Am 25. Mai 2018 tritt die neue Datenschutzgrundverordung in Kraft.
Was müssen Bloggerinnen und Blogger diesbezüglich berücksichtigen?
Last update: 9. April 2018
Bloggerinnen und Blogger arbeiten mit personenbezogenen Daten – und zwar mit der Kategorie „sonstige personenbezogene Daten“. Das sind z.B. IP-Adressen, Adressdaten, E-Mail-Adressen. Daher trifft auch uns die neue Datenschutzgrundverordnung. Denn bei zulässiger Verarbeitung von personenbezogenen Daten trifft uns eine Sorgsamkeits- und Informationspflicht.
Die DSGVO gilt europaweit ab 25.5.2018. Wer jetzt aber glaubt, sie wäre europaweit gleich, der irrt leider. Leider beinhaltet die DSGVO viele nationale Öffnungsklauseln. Daher gibt es in den Details durchaus einen Unterschied zwischen den Ländern!
Inhalt
Grundsätze für Datenerhebung und -verarbeitung
Must-have: Verarbeitungsverzeichnis und TOM-Verzeichnis
Must-have: Verträge mit Auftragsverarbeitern
Must-have: Informationspflichten und Außenauftritt
Nicht DSGVO-konforme Aufrufe externer Services
Registrierungsformular/Kommentarfunktion
Spezialfall Gemeinsame Verantwortung/Mitarbeiter
Spezialfall: User Generated Content
Informationspflicht Newsletter, Gewinnspiel …
Generelle Vorbemerkungen
Grundsätze für Datenerhebung und -verarbeitung:
- Grundsatz der Zweckbindung
Warum erhebe/verarbeite ich die Daten? - Grundsatz der Rechtmäßigkeit
- Grundsatz der Datenminimierung
Möglichst wenig personenbezogene Daten erfassen! - Grundsatz der Richtigkeit
- Grundsatz der Speicherbegrenzung
Wenn der Verarbeitungsgrund wegfällt: LÖSCHEN!
Betroffenenrechte
Binnen 1 Monat; sonst Mitteilung der Gründe und Aufklärung über Beschwerdemöglichkeit
- Recht auf Auskunft
Welche Datenkategorien werden verarbeitet, Verarbeitungszweck, Speicherdauer bzw. Kriterien für die Festlegung der Speicherdauer; Herkunft der Daten (sofern diese nicht bei der Betroffenen Person erhoben wurden); umfassende Belehrung der Betroffenenrechte; ggf. Empfänger der Daten; ggf. bei Übermittlung in Drittstaaten die zugrundeliegenden Garantien; Anspruch auf Kopie der Daten - Recht auf Berichtigung
Berichtung unrichtiger Daten; Vervollständigung unvollständiger Daten - Recht auf Löschung („Recht auf Vergessenwerden“)
Löschen ist verpflichtend wenn: Unrechtmäßige Verarbeitung ODER Zweck für die Datenverarbeitung nicht mehr vorliegt ODER Widerruf der Einwilligung (und keine anderweitige Rechtsgrundlage) - Recht auf Einschränkung der Verarbeitung
- Mitteilungspflicht an Empfänger der Daten
- Widerspruchsrecht
- Recht auf Datenübertragbarkeit
To-dos
Must-have: Verarbeitungsverzeichnis und TOM-Verzeichnis
Verarbeitungsverzeichnis: Grobübersicht über Verarbeitungsvorgänge
Das Verzeichnis muss diese Angaben enthalten:
- Namen + Kontaktdaten des Verantwortlichen (ggf. gemeinsam Verantwortliche, ggf. Datenschutzbeauftragter)
- Zweck der Datenverarbeitung
- Kategorien betroffener Personen
- Kategorien personenbezogener Daten
- Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, inkl. Empfänger in Drittländern
- die Übermittlung von personenbezogenen Daten an ein Drittland
- Fristen für die Löschung der Datenkategorien
- Beschreibung der technisch und organisatorischen Maßnahmen (TOM)
To do: Verarbeitungsverzeichnis (Excel-Dokument)
Kopf: Name + Kontaktdaten
sinnvoll: Erstelldatum + Datum der letzten Überprüfung
Empfohlene Spalten:
- Verarbeitungstätigkeit
- Datenkategorien: Welche Daten werden verarbeitet? Name, Anschrift, E-Mail-Adresse …
- Zweck der Verarbeitung: Warum werden Daten verarbeitet?
