Was bedeutet die DSGVO für Einzelunternehmer und Freelancer?


Was bedeutet die DSGVO für Einzelunternehmer und Freelancer?

Gepostet Von am 22.03.2018 in Europa, Newsticker, Recht, Tipps & Termine, WordPress

Die Netzwelt hat ein neues großes Thema, das schon lange angekündigt war, aber bei vielen erst in den letzten Wochen so richtig durchgesickert ist und dabei mal mehr, mal weniger Panik ausgelöst hat: die DSGVO (Datenschutzgrundverordnung).

Erstmal die beruhigende Nachricht vorweg:

Ein Grund zur Panik ist die DSGVO nicht.

Wohl aber ein Thema, das jede Unternehmerin und auch jeder Freiberufler ernstnehmen sollte. Und dem man, auch wenn diese Meinung derzeit eher unbeliebt ist, durchaus auch positive Aspekte abgewinnen kann: Beispielsweise den, dass es einen zwingt, einmal konkreter über die Daten nachzudenken, die man von seinen Kunden und Interessenten eigentlich so erfasst – und was man damit macht.

Manches ist trotz umfangreicher Literatur zum Thema noch gar nicht so klar und einiges wird wohl erst durch die 2019 noch folgende ePrivacy-Verordnung konkretisiert werden. Trotzdem gibt es schon einige Punkte, zu denen wohl alle Unternehmer, Unternehmerinnen (und im Übrigen auch Vereine) aktiv werden sollten.

Ein Grund zur Panik ist die DSGVO nicht. Sie zu ignorieren ist aber auch keine gute Idee. #DSGVO #Freelancer #Einzelunternehmer Klick um zu Tweeten

ACHTUNG: Die folgenden Ausführungen sind das Ergebnis meiner eigenen Recherche und eine Zusammenfassung meines Verständnisses der Situation. Sie verstehen sich lediglich als Hinweise, nicht als Rechtsberatung und haben keinen Anspruch auf Richtigkeit und/oder Vollständigkeit!

DSGVO: Was ist das?

Die DSGVO ist die neue EU-Datenschutzgrundverordnung, die genau genommen schon am 24. Mai 2016 in Kraft getreten ist und ab dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedsstaaten gilt. Ihr Ziel ist es, die Regeln zur Verarbeitung personenbezogener Daten EU-weit zu vereinheitlichen.

Das Interessante: Da Deutschland im Vergleich zu anderen EU-Ländern schon vor der DSGVO eine vergleichsweise strenge Datenschutzgesetzgebung hatte und sich viele der DSGVO-Regelungen am deutschen Datenschutzrecht orientieren, sind die meisten Regelungen der neuen Verordnung für deutsche Unternehmen gar nicht so neu. Bislang wurden viele Aspekte des Datenschutzes aber von den meisten Unternehme(r)n schlichtweg ignoriert. Die Hauptauswirkung der DSGVO: Das Ignorieren wird in Zukunft deutlich teurer. Und die Wahrscheinlichkeit, dass es auffällt, steigt.

Betrifft das wirklich auch Einzelunternehmer?

Die kurze, klare Antwort (die ihr vermutlich nicht hören möchtet): Ja.

Ja, die #DSGVO betrifft auch Freelancer und Einzelunternehmer. Klick um zu Tweeten

Viele Freelancer und Einzelunternehmer haben das Thema lange immer wieder vom Tisch gefegt, im Glauben, dass es nur größere Unternehmen angeht. Das ist allerdings nicht richtig. Was richtig ist: Nur Unternehmen mit mindestens 10 datenverarbeitenden Mitarbeitern (um in diese Kategorie zu fallen, genügt es schon, eine E-Mail-Adresse zu nutzen) müssen einen Datenschutzbeauftragten bestellen. Das bedeutet jedoch nicht, dass kleinere Unternehmen oder Einzelkämpfer nicht trotzdem die zahlreichen Anforderungen an den Datenschutz erfüllen müssen.

Was bedeutet die DSGVO für Freelancer und Einzelunternehmer?

Was bedeutet die DSGVO für Freelancer und Einzelunternehmer? | Foto: Mike Flinzner

Und was für Anforderungen sind das?

In den diversen von IHKs oder Rechtsanwaltbüros veröffentlichten Ratgebern liest man viel von Transparenz, Marktortprinzip, Datenminimierung, Zweckbindung, Speicherbegrenzung, Vertraulichkeit, Privacy by Design, Recht auf Vergessenwerden usw. usf. Diese hinter der DSGVO stehenden Grundsätze zu verstehen, ist auch sicherlich hilfreich und schadet nie. Wenn Ihr dazu mehr wissen möchtet, werft mal einen Blick in die untenstehenden Links und Literaturtipps.

Was einen gut beschäftigten Freelancer am meisten interessiert, ist aber doch die Frage:

Was muss ich tun?

Versuchen wir die also mal zu beantworten.

