Im Dschungel der DSGVO, Teil 10: Immer weiter und weiter…

Die Reise durch den Dschungel der DSGVO geht weiter.

Teil 10 dieser Blogserie behandelt die Reiseetappen nach der „großen Umstellung“.

Nachdem ich in den ersten Monaten in 2018 alle Anpassungen vorgenommen habe, um den Richtlinien der DSGVO zu folgen, habe ich mir eine Pause gegönnt.

Seitdem sind nun aber doch noch einige nachträgliche Arbeiten angefallen. Über die ich hier gern berichte.

Wie immer, hier mein Hinweis: Es handelt sich um selbst recherchierte Informationen und eigene Erfahrungen. Ich bin weder Anwältin noch zertifizierte Datenschutzexpertin. Meine Erfahrungen können der Inspiration dienen, ersetzen aber keine rechtliche Beratung.

Datenschutzhinweise bei Erstkontakt per E-Mail

Von verschiedenen Seiten wird empfohlen bei Erstkontakt per E-Mail einen Passus zum Datenschutz in die E-Mail einzufügen. Ich finde das gut, bisher hatte ich einfach nur einen Link zu meiner Datenschutzerklärung auf der Webseite in der E-Mail Signatur. Dieser Hinweis ist jetzt Bestandteil meiner automatisch generierten E-Mail, wenn eine Person das Kontaktformular auf meiner Webseite absendet.

Da ich mehrere Formulare nutze, stelle ich diese gerade nach und nach um.

Anpassungen in der Datenschutzerklärung

Dass die Datenschutzerklärung kein statisches Dokument ist, sollte klar sein. Sobald sich etwas bei der Verarbeitung von Daten ändert, muss überprüft werden, ob das in die Datenschutzerklärung mit aufgenommen werden muss. Ich habe vor kurzem zwei Änderungen vorgenommen:

Änderung von Google US zu Google Irland bei Google Analytics und Google Ads. Außerdem Änderung von Google AdWords zu Google Ads.
Google AdWords wurde schon vor einiger Zeit in Google Ads umbenannt, das sollte in der Datenschutzerklärung geändert werden.
Google hat zum 20.01.2019 den Anbieter der Services in der EU von Google in den USA zu Google Irland geändert. Laut Google brauchen keine neuen Verträge geschlossen zu werden.
Da ich in der Datenschutzerklärung Google mit Namen und Adresse nenne, habe ich dieses ebenfalls aktualisiert.
Mehr Informationen: Google Blog zur Änderung
Neuer Absatz zu LinkedIn Insight Tag
Seit kurzem nutze ich für das Tracking von LinkedIn Anzeigen den LinkedIn Insight Tag. Entsprechend ist dazu jetzt eine Information in der Datenschutzerklärung enthalten.
Hinweis zu den Social Media Profilen
Da meine Datenschutzerklärung auch für meine Profile auf den Social Media Netzwerken gilt, habe ich diese an den Anfang der Datenschutzerklärung gestellt mit dem Hinweis, dass die Erklärung auch für diese Profile gilt.

Anpassung und Erweiterung Verfahrensverzeichnisse

Hier werde ich in den nächsten Tagen die Datenverarbeitung über das LinkedIn Insight Tag hinzufügen. Und wenn ich schon dabei bin, das komplette Dokument überprüfen, ob noch alles aktuell ist oder sich weitere Änderungen ergeben haben.

AV-Verträge

Da ich nicht ständig neue Dienste oder Dienstleister für die Auftragsverarbeitung in Anspruch nehme, gibt es hier keine Änderungen. Bei den AV-Verträgen mit Kunden und Geschäftspartnern sieht es anders aus. Bei jedem neuen Kunden überprüfe ich, ob es zu einer Auftragsverarbeitung kommen könnte. Wenn ja, dann schließe ich mit dem Kunden einen AV-Vertrag ab.

Leider gibt es hier aus meiner Sicht immer noch viele Unklarheiten. Wann beginnt eine Auftragsverarbeitung? Ab wann ist der Vertrag notwendig? Ich halte es aktuell so, dass ich im Zweifel den AV-Vertrag abschließe. Bisher haben mir meine Kunden hier immer zugestimmt. Wenn ich beispielsweise bestimmte Social Media Services für einen Kunden erbringe, durch die ich Zugriff habe auf personenbezogene Daten, dann schließe ich den AV-Vertrag ab.

Ich setze den AV-Vertrag pro Kunde, nicht pro Projekt auf, und immer mit einer unbegrenzten Laufzeit. Meine Vorlage für den Vertrag enthält alle möglichen durch mich zu erbringenden Leistungen, diese werden je nach Kunde markiert und somit ist der Vertrag auf den Kunden abgestimmt.

In meiner Kundendatenbank wird eingetragen, ob es einen AV-Vertrag gibt und wann er abgeschlossen wurde.

Webseite

Es ist ja bekannt, dass ich WordPress für meine Webseite nutze. Immer wenn ich ein neues Plugin verwenden möchte, prüfe ich zuerst, ob und wie personenbezogene Daten erfasst und verarbeitet werden. Zwei Plugins, deren Funktion ich gern verwendet hätte, erfassten vollständige IP-Adressen. Also konnte ich sie nicht nutzen. Schade, aber es geht auch ohne.