Das bevorstehende Inkrafttreten der DSGVO am 25. 5. 2018 sorgt derzeit für viel Aufregung und Unsicherheit. Um zumindest ein wenig Licht in den Informationsdschungel zu bringen bringe ich hier eine Linksammlung zum Thema, mit speziellem Fokus auf EPU, aus der sich dann jede herausholen kann, was für sie wichtig ist.
Zum Einstieg einmal der gesamte Gesetzestext: https://www.jusline.at/gesetz/dsgvo/gesamt
Die WKO hat sich das dankenswerterweise schon angesehen und auch ein paar Tipps parat. Zusätzlich werden auch – für Mitglieder kostenlose – Seminare zur DSVGO angeboten.
Ein schneller Einstig findet sich hier https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung.html
Eine praktische Checkliste für die eigenen Anwendungen hier https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
Was sich ändert ist, dass es keine DVR-Meldungen mehr an die Datenschutzbehörde braucht, sondern dass jedes Unternehmen eigenverantwortlich für die Datensicherheit sorgen muss. Datenverarbeitende Vorgänge müssen jetzt eigenständig überwacht und dokumentiert werden. Das heisst, dass dokumentiert sein muss, an welchen Orten personenbezogene Daten gespeichert werden und zu welchem Zweck dies geschieht. Ebenso muss es eine nachvollziehbare Löschroutine für diese Daten geben.
Datenverarbeitende Vorgänge sind einerseits die offensichtlichen, bei denen von den Besuchern der Seite aktiv Daten eingegeben werden, z.B. der Einkauf über den Webshop oder ein Eintrag in den Newsletter.
Dazu kommen aber noch Vorgänge, die im Hintergrund laufen und oft von den Shop-Betreibern gar nicht beeinflusst werden können. So werden oft beim Provider die IP-Adressen der Besucher jeder dort gehosteten Website gespeichert.1 Auch bei anderen integrierten Zusatzdiensten, wie z.B. Bezahl-Lösungen muss man gut darauf achten, wie diese mit den Daten umgehen, die sie bekommen. Das hätte man natürlich immer schon tun sollen, aber ab Mai kann man geklagt werden, wenn man es nicht tut.
Da man bei externen Anbietern von integrierten Zusatzdiensten aber keinen direkten Einfluss darauf hat, wie mit den Daten umgegangen wird, empfiehlt es sich, einerseits auf etablierte Anbieter zurückzugreifen, die sich gewissenhaft um dieses Thema kümmern und andererseits in der Datenschutzerklärung auf die entsprechenden Seiten dieser Anbieter zu verlinken.
Beispiel: selbstgehostetes (nicht bei wordpress.com, sondern bei einem Provider in der EU) WordPress mit Mailchimp Integration und Woocommerce für den Shop.
Zuallererst ist darauf zu achten, dass die Seite über https erreichbar ist. Eigentlich immer, besonders jedoch dann, wenn von den Usern Daten eingegeben werden sollen.
Ritchie Pettauer hat auf seinem Blog eine gute Zusammenfassung geschrieben, was für Blogbetreiber relevant sein wird mit der neuen Verordnung: datenschmutz.net/dsgvo-checkliste-fuer-blogs/
Eine praktische Checkliste, worauf in WordPress-Setups zu achten ist, gibt es hier: datenschutz.org/wordpress-datenschutz/
Woocommerce selbst verbindet sich zu keinen anderen Servern, wenn es am eigenen Webserver installiert ist. Man muss jedoch darauf hinweisen, dass die für Geschäftsprozesse relevanten Daten selbstverständlich auf dem Server und im Backup gespeichert werden so wie eine Möglichkeit bieten, diese Daten verlässlich zu löschen.
Ein relevanter Prozess, der in jedem Webshop geschieht ist, dass ein Zahlungsanbieter kontaktiert wird und oft auch noch ein Zwischenhändler, der das entsprechende Plugin zu Verfügung stellt. (Paypal, Klarna, …)
Jeder Service, der in die Website integriert ist muss angegeben werden und die entsprechenden Bereiche dieser Firmen sollten verlinkt sein.
Wenn ein Newsletter über Mailchimp angeboten wird, sollte in der Erklärung darauf hingewiesen werden, dass man mit der Newsletter-Bestellung damit einverstanden ist, dass die Daten bei Mailchimp weiterverarbeitet werden. Und man kann auf dieses pdf, das die entsprechende Erklärung von Mailchimp enthält, (auf englisch), verlinken. Hier noch eine gute Info zum Einsatz von Mailchimp, von einem deutschen Datenschutz-Anwalt: datenschutz-guru.de/mailchimp/.
Ein wirklich superpraktischer Link ist dieser Datenschutzerklärungs-Generator. Hier können die verschiedenen Parameter der eigenen Website angegeben werden mit denen dann eine passende Datenschutzerklärung für die eigene Website generiert wird, die man einfach kopieren kann.
Ein lustiges Detail ist, dass die Cookie-Notiz, wie sie bisher verpflichtend war, Cookies betreffend eigentlich nicht mehr Pflicht ist, aber dafür inzwischen eine Notwendigkeit darstellt, um auf den Datenschutz der Seite hinzuweisen.
Die Einbindung von Social Sharing Buttons wie facebook, twitter oder Instagram macht man ohnehin am besten so, dass die Verbindung zu den sozialen Netzwerken erst nach einem Klick auf das Share-Icon aktiviert wird. Die Plugins, die ich dazu gefunden habe sind nicht die aktuellsten, ich bin dankbar für einen Hinweis auf ein besseres. Dieses hier hat bei mir auch mit der aktuellen Version von WP funktioniert:
tbc – dieser Beitrag ist noch nicht fertig. Er versteht sich auch nur als eine Sammlung von Links mit ein paar persönlichenGedanken dazu. Ich schließe jede Haftung für diese Informationen aus. Sie sollen nur als Starthilfe zur persönlichen Recherche und Meinungsbildung dienen.
Besonders lesenwert finde ich auch diesen Beitrag dazu:
https://www.dsb.gv.at/datenschutz-grundverordnung
1 https://www.lto.de/recht/hintergruende/h/eugh-c-582-14-ip-adressen-personenbezogene-daten-verarbeitung-speicherung/