Slide background

EU Datenschutz (DSGVO) ab 25. Mai 2018

WordPress und der Datenschutz der EU-DSGVO aus IT-Sicht

Welche Auswirkung hat der Datenschutz für personenbezogene Daten bei einer Website die mit WordPress entwickelt ist?

Sie haben von der Datenschutz-Grundverordnung (EU-DSGVO) gehört und fragen sich, ist meine WordPress Website darauf vorbereitet. Der Start der EU-DSGVO am 25.05.2018 stellt alle Unternehmen mit der herkömmlichen IT-Welt vor Herausforderungen. Und nicht nur Unternehmen. Viele wissen es noch gar nicht und sind gleichermaßen von dem in Kraft tretenden Gesetz betroffen. Es gilt für Organisationen aller Art und sogar für Privatpersonen die personenbezogene Daten maschinell bearbeiten. Es gibt nur einige Ausschlußkriterien, wie z.B. Familie und persönliche Kontakte und weitere Fünf.

Worum geht es?

Um den Schutz von personenbezogenen Daten. Das Recht auf Schutz von seinen eigenen Daten. Sicherstellung des Schutzes überall, wo personenbezogene Daten verarbeitet werden. Egal, ob geschäftlich oder privat. Ausnahmen gibt es z.B. bei persönlichen Daten im Umfeld der Familie! Weitere Ausnahmen sind schon sehr speziell.

Bei der Recherche habe ich mich auf der Website dsgvo-gesetz.de eingelesen. Ich finde die recht übersichtlich und eine Suche mit Schlagworten ist auch möglich.

Wen betrifft es?

Das EU-Gesetz gilt für Unternehmen, Körperschaften, Personen und Vereine jeglicher Größe, die personenbezogene Daten von EU-Einwohnern maschinell verarbeiten, unabhängig davon, wo sich der Verarbeiter örtlich auf der Erdkugel befindet.

Wo gilt die neue Verordnung (DSGVO)?

Das EU-Gesetz gilt für Unternehmen, Körperschaften, Personen und Vereine jeglicher Größe, die personenbezogene Daten von EU-Einwohnern maschinell verarbeiten, unabhängig davon, wo sich der Verarbeiter örtlich auf der Erdkugel befindet.

Wann muss es umgesetzt sein, gibt es eine Frist?

Am 25.Mai 2018 muss alles fertig sein, die zweijährige Frist ist dann bereits abgelaufen.

Warum kommt das so plötzlich?

Das EU-Gesetz gilt bereits seit fast 22 Monaten, es gibt aber eine Übergangsfrist. In der Frist gelten in Deutschland aber noch das Bundesdatenschutzgesetz und Weitere.
Der Unterschied ist die „Bestrafung“. Verstöße werden aktuell im Rahmen von 50.000 – 300.000 Euro geahndet.
Im neuen Gesetz wurde im Punkt Bestrafung immer wieder nachgeregelt. Im Oktober letzten Jahres wurde die Obergrenze der „Strafe“ auf 20 Millionen Euro oder auf 4% des weltweiten Umsatzes eines Konzerns erhöht. Hier gibt es auch keinen Bußgeldkatalog oder einen Zusammenhang zwischen der Größe eines Unternehmens oder Vereins. Welche „Strafen“ in welchem Fall angewendet werden, ist unbekannt. Der Rahmen gilt für jeden Einzelfall.

Warum sollte jeder etwas tun?

Der Datenschutz personenbezogener Daten, die Transparenz und die ausschließlich notwendige Nutzung für genau die Zeit, für die sie benötigt werden, steht im Vordergrund. Mit der Nichteinhaltung solcher Vorschriften entstehen Risiken. Die Chance, mit einer weltweit erreichbaren Internetpräsenz, bei Fehlern hinsichtlich des Datenschutzes entdeckt zu werden, ist groß! Im Vordergrund steht der Datenschutz. Viele Anwälte greifen hier ein, um die Rechte der personenbezogenen Daten zu wahren. Ganz gleich, aus welchen Motiven.

Im Link zu Cobra findet sich hier eine umfangreiche Argumentationskette: www.cobra.de/crm-und-datenschutz/7-denkfehler-eu-dsgvo

Was sind personenbezogene Daten?

