Zusammenfassung
Leseprobe
Inhaltsverzeichnis
1) Datenschutz, Datensicherheit & DSGVO
Die Datenschutzgrundverordnung (DSGVO) geht uns alle an. Egal ob man ein Blogger, ein Webseitenbetreiber, Shop Betreiber oder ein Unternehmen ist. Dabei spielt es keine Rolle, ob man online oder offline tätig ist.
Wichtig ist es, dass man sich mit diesem Thema auseinandersetzt. In Foren und in den sozialen Medien ist immer wieder zu hören „Ich habe keine Zeit für die DSGVO“, „ich mache nichts“, „ich warte ab“. Das ist als Unternehmer grob fahrlässig, abzuwarten, wo vieles nicht neu ist und schon lange Gültigkeit hat.
Noch ein wichtiger Hinweis:
„Ich weise daraufhin, dass es sich hier um keine Rechtsberatung handelt. Bei Fragen bitte an einen entsprechenden Anwalt in diesem Bereich wenden. Dieser kann eine fachmännische Beratung anbieten. Ebenfalls sollte zur individuellen Beratung ein entsprechender Berater / Fachanwalt zur Rate gezogen werden.“
Jeder, der im Online Marketing tätig ist oder allgemein im Internet und somit auch Daten in irgendeiner Form sammelt oder gar verarbeitet, sollte dies nicht nur gehört haben, sondern sich damit beschäftigen. Denn das ganze Geschäft steht und fällt mit einem ganz gewissen Thema, und zwar „Datenschutz, Datensicherheit und DSGVO“. Zunächst aber, was ist der Unterschied zwischen Datenschutz und Datensicherheit? Hier einige Definitionen:
Bei dem Datenschutz geht es um den Schutz der Privatsphäre eines jeden Menschen. Datenschutz garantiert jedem Bürger ein Recht auf informationelle Selbstbestimmung und schützt ihn vor missbräuchlicher Verwendung seiner Daten. Für die Verarbeitung personenbezogener Daten gibt es Regeln, die hauptsächlich im BDSG bzw. den Datenschutzgesetzen der Länder niedergelegt sind. Hier wird also danach gefragt, ob personenbezogene Daten überhaupt verarbeitet werden dürfen. Quelle siehe Fußnote1
Personenbezogene Daten sind gemäß § 3 Abs. 1 BDSG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Quelle siehe Fußnote 2
Datensicherheit soll Sicherheitsrisiken begegnen und die Daten vor z.B. Manipulation, Verlust oder unberechtigter Kenntnisnahme schützen. Hier geht es also nicht um die Frage, ob Daten überhaupt erhoben und verarbeitet werden dürfen (das ist eine Frage des Datenschutzes), sondern um die Frage, welche Maßnahmen zum Schutz der Daten erhoben werden müssen. Die Datensicherheit ist im Kontext des Datenschutzes gemäß § 9 BDSG (inkl. Anlage) durch Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu gewährleisten. Quelle siehe Fußnote 3
Das bedeutet also, dass du für den Datenschutz und die Datensicherheit der Daten verantwortlich bist. Du hast dafür Sorge zu tragen, dass die Daten – besonders die personenbezogenen Daten – deiner Besucher und Kunden geschützt sind.
Besonders auch dann, wenn du E-Mail-Adressen einsammelst und Tracking Tools wie Google Analytics, Matomo oder andere verwendest. Hier solltest du darauf achten, dass du diese datenschutzkonform verwendest. Das bedeutet, du musst einen Vertrag mit Google bzgl. Analytics unterzeichnen und diesen in zweifacher Ausführung zu Google Ireland Ltd. senden.
Außerdem musst du deine Einstellungen so wählen, dass die IP-Adressen der jeweiligen Besucher anonymisiert werden, sprich, in Google Analytics bei der Option „anonymizeIP“ ein Häkchen setzen. Gilt natürlich auch für jedes andere Tracking Tool, das du einsetzt.
