Die neue Datenschutz-Verordnung

26. Februar 2018

Der Countdown läuft. In 91 Tagen ist es soweit. Die neue Datenschutzverordnung tritt in Kraft. Sie betrifft restlos alle UnternehmerInnen. Natürlich sind auch Websites davon betroffen. Ich habe Datenschutzexperten Michael Schmid von itistok.at interviewt.

Artikelbild

apfelblau: Die DSVGO - die neue Datenschutzverordnung - sie schwebt wie ein Damoklesschwert über den Köpfen der UnternehmerInnen. Teils herrscht Panik, teils Resignation, wie schätzt du die Lage als Experte ein? Besteht Grund zur Panik?

Michael Schmid: Panik? Sicher nein. Etwas Zeit ist ja noch und gerade für die kleineren Unternehmen sollte die in jedem Fall ausreichen. Ich sehe daher für die UnternehmerInnen eher eine CHANCE, sich nun einmal ein wenig mit dem Umgang mit personenbezogenen Daten der Partner auseinander zu setzen. Dieser geht ja auch weit über den Bereich der Datenverarbeitung hinaus und unabhängig von Gesetzen mit Strafandrohungen werden ja auch Kunden und Lieferanten immer sensibler, was dieses Thema angeht. Wer hier entsprechende Strukturen vorweisen kann, hat sicher einen Wettbewerbsvorteil.

apfelblau: Das erschreckende ist ja das Strafmaß, das sich immens erhöht hat. Was ist neu daran?

Michael Schmid: Bisher waren die Strafen oft geradezu lächerlich! Das hat sich nun drastisch geändert. Aber man muss auch festhalten, dass es keine Mindeststrafen gibt und dass gerade die "Kleinen" bei minderen Verstößen eventuell mit dem sprichwörtlichen "blauen Auge" davon kommen werden. Das aber sicher nur bei Erstvergehen

apfelblau: Ganz konkret für Website-Betreiber: Worauf muss ist hier achten? Wie ist s zB. mit dem Kontaktformular?

Michael Schmid: Es sollte eigentlich überhaupt keine Webseiten OHNE Verschlüsselung mehr geben. Wenn über die Webseite (personenspezifische) Daten eingegeben werden können, ist das nun aber ein absolutes MUSS, da ansonsten sicher ein Verstoß gegen die DSGVO vorliegt. Zusätzlicher Hinweis: Google wird im Chrome bald ALLE Webseiten ohne Verschlüsselung in Zukunft als unsicher melden und außerdem solche Seiten in den Suchergebnissen noch weiter zurückstufen.

apfelblau: Newsletter und Abos sind wieder en vogue und bringen Besucher auf die Website. Es wird von Double-Opt-In-Verfahren gesprochen. Kannst du hierzu etwas sagen?

Michael Schmid: Double-Opt-In ist spätestens ab Mai auch ein MUSS. Das heißt, dass der Interessent den Newsletter bestellt (z.B. über die Homepage). Als Antwort bekommt er ein E-Mail mit der Bestellbestätigung, das er nochmals bestätigen muss, um endgültig in den Newsletter-Verteiler eingetragen zu werden. Darüber hinaus muss jeder Newsletter der dann an ihn ergeht, einen Hinweis auf eine einfache Abmeldung enthalten. Das kann ein Link zum Newslettersystem sein oder aber auch ein Hinweis, dass ein Email mit dem Betreff STOP gesendet werden soll.

apfelblau: Spielt es eine Rolle, wo meine Website gehostet wird?

Michael Schmid: Prinzipiell nein. Sobald aber im Bereich des Hostings (am Server) Daten gespeichert werden, sollte man strikt darauf achten, dass der sich Server und der Hoster physikalisch/geografisch im Geltungsbereich der DSGVO befindet.

apfelblau: Muss ich als Website-Betreiber jetzt alles bis ins kleinste Detail dokumentieren? Wie sieht es mit der Dokumentationspflicht aus?

Michael Schmid: Solange direkt am Server keine Daten gespeichert werden ist alles eher unkritisch. Andernfalls sollte man darauf achten, dass für den Provider ebenso die DSGVO gilt, d.h., er sollte mit der Firmenadresse und den Serverstandorten in der Europäischen Union zu Hause sein. Werden mehr und/oder kritische Daten auf den Servern abgelegt, dann sollte man mit dem Betreiber einen Vertrag zur Auftragsdatenverarbeitung abschließen. Das gilt z.B. auch für Google, wenn man deren Analyse-Dienst (Google Analytics) nutzt.

apfelblau: Abgesehen von der Website. Datenschutz hat ja aus meiner Erfahrung auch viel mit dem eigenen Kommunikationsverhalten zu tun. Gibt es abschließend etwas, was dir als Datenschutzexperte auf der Seele brennt? Hast du einen Tipp?

Michael Schmid: Wichtigster Punkt ist sicher der Umgang mit den sozialen Medien. Hier muss  man strikt darauf achten, dass keine personenspezifischen Daten (das gilt auch für Bilder!) von Geschäftspartnern jeder Art dort landen. Ebensowichtig ist aber der Einsatz von Apps auf Smartphones, die Zugriff auf die Kontaktdaten verlangen. Zu leicht können von dort aus Daten von Kunden und anderen Partnern auf Datenspeicher gelangen, die nicht der DSGVO unterliegen oder wo man mit den Betreibern keinen Vertrag zur Auftragsdatenverarbeitung hat. Als besonders kritisch hat sich hier - einerseits auf Grund der Verbreitung, andererseits auf Grund von bekannten Zugriffsmöglichkeiten - WhatsApp erwiesen. Während die Kommunikation in diesem Falle sehr sicher ist, werden Kontaktdaten sehr leichtfertig verwaltet.

apfelblau: Michael, möchtest du uns abschließend noch ein paar Sätze über dich und deinen beruflichen Background verraten.

Michael Schmid: Ich bin nun fast unglaubliche 40 Jahre in der EDV-Branche tätig und habe entsprechend viel gesehen und erlebt. Seit mehr als 13 Jahren leite ich Projekte und vielfach in Umgebungen, wo die Sicherheit eine zentrale Rolle spielen muss. Genauso lange beschäftige ich mich also intensiv mit diesem Thema. Es gibt zwar sehr viele, überaus kompetente Veröffentlichungen und Veranstaltungen zur DSGVO, viele davon überfordern aber meiner Erfahrung nach gerade Klein(st)unternehmenInnen und/oder FreiberuflerInnen ohne fachlichen Bezug zur Datenverarbeitung. In diesen Fällen ist einfach eine individuelle Betrachtung der Situation wesentlich effizienter und kostengünstiger, erfordert vor allem viel weniger persönlichen Zeitaufwand für die Betroffenen.


 Michael Schmid, IT-Projektleiter, Datenschutzexperte

Michael Schmid Datenschutzexperte

https://itisok.at/, Tel. 0664 9604375