Um die folgenden 4 Punkte sollte sich wohl JEDER Freiberufler und JEDE Unternehmerin kümmern:

4 Punkte, um die sich jede Einzelunternehmerin und jeder Freelancer vor dem 25. Mai 2018 kümmern sollte. #DSGVO Klick um zu Tweeten

1. Herausfinden, welche personenbezogenen Daten ihr wann, wo und wie erfasst, speichert und verarbeitet

Jeder, der „nicht nur gelegentlich“ personenbezogene Daten verarbeitet, ist laut DSGVO zum Anlegen eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Das heißt: Selbst wenn ihr noch nicht einmal eine Website haben solltet, betrifft euch die DSGVO trotzdem.

Selbst wenn ihr als Unternehmer keine Website habt, betrifft euch die #DSGVO: Zum Beispiel, wenn es um das Verzeichnis der Verarbeitungstätigkeiten geht. Klick um zu Tweeten

Diese investigative Arbeit sollte am Anfang eurer DSGVO-Vorbereitungen stehen, denn sie verrät euch auch, an welchen Stellen ihr nochmal genauer hinschauen solltet. Besonders wichtig dabei ist auch die Frage, welche Drittunternehmen außerdem potenziell Zugriff auf eure Kundendaten haben. Das sind vermutlich mehr als ihr bislang dachtet. Wärt ihr beispielsweise auf die Idee gekommen, euren Webhoster in eine solche Liste mit aufzunehmen?

Für solche Verzeichnisse gibt es zahlreiche Vordrucke und Muster, die häufig für Zwecke von Einzelunternehmern natürlich viel zu umfangreich angelegt, zum Entlanghangeln aber trotzdem hilfreich sind.

Mehr Informationen und Vorlagen

2. Mit Drittunternehmen Auftragsverarbeitungsverträge (AV) abschließen.

Mit jedem Unternehmen, das Zugriff auf eure Kundendaten hat, solltet ihr einen Auftragsdatenverarbeitungsvertrag abschließen. Beispielsweise mit dem Webhoster, bei dem eure Website liegt und über dessen Server entsprechend auch IP-Adressen oder Kontaktnachrichten eurer Websitebesucher laufen. Mit dem Dienstleister, über den ihr eure Newsletter versendet. Oder auch mit eurer Webagentur, die euren Google-Analytics-Account oder euren Newsletter technisch betreut.

Habt ihr mit eurem Webhoster schon einen Auftragsverarbeitungsvertrag abgeschlossen? Aus der Reihe «Sätze, von denen ich nie dachte, dass ich sie mal schreiben würde». #DSGVO Klick um zu Tweeten

Auch für solche Verträge gibt es Muster, beispielsweise hier:

Viele große Anbieter stellen aber auch schon von sich aus entsprechende Funktionen zum Abschließen von AVs bzw. „Data Processing Agreements“ zur Verfügung.

Edit: Eine super-hilfreiche Liste mit für Blogger relevanten Anbietern und deren aktuellem Status in Sachen AV hat Finn Hildebrandt auf BlogMojo angelegt.

Übrigens: Wenn ihr mit Unternehmen bereits ältere Auftragsverarbeitungsverträge habt, solltet ihr die in der Regel neu abschließen, da sie im Rahmen der DSGVO andere Inhalte verpasst bekommen haben.

3. Eure Datenschutzerklärung anpassen

Solltet ihr noch keine haben, ist jetzt der Zeitpunkt, an dem ihr um eine Datenschutzerklärung auf eurer Website nicht mehr herumkommt. Selbst dann, wenn ihr glaubt, dass ihr gar keine Benutzerdaten erfasst – euer Webhoster tut es auf jeden Fall.

Eine der Hauptbaustellen der #DSGVO: Die Datenschutzerklärung. Klick um zu Tweeten

Auch wenn ihr bereits eine Datenschutzerklärung habt, sollte sie an die neuen Anforderungen angepasst werden. Hilfreich waren bislang diverse kostenlose Datenschutzgeneratoren. Derzeit ist es angesichts der DSGVO allerdings schwieriger, aktuelle, auf die DSGVO zugeschnittene Mustertexte kostenlos zu finden, da die bisher gängigen Anbieter die angepassten Versionen scheinbar nur noch über Bezahlmodelle anbieten. Der bislang sehr hilfreiche Datenschutz-Generator von Rechtsanwalt Thomas Schwenke ist beispielsweise nach eigener Aussage noch nicht an die DSGVO-Änderungen angepasst.

Die diversen neuen, kostenlosen Generatoren sind allesamt unvollständig und arbeiten in der Regel nach fragwürdigen Linktauschprinzipien. Bleibt derzeit wohl nur, für seriöse Informationen zu bezahlen – etwa über den von Thomas Schwenke zusammen mit t3n herausgegebenen DSGVO-Guide (der 99 € kostet und dessen Mustertexte man jeweils für eine Website nutzen darf).

Eine vergleichsweise günstige Möglichkeit bietet eRecht24 mit dem Premium-Abo, vor allem, weil man die über den dortigen Generator erstellte Datenschutzerklärung auch nach der Kündigung weiter nutzen darf.