Auch bei den Social Media Buttons musst du aufpassen, da diese nur dann eingesetzt werden dürfen, wenn eine Verbindung erst dann hergestellt wird, sobald der Benutzer auf diesen Button klickt. Ein dauerhaftes Tracking ist somit nicht erlaubt.
Ab dem 25. Mai 2018 gilt die DSGVO komplett, sprich, die Übergangsphase von 2 Jahren ist vorbei und nun muss sich jeder daranhalten.
Egal ob du in der EU lebst oder nur einen Dienst in der EU anbietest, der die Daten von EU-Bürgern nutzt und verarbeitet. Wer sich nicht daran hält, der muss mit Geldstrafen von bis zu 4% des weltweiten Umsatzes des Unternehmens oder bis zu 20 Millionen Euro rechnen.
Beim Einsammeln von E-Mail-Adressen musst du natürlich dafür sorgen, dass du die Double-Opt-In Variante einsetzt. Das bedeutet, wenn sich jemand in deinen Newsletter einträgt, dass er seine E-Mail-Adresse zunächst bestätigen muss, und zwar aktiv. Der User meldet sich also mit seinen Daten in deinem Newsletter an, bekommt eine Bestätigungsmail mit einem Bestätigungslink darin an die hinterlegte E-Mail zugesandt.
Erst, wenn der User diesen Link bestätigt, also anklickt, gilt er als ein bestätigter User und du darfst ihm deinen Newsletter zusenden. Andernfalls ist es nicht erlaubt und du kannst dafür belangt werden. Dies gilt nicht nur seit der DSGVO, sondern auch schon seit dem BDSG.
Des Weiteren ist es mit der DSGVO nun wichtig, dass du dem User, welcher auf deine Seite gelangt, zeigst, welche Daten du sammelst, wie du dies tust und wofür du diese verwendest. Diese Hinweise gehören in die Unterseite „Datenschutz“.
Hier sollen sich die User mehr Informationen verschaffen können. Dies ist eine wichtige Seite, neben dem Impressum. Im Impressum gehört übrigens dein Name und deine Anschrift, E-Mail und eine Telefonnummer, unter der du erreichbar bist.
Des Weiteren – sofern du eine Umsatzsteuer ausweist – gehört da deine UST-ID hinein. Aber nun weiter bzgl. der Datenschutzseite. Wenn du Social Media wie Facebook, Twitter etc. verwendest, musst du dies hier ebenfalls aufführen. Dasselbe gilt, wenn du am Partnerprogramm von Amazon teilnimmst.
Einen guten und kostenlosen Generator für Impressum und Datenschutz bietet e-recht24.4 Wobei der Premium Account zu empfehlen ist5, aufgrund weiterer Tools und einer erweiterter Datenschutzerklärung. Und für den Zusatz bei der Teilnahme am Amazon Partnerprogramm gibt es ebenfalls eine Vorlage, wie von Flegl Rechtsanwälte bereitgestellt.6
Du musst – wenn du Daten einsammelst und das wirst du schon alleine dann tun, wenn jemand deine Webseite besucht (IP-Adresse) – außerdem ein Verarbeitungsverzeichnis erstellen. Dies ist eine Dokumentation oder auch eine Tabelle, in der du aufführst, welche Daten du sammelst, wie diese verwendet werden, wer diese verwenden darf und ob sie die EU verlassen.
Außerdem musst du angeben, wie lange diese gespeichert und wann sie gelöscht werden, also die Löschfristen. Informationen über die technischen und organisatorischen Maßnahmen (TOM) musst du ebenfalls preisgeben.
Hier ist zum Beispiel notwendig zu wissen, ob du die Dateien in irgendeiner Art und Weise verschlüsselst oder ob du den Interessenten, Kunden oder Partner schriftlich oder telefonisch auf die Erhebung und Verwendung der Daten hinweist.
Beim Besuch deiner Webseite durch den User sollte dieser einen Hinweis bzgl. der Nutzung von Cookies angezeigt bekommen und die Möglichkeit haben, zuzustimmen, abzulehnen und weitere Details nachzulesen. Für weitere Details kann in der Regel auf deine Datenschutz-Unterseite verlinkt werden.