- Rechtsgrundlage: Wie lässt sich der Zweck argumentieren?
- Betroffene Personen/ Kategorien personenbezogener Daten
- Auftragsverarbeiter / Gemeinsam Verantwortliche
- Empfänger
- Übermittlung der Daten in Drittstaaten
- Löschfrist
- TOM (Technische und organisatorische Maßnahmen)
Und dann geht es ans Ausfüllen der Zeilen:
- Typische Verarbeitungstätigkeiten von Bloggern sind z.B.: Angebotslegung, Auftragsabwicklung, Erfüllung nachvertraglicher Pflichten, Dokumentation Kundebeziehung, Erfassen der Belege, E-Mail-Newsletter, Website-Kontaktformular, Website-Kommentarfunktion, Website-Analyse; Achtung! Wenn ihr Mitarbeiter habt, dann kommt da noch einiges dazu: Bewerberdaten, aktuelle MA, ausgeschiedene MA
- Typische Datenkategorien: Adressdaten, E-Mail, Kontaktdaten, Inhalt, Bankverbindungsdaten, Information zur Websitenutzung
- Typische Zwecke: Neukundengewinnung, Auftragsabwicklung, Rechnungslegung, Dokumentation, Zugriffsinformation …
- Typische Rechtsgrundlagen: Vorvertrag, Vertrag, Dokumentationspflichten, Steuerrecht, Einwilligung, Interessenabwägung (Neukundengewinnung, Kundenbindung …)
- Typische Betroffene: Kunden, Neukunden, Newsletter-Abonnenten, Website-Besucher …
- Typische Auftragsverarbeiter: Steuerberater, Newsletterversanddienst, Websiteanalysedienst
- Typische Empfänger: Steuerberater
- Übermittlung der Daten in Drittstaaten: z.B. USA (Google Analytics/Privacy Shield)
- Löschfrist: Nach Ablauf der gesetzlichen/steuerrechtlichen Aufbewahrungspflichten, Widerspruch, Widerruf (Opt-out)
- Typische TOMs: SSL-Verschlüsselung, sichere Verwahrung von Zugangsdaten …
Must-have: Verträge mit Auftragsverarbeitern
Auftragsverarbeiter müssen hinreichende Garantien geben, dass geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten gegeben werden. Auftragsverarbeiter haben ein Hinweis- und Warnpflichten bei Datenschutzverstößen. Haftung solidarisch mit dem Verantwortlichen
To do: Verpflichtender schriftlicher Vertrag > siehe Textbausteine
Must-have: Informationspflichten und Außenauftritt
Diese Information muss bei der Erhebung der Daten bereitgestellt werden
Datenschutzerklärung
Muss beinhalten:
- Umfassende Belehrung der Rechte
- Cookie Hinweis gemäß §96 (3) TKG (Österreich)
- Google Analytics mit Opt-Out-Möglichkeit
- Facebook Pixel mit Opt-Out-Möglichkeit
- usw.
Ein Tipp: Datenschutzerklärung auf „noindex“ setzen (Yoast SEO > Zahnrad > „Erlaube Suchmaschinen diesen Seite in den Suchergebnissen anzuzeigen?“ > „Nein“)
To do: Datenschutzerklärung > siehe Textbausteine
SSL-Verschlüsselung
Da beim Übertragen von IP-Adressen, E-Mail-Adressen u.ä. personenbezogene Daten übertragen werden, ist wohl eine SSL-Verschlüsselung unumgänglich.
E-Mail-Newsletter
Wie bereits bisher: Einwilligung erforderlich; Double Opt-in; Opt-Out-Möglichkeit muss in jedem Mail dabei sein! NEU:
- Opt-out-Daten tatsächlich auch von Zeit zu Zeit löschen!
- Informationspflicht
- Auftragsverarbeitung
To do: Auftragsverarbeitungsvertrag z.B. Mailchimp Vertragsvorlage.
To do: Informationspflicht > siehe Textbausteine
Gewinnspiel
To do: Informationspflicht > siehe Textbausteine
Nicht DSGVO-konforme Aufrufe externer Services:
- Registrierungsformular/Kommentarfunktion
WordPress bindet eine DSGVO-konforme Kommentarfunktion hoffentlich im nächsten Core-Update ein.