Personenbezogene Daten sind Namen, Kontaktdaten wie z.B. E-Mail, Telefon, Adresse, etc. Auch alle Spuren im Internet, die mit IP-Adresse gespeichert werden, sind personenbezogene Daten.

Es gibt noch spezielle Kategorien besonders zu schützender personenbezogener Daten. Das sind z.B. rassische, ethnische, politische, religiöse, weltanschauliche, genetische Daten sowie Sozialdaten, Gesundheitsdaten oder Daten zum Sexualleben bzw. der sexuellen Orientierung. Daten zu strafrechtlichen Verurteilungen und Straftaten dürfen nur unter behördlicher Aufsicht verwaltet werden.

Was will denn das Gesetz?

Das Gesetz fordert ein Minimal- und Transparenzprinzip für personenbezogene Daten. Es dürfen nur personenbezogene Daten gespeichert werden, die auch benötigt werden. Es muss eine Einwilligung oder einen Rechtsgrund geben, diese zu speichern. Sie dürfen nur solange gespeichert werden, wie sie benötigt werden oder ein Rechtsgrund es fordert. Sie müssen unverzüglich gelöscht werden, wenn der Betroffene es fordert und kein Rechtsgrund für eine längere Speicherung vorliegt.

Das Gesetz definiert Betroffenenrechte die auf Anfrage oder Verlangen umgehend zu erfüllen sind.

  • Recht auf Auskunft (Welche Daten, wo liegen die, was passiert damit, welche Kopien, welche ADV-Partner, hier gelesen.. )
  • Recht auf Berichtigung (Änderung eines verlangten Datums auf allen Kopien, bei allen ADV-Partnern, hier gelesen.. )
  • Recht auf Löschung (Recht auf Vergessen werden, alle Daten auf allen Kopien und bei allen ADV-Partnern entfernen, hier gelesen.. )
  • Recht auf Widerspruch (Kein Newsletter, keine Werbung mehr, .. , hier gelesen.. )
  • Recht auf Datenübertragung (Neu, Daten in allgemeingültiger leicht lesbarer Form auf Anfrage bereit stellen, hier gelesen.. )

Was will denn das Gesetz, und was muß fertig sein?

Jeder der personenbezogene Daten verarbeitet, muss Konzepte und Mechanismen zum Termin fertig haben wie das in der eigenen Organisation funktioniert. Anbei eine Sammlung von Aspekten und Pflichten.

  • Unternehmen müssen die Einhaltung der DSGVO gegenüber Aufsichtsbehörden wie der Datenschutzbehörde nachweisen können und fortlaufend leben (dokumentieren, leben und auditieren).
  • Umsetzung von Dokumentations- und Nachweispflichten
  • Pflicht zur Löschung von Daten und angefertigten Kopien, etwa von Bewerbern, ehemaligen Mitarbeiterinnen und Mitarbeitern und Kunden, Lieferanten, Vereinsmitgliedern. Diese Löschungen müssen dokumentiert werden und nachweisbar sein. Bis hin zur Datensicherung im Bankschließfach und bei allen beteiligten Dienstleistern, wie z.B. Postservice, Druckereien, etc. (Siehe auch Auftragsdatenverarbeitung )
  • Mehr Transparenz gegenüber Aufsichtsbehörden, Kunden, Lieferanten, Mitarbeitern und Vereinsmitgliedern. (Siehe auch Verzeichnis der Verarbeitungstätigkeiten )
  • Anpassung der Technik an die Anforderungen
  • Sicherheit der Verarbeitung durch Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Absicherung und regelmäßiger Überprüfung, Bewertung, Evaluierung.
  • Privacy by Design / Privacy by Default. Der Datenschutz ist im gesamten Entwicklungsprozess bei neuen und laufenden Vorhaben integriert.
  • Schulungen von allen Beteiligten, Mitarbeitern initial und fortlaufend mit Dokumentation und Nachweis
  • An Daten mit Profilbildung, Aggregierung, Pseudonymisierung besteht ein erhöhter Anspruch.

