DSGVO – Auftragsverarbeitungsverträge. Sichere Dich rechtlich ab.

Wenn Du gerade schon unruhig bist, weil so viel Text folgt: Du kannst Dich auch einfach direkt per eMail an mich wenden.

***

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar! Ich nehme gern sachdienliche Hinweise, um den Artikel auch für das in Deutschland geltende Recht zu optimieren, sollte sich dies durch Eröffnungsklauseln in der DSGVO unterscheiden.

Achtung: geballte Info! Hier geht es um die Details zu den Auftragsverarbeitungsverträgen. Wenn Du noch null Plan hast, was die DSGVO überhaupt ist, schau lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!

Und noch eine Anmerkung: Ich benutze hier teilweise die alten Begriffe “Auftraggeber” (statt “Verantwortlicher”) und “Dienstleister” (statt “Auftragsverarbeiter”), weil dann etwas klarer ist, in welchem Verhältnis die entsprechenden Parteien stehen.

***

Du hast Dein Verarbeitungsverzeichnis mal soweit fertig, hast Deine Datenschutzerklärung auf Deiner Website und hast Dir mal zumindest eine Stunde Pause gegönnt? Dann kann es jetzt mit den Auftragsverarbeitungsverträgen weitergehen.

“Warum musst Du den Aufwand überhaupt betreiben?”
Kein Stress, das Schlimmste hast Du mit dem Verarbeitungsverzeichnis schon hinter Dir! Die Verarbeitungsverträge möchtest Du mit Deinen Anbietern und Dienstleistern jetzt machen, um Dich rechtlich abzusichern. Du bindest Deine Anbieter und Dienstleister rechtlich daran, dass sie mit den personenbezogenen Daten anderer Menschen, die sie von Dir bekommen, DSGVO-konform umgehen. Damit hast Du alles in Deiner Macht stehende getan und wenn jemand bei Dir anklopft, kannst Du den Ordner mit den Verträgen und Deinem Verarbeitungsverzeichnis vorweisen und alles sollte gut sein.

Was steht in so einem AVV eigentlich drin?

  • die Vertragspartner
  • Art & Zweck der Verarbeitung
  • die Dauer der Verarbeitung
  • Art und Kategorien der personenbezogenen Daten
  • Fixierung der Weisungsgebundenheit des Auftragsverarbeiters
  • Verschwiegenheitspflicht
  • Maßnahmen zur Datensicherheit
  • Mitwirkungspflicht des Auftragsverarbeiters bei den Betrofenenrechten
  • Regelung über Datenrückgaba/-löschung (z.B. bei Beendigung der Zusammenarbeit)
  • Darüber hinaus kann man in einem AVV auch fixieren, ob die Beschäftigung von Subdienstleistern zulässig ist, oder ob nur bestimmte Subdienstleister infrage kommen.

    Sollten Subdienstleister als zulässig definiert werden, brauchst Du mit diesen auch wieder eine schriftliche Vereinbarung; das ist auch in diesem Fall Deine rechtliche Garantie dafür, dass der/die Subdienstleister sich an die DSGVO halten. Die Genehmigung des Verantwortlichen ist in jedem Fall notwendig – der muss als Verantwortlicher schließlich wissen, was mit den personenbezogenen Daten von Menschen in seinem Auftrag und in seinem Namen passiert und wer Zugriff darauf bekommt. Deswegen hat der Verantwortlich auch ein Einspruchsrecht bei Subdienstleistern.

    Mit wem Du AVVs benötigst
    Ein “Auftrags-Verarbeitungs-Vertrag” ist ziemlich genau das, wonach es sich anhört: Ein Vertrag mit jemandem, der in Deinem Auftrag Daten anderer Menschen für Dich verarbeitet. Das sind meist Unternehmen wie Clouddienstleister, eMailprovider, Podcasthoster, Kalenderprovider, …

    Schau in Dein Verarbeitungsverzeichnis, wo überall Daten natürlicher Personen auch von jemand anderem als Dir verarbeitet werden. Mit diesen Unternehmen solltest Du dann rechtlich verbindliche Vereinbarungen treffen.
    Falls Du noch kein Verarbeitungsverzeichnis hast, schau in den Detail-Artikel “Verschaffe Dir einen Überblick und erstelle ein Verarbeitungsverzeichnis”.

    Wir erinnern uns: Faustregel für den Firmensitz des Software-Herstellers bzw. Dienstleisters ist:
    Dein eigenes Heimatland -> yay! | EU -> ok | non-EU -> doof

    Wenn es um Datenübertragung in Drittländer (also Nicht-EU) geht, immer zweimal hinschauen, ob alles passt. Es gibt eine Reihe an Ländern (u.a. Kanada, Neuseeland, die Schweiz und die USA), für die ein sogenannter Angemessenheitsbeschluss vorliegt, in die Länder ist eine Datenübertragung grundsätzlich erlaubt; einen AVV oder eine Vereinbarung mit “Standardvertragsklauseln” brauchst Du mit den jeweiligen Anbietern trotzdem.

    Zwei Hinweise:
    1) Das PrivacyShield Abkommen steht aktuell auf dem Prüfstand und es ist abzusehen, dass es in absehbarer Zeit fallen wird. Wenn Du US Anbieter (Dropbox, WeTransfer, etc.) nutzt, überlege, ob Du nicht bei der Gelegenheit auf europäische Anbieter wechseln möchtest.
    2) Auch die “Standardvertragsklauseln” sind im April 2018 zur Prüfung zum EUGH gegangen. Wie diese Prüfung ausgeht, werden wir noch sehen. Falls Du Anbieter in sonstigen Drittländern hast, lohnt sich auch hier ggf. eine kurze Recherche, ob es nicht einen passenden europäischen Anbieter gibt.

    Für neue Verträge (spätestens ab dem 25. Mai 2018) ist anzunehmen, dass die dann bereits entsprechende Abschnitte enthalten, um die DSGVO-konforme Verarbeitung von personenbezogenen Daten zu sichern. Da bestehende Vertragsverhältnisse das noch nicht haben, brauchen wir jetzt diese extra Verträge.

    Bei vielen Anbietern findest Du die Info dazu, wie Du zu einem AVV kommst, bereits in den FAQ oder im Mitgliederbereich, sonst am einfachsten den Support fragen.

    Eine gute Übersichtsliste, von welchen Anbietern bereits AVVs vorliegen, gibt es in der Facebook Gruppe “DSGVO & Online Marketing Recht” von Sabrina Keese-Haufs. Dort gibt es findige Menschen, die stetig neue Infos posten, wo sie bereits Auftragsverarbeitungsverträge bekommen haben, welche Anbieter noch keine haben, etc. Falls Du kein FB-Konto hast, dann mach Dir bitte auch keines mehr, es geht auch ohne; zum Beispiel mit dem Übersichtsartikel bei Blogmojo.

    Im Datenschutz-Guru-Podcast von Stephan Hansen-Oest gibt es eine ganz interessante Folge zum Thema der TOMs, also der technischen und organisatorischen Maßnahmen, die in den AVVs festgehalten werden.

    Falls einer Deiner Dienstleister (noch) keinen AVV zur Verfügung stellt, gibt es VBorlagen von verschiedenen Interessenverbänden, z.B. dem BIT oder der WKO.
    Ich habe hier auch eine Vorlage für Dich, die ich nach bestem Wissen und Gewissen auf Basis des Dokuments der hiesigen Wirtschaftskammer erstellt habe; der tatsächliche Vertragstext ist fast komplett übernommen, ich habe das Dokument vor allem kommentiert und die genannten Beispiele angepasst, um es etwas verständlicher zu machen. Hinweis: Ich bin keine Juristin. die Verwendung erfolgt auf eigene Verantwortung.

    -> Vorlage Auftragsverarbeitungsvertrag
    Muster_Auftragsverarbeitungsvertrag (.doc)

    Gemeinsame Verantwortlichkeit
    Einige Unternehmen wie zum Beispiel Mobilfunkanbieter werden Dir antworten, dass sie keine AVV machen, weil sie sich selbst als Verantwortliche sehen. Das ist ok, eine gemeinsame Verantwortlichkeit ist in Artikel 26 der DSGVO abgedeckt.

    Falls es keine Rechtsvorschriften gibt, die regeln, wer werlche Aufgaben, Speicherfristen, etc. hat, gehört in einer Vereinbarung klar geregelt, wer welche Verpflichtungen übernimmt. Im Falle der Mobilfunkanbieter greift beispielsweise das Telekommunikationsgesetz, das vorgibt, wie lange Daten aufbewahrt werden müssen und wann etwas gelöscht gehört.

    Wer im Falle der Betroffenenrechte dann die Informationspflicht gegenüber den betroffenen Personen übernimmt, sollte in der Vereinbarung ebenfalls geklärt sein und das gehört den betroffenen Personen auch mitgeteilt (also ggf. in die Datenschutzerklärung aufgenommen und bei Anfrage detaillierter kommuniziert)*.

    Einen ganz aufschlussreichen Artikel, wann es sich um einen Auftragsverarbeiter handelt und wann nicht, findest Du im Blog von Regina Stoiber.

    Wenn Du selbst Auftragsverarbeiter bist
    Einige Deiner Kunden werden vielleicht noch nicht drauf gekommen sein, dass sie jetzt einen AVV mit Dir benötigen. Es liegt zwar in der Verantwortung des Verantwortlichen, dass diese Verträge zustande kommen, aber es ist ein netter Service von Dir, wenn Du sie anschreibst und fragst, ob sie da schon etwas in Arbeit haben, oder ob Du ihnen Deine Vorlage zukommen lassen sollst.

    Oft sind die Auftragsverhältnisse bei mehreren Dienstleistern nicht ganz klar – ist die Druckerei jetzt Dein Subdienstleister oder einfach ein zweiter Dienstleister für denselben Auftraggeber? Man kann die Sache etwas abkürzen wenn man sich den Geldfluss ansieht. Bezahlst Du die Druckerei, ist sie Dein (Sub)Dienstleister und Du bräuchtest einen AVV mit ihr. Bezahlt der Auftraggeber die Druckerei, ist sie (neben Dir) ein weiterer Auftragsverarbeiter für denselben Auftraggeber. In dem Fall wäre mein Vorschlag, dass Ihr jeweils – Du und die Druckerei – einen AVV mit Eurem Auftraggeber abschließt und darin jeweils festhaltet, welche Daten im Rahmen der Auftragsverarbeitung von wo nach wo gehen; beispielsweise Du gibst die fertige Druckdatei im Rahmen Deiner Auftragsverarbeitung direkt an die Druckerei.

