DSGVO. Erledigt. Gelernt.

Veröffentlicht am 31.05.2018 von Manuela Seubert

foxdevilswild

Gelesen – und zwar richtig viel. Geschwitzt. Sich gefragt, ob die noch alle Tassen im Schrank haben. Ge-webinart. Fragen und Antworten, Checklisten, Vorlagen und Tipps mit Gleichgesinnten ausgetauscht. Gerätselt. Geflucht.

Sie ahnen es. Es geht um die EU-DSGVO, die europäische Datenschutz-Grundverordnung. Letzten Freitag, am 25.5.2018, trat sie nach einer Übergangszeit in Kraft. Und ähnlich wie die Milleniums- und Euro-Umstellung haben wir diesen Tag – tatsächlich – überlebt ;-). Auch wenn im Gegensatz zu diesen beiden Ereignissen einige DSGVO-Unklarheiten erst durch die Rechtssprechung in den nächsten Jahren final geklärt werden.

Gute Entscheidungen sind gute Entscheidungen

Seit Ende letzten Jahres beschäftigte ich mich mal mehr, und häufiger eher weniger mit der DSGVO. Mehrere Einsichten im Verlauf des letzten halben Jahres haben mir geholfen, seither nach bestem Wissen und Gewissen diese Verordnung umzusetzen:

  • Jahreswechsel 17/18: Da ist noch so viel unklar, warte kurz bis vor In-Kraft-treten. Dann wird es viele Checklisten, Tipps und How-To’s im besten Netz der Welt geben.
  • In weiser Voraussicht blocke ich mir mal die 2. Hälfte des Mais 2018 für die Arbeiten an meiner Website und dem Verfahrensverzeichnis.
  • Februar-April: Immer mal wieder hilfreiche Links gebookmarked
  • April: Das schaffst du nicht allein – du beauftragst deinen Webhoster und CMS-Anbieter Stefan Husch von qutic development hinsichtlich der Fallstricke der Website.
  • Mai: … umsetzen … fluchen … lesen … umsetzen … Auftragsverarbeitungs-Verträge (AVV) … Verfahrensverzeichnis … TOMs …
  • 24. Mai: Bauchschmerzen bei meiner Datenschutzerklärung … zu guter Letzt: Lizenzerwerb für den Datenschutz-Generator von Rechtsanwalt Thomas Schwenke … generiert, und final eingebaut.

Was habe ich im Zuge der DSGVO-Arbeiten gelernt?

Ja, ich habe sie verflucht. Und ja, sie hat mich foxdevilswild gemacht – meine Familie kann ein Lied davon singen.
Die DSGVO zwang mich, erneut über meine Werte, mein Geschäft und meine Prozesse nachzudenken. Einiges war positiv erhellend im Zusammenhang mit meinem Datenschutzverhalten. Anderes zeigte mir, dass ich noch Prozesse zu Ende denken musste (z. B. hinsichtlich der Löschung der Daten und den TOMs).

Hier eine kleine Auswahl meiner Erkenntnisse:

Website

Die DSGVO betrifft die Verarbeitung von personenbezogenen Daten (im Folgenden: pbD) in allen Geschäftsprozessen – u. a. am Telefon, per Notizen, bei Einladungen/Teilnehmerlisten, Online-Shops. Am wichtigsten war mir zunächst meine Website auf Vordermann zu bringen.

Besonders im Magen lagen mir dabei die Pixel und Cookies, die sich evt. auf meiner Website befanden/befinden. Mir wurde bewusst, dass ich hier nicht sattelfest und unwissend war.

Dank Stefan (s. o.) waren die Formulare/Kontaktmöglichkeiten meiner Website seit ihrem Bestehen in 2013 schon https-verschlüsselt. Die restlichen Webseiten folgten dann letzte Woche – besser spät als nie.
Dabei beschäftigten uns bis zur finalen https-Umstellung das VG-Wort-Pixel, die auf manchen meiner Webseiten platziert ist, und die DISQUS-Kommentarfunktion in meinem Blog . Das VG-Wort-Pixel steht nun einer https-Verschlüsselung von einzelnen Blogartikeln nicht mehr im Wege – hat mich “nur” 3 Stunden Arbeit gekostet. Jedoch war ich mir bis kurz vor dem 25. Mai nicht sicher, ob ich weiterhin Kommentare auf meiner Website zulasse. Dank der von Stefan dafür vorgeschlagenen Shariff-Funktion, einem doch noch von Disqus angebotenen AVV und der Datenschutzformulierung von RA Schwenke wurde auch dieser Prozess DSGVO-tauglich. Sie dürfen weiterhin bei mir kommentieren.