Ein Tipp: Wenn ihr eine Agentur mit der Erstellung und/oder Betreuung eurer Website beauftragt habt, fragt die doch mal, ob sie bereits entsprechende Quellen hat. eRecht24 beispielsweise bietet einen speziellen Agentur-Tarif an, mit dem Webdesigner alle dort verfügbaren Texte und Informationen auch für die Websites ihrer Kunden nutzen können.

4. Eure Website auf HTTPS umstellen

Daten verschlüsselt zu übertragen, ist eigentlich schon länger eine Grundanforderung – Online-Shops beispielsweise kommen schon lange nicht mehr ohne SSL-Verschlüsselung aus. Dasselbe gilt allerspätestens jetzt auch für euch und eure Website. Spätestens seit die Initiative Let’s Encrypt sogar kostenlose SSL-Zertifikate ausgibt, gibt es auch endgültig keine Entschuldigung mehr, diesen Schritt nicht zu gehen. Und besonders schwierig ist es auch noch nicht einmal.

 

Fertig?

Das kommt drauf an. Und zwar darauf, was eure Website sonst noch so nutzt – an Funktionen, Plugins, Tools und Integrationen.

Wenn ihr eine ganz schlichte Website ohne Kontaktformular, Kommentarfunktion, Benutzertracking und eingebettete Inhalte wie YouTube-Videos oder Google Maps habt, seid ihr jetzt eigentlich schon fertig.

Und wenn nicht?

Kontaktformular

Wenn ihr ein Kontaktformular nutzt, über das eure Besucher euch Nachrichten hinterlassen können, ist das nicht nur ein Grund mehr für die SSL-Verschlüsselung eurer Website, sondern auch eine Stelle, an der ihr eine explizite Einwilligung in die Übertragung, das Speichern und das Verarbeiten der angegebenen Daten einholen solltet (etwa über das Plugin WP GDPR Compliance).

Baut also am besten vor den „Absenden“-Button eine Checkbox ein, die einen kurzen Hinweis zur Datenverarbeitung und einen Link auf eure Datenschutzerklärung enthält.

Kommentarfunktion

Einwilligung

Zu den schönen Sachen im Netz gehört ja, dass man so einfach miteinander ins Gespräch kommen kann. Deshalb bieten die meisten Blogs die Möglichkeit, zu den einzelnen Artikeln Kommentare zu hinterlassen. Hierfür gilt dasselbe wie für das Kontaktformular: Auf Nummer Sicher geht ihr, wenn ihr euch für das Speichern der dort hinterlassenen Daten eine explizite Einwilligung holt.

DSGVO-ToDo: In Kontaktformularen und Kommentarfunktionen Einwilligungen für das Erfassen, Speichern und Verarbeiten von Daten einholen. Klick um zu Tweeten

Bei WordPress-Blogs gibt es außerdem noch zwei weitere Punkte zu berücksichtigen:

Gravatar

WordPress nutzt von Hause aus den Dienst Gravatar, um dort hinterlegte Profilbilder („Avatare“) auszuliefern. Dafür wird beim Eintragen eines Kommentars die eingegebene E-Mail-Adresse (verschlüsselt) an Gravatar weitergegeben, um dort herauszufinden, ob für diese Adresse ein Avatar vorhanden ist.

Wenn ihr das nicht möchtet (wofür es im übrigen einige gute Gründe gibt), könnt ihr die Funktion unter „Einstellungen > Diskussion > Zeige Avatare“ deaktivieren. Dann werden allerdings in euren Kommentaren auch keine Profilbilder mehr angezeigt.

Wenn ihr Gravatar weiterhin benutzt (zum Beispiel, weil außerdem eure Autorenboxen darauf zugreifen), solltet ihr auf jeden Fall einen entsprechenden Passus in die Datenschutzerklärung aufnehmen.

IP-Adressen

Beim Absenden von Kommentaren speichert WordPress neben den vom Benutzer selbst eingetragenen Daten auch die IP-Adresse des Nutzers. Das ist durchaus sinnvoll, um Nutzer im Falle von Missbrauch, strafbaren Inhalten oder ähnlichem identifizieren zu können. Viele Blogs sind aber ohnehin so konfiguriert, dass Beiträge immer manuell freigeschaltet werden müssen. In solchen Fällen ist es schwieriger, die Notwendigkeit des Speicherns von IP-Adressen zu argumentieren. Edit: Ritchie Pettauer von datenschmutz.net findet durchaus Argumente, warum es möglicherweise nicht der richtige Weg ist, die Speicherung von IP-Adressen gänzlich zu unterbinden.

Es kann also im Sinne der von der DSGVO geforderten Datenminimierung durchaus sinnvoll sein, nicht benötigte Informationen wie die IP-Adressen gar nicht erst zu speichern.