Als Beispiel für ein Verarbeitungsverzeichnis kann bei der BITKOM eingesehen werden.7
Es muss ein Verantwortlicher benannt werden, der im Falle von Anfragen seitens der Behörden zur Verfügung steht. In der Regel ist es der Geschäftsführer, der Inhaber bzw. Betreiber der Webseiten oder des Dienstes. Bei privaten Unternehmen, die größer als 250 Mitarbeiter sind, ist ein Datenschutzbeauftragter notwendig. Außer es werden besonders risikoreiche Daten verarbeitet.
Wichtig ist noch anzuführen, dass deine Lösung (Webseite, Dienst, etc.) bereits so definiert und gestaltet werden sollte, dass es die Richtlinien der DSGVO erfüllt, Stichwort „privacy by default and privacy by design“. Das Vergessenwerden muss möglich werden.
Ebenfalls solltest du deine Webseite prüfen, ob hier nicht zu viel getrackt und spioniert wird oder ob deine Plugins, die du verwendest, aufgrund des Trackings so gar nicht benutzen darfst. Eine gute Übersicht findest du bei blogmojo.de8. Eine entsprechende Checkliste kannst du im nächsten Kapitel finden.
Dies war nur ein kleiner Ausritt in das Thema des Datenschutzes, Datensicherheit und der DSGVO. Dies sind komplexe Themen und bedürfen einer fachmännischen und individuellen Beratung durch einen Experten, der bei der Analyse und Implementierung helfen kann. Ich wollte an dieser Stelle lediglich auf die wichtigsten Dinge hinweisen, damit man davon gehört hat und nicht vor vollendeten Tatsachen steht.
Nachdem du diesen Abschnitt gelesen hast, wirst du möglicherweise etwas verwirrt sein. Denn es sind in der Tat einige Dinge, die man umsetzen und beachten muss. Allerdings sei gesagt, wenn du startest, musst du so oder so einige Dinge beachten, sodass du es gleich von Anfang an richtig machen kannst.
Damit brauchst du die alten Sachen nicht ändern, nachdokumentieren oder ändern. Für die meisten Sachen gibt es bereits Hilfen und Tools, teilweise sogar kostenlos, sodass du diese Hürde relativ einfach nehmen kannst. Lass dich daher nicht verunsichern und mache mit deiner Idee und deinem Projekt weiter.
In den nächsten Kapiteln möchte ich das Ganze etwas in kleinere Stücke aufteilen, damit es einfacher und hilfreicher wird.
Vgl. https://www.datenschutzbeauftragter-info.de/unterschiede-zwischen-datenschutz-datensicherheit-informationssicherheit-oder-it-sicherheit/↩
Vgl. https://www.gesetze-im-internet.de/bdsg_1990/__3.html↩
Vgl. https://www.datenschutzbeauftragter-info.de/unterschiede-zwischen-datenschutz-datensicherheit-informationssicherheit-oder-it-sicherheit/↩
Vgl. https://www.e-recht24.de/impressum-generator.html↩
Vgl. https://www.seo-tech.de/go/e24pr↩
Vgl. https://www.flegl-rechtsanwaelte.de/muster-datenschutzerklaerung-amazon↩
Vgl. https://www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html↩
Vgl. https://www.blogmojo.de/wordpress-plugins-dsgvo/↩
1.1 ) DSGVO Checkliste
Diese Liste soll dir helfen einen Überblick über die verschiedenen ToDos zu behalten, damit du deine Seite möglichst konform nach den Richtlinien der DSGVO erstellen, bzw. konfigurieren kannst.
