Heute Nacht um 0:00h tritt die neue EU-Datenschutzgrundverordnung ( DSGVO / GDPR ) in Kraft und nach wie vor erreichen uns viele Fragen zu diesem Thema. Deshalb wollen wir Euch hier noch einmal alle Infos gebündelt geben, die wir in den letzten Wochen und Monaten so über unsere Kanäle geteilt haben. Was ist zu tun? Was verändert sich? Was bedeutet das für uns als Anbieter und was bedeutet es für unsere Besucher? – Hier erfahrt Ihr es…

Vorab dieser rechtlich notwendige Hinweis: Wir als Online Coaching Akademie können keine rechtliche Beratung bieten. Deshalb sind das Folgende einfach nur ein paar Hinweise und Insights, ohne Gewähr, Anspruch auf Vollständigkeit oder Richtigkeit und ohne Garantie.

Wir haben bereits über Facebook über das Thema informiert und haben auch bereits ein Webinar mit unseren Freunden Tolga und Alex von der innovativen Verkaufsplattform “elopage veranstaltet. Die Aufzeichnung findet Ihr hier auf unserem YouTube-Kanal.

Ein weiteres Webinar, also der zweite Teil zu dieser Webinarreihe folgt am Dienstag, 29.05.2018 und Ihr könnt Euch hier kostenlos anmelden, um live dabei zu sein.

elopage stellt Euch zusammen mit der Anwältin Sabrina Keese-Haufs von lawlikes einen kostenlosen Kurs zur Verfügung, in dem Ihr alle Themen die wir im Folgenden nur anschneiden können, individuell vertiefen könnt. Klickt hier um zum Kurs zu gelangen.

Doch worum geht es bei der DSGVO eigentlich und was ist zu beachten? Kommen wir zu den wichtigsten Punkten und Infos:

Leider ist bei der DSGVO noch vieles sehr unklar. Zum einen gibt es viele Lücken, die von den einzelnen Mitgliedsstaaten gefüllt werden sollen, und die lassen da leider sehr auf sich warten. Dann gibt es viele Unklarheiten, die einer 100%igen Umsetzung der DSGVO im Wege stehen.

Beispielsweise bist Du zwar verpflichtet, Daten 10 Jahre lang für das Finanzamt aufzubewahren, aber auf der anderen Seite will die DSGVO, dass Du personenbezogene Daten innerhalb einen Monats löschst (bzw. mit Ansage nach 2 Monaten). Hier gibt es also einen Konflikt…

Auch gibt es technische Anforderungen, die nicht wirklich umsetzbar sind. So muss es dem Besucher beispielsweise frei stehen, ob Cookies etc. verwendet werden. Du darfst aber niemandem den Zugang zu Deiner Seite verwehren. Viele PlugIns arbeiten nun einmal mit Cookies und würden ohne überhaupt nicht funktionieren. Schwierig also…

Nach diesen wahrscheinlich wenig hilfreichen und eher verwirrenderer Infos, kommen wir zu dem, was getan werden kann. Unser aller Anspruch sollte sein, so viel umzusetzen, wie möglich ist, und das Folgende kann und sollte schnellstmöglich angegangen werden:

1. Verschlüsselung der Website

Einer der wichtigsten Punkte dürfte die Verschlüsselungs-Pflicht sein. Wer noch keine HTTPS-Seite hat, sondern noch einfaches HTTP benutzt, der hat ein Problem. Wir können zwar nicht sagen, ob etwas an den Gerüchten dran ist, dass solche Seiten einfach offline gehen werden, doch wir haben in den letzten Wochen und Monaten vermehrt Probleme bei Aufrufen unverschlüsselter Seiten bemerkt. Auf jeden Fall dürften solche Seiten ein gefundenes Fressen für Abmahn-Anwälte sein und die Verschlüsselung ist in den meisten Faällen ganz leicht nachzurüsten. Wie das geht, könnt Ihr beim jeweiligen Provider (Strato, 1&1, All-Inkl etc.) erfahren.