Das geht momentan entweder manuell über das Einfügen von ein paar Codezeilen in der functions.php:

function wpb_remove_commentsip( $comment_author_ip ) {
return ' ';
}
add_filter('pre_comment_user_ip', 'wpb_remove_commentsip');

oder über das Plugin  „Remove IP„. Wer kein Child-Theme nutzt und die functions.php nicht nach jedem WP-Update potenziell neu anfassen möchte, wird vermutlich das Plugin vorziehen (das allerdings seit 2 Jahren nicht mehr aktualisiert und mit aktuellen WP-Versionen nicht mehr getestet wurde).

ACHTUNG: Beide Optionen richten sich nur in die Zukunft. Bereits gespeicherte IP-Adressen müsst ihr deshalb manuell aus der Datenbank löschen. Das geht, indem ihr in der Datenbankadministration phpMyAdmin im Reiter „SQL“ die folgende Abfrage eingebt:

UPDATE `wp_comments` SET `comment_author_IP`=''

[Solltet ihr eurer Datenbank in der wp_config.php anstelle von „wp_“ ein individuelles Datenbank-Präfix verpasst haben, ist das hier natürlich anzupassen.]

Aber Vorsicht: Direkte SQL-Befehle in phpMyAdmin können nicht rückgängig gemacht werden. Ihr solltet also genau aufpassen und am besten vor der Änderung noch ein Backup eurer WordPress-Datenbank anlegen.

Eine dritte Option wäre, noch ein paar Wochen abzuwarten, ob WordPress selber sich dieses Themas annimmt und im Zuge der DSGVO zum Beispiel die Möglichkeit einbaut, das Loggen der IP-Adresse ein- oder auszuschalten.

Newsletter

Wenn ihr einen Newsletter versendet, habt ihr euch oben im Zuge der Auftragsverarbeitungsverträge vermutlich schon gedanklich damit auseinandergesetzt. Es sei denn natürlich, ihr versendet den Newsletter über euren eigenen E-Mail-Account und ohne Einsatz eines Newsletter-Providers – was aus Gründen der E-Mail-Reputation wiederum keine so prickelnde Idee ist.

Dass sämtliche Newsletter-Abos über Double-Opt-In laufen (also eine zusätzliche Bestätigungsmail nach der Formulareintragung), sollte ohnehin schon selbstverständlich sein. Darüber hinaus solltet ihr auch hier eine explizite Einwilligung einholen und über die Verarbeitung der Daten transparent informieren. Wie das etwa für den Anbieter MailChimp geht, hat Rechtsanwalt Thomas Schwenke schon lange vor der DSGVO-Welle gut verständlich zusammengefasst.

Ganz wichtig: Wenn ein Leser euren Newsletter wieder abbestellt, müssen seine Daten auch tatsächlich gelöscht werden. Dazu solltet ihr bei eurem Newsletteranbieter nochmal genauer nachschauen, viele beschränken sich nämlich darauf, die entsprechenden Adressen einfach mit dem Vermerk „Unsubscribed“ zu versehen. Allerdings sind die meisten großen Anbieter inzwischen auch für die DSGVO-Thematik sensibilisiert und nehmen entsprechende Anpassungen vor (siehe zum Beispiel MailChimp).

Wenn jemand euren Newsletter abbestellt, müssen seine Daten auch tatsächlich gelöscht werden. Das Label «Unsubscribed» reicht nicht. #DSGVO Klick um zu Tweeten

Tracker identifizieren mit Ghostery

Solltet ihr nicht sicher sein, ob ihr etwas übersehen habt, lohnt es sich, noch einmal etwas genauer hinzuschauen. Wenn ihr bespielsweise ein Content-Management-System wie WordPress verwendet, kann es sein, dass im Hintergrund noch Verknüpfungen stattfinden, die euch gar nicht so bewusst sind oder an die ihr im ersten Moment nicht denkt. Beim Auffinden solcher Verknüpfungen kann das Tool Ghostery hilfreich sein. Damit könnt ihr nicht nur Tracking-Aktivitäten auf von euch besuchten Seiten erkennen und vor allem auch blockieren, sondern ganz nebenbei auch herausfinden, wer oder was auf eurer eigenen Website eigentlich so mittrackt.

Ghostery verrät euch, wer auf eurer Website mittrackt. Zum Beispiel das VG-Wort-Zählpixel, oder der Cookie-Banner. | Screenshot: contentIQ.com

Die kleine lila Box rechts unten ist ziemlich aufschlussreich. „Ghostery“ verrät euch nämlich, wer oder was auf eurer Website mittrackt. | Screenshot: contentIQ.com

Nur das abfragen, was ihr auch braucht

Grundsätzlich gilt für alle Formulare und Kontaktpunkte der Grundsatz der Datenminimierung: Es sollten nur die Daten erhoben werden, die für den jeweiligen Zweck auch tatsächlich gebraucht werden. Wenn ihr einen Newsletter anbietet, braucht ihr für das Verschicken nur eine E-Mail-Adresse – mehr nicht. Wenn ihr weitere Daten (Namen, Anrede etc.) abfragt, sollte das zumindest optional sein.