DSGVO und Hosting
| Hast du mit deinem Webhosting-Anbieter(n) einen Vertrag zur Auftragsdatenverarbeitung (ADV) abgeschlossen? | |
|---|---|
| Benutzt deine Seite einen Content Delivery Network (CDN)? | |
| Wenn ja, steht der Server in der EU? | |
| Wenn ja, hast du mit diesem Anbieter einen ADV geschlossen? (Falls die Daten nicht auf dem Webserver gespeichert werden, worauf deine Seite läuft) | |
| Wenn nein, erfüllt der Anbieter die Richtlinien der DSGVO und EU-US Privacy Shield? (Bestätigung geben lassen) (Siehe hierzu Kapitel 5, Art. 44 DSGVO) |
Verschlüsselung
| Hast du auf deiner Webseite ein SSL Zertifikat installiert? | |
|---|---|
| Ist das SSL Zertifikat gültig? | |
| Hast du Maßnahmen gegen unbefugten Zugriff durch Hacker oder Dritte ergriffen? (sichere Dateirechte, sichere Passwörter, regelmäßige Updates, ggf. .htpasswd) |
DSGVO Trackingtools
| Hast du ein Tracking Tool im Einsatz (Piwik (Matomo), Analytics, Wordpress.com-Stats, Yandex)? Wenn ja, welches hast du im Einsatz? | |
|---|---|
| Hast du die IP-Adressen anonymisiert? (Google Analytics, Piwik / Matomo) | |
| Falls Google Analytics, wäre es denkbar auf Piwik, bzw., Matomo zu wechseln? Mit eigenem Server? | |
| Liegen die Daten auf deinem Server? Oder beim Drittanbieter? | |
| Falls Drittanbieter, befindet sich dieser in der EU? | |
| Falls ja, befindet sich dieser in Deutschland? | |
| Hast du eine ADV mit diesem abgeschlossen? | |
| Wenn außerhalb der EU, hast du eine Möglichkeit, diesen zu wechseln? | |
| Falls nicht, erfüllt der Anbieter die Richtlinien der DSGVO und EU-US Privacy Shield? (Bestätigung geben lassen) (Siehe hierzu Kapitel 5, Art. 44 DSGVO) | |
| Kann der Benutzer anhand eines Klicks der Erfassung widersprechen? (Link sollte in der Datenschutzerklärung sein) |
Formulare
| Sind auf deiner Webseite Formulare eingebunden, die personenbezogene Daten übertragen? (ohne HTTPS darfst du keine Formulare einbinden) | |
|---|---|
| Falls ja, hast du einen Hinweis, bzgl. der Nutzung der Daten platziert? (unten, oben, daneben, in Kurzform) | |
| Ist ein Verweis auf deine Datenschutzerklärung vorhanden? |
Newsletter in der Datenschutzgrundverordnung
| Wird ein Newsletter Plugin oder Dienst verwendet? | |
|---|---|
| Ist sichergestellt, dass bei der Verwendung des Newsletter Plugins oder Dienstes und somit der Eintragung des Benutzers in den Newsletter nach den Double-Opt-In-Verfahren erfolgt? (Double-Opt-In = Eintragung im Newsletter und anschließende Bestätigung der E-Mail-Adresse per E-Mail). | |
| Ist ein Hinweis bzgl. der Verwendung der Daten gegeben? | |
| Sammelst du alle E-Mail-Adressen auf deiner Seite zusammen in einem Topf? | |
| Wenn ja, hast du den Benutzer darauf aufmerksam gemacht, dass er auch andere Informationen und womöglich auch Angebote erhalten kann, wenn er sich in den Newsletter einträgt? | |
| Wenn du ein Plugin nutzt: werden die Daten auf deinem Server gespeichert? | |
| Wenn du einen Dienstleister nutzt: befindet sich dieser in der EU? | |
| Falls ja, hast du einen ADV mit diesem geschlossen? | |
| Falls nein, erfüllt der Anbieter die Richtlinien der DSGVO und EU-US Privacy Shield? (Bestätigung geben lassen) (Siehe hierzu Kapitel 5, Art. 44 DSGVO) |
Plugins, Widgets, Rechner, iFrames, etc.
