DSGVO Projektmanagement – mit Benjamin Michels

von | Jun 4, 2018 | 0 Kommentare

Hallo und herzlich willkommen zum heutigen Live Video. Heute werde ich mit euch über die DSGVO sprechen. Wir haben, ab heute gesehen, noch sieben Tage Zeit. Ich vermute einige von euch sind ziemlich spät dran und haben auch die Herausforderung, dass sie noch das ein oder andere umsetzen müssen. Manch einer hat wahrscheinlich noch gar nicht begonnen und manch einer steckt vielleicht irgendwo mitten drin und hat die Angst, dass er nicht an alles gedacht hat.

Projektstrukturplan für die DSGVO

Deswegen habe ich einen Projektstrukturplan für die DSGVO gebaut. Wie du sie in deinem Unternehmen schnell und einfach umsetzen kannst. Ob das wirklich so schnell und einfach ist, sei nochmal dahingestellt – es sind dann doch relativ viele Arbeitspakete. Aber es ist etwas, was mit Struktur deutlich besser zu machen ist, als ohne. Und wenn man es aus Sicht des Projektmanagements sieht, können wir sagen, dass wir eine sehr große Zahl an Unternehmen in Deutschland haben, die gerade alle ein Projekt machen, und viele davon sind sich gar nicht bewusst, dass sie da gerade mitten im Projektmanagement stecken. Denn die Umsetzung der DSGVO auf das eigene Unternehmen ist definitiv ein Projekt.

Ich bin kein DSGVO Profi, das heißt ich mache keine Rechtsberatung und hafte auch nicht dafür. Dennoch stelle ich euch einen kostenlosen Projektplan zur Verfügung, den ihr euch gerne herunterladen könnt (im Post steht der Link dazu).

Ich bin das Ganze auf der Zeitachse angegangen und habe mir also angeschaut, wie man jetzt vorgehen müsste. Nehmen wir an, du bist jetzt wirklich sehr spät dran, dann hilft dir der Projektplan auf jeden Fall.
Wenn du noch gar nichts von der DSGVO gehört hast, brauchst du zunächst ein Basiswissen, hierzu reichen aber zwei bis drei Artikel um hier direkt einsteigen zu können.
Wir lesen das Ganze von links nach rechts, das sind die Teilprojekte die ich identifiziert habe.
Da steht kein Anspruch auf Vollständigkeit, aber das ist das, was wir machen.

Der Datenschutzbeauftragte und die Prüfung auf Notwendigkeit

Brauchst du überhaupt einen Datenschutzbeauftragten?
Das ist keine ganz unrelevante Frage. Soweit ich weiß, brauchst du einen Datenschutzbeauftragten ab zehn Personen. Entweder solltest du einen externen beauftragen, der diese Rolle übernimmt, oder du schulst einen internen Mitarbeiter.
Selbst als Unternehmensinhaber darfst du das nicht machen.

Datenschutzerklärung

Auf der linken Seite siehst du übrigens die Sachen, die ich als ganz dringendes „Must have“ sehe. Diese solltest du sofort umsetzen, da wir nur noch sieben Tage Zeit haben. Und das ist das, was man nach außen sieht, also das was auf dem ersten Schritt Abmahnfähig oder strafbar ist.

Der erste Schritt hierbei ist die Datenschutzerklärung. Du musst dir überlegen: „Welche Webseiten-Projekte haben wir denn alles.“ Das hängt natürlich davon ab, wie du als Unternehmen aufgestellt bist.
Wir haben bei uns durchaus mehrere Projekte. Wenn du nur eine Seite hast, ist es für dich relativ einfach, da du dann nur für die eine Seite eine neue Datenschutzerklärung brauchst. Wenn du allerdings mehrere hast, empfehle ich dir auf jeden Fall eine Übersicht zu erstellen, damit du einfach etwas zum Abhaken hast.
Dann heißt es die Datenschutzerklärung neu schreiben und umschreiben. Und der Rollout auf den ganzen Webseiten, das heißt dass sie dort auch wirklich angezeigt werden. Ich empfehle dir, dass noch einmal Sicherheit zu prüfen. Auch wenn du das an einen Mitarbeiter oder einer Mitarbeiterin gibst, checke es nochmal zur Sicherheit ob es wirklich stimmt, ob es wirklich da ist, ob alles verständlich erklärt ist, ob die darin enthaltenen Links zu irgendwelchen Tools auch wirklich funktionieren.

