(Gastbeitrag von Zeta-Producer-Anwender Thomas Lilienthal)
Am 25. Mai 2018 treten die die EU-Datenschutzgrundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz-neu (BDSG-neu) in Kraft. In nachfolgendem Beitrag möchte ich als Webmaster und IT-Verantwortlicher für den Sportverein SFV Feuerblume e. V. erläutern, wie ich für den Verein die Vorgaben nach DSGVO und BDSG-neu umgesetzt habe.
Beim BDSG-neu handelt es sich um Wesentlichen um die Umsetzung der DSGVO in nationales Recht. Hilfestellung hatte ich durch die Handreichung des Landesbeauftragten für Datenschutz Baden-Württemberg (Datenschutz im Verein). Auf diese Quellen werde ich im Verlauf des Beitrags Bezug nehmen.
Ausdrücklich möchte ich darauf hinweisen, dass es sich um einen redaktionellen Beitrag und keine Rechtsberatung handelt. Ich empfehle, sich zunächst einmal die DSGVO durchzulesen und als Betreiber einer Webseite zumindest das Verzeichnis von Verarbeitungstätigkeiten selbst zu erstellen und einem Anwalt oder soweit vorhanden, einem betrieblichen oder externen Datenschutzbeauftragten zur weiteren Prüfung vorzulegen.
1. Grundlagen
Auf nahezu jeder Webseite werden – in unterschiedlichem Umfang – personenbezogene Daten von Besuchern durch den Webseitenbetreiber erhoben. Hierbei gibt es berechtigte Interessen von beiden Seiten zu beachten.
Als Webseitenbetreiber besteht unser berechtigtes Interesse an einem störungsfreien Betrieb der Seite. Als Besucher einer Seite besteht wiederum das Interesse, nur diejenigen personenbezogenen Daten an den Betreiber der Seite zu übermitteln, die für den Zweck, den der Besucher der Seite hat, unbedingt notwendig sind. Die DSGVO ist ein Schutzgesetz, soll also den Umfang der Verwendung von Daten beschränken. In diesem Sinne werden dem Internetnutzer weitgehende Schutzrechte eingeräumt, die Verfügbarkeit von Daten für den Seitenbetreiber hingegen reglementiert. Grundsätzlich gilt aber auch: Nach Einwilligung dürfen auch zusätzliche Daten erhoben werden.
2. Hinweis auf Datenerhebung
In Art. 12 DSGVO ist festgelegt, dass der Verantwortliche (also der Webseitenbetreiber) gegenüber der betroffenen Person (also dem Besucher) geeignete Maßnahmen trifft, um alle Informationen und Mitteilungen zum Datenschutz in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Dies bedeutet:
- Informationen zum Datenschutz müssen von jeder einzelnen Seite aus direkt aufrufbar sein (am besten über die Zusatzlinks zu realisieren).
- Es muss erkennbar sein, dass dieser Link zu den Erklärungen zum Datenschutz führt (also direkt als „Datenschutz“, Datenschutzerklärung“ oder „Hinweise zum Datenschutz“ benennen. Es entspricht nicht der leichten Zugänglichkeit, den Datenschutz nur ins Impressum aufzunehmen.
- Soweit bereits beim Betreten der Webseite mit der Datenerhebung begonnen wird, hat sich als verständliche Form des Hinweises das eingeblendete Info-Banner bewährt. Notwendig ist dies beispielsweise bei der Verwendung von Besuchererfassungssystemen (z. B. Google Analytics) oder Plugins für soziale Netzwerke, die automatisch Daten bereits bei Aufruf der Webseite übermitteln. In diesem Zusammenhang ist zu beachten, dass auch die Speicherung von IP-Adressen durch das Hosting-Unternehmen in einem Access-LOG gegenüber dem Besucher zu erklären ist.
Auf unserer Vereinsseite blenden wir daher beim erstmaligen Besuch ein Info-Banner ein. Falls Ihr schon mal auf unserer Seite wart, ruft den nachfolgenden Link im Inkognito-Modus (Chrome) oder InPrivate-Fenster (IE) auf: www.hanabi-pirna.de. In den Eigenschaften des Widgets ist aktiviert, dass dieses nach dem Schließen nicht erneut angezeigt werden soll. Dadurch wird ein Cookie auf dem Rechner des Besuchers abgelegt. Sowohl in DSGVO als auch im BDSG-neu lässt sich keine Verpflichtung erkennen, dem einzelnen Besucher bei jedem Besuch der Seite diese Information erneut anzubieten.
3. Inhalt der Datenschutzerklärung für den Onlineauftritt
In die Datenschutzerklärung für den Onlineauftritt gehört alles rein, was für den Datenschutz relevant ist. Diese Erklärung soll verständlich und transparent sein. Dazu gehört auch, nur für die Bereiche Erklärungen zum Datenschutz abzugeben, die auch tatsächlich auf der Homepage Verwendung finden. In vorgefertigten Mustern findet man häufig Erklärungen zu Google-Analytics, Facebook-Plugin, Twitter-Button oder Google+1. Verwendet diese Textbausteine nur dann, wenn Ihr auch die entsprechenden Widgets verwendet. Eure Besucher werden es Euch danken.