Die gute Nachricht ist aber: Erstmalig erkennt die DSGVO (im Unterschied zur bisherigen Datenschutzgesetzgebung) auch „berechtigte Interessen“ der Unternehmen. Will heißen: Die explizite Einwilligung des Kunden ist nicht die einzige Grundlage, die zum Speichern von Daten berechtigt. Wenn ihr beispielsweise einen Online-Shop betreibt, braucht ihr natürlich eine Adresse eures Kunden, damit ihr die Ware dorthin liefern (lassen) könnt. Das ist ein „berechtigtes Interesse“, das alleine euch schon das Recht zur Erfassung, Speicherung und Verarbeitung der Daten gibt.

Fragt ihr hingegen das Geburtsdatum ab, damit ihr zum Geburtstag eine Glückwunsch(werbe)mail schicken könnt, oder eine Lieblingsfarbe, um entsprechende Produktvorschläge zu machen, sieht die Berechtigung schon ganz anders aus…

Braucht ihr tatsächlich die Geburtsdaten eurer Kunden? #Datenminimierung #DSGVO Klick um zu Tweeten

Noch Fragen?

Natürlich gibt es noch jede Menge andere Literatur zum Thema – das Netz explodiert ja in den vergangenen Wochen geradezu mit Artikeln zum Thema DSGVO. Ein paar Quellen für die oben genannten Rechercheergebnisse sowie Linktipps findet ihr im Folgenden. Wenn noch Fragen offengeblieben sind, findet ihr dort bestimmt eine Antwort:

Merkblätter & Checklisten

Literaturtipp

Gesetzestexte

Edit: Da in einer Diskussion die Frage danach aufkam, hier noch eine kurze Liste von möglicherweise hilfreichen WP-Plugins, die ich gerne um weitere ergänze:

Hilfreiche WP-Plugins

Remove Comment IPs
Löscht die IPs nach 60 Tagen aus den Kommentaren.

Remove IP (siehe oben)
Verhindert das Speichern von IP-Adressen in der Kommentarfunktion.

WP GDPR Compliance (siehe oben)
Ergänzt Einwilligungs-Checkboxen in der Kommentarfunktion und in Kontaktformularen.

Edit: Eine sehr nützliche Übersicht für WordPress-Nutzer baut Finn Hillebrandt gerade auf Blogmojo. Dort listet er auf, welche WP-Plugins welche Daten erfassen und wo sie sie speichern. Und außerdem gibt es ähnlich wie oben noch Tipps für Plugins, die bei der Bewältigung der DSGVO helfen können:

Immer noch Bauchschmerzen?

Wenn das Thema euch trotzdem noch den letzten Nerv raubt oder gar schlaflose Nächte verursacht, versucht doch mal die Perspektive zu wechseln. Die DSGVO ist nämlich in erster Linie dazu da, uns als Verbraucher vor zu großer Datensammelwut der Unternehmen zu schützen. Klar, da gäbe es noch ganz andere Baustellen, natürlich werden die ganz Großen auch wieder ihre Schlupflöcher finden und eine EU-Verordnung rettet uns nicht vor staatlicher Massenüberwachung. Aber die Grundintention dahinter ist aus meiner Perspektive durchaus begrüßenswert: Denn Unternehmen und Verbraucher für Datenschutz zu sensibilisieren, kann in Zeiten von NSA, Alexa, Instagram und Co. niemals verkehrt sein.

Die DSGVO will Verbraucher vor der Datensammelwut der Unternehmen schützen. Eigentlich ein unterstützenswertes Ziel, oder? Zumindest in der Theorie. #DSGVO Klick um zu Tweeten

Und wie war das mit den Bildern?

Wenn ihr jetzt denkt: Hier fehlt doch ein Thema – wie war das denn mit Fotos, Bildern und Copyright-Angaben? Stimmt, das fehlt noch. Und zwar schlicht und ergreifend deshalb, weil dazu auch bei mir noch zu viele Fragen offengeblieben sind. Aber es ist ja nicht aller Tage Abend – dazu gibt’s dann bei Gelegenheit noch einen weiteren Blogbeitrag. Sobald sich der Nebel etwas gelichtet hat.

Übrigens: Ich freue mich über eure Fragen und Kommentare. Bitte beachtet dabei aber, dass ich als Nicht-Juristin zu Rechtsfragen keine Einzelfallberatung durchführen kann und darf. Konkrete Fragen solltet ihr deshalb bitte mit einem spezialisierten Rechtsanwalt oder Steuerberater klären. Gerne nehme ich interessante allgemeine Fragestellungen als Anregungen für zukünftige Artikel oder Artikel-Aktualisierungen auf.

KF/ciq

P.S. Ein großes Dankeschön geht an dieser Stelle an die Mitglieder des Netzwerks Texttreff, deren Fragen, Linktipps und Empfehlungen diesen Artikel stark bereichert haben. Ihr seid die Besten!