Webseiten (Plugins)

Jetzt nehmen wir an, du hast die Datenschutzerklärung hinter dir, dann heißt es in die Webseite bzw. auch in die Plugins zu gehen. Der erste Schritt ist https: deine Webseite sollte zukünftig also nur noch über https erreichbar sein. Und auch hier brauchst du wieder eine Liste der betroffenen Seiten, die umgestellt werden sollen. Hier können wir noch dazu nehmen, dass du entsprechend 301 Weiterleitungen einrichten solltest, so dass alle bisherigen Links über eine permanente Weiterleitung auf die neuen https URL Stränge führen.

Dann gibt es noch die Thematik „Cookie und Pixel“, die ist nicht ganz unkompliziert, weil du überhaupt erstmal eine Liste erstellen musst welche Cookies und welche Pixel du überhaupt alle verwendest. Das kann durchaus aufwendig sein, je nachdem wie viele Projekte du hast. Du musst herausfinden: „wo werden Daten von irgendeinem Tool irgendwohin weiter gegeben“. Diese müssten unter Umständen auf rechtliche Machbarkeit geprüft werden – also kannst du diesen Plugin, Cookie oder Pixel überhaupt weiter benutzen? Es gibt Services, die sind einfach noch nicht DSGVO konform. Zum Beispiel bei clickfunnel. Hier habe ich jetzt schon von mehreren Leuten gehört, dass sie diesen nächste Woche abschalten und andere Services nutzen wollen. Dann empfehle ich dir, dass du einen Plugin zum Opt-out installieren solltest, damit die Leute auch die Möglichkeit haben diese Funktion für Cookies und Pixel zu nutzen. Solltest du Google Analytics nutzen, empfiehlt es sich natürlich auch noch das entsprechend umzusetzen. Google Analytics bietet ja schon ein, zwei Sachen, aber die musst du noch einmal initial richtig einstellen.

Kopplungsverbot

Wenn du das gemacht hast, dann bist du schon relativ weit.
Jetzt stellt sich aber noch die Frage des Kopplungsverbotes. Das heißt: wirbst du irgendwo Newsletter Daten ein – also tragen Leute Email Adressen ein und kriegen dafür irgendeine Art von Freebies?
Dann auch hier bitte erst einmal eine Liste der betroffenen Landingpages erstellen – einfach für dich, dass du eine Übersicht hast und nicht das Gefühl in diesem ganzen Chaos unterzugehen. Wenn du das getan hast, müssten diese Landingpages natürlich umgebaut werden. Es gibt ein, zwei Ansätze um das Kopplungsverbot konform zu machen: du darfst im Endeffekt keinen Eintrag für Email Adressen – also, dass die Leute sagen sie wollen Werbemails von dir bekommen – mit einem Geschenk kombinieren. Das muss voneinander losgelöst sein. Hier gibt es durchaus ein, zwei Ansätze – es lohnt sich danach zu googlen. Das muss aber auf jeden Fall umgesetzt werden, denn man sieht auf dem ersten Blick ob es DSGVO konform ist oder nicht.

Verarbeitungsverzeichnis

Bisher hatten wir also die Sachen, die im Front-End zu sehen sind, jetzt kommen wir zu den Sachen, die man vor allem im Backend tun muss. Also nicht im technischen Backend, sondern bei euch im Unternehmen – wo man auf den ersten Blick nicht reingucken kann, wo aber auf dem zweiten Blick schon eine Prüfung stattfinden kann. Du musst es zum 25.05 haben, also in sieben Tagen. Dennoch wird es manch einer vielleicht erst später haben. Diesen Projektplan kannst du dir auch kostenlos runterladen. Den findest du verlinkt in der Beschreibung – das kann ich nur empfehlen.

