DSGVO
Was tun und wie?
Am 25.5.2018 wird die Datenschutzgrundverordnung (DSGVO) wirksam. Journalisten sind von vielen Regelungen ausgenommen - aber diese Pflichten gelten auch für sie:
I. Datenschutzerklärung
Auf Ihrer Website müssen Sie eine Datenschutzerklärung veröffentlichen. Darin listen Sie auf, welche personenbezogenen Daten Sie von den Nutzern Ihrer Seite erheben, was Sie damit machen und für welchen Zweck.
1. Schritt: Notieren Sie für sich auf einem Zettel, welche Daten Sie auf Ihrer Website verarbeiten, damit Sie einen Überblick bekommen. In Ihre Datenschutzerklärung gehören sowohl der "sichtbare" Teil wie z.B. Kontaktformular, Kommentarmöglichkeit, wie auch der "unsichtbare" Teil, z.B. der Einsatz von Analyseprogrammen.
2. Schritt: Suchen Sie sich aus den Mustern die entsprechenden Formulierungen und erstellen Sie damit die Datenschutzerklärung, die Sie dann in Ihre Website einbauen.
Nutzen Sie Schritt 1 auch zum „Ausmisten“: Ist die Kommentarfunktion für Ihre Arbeit wichtig oder nur ein Tool, das Sie beim Bau Ihrer Seite testweise hinzugeklickt haben, vielleicht ebenso wie Analyse- und Trackingtools? Wollen Sie eine Website, die Sie vor Jahren zu Versuchszwecken aufgesetzt haben, nicht endlich abschalten?
Für die Datenschutzerklärungen gibt es gute Muster, die Sie wie Baukästen benutzen können (Liste ist nicht abschließend):
a) Für jede Website und damit auch für Journalisten als „Gerüst“ ist das Muster vom Anwaltverein geeignet.
b) Besondere journalistische Fragen beantwortet der DJV im aktualisierten „Tipps für Freie“. Dort auf S. 24-36 geht es um die Datenschutzerklärung. Sie können die Erklärung für Ihre Seite anpassen und komplett verwenden oder Bausteine daraus z.B. in das Muster des Anwaltvereins übernehmen.
c) Sehr ausführlich ist das Muster, das Prof. Hoeren von der Uni Münster veröffentlicht hat, auch hier bietet sich die Übernahme der für Sie passenden Bausteine etwa in das Muster des Anwaltvereins an.
Die Datenschutzerklärung muss von jeder (Unter-) Seite Ihres Webauftrittes aufrufbar sein, dafür bietet sich der Footer an.
II. Verarbeitungsverzeichnis
Hier schreiben Sie auf, welche personenbezogenen Daten Sie außerhalb Ihrer Website verarbeiten, wofür und wie lange. So können Sie Ihre gesetzlichen Rechenschaftspflichten erfüllen. Das Verarbeitungsverzeichnis gehört nicht auf die Website, sondern in stets aktueller Fassung in Ihren Aktenschrank.Teile des Verzeichnisses sind die technischen und organisatorischen Maßnahmen (TOM), die Sie zum Schutz der von Ihnen verarbeiteten personenbezogenen Daten getroffen haben. Dazu gehören vor allem (a) die Sicherung der Vertraulichkeit insb. durch Zugangs- und Zugriffskontrolle, (b) die Sicherung der Integrität der Daten, z.B. durch Verschlüsselung, (c) die Sicherung der Verfügbarkeit, z. B. durch Backups. Prüfen Sie regelmäßig, ob Ihre TOM noch (annähernd) dem Stand der Technik entsprechen.
Nutzen Sie hier die Möglichkeit, Ihren Umgang mit vertraulichen Daten zu verbessern. Verschwenden Sie Ihre Zeit nicht mit der Frage, ob Sie unter eine Ausnahmeregelung für Verarbeitungsverzeichnisse fallen.
Auch für das Verarbeitungsverzeichnis gibt es Muster, wie den mit allen Aufsichtsbehörden in Deutschland abgestimmten Text (rechts auf der Seite als „Muster Verarbeitungsverzeichnis Verantwortlicher“) als pdf.
Die Gesellschaft für Datenschutz und Datensicherheit GDD stellt ein etwas ausführlicheres Muster als docx zur Verfügung (GDD-Praxishilfe DS-GVO V)
III. Auftragsverarbeitung
Wenn jemand in Ihrem Auftrag personenbezogene Daten verarbeitet, müssen Sie darüber einen Vertrag abschließen. Neu ist, dass nicht mehr nur Sie datenschutzrechtlich verantwortlich sind, sondern auch der Auftragsverarbeiter, der bestimmten gesetzlichen Pflichten unterliegt.
Auf der GDD-Seite finden Sie auch ein Mustervertrag für die Auftragsverarbeitung (GDD-Praxishilfe DS-GVO IV).
AW 14.05.2018