Dr. Katja Flinzner

Dr. Katja Flinzner

Versorgt digitale Unternehmen mit grenzenlos guten Inhalten - als Fachautorin, Corporate Bloggerin, Lektorin und Übersetzerin. Bloggt seit 18 Jahren und schreibt heute hauptsächlich über Themen aus Web, IT, eCommerce und digitaler Bildung - gerne auch für Ihr Unternehmen.
Dr. Katja Flinzner

Weitere Artikel zu ähnlichen Themen

Kinderleicht ist anders: Die DSGVO und Angebote fü... Knapp zwei Monate vor dem Stichtag schlägt die neue Datenschutzgrundverordnung (DSGVO) hohe Wellen. Auch hier im Blog, wo es zuletzt darum ging, was d...
Endlich verschlüsselt: Eure WordPress-Seite in 4 S... Warum auch die Betreiber ganz "normaler", kleiner Websites nicht mehr darum herumkommen, ihre Webseiten verschlüsselt auszuliefern, und es deshalb für...
SEO, Chrome und DSGVO: Warum auch ihr eine verschl... Seine Website verschlüsselt auszuliefern, ist schon lange eine gute Idee. Derzeit kommen aber immer mehr Gründe dazu, warum man das Thema nicht mehr a...
Von Kameras, Kennzeichen und Kundenbindung Warum wir dringend reden müssen. Über die Gefahren des Dauertrackings und Alternativen zu Big Data. Kennt ihr diese Schilder im Supermarkt, auf denen ...
Wo kommen die rel-Attribute in euren WordPress-Lin... Verwendet ihr für eure Website WordPress? Dann könnte euch in den vergangenen Tagen - seit dem Update auf die Version 4.7.4 - aufgefallen sein, dass e...

28 Kommentare

  1. Liebe Katja, toller Artikel, der mir sehr hilft, dankeschön. Was mir aber aufgefallen ist, oder vielleicht bin ich auch blind, aber jedenfalls: Fehlt da nicht noch das Datenschutz-Konzept? Soweit ich weiß (habe ich bei einer DSGVO-Veranstaltung von einem Datenschutzprofi gelernt), muss neben dem Verfahrensverzeichnis auch ein grundsätzliches Datenschutzkonzept schriftlich angelegt werden, so mit „Ich schütze Daten am Computer mit sicheren Passwörtern, ich schließe mein Büro ab, wenn ich es nicht nutze“ etc.

    DSGVO-geschädigte haareraufende Grüße
    Sandra, die Dir gestattet, meine Daten hier abzufragen 🙂

    Kommentar absenden
    • Dr. Katja Flinzner

      Hallo Sandra,

      vielen lieben Dank erstmal – freut mich, dass der Artikel hilft!

      Was das Datenschutzkonzept angeht: Ich gehe aktuell davon aus, dass das Verarbeitungsverzeichnis ausreicht. Von einem Datenschutzkonzept ist zum Beispiel in der oben verlinkten Erste-Hilfe-Broschüre des Bayerischen Landesamts für Datenschutz keine Rede. Aber das muss natürlich nichts heißen.

      Interessanter Aspekt aber natürlich, den Du noch ansprichst, der bei meinem Web-Fokus etwas in den Hintergrund gerückt ist: Natürlich geht Datenschutz auch über die Website hinaus und betrifft tatsächlich auch passwortgeschützte Rechner, abschließbare Schränke/Büros etc.

      Liebe Grüße
      Katja

      Kommentar absenden
    • vielen Dank für die super Zusammenstellung. Extrem hilfreich finde ich auch die weiterführenden Links und die Hinweise auf sinnvolle PLugins. Danke!!!

      Kommentar absenden
  2. Ach ach, ein Kreuz ist das mit all diesem Zeug. Ich weiß ja, dass es wichtig ist. Wenn man nur einen roten Faden hätte, an dem man sich 1:1 langhangeln kann … Ich habe die Frage mal an den Datenschutz-Experten weitergegeben, dessen Vortrag ich besucht habe. Bin gespannt, ob und was er antwortet und gebe das natürlich dann gern hier an Dich weiter. Je länger ich drüber nachdenke, desto eher denke ich auch, dass mit dem Verzeichnis auch das Konzept abgedeckt ist, aber nun. Wir werden sehen.

    Kommentar absenden
  3. Darf man bei eRecht24.de die erstellten Texte auch nach Kündigung der Mitgliedschaft nutzen?

    Kommentar absenden
    • Dr. Katja Flinzner

      Ja, darf man, man muss dann nur nachträglich noch einen Quellhinweis auf eRecht24.de einbauen.

      Kommentar absenden
  4. Hey,
    danke für die toll aufbereitete Info. Ehrlich gesagt, war ich ein wenig überfordert mit dem Gesetzestext und ich war mir auch nicht klar, in wieweit es mich bzw. meine Kunden betrifft. Ich bin Freelancerin und erstelle Webseiten, bzw. mache das Online-Marketing dafür.
    Da muss ich ja nicht nur für mein Datenschutz sorgen, sondern auch die Kunden informieren.
    Dank dieses Textes habe ich wieder mehr Mut gefasst, mich damit auseinander zu setzen. Denn externe Hilfe kann ich mir in dem Fall leider nicht leisten und die meisten meiner Kunden auch nicht.
    LG
    Heike

    Kommentar absenden
  5. Hallo Katja,

    danke für den gut recherchierten und verständlichen Artikel!