| Hast du auf deiner Webseite Plugins, Widgets, iframes, Scripte oder weitere Schnittstellen im Einsatz? | |
|---|---|
| Werden dadurch personenbezogene Daten gespeichert? | |
| Wenn ja, bei dir auf dem Server? | |
| Oder bei einem Drittanbieter? | |
| Zu welchem Zweck werden die Daten gespeichert? | |
| Werden nur die Daten gespeichert, die benötigt werden oder möglicherweise auch zu viele Daten? |
Membership
| Benutzt du Membership Funktionen oder Dienste? | |
|---|---|
| Werden die Daten auf deinem Server gespeichert? | |
| Falls ja, steht dieser Server in der EU? | |
| Hast du mit diesem Hosting-Anbieter einen ADV geschlossen? | |
| Wenn der Server außerhalb der EU steht: erfüllt der Anbieter die Richtlinien der DSGVO und EU-US Privacy Shield? (Bestätigung geben lassen) (Siehe hierzu Kapitel 5, Art. 44 DSGVO) |
Hinweis: Bei Membership-, Newsletter-, Social-Media, Formular-Plugins werden immer persönliche Daten gesammelt. Dasselbe kann auch für Finanzrechner gelten oder anderweitige Rechner und Tools, wo Name, Adresse oder E-Mail-Adresse eingegeben werden müssen.
Am besten ist es, wenn du in der jeweiligen Dokumentation des Anbieters oder Plugins nachliest, was alles gesendet wird und wohin. Es haben hoffentlich die meisten schon über das Thema GDPR / DSGVO gehört und ihre Dienste und Dokumentationen entsprechend angepasst.
Allerdings wirst du auch auf solche stoßen, die noch nichts darüber gehört und diesbezüglich wenig bis gar nichts unternommen haben. Hier hilft nur eines, du musst selbst herausfinden, welche Tools Daten sammeln und verschicken. Dabei kannst du folgende Methoden verwenden:
Chrome Developer Tools öffnen (rechte Maustaste -> Untersuchen -> Reiter „Sources“ gehen)
Cookies findest du bei Chrome auch, wenn du in der Adresszeile auf das „i“ bzw. auf das Schlüssel-Symbol, links neben der Domain klickst:
Es erscheint ein Fenster und zeigt dir die Anzahl der Cookies auf, dort kannst du auf diese Schaltfläche klicken und erhältst weitere Informationen, indem du dich entlang hangelst
Bei Firefox ebenfalls, wenn du in der Adresszeile auf das „i“ bzw. auf das Schlüssel-Symbol, links neben der Domain klickst:
Dann öffnet sich ein Fenster, wo du auf den Pfeil nach rechts klicken musst und schließlich ganz unten auf „weitere Informationen“ und dort auf „cookies anzeigen“.
Du kannst aber auch die Seite „builtwith.com“ nutzen
Oder du verwendest Ghostery (Browser Plugin) https://www.ghostery.com/de/
Online Shops
Online Shops können unterschiedlich aufgebaut sein, daher ist es nur schwer darauf einzugehen, da dies sehr komplex sein kann. Gerade bei Kreditkarten und anderen Daten hinsichtlich Finanzen ist es sehr kritisch bzgl. Datenschutz. Grundlegend und einige Themen können dennoch aufgegriffen werden:
| Wird der Shop auf eigenen Server gehostet?? | |
|---|---|
| Wenn nein, befindet sich der Dienstleister in der EU? | |
| Wenn ja, hast du mit ihm eine ADV abgeschlossen? | |
| Wenn außerhalb der EU: erfüllt der Anbieter die Richtlinien der DSGVO und EU-US Privacy Shield? (Bestätigung geben lassen) (Siehe hierzu Kapitel 5, Art. 44 DSGVO) | |
| Nutzt du externe Bezahldienste? | |
| Wenn ja, hast in deiner Datenschutzerklärung detailliert darauf hingewiesen, welche Daten gesammelt und wohin geschickt werden? | |
| Beachte auch hier wieder, ADV Vereinbarung mit deinem Bezahldienstleister. | |
| Wenn außerhalb der EU: erfüllt der Anbieter die Richtlinien der DSGVO und EU-US Privacy Shield? (Bestätigung geben lassen) (Siehe hierzu Kapitel 5, Art. 44 DSGVO) | |
| Wird ein Paket-Trackingsystem verwendet? | |
| Werden dafür E-Mail oder Telefonnummer verwendet? | |
