Datenschutz – Was Dein Geschäft ruinieren kann

Datenschutz für Webseiten für Selbstständige

Datenschutz für Webseiten für Selbstständige

Ich beachtete den Datenschutz seitdem ich im Internet als Selbstständiger unterwegs bin.

Die Gesetze im Internet und das Internetrecht gelten für Selbstständige genauso, wie für Unternehmen und Konzerne.

Konzerne beschäftigen ganze Abteilungen mit dem Einhalten des Datenschutzes.

Ich achtete auf den Datenschutz weil,

  • ich keine Ärger mit Kunden oder Behörden haben will
  • ich die Daten von Personen als Persönlichkeitsrecht achte
  • der Umgang mit persönlichen Daten eine Vertrauenssache ist

Die neue Datenschutz-Grundverordnung

Vor der neuen Datenschutz-Grundverordnung (ab 25.05.2018) stellte ich mir viele Fragen.

Ich will hier die Fragen beantworten. Ich habe hier meine Erfahrungen und mein Wissen aus dem Umsetzen der DSGVO eingebracht.

Wer ist für Datenschutz verantwortlich?

Verantwortlich ist immer der Selbstständige, der Einzelunternehmer oder die Firma.

Wie fange ich an mit dem Datenschutz?

Die Datenschutz-Grundverordnung (DSGVO) änderte besonders für Einzelunternehmer und KMUs das Arbeiten bezüglich des Datenschutzes.

Ich habe den Eindruck, dass seit dem 25. Mai 2018 kein Datenschutz-Stein mehr auf dem anderen lag. Zahlreiche Juristen bestritten meinen subjektiven Eindruck.

Ich begriff, dass ich als Unwissender vor einer gewaltigen Aufgabe stand. Zum Glück bezog ich zwei Newsletter von Rechtsanwalts-Kanzleien, die sich auf IT-Recht spezialisierten.

Doch die Informationen aus den Newslettern reichten nicht aus. Ich brauchte Informationen, mit denen ich die DSGVO für mich umsetzen kann. Ich entschied, dass ich für die Einhaltung des Datenschutzes eine begleitende Hilfe brauche eRecht24.

Die Gesetze im Internet ändern sich ständig. Die Urteile von Gerichten scheinen sich teilweise zu widersprechen. Klar, die Richter sind subjektive Wesen und der Teufel steckt im Detail.

Auch ich habe mich über die bürokratischen Hürden aufgeregt. Hinzu kam, dass ich bei meinen Recherchen auf Aussagen von Datenschutzbeauftragten stieß. Die Datenschutzbeauftragte konnten nicht sagen, wie man die Gesetzes-Texte in die Praxis umsetzt.

Firmen witterten durch diese gewaltige neue Datenschutz-Grundverordnung neue Geld-Einnahmen. Ich verließ mich bei meinen Entscheidungen auf meine Intuition, welche Kurse und Produkte ich kaufte.

Meine Entscheidungsgrundlagen waren:

  • Schnell und praktische Umsetzung der DSGVO
  • Technische Hilfe für meine Webseiten, um diese DSGVO-konform umzustellen
  • Zukünftige begleitende Hilfe bei Änderungen und Neuerungen

Der Kurs für das technische Umsetzen in der Praxis half mir meinen Überblick zu verbessern.

Meine wichtigsten Aufgaben und Fragen zur technische Hilfe:

  • Wie stelle ich meine Webseiten auf „Sicher“ um, so dass Schloss-Symbol in der Browser-Zeile angezeigt wird
  • Wie stelle ich im Backend das „http“ auf „https“ um
  • Welche WordPress Plugins kann ich weiterverwenden, welche muss ich löschen
  • Was mache ich mit den Kommentaren
  • Wie sichere ich die Kontaktformulare ab
  • Welche DSGVO gesetzesskonforme Social Plugins kann ich einsetzen
  • Wie binde ich YouTube Videos gesetzeskonform ein
  • Wie und wo muss ich welchen HTML-Code ändern?

Ich löste meine Fragen und Aufgaben mit dem DSGVO-Kurs der Webmaster-Uni von Sandra Messer.

Ich sparte mit den Videos und den Kurs-Texten gefühlte Jahre Zeit und eine Tonne Nerven.

Die rechtliche Hilfe für die Zukunft

Auch hier kreisten unzählige Fragezeichen in meinem Kopf.

Warum ist überhaupt Datenschutz so wichtig?

