Änderungen an der Website
Datenschutzerklärung vervollständigen / aktualisieren
Auf der Website sind – wie bisher – Impressum und Datenschutzerklärung Pflicht. Da die Homepage nach außen hin der erste Anlaufpunkt ist, auf dem Sie informieren müssen, ist diese für Abmahnanwälte ein „gefundenes Fressen“. Hier sollte also als aller Erstes die Datenschutzerklärung aktualisiert werden.
Das alte Motto „Lieber zu viel als zu wenig“ sollte man hier (wie auch bisher schon) weiterhin nicht anwenden, denn unzutreffende Inhalte machen die Datenschutzerklärung faktisch falsch und damit abmahnfähig. Sie sollte daher exakt auf Ihre Website zugeschnitten werden und über alle eingesetzten Techniken und Verfahren informieren.
Des Weiteren kommen hier neue Informationspflichten hinzu, so zum Beispiel die Information ob ein Datenschutzbeauftragter bestellt wurde. Auch müssen Sie über das Auskunftsrecht sowie das Recht auf Löschung hinweisen, um nur ein paar Punkte zu nennen. Je nachdem ob externe Dienste (hier mal der Klassiker, Google Analytics) muss auch hierüber informiert werden, und ob Sie mit diesem Dienstleister einen AV-Vertrag (Auftragsverarbeitungsvertrag) geschlossen haben.
Kontakt- und andere Formulare Ihrer Website
Kontaktformulare und – sofern zutreffend – andere Formulare auf Ihrer Website müssen höchstwahrscheinlich überarbeitet werden, da viele Formulare den expliziten Hinweis auf die Datenschutzerklärung nicht beinhalten und die Inhalte unverschlüsselt verarbeitet werden. Ich empfehle hier auf jeder Homepage ein SSL Zertifikat einzurichten, auf jeden Fall auf deren mit etwaigen Formularen, Logins, Benutzerregistrierungen, Shops und dergleichen.
Externe Dienste / eingebundene Skripte
Wird auf der Website Google Analytics eingesetzt, dann muss die IP-Anonymisierung aktiviert sein, denn dadurch wird die übermittelte IP-Adresse verfremdet und kann keiner Person mehr eindeutig zugeordnet werden. Trotz dessen muss mit Google ein AV Vertrag (Auftragsverarbeitungsvertrag) geschlossen werden und in der Datenschutzerklärung darauf hingewiesen werden, schließlich kann Google durch andere Techniken dennoch Rückschlüsse ziehen.
Und was ist mit Facebook, Twitter und Co?
Fassen wir es mal ganz kurz zusammen: Der Einsatz solcher Plugins (Social Box, Like-Button, TwitterFeed) ist nun untersagt, Hier ist der Hauptgrund der direkte Personenbezug bei eingeloggtem Zustand beim entsprechenden sozialen Netzwerk.
Lösung: Plugins entfernen, sofern vorhanden.
Newsletter Versand intern / extern
Einige Websites setzen ein internes Newslettersystem (Erweiterung) ein, hier sollte ebenfalls ein erneuter prüfender Blick vorgenommen werden. Wie bereits erwähnt, benötigt die Datenspeicherung einen Grund (Zweck) und Sie brauchen die Einwilligung oder ein berechtigtes Interesse zur Verarbeitung personenbezogener Daten. Zwar heißt es einerseits, man könne bereits erteilte Einwilligungen weiter nutzen, andererseits muss diese Einwilligung auch dokumentiert sein.
Die Lösung: Schreiben Sie einen „letzten Newsletter“ an Ihre Kunden in der Sie sinngemäß auf das neue Datenschutzrecht aufmerksam machen und diese bitte ihr Abonnement erneut zu bestätigen. Das geht entweder, indem Sie nach diesem „letzten Newsletter“ SÄMTLICHE Abonnenten löschen und sich die Abonnenten neu registrieren müssen, oder Sie die Aktivierung (Double-Opt-In) zurücksetzen. Wichtig ist jedoch, dass Sie dokumentieren können, wer sich wann mit welcher Erklärung zum Newsletter angemeldet hat. Komponenten wie AcyMailing für Joomla, als auch externe Dienstleister unterstützen Sie dabei.
Allgemeine Stichworte & Nachtrag
Die DS-GVO ist ein sehr umfangreiches Konstrukt um den Datenschutz voranzutreiben, den Bürgen mehr Kontrolle über deren Daten zu geben und Datenschutzverstöße noch härter und strikter zu sanktionieren.
Viele Inhalte sind bereits seit teils langer Zeit schon in Deutschland verpflichtend, jedoch mangels Kenntnis nicht umgesetzt. Das gilt es nachzuholen. Daher gilt es besonders die ersten Angriffspunkte (wie vorher genannt) zu bereinigen und sich nach dem ersten Auftritt nach Außen hin abzusichern.
Ich weise nochmals darauf hin, dass dieses Dokument keine umfassende Rechtsberatung darstellt. Ich habe meinen bisherigen Kenntnisstand weitergegeben und rate jedem, der sich unsicher ist, sich an einen fachkundigen Rechtsbeistand zu wenden. In Ihrem Verein gibt es noch weitere interne Prozesse, welche ggf. angepasst werden müssen.
Ein paar Sichtworte, zu den internen Regelungen:
- Sie müssen ein Verfahrensverzeichnis führen und ab dem 25.05. bereithalten
- Sie müssen mit externen Dienstleistern / Lieferanten, welche u. U. personenbezogene Daten von Ihnen erhalten sog. AV Verträge schließen (Auftragsverarbeitung vormals Auftragsdatenverarbeitung), der AV Vertrag ist eine Holschuld – sie müssen sich darum bei Ihren Lieferanten bemühen!
- Sie müssen Daten sicher und leicht wiederherstellbar sichern
- Sie müssen Aufbewahrungsrichtlinien / Löschrichtlinien definieren
- Sie müssen Ihren Datenschutzbeauftragten bis zum 25.05. angemeldet haben, sofern Sie einen bestellt haben oder einen bestellen müssen (ab 9 Mitarbeitern mit Zugriff auf personenbezogene Daten).
Eure
Melanie Feldmeier