| Hast du in deiner Datenschutzerklärung darauf hingewiesen? | |
| Wenn ja, hast du eine ADV mit diesem Dienstleister geschlossen? | |
| Wenn außerhalb der EU: erfüllt der Anbieter die Richtlinien der DSGVO und EU-US Privacy Shield? (Bestätigung geben lassen) (Siehe hierzu Kapitel 5, Art. 44 DSGVO) | |
| Muss sich der Benutzer registrieren damit er die Bestellung durchführen kann? | |
| Wenn ja, ist dies entsprechend gekennzeichnet? | |
| Ist dies auch entsprechend in der Datenschutzvereinbarung aufgelistet? | |
| Hast du ein sicheres Passwort (mind. 10-stellig, klein- / Großschreibung, Zahlen, Sonderzeichen) für den Zugang zum Shop backend? | |
| Hast du ein sicheres Passwort für die Datenbank? | |
| Sind alle weiteren Passwörter die für das Shopsystem verwendet werden ebenfalls sicher? | |
| Ist die Verbindung verschlüsselt? (ohne SSL kein Shop) | |
| Ist die IT um den Shop (Webserver, Webseite, Netzwerk, Datenbank, Schnittstellen, etc.) gut abgesichert? Hier ist es notwendig, dass das von einem IT-Experten gründlich untersucht wird. | |
| Führe all deine Schnittstellen und externe Dienstleister auf und prüfe, ob du eine ADV mit diesen geschlossen hast (bei Kunden- und Mitarbeiterdaten notwendig). | |
| Prüfe außerdem, ob sich alle Dienstleister, die mit Kundendaten (aber auch Mitarbeiterdaten) in Berührung kommen, in der EU sind, sonst musst du prüfen, ob der Dienstleister außerhalb der EU alle Richtlinien nach der DSGVO erfüllt. |
Marketing
Das Thema Marketing ist ebenfalls sehr komplex aufgebaut. Das hat unter anderem den Grund, weil du teilweise nicht weißt, welche Schnittstellen und Systeme an der Plattform noch angeschlossen sind und was evtl. dahinter geschieht. Wichtig für die eigene Webseite ist daher, dass du prüfst, welche Schnittstellen und Marketinginstrumente und -software angeschlossen ist, sowie was diese tut. Ein paar Punkte:
| Nutzt du Google Analytics oder ähnliches? | |
|---|---|
| Wenn ja, hast du dies in deiner Datenschutzerklärung aufgeführt? | |
| Nutzt du Doubleclick? | |
| Wenn ja, hast du dies in deiner Datenschutzerklärung aufgeführt? | |
| Nutzt du Google Adsense oder ähnliches? | |
| Wenn ja, hast du dies in deiner Datenschutzerklärung aufgeführt? | |
| Nutzt du den Facebook Pixel oder ähnliches? | |
| Wenn ja, hast du dies in deiner Datenschutzerklärung aufgeführt? | |
| Hast du eine Möglichkeit eingebaut, dass der Nutzer dem Tracking widersprechen kann? | |
| Grundsätzlich ist das Thema „Tracking und Marketing“ sehr heikel. Daher wäre es – auch wenn es sehr unschön ist – besser, wenn du eine Opt-Out-Methode einbaust. Damit kann der Benutzer dem Tracking widersprechen. | |
| Gerade bei den Remarketing / Retargeting Möglichkeiten ist es besser, wenn du eine Opt-In Methode einbaust, damit der Benutzer explizit zustimmen muss, dass er getrackt werden möchte. Ebenfalls, dass er auf den Facebook Like-Button klickt und dann seine Daten entsprechend verwendet werden. |
Social Media (Plugins)
| Benutzt du Social Media Plugins? | |
|---|---|
| Hast du darauf in deiner Datenschutzerklärung hingewiesen? | |
| Wenn du die Social Media Plugins verwendest, ist es sichergestellt, dass keine personenbezogenen Daten übertragen werden, bevor der Nutzer widersprechen kann? (Gilt für die Standard sharing Buttons). | |
| Verwende lieber alternative Plugins, wie z. B. das Shariff Plugin (bei WordPress) | |
| Verwendest du das Affiliatetheme.io? Dann sind die Social Media Plugins bereits DSGVO konform (es sind nur Links). | |
| Hast du auf deinen Social Media Seiten ein Impressum oder verlinkst du zumindest auf dein Impressum? |
Was ist ein Auftragsdatenverarbeitung Vertrag (ADV-Vertrag)?