Im Blog musste ich bittere Pillen der Erkenntnis (und harter Arbeit) schlucken:

  • Das VG-Wort-Pixel hatte ich schon erwähnt.
  • Die in einigen Blogartikeln enthaltenen embedded links zu YouTube und Twitter sollten raus. Da ich mir nicht notiert hatte, wo ich solche Einbettungen vorgenommen hatte, blieb mir nichts anderes übrig, als jeden einzelnen Blogpost zu öffnen und anschließend den “embedded link” durch einen Screenshot und eine externe Verlinkung zu ersetzen. In diesem Zusammenhang geht ein Dankeschön an Tina Gallinaro, die mir diesen Work-around zurief.
  • Diese Durchsicht erinnerte mich an dringend notwendige Blogarbeiten. Sie haben nichts mit der DSGVO zu tun, sondern mit den bekannten Leisten eines bestimmten Schusters (z. B. Aktualisierungen/Beschreibung der Inhalte, broken links, Archivierungen, unterschiedliche Formatierungen). Schritt für Schritt werde ich in den nächsten Wochen meine mittlerweile 169 Blogartikel durchforsten.

E-Mail-Marketing

Meine Newsletterliste kam ausschließlich durch Double-opt-Ins und durch schriftlich bestätigte Anmeldungen nach Vorträgen oder Workshops zustande.
An der Unsitte, einfach alle Kontakte aus Netzwerken oder Adressbüchern ohne Einverständis der entsprechenden Person in die Empfängerliste meines Newsletters einzutragen, habe ich mich noch nie beteiligt.

Gemäß des “Was du nicht willst, dass man dir tut, füge auch keinem anderen zu” habe ich auch bei der Auswertung meines Newsletters gehandelt. Als Statistik wird mir gezeigt, wie viele Abonnenten meinen Newsletter geöffnet haben und welche Links wie häufig geklickt wurden.
Gerne wüsste ich, wer meinen Newsletter nie oder über einen längeren Zeitraum nicht öffnet – diese Person könnte ich aus meinem Verteiler entfernen und damit bares Geld sparen. Auch mein Marktforscherherz schlägt bei den angebotenen detaillierten Auswertungsmöglichkeiten höher. Doch dazu hätte ich Einstellungen wählen müssen, die mir persönlich für meine Abonnenten zu weit gehen. Vielleicht sind diese bis auf die Person nachvollziehbaren Statistiken DSGVO-konform? Keine Ahnung. Doch sie passen nicht zu meinen persönlichen Werten!

So war ich erleichtert, dass ich lediglich meiner Informations- und Transparenzpflicht nachkommen musste. Kürzlich erhielten meine Abonnenten einen entsprechenden Hinweis.

Geschäftsprozesse

Die Pflicht, nun ein Verfahrensverzeichnis (im Folgenden: VV) für die Verarbeitung von pbD vorhalten zu müssen, hat nicht nur mich ins Schwitzen gebracht. Gerade als Solounternehmer laufen nach vielen Jahren Selbstständigkeit bestimmte Dinge automatisch ab – wie beim Autofahren. Das VV zwang mich, über jeden möglichen Empfang von pbD und dessen Weiterverarbeitung in meinem Büro nachzudenken.

Nach meiner VV-Erstellung haben sich drei Fragen in mein Gedächtnis eingebrannt:

  1. Habe ich ein Recht pbD zu erheben?
  2. Habe ich meinem Kontakt gegenüber eine Informationspflicht, wie ich seine Daten verarbeite?
  3. Sind meine Prozesse noch immer so aufgestellt, dass ich problemlos die pbD löschen kann?

Mein persönliches Unwort des Jahres: DSGVO?

Spätestens im Mai haben sich viele Unternehmer und Selbstständige mit der DSGVO rumgeschlagen. Irgendwo – im Zweifelsfall bei Twitter ;-) – habe ich gelesen, dass eine Person das Wort DSGVO zu seinem Unwort des Jahres kürt. Ich habe vollstes Verständnis für dieses Gefühl.

