DSGVO: Wie stark tangiert die Verordnung Technik-Redakteure?
Die Datenschutzgrundverordnung DSGVO hat im Vorfeld für viel Wirbel gesorgt und wenige Tage vor dem In-Kraft-Treten dieser ominösen Verordnung schien sich jeder in irgendeiner Form vor allem online dazu äußern zu wollen oder zu müssen.
Doch halt, in Kraft getreten ist die DSGVO bereits vor zwei Jahren, der 25.05.2018 ist das Datum der Anwendung im betreffenden Rechtsraum.
Dieser erstreckt sich über die nationalen Grenzen hinweg EU-weit, was eines der wesentlichen Ziele dieser Verordnung war und ist: endlich einen einheitlichen Standard in der Europäischen Union festzulegen.
Zwischen den Zeilen ist zu lesen, dass anscheinend immer noch viele Unternehmen nicht oder noch nicht adäquat darauf vorbereitet sein sollen und dass es für viele nicht einmal klar ist, ob sie überhaupt betroffen sind. So vermuten wir, dass auch viele Technik-Redakteure an dieser Stelle unsicher sind. Wer eine Webseite betreibt oder einen Onlineshop, weiß oder ahnt zumindest, dass er etwas tun muss.
Auch Technik-Redakteure betreiben Webseiten und wer auch nur eine Kommentarfunktion darin aktiviert, betritt den Bereich der personenbezogenen Daten. Doch Vorsicht ist bereits bei weniger offensichtlichen Vorgängen geboten, z.B. beim Umgang mit unseren geliebten Kommunikationsgeräten.
Weit verbreitete Unsicherheit
Die noch weit verbreitete Unsicherheit haben wir zum Anlass genommen, den Sachverhalt unter die Lupe zu nehmen sowie zu erklären und darüber hinaus zu prüfen, welche Bereiche für Technik-Redakteure relevant sein können. Dabei erhebt der Beitrag keinesfalls einen Anspruch auf Vollständigkeit.
Es geht um personenbezogene Daten
Im Prinzip geht es in erster Linie um den Umgang mit personenbezogenen Daten und ist damit nur relevant, wenn solche Daten erhoben, verarbeitet, gespeichert und vor allem an Dritte weitergegeben werden.
Bedeutung für Unternehmer
Wer als Technik-Redakteur eine Webseite betreibt und Besuchern via Kontaktformular die Möglichkeit gibt, mit einem Kommentar den Namen und eine Mailadresse zu hinterlassen, erhält auf diese Weise personenbezogene Daten. Meistens ist dazu eine Registrierung erforderlich, dazu muss der Besucher seinen Namen und eine E-Mail-Adresse angeben. Aufgrund des vielfältig möglichen Missbrauchs müssen Unternehmer nun detailliert angeben und auf Anfrage auch nachweisen, was sie mit den Daten, die sie erhalten, anstellen. Unternehmen sollen insgesamt strenger kontrolliert und bei Verstößen auch wesentlich strenger bestraft werden, als bisher.
Bedeutung für Privatpersonen
Die Rechte von Personen an den eigenen Daten sollen gestärkt werden. Jeder soll theoretisch das Recht haben, zu erfahren, was mit den eigenen Daten geschieht. Außerdem das Recht, die Nutzung der eigenen Daten jederzeit zu widerrufen sowie zu verlangen, diese zu löschen.
Transparenz ist das neue Zauberwort
Für alle soll eine verstärkte Transparenz der Daten sowie eine Transparenz der Vorgänge erreicht werden. Zumindest durch die Möglichkeit, jederzeit Auskunft über Umfang, Wege und Speicherorte der Daten zu erlangen. Inwieweit die diesbezüglichen Aussagen dann auch wirklich konsequent eingehalten werden, steht natürlich auf einem eigenen Blatt. Der Löschung der Daten kann jeder letztendlich nur vertrauen, eine Kontrolle wird kaum möglich sein.
Demgegenüber stehen ja Aussagen, wie „das Netz vergisst nie“. Oder die Tatsache, dass Daten durch einfache Löschvorgänge nicht gelöscht werden, sondern nur der entsprechende Speicherplatz wieder überschrieben werden kann.
Freiheit wird eingeschränkt
In diesem Zusammenhang sollte auch klar sein, dass unsere Freiheit durch derlei Maßnahmen eingeschränkt wird. Transparenz in dieser Hinsicht ist anscheinend nur durch Kontrolle und drakonische Strafandrohung möglich.
Beispiele für Berührungspunkte
Die folgenden Beispiele fallen Ihnen wahrscheinlich nicht unbedingt sofort ein, wenn es um personenbezogene Daten geht. Vielleicht haben Sie gedacht, Sie haben mit der Thematik wenig oder gar nichts zu tun? Prüfen Sie selbst.
Beispiel Kontaktdaten
Wir haben uns einen allzu sorglosen Umgang mit personenbezogenen Daten angewöhnt und finden nichts dabei, hunderte Kontaktdaten in unseren Smartphones herumzutragen. Was, wenn das Smartphone verloren geht? Gehört es nicht zu den Pflichten gemäß der neuen Verordnung, einen solchen Datenverlust zu melden? Das scheint übertrieben, der Gedanke hat mich jedoch nachdenklich gemacht und ich habe begonnen, nicht mehr benötigte Kontaktdaten zu löschen. Das gehört übrigens zu den Pflichten nach der DSGVO.
Tipp
In diesem Zusammenhang kann auch die Überlegung wichtig sein, welche Kontaktdaten Sie nicht freiwillig erhalten haben von einer Person direkt, sondern von Dritten und ob die betreffende Person damit einverstanden war. Im Zweifelsfall sollten Sie solche Daten löschen.
Beispiel BYOD
Auch in Bezug auf eigene Geräte, die Sie in der Firma (Bring your own device) oder bei einem Auftraggeber einsetzen, sollten Sie auf personenbezogene Daten achten. Was schlummert in Ihrem Notebook, das Sie einem Auftraggeber zum Aufspielen einer Software überlassen haben? Wissen Ihre Kontakte auf der Festplatte des Geräts, dass Ihr Notebook einen Tag mit u.U. sensiblen Daten dort ungeschützt verbracht hat?
Welche weiteren Gesetze müssen beachtet werden?
Bisher galt das Bundesdatenschutzgesetz (BDSG) sowie das Telemediengesetz (TMG). Das wird auch so bleiben, diese Gesetze werden im Zusammenhang mit der neuen DSGVO angepasst.
Welche Vorgaben sollten besonders beachtet werden?
Eine Reihe von Vorgaben ist nicht unbedingt jedem geläufig, sollte aber nun unbedingt beachtet werden. Sie sind auch im Zusammenhang mit den genannten Beispielen wichtig.
Datensparsamkeit
Erheben und bearbeiten oder speichern Sie nur Daten, die Sie für den jeweiligen Zweck unbedingt benötigen. Das bedeutet für das Beispiel der Kommentarfunktionen einer Webseite, dass für den Zweck, solche Kommentare zu beantworten, nur der Name und die Mailadresse des Besuchers nötig sind. Wenn Sie mit Kontakten nur per Mail oder Telefon kommunizieren, sind Daten wie das Geburtsdatum oder selbst die postalische Adresse nicht nötig.