2. AV-Verträge

Du brauchst für jeden Anbieter, der von Dir personenbezogene Daten bekommt, einen Vertrag über die Auftragsdatenverarbeitung. Zu personenbezogenen Daten gehört übrigens bereits die IP-Adresse. Anbieter für Autoresponder, CRM-Systeme, Rechnungsprogramme etc. aber auch Google oder Facebook müssen diesbezüglich angeschrieben werden. Teilweise gibt es bei den Anbietern auch Seiten, auf denen man einen solchen Vertrag anfordern kann. Dieser muss dann ausgedruckt, unterschrieben und oft in zweifacher Ausführung an das Unternehmen gesendet werden.

3. Verfahrensverzeichnis

Du musst auf Deiner Website ein so genanntes Verfahrensverzeichnis zur Einsicht bereit stellen. Darin beschreibst Du sämtliche Prozesse, die bei Dir geschäftlich erfolgen, mit Fokus auf die Daten, die gesammelt und verarbeitet werden. Es muss darin ersichtlich sein, welche Daten Du sammelst, warum Du diese Daten sammelst, was damit passiert, an wen sie evtl. weitergegeben werden und natürlich warum. Weiter wie und wo Du diese Daten speicherst und wann sie wieder gelöscht werden. Hier gilt das Prinzip der Datensparsamkeit. Es dürfen also keine Daten mehr erhoben werden, die nicht unmittelbar für den Zweck erforderlich sind.

Außerdem ist neu das “Recht auf Vergessenwerden”, was bedeutet, dass Datensätze gelöscht werden müssen, wenn beispielsweise ein Email-Empfänger nicht aktiv mit Dir interagiert.

4. Aktives Double-OptIn

Mit der DSGVO musst Du zwingend eine aktives Double-OptIn einführen. Das bedeutet, dass Checkboxen in Zukunft nicht mehr vorausgewählt sein dürfen. Double-OptIn bei Emails dürfte ja klar sein, aber in Zukunft reicht es beispielsweise nicht mehr aus, das Einverständnis zur Verwendung von Cookies vorauszusetzen, wenn der Besucher auf der Seite Navigiert oder Scrollt. In Zukunft muss er aktiv einen Harken setzen oder Ähnliches.

5. Dokumentation

Künftig müssen alle personenbezogenen Daten und die damit verbundenen Prozesse zentral gespeichert werden. Es muss also eine Datenbank, ein Sheet oder was auch immer existieren, in dem nachzuvollziehen ist, welche Daten wann und wo, zu welchem Zweck gesammelt wurden. Wie wurden diese Be- und Verarbeitet, an wen wurden sie auf welchem Wege weitergeleitet? Und, und, und…

6. Kopplungsverbot und Zweckbindung

In Zukunft darf das Anfordern eines Leadmagnet nicht mehr damit gekoppelt sein, dass der- oder diejenige auch im Newsletterverteiler landet. Dies darf zwar zusätzlich angeboten werden, doch muss auch hier aktiv die Wahl getroffen werden. Der Harken darf also auch hier nicht vorab gesetzt sein.

Es gibt eine Zweckbindung, weshalb in Zukunft nur noch Informationen für das spezielle Angebot oder zu etwas Passendem gesendet werden darf. Hat jemand beispielsweise den Report “Optimales Hundecoaching” heruntergeladen, so darf er in Zukunft nur Angebote und Inhalte in Verbindung mit Hundecoaching erhalten und keine Angebote mehr, die nicht direkt mit dem Thema zu tun haben.

7. Folgenabschätzung

Es muss (schriftlich) eine Analyse durchgeführt werden, aus der hervor geht, was schlimmstenfalls die Folge für die Betroffenen ist, wenn deren Daten Unbefugten in die Hände fallen (z.B. durch einen Hackerangriff). In unseren Fällen dürfte das recht einfach sein, da nur die wenigsten Coaches wirklich heikle Daten wie Bankverbindungen oder Sozialversicherungsnummern haben. Trotzdem muss solch eine Analyse erstellt werden, aus der auch hervorgeht, wie die entsprechenden Behörden über den Datenverlust informiert werden. Diese Folgenabschätzung muss nicht öffentlich zur Verfügung gestellt werden, doch muss sie auf Anfrage hin innerhalb der geltenden Fristen (siehe weiter unten) zur Einsicht bereitstehen.