    Wir grübeln derzeit in der Düsseldorfer WordPress Community, ob eine einst rechtlich einwandfrei erteilte Einwilligung zum Newsletter nun mit der DSGVO, und angepasster Datenschutzerklärung, von den Empfängern explizit erneut einzuholen ist, oder ob implizit ausreicht.

    Das ist alles so spannend, dass ich mich fast schon drauf freue, auf den Mai 😉

    Liebe Grüsse,
    Christian

    Kommentar absenden
    • Dr. Katja Flinzner

      Hallo Christian,

      gerne – und danke! 🙂

      Ja, über die Frage habe ich auch schon nachgegrübelt. Ich bin für mich zu dem Schluss gekommen, dass die alte Einwilligung ausreicht, wenn sie entsprechend dokumentiert ist. Aber ob das tatsächlich so stimmt… Bleibt spannend. 🙂

      Liebe Grüße
      Katja

      Kommentar absenden
  6. Hallo Katja,

    vielen Dank für deinen gut recherchierten und verständlichen Artikel. Genau das habe ich gesucht! Danke, dass du das alles für uns Einzelunternehmer aufgedröselt und zusammengeschrieben hast. Nach dieser Lektüre habe ich endlich einmal das Gefühl, das Thema DSGVO ohne allzu großen Druck im Nacken angehen zu können!

    Liebe Grüße
    Kerstin

    Kommentar absenden
    • Dr. Katja Flinzner

      Hallo Kerstin,

      vielen Dank, das freut mich sehr! Wenn das der Effekt ist, dann hat es sich gelohnt. 🙂

      Liebe Grüße
      Katja

      Kommentar absenden
  7. Hallo Katja,

    ich danke dir! Heute bin ich deine Checkliste Punkt für Punkt durchgegangen, habe einiges gleich erledigt, anderes in meine eigene Checkliste eingetragen. Insgesamt geht es mir jetzt wesentlich besser, die DSGVO-bedingten Bauchschmerzen sind fast verschwunden. Deshalb nochmal, auch wenn ich mich wiederhole: Dankeschön!

    Kommentar absenden
    • Dr. Katja Flinzner

      Hallo Stefanie,
      vielen lieben Dank, das freut mich sehr! 🙂
      Liebe Grüße
      Katja

      Kommentar absenden
  8. Vielen Dank für diesen superhilfreichen Artikel 🙂 Ich versuche, das ganze positiv zu sehen, Die DSGVO ist schließlich dazu da, hier anderes Verhalten zu etablieren als z. B. in den USA – und das ist doch gut. Natürlich ist das erst einmal lästig für mich als Solopreneurin, aber ich finde es eigentlich auch gut, wenn ich auf eine andere Seite gehe und dort konkret erfahre, was mit meinen Daten gemacht wird …

    Herzliche Grüße,
    Monika

    Kommentar absenden
    • Dr. Katja Flinzner

      Gerne – danke für das nette Feedback! Ja, ich sehe das inzwischen genauso. Auch wenn ich natürlich alle Einzelkämpfer verstehe, die sich davon erstmal in Schockstarre versetzen lassen. Das Bewusstsein dafür zu schärfen, dass man mit personenbezogenen Daten sorgfältig umzugehen hat, finde ich aber enorm wichtig. Ich erlebe immer noch Unternehmer (von Privatpersonen ganz zu schweigen), die Mails an 30 Leute im offenen Verteiler schicken. Da ist in Sachen Bewusstsein noch jede Menge Platz nach oben. 🙂

      Kommentar absenden
  9. Danke für den sehr aufschlussreichen Artikel. An den Webhoster hätte ich beispielsweise auch nicht gedacht. Werde die Punkte peu a peu abarbeiten.

    Kommentar absenden
  10. Vielen Dank für diesen sehr informativen Artikel. Er viel Licht und ins Dunkel gebracht.
    Was ist eigentlich von diesen WP Plugins zu halten, die am Anfang einer Webseite auf Cookies hinweisen?
    Sind die wirklich nötig?

    Kommentar absenden
    • Dr. Katja Flinzner

      Gute Frage, da scheiden sich die Geister. 🙂 Wenn jetzt noch nicht, dann ziemlich sicher 2019 mit der ePrivacy-Verordnung. Ein DSGVO-Thema sind die eher nicht. Aber wie sie dann aussehen müssen, steht noch in den Sternen….

      Kommentar absenden
  11. Liebe Katja,
    nachdem ich viel davon gehört habe, verstehe ich erst jetzt, dank deines kompetenten und informativen Blogbeitrages so richtig, worum es eigentlich geht und dass auch ich jetzt aktiv werden muss. Ich werde mich an deinen Tipps entlang hangeln und es hoffentlich hinkriegen. Sonst melde ich mich bei dir für Hilfe von professioneller Seite 😉
    Danke und LG, Simone

    Kommentar absenden
    • Dr. Katja Flinzner

      Liebe Simone,

      vielen Dank für das nette Feedback! Und natürlich kannst Du Dich jederzeit bei mir melden. 🙂

      Viele Grüße
      Katja

      Kommentar absenden
  12. Hallo Katja,

    vielen Dank für Deine superleicht veständlichen Zeilen – tolle Arbeit!!!