    *

    (1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.

    (2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.

    (3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

    ***
    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel “DSGVO – An sich ganz easy”
    “Was sind personenbezogene Daten?”
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie “DSGVO – an sich ganz easy”

    DSGVO <-> GDPR – ein Wörterbuch

    Nachdem ich grad im Netz nichts wirklich Passendes gefunden habe, gibt es jetzt hier ein deutsch-englisches DSGVO – GDPR Wörterbuch für alle, die entweder mit Unternehmen im Ausland kommunizieren, um an ihre Auftragsverarbeitungsverträge zu kommen, oder die eine englischsprachige Datenschutzerklärung bereitstellen müssen, z.B. weil ihre Website auf Englisch im Netz ist.

    Die Informationen stammen zum Großteil von der offiziellen EUR-Lex Website.
    Tipp: Auf der Seite der DSGVO/GDPR (Regulation (EU) 2016/679) kann man sich auch zwei oder drei Sprachen parallel anzeigen lassen.

    Wenn Euch etwas fehlt oder sich ein Fehler eingeschlichen hat, schickt mir einfach eine eMail.

    ***
    Hinweis: Ich bin keine Juristin und dieser Artikel stellt keine Rechtsberatung dar!

    Falls Ihr noch null Plan habt, was die DSGVO überhaupt ist, schaut lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!

    ***
    Allgemeines
    DSGVO (Datenschutzgrundverordnung) – GDPR (General Data Protection Regulation)
    Grundrecht – fundamental right
    Grundsatz – principle
    DSGVO konform – GDPR compliant
    personenbezogene Daten – personal data
    natürliche Person – natural person / data subject
    Verantwortlicher – data controller
    Auftragsverarbeiter – data processor
    Einwilligung – consent
    Datenverarbeitung – data processing
    besondere Kategorien personenbezogener Daten (früher: “sensible Daten”) – special categories of personal data (fka: “sensitive data”)
    Verantwortung – accountability
    Zweck und Mittel der Verarbeitung personenbezogener Daten – purpose and means of the processing of the personal data

    Grundprinzipien
    Zweckbindung – purpose limitation
    Rechtmäßigkeit der Verarbeitung – lawfulness of processing
    Datenminimierung – data minimisation
    Löschverpflichtung – obligation to erase personal data
    Transparenz – transparency
    Informationsrechte – right of information
    Datenschutz durch Technik – data protection by design
    Datenschutz durch datenschutzfreundliche Voreinstellungen – data protection by default

    Rechtsgrundlagen
    vorherige Einwilligung – prior consent
    Vertragserfüllung – performance of a contract
    Erfüllung einer rechtlichen Verpflichtung – compliance with a legal obligation
    lebenswichtige Interessen – vital interests
    Gründe des öffentlichen Interesses – reasons of public interest
    berechtigte Interessen des Verantwortlichen – legitimate interests of the controller

    Betroffenenrechte
    Betroffenenrechte – data subject rights
    Recht auf Benachrichtigung – right to get notified
    Recht auf Auskunft – right to gain access to the stored personal data
    Recht auf vergessen werden – right to be forgotten
    Recht auf Daten in einem maschinenlesbaren Format – right to receive personal data in a machine-readable format

    Dokumente
    Verarbeitungsverzeichnis – record of processing activities
    Auftragsverarbeitungsvertrag – data processing agreement
    Datenschutzerklärung/Datenschutzhinweis – privacy notice
    Datenschutzbestimmungen – privacy policy

    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel “DSGVO – An sich ganz easy”
    “Was sind personenbezogene Daten?”
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie “DSGVO – an sich ganz easy”

    Mein Problem mit Facebook

    Spätestens seit Cambridge Analytica ist klar, womit Facebook sein Geld verdient – nämlich damit, dass es unser Verhalten online wie offline aufzeichnet, analysiert, weiterverarbeitet und den Zugang zu unseren daraus entstandenen Verhaltensprofilen weiterverkauft. Dadurch, dass die Datenschutzeinstellungen für die einzelnen Facebook-Nutzer erst einmal irgendwo in den Tiefen der Profiloptionen versteckt sind und dann auch noch sehr undurchschaubar und manipulativ formuliert, sind viele bei den “default Einstellungen” geblieben – nämlich: FB hat vollen Zugriff auf das eigene Konto und auf die der Freunde. Das heißt, man lässt Facebook nicht nur über die eigenen Daten verfügen, sondern auch über die, mit denen man auf dem Netzwerk verbunden ist, ohne, dass die dabei ein Wörtchen mitzureden hätten.

    Ich will nicht mehr auf Facebook sein. Als ich 2005 mein Konto dort eröffnet habe, tat ich das auf Einladung meiner Cousine – meine Familie ist 1.000km weit weg und es war damals “eine schöne Sache”, mit ihnen in Verbindung zu bleiben. Besser als StudiVZ, da war kaum jemand von ihnen. Ich habe FB jahrelang viel genutzt und fand es auch immer schade, wenn andere die Plattform wieder verlassen haben, aber die anderen waren einfach schlauer als ich damals. Übrigens war meine Cousine die erste, die von FB wieder weg war.

    Vor einigen Jahren habe auch ich aufgehört, FB aktiv zu nutzen. Ich würde auch gern meinen Account komplett löschen, aber ich habe zwei Probleme:
    1) eine Autoren-Fanpage mit etwas über 600 Followern
    2) In den letzten Jahren habe ich mehrere Kurse/Fortbildungen gekauft und alle haben eine FB-Gruppe für den Austausch, Kursmaterial, teils wöchentliche FB-Live-Sessions, etc.

    Ich kaufe einen Kurs um € 400,-, € 500,- oder auch € 2.000,- und auf meinen Hinweis, dass ich nicht an der FB-Community teilnehmen möchte bekomme ich dann jeweils in etwa die Antwort: Natürlich könne man mich nicht zwingen, aber “das ist ja schade, dann nimmst Du Dir selber den wichtigsten Teil des Kurses, wo man Fragen stellen, sich mit den Leuten austauschen kann und wo der neue Input/das neue Material zur Verfügung gestellt wird.”

    Ich hab auch schon Verlagsausschreibungen bzw. Ausschreibungen für eine Audiobook-Produktion gesehen, wo man einen eingesprochenen Text zwingend über FB auf eine Seite hochladen musste. Keine Annahme auf einem anderen Weg. Abgesehen davon, dass ich ein Problem mit den Rechten am hochgeladenen Material sehe, wie kann das denn sein, dass ich auch für eine Stelle als Sprecherin zwingend ein FB-Profil brauche, um an der Ausschreibung teilzunehmen? Nein, da habe ich dann wirklich nicht mitgemacht, obwohl ich schon gern eine Sprecherrolle in der Produktion gehabt hätte.

    Da läuft doch was ganz falsch!
    Es kann doch nicht sein, dass ich genötigt – nicht gewungen, aber genötigt – werde, meine Daten an Facebook und wer weiß wen noch alles weiterzugeben und bei z.B. einem Coachingprogramm teils sehr persönliche Informationen in so einer Gruppe oder via FB Messenger zu teilen.

    Ich gehe davon aus, dass es die Kursanbieter nicht vorher wussten. Von einem hab ich eine sehr abtuende Reaktion bekommen, sein Kursmodell würde mir nur einfach nicht passen und ich wolle ja nur, dass er sich ändert und nur alles, was ich mache, wäre richtig.

    Ganz ehrlich? Nein. Ich freue mich, wenn ich neue, bessere Möglichkeiten kennenlerne, wie ich es selbst besser machen kann.Ich hänge auch nicht an meiner Meinung, vielleicht hat jemand viel bessere Argumente und ich hab dann wieder was zum Nachdenken und kann mich mit einem Thema noch tiefer auseinandersetzen. Aber mich nervt gewaltig, dass ich so abgehandelt wurde auf meinen Einwand, dass eine FB-Gruppe vielleicht nicht der Weisheit letzter Schluss ist.

    Aber darauf kam nur, dass alle, die keinen Facebook-Account hätten, eh auch kein Interesse an Fortbildung XY hätten. Punkt.
    Ach. Doch. Ich.

    Ja natürlich ist FB die einfachste und naheliegendste Wahl. Kann ja keiner ahnen, dass so Querulanten wie ich das hinterfragen könnten.

    Natürlich kostet es kein extra Geld, man bezahlt schließlich damit, dass man sich selbst und seine Freunde an dubiose Analysefirmen verscherbelt.

    Natürlich ist es einfach zu bedienen – ja sicher, die Plattform hat genug Geld, das sie für unsere Profile von Ad-Netzwerken bekommen hat, dafür ausgegeben, dass wir so lange wie möglich dort bleiben und ihnen wiederum noch mehr Daten generieren, hochladen und teilen.

    Momentan ist Facebook gerade dabei, die schon in den USA sehr umstrittene Gesichtserkennung in Europa auszurollen. Vorwand: die DSGVO. “Damit sie unsere Daten besser schützen können”, brauchen sie jetzt noch mehr davon. Nein, so geht Datenschutz nicht. Die oberste Direktive der DSGVO ist Datensparsamkeit, also gleich von Anfang an mal so wenig davon produzieren, wie möglich. Unter diesem Vorwand ist die neue Sammelwut umso dreister.

    Ich will dort nicht mehr sein. Ich habe mir gerade gestern mal die Daten runtergeladen, die FB von mir gespeichert hat. Ich werde den Account so schnell wie möglich löschen – spätestens, wenn sie mich dazu zwingen, die nächsten Datenschutzbestimmungen zu akzeptieren, die ich aber nicht akzeptieren möchte. Ich kann und will das ethisch nicht mehr verantworten. Und wenn ich mich dann aus den Gruppen rausschneide und mir die Möglichkeit nehme, Fragen zu stellen, dann sei’s drum. Es ist offenbar ohnehin nicht gewünscht, dass ich die Fragen stelle, die ich stellen möchte. Nämlich: Gibt es auch eine Alternative zu der FB-Gruppe?

    DSGVO für Vereine

    Wenn Ihr gerade schon unruhig werdet, weil so viel Text folgt: Ihr könnt Euch auch einfach direkt per eMail an mich wenden.

    ***

    Hinweis: Dieser Artikel stellt keine Rechtsberatung dar!

    Achtung: Falls Ihr noch null Plan habt, was die DSGVO überhaupt ist, schaut lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!

