DSGVO-Gesetz – die neue Sau im globalen Dorf

Das DSGVO-Gesetz erfordert eine Überprüfung der Datenerhebung. Die Grafik zeigt ein Schloß mit Schlüssel, umrahmt von Sternen - stellvertretend für die EU.

Schon gehört? Das DSGVO-Gesetz kommt. Und zwar schon bald. Am 25. Mai tritt sie in Kraft. Die Netzwelt hat eine neue Sau, die sie durchs globale Dorf treiben kann. Ach, Sie haben noch nichts davon gehört? DSGVO oder besser EU-DSGVO steht für Datenschutz-Grundverordnung. Es gibt sie bereits seit 2016. Nach einer Übergangsfrist gilt sie nun ab dem 25. Mai für den Umgang mit personenbezogenen Daten. Sie ist verbindlich in der europäischen Union. Da gibt es aber doch das Bundes-Datenschutzgesetz (BDSG)? Ja, stimmt. Aber das wurde angepasst an die neue EU-Verordnung, gilt ebenfalls ab Mai und löst das bisherige bundesdeutsche Gesetz ab.

Datenschutzerklärung nach DSGVO

Ja und jetzt? Naja, jetzt zittern alle, die sich bisher nicht um den Datenschutz gekümmert haben. Ach nein, nicht alle zittern: Da gibt es die Rechtskundigen in der Netzwelt. Bisher haben sie ihr Fachwissen in Form von Vorlagen für Impressum und Datenschutzerklärung gegen Angabe der Quelle kostenfrei zur Verfügung gestellt. Damit konnten viele Kleinstunternehmerinnen und Einzelkämpfer der Kennzeichnungspflicht ihrer Webseiten nachkommen. Denn Anwälte zahlt diese Klientel nicht aus der Portokasse.

Nun aber herrscht Goldgräberstimmung: Vorlagen, die bereits für die neue EU-Verordnung optimiert sind gibt es fast nur noch gegen Cash. Und da Anwälte ja bekanntlich nicht werben dürfen, heizen sie die Angst vor der DSGVO allerorten an. Da geben wir schon mal Geld aus für ein Papier mit Handlungsanweisungen oder schließt ein Abo ab.

Rechtssicherheit beim DSGVO-Gesetz

Und damit bin ich jetzt im grünen Bereich und vor Abmahnungen geschützt? Leider nein. Keine der derzeitigen Vorlagen für die Datenschutzerklärung kann Rechtssicherheit garantieren. Abmahnanwälte und -vereine stehen vermutlich bereits in den Startlöchern. Ob Einzelkämpferinnen wie ich dem Datenschutz zukünftig genügen können, werden nur Gerichtsentscheide bringen. Oder der Gesetzgeber schiebt diesen Praktiken endlich einen Riegel vor. Denn Deutschland ist das einzige Land in der EU, das Abmahnanwälten oder -vereinen zu ihrer zweifelhaften Daseinsberechtigung verhilft.

Wir werden wohl zunächst damit leben müssen nicht genau zu wissen, ob wir alles richtig machen. Und das geht den Fachanwälten der Branche ebenso. Derzeit weiß niemand, welche Stolperfallen Webworker umgehen müssen, um keine kostenbewährte Abmahnung zu kassieren.

Was ändert sich denn nun?

Was müssen wir denn eigentlich anders machen als bisher? In einschlägigen Foren zu WordPress wird dazu geraten, viele Funktionen einfach abzuschalten. Analyse der Nutzerzugriffe, Abwehr von Spam, Kontrolle über Kommentare im Blog, ja selbst Kontaktformulare und Sicherheits-Plugins. Alles abschalten. Sie könnten gemäß DSGVO-Gesetz Nutzerdaten erheben. Ja, ja, denn auch IP-Adressen sind personenbezogene Daten, die schützenswert sind.

