Mit dem 25 Mai 2018 kamen auf ALLE Betreiber von Internetseiten – aber auch auf Agenturen und Dienstleister – umfassende Änderungen zu.
Zu diesem Termin liefdie Übergangsfrist zur Umsetzung der EU-Datenschutz Grundverordnung (DSGVO oder im englischen Original General Data Protection Regulation – GDPR) ab – denn die Basis für die DSGVO wurde schon im Mai 2016 beschlossen und damit das Datenschutzrecht in der EU vereinheitlicht.
Und die Folgen bei Verstößen dagegen können drastisch ausfallen – es drohen hohe Bußgelder.

DSGVO – zwei Artikel über Basisinformationen (1) & Auswirkungen auf Ihre Website (2)

2. Ergänzung 05.04.
3. Ergänzung 10.04.
4. Ergänzung 11.04. – Technische Maßnahmen
5. Ergänzung 12.04. – Infos zum Verarbeitungsverzeichnis
6. Ergänzung 21.04. – Hilfreiche Links und Tipps
7. Ergänzung 23.04. – Feintuning und weitere Links
8. Ergänzung 08.10.2019 – Anpassung an neue Gesetzlage / Urteile im Jahr 2019 und weitere Links

Aus diesem Grund werden wir in zwei Teilen auf das Thema eingehen.
In diesem Beitrag geht es um allgemeine Informationen zur DSGVO. In unserem zweiten Beitrag  werden wir dann erläutern was diese für Auswirkungen auf Ihre Website hat und was dort zu tun ist.

Die Beschäftigung mit der DSGVO stellen für viele eine große Aufgabe dar.
Das gilt natürlich auch für Bunte – Technologie & Kommunikation als Dienstleister und „Berater“ für unsere Kunden und so haben wir uns recht aufwändig informiert, um die wichtigsten Informationen für unsere Kunden zu sammeln.
Wir  müssen aber darauf hinweisen: wir können und dürfen keine Rechtsberatung tätigen. Es gilt:

Alle folgenden Informationen haben wir mit größter Sorgfalt recherchiert. Dennoch können wir keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen übernehmen.
Diese sind insbesondere allgemeiner Art und stellen keine Rechtsberatung dar. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.

Ergänzend sind wir aber – um uns selber zu informieren und unsere Kunden richtig beraten zu können – Premium Agentur-Partner beim Internetdienst eRecht24 einer der bekanntesten deutschen Anwaltskanzleien für Internetrecht -Kanzlei Siebert Goldberg LLP geworden. Darüber können wir unseren Kunden auch erweiterte, kostenpflichtige Informationen und Tools zur Absicherung anbieten.

Allgemeine Informationen zur DSGVO

Was ist die DSGVO – erläuterndes Video?

Hier ein erläuterndes Video – erstellt von eRecht24 zusammen mit den Erklärhelden

Vimeo

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von Vimeo.
Mehr erfahren

Video laden

PGRpdiBjbGFzcz0nYXZpYS1pZnJhbWUtd3JhcCc+PGlmcmFtZSB0aXRsZT0iRFNHVk8gLSBFaW5mYWNoIGVya2wmYW1wO2F1bWw7cnQhIFdhcyBTaWUgamV0enQgd2lzc2VuIG0mYW1wO3V1bWw7c3Nlbi4iIHNyYz0iaHR0cHM6Ly9wbGF5ZXIudmltZW8uY29tL3ZpZGVvLzI2MDQxMDkyMD9kbnQ9MSZhbXA7YXBwX2lkPTEyMjk2MyIgd2lkdGg9IjE1MDAiIGhlaWdodD0iODQ0IiBmcmFtZWJvcmRlcj0iMCIgYWxsb3c9ImF1dG9wbGF5OyBmdWxsc2NyZWVuIiBhbGxvd2Z1bGxzY3JlZW4+PC9pZnJhbWU+PC9kaXY+

Wer sich direkt im Originalgesetz informieren will, findet hier den Gesetzestext der DSGVO: https://www.e-recht24.de/dsgvo-gesetz.html .

Aber jetzt zu den Details:

Anwendungsbereich: Gilt die DSGVO für mich?