Die Aufzählung hat keinen Anspruch auf Vollständigkeit. Ob alle Aspekte korrekt sind bzw. welche Aspekte auf wen zutreffen, ist mit Ihren Beratern abzustimmen. Welche datenverarbeitende Stelle genau welche Anforderungen hat, ist daher mit Datenschützern und/oder Rechtsanwälten abzuklären. Einen Eindruck über Umfang und Inhalte liefert vieleicht die Website www.datenschutzbeauftragter-info.de ? Schauen Sie mal rein.

Auszug konkreter Anforderungen an die Organisation und IT mit Nachweispflicht?

  • Verzeichnis der Verarbeitungstätigkeiten
  • Datenschutzfolgeabschätzung
  • Ein Datenschutzbeauftragter ist bei mehr als 9 Personen zu installieren.
  • Datenschutzfolgeabschätzung sowie Durchführung und Dokumentation von regelmäßigen Risikobewertungen, Datenschutz-Folgenabschätzungen und Audits.
  • Meldepflicht innerhalb von 72 Stunden an Aufsicht und ggf. an Betroffene(n) bei jedem Fehler (z.B. E-Mail mit offenem Verteiler).
  • Sicherungskonzept, Sicherheitskonzept, Berechtigungskonzept, Minimalisierung, Löschkonzept

Hier handelt es sich um eine Schlagwortsammlung. Sie ist weder vollständig noch trifft jeder Aspekt auf jeden zu. Welche datenverarbeitende Stelle genau welche Anforderungen hat, ist daher mit Datenschützern und/oder Rechtsanwälten abzuklären.

Welche Aspekte aus der DSGVO spielen eine Rolle beim Aufbau dieser WordPress Website „wp-datenschutz-dsgvo.de“?

Für die Einhaltung des Datenschutzes auf einer Website ist der Inhaber (Impressumgeber) verantwortlich. Zudem ist auch der Datenschutzbeauftragte in der Pflicht der Prüfung, Abstimmung und Umsetzung von Maßnahmen.

    • Das Impressum und die Datenschutzerklärung ist mit der „Ein Klick Technik“ einfach und direkt auf jeder Seite zu erreichen
    • Ein Impressum und eine Datenschutzerklärung mit Nennung des Datenschutzbeauftragten gemäß DSGVO und BDSG 2018 (bei mehr als 9 Personen ist ein Datenschutzbeauftragter zu bestimmen)
    • Einwilligung bei der Nutzung von Cookies (Umfassende und präzise Texte erforderlich)
    • Kontaktformular mit präziser Einwilligungserklärung
    • IP-Anonymisierung (Webserver, Google, ..)
    • Der Einsatz von Google Analytics ist nach wie vor kritisch. Die IP-Anonymisierung und ein ADV Vertrag mit Goolge ist zwingend erforderlich.
    • Urheberrechte (Text, Bild, Medien, u.a.), Quellenangeben, Bildrechte und Nennungspflichten
    • Ein Verfahrensverzeichnis (öffentlich) auf Antrag jedermann in geeigneter Weise verfügbar machen.
    • Die veröffentlichte Datenschutzerklärung muss auch gelebt werden. Dazu muss das gesamte Datenschutzsystem (Aspekte und Pflichten s.o.) implementiert sein.

Wo greift der Datenschutz nicht?

Daten von Unternehmen, Organisationen, Körperschaften bzw. juristischen Personen sind keine personenbezogenen Daten. Somit ist der Name der „ABC AG“ nebst Adresse u.a. Daten, nicht Bestandteil des neuen EU Datenschutzes.

Gibt es Hilfe?

An erster Stelle beraten und helfen hier Rechtsanwälte und Datenschützer. Sprechen Sie die am besten zügig an, viele Kunden und Hilfesuchende führen im Moment schnell zu Engpässen. Die Rechtsanwälte und Datenschützer erklären und entscheiden Aspekte aus rechtlicher Sicht und zu Datenschutzpflichten. Am Ende des Tages muß es dann auch jemand umsetzen. Bei der Umsetzung, für ausschließlich IT-Technische, IT-Beratende und IT-Konzeptionelle Lesitungen, kann unterstützt werden.