Warum es gut und richtig ist, dass sich nun auch Blogger, Vereine und kleine Unternehmen mit der DSGVO (dem Datenschutz) auseinandersetzen (müssen)

Leider herrscht große Verunsicherung bei vielen Bloggern, Vereinen und kleinen Unternehmen im Bezug auf die Umsetzungen der DSGVO. Daran ist weniger die DSGVO als die bisherige Nichtbeachtung der geltenden Datenschutzgesetze Schuld. Das es Zeit wird, dass sich auch an diesen Stellen mit Datenschutz und den eigenen Tätigkeiten auseinandergesetzt wird, zeigen die aktuellen Diskussionen, Beiträge und Kommentare sowie die Drohung (teilweise leider auch mit Umsetzung) des Abschaltens von Internetseiten oder dem Zurücktreten von Vereinsvorständen.

Blog
Wo ist das (Datenschutz)Problem?
Wenn Blogger eine Seite betreiben um über ihr Hobby (bspw. Fitness, Marathon etc.) oder über ihre Erfahrungen mit einer Erkrankung (bspw. Krebs, Depression, MS etc.) zu berichten, ist das in der Regel durchaus gesellschaftlich bereichernd. Es hilft anderen in ähnlichen Situationen. Es gibt Tipps und Erfahrungsaustausch dazu.

Wenn dieser Blog nun externe Scripte (bspw. Google Analytics, Facebook Like Button) einbindet, können diese von den Anbietern dieser externen Scripte für Profilbildungen genutzt werden. Hierzu muss das Script nur eingebunden sein, schon wird die IP (unwichtig), der digitale Fingerprint (ziemlich eindeutig) und die URL (unter Umständen durchaus sehr sensibel) an den Anbieter des externen Scriptes (bspw. Google, Facebook etc.) übertragen und ausgewertet.

Was ist daran schlimm?
Der Anbieter dieses externen Scriptes erstellt nun Profile und bietet diese Werbetreibenden zur besseren Aussteuerung ihrer Werbung an. Diese Profile werden auch über Personen erstellt, die bewusst nicht bei den Netzwerken der externen Scriptanbieter (sofern diese ein solches überhaupt anbieten) angemeldet sind.

Eine Versicherung kann somit festlegen, dass die Werbung für eine besondere Krankenzusatzversicherung nur Personen angezeigt wird, die jung sind, sich für Fitness interessieren und die gesunde Ernährung bevorzugen. Ebenso kann die Versicherung festlegen, dass die Werbung bestimmten Personen erst gar nicht angezeigt wird, weil man sich z. B. für bestimmte Krankheiten interessiert hat. Aus der Praxis weis ich, dass es Kampagnen gab, bei denen diesen beiden Zielgruppen jeweils der gleiche Werbebanner angezeigt und dann im Hintergrund getrackt wurde, über welchen Banner die Person auf die Versicherungsseite kam. Und dort dann die Daten verdeckt im Anfrageformular mitübergeben wurden, um ein dann lukrativen/s Termin/Angebot bzw. ein weniger lukrativen/s Termin/Angebot zu unterbreiten. Technisch kein Problem, moralisch fraglich und mit der DSGVO klar nicht mehr erlaubt (auch unter dem BDSG schon mindestens diskutierbar).

Ein Problem des Blogs?
Ja! Dieser entscheidet welche Scripte auf dem Blog eingebunden sind. Muss jeder Blog volles Retargeting über Google Analytics erlauben? Ist der Sinn die Tiefenanalyse der Besucher oder reicht es nicht auch zu wissen, wie viele Besucher allgemein die Seite besucht haben? Eine Entscheidung, die vom Betreiber des Blogs, dem/der Verantwortlichen getroffen werden muss.
Gerade bei sensiblen Themen ist hier eine besondere Sensibilität gefordert. Wie ich finde zurecht.

Die Lösung.
Einfach einmal überlegen, wie sensibel das Thema des Blogs für Betroffene tatsächlich sein kann. Schauen, welche PlugIns/Scripte alle aktiv sind und ob das tatsächlich notwendig ist. Es hilft auch schon sich zu fragen, ob der Umgang mit den Seitenbesuchern eigentlich respektvoll genug ist.