Die DSGVO gilt für alle  in der EU ansässigen privaten Unternehmen sowie Niederlassungen, Freiberufler, Vereine und öffentlichen Stellen, unabhängig von ihrer Größe, die personenbezogene Daten von in der EU aufhältigen Personen automatisiert oder manuell verarbeiten und in einem Dateisystem speichern.
Das bedeutet natürlich das die digitale Bearbeitung von Daten darunter fällt, aber auch das Ablegen von Anmeldeformularen in einen Ordner oder den Eintrag in einen Papierkalender wäre eine Speicherung in einem „Dateisystem“. Es geht also nicht nur um online.

Was sind personenbezogene Daten?

Dies können unter anderem sein:

  • Name, Vorname
  • Anschrift
  • E-Mail
  • Geburtsdatum
  • Telefonnummer
  • IP-Adresse
  • Einkommen, Ausbildung
  • Kauf-, Surf- & Klickverhalten bzw. -Historie einzelner Nutzer
  • Bankverbindung
  • Religionszugehörigkeit
  • Gesundheitsstatus,  Genetische Daten, Biometrische Daten
  • KfZ-Kennzeichen, Fahrgestellnummer

Grundregel wäre: Sobald personenbezogene Daten nicht vollständig anonym erhoben werden, sondern einer bestimmten Person zugeordnet werden können, bewegen Sie sich im Bereich des Datenschutzrechts.

Gerade Daten wie IP-Adresse, Name, E-Mail zeigen aber das eigentlich fast jede Website von der DSGVO betroffen sein wird und entsprechend angepasst werden muss.

Gilt die DSGVO jetzt schon?

Die DSGVO ist am 25.05.2016 beschlossen worden. Am 25.05.2018 lief also „nur“ die zweijährige Übergangsfrist ab. Bis dahin sollten die neuen Regelungen von jedem Unternehmen komplett umgesetzt sein – aber auch heute sind noch einige „Leichtsinnige“ ohne komplette Anpassungen im Netz unterwegs.!

Zum Inhaltsverzeichnis

Datenschutz mit der DSGVO

Grundprinzipien

  1. Grundsatz der Rechtmäßigkeit  sowie Verarbeitung nach Treu und Glauben
    Personenbezogene Daten dürfen nur nach den Vorgaben der DSGVO verarbeitet werden und die Verarbeitung muss für die Person, dessen Daten verarbeitet werden, nachvollziehbar sein. Diese muss über die Verarbeitung seiner Daten informiert werden.
  2. Verbot mit Erlaubnisvorbehalt, d.h. die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, Sie haben eine Erlaubnis. Diese kann entstehen aus:
    • expliziter Einwilligung der Person für eine oder mehrere bestimmte Zwecke, diese muss dokumentiert sein (Nachweisbarkeit)
    • gesetzliche Erlaubnisse (aus dem BDSG, TMG, EU-DSGVO), daraus kann sich ein
      berechtigtes Interesse ableiten
    • Notwendige Daten zur Vertragserfüllung, Steuern & Buchhaltung.
  3. Grundsatz der Zweckbindung – Sie dürfen Daten nur zu dem Zweck verarbeiten, für die Sie sie erhoben haben.
  4. Grundsatz der Datenminimierung – es dürfen nur die Daten erhoben und verarbeitet werden, die Sie tatsächlich benötigen. Das Motto dabei ist:  nur so viel wie nötig, so wenig wie möglich!
  5. Grundsatz der Transparenz – die dargestellten Informationen, z.B. in einer Datenschutzerklärung müssen präzise, leicht zugänglich und verständlich in klarer und einfacher Sprache verfasst sein.
  6. Grundsatz der Speicherbegrenzung & Richtigkeit –  es dürfen keine über den Zweck hinausgehenden Daten erfasst werden und die Daten müssen inhaltlich und sachlich richtig und aktuell gehalten sein
  7. Grundsatz der Integrität und Vertraulichkeit der Daten – als Datenverarbeiter müssen Sie – unter Berücksichtigung des Stands der Technik – geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten

Die wichtigsten Neuregelungen der DSGVO

  • Pflicht zur Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten für Unternehmen. Grundsätzlich zwar erst ab 250 Personen. Aber für die weitergehenden Fragestellungen der DSGVO kann dieses Verzeichnis eine Grundlage und Vereinfachung sein, so das wir dies auch für deutlich kleinere Unternehmen empfehlen. Weitere Infos – siehe unten
  • Dokumentationspflichten und Datenschutzfolgenabschätzung. In bestimmten Fällen sind Sie verpflichtet, die Folgen der Datenverarbeitung zu bewerten und dies in einer sog. Datenschutz-Folgenabschätzung nach Art. 35 DSGVO festzuhalten. Hier einige Infos zum Thema in einem Whitepaper der Forums Privatfreiheit.
  • Sicherstellung der Vertraulichkeit, Integrität und Belastbarkeit der Datenführenden Systeme. Die Systeme die Sie zur Datenverarbeitung nutzen, müssen auf Datensicherheit optimiert werden. D.h. z.B. das Ihr Websystem auf dem neuensten Stand sein muss und z.B. der Einsatz von verschlüsselter Kommunikation( Stichwort SSL-Zertifikate und https) bei Datenabfragen ein Muss ist.  Weitere Infos zum Thema technische & organisatorische Maßnahmen – siehe unten
  • Neue Vorgaben für Einwilligungserklärungen online und offlinesiehe unten
  • Erweitere Vorgaben für Datenschutzerklärungen auf Webseitensiehe unten
  • Pflicht zur Datenportabilität – Die Nutzer können von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem „gängigen Format“ an einen anderen Verantwortlichen weiterzugeben.
  • Recht auf Vergessenwerden” von Nutzerdaten – Recht dass personenbezogenen Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt oder wenn der Anwender die Einwilligung widerruft.
  • Neuregelungen bei der Auftragsdatenverarbeitung – siehe unten
  • Neuregelungen bei Mitarbeiterdaten – hier mehr Infos bei eRecht24.
    Ebenfalls wichtig – die Verpflichtungs- & Vertraulichkeits erklärung der Mitarbeiter. Hier eine Mustervorlage erstellt von der activeMind AG.
  • privacy by design und privacy by default – die Maßgabe das datenschutzrechtliche Fragestellung bei Entwicklung von Applikationen, Websites und mehr von Anfang an fester Bestandteil sein.
  • Personenbezogene Daten von Kindern – bei Jugendlichen unter 16 Jahren müssen die Eltern einwilligen – siehe unten.
  • Prinzip des „One-Stop-Shop” – Nur noch eine Datenschutzbehörde zuständig – sowohl für die Kunden, als aber auch für Sie als Betreiber. Hier ist die Datenschutzbehörde in dem Staat wo Sie Ihren Hauptsitz haben zuständig.
  • Stellung eines Datenschutzbeauftragten?
  • Meldepflicht von „Datenpannen” – kommt es zu einer Datenpanne, weil etwa die Website gehackt wurde, ist die Meldung bei der zuständigen Aufsichtsbehörde binnen 72 Stunden erforderlich.
  • Neue Haftungsregeln und höhere Bußgelder – die Strafen und Bußgelder sind erhöht worden auf bis zu 20 Mio. € oder 4% des Jahresumsatz. Und Datenschutzverstöße haben wettbewerbsrechtliche Relevanz und können nach der DSGVO abgemahnt werden.
    Mehr Infos hier bei eRecht24.
  • Rechenschaftspflicht
    Auf Aufforderung einer Datenschutzbehörde muss der Datenverantwortliche (Datenschutzbeauftragter / Geschäftsleitung) die Einhaltung aller Datenschutzprinzipien nachweisen können. Also ist das Thema Dokumentation sehr wichtig.
  • Stellung eines Datenschutzbeauftragten – Infos im Anschluss

Stellung eines Datenschutzbeauftragten.

Mit der DSGVO sollten bei Firmen bei denen mehr als 9 Personen regelmäßig mit personenbezogenen Daten arbeiten, ihr Unternehmen besondere Kategorien von Daten verarbeitet (z.B. Gesundheitsdaten, genetische oder biometrische Daten, rassische oder ethnische Herkunft usw.) oder Ihre Kerntätigkeit die Überwachung von Personen beinhaltet, die Notwendigkeit eines internen oder externen Datenschutzbeauftragten bestehen. Im Sommer 2019 wurde dann die Schwelle auf 20 Mitarbeiter angehoben. Siehe dazu z.B. den folgenden Artikel in Spiegel Online.

Das heißt für Sie aber auch unter diesem Aspekt schon die Anzahl der Mitarbeiter die mit personenbezogenen Daten arbeiten sinnvollerweise zu limitieren.

Wichtig aber – brauchen Sie aufgrund dieser Regelungen keinen Datenschutzbeauftragten, fällt die Verantwortung für die datenschutzrechtlichen Fragestellungen an die Geschäftsführung.