Hierzu ein Beispiel: Im Muster findet sich eine Erklärung zur SSL-Verschlüsselung. Wenn die Seite aber nicht über SSL geschützt ist, wird der Besucher durch diesen Textbaustein hinsichtlich der Sicherheit der Datenübertragung getäuscht, dies wäre ein klarer Verstoß gegen die DSGVO.
Ebenfalls Bestandteil der Datenschutzerklärung ist das Recht auf Auskunft, Löschung und Sperrung.
Sofern der Seitenbetreiber auch in sozialen Netzwerken aktiv ist und von der Homepage aus entweder über entsprechende Widgets oder auch direkt verlinkt, gehört zu einer vollständigen Information des Besuchers auch der Verweis auf die Datenschutzbestimmungen der jeweiligen sozialen Netzwerke.
Unsere Datenschutzerklärung für den Internetauftritt findet Ihr hier.
4. Verzeichnis von Verarbeitungstätigkeiten
Nach Art. 30 DSGVO ist ein Register von Verarbeitungstätigkeiten aufzustellen, welches im Detail schildert, welche Daten wann von wem wofür erhoben, gespeichert und bearbeitet werden. Dieses Verzeichnis ist von jedem Verantwortlichen (also Webseitenbetreiber) zu führen. Es muss nicht veröffentlicht, aber auf Verlangen vorgelegt werden. Dieses gliedert sich wie folgt:
- Angaben zum Verantwortlichen
- Verantwortliche Stelle (4 Nr. 7 DSGVO)
- Gesetzlicher Vertreter (Geschäftsführer / Inhaber / Vorstand)
- Operativ verantwortlicher Ansprechpartner (derjenige, der die Daten bearbeitet)
- Datenschutzbeauftragter (sofern bestellt, die Notwendigkeit der Bestellung ergibt sich aus 37 DSGVO sowie § 38 BDSG-neu
- Grundsätzliche Angaben zur Verarbeitung
- Bezeichnung der Verarbeitungstätigkeit (z. B. Datenerhebung zum Abwickeln von Bestellungen / Datenerhebung zum Besucherverhalten)
- Verantwortlicher Ansprechpartner (in der Regel identisch mit 1c)
- Allgemeine datenschutzrechtliche Anforderungen nach DSGVO
- Zweckbestimmung
(hier wird für jede unter 2a aufgeführte Verarbeitungstätigkeit der Zweck erläutert - Rechtmäßigkeit der Verarbeitung nach 6 DSGVO
(hier wird für jede unter 2a aufgeführte Verarbeitungstätigkeit die Rechtmäßigkeit der Verarbeitung begründet -> Einwilligung, Vertrag, berechtigtes Interesse) - Datenschutz-Folgeabschätzung nach 35 DSGVO
(diese ist nur erforderlich in bestimmten Fällen, wenn aufgrund der Art und des Umfangs der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Aus meiner Sicht also für den 08-15 Webshop nicht zutreffend aber eher wahrscheinlich für das Forum einer Selbsthilfegruppe)
- Zweckbestimmung
- Erhebung der Daten
- Kreis der betroffenen Personengruppen
(Beschäftigte / Kunden / Interessenten / Mitglieder) - Art der gespeicherten Daten
(Adressdaten, Kontaktdaten, Bankverbindungs- und Zahlungsdaten, IP-Adressen usw.) - Herkunft der Daten
(Erhebung beim Betroffenen / Erhebung durch Dritte)
- Kreis der betroffenen Personengruppen
- Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
- Interne Empfänger (z. B. Buchhaltung, Versandabteilung)
- Externe Empfänger und Dritte
(Öffentliche Stellen, Externe Stellen, Banken, Kurierdienst)
- Zugriffsberechtigte Personen
- Auflistung der Personen, die Zugriff auf Daten haben
(z. B. Buchhaltung, Versandabteilung, Vereinsvorstand) - Berechtigungskonzept
(für jede unter 6a aufgeführte Person oder Personengruppe ist aufzuführen, in welchem Umfang Zugriff auf Daten besteht. Beispielsweise benötigt die Versandabteilung keinen Zugriff auf die Bankverbindung.)