    ***

    Ja, die DSGVO gilt für alle. Auch den Chor, die freiwillige Feuerwehr, etc.
    Warum? Weil Ihr eine Mitgliederliste und eine Buchhaltung und ggf. auch noch eine Website habt und ziemlich sicher eMails bekommt und versendet. Vielleicht gebt Ihr noch Fotos Eurer Vereinsaktivitäten an die Presse oder veröffentlicht sie anderswo.

    Es ist übrigens völlig egal, falls Ihr Eure Mitgliederliste und Buchhaltung nur offline und/oder auf Papier habt; die Datenschutzgrundverordnung gilt auch dann für Euch.

    Keine Panik, so schlimm wie es an manchen Stellen klingt, ist das für Euch ziemlich sicher trotzdem nicht. Als Verein habt Ihr vermutlich recht wenig Daten im Gegensatz zu so manchem Unternehmen.

    Als “Daten” gelten im Sinne der DSGVO nur die personenbezogenen Daten natürlicher Personen. Die Firmendaten Eures Getränkelieferanten oder Vereinslokals gelten nicht, das sind ja Unternehmen. Aber die Telefonnummer vom Lieferfahrer Georg oder der Wirtin Siglinde dann wieder schon, weil es sich bei denen um “natürliche Personen” handelt, egal ob sie Mitglieder bei Euch sind oder nicht. Wenn Ihr unsicher seid, was alles unter “personenbezogene Daten” fällt, schaut in den Detailartikel “Was sind personenbezogene Daten?”.

    Verantwortlich für die Verarbeitung von personenbezogene Daten in Eurem Verein ist der Vorstand – so wie in einem Unternehmen auch die Geschäftsführung verantwortlich ist.

    Was Ihr konkret braucht:
    * eine Überblicksliste, was Ihr überhaupt an Daten von natürlichen Personen habt
    * aus der Überblicksliste macht Ihr ein Verarbeitungsverzeichnis
    * aus dem Verarbeitungsverzeichnis ergibt sich dann die Datenschutzerklärung für Eure Mitglieder und ggf eine zweite für Eure Website
    * aus dem Verarbeitungsverzeichnis ergibt sich außerdem, mit welchen Dienstleistern Ihr ggf. sogegannte Auftragsverarbeitungsverträge abschließen müsst

    Was Ihr also auf jeden Fall machen müsst, ist eine Inventur, welche Daten Ihr tatsächlich habt und womit Ihr diese Daten verarbeitet. Voraussichtlich werden das Namen, Adressen, Mitgliedsnummern, Telefonnummern, eMailadressen und ggf. Fotos Eurer Mitglieder und vielleicht auch anderer Personen haben. Wenn Ihr ein Chor seid und Konzerte veranstaltet, habt Ihr vermutlich Fotos, auf denen auch Menschen aus dem Publikum zu sehen sind.

    Hinweis: Auch Daten, die Ihr nur offline und lokal habt, gelten im Sinne der DSGVO. Wenn Ihr sagt, Ihr stellt jetzt Eure Vereinswebsite ein, ändert das nur begrenzt etwas.

    Schreibt alles auf, was Euch einfällt, wo Ihr personenbezogene Daten habt. Es ist übrigens völlig normal, dass man auf manche Sachen erst später draufkommt. Das ist ok, die Liste ist ein Arbeitsdokument und kann jederzeit erweitert werden, falls neue Dienstleister dazukommen oder verkürzt werden, falls andere wegfallen.

    Aus dieser Überblicksliste macht Ihr dann das Verarbeitungsverzeichnis. Das ist die etwas formellere Form Eurer Liste, wo noch die Namen der Verantwortlichen vorne dran gehören und mit welcher Rechtsgrundlage Ihr die jeweiligen Daten verarbeitet.

    Als Verein habt Ihr zum Beispiel eine Dokumentationspflicht, die den Namen sowie Eintritts- & Austrittsdatum Eurer Mitglieder umfasst. Die Adresse braucht Ihr vielleicht für die Zustellung der Einladung zur jährlichen Mitglieder-/Generalversammlung und für das Geburtsdatum habt Ihr (hoffentlich) die Einwilligung der Mitglieder, dass Ihr das gespeichert habt und ihnen dann eine Karte schickt, ein Ständchen singt, etc.

    Was auch ins Verarbeitungsverzeichnis gehört ist, wohin Ihr die Daten ggf. noch weitergebt/hochladet/synchronisiert/… Falls Ihr in Deutschland ein eingetragener Verein seid, geht Eure Buchhaltung zum Finanzamt. In Österreich sind grundsätzlich alle Vereine eingetragen, da geht die Buchhaltung dann zum Finanzamt, wenn der Jahresumsatz eine bestimmte Grenze überschreitet. Dafür sind aber die Vorstandsmitglieder in Österreich grundsätzlich namentlich im zentralen Vereinsregister eingetragen.

    Schaut in den Detailartikel “Verschaffe Dir einen Überblick und erstelle ein Verarbeitungsverzeichnis” für mehr Tipps und Beispiele. Dort findet Ihr auch eine Vorlage, mit der Ihr das Verarbeitungsverzeichnis erstellen könnt.

    Das Verarbeitungsverzeichnis ist ein lebendes Dokument. Wenn Ihr z.B. den Hostinganbieter Eurer Website ändert, gehört das auch im Verarbeitungsverzeichnis geändert. Am besten macht Ihr Euch eine Notiz, dass das Verarbeitungsverzeichnis und die sich daraus ergebende(n) Datenschutzerklärunge(n) jährlich bei den Vorbereitungen zur Mitgliederversammlung/Generalversammlung überprüft werden, ob noch alles so stimmt und Ihr immernoch dieselbe Software, dieselben Dienstleister etc. nutzt.

    Die Datenschutzerklärung ergibt sich, wie gesagt, aus dem Verarbeitungsverzeichnis. Wenn Ihr eine Website habt, gehört dort in jedem Fall eine Datenschutzerklärung gut sichtbar und leicht zu finden drauf. Sie sollte in einfacher Sprache geschrieben und gut verständlich sein.

    Schaut in den Detailartikel “Die Datenschutzerklärung, Aufzucht und Hege” für Tipps und Beispiele, wie Ihr Eure Datenschutzerklärung gestalten könnt. Habt Ihr Google Analytics oder ein Facebookpixel auf der Seite? Hand auf’s Herz: Schaut Ihr Euch die Auswertungen wirklich an? Falls nein, nehmt die Tracker doch einfach raus, dann müsst Ihr sie auch nicht ausweisen.

    Für Eure Mitglieder empfehle ich eine zweite Datenschutzerklärung, in die Ihr alles reingebt, was Ihr tatsächlich mit den Mitgliederdaten tut, wo die liegen, etc.. Das geht “nur Besucher” Eurer Website ja nicht zwingend etwas an. Wenn jemand bei Euch Mitglied werden möchte, gehört die Datenschutzerklärung für Mitglieder gleich an den Mitgliedsantrag angehängt. Für die bestehenden Mitglieder solltet Ihr die Datenschutzerklärung einmal ausschicken, wenn Ihr sie dann habt.

    Obacht bei Generatoren aus dem Internet! Die geben meist Texte aus wie “Laut Paragraph X, Artikel Y, Absatz Z …” – das versteht kein Mensch und niemand hat den Gesetzestext zur Hand, um das mal eben nachlesen zu können, was einem der Satz sagen möchte. Das widerspricht dem Grundsatz, dass Datenschutzerklärungen in einfacher Sprache geschrieben sein sollen. Ihr könnt natürlich einen Generator verwenden, um mal den Grundstock Eurer Datenschutzerklärung zu erstellen, aber dann ist noch genug Arbeit drin, den Text lesbar zu machen. Außerdem steht bei allen Generatoren dran, dass das ja nur Hilfestellungen sind und ohnehin der Anwender haftet. Ihr könnt also eigentlich die Texte auch gleich selber schreiben, dann werden sie voraussichtlich lesbarer.

    Ebenfalls Obacht bei all diesen “All-in-One-Angeboten”, die damit werben, dass sie “alles” für Euch machen und übernehmen. Entweder es steht im Kleingedruckten, dass sie Eure Inventur nicht kennen können und ohnehin der Verantwortliche haftet, oder das Angebot ist nicht seriös. Die oben genannte Überblicksliste kann Euch keiner abnehmen!

    Last not least die Auftragsverarbeitungsverträge. Die braucht Ihr immer dann, wenn jemand anderer in Eurem Auftrag personenbezogene Daten für Euch verarbeitet. Wenn Ihr drauf gekommen seid, dass Ihr z.B. Eure Mitglieder oder die Presse via Google Mail anschreibt, werdet Ihr einen Auftragsverarbeitungsvertrag mit Google brauchen. Wenn Ihr eine WhatsApp Gruppe für die offizielle Kommunikation in Eurem Verein habt, braucht Ihr einen solchen Vertrag mit Facebook. Wenn Ihr Programmhefte in Druck gebt, wo Fotos und/oder Namen von Vortragenden oder Sängern drin sind, braucht Ihr – neben deren ausdrücklicher Einwilligung – einen Auftragsverarbeitungsvertrag mit der Druckerei.

    (Der Detailartikel zu den Auftragsverarbeitungsverträgen ist noch in Arbeit, folgt aber in den nächsten Tagen, inklusive einer Vorlage.)

    Die üblichen Fallen:

  • Clouddienste (Dropbox, etc.)
  • Mitgliederliste in Google Docs
  • WhatsApp (gehört zu Facebook Inc.)
  • Doodle
  • Foto-Ausdruckservices (Aldi/dm/Rossmann/…)
  • Fotos von Menschen auf der FB-Seite
  • Videos oder Stimmaufnahmen von Menschen auf Eurer Website oder FB-Seite
  • Es ist wirklich alles halb so wild. Klärt das einmal bei Euch im Vorstand und setzt Euch an die Überblicksliste. Falls Ihr drauf kommt, dass Ihr an der einen oder anderen Stelle etwas datenschutzrechtlich noch nicht optimal gelöst habt, nicht verzagen. Es gibt für die meisten Dienstleister gute Alternativen:

  • WhatsApp – Signal (für Einzelchats und Gruppen bis max. 10 Leute), Threema (uneingeschränkt zu empfehlen), Riot (für große Gruppen)
  • Doodle – Dudle
  • Dropbox – NextCloud (kann auch als Ersatz für WeTransfer genutzt werden, wenn Du die Dateien direkt aus der NextCloud heraus freigibst)
  • Gmail / GMX / Yahoo Mail / Web.de / … (alle gratis Mailanbieter) – Posteo, mailbox.org oder einen eigenen Mailserver nutzen, der vllt ohnehin schon bei Eurem Hostingvertrag dabei ist, wenn Ihr eine Website oder einen Blog habt
  • Google Docs – Pads (z.B. vom C3W gehostet)
  • ***

    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel “DSGVO – An sich ganz easy”
    “Was sind personenbezogene Daten?”
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie “DSGVO – an sich ganz easy”

    DSGVO – Die Datenschutzerklärung, Aufzucht und Hege

    Wenn Du gerade schon unruhig bist, weil so viel Text folgt: Du kannst Dich auch einfach direkt per eMail an mich wenden.