Egal ob interne oder externer Datenschutzbeauftragter oder ob die Geschäftsführung die Aufgaben abdeckt. Diese Tätigkeit setzt entsprechende technische und juristische Kenntnisse voraus. Insofern sind bei interner Lösungen entsprechende regelmäßige Fortbildungen zu empfehlen.
Mehr Infos zum Thema bei eRecht24.

Zum Inhaltsverzeichnis

Einwilligungen einholen – wie geht das jetzt?

Einwilligungen müssen gesondert vom Kunden angefordert werden und Sie müssen umfassend bzw. zweckgebunden getätigt werden. Das heisst es muss bei der Einwilligung dargelegt werden welche Daten wozu genutzt werden und ob diese ggfs. an dritte weitergegeben werden.

Die Einwilligung muss freiwillig sein: Sie darf nicht davon abhängig gemacht werden, dass die betroffene Person die Einwilligung erteilt, wenn die Einwilligung nicht für die Vertragserfüllung erforderlich ist.

Die Art der Einwilligung kann mündlich, elektronisch oder schriftlich erfolgen. Sie muss aber dokumentiert und damit nachweisbar sein, was eine mündliche Einwilligung fast unmöglich macht. Sie als Unternehmen / Betreiber sind in der Beweislast – d.h. auch bei den verschiedenen Prozessstufen eines DoubleOptIn muss die Einwilligung protokolliert werden.

Die Einwilligung muss jederzeit zu Widerrufbar sein und muss immer auch den Hinweis auf die Möglichkeit des Widerrufs enthalten. Der Widerruf muss dabei muss so einfach wie die Erteilung der Einwilligung sein.

Die Einwilligung unterliegt einem Koppelungsverbot, d.h. sie darf nicht an ein Angebot gekoppelt werden – also die gängige Praxis des kostenlosen E-Books oder Downloads bei Newslettereintrag sind nicht mehr erlaubt.

Einwilligung bei Minderjährigen: die Einwilligung von Minderjährigen unter 16 Jahren ist nur wirksam wenn die Eltern damit einverstanden sind – Nachweis!!.

Was passiert mit „alten“ Einwilligungen?

Die bisher eingeholten datenschutzrechtlichen Einwilligungen bestehen auch unter der DSGVO weiterhin fort. Das gilt aber nur, wenn Sie sich an die bisherigen Anforderungen des BDSG und TMG gehalten haben. Wenn die Einwilligung bisher nicht wirksam erteilt wurde, wird sie auch nicht durch die DSGVO wirksam.

Für Vereine z.B. bedeutet dies, das durch den Vereinsbeitritt in der Vergangenheit ein Vertrag abgeschlossen wurde und die alten Einwilligungen damit Gültigkeit behalten.

Auskunftsansprüche der Nutzer

Anwender haben auf Verlangen Anspruch auf Auskunft über folgende Punkte:

  • Welche Daten werden erhoben
  • Zu welchen Zwecken werden diese erhoben
  • Die Herkunft der Daten (falls nicht selber erhoben)
  • Die geplante Speicherdauer
  • Hinweis zu Widerspruch und Berichtigung

Zum Inhaltsverzeichnis

Datenschutzerklärung  – was ist zu tun?

Die bisherigen Datenschutzerklärungen von Websites müssen angepasst werden. Die Anforderungen nach DSGVO definieren, das diese alle notwendigen Informationen enthalten und folgende Kriterien erfüllen müssen:

  • Einfache und verständliche Sprache
  • Zur Klarstellung kann eine vorgeschaltete, allgemein-zusammenfassende Erklärung Sinn machen.
  • Die Datenschutzerklärung muss leicht zugänglich sein. Eine „Platzierung“ im Impressum geht nicht, die Datenschutzerklärung muss – wie das Impressum – von jeder Seite im Angebot direkt zu erreichen sein.
  • Die Kontaktdaten des Seitenbetreibers müssen benannt sein.
  • Ebenfalls die des Datenschutzbeauftragter, wenn vorhanden.
  • Die Rechtsgrundlage der Datenerhebung/Verarbeitung  muss konkret benannt werden.
  • Es müssen alle Datenverarbeitungsvorgänge auf der Webseite bemannt werden.
  • Infos zum Umgang mit Kunden- / Bestelldaten.
  • Infos zum Einsatz von Tracking-Tools, Cookies und/oder Social Media Netzwerken.
  • Infos zu Newsletter und – wenn im Einsatz -Auftragsverarbeitung.
  • Hinweise zur Dauer der Datenspeicherung und Löschsfristen.
  • Hinweise zur Daten-Auskunft, -Berichtigung, -Löschung und zum Widerruf der Datenverarbeitung.
  • Infos über das Recht auf Datenherausgabe und Übertragbarkeit.
  • Einwilligungen zur Datenerhebung dürfen nicht in der Datenschutzerklärung stehen.