- Auflistung der Personen, die Zugriff auf Daten haben
- Auftragsverarbeitung als Auftraggeber
Hier ist jeder einzelne Fall aufzulisten, bei dem Daten nicht im eigenen Unternehmen, sondern durch Dritte gespeichert, bearbeitet und geschützt werden. Dies ist beispielsweise immer dann der Fall, wenn Daten in einem externen Rechenzentrum gespeichert oder verarbeitet werden. Klassisches Beispiel für Zeta ist das Dashboard des Onlineshops. Mit dem Dritten, bei dem die Daten gespeichert werden ist ein Vertrag über Auftragsverarbeitung (28 DSGVO bzw. § 62 BDSG-neu) abzuschließen. Im Rahmen der Auflistung ist ebenfalls die Eignung des Auftragsverarbeiters nachzuweisen. Soweit eine entsprechende Zertifizierung z. B. nach ISO 27001 vorliegt, reicht dies als Nachweis der Eignung aus. Weiterhin ist der Standort des Auftragsverarbeiters zu benennen. - Datenübermittlung in Drittstaaten
- Übermittlung personenbezogener Daten
(Die Übermittlung personenbezogener Daten in Drittstaaten findet ausschließlich nach schriftlicher Einwilligung des Betroffenen statt.) - Definition Drittstaaten / internationale Organisationen
(Drittstaaten sind Länder außerhalb der EU / des EWR. Soweit geschäftliche Beziehungen zu solchen Drittstaaten bestehen, sind diese namentlich zu benennen. - Angemessenes Datenschutzniveau
(Durch die DSGVO wird ein einheitliches Datenschutzniveau in allen Ländern der EU durchgesetzt. Bei Übermittlung von Daten in andere EU-Staaten kann daher immer davon ausgegangen werden, dass im Empfängerstaat ein angemessenes Datenschutzniveau eingehalten wird. Bei Ländern außerhalb der EU ist zu prüfen, ob diese auf der Liste der EU-Kommission nach 45 Abs. 3 DSGVO aufgeführt sind. Sollte das Drittland, in das Daten übermittelt werden sollen, nicht auf dieser Liste aufgeführt sein, ist eine gesonderte Prüfung vorzunehmen.
- Übermittlung personenbezogener Daten
- Regelfristen für die Löschung von Daten
- Speicherdauer
(zu trennen nach Geschäftsbriefen, Buchhaltungsbelegen und Sonstigem. Wichtig: sobald Daten nicht mehr benötigt oder aufgrund gesetzlicher Vorschriften aufzubewahren sind, müssen diese gelöscht werden, z. B. Access-LOG des Servers nach 7 Tagen, Telefonnummern von Vereinsmitgliedern mit Ende der Mitgliedschaft, usw.) - Technische Beschreibung der Datenlöschung
Löschen von Datensätzen, Löschen von Sicherungen der Datenbank, sicheres Löschen von Datenträgern, sichere Vernichtung von auf Papier gespeicherten Daten.
- Speicherdauer
- Beurteilung der Angemessenheit technischer und organisatorischer Maßnahmen (TOM)
- Allgemeine Beschreibung
Hierzu gehören die SSL-Verschlüsselung der Homepage, verschlüsselte Kommunikation per E-Mail über gesicherte Verbindungen (SSL/TLS), Zugriffsschutz auf Datenbanken über Benutzername und Passwort und weitere Sicherheitsmaßnahmen, regelmäßige Kontrolle auf Schadcode. Weiterhin zur Erhaltung der Datenintegrität regelmäßige Sicherungen des Datenbestandes, Aufbewahrungsorte für nicht digitale Daten mit Zugangsbeschränkung, Belehrung aller Zugangsberechtigten. - Verbleibendes Risiko
Auflistung möglicher Schwachstellen, wie beispielsweise menschliche Fehler oder Versagen einzelner Sicherungssysteme.
Vorschläge zur weiteren Minimierung des Risikos
Abwägung, ob diese weiteren Maßnahmen mit einem angemessenen Aufwand umzusetzen sind, ohne den eigentlichen Zweck des Geschäftsbetriebes zu gefährden
- Allgemeine Beschreibung
- Stellungnahme durch den Datenschutzbeauftragten
Sofern ein DSB bestellt ist, ist dieser nicht für die Durchführung des Datenschutzes verantwortlich. Hierfür ist immer die Geschäftsführung / der Inhaber / der Vereinsvorstand verantwortlich. Der Verantwortliche muss das Konzept erstellen, der DSB dieses Konzept auf Übereinstimmung mit BDSG und DSGVO prüfen und bei DS-Verstößen eingreifen. - Prüfung durch die Geschäftsführung / Inhaber / Vereinsvorstand
Hier wird lediglich vermerkt, welcher Vertretungsberechtigte das Verfahrensregister geprüft und für das Unternehmen in Kraft gesetzt hat.
Unser Verzeichnis von Verarbeitungstätigkeiten findet Ihr hier.
Schlusswort
Das war mein Schnellkurs im Datenschutz. Für Vereine zusätzlich interessant die Datenschutzordnung des Vereins, die Datenschutzerklärung für Mitgliederdaten, die Erklärung zu Fotorechten und das Recht auf Vergessen – Löschen personenbezogener Daten.
Ich habe hier bewusst auf Mustervorlagen verzichtet, da diese zum einen dazu verleiten könnten, Inhalte ungeprüft zu übernehmen, zum anderen wollte ich diesen Blogbeitrag nicht unnötig in die Länge ziehen. Für Fragen zur praktischen Umsetzung in Zeta Producer stehe ich wie immer im Forum zur Verfügung.
Über den Autor
Thomas Lilienthal ist Webmaster des Sportförderverein Feuerblume e. V. und erreichbar unter webmaster@hanabi-pirna.de.