Achtung! Zweckbindung! Ein Kommentar berechtigt nicht zum Versand einer Werbe-E-Mail! - Anti-Spam
Achtung auch bei Anti-Spam-Diensten: Akismet ist datenschutzrechtlich bedenklich (schon jetzt); Alternative wäre z.B. Antispam Bee - Teilen-Buttons
Nur solche verwenden, die Datenschutzrechtlich unbedenklich sind: z.B. „Shariff Wrapper“ (bindet nur Textlink ein; Kommunikation mit dem Netzwerk erst bei aktivem Klick) - Social Media Like-Boxen
Am besten nicht verwenden, wenn Bilder von Abonnenten angezeigt werden. - Gravatar-Bilder
Bei jedem Kommentar wird eine Anfrage in die USA gesendet, ob zu dieser E-Mail-Adresse ein Gravatar-Bild verfügbar ist – unabhängig davon, ob es tatsächlich ein hinterlegtes Bild gibt oder nicht. E-Mail-Adressen sind personenbezogene Daten. Daher: besser abdrehen
To do: Gravatar abdrehen: Einstellungen > Diskussion
Ja, sieht wahrscheinlich nicht so prickelnd aus … Alternative wäre ev. WP First Letter Avatar - Emojis
Für der Umwandlung von :-) in ein Emoji wird eine Abfrage an einen fremden Server gestellt. Das ist jetzt an sich noch nicht bedenklich, aber könnte bei Emojis in Kommentaren eventuell problematisch sein. Daher vorsichtshalber:
To do: Emojis abdrehen: Einstellungen > Schreiben
Da werden typische Social Plugins, Sicherheits-Plugins, Anti-Spam Plugins, Statistik-Plugins, Kontaktformulare, Kommentarfelder + Kommentarabos usw. betrachtet und aufgelistet, was sie mit personenbezogenen Daten tun. Ebenfalls dabei: Eine Liste mit DSGVO-konformen Plugins und anderen hilfreichen Plugins.
Spezialfall Gemeinsame Verantwortung/Mitarbeiter
Wenn ihr nicht alleine bloggt, dann gibt es ein paar Zusätze zu beachten:
- Gemeinsame Verantwortung: Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche
To do: Verpflichtender schriftlicher Vertag
Inhalt: Tatsächliche Funktionen der Verantwortlichen, Zentrale Anlaufstelle für Betroffene (z.B. E-Mail-Adresse), Verantwortlicher für die Wahrung der Rechte, Verantwortlicher für die Infopflichten; Offenlegung der Kernpunkte dieses Vertrages (z.B. in der Datenschutzerklärung) - Mitarbeiter:
To do: Verschwiegenheitsvereinbarung, Zusätzliche Verarbeitungstätigkeiten im Verarbeitungsverzeichnis
Spezialfall: User Generated Content
Plattformbetreiber haftet – aber erst ab Kenntnisnahme. Dann muss aber rasch reagiert werden.
To do: „Melden-Button“ oder E-Mail-Adresse angeben (die tatsächlich regelmäßig abgerufen wird!)
Spezialfall: Data Breach
Werden Daten entwendet, muss der Data Breach ehestmöglich gestoppt werden.
Der Verantwortliche muss Art, Schwere und Folgen einschätzen und Melde- und Benachrichtigungspflichten nachkommen
- Meldung an die Aufsichtsbehörde: Muss nicht erfolgen wenn kein Risiko; ansonsten binnen 72 Stunden; Dokumentationspflicht!
- Benachrichtigung der Betroffenen: nur bei hohem Risiko (wird uns Blogger nicht betreffen – außer es sind sensible Daten im Spiel, wie z.B. Kreditkarteninformationen etc.);
Außerdem müssen ehestmöglich geeignete Maßnahmen zur Schadensbeseitigung, zur Minimierung der Folgeschäden sowie Vorkehrungen zur Verhinderung ähnlicher Fälle vorgenommen werden.