Erstellung einer Datenschutzerklärung – unser Angebot für unsere Kunden

Lassen Sie sich bei der Erstellung einer Datenschutzerklärung durch einen fachkundigen Anwalt beraten oder nutzen Sie ergänzend unser Angebot als eRecht24 Agentur-Partner.

Wir prüfen Ihre aktuellen Datenschutzerklärungen und das Impressum und erarbeiten für unsere Kunden im Bereich Websiteerstellungen mit dem eRecht24 Premium-Agentur Tools Vorlagen für eine individuelle und DSGVO-konforme Datenschutzerklärung und Impressum.
Diese Vorlagen für Datenschutz und Impressum sind allgemeiner Art und stellen keine Rechtsberatung dar. Zur Klärung weiterer Details oder zur Lösung von konkreten Rechtsfällen konsultieren Sie daher bitte einen Rechtsanwalt.

Wir haben dafür einen Fragebogen als Basis für die Erstellung entworfen und unterstützen Sie gerne auch bei der Platzierung Ihrer Datenschutzerklärung.

Genauere Details zu diesem Angebot finden Sie in unserem zweiten Blogeintrag zum Thema DSGVO.

Verzeichnis der Verarbeitungstätigkeiten

Wie oben beschrieben besteht die Pflicht zur Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten für Unternehmen zwar erst ab 250 Personen – sofern die Verarbeitung nicht nur gelegentlich erfolgt – wobei aber noch nicht abschließend geklärt, was genau letzteres bedeutet, bzw. wie es ausgelegt wird.

Deshalb die Empfehlung ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen und zu führen. Man erhält nämlich damit auch einen Überblick über die Verarbeitungsvorgänge, Prozesse, Software, Cloudlösungen im eigenen Unternehmen / Verein.
Und wenn Sie der Aufsichtsbehörde im Falle einer Kontrolle generell nachweisen müssen, dass die Vorgaben der DSGVO eingehalten werden, ist dies mit einem Verzeichnis der Verarbeitungstätigkeiten dann schnell und Sie haben direkt die benötigten Infos zur Hand.

Was gehört in ein Verarbeitungsverzeichnis

•    Angaben des Verantwortlichen
•    Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten
•    Zwecke der Verarbeitung
•    Kategorien betroffener Personen und personenbezogener Daten
•    Kategorien von Empfängern
•    Übermittlungen von personenbezogenen Daten an ein Drittland
•    Fristen für Löschung
•    Beschreibung der technischen und organisatorischen Maßnahmen
•    Angaben des Auftragsverarbeiters
•    Name und Kontaktdaten des Auftragverarbeiters und des Verantwortlichen, ihrer Vertreter und des Datenschutzbeauftragten
•    Kategorien von Verarbeitungen
•    Übermittlungen von personenbezogenen Daten an ein Drittland

Hier finden Sie Infos  zum Thema und ein Muster vom Bitkom.

Praxistipp zur Erstellung eines Verarbeitungsverzeichnis

Notieren Sie  und Ihre Mitarbeiter die mit personenenbezogenen Daten arbeiten, eine Woche lang in einer ExcelListe oder auch analog auf einem Zettel, jedes Programm das Sie aufrufen – bzw. bei „analoger“ Verarbeitung welche Dokumente mit personenbezogenen Daten Sie bearbeiten.

In einem zweiten Schritt tragen Sie ein ob und welche personenbezogenen Daten mit den „Verfahren“ erhoben werden.

Im dritten Schritt können Sie jetzt in allen Verfahren / Tools eintragen, z.B. in die oben verlinkte Vorlage des Bitkoms mit

  • Name des Verfahrens
  • Zweck
  • Art der Kategorien von Daten
  • Kategorien von Empfängern
  • Herkunft der Daten
  • Löschfristen
  • Evtl. Übermittlung der Daten an Dritte
  • Techn. und organisatorische Maßnahmen
  • usw.