Besorg dir für das Verarbeitungsverzeichnis eine Vorlage, also kaufe dir etwas dafür. Du wirst für das DSGVO Thema Geld ausgeben müssen, das bleibt nicht aus – also mach es dir nicht zu schwer und kaufe dir eine Vorlage oder lade sie herunter.

Dann geht es um die Vorrecherche. Du musst dir Gedanken darüber mache: „Wo werden Daten entgegengenommen?“ Das heißt, wo hat man bei dir überall die Möglichkeit, Daten an dich zu geben, wo nimmst du sie in Empfang? Zum Beispiel in deinen Emails oder auf irgendwelchen Kontaktformularen. Und welche Tools, Agenturen oder Dienstleister erhalten Daten? Nehmen wir an du hast einen Freelancer, der Sachen für dich macht. Kommt er mit Kundendaten in Kontakt? Hat er Userdaten von dir oder hat er sie nicht? Insgesamt gesagt: wohin fließen diese Daten? Das empfehle ich dir unbedingt vorher zu machen, das macht es nämlich deutlich einfacher so ein Verarbeitungsverzeichnis zu erstellen. Dann geht es nämlich genau darum: du erstellst dieses Verarbeitungsverzeichnis, du erfasst wo die Daten hinfließen und du musst dann natürlich den Punktvermerk machen – technisch organisatorische Maßnahmen ergänzen – zum Schutz dieser Daten. Das ist etwas, was dich durchaus Zeit kosten wird. Je nach Unternehmen. Aber auch bei kleinen Unternehmen glaube ich nicht, dass du unter vier, fünf Stunden für das Verarbeitungsverzeichnis benötigst. Alleine schon, weil du dich zunächst einlesen musst und gar nicht weißt wie so ein Verarbeitungsverzeichnis funktioniert und wie du diese Vorlage bearbeitest. Wir müssen also einfach davon ausgehen, dass du Zeit brauchst um darein zu kommen und es an deine Bedürfnisse anzupassen.

Auftragsdatenverarbeitung (ADV Vertrag)

Dann brauchst du die Verträge zur Auftragsdatenverarbeitung. Das heißt, du gibst Daten weiter – vielleicht bekommst du auch von irgendwo Daten. Bei uns ist es so, wir geben und wir bekommen Daten. Und genau das ist die Herausforderung, weil wir die ADV Verträge immer in zwei Richtungen machen müssen. Wir sind logischerweise nicht immer in der Bringschuld, aber trotzdem müssen wir uns damit strukturiert auseinandersetzen. Auch hier brauchst du erst einmal eine Liste der betroffenen Tools, Agenturen und Dienstleister. Und dann empfehle ich dir: bitte kaufe dir von Profis eine Vorlage und fange nicht an diese Dinge selbst zu schreiben, das ist einfach Zeitverschwendung. Meine absolute Empfehlung hierfür: Sabrina Keese-Haufs von lawlikes bietet hierzu vieles an. Ansonsten gibt es von der t3n auch noch ein Paket für 99 Euro, was ich auch nur empfehlen kann.
Dann musst du diese Verträge erstellen, also auf dich anpassen – ich würde auch immer noch eine Schweigepflichtsvereinbarung integrieren, wenn sie nicht mit drin ist. Wenn einer deiner Dienstleister zum Beispiel mit deinen Kundendaten in Kontakt kommt, dass er dann entsprechend auch eine Schweigepflicht hat.
Und dann musst du diese ganzen Toolanbieter kontaktieren. Jetzt hast du natürlich die Herausforderung, dass du nicht der Einzige bist, der das gerade macht. Das machen gerade Unmengen an Unternehmen die andere Unternehmen wegen ADV Verträgen kontaktieren und das führt gerade dazu, dass natürlich die Bearbeitungszeiten deutlich länger sein werden. Du musst jetzt schon davon ausgehen, dass es effektiv erst nach den 25.05 alles erledigt ist. Dann empfehle ich dir noch, dass du für dich eine Checkliste hast. Eine Übersicht mit all den erfolgten und ausstehenden ADV Verträgen, damit du nicht den Überblick verlierst.
Wenn du das hast, dann hast du auch schon richtig viel.