Angetreten war die EU-DSGVO, um den riesigen Datenkraken das unbotmäßige Sammeln von pbD einzuschränken und das Recht auf Vergessenwerden sicherzustellen. Ob das gelingt? Sicherlich hat dabei in der EU keiner an Kleinunternehmer, Handwerker und Einzelunternehmer wie mich oder Vereine gedacht:

  • Steht dieser Aufwand bei uns wirklich im Verhältnis zu dem, wie wir bisher – nämlich sorgfältig, weil unser “Schatz” – mit dem Schutz der Daten unserer Kunden und Geschäftspartner umgegangen sind?
  • Muss ein Selbstständiger mit wenigen oder gar keinen Mitarbeitern wirklich ein VV anlegen, das einer ISO-Zertifizierung gleichkommt?

Ich wage das zu bezweifeln.

Unverständlich ist mir das Gebaren mancher Berufsverbände oder Handwerkskammern bzw. die Unwissenheit mancher Unternehmer. Kürzlich unterhielt ich mich mit einem Handwerksmeister. Meine Frage, ob er seine DSGVO-Arbeiten erledigt hätte, beantwortete er mit einem großen ? im Gesicht. Ich erklärte ihm kurz, um was es in dieser Verordnung gehe – er hatte tatsächlich noch nichts davon gehört. Gibt es tatsächlich Handwerkskammern, die ihre Mitglieder nicht seit zumindest zwei Jahren darauf hinweisen? Oder hat er Informationen einfach nicht gelesen?

Kopfschüttelnd sah ich auch, was plötzlich alles in meiner E-Mail-Inbox landete:

  • Nie bestellte E-Mail-Benachrichtigungen eines Datenkraken (aha! – ich muss meine Einstellungen ändern)
  • Bitten zur erneuten Bestätigung von Newsletter-Abos (half mir, die Abos aufzuräumen – sic!)
  • Besonders skurril die Bestätigungsmails “wegen der DSGVO” von Versendern, die den kompletten Verteiler in CC setzten (Himmel!)

Als Freiberuflerin wurde mir wieder bewusst, was wir Einzelunternehmer leisten müssen, wollen und v. a. auch können. Wir haben keine IT- oder Rechtsabteilungen, die sich damit von Haus aus beschäftigen. Wir haben meist nicht die finanziellen Kapazitäten, um dieses DSGVO-Ungetüm komplett von Dritten managen zu lassen. So setzen wir wieder das Wertvollste, was wir haben – nämlich: unsere Zeit -, für Bürokratie-Ungetüme ein; anstatt uns um Akquise, Marketing oder Kundenpflege zu kümmern.

Allen, die im Angesicht dieser Hürden, nicht den Bettel hinschmeißen und sich Tag für Tag neu für die Selbstständigkeit entscheiden, zolle ich meinen größten Respekt. Dies gilt auch für die vielen privaten Blogger und Vereine dort draußen im besten aller Netze, die ihren Blog/Website nicht geschlossen haben und sich aus freien Stücken/ehrenamtlich durch diese Verordnung und ihre organisatorischen Auswirkungen wühlen – und weitermachen!

Leider gibt es zu viele, die angesichts der großen DSGVO-Unsicherheit tatsächlich ihren Internetauftritt vom Netz genommen haben (Lesenswert: Im verlinkten Artikel gibt es weitere Links zu DSGVO-Skurrilitäten).

Ja, die DSGVO hat bei mir tatsächlich auch das Potential zum Unwort des Jahres zu werden. Warten wir mal ab, was 2018 noch auf Lager hat :-).

Mein DSGVO-Fazit

Hilft nix! Da musst du durch, damit du weiterhin selbstständig sein kannst. Jetzt, wo der Anfangsberg der DSGVO-Arbeiten geschafft ist, muss die DSGVO täglich mitgedacht werden und das VV in regelmäßigen Abständen überarbeitet werden.

Habe ich alles bedacht? Hoffentlich! Unsicherheiten bleiben bei mir und vielen Anderen bestehen. Diese werden erst in den kommenden Jahren geklärt – leider durch Gerichtsurteile.

So, Schluss mit der DSGVO und seinen Beschwerlichkeiten.
Zur Erheiterung: Wenn Sie mögen, folgen Sie diesem Link ► So lacht das Netz über die DSGVO.

Welche Gedanken gehen Ihnen zur DSGVO durch den Kopf? Was haben Sie durch die DSGVO gelernt?

Foto: © Manuela Seubert

Diese Beiträge könnten Sie außerdem interessieren

Kommentare anzeigen

Informationen zum Datenschutz beim Anzeigen von Kommentaren.