Auftragsverarbeitung nach DSGVO

Auftragsverarbeitung  (AV) – bisher Auftragsdatenverarbeitung (ADV) – ist die „Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Auftragnehmer (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle), der die Daten im Auftrag des Verantwortlichen verarbeitet).“
Das kann für Sie z.B. sein:

  • externer Newsletter-Anbieter (ggfs. mit externem SMTP Provider).
  • Cloud Computing (für Datenaustausch, -Speicherung, -Sicherung).
  • Ein externes Rechenzentrum – zumindest z.B. beim Hosting der Website.
  • Cloudbasiertes CRM System.
  • Einsatz eines externen Callcenter.
  • Einsatz externer Entwickler bei regelmäßiger Websitepflege und -Wartung.
  • Einsatz externer Dienstleister die auf Ihre internen Systeme mit Personendaten Zugriff haben.
  • Einsatz externer Unternehmen beim Marketing.

Als Merksatz könnte man vielleicht sagen: Wenn ein anderes Unternehmen Zugriff auf die Daten Ihrer Kunden hat, sollten Sie einen Auftragsverarbeitungs-Vertrag abschließen.

Bei der Auftragsverarbeitung sind Sie als Auftraggeber der primäre Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben zuständig.
Aber Ihr Dienstleister als Auftragnehmer (also der Auftragsdatenverarbeiter) ist mitverantwortlich und muss:

  • ein Verzeichnis zu allen Kategorien von im Auftrag durchgeführten Tätigkeiten der Verarbeitung erstellen (Artikel 30 DSGVO).
  • mit der Aufsichtsbehörde zusammenarbeiten (Artikel 31 DSGVO).
  • technische und organisatorische Maßnahmen der Datensicherheit ergreifen (Artikel 32 Absatz 1 DSGVO).
  • Nennung der ggfs. hinzugezogenen Subdienstleister.

Der Vertrag muss nicht mehr zwingend schriftlich abgeschlossen werden. Die Zeiten das man z.B. den ADV für datenschutzkonforme Nutzung von Google Analytics mit 16 Seiten in zweifacher Ausführung an Google in Irland senden musste, sind vorbei. Jetzt kann dieser digital bestätigt werden.

Das heißt aber das Sie von Ihren Dienstleistern, die für Sie Auftragsverarbeitung tätigen einen solchen Vertrag bis zum 25.05. Mai erhalten sollten,bzw. von Ihnen anfordern müssen.

Kunden von Bunte – Technologie & Kommunikation die z.B. einen Wartungs- und Security-Vertrag oder eines unser Hostingpakete nutzen, werden rechtzeitig vor dem 25.05. einen entsprechenden Vertrag erhalten. Wir sind aktuell bei den letzten Details des Verzeichnisses zur Verarbeitungstätigkeit und warten noch auf einige AV-Verträge von Dienstleistern die für uns tätig sind und in den oben genannten Angeboten als Subdienstleister tätig sind (u.a. die Rechenzentren).

Zum Inhaltsverzeichnis

Technische und Organisatorische Maßnahmen zum Datenschutz

Sie sind für die Sicherstellung der Vertraulichkeit, Integrität und Belastbarkeit der Datenführenden Systeme verantwortlich und müssen diese durch entsprechende technische & organisatorische Maßnahmen sicherstellen – und diese auf Wunsch auch nachweisen können.
Die DSGVO verlangt dazu in Artikel 32, das Sie Ihre Verarbeitung absichern:“ Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

In den Erwägungsgründen zählt die Verordnung (Erwägungsgrund 75) einige Bereiche auf, unter anderem physische, materielle oder immaterielle Schäden, Identitätsdiebstahl oder – betrug, finanzielle Verluste, Rufschädigung, wirtschaftliche oder gesellschaftliche Nachteile. In diesem Zusammenhang ist die mögliche Sabotage durch Innentäter – oder das Eindringen von Schadsoftware zu berücksichtigen.

Der Sicherungsanspruch ist also recht weitgehend und sind verantwortlich dafür Ihre Systeme die Sie zur Datenverarbeitung nutzen, auf Datensicherheit zu optimieren. Einige Beispiele dazu (ohne den Anspruch auf Vollständigkeit) :

  • Offline-Bereich – Organisation Ihres Büros
    Achtung auch Papierunterlagen die in ein Dateisystem (Aktenordner, Kladde, Reservierungsbuch usw.) abgelegt werden, sind von der DSGVO betroffen .