Jetzt wurde das Wort „Auftragsdatenverarbeitung“ ADV schon einige Male verwendet. Vollständigkeitshalber würde ich das hier nochmal kurz erklären, was das ist. Wenn du die Dienste von Webhostern oder anderen Dienstleistern nutzt, dann verarbeiten diese die personenbezogenen Daten deiner Kunden.
Damit die Sicherheit und der Schutz der Daten dieser Nutzer und Kunden durch den externen Auftragnehmer gewährleistet werden kann, wird für diese Verarbeitung von Daten durch einen externen Auftragnehmer, ein sogenannter Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag) benötigt und geschlossen.
Wer benötigt einen Auftragsdatenverarbeitung Vertrag?
Jeder, der personenbezogene Daten verarbeitet. Das bedeutet also, wenn du einen Dienstleister oder einen Dienst von einem externen Anbieter nutzt oder die personenbezogenen Daten deiner Benutzer auf einem Server gespeichert werden, der nicht dir gehört, dann ist ein ADV-Vertrag notwendig.
In vielen Unternehmen werden zahlreiche Daten verarbeitet und an externe Anbieter übergeben, teilweise ohne, dass man sich damit auseinandergesetzt hat oder dem bewusst ist. Daher ist es notwendig, diese Datenübermittlung zu überprüfen und hinterfragen, ob die Daten überhaupt in diesem Detailgrad an den externen Dienstleister und Partner übermittelt werden müssen.
In jedem Fall benötigt man hier einen ADV-Vertrag. Wichtig ist vor allem, dass es für alle Dienstleister und Partner in der EU gilt. Dienstleister außerhalb der EU müssen die Datenschutzbestimmungen nach der Datenschutzgrundverordnung erfüllen, da die personenbezogenen Daten ansonsten dort nicht verarbeitet werden dürfen.
Eine super Übersicht über die verschiedenen Dienstleister und deren Beitrag zum ADV-Vertrag wurde auf blogmojo erstellt1. Dort siehst du, welche Hoster und Dienstleister bereits ADV-Verträge erstellt haben. Diese kannst du dann herunterladen, ausfüllen und an den Dienstleister versenden.
Was ist eine Datenschutzerklärung?
Auch dieser Begriff taucht öfter in der Checkliste auf. Eine Datenschutzerklärung beschreibt die Maßnahmen, die jemand trifft, um die Privatsphäre der Kunden, Mitarbeiter oder Benutzer zu wahren. Besonders beachtenswert sind hier die personenbezogenen Daten. Eine Datenschutzerklärung zu erstellen ist neben dem Impressum Pflicht. Diese kannst du über einen Anwalt erstellen lassen, was sehr kostspielig werden kann oder du nutzt die kostenlosen oder kostenpflichtigen Generatoren im Internet hierfür.
Du kannst zum Beispiel die folgenden Generatoren nutzen:
Datenschutz-Generator der DGD (Deutsche Gesellschaft für Datenschutz, kostenlos) 2
Datenschutz-Generator von eRecht24 (Wobei der Premium Account zu empfehlen ist*, aufgrund weiterer Tools und einer erweiterten Datenschutzerklärung.) 3
Datenschutz-Generator von Dr. Schwenke (kostenlos) 4
Was sind personenbezogene Daten?
Details
- Seiten
- ISBN (ePUB)
- 9783752138757
- Sprache
- Deutsch
- Erscheinungsdatum
- 2021 (März)
- Schlagworte
- Daten schützen Cookie hinweis Datenschutzgrundverordnung Auftragsdatenverarbeitungsvertrag DSGVO Datenschutz DSGVO Blog Medienwissenschaft Kommunikationswissenschaft Kommunikation Medien Recht Jura