    ***

    Hinweis: Dieser Artikel stellt keine Rechtsberatung dar! Ich nehme gern sachdienliche Hinweise, um den Artikel auch für das in Deutschland geltende Recht zu optimieren, sollte sich dies durch Eröffnungsklauseln in der DSGVO unterscheiden.

    Achtung: geballte Info! Hier geht es um die Details zur Datenschutzerklärung, die jeder mit einer Website, einem Blog, mit Kundenkontakt, etc. braucht, der mit personenbezogenen Daten zu tun hat. Wenn Du noch null Plan hast, was die DSGVO überhaupt ist, schau lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!

    ***
    Dass jede ordentliche Website ein Impressum hat, hat sich ja mittlerweile rumgesprochen, auch in Österreich. In Deutschland besteht die Impressumspflicht, da sind die Websitebetreiber schon ein bisschen weiter. Mit der DSGVO kommt jetzt auch noch eine verpflichtende Datenschutzerklärung hinzu. Diese kann auch in den AGB abgebildet sein, muss aber deutlich gekennzeichnet werden. Am besten kanst Du einfach einen eigenen Menüpunkt “Datenschutzerklärung” einfügen, dann bist Du auf der sicheren Seite.

    In eine Datenschutzerklärung gehören grundsätzlich:

    1. Name & Kontaktdaten des Verantwortlichen
    2. falls vorhanden: Name & Kontaktdaten des Datenschutzbeauftragten oder gesetzlichen Vertreters
    3. die mehr oder weniger lange Liste an Verarbeitungen von personenbezogenen Daten, die bei Dir anfällt (siehe Verarbeitungsverzeichnis) inkl. Zweck der Datenverarbeitung und Rechtsgrundlage! Die Rechtsgrundlagen, aufgrund derer man personenbezogene Daten verarbeiten darf, sind Einwilligung der betroffenen Person, Vertragserfüllung, rechtliche Verpflichtung, etc.. Lies Dir am besten Artikel 6 a-f der DSGVO noch einmal durch.
    4. an wen Du die Daten noch weitergibst, wo Du sie hochlädst, etc.
    5. wenn Du personenbezogene Daten nach außerhalb der EU (z.B. die USA) übermittelst, und ob es für dieses Land einen Angemessenheitsbeschluss der EU-Kommission gibt
    6. wenn Du Profiling anwendest, inkl. der Tragweite und Auswirkungen für die betroffenen Personen
    7. wenn Du vorhast, die Daten zu einem anderen, nicht ursprünglich vereinbarten Zweck, weiterzuverwenden
    8. Speicherdauer
    9. Rechtsbelehrung & Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde

    Deine Datenschutzerklärung ist – so wie das Verarbeitungsverzeichnis auch – ein lebendes Dokument. Immer wenn sich etwas an Deinem Setup ändert, Du ein neues Tool benutzt, etc., gehören beide, Verarbeitungsverzeichnis UND Datenschutzerklärung, entsprechend angepasst.

    Zwei Hinweise: 1. Die Datenschutzerklärung muss in einfacher Sprache zur Verfügung gestellt werden, damit Deine Websitebesucher und Kunden sie auch schnell und einfach lesen und verstehen können. Du kannst auch eine sogenannte “layerd privacy policy” anbieten, wo Du die Inhalte einmal in einfacher Sprache hast und dann mit einem Klick auf “mehr lesen” (o.ä.) noch einmal mit Paragraphennennung für die Juristen zeigst. Der wichtige Teil ist allerdings der erste “Layer” mit der einfachen Sprache, der Rest ist – für mein Verständnis – hübsches Beiwerk.
    2. Vorsicht mit den Generatoren, die es im Netz gibt! – Auch der neuerdings von WordPress ausgelieferte! Natürlich ist es einfach, sich eine Datenschutzerklärung einfach zusammenzuklicken, aber so ein Generater kennt nur das, was man ihm vorab einfüttert. Wenn das nicht zu Deinem Setup passt und Du in Deiner Datenschutzerklärung Dinge drinstehen hast, die Du gar nicht in Verwendung hast oder einige Sachen nicht in Deiner Erklärung drin stehen, die Du aber tatsächlich verwendest, dann fällt das auf und könnte zu einer Prüfung Deines Unternehmens führen.

    Update vom 21. Mai 2018: Vorsicht auch bei dem in WordPress eingebauten Generator. Der gibt mal alles aus, was WordPress grundsätzlich tut oder tun könnte, ungeachtet, ob Du diese Funktionalitäten überhaupt verwendest.

    Außerdem geben die meisten dieser Generatoren Texte aus, die nicht als “einfache Sprache” zu bewerten sind, wenn sie in Nebensätzen auf Paragraphen verweisen, die sich die User dann erst selbst irgendwo suchen müssen. Und, last not least, schau Dir die AGB der Generatoren genau an, wenn Du überlegst, einen zu benutzen! Üblicherweise steht da sowas wie: Haftungsausschluss – User ist selbst Schuld, der Hersteller des Generators kennt das Business des Users nicht und die herausgekommene Datenschtzerklärung ist nur dann gültig, wenn sie nochmal vom User durch dessen Anwalt hat prüfen und abstempeln lassen. Also Vorsicht, ob Du Dir damit dann wirklich etwas ersparst. Eine Möglichkeit wäre natürlich, wenn Du Dir eine Basis mit einem Generator klickst und von der ausgehend dann selber weitermachst, aber ob Du damit schneller bist, wenn Du selbst noch die ganzen verlinkten Paragraphen nachschlägst, ist auch fraglich. Aber probier es gerne aus.

    Wenn Du Dienstleister bist, solltest Du gleich mit bedenken, dass Du auch für Deine Kunden eine Datenschutzerklärung brauchst, wie Du ihre Daten – auch offline – verarbeitest. Du kannst diese z.B. gleich in Deine Angebotsvorlage einbauen oder in Deine AGB integrieren, dort aber gut sichtbar kennzeichnen. Du kannst eine Datenschutzerklärung für alles zusammen erstellen (so wie ich) oder jeweils eine für die einzelnen Bereiche wie z.B. Website, Kunden, etc.. Wie Du das ggf aufteilst, bleibt Dir überlassen, Hauptsache, es ist übersichtlich und gut verständlich.

    Wenn Du Dein Verarbeitungsverzeichnis beisammen hast, kannst Du schon loslegen.

    Falls Du noch kein Verarbeitungsverzeichnis hast, schau in den Artikel “Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis”.

    In Deine Datenschutzerklärung gehört alles rein, was Personen auf Deiner Website aber auch sonst im Kontakt mir Dir und auf Deinen Kanälen widerfährt oder widerfahren kann und zwar immer mit der Angabe des Zwecks, warum Du diese oder jene Daten sammelst/auswertest/weitergibst und mit welcher Rechtsgrundlage Du diese Daten verarbeitest, z.B. aufgrund von gesetzlichen Speicherfristen bei der Buchhaltung oder/und weil die betroffenen Personen für die jeweilige Verarbeitung eingewilligt haben. Wenn Du für eine Verarbeitung keine Rechtsgrundlage hast, etwas nicht erklären kannst oder die einzige Erklärung ist: “Das machen doch alle so!”, dann überleg Dir, ob Du diese Auswertung / dieses Tracking oder sonstige Art der Verarbeitung wirklich brauchst.

    Bleiben wir für den Moment bei Deiner Website: Kontaktformular, Newsletter, Kommentarfunktion im Blog, welches Tracking Du benutzt, Social Plugins, Webfonts, Cookies (welche und für welchen Zweck!), Drittanbieter-Content wie Werbung, Banner, sonstige Werbenetzwerke, FB-Pixel, Affiliate-Links, Zahlungsanbieter, etc. und an wen die Daten jeweils weitergegeben werden.

    Auf meiner Website ist das nicht sehr viel, daher ist meine Datenschutzerklärung auch eher übersichtlich.

    Je nachdem, wieviel Du Deinen Usern an Daten abverlangst, kann Deine Datenschutzerklärung durchaus lang werden. Schau Dir einmal z.B. die Datenschutzerklärung von Zalando an, die ist formal für mein Verständnis absolut ok. Inhaltlich kann einem schon schlecht werden, wenn man alles geballt auf einem Haufen sieht, wie die User ausgewertet werden.

    Überlege noch einmal, ob Du all das, was Du momentan auf Deiner Website eingebaut hast, auch wirklich brauchst und trenne Dich ggf von Analytics, die Du ohnehin nie anschaust oder von Anbietern, wo Du schon seit einer Weile überlegst, sie loszuwerden. FB-Pixel beispielsweise jetzt nach Cambridge Analytica. Der oberste Grundsatz der DSGVO ist “Datensparsamkeit”.

    Wenn Du jetzt anfängst, Deine Datenschutzerklärung zu erstellen, mach Dir am besten wieder eine Liste und sortiere einmal, in welche Bereiche sich alles am besten aufteilen lässt. Zum Beispiel:

  • Analytics/Tracking
  • Social Plugins
  • Cookies, Third-Party-Cookies, Pixel, Re-Targeting
  • Affiliate Links
  • Newsletter
  • Blog Kommentare
  • Podcast
  • Kontaktformular/eMail
  • Login Bereich / Kundenkonto / Social Login Funktion (Tu’s nicht!)
  • Server Logdaten
  • Damit hast Du die Zwischenüberschriften für Deine Datenschutzerklärung schon einmal festgesteckt und musst die einzelnen Punkte “nur noch” mit leicht verständlichem Text füllen. Das Gute daran ist, dass Du am Ende a) eine Datenschutzerklärung geschrieben und b) (hoffentlich) wirklich durchschaut hast, was für Tools bei Dir zum Einsatz kommen udn was sie genau machen.