    • Lokales Computersystem auf den neuesten Stand halten (einspielen von Updates) und aktuelles Anti-Virenprogramm verwenden,
    • Ihre Rechner mit Passwortschutz vor unbefugter Nutzung schützen und sichere Passwörter nutzen (1234 wäre wohl nicht ausreichend),
    • die Passwörter selber schützen (z.B. nicht mit PostIt an den Monitor kleben),
    • regelmäßig Backups machen und testen ob diese auch erfolgreich zurückspielbar,
    • Backup Daten verschlüsselt ablegen, damit unbefugte darüber keinen Zugriff erhalten,
    • Backup Bänder immer verschlossen aufbewahren (Safe, abgeschlossener Schrank),
    • Zugang zu Büros für unbefugtes Personal beschränken, Sicherung mit Schloss ermöglichen (Denken Sie an diese Punkte z.B. bei Nutzung von Homeoffices),
    • schriftliche Dokumentation (z.B. Reservierungsbuch) nicht durch Unbefugte einsehbar,
    • Aktenschränke verschlossen halten (mit Schloss gesichert),
    • datenschutzkonforme Aktenvernichtung sicherstellen,
    • Begrenzen Sie die Zahl der Mitarbeiter die Zugriff auf personenbezogene Daten haben auf das notwendige Minimum (unter anderem auch wegen des Themas Datenschutzbeauftragter),
    • Eine Verpflichtungs- & Vertraulichkeitserklärung durch die Mitarbeiter unterzeichnen lassen. Hier eine Mustervorlage erstellt von der activeMind AG.
    • schulen / sensibilisieren Sie Ihre Mitarbeiter hinsichtlich der neuen Regelungen.
  • Auf Ihrer Website:
    • Vernünftige Basisabsicherung des Websystems – sichere Benutzerdaten und weiterer Sicherungsmaßnahmen
    • Websystem immer auf dem neuesten Stand halten und Updates einspielen,
    • Einsatz von verschlüsselter Kommunikation( Stichwort SSL-Zertifikate und https) bei Datenabfragen – so z.B. bei Kontakt-, Bestell- oder Buchungsformularen,
    • Detaillierte Infos in unserem zweiten Beitrag  zum Thema DSGVO- Auswirkungen auf Ihre Website
  • u.v.m.

Hilfreiche Links mit Infos und Mustervorlagen

Hier jetzt noch eine Linksammlung mit hilfreichen Zusatzinformation oder Vorlagen.

Unsere Angebote zur DSGVO für Sie

Die beiden Blogbeiträge zum Thema Datenschutz Grundverordnung DSGVO sind vor allem als Informationsquelle und Anregung gedacht.
Aber natürlich kann Bunte – Technologie & Kommunikation ihnen bei diesem Themenkomplex auch beratend und unterstützend zur Seite stehen. Diese Information und die unten stehenden erwähnten Vorlagen für Datenschutz und Impressum sind allgemeiner Art und stellen keine Rechtsberatung dar. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte einen Rechtsanwalt.

Wir hoffen das aufgrund der dargestellten Informationen und der Komplexität der Thematik für Sie nachvollziehbar ist, das es nicht möglich ist mit einfachen Pauschalangeboten zu arbeiten.
Dafür unterscheiden sich die verschiedenen Websites hinsichtlich Inhalte, eingesetzte Funktionen und Tools einfach zu deutlich.

Hier unsere Angebote:

1. Individuelle Datenschutzerklärung und Impressum für unsere Kunden

Wir prüfen Ihre aktuellen Datenschutzerklärungen und das Impressum und erarbeiten für unsere Kunden im Bereich Websiteerstellungen mit dem eRecht24 Premium-Agentur Tools  Vorlagen für eine individuelle und DSGVO-konforme Datenschutzerklärung und Impressum.
Diese Vorlagen für Datenschutz und Impressum sind allgemeiner Art und stellen keine Rechtsberatung dar. Zur Klärung weiterer Details oder zur Lösung von konkreten Rechtsfällen konsultieren Sie daher bitte einen Rechtsanwalt.

  • Ungefähre Kosten:
    Der Aufwand für dieses Angebot liegt erfahrungsgemäß zwischen 45 und max. 100 Minuten. Für die gesonderte Überprüfung des  Impressums fallen nochmals ca. 15 Minuten an.
    Unser Stundensatz beträgt 90,- € exkl. MwSt..
  • Vorgehensweise:
    Wir würden vorab bei Neuerstellung einer Website oder bei Überprüfung einer von uns in der Vergangenheit erstellten Website per Sichtung unsere 68 Fragen umfassende Liste zur genauen Definition der eingesetzten Funktionen und Tools vorausfüllen. Danach würden wir Ihnen die Fragenliste zur finalen Befüllung zukommen lassen und mit dem Ergebnis dann einen Vorschlag für eine individuelle Datenschutzerklärung erstellen und Ihnen als Word-Dokument und HTML-Quellcode zur direkten Einbindung zukommen lassen.
  • Einbindung:
    Auf Wunsch können wir – bei uns bekannten oder einfach nachzuvollziehenden Redaktionsystemen auch nach Ihrer Überprüfung und Freigabe die neue Datenschutzerklärung einbinden und z.B. in der Navigation platzieren.

