DSGVO: zwischen „Endlich!“ und „Was muss ich als Selbstständige jetzt tun?“

Am 25.5.2018 wird die Datenschutzverordnung (DSGVO) nach einer Übergangszeit von zwei Jahren wirksam. Diese Verordnung der europäischen Union regelt den Schutz personenbezogener Daten.

Endlich!

Mir ist Datenschutz wichtig. Der Schutz meiner persönlichen Daten und der persönlichen Daten derer, mit denen ich geschäftlich zu tun habe. Dass nun eine europäische Verordnung endlich Handlung einfordert und der einzelnen Person Rechte an die Hand gibt, ist positiv.

Was bedeutet das für eine Solo-Selbstständige wie mich?

Dem Thema habe ich mich auf verschiedenen Wegen angenähert.

  • An einem Webinar des Verbands der Selbstständigen zur DSGVO teilgenommen
  • Eine Infoveranstaltung zur DSGVO von Freelancern besucht
  • Im Internet recherchiert, was die DSGVO für Solo-Selbstständige bedeutet

Mein Fazit daraus:

  • Die grundsätzlichen Informationen habe ich dabei erhalten
  • Es wird viel Angst gemacht (was bei mir nicht gut ankommt)
  • Wie ich dabei praktisch vorgehen soll, habe ich nur andeutungsweise erfahren

Wünschen würde ich mir einen Austausch: wie setzen andere Solo-Selbstständige die Anforderungen nach der DSGVO um.

Dieser Blogbeitrag ist:

  • Meine persönliche Auslegung der gesetzlichen Anforderungen der DSGVO für mein Solo-Unternehmen
  • Ein Diskussionbeitrag als Anregung
  • Eine Sammlung von Links mit Informationen, die für mich hilfreich waren

Dieser Blogbeitrag ist nicht:

  • Eine rechtlich verbindliche Beschreibung der Umsetzung der DSGVO für ein Solo-Unternehmen
  • Eine geprüfte Linksammlung

Was regelt die DSGVO?

Die Datenschutzverordnung regelt den Schutz personenbezogener Daten von natürlichen Personen.

Was sind personenbezogene Daten?

„Personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

Quelle der Definition.

Wie bin ich nun weiter vorgegangen?

Mit welchen personenbezogenen Daten habe ich im Rahmen meines Geschäfts zu tun?

Mit der Definition der personenbezogenen Daten im Hintergrund habe ich mir Gedanken gemacht und dokumentiert, wo solche Daten in meinem Geschäftszusammenhang vorkommen. Folgende personenbezogene Daten habe ich identifiziert:

  • Kontaktdaten aller Personen, die ich im Zusammenhang meiner Arbeit in irgendeiner Form erhalte, nutze und speichere
  • IP-Adressen der Nutzer meiner Webseite

Was mache ich mit diesen personenbezogenen Daten?

Dazu verlangt die DSGVO, dass ich ein Verzeichnis der Verarbeitungstätigkeiten erstelle. Zwei Verarbeitungstätigkeiten habe ich identifiziert:

  • Kontaktdaten verwalte ich zur Kontaktaufnahme
  • Web-Analyse: IP-Adressen werden vom Provider meiner Webseite erfasst

Zur Form, in der das Verzeichnis zu erstellen ist, sagt die Verordnung nichts aus. Deshalb bin ich Punkt für Punkt die Anforderungen der Verordnung durchgegangen und habe dokumentiert, wie die Verarbeitung der personenbezogenen Daten im Rahmen meiner Geschätstätigkeit abläuft. Für Kontaktdaten beinhaltet das:

  • Wie erhalte ich die personenbezogenen Daten (E-Mail. Visitenkarte, ..)?
  • Mit welchen Systemen (Hard- und Software) verarbeite und speichere ich die personenbezogenen Daten bzw. bewahre sie auf?
  • Zu welchem Zweck „verarbeite“ ich die personenbezogenen Daten (E-Mails schreiben, telefonieren, …)
  • Sind andere an der Verarbeitung beteiligt?
  • Wie realisiere ich das Auskunftsrecht der betroffenen Person?