    Last not least gehört in Deine Datenschutzerklärung auch noch eine Rechtsbelehrung, denn Deine Kunden und User haben mit der DSGVO einige Rechte. Sie dürfen sich jederzeit bei Dir melden, wenn sie Fragen haben oder Auskunft möchten. Du hast ab Eingang der Anfrage dann einen Monat Zeit, darauf zu reagieren. Grundsätzlich haben alle natürlichen Personen das Recht auf Auskunft, Berichtigung ihrer Daten, Löschung (aka Recht auf vergessen werden), Einschränkung der Verarbeitung, Recht auf Übertragbarkeit und ein Recht auf Widerspruch. Außerdem haben sie ein Recht darauf, sich bei der Aufsichtsbehörde in Ihrem oder Deinem Land zu beschweren, wenn sie beispielsweise glauben, dass Du Deinen gesetzlichen Pflichten nicht ausreichend nachkommst, schludrig mit ihren Daten umgehst oder z.B. das Kopplungsverbot missachtest.

    Hinweis: Nicht in Panik verfallen, wenn jemand will, dass Du ALLE Daten, die Du von der Person hast, SOFORT löschst. Erst auf die gesetzlichen Aufbewahrungspflichten achten!

    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel “DSGVO – An sich ganz easy”
    “Was sind personenbezogene Daten?”
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie “DSGVO – an sich ganz easy”

    DSGVO – Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis

    Wenn Du gerade schon unruhig bist, weil so viel Text folgt: Du kannst Dich auch einfach direkt per eMail an mich wenden.

    ***

    Hinweis: Dieser Artikel stellt keine Rechtsberatung dar! Ich nehme gern sachdienliche Hinweise, um den Artikel auch für das in Deutschland geltende Recht zu optimieren, sollte es durch Eröffnungsklauseln der DSGVO abweichen.

    Achtung: geballte Info! Hier geht es darum, konkret an Deinem Setup zu arbeiten und herauszufinden, wo überall personenbezogene Daten anfallen und daraus dann das gesetzlich verlangte, sogenannte “Verarbeitungsverzeichnis” zu erstellen. Wenn Du noch null Plan hast, was die DSGVO überhaupt ist, schau lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!

    ***

    Überall im Netz liest man momentan von den extrem hohen Strafen für Datenschutzverstöße, die ab dem 25. Mai drohen. Die “Angebote” von Juristen und Datenschutzbeauftragten, die um teils deutlich mehr als € 500,- eine Datenschutzerklärung für Kleinunternehmer anpreisen haben auch nicht lange auf sich warten lassen. Falls Du Dich schon von der allgemeinen Panik hast anstecken lassen, atme tief durch. In den meisten Fällen ist es gar nicht so schlimm, wie man vermuten würde. Bevor Du für viel Geld Dein Gewissen erleichterst, schau erst einmal, ob das überhaupt notwendig ist. Spoiler: Ein Anwalt oder Datenschutzbeauftragter kann zwar die Dokumente für Dich abnicken, aber was Du alles an Software laufen hast, kann er oder sie nicht wissen. Und die Verantwortung trägst Du am Ende auch selber. Du musst also in jedem Fall selbst tätig werden.

    Wenn Du ein Unternehmen hast, einen Blog oder Podcast, wirst Du ziemlich sicher mit personenbezogenen Daten anderer Menschen in Berührung kommen. Allerdings ist es, wie gesagt, in den meisten Fällen weniger dramatisch, als gedacht.

    Verschaffe Dir also erst einmal einen Überblick, mit welchen Daten Du es überhaupt zu tun hast und welche Software Du benutzt, die mit diesen Daten in Berührung kommt, oder wo sie offline bei Dir verfügbar sind.

    Am besten legst Du Dir ein Blatt Papier bereit, auf dem Du alles notierst, was Du beim Kundenprojekt, dem Veröffentlichen einer Podcastepisode, etc. tust und welche personenbezogenen Daten dort ggf. anfallen und zu welchem Zweck Du sie brauchst. Zwecke können schnöde betriebliche sein, wie beispielsweise Buchhaltung, oder weil Du vielleicht Deinen Kunden einmal im Monat einen Newsletter zusenden möchtest.

    Was personenbezogene Daten im Detail sind, findest Du im Artikel “Was sind personenbezogene Daten”. Was voraussichtlich am ehesten auftauchen könnte:

  • Name
  • Online-Kennung (Nickname / Twitter Handle / Spielername / …)
  • Geburtsdatum
  • Adresse – zum Beispiel auf Rechnungen oder für Gewinnspiele
  • eMailadresse
  • IP Adresse
  • Telefonnummer
  • Fotos von Personen
  • Standortdaten
  • Ton- oder Videoaufnahme
  • Diese Liste ist keinesfalls vollständig! Bitte schau in den Artikel “Was sind personenbezogene Daten”, wenn Du Dir nicht sicher bist, was noch alles unter personenbezogene Daten zu zählen ist.

    Das Blatt Papier ist Dein Arbeitspapier und es ist völlig normal, dass Dir später noch Sachen einfallen oder dass im Laufe der Zeit etwas hinzukommt oder wegfällt.

    Ein paar Tipps, wo personenbezogene Daten üblicherweise anfallen:

  • eMails (Gmail, GMX, eigener Server, Dein Mailprogramm am Rechner und am Telefon)
  • Chatprogramme (z.B. WhatsApp, Skype)
  • Datentransfer (z.B. WeTransfer)
  • Cloudlösungen (z.B. Dropbox, machst Du Backups in der Cloud, wie z.B. iCloudbackup Deines Telefons, Adressbuchs, etc.?)
  • Buchhaltung (Cloudlösung? auch: Buchhalter, Steuerberater, Finanzamt)
  • CRM System (Cloudlösung?)
  • Zeitaufzeichnung (App? Gerät?)
  • Kalender (App? Oder z.B. Google Calendar und Sync mit Deinem Computer?)
  • Stimmaufzeichnung
  • Fotos von Menschen
  • Website / Blog (z.B. Analytics, Webfonts, externe Inhalte / Werbung, IP Adressen, die bei Deinem Hoster geloggt werden)
  • Suchfunktion auf der Website
  • Blogkommentare
  • Doodle
  • Social Media (z.B. Gewinnspiele auf FB?)
  • Nutzerdaten (z.B. Hast Du einen Login-Bereich auf Deiner Website?)
  • Visitenkarten (Lädst Du die z.B. auch noch als Scans in z.B. Evernote hoch?)
  • Adressbuch (z.B. in der Cloud bei Google oder Apple? Benutz Du z.B. WhatsApp, das zwingend Zugriff auf Dein Adressbuch hat und all Deine Kontakte an FB weitergibt?)
  • Chatbot (z.B. auf welche Plattform sammelt der Bot welche Daten für Dich?)
  • Es kann sein, dass Du Deinen ersten Entwurf in einer halben Stunde erledigt hast, es kann aber auch einige Stunden oder ein paar Tage dauern. Alles ist ok, Hauptsache ist, Du hast am Ende einen guten Überblick! Denn den kann Dir niemand abnehmen, auch nicht für viel Geld. Du musst selbst wissen, welche Software Du benutzt und welche Daten bei Dir ankommen, erzeugt werden oder von Dir weitergegeben / hochgeladen werden.

    Ein/e Datenschutzbeauftragte/r oder Anwältin kann Dich dabei unterstützen, die richtigen Dokumente zu haben. Du musst selbst wissen, was darin stehen muss. Hier geht es darum, Dein Verfahrensverzeichnis aufzubauen. Der Anwalt kennt Dein Business nicht und wird nicht jede Software kennen, die Du benutzt. Das ist ok, das ist auch nicht sein Job, sondern Deiner.

    Wenn Du Dein Arbeitspapier zusammen hast, kannst Du jetzt ein Verarbeitungsverzeichnis daraus machen. “Verarbeitung” bezieht sich dabei darauf, was Du mit den personenbezogenen Daten anderer natürlicher Personen machst. Und wir gehen jetzt im ersten Anlauf davon aus, dass Du der/die Verantwortliche bis, dass es sich also um Dein Business, Deinen Blog oder Podcast handelt.

    Es gibt eine Vorlage der österreichischen Wirtschaftskammer, die grundsätzlich nicht schlecht ist, die ich persönlich allerdings erschlagend finde. Aber vielleicht hilft sie Dir ja, wenn Du sie dir ansehen magst. Ich finde, das geht auch etwas einfacher, wobei die Tabelle in der Vorlage grundsätzlich eine gute Idee ist. Daher habe ich – ausgehend von der WKO Vorlage – eine eigene Vorlage für Dich erstellt. Hinweis: Ich bin keine Juristin. Die Vorlage habe ich nach bestem Wissen und Gewissen erstellt, die Verwendung erfolgt auf eigene Verantwortung.

    -> Vorlage Verarbeitungsverzeichnis für Verantwortliche
    Vorlage Verarbeitungsverzeichnis (.doc)
    Vorlage Verarbeitungsverzeichnis (.pages)

    Beispiele:
    Datenverarbeitung = eMail
    Zweck = Geschäftskommunikation
    Rechtsgrundlage = Einwilligung der betroffenen Person
    Daten, die anfallen = Name, eMailadresse und was inhaltlich geschickt wird (z.B. Footer Informationen wie Firmensitz, etc. Deiner Kontakte)
    Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Mailprovider (Google, GMX, Dein eigener Hoster, etc.)? ja/nein

    Datenverarbeitung = Kalender / Zeitaufzeichnung
    Zweck = Geschäftsabwicklung, Dokumentation
    Rechtsgrundlage = Einwilligung der betroffenen Person
    Daten, die anfallen = Namen, Adressen, Telefonnummern
    Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Kalenderprovider (Google, Apple, …)? ja/nein

    Datenverarbeitung = Messenger (z.B. Signal, WhatsApp)
    Zweck = Geschäftskommunikation
    Rechtsgrundlage = Einwilligung der betroffenen Person
    Daten, die anfallen = Telefonnummer, Name der betroffenen Person, ggf. Dokumente, die über den Messenger geschickt werden
    Daten, die an den Dienst weitergegeben werden = HIER GUT INFORMIEREN, WAS AUCH BEIM HERSTELLER WEITERGEGEBEN WIRD! z.B. Name, Telefonnummer, Dein ganzes Adressbuch, …
    Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Messenger Provider (WhatsApp, Signal, Telegram, etc.)? ja/nein

    Datenverarbeitung = Fileshare Dienst (z.B. WeTransfer)
    Zweck = Filetransfer von/an Geschäftspartner & Kunden
    Rechtsgrundlage = Einwilligung der betroffenen Person
    Daten, die anfallen = eMailadressen der Kontakte, was auch immer man in das Nachrichtenfeld noch einträgt (Passwörter??? (Tu’s nicht.))
    Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Fileshare Anbieter? ja/nein

    Datenverarbeitung = Facebook Fanseite
    Zweck = Contentmarketing
    Rechtsgrundlage = Einwilligung der betroffenen Person
    Daten, die anfallen = Fotos von Personen, Eventfotos, Umfrageergebnisse, Namen & Geburtsdaten von Fans & deren Freunden, etc.
    Liegt eine nachweisbare, ausdrückliche Einwilligung der betroffenen Personen vor? ja/nein
    Gibt es schon einen Auftragsverarbeitungsvertrag mit Facebook? ja/nein

    ACHTUNG bei Fotos auf Facebook, Instagram & Co.: Betroffene Personen können jederzeit ihre Einwilligung widerrufen. In dem Fall musst Du die Fotos dieser Person auf Deiner Seite löschen und auch die Seitenbetreiber darüber informieren, dass eine weitere Verarbeitung dieser Bilder nicht mehr zulässig ist.

