Die technischen Maßnahmen zur Umsetzung der EU-DSGVO beinhaltet zwei Bereiche: Die IT-Infrastruktur und den Webauftritt (Ihre Website).
Im Bereich der IT-Infrastruktur ist es besonders wichtig, nur Softwareprodukte einzusetzen, die den Anforderungen des Datenschutzes im Allgmeinen und der EU-DSGVO im Speziellen entsprechen. Dieses gilt hierbei insbesondere für die Möglichkeit der Löschung von Datensätzen datenschutzrechtlicher Betroffener nach deren Aufforderung hierzu.
Desweiteren muss in der IT ein Sicherungskonzept bezogen auf die Datensicherung in Ihrem Unternehmen/Verein erstellt werden. Die Fragen, die sich hierbei stellen: Gibt es z. B. eine tägliche volle Datensicherung? Oder wird einmal das gesamte IT-System gesichert und danach nur noch eine inkrementelle Sicherung (also nur die veränderten Datensätze) durchgeführt? Auf welches Medium wird mit welchen Tools gesichert? Wo wird die Sicherung aufbewahrt und wer hat Zugriff auf diese Sicherung? Wie wird die Sicherung verschlüsselt?
Ein weiteres notwendiges Konzept ist das Sicherheitskonzept, welches auch ein Berechtigungskonzept beinhaltet. Die Sicherheit der Daten hat dabei nichts mit dem o. g. Datensicherungskonzept zu tun! Hierbei geht es darum, den unberechtigten Zugriff Dritter auf die Daten zu verhindern, sei es mit software- oder hardwaremäßigen Schutzsystemen (Stichtworte: Firewall, Router, Anti Virus …) oder eben auch mit besonderen Berechtigungen beim Zugriff auf die Daten! Um es einmal übertrieben zu beschreiben: Ihre Reinigungskraft braucht keinen Zugang zur Kundendatenbank! Beachten Sie beim Thema „Datenzugangsberechtigungen“ den Grundsatz der Minimalität, dann sind Sie schon fast auf der sicheren Seite bei diesem Thema!
Ein weiteres wichtiges Konzept in diesem Rahmen ist das Löschkonzept, also wann welche Daten frühestens werden dürfen bzw. spätestens gelöscht werden müssen.
Die genannten Konzepte bringen aber nichts, solange diese nur erstellt werden – sie müssen auch umgesetzt werden!
Ein weiteres heikles Thema ist, wie bereits erwähnt der Webauftritt. Bereits heute steht in § 13 des Telemediengesetzes sinngemäß: Wer keine, eine falsche oder eine nicht ausführliche Datenschutzerklärung auf seiner Website veröffentlicht, kann mit bis zu 50.000 € Bußgeld bestraft werden!
Hierbei ist es – wie ebenfalls bereits erwähnt – vollkommen egal, ob Sie die Seite als Unternehmer, Gewerbetreibender, Freiberufler, Verein oder Privatperson betreiben: Eine Datenschutzerklärung MUSS auf jeder Website enthalten sein! Denn bereits beim Aufruf der Website durch den Besucher werden personenbezogene Daten übertragen – die IP-Adresse, mit welcher der Benutzer auf Ihre Seite zugreift, auch wenn diese nicht direkt auf den einzelnen Benutzer zurückverfolgt werden kann!
Die Anforderungen an eine Datenschutzerklärung sind so speziell auf jeden einzelnen Fall bezogen, so dass man hier keine allgemeine Empfehlung geben kann; es macht bei der Datenschutzerklärung schon einen großen Unterschied, ob es sich nur um eine Informationsseite handelt, ob eventuell eine Bestell- oder Kontaktmöglichkeit integriert ist (Shop bzw. Kontaktformular) oder der Benutzer auf Ihrer Seite Beiträge auch kommentieren, teilen oder bewerten kann.
Auf jeden Fall wichtig ist, dass die Datenschutzerklärung einfach auffindbar ist und dass in der Datenschutzerklärung auch der Verantwortliche für die Datenverarbeitung (also z. B. der Datenschutzbeauftragte oder der Geschäftsführer/Inhaber/Vorstand) namentlich und mit direkten Kontaktdaten benannt ist. Natürlich sollte die Seite auch ein gültiges Impressum, welches auch bereits im Telemediengesetz fester Bestandteil der Gesetzgebung war, aufweisen.
Besonders wichtig ist es ebenfalls, dass in einer korrekten Datenschutzerklärung der Betroffene über seine Rechte aus der EU-DSGVO aufgeklärt wird.
Auch hier gilt wieder: Wir beraten Sie gerne und helfen Ihnen, auch mit Unterstützung unserer zahlreichen Partner, bei der Umsetzung der EU-DSGVO auf Ihrer Website und in Ihrer IT-Umgebung weiter! Sprechen Sie uns an!