Wie stelle ich sicher, dass die personenbezogenen Daten bei der Verarbeitung geschützt sind?

Für jede der Verarbeitungen und darin enthaltenen Schritte stelle ich mir die Frage: sind die personenbezogenen Daten dabei geschützt? Kann eine nicht beteiligte Person folgendes:

  • Zugang zu den personenbezogenen Daten erhalten?
  • Zutritt zu den personenbezogenen Daten erhalten?
  • Die Daten ändern?

Auf folgende Fragen und zu bearbeitende Punkte bin ich dabei gestossen:

  • Wie kann ich meine Backups auf einer externen Festplatte schützen?
  • Wie kann ich Google Fonts auf meiner Webseite datenschutzkonform verwenden?
  • Wie kann ich Social Links auf meiner Webseite nutzen, ohne dass personenbezogene Daten weitergegeben werden?
  • Die Anmeldedaten für meinen Blog müssen verschlüsselt übertragen werden (SSL-Zertifikat)
  • Die Datenschutzerklärung auf meiner Webseite fehlt
  • E-Mails, die personenbezogene Daten enthalten, müssen verschlüsselt versendet werden.
  • Kann ich auf meinem Smartphone (eine private und eine geschäftliche SIM-Karte) WhatsApp privat nutzen?
  • Mit dem Provider meiner Webseite und meiner Cloud muss ein Auftragsverarbeitungsvertrag geschlossen werden
  • Wie richte ich meinen WordPress-Blog rechtssicher ein?

Hilfreiche Links für die Analyse

Mit welcher Technik kann ich die personenbezogenen Daten schützen?

Laut DSGVO soll der Datenschutz vor allem durch Technikgestaltung erreicht werden. Die enteckten kritischen Punkte sollen durch geeignete Technik sicher werden.

Was habe ich dazu dokumentiert?

Da es keine Vorgabe gibt habe ich ein Verarbeitungsverzeichnis mit folgender Struktur erstellt:

Inhaltsverzeichnis des Verarbeitungsverzeichnisses von content agentis
Inhaltsverzeichnis des Verarbeitungsverzeichnisses von content agentis

Weitere Links zum Thema

XING-Artikel zu Abmahnungen: „Seitenbetreiber, bleib ruhig: Abmahnungen nach der DSGVO im Risiko-Check“

Generator für die Datenschutzerklärung

Abmahn-Check für die Webseite

Überblick DSGVO

Folterfragebogen DSGVO von Heise Online

 

2 Replies to “DSGVO: zwischen „Endlich!“ und „Was muss ich als Selbstständige jetzt tun?“”

  1. Liebe Frau Paul,

    ich finde es gut, dass Sie Ihre Erfahrungen bezüglich DS-GVO mit anderen teilen. Die DS-GVO in Verbindung mit dem BDSG (neu) ist schon ein enormes „Mammutwerk“ an Vorschriften und Empfehlungen. Es wird nicht nur der Umgang mit personenbezogenen Daten, sondern auch die Informationssicherheit allgemein geregelt. Die neuen Regelungen gelten „für alle“, ob Großunternehmen, Selbstständiger, Vereine oder Vermieter. Allerdings ist das Ganze speziell für kleine Unternehmen ziemlich verwirrend und unverständlich. Auch ist die Gesetzeslage ist momentan noch nicht ganz eindeutig und führt zusätzlich zu Verwirrung.
    Panik ist aber sicher der falsche Ratgeber. Das Problem werden künftig vermutlich weniger die Aufsichtbehörden, sondern eher die Abmahnindustrie (die schon in den Startlöchern stehen) sein. Eine Universal-Lösung für jeden gibt es nicht und so muss jeder für sich eine individuelle Lösung finden.

    Was ich als besonders wichtig erachte ist, wie Sie das auch sehr gut beschreiben, ein systematisches Vorgehen „analysieren, recherchieren und umsetzen“.

    Unbedingt erforderlich ist, sich spätestens jetzt mit der Thematik zu beschäftigen und Maßnahmen in Gang zu setzen. Sonst kann das wirklich böse ausgehen.

    Empfehlung: wenn Sie nicht weiterkommen, holen Sie sich Rat bei Experten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*