verein ein berechtigtes Interesse daran hat, wichtige Ergebnisse seines Vereinslebens nach außen hin darzustellen. Veröffentlicht werden dürfen jedoch in aller Regel nur Name, Geschlecht, Geburtsjahr, Wettkampfergebnis, Verein und Mannschaft.
Darüber hinausgehende Daten wie z.B. Geburtsdatum, Nationalität oder Adresse bedürfen einer vorherigen ausdrücklichen Einwilligung. Zu beachten ist auch, dass die veröffentlichten Daten nach einer angemessenen Zeit gelöscht werden müssen, da auch Turnierteilnehmer ein Recht darauf haben „vergessen zu werden“. Ein über mehrere Jahre zurückreichendes Archiv unter Nennung einzelner personenbezogener Daten ist vermutlich unangemessen.

Zusammenfassung

Wenn du personenbezogene Daten – z.B. deine Kundendaten – nicht nur unregelmäßig und nicht nur für persönliche oder familiäre Zwecke verarbeitest/nutzt, musst du aktiv werden:

  1. Räume evtl. deine Webseite auf und mache sie DSGVO-konform. Passe Newsletter u.ä. an.
  2. Passe deine Datenschutzerklärung an.
  3. Schließe Auftragsverarbeitungsverträge mit deinem Hoster, ggf. Newsletter und PferdeTermine.de und jeglichem weiteren Dienstleister bei dem du Informationen deiner Kunden/Mitarbeiter/Mitglieder speicherst/sammelst/überträgst.
  4. Erstelle ein neues Verzeichnis deiner Verarbeitungstätigkeiten

Es gibt noch viele weitere Details, die die DSGVO beschreibt. Hier findest du den Original-Gesetzestext der DS-GVO auf Deutsch. Hilfreich fand ich auch Informationen aus Österreich unter www.wko.at (ist ja ein EU-Gesetz) und auf www.lda.bayern.de.

Und nochmal zum Schluss sei erwähnt: Ich bin weder Jurist noch DSGVO-Spezialist und habe hier nur meine eigenen bisherigen Erkenntnisse zusammengefasst, weil mich bereits einige Trainer angesprochen haben. Ihr könnt eure eigenen Erfahrungen gerne in den Kommentaren ergänzen. Ich bin dankbar für weitere Hinweise und eure Empfehlungen! Einfach kommentieren!


2 Gedanken zu “DSGVO – Warum das Thema JEDEN betrifft

  • Heidi Herrmann

    Vielen herzlichen Dank Kathrin! Da gibt es auch für mich noch einiges zu tun und ich muss mir diese ganzen Verträge noch zusammen suchen. Wir müssen dann ja auch einen machen, oder? Gern würde ich natürlich meine Pferdeseminare weiterhin bei dir einstellen. Anmeldung dann aber besser bei mir, das wird zu kompliziert.
    Liebe Grüße Heidi

    • Pferdetermine Autor des Beitrags

      Liebe Heidi,
      Wir müssen nur dann einen AV-Vertrag machen, wenn du die Online-Buchungen nutzt. Wenn nicht und du bei dir buchst, brauchen wir zwar keinen extra Vertrag, aber du musst dann mehr Anpassungen auf deiner Webseite vornehmen! Unter dem Strich macht das glaube ich keinen Unterschied für dich – im Gegenteil. Dann musst du auf deiner Webseite eben auch das explizite Einverständnis einholen (separat mit Widerspruchsmöglichkeit), SSL einrichten, die Funktionalitäten in deine Datenschutzerklärung aufnehmen usw. Ein Verfahrensverzeichnis und die Dokumentation der „Technisch, organisatorischen Maßnahmen“ sind sowieso für jeden Pflicht – aber ja nicht direkt nach außen sichtbar.
      Ich stelle gerade die Webseite einer Reitlehrerin um ;-) Das ist auch Arbeit – man hat ja auch nix besseres zu tun :-( .
      LG, Kathrin

Kommentare sind geschlossen.