Lieber Leser,

manchmal kann ich nicht immer über die schönen Seiten des Unternehmertums bloggen. Ja, manchmal gibt es auch unbequeme Themen, die uns alle angehen. Heute geht es um die neue Datenschutz Verordnung, die ab Mai Europaweit gilt. Und ja für alle Unternehmen, die im europäischen Raum Dienstleistungen anbieten. Dazu gehören auch US Unternehmen. Zum Beispiel, der Newsletter Dienst Mailchimp oder Kollege Google. Google Analytics, Adwords usw. Auch die sind davon betroffen. Aber es geht jetzt erstmal um uns.

Wichtig: Dies dient der Information und stellt keine rechtliche Beratung dar!

Was heißt die DSGVO nun für uns

Wer von uns personenbezogenen Daten verarbeitet, und das tun wir alle, ist verpflichtet jedem Kunden Auskunft über seine gespeicherten Daten zu erteilen. Vor jeder Verarbeitung muss geprüft werden, auf welcher Grundlage dies geschieht. Zum Beispiel zur Vertragserbringung. Also wenn ihr zum Beispiel Daten auslagert, an einen Dienst, um Rechnungen zu schreiben. Ihr dürft also nicht grundlos, einfach Daten erfassen. Sofern also Daten eurer Kunden ausgelagert werden, ist ein Adv mit dem Dienstleister zu schließen.

Was zählt zu personenbezogenen Daten

Zu den personenbezogenen Daten zählen, Namen, Adresse, Anschrift und Telefonnummer. Aber auch Cookies, Benutzer Id’s und das Auswerten des Surfverhaltens zählen dazu. Der Einsatz von Tracking Pixel, zum Beispiel der Facebook Pixel, ist auch davon betroffen. Um das Surfverhalten zu analysieren nutzen wir gerne Piwik und Google Analytics. Aktuell haben wir ja die Möglichkeit, einfach eine Opt-out im Datenschutz zu hinterlegen. Das wird wahrscheinlich nicht mehr greifen. Um Daten verarbeiten zu dürfen müssen wir vorher die Erlaubnis einholen. Heißt die Opt-in Methode wird wahrscheinlich zum tragen kommen. Ohne dies kein Tracking. Gilt im übrigen auch für Cookie.

Mal zwei Links hierzu:

Piwik / Mamoto: Piwik Webtracking
Google: Google Analytics

Achtung: Laut einer aktuellen Diskussion sieht es so aus, dass der Kunde  dem Tracking vorher zustimmen muss. Also ein Opt-Out wird nicht mehr reichen.  https://datenschutzbeauftragter-hamburg.de/2018/04/aufsichtsbehoerden-verlangen-einwilligung-fuer-tracking/

Was bedeutet das für andere Programme

Wenn wir Mailchimp nutzen, oder einen externen Dienstleister, der für uns Daten verarbeitet, ist ein AVV/DPA notwendig. Und ihr benötigt die Erlaubnis des Kunden oder eine rechtliche Grundlage, dass die Daten von Dritten verarbeitet werden.  Welche Dienste auf unserer Homepage nutzen wir und wo werden personenbezogenen Daten verarbeitet? Mal eine kleine Liste, die mir spontan eingefallen ist.

• Youtube Video auf der Homepage
• Facebook Like
• Facebook Tracking Pixel
• Formularfelder auf der Homepage

Hierzu ein interessanter Link, die den aktuellen Stand bezüglich den Vorschriften erklärt. Zum Beispiel ist der Einsatz von SSL bei Kontaktformularen notwendig. Und der Kunde muss vorher der Datenschutzerklärung zustimmen. (Achtung: Mittlerweile gibt es auch hier abweichende Aussagen, dass man keine Einwilligung einholen soll, sondern es ausreicht auf die rechtliche Grundlage hinzuweisen. Ich habe daher aktuell die Kontaktformulare abgeschaltet)

• Datenschutz allgemein: https://www.klausoppermann.de/aktuelle-informationen-zu-datenschutzerklaerungen-ssl-verbindungen-und-kontaktformularen/
• eRecht24: https://www.e-recht24.de/artikel/abmahnung/10650-wichtige-gesetzesaenderungen-2018.html

Tipps

Ich rate euch einfach eine Excel Liste aufzubauen und dort mal alle Dienstleister einzutragen, die ihr nutzt, um Kundendaten zu verarbeiten. Dann erfasst, welche Art der Daten verarbeitet werden. Beschreibt kurz den Prozess. Warum nutzt ihr den Dienst, wie werden Daten übertragen. Wie lange werden Daten gespeichert. Wie werden die Daten gwschützt. Ist der AVV bereits vorhanden und unterschrieben. Damit ist mal die Grundlage geschaffen. Überlegt auch, ob evtl. Tracking abgestellt wird sofern es keine Lösung im Mai für den Opt-in gibt.