Das Internet vergisst im Datenschutz nichts.

Hier ein Beweis:

Ich suchte einen neuen Drucker. Ich fand und kaufte das neue Gerät. Noch tagelang verfolgten mich Werbeanzeigen zu Druckern. Die Werbeanzeigen stammten von Webseiten, die ich besuchte und Drucker verkaufen.

Ich frage mich, ob Datenschutz überhaupt so bürokratisch wichtig ist. Jedes Mitglied in Facebook, XING, LinkedIn, Instagram und anderen Social Media Plattformen legt – mehr oder weniger gewollt – seine Seele offen.

Die Mail-Programme von Google, Web.de GMX und Provider filtern Spam-Mails aus. Ich klicke auf »löschen« und das wars. Einige Spam-Mails rutschen immer durch, nichts im Leben ist 100%-ig.

Welche Daten dürfen gespeichert werden?

Jeder Selbstständige, Freiberufler und Unternehmer muss Kundendaten speichern. Wie soll er sonst eine Rechnung erstellen?

Wir brauchen für eine Rechnung:

  • Firmenname Vorname, Name
  • Anschrift

Doch wenn ich die Telefon-Nummer und/oder die E-Mail-Adresse nicht speichern darf, wie kann ich dann Marketing betreiben. Soll ich wieder Werbebriefen per Post versenden?

Datenschutz auf Webseiten

Wie geben die Systeme und Tools personenbezogene Daten (hier meist die IP Adresse) weiter und verarbeiten diese?

Ob jemand diese Frage hundertprozentig sicher beantworten kann? Ich glaube nicht. Selbst wenn heute alles DSGVO-konform auf der Webseite läuft – wie sieht es nach dem nächsten Update aus?

Ich lebe einfach mit diesem Risiko. Ich minimiere das Risiko, indem ich sehr vorsichtig neue WordPress Plugins einsetze. Ich schaue dazu immer wieder in den Technik-DSGVO-Kurs mit seinen Neuerungen.

Datenschutz und Google Analytics

Google hat wahrscheinlich die umfassendste Daten-Sammlung. Webseiten-Betreiber nutzen Google-Analytics.

Die Frage: Darf ich weiter Google-Analytics nutzen? Und wenn ja wie?

Ich schloss mit Google Analytics einen Auftragsverarbeitungs-Vertrag. In Google-Analytics änderte ich einige Einstellungen.

Ich ergänzte den Google-Analytics Code auf meinen Webseiten. Wo und wie? Wieder tausend Fragen. Der DSGVO-Wordpres-Kurs und eRecht24 halfen mir.

Das Umsetzen der DSGVO fielen mir durch die Premium-Mitgliedschaft bei eRecht24 und dem Technik-Kurs zur DSGVO leichter.

Von Vorteil erwies sich, dass der Technik-Kurs zur DSGVO auf die Inhalte der Webseite von eRecht24 hinweist. Ich verstand somit die Zusammenhänge von IT-Recht und die technischen Einstellungen besser.

Was ist ein Datenschutz Generator?

Ein Datenschutz-Generator ist eine Software. Die Software generiert mein Impressum und die Datenschutzerklärung für meine Webseite. Ich gebe natürlich vorher in die Felder meine Daten ein.

Ich erhalte als Premium-Mitglied bei eRecht24 das Impressum und die Datenschutzerklärung als HTML-Code. Einfach Kopieren und Einfügen – und schon stehen die Texte für das Impressum und die Datenschutzerklärung in der Webseite.

Ich habe mir bei erecht24 je Webseite ein Impressum mit Datenschutzerklärung erstellt. Der Datenschutz Generator speichert die ausgefüllten Felder. Ich brauche also bei Änderungen nicht alle Daten noch einmal eingeben. Die Texte erstellte ein IT-Rechtsanwalt.

Welcher Datenschutz Generator ist der Beste?

Ich glaube nicht, dass es den BESTEN Datenschutz Generator gibt.

Meine Kriterien für den Datenschutz Generator:

  • Der Datenschutz Generator stammt von eine IT-Rechtsanwaltskanzlei
  • Die Rechtsanwalts-Kanzlei nutze ich für rechtliche Beratung
  • Die Rechtsanwalts-Kanzlei klärt regelmäßig über den Datenschutz und gesetzliche Änderungen auf
  • Idealerweise finden Webinare ohne Zusatzkosten statt

Wie muß ich mein Newsletter Formulare gestalten?