    Dein Verarbeitungsverzeichnis ist ein lebendes Dokument, das Du zumindest alle halbe Jahr wieder aus der Schublade holen solltest, um durchzugehen, ob alles so noch stimmt, ob neue Software oder z.B. eine neue Social Media Plattform dazugekommen ist, etwas anderes nicht mehr benutzt wird, etc.

    Hinweis: Es gibt gute Alternativen für die schlimmsten Datenkraken!

  • WhatsApp – Signal (für Einzelchats und Gruppen bis max. 10 Leute), Threema (uneingeschränkt zu empfehlen), Riot (für große Gruppen)
  • Doodle – Dudle
  • Dropbox – NextCloud (kann auch als Ersatz für WeTransfer genutzt werden, wenn Du die Dateien direkt aus der NextCloud heraus freigibst)
  • Gmail / GMX / Yahoo Mail / Web.de / … (alle gratis Mailanbieter) – Posteo, mailbox.org, Fastmail oder einen eigenen Mailserver nutzen, der vllt ohnehin schon bei Deinem Hostingvertrag dabei ist, wenn Du eine Website oder einen Blog hast
  • Google Docs – Pads (z.B. vom C3W gehostet)
  • Nimm Dir die Vorlage und überlege Dir, wo Daten nicht bei Dir “stranden”, sondern auch noch an weitere Stellen weitergegeben werden, dafür ist dann die Tabelle da. Ändere die einfach für Dich ab. Es kann sein, dass die Taballe noch größer wird.

    -> Vorlage Verarbeitungsverzeichnis für Verantwortliche
    Vorlage Verarbeitungsverzeichnis (.doc)
    Vorlage Verarbeitungsverzeichnis (.pages)
    Hinweis: Ich bin keine Juristin. Die Vorlage habe ich nach bestem Wissen und Gewissen erstellt, die Verwendung erfolgt auf eigene Verantwortung.

    Wenn Du Auftragsverarbeiter bist, also personenbezogene Daten für andere (z.B. Kunden) verarbeitest, brauchst Du so ein Verzeichnis für jeden Deiner Kunden, bzw. für jeden, in dessen Namen Du Daten verarbeitest.
    -> Vorlage Verarbeitungsverzeichnis für Auftragsverarbeiter (in Arbeit)

    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel “DSGVO – An sich ganz easy”
    “Was sind personenbezogene Daten?”
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie “DSGVO – an sich ganz easy”

    DSGVO – was sind personenbezogene Daten

    Wenn Du gerade schon unruhig bist, weil so viel Text folgt: Du kannst Dich auch einfach direkt per eMail an mich wenden.

    ***

    Hinweis: Dieser Artikel stellt keine Rechtsberatung dar! Ich nehme gern sachdienliche Hinweise, um den Artikel auch für das in Deutschland geltende Recht zu adaptieren.

    Achtung: geballte Info! Hier geht es um die Details dazu, was personenbezogene Daten eigentlich sind, also worum es in der DSGVO genau geht. Wenn Du noch null Plan hast, was die DSGVO überhaupt ist, schau lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!

    ***

    Um gleich mit der Tür ins Haus zu fallen: Es gibt ein Grundrecht auf den Schutz von personenbezogenen Daten. Grundrecht – und leider das, was die letzten Jahre dank Social Media, Kameras in Telefonen in jeder Jackentasche, etc. sehr in Vergessenheit geraten ist.

    In Österreich steht dies im Datenschutzgesetz 2000 und wird auch ins neue Datenschutzgesetz übernommen:

    Artikel 1
    (Verfassungsbestimmung)

    Grundrecht auf Datenschutz

    § 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

    Was bedeutet “schutzwürdiges Interesse”? Knapp gesagt: Wenn es sich um Daten handelt, die nicht öffentlich/allgemein verfügbar sind. Dagegen sind Daten, die z.B. im Firmenbuch, Telefonbuch, Grundbuch, etc. stehen, allgemein zugänglich und daher liegt bei diesen öffentlichen Daten kein schutzwürdiges Interesse vor. Auch bei anonymen Daten, wie z.B. einer kumulierten, quantitativen Statistik, bei der keine Einzelpersonen ausgemacht werden können, ist nicht von einem schutzwürdigen Interesse auszugehen.

    Alle anderen personenbezogenen Daten fallen unter die DSGVO.

    Aber was sind jetzt alles “personenbezogene Daten” und was ist mit Daten, die Personen selbst von sich veröffentlicht haben, zum Beispiel in Social Media oder auf Visitenkarten?

    Grundsätzlich sind personenbezogene Daten erst einmal genau das, was man bei dem Terminus erwartet: Daten, die in Zusammenhang mit einer (natürlichen) Person stehen oder gebracht werden können. Es geht hier um Identifizierbarkeit.

    Im Gesetzestext der DSGVO, Art.4 steht folgende Begriffsbestimmung:

    „personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;”

    Explizit genannt sind also:

  • Name
  • Kennnummer
  • Standortdaten
  • Online-Kennung
  • besonderen Merkmale
  • Es geht darum, dass durch diese Angaben eine konkrete, natürliche Person und ihre physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität herausgefunden werden kann.

    Warum das wichtig ist? Nun ja, Cambridge Analytica hätte da sicher eine gute Antwort drauf. Die Sache ist, dass solche Daten – insbesondere deren Massenauswertung – unüberschaubare Risiken mit sich bringen, wie wir an der Wahlwerbung in den USA, aber auch in Österreich im Herbst 2017 gesehen haben.

    Und warum Dich Massenauswertung von Daten interessieren sollte ist, weil Du (wenn dann hoffentlich!) unwillentlich und vermutlich sogar unwissentlich Deine Daten und auch die Daten anderer Leute (ggf. auch die Deiner Kunden oder Geschäftspartner) in genau diese Systeme einspeist. Aber dazu kommen wir gleich noch.

    Also, personenbezogene Daten sind:

  • Name und Geburtsdatum sind eindeutig personenbezogen. Ebenso wie die Adresse.
  • Telefonnummer, Personalausweisnummer, Steuer-ID, KFZ-Kennzeichen, Bankverbindung, Personalnummer, Kundennummer, Mitgliedsnummer, Kundenkaten ID, Sozialversicherungenummer, Kreditkartennummer – all das fällt unter Kennnummer und machen eine Person identifizierbar, sind also ebenfalls personenbezogen.
  • Standortdaten – das GPS, aber auch WLAN und Bluetooth am Telefon verraten viel mehr, als man denkt. Über Standortdaten und daraus resultierende Bewegungsprofile weiß man sehr genau, was eine Person so den lieben langen Tag tut und daraus kann man wiederum sehr gute Interessensprofile rauslesen. Standortdaten machen eine Person identifizierbar und sind daher personenbezogen.
  • Online-Kennung: IP Adresse (in Zusammenhang mit weiteren Daten wie z.B. einem Onlinekauf), eMail Adressen, aber auch Nicknames, Twitterhandles, Spielernamen, etc. machen eine Person identifizierbar -> personenbezogen.
  • Unter die besonderen Merkmale fallen dann Fotos, Tonaufnahmen, Gesundheitsdaten, biometrische Daten, genetische Daten, etc.. Auch diese machen eine Person identifizierbar, also: personenbezogen.
  • Die Liste hat keinen Anspruch auf Vollständigkeit, aber Du siehst, in welche Richtung das geht.

    Dann gibt es noch sensible Daten, die in der DSGVO jetzt “besondere Kategorien personenbezogener Daten” heißen, denen wir gerade zum Teil bereits bei den besonderen Merkmalen begegnet sind:

  • Informationen über politische Meinung
  • religiöse Ausrichtung
  • Sexualität
  • Gesundheitsdaten
  • genetische Daten
  • biometrischen Daten (Gesichtsbilder, Stimme, Fingerabdrücke und alles, woran eine Person biometrisch identifizierbar ist)
  • Bei sensiblen Daten ist besonderer Schutz vonnöten und hier braucht es immer eine ausdrückliche Einwilligung der betroffenen Person, dass Du diese Daten verarbeitest.

    Als Verarbeiten gilt alles, was Du mit Daten machen kannst, also irgendwo hochladen, teilen, übertragen, aber auch einfach nur loggen und speichern.

    Übrigens: Laut DSG2000 gelten verschlüsselte personenbezogene Daten noch immer als indirekt personenbezogen, weil sie ja auch wieder entschlüsselt werden können. In der DSGVO findet man “Verschlüsselung” als eine technische/organisatorische Maßnahme zur Risikoeindämmung (Art.32 Abs.1 & Erwägungsgrund 83). Ich für mich betrachte daher verschlüsselte Daten auch nach der DSGVO noch immer als indirekt personenbezogen und daher sollte man auch darauf gut aufpassen, nicht dass der Schlüssel zusammen mit den Daten abhanden kommt, z.B. wenn ein Notebook oder Telefon in falsche Hände gerät.

    Es gibt auch die Pseudonymisierung – also eine “Bezeichnung” für eine natürliche Person, zu der man weitere Infos braucht, um die dahinter steckende Person zu identifizieren. Das ist die Sache mit den Kennnummern, Künstlernamen, Benutzernamen, Personalnummern und so weiter. Für pseudonymisierte Daten gilt, dass man die so verarbeiten muss, dass sie nicht mit weiteren Daten zusammengeführt werden können, die die dahinter stehende Person identifizieren. In der Praxis zielt das wohl primär auf Personalnummern, Kundennummern und klinische Studien ab. Hinweis: Das Zusammenführen mit öffentlichen Quellen oder Daten anderer Personen/Firmen kann auch leicht zur Depseudonymisierung fürhren.

    Anonymisierung ist ebenfalls eine Möglichkeit, mit personenbezogenen Daten umzugehen. Die DSGVO kennt zum Einen eine absolute Anonymisierung, bei der niemand in der Lage ist, den Personenbezug wiederherzustellen. Eine solche Anonymisierung nachträglich vorzunehmen ist kaum machbar, da die Daten, die zur Deanonymisierung notwendig wären ja bereits erfasst wurden und existieren. Eine absolute Anonymisierung wäre nur dann machbar, wenn diese notwendigen Daten gar nicht erst miterfasst werden.

    Eine absolute Anonymisierung wird in der DSGVO nicht gefordert, wohl aber eine faktische Anonymisierung, die im Weglassen von identifizierenden Merkmalen besteht. Hier geht es um die oben genannten statistischen, kumulierten Daten.

    Unter den oben genannten Kriterien und Definitionen für personenbezogene Daten ist Dein Smartphone vermutlich gerade zu einer Giftmüllhalde geworden, richtig? Fast.

    Die DSGVO ist eine Verbotsnorm. Das heißt: Die Datenverarbeitung (insbesondere im Zusammenhang mit Drittländern wie den USA) ist grundsätzlich verboten, außer es liegt eine Ausnahme vor. Die Ausnahmen stehen übrigens in Artikel 6 der DSGVO, falls Du selber nachlesen möchtest.

    Eine Ausnahme liegt dann vor, wenn mindestens einer der folgenden Punkte zutrifft:

  • 1. und der für Dich möglicherweise relevanteste Punkt: Die betroffene Person hat ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben. Achtung: die Einwilligung kann mündlich, schriftlich (auch: elektronisch), telefonisch und auch konkludent erfolgen, muss aber nachweisbar sein! Ggf. ist schriftlich also eine gute Idee. Bei sensiblen Daten gibt es keine konkludente Einwilligung, da muss es immer eine ausdrückliche sein (Beispiel: Bilder von anderen bei Facebook hochladen). Und apropos Facebook: Bei der Fortbildung zur Datenschutzbeauftragten wurde uns mitgeteilt, dass im Falle von What’sApp, das zwingend Dein Adressbuch mit Facebook shared, ganz sicher keine konkludente Einwilligung gibt. Das heißt, Du brauchst die nachweisbare Einwilligung (und wenn Du noch sensible Daten wie Fotos in Dein Adressbuch gibst, die ausdrückliche, nachweisbare Einwilligung) jeder einzelnen betroffenen Personen, dass Du ihre Kontaktdaten in Dein Adressbuch aufnimmst und somit an Facebook weitergibst. Und: Einwilligungen können auch jederzeit widerrufen werden.
  • 2. Die Verarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person notwendig oder für vorvertragliche Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. Soll heißen: Wenn Du Kunden hast, brauchst Du bestimmte Daten, um z.B. eine Rechnung zu stellen oder schon vorab für die Angebotslegung, wenn ein Interessent nachfragt.
  • 3. Die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung notwendig, der Du als Verantwortlicher unterliegst. Wenn also zum Beispiel ein Ex-Kunde von Dir Dich bittet, seine Daten zu löschen, kannst Du alle Arbeitsdaten wegwerfen, NUR NICHT beispielsweise die Buchhaltung, denn die musst Du 7 Jahre lang aufbewahren. Erst nach Ablauf von gesetzlichen Fristen kannst Du dann den Rest auch entsorgen. Informiere Dich über die gesetzlichen Aufbewahrungsfristen, da gibt es noch einige mehr, wenn es zum Beispiel um Schadensersatzfälle, etc. geht.
  • 4. Die Verarbeitung ist notwendig, um lebenswichtige Interessen der betroffenen oder einer anderen natürlichen Person zu schützen. Also zum Beispiel, wenn eine Person einen Unfall hat, sollte man den Sanitätern schon verraten, wenn die Person regelmäßig oder vor kurzem blutverdünnende Medikamente genommen hat, was normalerweise als Gesundheitsdaten unter die sensiblen Daten fällt.
  • 5. Die Verarbeitung ist für die Erfüllung einer Aufgabe in öffentlichem Interesse oder in Ausübung öfentlicher Gewalt notwendig. Das zielt wohl primär auf die Exekutive ab. Wenn ein Mörder oder Vergewaltiger gefasst werden soll, ist es notwendig, dessen personenbezogene Daten zu verarbeiten.
  • 6. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Das ist der Absatz, auf den sich gerade die ganze Werbeindustrie rausredet, weil ihr Geschäftsmodell die Auswertung von Profilingdaten* (Erklärung siehe unten) ist. Aktuell ist es noch nicht verboten, wenn nicht die Interessen & Grundrechte der betroffenen Person überwiegen, aber es ist kennzeichnungspflichtig. Hier ist es spannend, mal in die Datenschutzerklärung diverser Onlinehändler oder Internetanbieter reinzuschauen. Auch Streamingdienste sind da eine Fundgrube. Das wird dann mit der ePrivacy-Verordnung 2019 noch spannend werden, gegen die die Werbeindustrie gerade mit allem auffährt, was sie finden kann. Hätten sie halt was Ordentliches gelernt und schlügen keinen Profit aus Spionage. (Falls Du in der Werbeindustrie arbeitest: Es ist ok, wenn Du mich jetzt nicht mehr magst. Aber tu Dir selbst den Gefallen, lies die Gesetze und frag Dein Gewissen, ob Du wirklich mit Profiling und Spionage Dein Geld verdienen willst.)
  • * Profiling (Art. 4 Z 4)
    Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

    Wie gesagt, für Dich sind vermutlich die ersten drei Punkte die relevanten: Einwilligung, Vertragserfüllung und gesetzliche Erfordernisse. Wenn mindestens eins davon zutrifft, darfst Du personenbezogene Daten verarbeiten.

    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel “DSGVO – An sich ganz easy”
    “Was sind personenbezogene Daten?”
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie “DSGVO – an sich ganz easy”

    DSGVO – an sich ganz easy

    Am 25. Mai 2018 gilt die neue europäische Datenschutzgrundverordnung (EU-DSGVO, engl: GDPR). Diskussionslos, das ist dann einfach so. Es waren zwei Jahre Zeit, die Prozesse daraufhin anzupassen, drauf gekommen sind die meisten erst gegen Mitte Februar 2018. Macht aber nix, so schlimm ist das alles nämlich gar nicht und das meiste ist schon seit dem Datenschutzgesetz 2000 so.

    Hinweis: Dieser Artikel stellt keine Rechtsberatung dar!
    Weiters handelt es sich um einen ersten, groben Überblick und hat keinen Anspruch auf Vollständigkeit. Es werden weitere Artikel mit detaillierteren Informationen folgen, die sich dann mit den einzelnen “ToDos” befassen. Dieser Artikel wird mit weiteren Links versehen und über die nächste Zeit ein paar Updates bekommen.

    Wenn Du gerade schon unruhig bist, weil so viel Text folgt: Du kannst Dich auch einfach direkt per eMail an mich wenden.

    Jetzt aber zur DSGVO: Es geht dabei immer um den Schutz personenbezogener Daten. Das sind Name, Geburtsdatum, Adresse, eMailadresse, IP Adresse, Sozialversicherungenummer, Telefonnummer, Foto, Tonaufnahme, etc. Außerdem zählen auch z.B. Kundennummern, da diese eine Person bestimmbar machen. Verschlüsselte personenbezogene Daten gelten als indirekt personenbezogen. (Mehr Infos dazu, was personenbezogene Daten sind, findest Du im Detail-Artikel “Was sind personenbezogene Daten?”)

    Obacht bei Informationen über politische Meinung, religiöse Ausrichtung, Sexualität, Gesundheitsdaten, genetische oder biometrischen Daten (Gesichtsbilder, Stimme und alles, woran eine Person identifizierbar ist – für Krimiautoren: Fingerabdrücke, Gebissabdruck, …) – all diese gelten als besondere Kategorien personenbezogener Daten, auch “sensible Daten” genannt. Hier ist besonderer Schutz geboten und hier braucht es immer eine ausdrückliche Einwilligung der betroffenen Person, dass Du diese Daten verarbeitest und als Verarbeiten gilt alles, was man mit Daten machen kann, also auch speichern.

    Was wir jetzt alle zu tun haben, ist wie eine Mischung aus Keller Aufräumen mit Katalogisieren und WeightWatchers.

    a) Schau Dir der Reihe nach alles an, was Du so an Tools und Software bei Dir in Verwendung hast, das mit personenbezogenen Daten in Berührung kommt. Dein Mailprogramm mal ganz vorne weg – synchronisiert das auch noch mit Deinem Telefon oder hast Du überhaupt nur einen Webzugang? Benutzt Du ein Photoshop in der Cloud und bearbeitest Gesichtsbilder von Menschen? Hast Du ein CRM (Customer Relationship Management System), in dem Du Deine ganzen Kontaktdaten speicherst und Rechnungen erstellst? Lädst Du Dinge in die Dropbox? Und: Brauchst Du das alles wirklich?
    Für den Überblick, was eigentlich alles an Daten bei Dir durchkommt (Mails, Rechnungen, Visitenkarten, Fotos von Menschen, Stimmaufnahmen, …), legst Du Dir einen Zettel auf Deinen Schreibtisch und schreibst beim nächsten (Kunden-) Projekt mal alles mit, was Du machst – welche Tools Du benutzt, welche Daten gehen da rein, ist das Programm dafür gedacht, dass diese Daten da drin landen? Und ggf.: Wohin überträgst Du die Daten noch? Also auch Buchhalter, Steuerberater? Sind Cloudlösungen dabei? Hochladen eines Scans der Visitenkarte in Evernote oder ein Foto der Person plus Telefonnummer, etc. im Adressbuch bei Google?

    b) Überlege Dir: Brauchst Du das alles? Geht Dir ein Tool schon gehörig auf den Keks und Du wolltest schon eine ganze Weile nach einer Alternative suchen? Gratuliere, dann ist jetzt der beste Zeitpunkt! Nimm am besten ein Stück Software, dessen Hersteller seinen Firmensitz in der EU hat. Falls Du drauf kommst, dass Du Daten rumliegen hast, die Du wirklich nicht mehr brauchst, löschen. (Aber Vorsicht: Auf gesetzliche Aufbewahrungsfristen achten! Manches kann gleich nach Projektabschluss weg (Arbeitsdaten), Anderes muss für die Finanz 7 oder zur Geltendmachung oder Abwehr von Schadensersatzansprüchen 30 Jahre aufbewahrt werden.)

    c) Wenn Du die Kalorien (oder Punkte) für die Praline nicht aufschreiben möchtest, dann iss sie nicht. -> Wenn Du die Nutzung eines Tools nicht ausweisen möchtest, z.B. weil es scheußliche Sachen tut (Tracking, Weiterleitung von personenbezogenen Daten Deiner Kunden an US-Unternehmen, bei denen man nicht weiß, was die damit machen oder sie höchstwahrscheinlich weiterverkaufen, etc.), dann benutz es nicht.

