von Marc Ferdinand Körner
•
25. Juni 2018
Ach - Du hast noch nicht von der DSGVO gehört? Natürlich hast du das - sonst hättest du wohl kaum hier auf weiterlesen geklickt. Ja - es nervt an allen Ecken und Enden - ja es ist mehr als ausgelutscht - ne Masterlösung muss aber halt trotzdem irgendwie her - darum hier mal die Dinge die ICH getan habe um eine möglichst DSGVO konforme Website zu führen: Website SSL-Verschlüsseln Einer der wichtigsten Punkte - deine Website sollte unbedingt ein SSL-Zertifikat abbekommen und vollständig SSL-Verschlüsselt sein. Dies kann zu 90% bei deinem Websiteprovider beantragt/ aktiviert oder eingestellt werden. Meistens 2-3 Klicks im Konfigurationsinterface. Aufwand: sehr gering. Impressum anpassen Ich habe mein Impressum um die stellen erweitert, WELCHE Plugins und Software ich nutze auf der Website. Dies geht hand in Hand mit der neuen Datenschutzerklärung Dort steht dann genau WIE die Software benutzt wird. Wenn ihr zB Videos aus Youtube oder Vimeo einbindet - sollte das da drin stehen und auch von den Dienstleistern als Konform-verschlüsselt angegeben werden. Wenn ihr wie ich noch gar keine Datenschutzerklärung auf eurer Webseite hattet - ist das kein Problem. M üller Rösner hat hier mal ein SUPER-guter Generator - der dir eine Anwaltlich geprüfte Datenschutzverordnung verpasst - vollständig kostenlos - ihr müsst am Ende der Datenschutzerklärung nur die Kanzlei mit verlinken. Ein Fairer Preis für eine funktionierende Datenschutzverordnung. Aufwand für Impressum und Datenschutzerklärung? ca. 30 Minuten netto Kontaktfelder / Newsletterabonnement Neu hinzu kommt - dass ihr in ALLEN Kontaktfelder auf euer Website - sei es eine Kontaktseite, eine "Schreib uns eine eMail"-Seite etc ein sogenannte Optout-Checkbox platzieren MÜSST in dem derjenige der dir eine Anfrage stellt bestätigt, dass seine Daten weiterverwendet werden dürfen - und dass du das schriftlich bestätigt hast, dass du das weiterverwenden darfst. Einfache Lösung: Ein zufälliges KLICKfeld hinzufügen dass der User beim Absende angeklickt haben muss - dann seit ihr da fein raus. ACHTUNG - das Feld darf nicht vorangeklickt sein (das wäre Optout), sondern muss bewusst vom User angeklickt werden (> OptIn). Vorgesetzte Haken alla "Newsletter abonnieren" oder "Seele verkaufen" sind somit "leider" verboten. Aufwand: ca. 30 Minuten - je nach dem wie viele Kontaktpunkte du auf deiner Website hast Cookiesbestätigung mit Opt-Out Die Cookie-Info beim ersten Besuch einer Website ist mittlerweile ja bei allen Websiten Standard - bisher war das aber nur eine Info - dass Cookies verwendet werden und wenn dich das stört - dann kannst du die Seite ja wieder verlassen. Neu dank DSGVO ist jetzt - dass du zunächst bestätigen musst - dass du Cookies akzeptiert - bevor diese angelegt werden dürfen. Das ist ein etwas erhöhter Programmieraufwand, da viele Analysetools für Websiten SOFORT loslegen wollen sobald du die Seite besuchst. Viele der Analysetools sind in diesem Zuge bis Stand heute noch nicht vollstöndig auf die DSGVO optimiert - hier muss also noch nachgeholt werden. Aufwand? Hat mich gut 3h mit Recherche etc gekostet Verschwiegenheitserklärung für Mitarbeiter Ich hab jetzt in meinem Freelancerverbund keine Mitarbeiter die unter diese Regelung fallen - aber wenn du Mitarbeiter in deiner Firma hast - sollte dein erster Schritt sein - dass diese ALLE eine Verschwiegenheitserklärung unterschreiben, in denen Sie jegliche Informationen vertraulich behandeln die Sie von deinen Kunden bekommen - da seit ihr dann rechtlich fein raus - immer dran denken im Falle einer Prüfung will die Prüfungskomission genau das sehen - wo steht archiviert, dass alle sich an die regeln halten. TOMs - Technisch-organisatorische-Maßnahmen Das stellte für mich überhaupt keinen Aufwand dar - da die TOMs bei mir immer Up To Date sind. Was sind Technisch-organisatorische Maßnahmen? Dies behinhalte Nachweise - wie sicher du mit allen Daten umgehst, die du benutzt. Sprich - sind alle Kundenrelevanten Daten verschlüsselt (Verschlüsselung aller Festplatten, Verschlüsselung aller CMS und ERP Systemen - Passwortgechützter Zugriff auf alle deine technischen Geräte die Kundendaten beinhalten könnten (Rechner, iPads, Telefone, Interne wie externe Festplatten, SD-Karten) Ernennung eines Datenschutzbeauftragten Ob du einen Datenschutzbeauftragen in deiner Firma benötigst kannst du dir hier genauer nachlesen - prinzpiell hab ich das so verstanden, dass du in den folgenden 3 Fallen einen Beauftragten benötigst: 1 - Das Unternehmen beschäftigt mindestens neun Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten . 2 - Das Unternehmen übermittelt personenbezogene Daten geschäftsmäßig, erhebt oder verarbeitet diese. Zunächst mal fällt da gefühlt jegliche Kommunikation darunter - aber es werden wohl wirklich nur große Datenverarbeiter genannt wie Auskunfteien, Adressverlage oder Marktforschungsunternehmen. Die Anzahl der Beschäftigen spielt dann keine Rolle. Rechtsgrundlage: § 4f Abs. 1 Satz 5 BDSG. 3 - Das Unternehmen verarbeitet besonders sensible Daten , wie beispielsweise Bonitäts- oder Gesundheitsdaten. In solch einer Situation besteht unabhängig von der Anzahl der Beschäftigten eine grundsätzliche Verpflichtung zur Bestellung eines Datenschutzbeauftragten . Rechtsgrundlage ist § 4f Abs. 1 Satz 5 BDSG.