In meiner Berufswelt ist das DSGVO-Gesetz gerade DER Hype. Die meisten scheinen dabei allerdings zu vergessen, dass die neue EU-Verordnung nicht den Verzicht auf Datenerhebung fordert. Es steht sogar ausdrücklich drin, dass Unternehmen ein Recht haben, die für ihre wirtschaftliche Tätigkeit notwendigen Daten zu erheben. Sie sollten damit nur möglichst sparsam umgehen und – ganz wichtig – für Transparenz bei deren Nutzung sorgen.

Wichtig ist auch die Umkehr der Beweislast. Ab Mai müssen Betreiber von Webseiten und -diensten nachweisen, dass sie alle Anforderungen an den Datenschutz befolgt haben. Es besteht die Pflicht zur Dokumentation und zum Schutz der Daten vor dem Zugriff Dritter.

Und was gibt’s gemäß DSGVO-Gesetz zu tun?

Ich bin keine Anwältin und habe mich bisher bei meinen Projekten und für meine Kunden am deutschen Datenschutzgesetz orientiert. Ich sehe bei der Verarbeitung von personenbezogenen Daten keine allzu großen Änderungen und kann daher die Hysterie, die bisherigen Tools und Plugins für WordPress über Bord zu werfen nicht nachvollziehen.

Spürbare Änderungen gibt es aber bei der Dokumentation zur Verarbeitung der Daten. Aus 1 Seite Datenschutzerklärung werden jetzt leicht 3-5 Seiten. Zudem müssen alle, die mit Personendaten umgehen, deren Verarbeitung dokumentieren.

Die ToDo-Liste

  • Datenschutzerklärung gemäß DSGVO-Gesetz
    Ja, es gibt sie noch, die kostenfreien Angebote. Ich nutze derzeit den Generator der Deutschen Gesellschaft für Datenschutz (DGD).
  • Verzeichnis von Verarbeitungstätigkeiten
    Darin musst du dokumentieren, welche Personen oder Stellen mit den erhobenen Daten umgehen und welche Techniken im Einsatz sind. Das bayerische Landesamt für Datenschutz hat dazu eine „Handreichung für kleine Unternehmen“ ins Netz gestellt.
  • Auftragsverarbeitung
    Bisher hieß es Auftragsdatenverarbeitung und war auch bereits eine Vorgabe des Bundes-Datenschutzgesetzes. Wer eine Webseite bei einem Provider hostet, muss mit ihm einen solchen Vertrag zur Auftragsverarbeitung abschließen. Bei den meisten Providern muss man derzeit aber ausdrücklich danach fragen. Auch für die Nutzung von Google-Diensten ist ein solcher Vertrag Pflicht.
  • Und was ist mit WordPress?
    Das CMS selbst speichert Daten aus den Nutzerprofilen oder über die Kommentarfunktion. Auch das genutzte Theme könnte Daten speichern oder weiterleiten. Und wer Plugins nutzt für statistische Zwecke oder um die Installation abzusichern erhebt ebenfalls personenbezogene Daten. Die Website enthält ein Kontaktformular? Dann werden auch hier Daten erhoben. Bedenklich dabei sind alle Plugins oder Dienste, die von fremden Server kommen. Insbesondere wenn die Server in Ländern außerhalb der EU betrieben werden.
    • Statistik
      Tools von Automattic, Google-Analytics, Piwik etc.   
    • Schriften und Fonts
      Google-Fonts in Themes enthalten
    • Kommentarfunktion
      Eintrag in die Datenbank etc.
    • Sicherheit
      Spamabwehr, Firewall, Login-Beschränkung
    • Cookies

Noch ein Hinweis

Dann wollen wir mal loslegen und unsere und die Webseiten unserer Auftraggeber:innen möglichst wasserdicht machen. Dabei solltest du aber die Haftung nicht vergessen, denn Webworker haften für ihre Werke. Ich werde daher nur Empfehlungen aussprechen und lasse mir von meinen Kund:innen bestätigen, dass sie mich beauftragt haben, die von ihnen erstellten Inhalte der Datenschutzerklärung in ihre Website zu stellen.

Wie macht ihr das? Habt ihr schon Erfahrungswerte?

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Scroll to Top