    Was Du brauchst, wenn Du mit personenbezogenen Daten zu tun hast (IP-Adresse gilt auch!):

    1. eine Datenschutzerklärung auf Deiner Website, wo alles drinsteht, welche Daten von Dir gesammelt werden und wozu. Hast Du einen Blog und Menschen können bei Dir kommentieren? Schon sammelst Du Mailadresse und ggf. Namen ein. Und wo liegen die Daten eigentlich? Wer ist Dein Hoster? Rechtsbelehrung nicht vergessen, dass Deine User wissen, an wen sie sich wenden sollen, wenn sie Fragen haben oder Auskunft möchten. Ja, es gibt mittlerweile Generatoren für Datenschutzerklärungen und die sind genau das: generisch. Das kann ein guter Anfang sein, aber es kann Dir keiner abnehmen, Dich mit Deinem eigenen Setup einmal gründlich auseinanderzusetzen. Schau gern meine Datenschutzerklärung als Beispiel an. Mehr Infos findest Du auch im Detail-Artikel “Die Datenschutzerklärung, Aufzucht & Hege”

    2. ein “Verfahrensverzeichnis”, aufbauend auf der o.g. Liste, was Du so alles benutzt, was mit personenbezogenen Daten in Berührung kommt. “Verfahren” hat in diesem Zusammenhang nichts mit Gerichtsverfahren zu tun und auch nichts damit, den falschen Weg eingeschlagen zu haben. “Verfahren” ist im Sinne von “Vorgang”, “Prozess” oder “Ablauf” gemeint.

    Fang mit einer Liste an:

  • Tool
  • Hersteller
  • Firmensitz des Herstellers
  • Welche Daten werden verarbeitet?
  • Gibt es schon einen Auftragsverarbeitungsvertrag? -> ja/nein
  • Als Faustregel für den Firmensitz (des Herstellers) gilt:
    Dein eigenes Heimatland -> yay! | EU -> ok | non-EU -> doof

    Es gehören noch ein paar Informationen in dieses Verfahrensverzeichnis hinein, hierzu folgt in Kürze noch ein neuer Artikel. Fang derweil mit dieser Übersicht an.

    So eine Liste musst Du als Verantwortlicher für Dein Business führen. Wenn Du Auftragsverarbeiter für jemand anderen bist, brauchst Du solch eine Liste auch noch für jeden Deiner Kunden.

    3. Auftragsverarbeitungsverträge mit allen, die personenbezogene Daten in Deinem Namen verarbeiten (speichern gilt als verarbeiten!) – Da fallen auch so Sachen wie Newsletter-Versender, Mailprovider, Websitehoster, Steuerberater, Analytics-Hersteller, Cloudanbieter, Cloud-Office oder Podcast-Plattform, etc. rein. Obacht: Stimme gilt als biometrisches Merkmal und somit sogar als sensibles Datum, ebenso wie Fotos von Gesichtern oder Händen (-> Fingerabdrücke).
    Für Österreich findest Du unter wko.at/datenschutz einige brauchbare Informationen und auch Mustervorlagen.
    Wenn Du selbst Auftragsverarbeiter für jemand anderen bist, braucht derjenige mit Dir ebenfalls einen Vertrag.

    Update vom 21.5.2018: 4. die Rechtsgrundlagen, aufgrund derer Du die personenbezogenen Daten verarbeitest. Das kann eine Einwilligung der betroffenen Personen sein (im Falle sensibler Daten brauchst Du diese tatsächlich und ausdrücklich), es gibt aber auch noch fünf weitere gute Gründe, aus denen Du personenbezogene Daten verarbeiten darfst. Diese findest Du in Artikel 6.1 a-f der DSGVO. Nach der Einwilligung folgen noch Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse sowie berechtigtes Interesse.

    Nochmal zu den Einwilligungen: Denk dran, auch Leute zu fragen, ehe Du sie fotografierst. Und wenn Du Podcaster*in bist, mach Speakeragreements mit Deinen Gästen, denn die Stimme ist ein sensibles Datum. Hinweis: Einwilligungen können zwar schriftlich, mündlich und für “normale” Daten auch konkludent erfolgen, aber die Einwilligung muss nachweisbar sein. Schriftlich ist also eine gute Idee. Und bei sensiblen Daten muss die Einwilligung wirklich ausdrücklich vorliegen. Bei einem Interview könntest Du ggf. auch zu Beginn der Aufnahme fragen, ob die Person einwilligt, dass Du ihre Stimmaufnahmen verarbeitest und in diesem bestimmten Podcast veröffentlichst, dann hast Du die Einwilligung auf Band. Natürlich muss das nicht im später veröffentlichten Gespräch vorkommen, aber wenn jemand danach fragst, solltest Du die Einwilligung nur auch wiederfinden und nicht versehentlich gelöscht haben. Noch ein Hinweis: Menschen dürfen ihre Einwilligung auch jederzeit widerrufen.

    5. einen Prozess für Auskunftserteilung. Jeder User Deiner Website und all Deine Kunden dürfen jederzeit um Auskunft bitten, welche Daten Du über sie gespeichert hast und Du hast einen Monat Zeit, darauf zu reagieren. Wenn Du Deine Listen ordentlich beisammen hast, solltest Du die Anfragen flink abhandeln können. Solche Anfragen sind von Dir kostenfrei zu beantworten, außer jemand wird exzessiv; in solch einem Fall darfst Du sogar eine angemessene Gebürh verlangen. Und nicht in Panik verfallen, wenn jemand will, dass Du ALLE Daten, die Du von der Person hast, SOFORT löschst. Erst auf die gesetzlichen Aufbewahrungspflichten achten!

    Es gilt ab 25. Mai auch das sogenannte “Kopplungsvervot”. Das heißt, Du darfst eine Leistungserbringung nicht an die Hergabe von Daten binden. Bestes Beispiel: Freebies. Du darfst Freebies weiterhin anbieten, aber nicht gegen z.B. eine Mailadresse, außer diese ist für die Zustellung des Frieebies oder die Leistungserbringung zwingend notwendig. Gratis Onlinekurs, wo die Mailadresse gebraucht wird, um sich einzuloggen -> OK. Gratis eBook, das man auch anders runterladen könnte und die Mailadresse “nur” für den Newsletter eingesammelt wird -> NOT OK.

    Offline hast Du auch Daten rumliegen – Deine Buchhaltung zum Beispiel, Visitenkarten, die SD-Karte aus der Kamera oder Briefverkehr. Wenn Du wie ich Deinen Schreibtisch mitten in der Wohnung hast und außer der Katze noch mindestens ein anderer Zweibeiner dort wohnt oder mal Besuch vorbeikommt, besorg Dir einen abschließbaren Schrank und pack alle Unterlagen dort hinein.

    “Ja, alles einfacher gesagt, als getan. Der ganze heiße Scheiß muss doch heute gemacht werden, sonst verkauft man ja nichts mehr! Und überhaupt wird die ganze Werbeindurstrie ruiniert! …” Jo. Gewöhn Dich dran, 2019 kommt dann die ePrivacy-Verordnung, die wird dann wirklich restriktiv. Mit der DSGVO kann man das Meiste noch machen, man muss es halt nur ausweisen. Das sieht zwar scheiße aus, wenn man auflistet, an wen man alles seine säuberlich gesammelten Kundendaten verkauft, ist aber in weiten Teilen noch nicht verboten. 2019 werden mit der ePrivacy-Verordnung einige Sachen voraussichtlich wirklich verboten sein. Noch ist Zeit, Dir eine andere Branche zu suchen, wenn die Auswertung von persönlichen Daten Dein Geschäftsmodell ist. (Ja, das ist mein Ernst.)

    Noch ein Hinweis: Laut den Leitlinien der Artikel-29-Datenschutzgruppe gilt als “regelmäßige und systematische Überwachung”: jede Form der Verfolgung und Profilerstellung im Internet (auch zu Zwecken der verhaltensbasierten Werbung) – online & offline gemeint! Weiters: Betrieb eines Telekommunikationsnetzes, Anbieten von Telekommunikationsdienstleistungen, verfolgende eMail-Werbung, datengesteuerte Marketingtätigkeiten, Typisierung und Scoring zu Zwecken der Risikobewertung […], Standortverfolgung […], Treueprogramme, verhaltensbasierte Werbung, Überwachung von Wellness-, Fitness- und Gesundheitsbezogenen Daten durch […] Wearables, Überwachungskameras oder vernetzte Geräte (wie intelligente Stromzähler, intelligente Autos, Haustechnik, usw.)

    Last not least möchte ich Dir die Facebookgruppe von Sabrina Keese-Haufs “Online Marketing Recht” ans Herz legen. Dort sind einige findige Menschen, die sich gerade sehr aktiv mit dem Thema befassen und auch ihre Erfahrungen und Erkenntnisse dort zusammentragen. Außerdem gibt es jede Woche ein informatives Video zu einem Teilbereich des Themas. (Ja, es ist Facebook und sie verwenden Google Docs, aber die Infos sind durchaus wertvoll.)

    Das war es für heute. Toll, dass Du bis hier hin durchgehalten hast, das Thema ist leider wirklich etwas sperrig. Es wird zu den einzelnen Teilbereichen noch weitere Artikel geben, die ich dann natürlich hier verlinke.

    Und immer dran denken: alles wird gut!

    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel “DSGVO – An sich ganz easy”
    “Was sind personenbezogene Daten?”
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie “DSGVO – an sich ganz easy”