Ich änderte mein Eintragungsformular komplett. Ich orientierte mich an einer Webseite eines Rechtsanwalts. Jetzt hatte ich ein neues Newsletter-Eintragungsformular, mit dem Ergebnis, dass meine Newsletter-Anmeldungen schrumpften.

Das Double Opt In Verfahren für das Einsammeln von E-Mail Adresse galt schon immer als gesetzeskonform.

Hinzu kam das Kopplungsverbot. Das Anbieten eines Freebies oder Gratis-Geschenks gegen die E-Mail-Adresse ist so nicht mehr möglich.

Es gilt auch hier die Datensparsamkeit. Es dürfen nur notwendige Daten abgefragt werden. Damit entfällt die Nachfrage nach Vornamen oder Namen auf der Squeezepage. Mal sehen, wie sich diese entwickelt.

Hinzu kam, dass ein Link zur Datenschutzerklärung gesetzt sein muss. In jeder Newsletter-Mail muss eine Abmeldelink integriert werden. Dass heisst, dass jeder Leser sich mit einem Klick wieder vom Newsletter abmelden kann. Das galt vorher auch schon.

Spezielle Angebote an Kinder und Jugendliche dürfen nur mit der Einwilligung der Eltern erfolgen. Wie soll das in der Praxis geschehen, wenn die Kinder mehr vom Internet wissen, als ihre Eltern?

Wie gestalte ich meine Kontaktformulare?

Hier gilt wieder das Prinzip der Datensparsamkeit. Wenn man alle Daten, die man abfragt auch begründet, dann dürfte das Kontaktformular datenschutzkonform sein und Vertrauen zum Webseiten-Besucher aufbauen.

Vielleicht ist es manchmal besser den Webseiten-Besucher zum Schreiben eine E-Mail an den Webseiten-Betreiber oder Support aufzufordern. Die direkte E-Mail-Kommunikation um ein telefonisches Akquise-Gespräch zu erzielen, führt wahrscheinlich eher zu einem Auftrag.

Zum Kontakt-Formular gehört der Link zur Datenschutzerklärung. Der Webseiten-Besucher stimmt dem Verarbeiten seiner Daten zu. D.h., er setzt aktiv den Haken in der Checkbox des Webseiten-Besuchers.

Was sind personenbezogene Daten

Als personenbezogene Daten gelten alle Daten mit denen man eine Person identifizieren kann. Daten zu Unternehmen fallen nicht darunter.

Wie kann man beispielsweise eine Person identifizieren?

  • Durch die IP Adresse im Internet
  • Eingeben der Daten in Kontaktformularen
  • Visitenkarten
  • Auto-Kennzeichen

Wie speichern Selbstständige und Einzelunternehmer in der Regel personenbezogene Daten?

Es kommt drauf an, welches Organisations-System sie verwenden. Die wohl meist genutzten Adress-Verwaltungen sind:

  • Microsoft-Outlook
  • E-Mail System des Providers
  • Papier-Visiten-Karten-Ablage
  • Google Adressbuch
  • Cloud

Es gibt sicher noch viel mehr.

Und natürlich im Kopf

Personenbezogene Daten müssen nach bestimmten Zeiten gelöscht werden.
Wie soll ich personenbezogene Daten in meinen Kopf löschen? Soll ich mir den Kopf abhacken oder mein Gehirn amputieren?

Welche Daten dürfen gespeichert werden?

Die DSGVO spricht hier von „berechtigtem Interesse“.

Die DSGVO:

„Im Artikel 6 – Rechtmäßigkeit der Verarbeitung

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: …

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Rechtsanwälte und Gerichte werden wohl das „berechtigte Interesse“ sehr unterschiedlich interpretieren.
Übrigens besteht der Absatz „f“ aus einem Satz mit 46 Wörtern . Klar und verständlich geht anders.

Einige bemerkenswerte Texte aus der DSGVO

In der Datenschutz-Grundverordnung steht

„(4) Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden.“

Hier wird die Möglichkeitsform (sollte) verwendet. Das bedeutet: Ich kann, muss allerdings nicht so verfahren. Die Möglichkeitsform „sollte“ durchzieht die DSGVO wie ein roter Faden.

Und „kein uneingeschränktes Recht“ und „Hinblick auf seine gesellschaftliche Funktion“ … Wer bestimmt diese gesellschaftliche Funktion?