Auf jeden Fall umfasst dieses Angebot auch nochmals erweiterte Informationsangebote von eRecht24, wie den DSGVO Leitfaden und Praxis-Guide Premium, die wir Ihnen als PDF zur Verfügung stellen.

2. DSGVO Website-Check mit Empfehlungen

Wir überprüfen Ihre Website auf die im Beitrag oben dargestellten „kritischen“ Punkte im Kontext der DSGVO – neben der Fragestellung der Datenschutzerklärung – und würden in einem kurzen Bericht auf mögliche, problematische Punkte hinweisen und Empfehlungen für die Anpassung vorschlagen.

Da die Sichtung von Umfang, Gestaltung und den eingesetzten Tools Ihrer Website abhängig sind, kann dieser Websitecheck nur nach zeitlichem Aufwand berechnet werden.

Unser Stundensatz beträgt 90,- € exkl. MwSt..

Aus rechtlicher Hinweis aber bei diesem Angebot der der Hinweis:

Die Ergebnisse des Website-Check  werden wir mit größter Sorgfalt recherchieren. Dennoch können wir keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen übernehmen. Diese sind insbesondere allgemeiner Art und stellen keine Rechtsberatung dar. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.

3. Fehlerbehebung / Optimierung nach dem Website-Check

Auf Basis der Empfehlungen des Websites-Checks können wir – bei uns bekannten oder einfach nachzuvollziehenden Redaktionsystemeno oder statischen HTML Seiten, nach Absprache mit Ihnen die offenen Punkte auch direkt für Sie bearbeiten und korrigieren.

Da auch dieser Punkt vollkommen individuell ist,  kann auch hier nur nach zeitlichem Aufwand berechnet werden.

Unser Stundensatz beträgt 90,- € exkl. MwSt..

4. Sparangebot für Mehrfachbuchung

  • Wenn Sie zwei der oben dargestellten Pakete parallel buchen, sinkt der Stundensatz um auf 87,50€ exkl. MwSt..
  • Wenn Sie alle drei der oben dargestellten Pakete parallel buchen, sinkt der Stundensatz auf 85,-€ exkl. MwSt..

     Zum Inhaltsverzeichnis

5. Nutzung des eRecht24 DSGVO Premium Kundenpaketes

Wer sich eingehender informieren will, kann unser eRecht24 DSGVO Premium Kundenpaket buchen.
Sie erhalten damit Zugang zum Premiumbereich für Agenturkunden von eRecht24 mit:

  • Video-Trainings und Webinaraufzeichnungen
  • eBooks, Checklisten, Muster / Vorlagen und Verträge
  • FAQ Bereich mit mehr als 50 der wichtigsten Fragen zur DSGVO

Diese Premium-Inhalte dürfen nicht öffentlich zugänglich gemacht oder an Dritte weitergegeben werden.

Die Einrichtung und Übermittlung des DSGVO Premium Kundenpaketes kostet einmalig 25,- € exkl. MwSt..

Sie möchten Kontakt mit uns zu unseren Fragen zur DSGVO aufnehmen:

Dann kontaktieren Sie uns unter

Kontaktieren Sie uns doch einfach direkt:

Tel. 0521 44812175 | Fax 0521 44812175-9 | E-Mail: info@bunte-tk.de

Oder nutzen Sie unser Anmeldeformular:

Anfrage DSGVO Angebote

2 Kommentare

Trackbacks & Pingbacks

  1. […] ersten Teil unserer Serie hatten wir einführend die Datenschutz Grundverordnung allgemein erläute… gegeben. Also gerne nochmal […]

  2. […] komplett neu aufgesetzt und umfassend erweitert. Aufgrund der Erfahrungen aus dem ersten Jahr nach Einführung der DSGVO und den ständig ändernden Anforderungen durch die Gesetzgebung und deren Auslegung, haben sich […]

Kommentare sind deaktiviert.