Prozess für Auskunftsansprüche

Anschließend kommt noch der Prozess für Auskunftsansprüche. Wenn jetzt zum Beispiel jemand kommt und wissen will welche Daten du von ihm hast und wie die verarbeitet werden. Den Prozess vorher zu designen macht total Sinn. Sodass zum Beispiel jeder der Emails beantwortet weiß, wie er damit umzugehen hat, wenn so eine Anfrage reinkommt. Hier sollten also auch Kontaktmöglichkeiten hergestellt werden: eine Liste der betroffenen Webseiten, eine entsprechende DSGVO Kompakt- oder Datenkompaktmöglichkeit einrichten. Diese Seite würde ich dann im Footer verlinken, weil du dann, was technisch-organisatorische Maßnahmen angeht, einfach Nachweisen kannst, dass du dich mit dem Thema auseinandergesetzt und es strukturiert gelöst hast.
Dann geht es in den Prozess: die Prozessschritte definieren.
Wie findet die Auskunftsabteilung statt. Wer ist intern dafür verantwortlich? Wie sind die Eskalationsmaßnahmen? Also wenn etwas nicht klappt, ab welchem Punkt geht es dann an die Geschäftsführung oder an den Datenschutzbeauftragten?

Intern

Dann hast du noch interne Hausaufgaben zu machen: du hast Datenschutzstandards für deine Mitarbeiter festzulegen. Deine Mitarbeiter sollten außerdem geschult werden. Und diese Schulung sollte dokumentiert und unterschrieben werden. Wenn du das noch nicht in deinen Arbeitsverträgen drin hast, dann ist auch eine Schweigepflicht unerlässlich. Dieser Punkt wird ganz gerne vernachlässigt, ich finde ihn aber essenziel. Du musst auch Nachweisen, dass deine Mitarbeiter das entsprechend umsetzen.

Löschkonzept für Daten

Hier musst du erst einmal prüfen: welche Daten dürfen oder müssen gelöscht werden? Ich habe zum Beispiel gerade einen Datenverarbeitungsvertrag unterschrieben, wo wir nach erfolgten Trainings die Daten der Teilnehmer, mit denen ich in Kontakt komme, unwiederbringlich löschen müssen. Das heißt in unserem Emailsystem werden diese getackt, dass ich sie wiederfinde, und nach einer bestimmten Zeit von uns händisch gelöscht. Hier muss aber auch ganz deutlich geklärt sein, wann und von wem sie gelöscht werden und ob ich sie überhaupt löschen darf. Das muss ich vielleicht sogar schriftlich festhalten, dass ich diese Daten gelöscht habe. Aber ich darf nicht festhalten welche Daten ich gelöscht habe. Hier sehen wir also, dass es an dieser Stelle ein bisschen kompliziert ist.

Facebook

Wer ist eigentlich für die Datenverarbeitung auf deiner Facebook Fanpage verantwortlich? Da wird es ein Urteil geben, erwartet am 5. Juni 2018 (siehe Link in der Beschreibung zu diesem Fall).

Die Frage Widgets, Share, Like, etc. ist ebenfalls noch nicht eindeutig geklärt.

Viel Erfolg

Wir sehen also, so ein DSGVO Projektplan ist eigentlich nicht kompliziert. Es wird allerdings nichts sein, was man an einem Nachmittag macht oder was jetzt extrem einfach ist.

Wenn du eine Vorlage zur Vorgehensweise suchst, also keine Vorlage wie du es konkret inhaltlich umsetzt, dann sollte dir dieser Projektplan weiterhelfen.

Ich wünsche dir ganz viel Erfolg bei der Umsetzung der DSGVO und bitte denke immer daran: da lauern jede Menge Projekte auf dich, bei denen du gar nicht weißt, dass das Projekte sind. Gerade laufen in Deutschland einfach Unmengen von DSGVO Projekte und die meisten dieser Menschen, die damit beschäftigt sind, sind sich gar nicht so richtig bewusst, dass es Projekte sind und das hier Projektmanagement sinnvoll wäre.

Bis zum nächsten Mal.

[thrive_leads id=’29658′]