8. Datenschutzbeauftragter

Ein Datenschutzbeauftragter wird nur in den wenigsten Fällen notwendig sein, weil es dazu eine bestimmte Anzahl von Mitarbeiter im Unternehmen geben muss. Allerdings wird auch darauf hingewiesen, dass ein solcher notwendig wird, wenn das Sammeln und Verarbeiten personenbezogener Daten zum Kerngeschäft gehört. Was darunter aber zu verstehen ist, wurde bisher in Deutschland noch nicht Kommuniziert. Jedoch sollten wir als Coaches nicht darunter fallen. Unser Kerngeschäft ist ja das Coaching, selbst als Online-Coaches.

9. Reaktionszeiten / Infrastruktur

Zukünftig müssen Datenschutz-Anfragen, ganz egal auf welchem Wege sie kommen, innerhalb von einem Monat beantwortet werden.

Ein Besucher hat das Recht, Einsicht in seinen eigenen Datensatz zu erhalten (Welche Daten existieren über mich? Wann und wie wurden sie gesammelt? Wann und an wen wurden sie zu welchem Zweck weitergeleitet?…). Es muss also eine entsprechende Infrastruktur bestehen, damit diese Frist eingehalten wird. Sollte es triftige Gründe geben, weshalb die Zurverfügungstellung länger dauert, dann muss der Anfragende darüber informiert werden und dann hat man zwei Monate Zeit. Der Gesetzgeber oder Anwälte können alle Standards zur Einsicht anfordern, also Verfahrensverzeichnis und Folgenabschätzung, und solche Anfragen müssen binnen 72 Stunden beantwortet werden.

Übrigens haben Besucher nun auch das ausdrückliche Recht, Änderungen an ihren Daten vornehmen zu lassen. Tippfehler beim Namen beispielsweise müssen auf Wunsch also geändert werden – innerhalb der Frist und bei Einhaltung der Dokumentationspflicht.

Dies alles sind die wichtigsten Punkte, die in der verbleibenden Zeit dringend angegangen werden sollten. Wie erwähnt: Es geht in erster Linie nicht darum, die DSGVO zu 100% umzusetzen. Dafür ist die Zeit zu knapp und selbst von den großen Firmen fühlen sich einer aktuellen Studie nach nur 10% bereit für die DSGVO.

Die Infos liegen seit zwei Jahren vor und leider hat es der Gesetzgeber versäumt in dieser zweijährigen Übergangsfrist alle Fragen befriedigend zu beantworten. Vor allem sollte es deswegen darum gehen, den in den Startlöchern sitzenden Abmahn-Anwälten möglichst wenig Angriffsfläche zu bieten. Diese werden sich wahrscheinlich direkt am 25.08. auf alle stürzen, die überhaupt nichts unternommen haben und im schlimmsten Fall noch nicht einmal ein sauberes Impressum haben.

Deshalb unser Fazit

Auch wenn Eure Seiten noch nicht DSGVO-konform sein sollten, nicht in Panik verfallen! Nutzt die verbleibenden Stunden um das zu erledigen, was noch gemacht werden kann (Aktualisierung der Rechtstexte auf der Seite, Installation einer Lösung für die Cookie-Transparenz, Anpassung Eurer Email-Funnels durch Double-OptIn und aktives OptIn bei Eintragung, Kopplungsverbot, etc.). Geht das Thema AV-Verträge umgehend an! Holt Euch ggf. Hilfe von Juristen und Website-Entwicklern!

Wir gehen davon aus, dass sich die Besucher schnell an die drastischen Veränderungen gewöhnt haben werden, und es zwar anfänglich zu deutlich niedrigeren OptIns kommt, aber sich dies bald normalisiert haben wird.

Auf jeden Fall raten wir davon ab, das Thema ganz zu ignorieren oder gar vorsätzlich Vorschriften nicht zu beachten um weiterhin die Liste mit Leads zu füllen.

Noch einmal der Vollständigkeit halber: Wir übernehmen keine Garantie für fehlerhafte Angaben und bieten keine rechtliche Beratung!

Wir hoffen aber, dass wir allen, die durch das Thema aktuell verunsichert sind, hiermit etwas weiter helfen konnten.

Liebe Grüße,

Stefanie Bruns und Leticia Linden