Ganz ähnlich bei Vereinen.
Auch diese haben eine Vielzahl von Daten von Vereinsmitgliedern. Das fängt bei dem Geburtsdatum an und geht über Einschränkungen und Krankheiten weiter. Mit diesen Daten müssen die Vereinsvorstände sehr sorgsam umgehen (was sie in der Regel auch tun werden). Es sind Kleinigkeiten, an die oft nicht gedacht werden und die jetzt (was gut ist), thematisiert werden.

Wenn bspw. eine Adressliste weitergegeben wird, ist es eben nicht nur eine Liste mit Adressen. Eine Liste der Selbsthilfegruppe HIV Betroffener an eine Druckerei weiterzugeben, um z. B. Einladungen zu drucken und zu verschicken, ist ein äußerst sensibler Vorgang. Denn hier muss die Druckerei sorgsam ausgewählt werden und auch der weitere Umgang mit den Daten geklärt sein. Dazu braucht es bspw. einen Vertrag zur Auftragsverarbeitung. Muster gibt es dafür, und im Idealfall wählt man einen Dienstleister aus, welcher einen solchen Vertrag kennt und bereithält. Denn dieser signalisiert damit direkt, dass er sich des Themas bewusst ist.

Ich habe selber früher Freizeiten für Kinder geleitet. Wir haben die Ausweise der Kinder inkl. Informationen über Krankheiten, Medikamente, Verhalten und Sorgerechtsstreitigkeiten bekommen. Das waren wichtige und vertrauensvolle Informationen. Da muss dann auch jedem klar sein, dass diese nicht einfach so z. B. offen im Fahrradkorb transportiert werden können!

Es gilt unbdingt zu schauen, wo und wie mit welchen Daten gearbeitet wird und welche Risiken es gibt.

Die Aufsichtsbehörden haben sehr gute Vorlagen und Kurzpapiere.
Wie unter https://www.lda.bayern.de/de/kleine-unternehmen.html

Niemand muss seinen Blog einstellen oder die Vereinsarbeit niederlegen. Aber jeder hat die Pflicht sich Gedanken dazu zu machen, wie er mit den Daten von anderen umgeht.

Die DSGVO gibt einen Rahmen und setzt an vielen Stellen auf Verhältnismäßigkeit. Aber diese richtet sich nicht nach der Größe des Bloggers oder des Unternehmens, sondern nach dem Risiko, welches für den Betroffenen besteht. Und das kann bei einem Blog mit einem sensiblen Thema, durchaus höher zu bewerten sein.

Informationen gibt es an verschiedensten Stellen. In meinen (kostenlosen) Vorträgen bei den IHK’s, Verbänden und Handwerkern waren in den letzten Monaten mehr als 2000 Personen. Diese haben alle Panik bezüglich ihres Geschäftsmodells gezeigt, weil vieles völlig überzogen dargestellt wird.

To-do:

Gedanken machen über die eigene Tätigkeit. Diese beschreiben (denn jeder sollte wissen was er macht und dies auch beschreiben können) und ein Verzeichnis der Verarbeitungen erstellen (Muster die auf ein DIN A4 Blatt passen, gibt es bei der Bayrischen Aufsichtsbehörde). Eine Übersicht der Aufsichtsbehörden habe ich HIER zusammengestellt, die weiter aktualisiert wird.

Feststellen, an wen Daten weitergegeben werden, um diese im Auftrag zu verarbeiten (wer macht etwas nach Weisung mit den Daten?). Und mit diesen Unternehmen einen Vertrag zur Auftragsverarbeitung abschließen. Am besten lässt man sich die Vorlagen vom Dienstleister geben und überprüft diese vorher noch einmal. Wenn der Dienstleister keine Vorlagen hat, könnte das schon ein erster Hinweis darauf sein, dass die Daten nicht so sicher verarbeitet werden, wie Ihr euch das für Eure Kunden wünscht.

Die Betroffenen (Eure Kunden, Seitenbesucher, Vereinsmitglieder) in der Datenschutzerklärung darüber informieren, was Ihr mit deren Daten genau macht.

Unbedingt anfangen was bisher (das Bundesdatenschutzgesetz gilt seit 2001; die DSGVO ist 2016 in Kraft getreten) versäumt wurde. Und aufholen, statt sich darüber zu beklagen wie schlimm die DSGVO ist.

Hilfestellung/Handreichungen für kleine Unternehmen und Vereine