    Mir ist noch unklar, wie es sich mit dem Plugin „WP GDPR Compliance“ verhält.
    Kann dieses Plugin auch dann genutzt werden, wenn man das WP-interne Kontaktformular nutzt? Habe nämlich bereits ein Anmeldeformular mit diesem WP-internen Kontaktformular gebaut. Finde ich als WP-Anfänger einfacher als „Contact Form 7“. Vom Konzept ist ein Kontaktformular und besagtes Anmeldeformular geplant.

    „WP GDPR Compliance“ schreibt: Dieses Plugin unterstützt Websitebetreiber und Webshopbesitzer bei der Einhaltung der europäischen Datenschutzbestimmungen (DSGVO). Bis zum 24. Mai 2018 muss Ihre Website oder Ihr Shop den hohen Bußgeldern entsprechen. WP GDPR Compliance unterstützt derzeit Kontaktformular 7 (> = 4.6), Gravity Forms (> = 1.9), WooCommerce (> = 2.5.0) und WordPress-Kommentare. Zusätzliche Plugin-Unterstützung wird in Kürze folgen.“

    PS. Die angegeben URL ist noch die alte Seite. Die Neue wird gerade gebastelt.

    Kommentar absenden
    • Dr. Katja Flinzner

      Hallo Peter,

      seit wann gibt es denn in WP ein integriertes Kontaktformular? Vermutlich gehört das zu Deinem Theme, im WP Core gibt es das meines Wissens nicht.

      Insofern ist es wohl eher nicht zu erwarten, dass das Plugin diese Funktion unterstützt.

      Liebe Grüße
      Katja

      Kommentar absenden
    • Hallo Katja,

      ach so, bin halt noch WP-Anfänger. es ist das DIVI-Theme.

      Liebe Grüße
      Peter

      Kommentar absenden
      • Dr. Katja Flinzner

        In Divi kannst Du aber doch problemlos auch selber eine Checkbox einbauen, die mit dem entsprechenden Text inkl. Link auf die Datenschutzerklärung versehen und als „erforderlich“ kategorisieren.

        Kommentar absenden
  13. Hallo Katja,

    deine Ausführungen beziehen sich auf Deutschland – ich bin mir aber nicht sicher, ob sie (trotz EU) 1:1 auf Österreich übertragbar sind.

    Weisst du da vielleicht näheres?

    Danke und LG!
    Elisabeth

    Kommentar absenden
    • Dr. Katja Flinzner

      Hallo Elisabeth,

      nicht wirklich, nein. Ich würde davon ausgehen, dass die im Artikel beschriebenen Schritte auch in Österreich nicht verkehrt sind. Aber es mag durchaus Unterschiede im Detail geben, das kann ich nicht beurteilen. Möglicherweise wird sich die Datenschutzerklärung in beiden Ländern unterscheiden, vermutlich braucht man da andere Mustertexte?

      Liebe Grüße
      Katja

      Kommentar absenden
  14. Danke für den Artikel.
    Ich hoffe nur, dass die Kleinen nicht direkt als Opfer angesehen werden um Abmahnungswellen loszutreten.
    Die Kleinen lassen sich nämlich immer am besten Verprügeln, weil die sich kaum bis nicht wehren.
    Plus der psychische Druck. Bei Facebook und Co gibt es sowas nicht. Also die schlafen auch weiter ruhig bei Nacht.

    Kommentar absenden

Trackbacks/Pingbacks

  1. DSGVO für Websites – neue EU-Datenschutzregeln ab Mai · baumbach.text. - […] genau recherchierten, ausführlichen Beitrag zur DSGVO für Freiberufliche und Einzelunternehmen verfasste Dr. Katja Flitzner. Toll und umfassend, dem ist…
  2. Umstellungen wegen der DSGVO | Annette Schwindt - […] UPDATE: Noch ein guter Artikel: https://www.content-iq.com/2018/03/22/dsgvo-fuer-einzelunternehmer-und-freelancer/ […]
  3. Wie setze ich die Anforderungen der DSGVO für meine Website um? - […] irrt. Auch Selbständige und Freelancer sind betroffen. Worauf es ankommt beschreibt der Beitrag  Was bedeutet die DSGVO für Einzelunternehmer und…
  4. DSGVO - Die wesentlichen Maßnahmen | Oplayo Onlinemarketing - […] finden eine Recherche & einen Artikel von Dr. Katja Flinzner, publiziert auf ContentIQ ab der Überschrift „Was muss ich […]
  5. Brennpunkt Datenschutz: Herausforderungen für Freelancer – Teil III - […] den folgenden Hinweisen (Dr. Katja Flinzner erklärt das hier auch anschaulich und mit zusätzlichen Links für mehr Informationen und…

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.