Textbausteine
Informationspflicht Newsletter, Gewinnspiel …
Informationspflicht zum Zeitpunkt der Datenerhebung lt. Abschitt 2, Art. 13 (bereinigt von den Punkten, die Blogger bestimmt nicht treffen, wie z.B. Datenschutzbeauftragter):
Drinnen stehen muss – zum Zeitpunkt der Erhebung:
- Verantwortlicher (= Wer verarbeitet die Daten? Wahrscheinlich der/die Blogger/-in)
- Zweck der Datenverarbeitung (Zweckbindung! Warum werden die Daten verarbeitet? z.B. Zusendung von …, Teilnahme an Gewinnspiel …)
- Rechtsgrundlage der Datenverarbeitung (z.B. Einwilligung) des berechtigten Interesses (wenn Rechtsgrundlage = berechtigtes Interesse; z.B. Neukundengewinnung) (Rechtmäßigkeit)
- Speicherdauer bzw. Kriterien für die Festlegung dieser Dauer (Wie lange werden die Daten gespeichert? Speicherbegrenzung; z.B. bis Widerspruch/Widerruf)
- Info zur ev. bestehenden Verpflichtung einer Bereitstellung + Folgen eine etwaigen Nichtbereitstellung
- Empfänger (Kategorie ausreichend) und ggf. Angaben zur Übermittlung in ein Drittland (z.B. USA inkl. Verweis auf geeignete Garantien z.B. Privacy Shield) (Wer bekommt die Daten noch? Wer hat noch Zugriff auf die Daten? Wer verarbeitet die Daten?)
- Aufklärung über Rechte: Recht auf Auskunft, Berichtigung, Widerruf der Einwilligung (wenn Rechtsgrundlage = Einwilligung), Widerspruch, Löschung oder Einschränkung der Verarbeitung, Datenübertragbarkeit; Beschwerderecht bei der Aufsichtsbehörde (wenn möglich auch die Kontaktdaten der Datenschutzbehörde anführen)
Und das könnte so aussehen – jeweils angepasst an die jeweilige Situation (Gewinnspiel, Newsletter …):
Durch [Ausfüllen/Ankreuzen/Teilnahme/…] willigen Sie in die Verarbeitung der [oben angeführten bzw. Datenkategorien] personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen (siehe Impressum [LINK]), zum Zweck [der Zusendung eines E-Mail-Newsletters/der Gewinnermittlung/…] auf Grundlage [Ihrer Einwilligung/des berechtigten Interesses XYZ] bis auf Widerruf ein.
Es besteht keine gesetzliche oder vertragliche Verpflichtung zur Bereitstellung Ihrer personenbezogenen Daten oder zur Erteilung der Einwilligung. Die Nichtbereitstellung bzw. die Nichterteilung der Einwilligung haben lediglich zur Folge, dass Sie [keine Informationen zugesendet bekommen/nicht am Gewinnspiel teilnehmen können …].
Eine Weitergabe an andere Empfänger erfolgt [nicht/an XYZ (Kategorie ausreichend) zum Zweck von XYZ; ev. Angabe Privacy Shield].
Ihre Rechte: Sie haben das Recht, Ihre Einwilligung jederzeit [WIE? durch schriftliche Mitteilung/Klick auf den Abmeldelink …] zu widerrufen bzw. der Verwendung Ihrer personenbezogenen Daten zum Zweck [XYZ] zu widersprechen. Im Fall des Widerspruchs werden Ihre personenbezogenen Daten nicht mehr zum Zweck [XYZ] verarbeitet.
Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung bzw. Übertragbarkeit Ihrer personenbezogenen Daten sowie das Recht auf Beschwerde bei der Aufsichtsbehörde: Österreichische Datenschutzbehörde, Hohenstaufengasse 3, 1010 Wien, dsb@dsb.gv.at.
Frage: Muss der ganze Text aufgeführt werden?
Ja. Aber ihr könnt den letzten Teil in der Datenschutzerklärung parken und darauf verlinken.
Datenschutzerklärung
Möglichkeit: Datenschutz-Generator von der Kanzlei Dr. Schwenke: https://datenschutz-generator.de/
(Achtung! Deutsches Recht! Österreicher müssen sich auf österreichisches Recht beziehen.)
[Inhalt folgt]
Vertrag Auftragsverarbeiter
- Google Analytics: Vertrag zur Auftragsdatenverarbeitung zwingend erforderlich. Aber nur in Deutschland per Postweg nötig (PDF-Vorlage hier); In Österreich und der Schweiz reicht eine Online-Zustimmung: Analytics-Startseite > Verwaltung > Einstellungen > Data Processing Amendment
- Facebook: Noch nicht verfügbar.
PLUS: Da sind auch Links drinnen, wo ihr die Verträge findet (und wo sie noch in Arbeit sind).
[Inhalt folgt]
Habt ihr Anmerkungen dazu?
Mail an: muttisnaehkaestchen@gmail.com
P.S.: Für alle, die rechtskonform werblichen Inhalt kennzeichnen wollen: