DSGVO - Zusammenfassung wichtiger Infos

Dieser Artikel hilft dir den Zauberwürfel DSGVO zusammenzubauen.

Die EU-Datenschutzgrundverordnung (abgekürzt DSGVO) regelt den Umgang mit personenbezogenen Daten und trat nach zweijähriger Übergangsfrist am 25. Mai 2018 EU-weit in Kraft. Sie ist strenger als das bisherige Bundesdatenschutzgesetz (BDSG) und gilt für alle Unternehmer, die in der EU personenbezogene Daten verarbeiten.

Offizielles Ziel der DSGVO ist, dass die Bürger ihre Daten besser kontrollieren können und Unternehmen von Wettbewerbsgleichheit profitieren.

Dieser Artikel beantwortet häufige Fragen rund um die Grundverordnung, sammelt Tipps und Informationspakete zur praktischen Umsetzung und listet auch Kritik an der Grundverordnung.

Ein WordPress-Plugin für die DSGVO-konforme Umsetzung von Tracking-Pixeln (zum Beispiel dem Facebook Pixel) ist Pixelmate*.

Hinweis:

Dieser Artikel ist eine Informations-Sammlung von Nicht-Juristen rund um die DSGVO. Die Infos sind weder eine Rechtsberatung, noch ersetzen sie diese. Für eine rechtliche Beratung solltest du einen Rechtsanwalt aufsuchen.

Abkürzungen

AV = Auftragsverarbeitung (ehemals Auftragsdatenverarbeitung, ADV)
BDSG = Bundesdatenschutzgesetz
DPA = Data Processing Addendum (manchmal auch "Data Processing Agreement") (englische Übersetzung von "Auftragsverarbeitungs-Vertrag")
DSGVO = Datenschutzgrundverordnung
GDPR = General Data Protection Regulation (englische Übersetzung von "Datenschutzgrundverordnung")
PBD = Personenbezogene Daten
TOM = Technische und organisatorische Maßnahmen zum Datenschutz
VV = Verzeichnis von Verarbeitungstätigkeiten

Häufige Fragen

Für wen gilt die DSGVO?

Die DSGVO gilt für alle Unternehmer, die in der EU personenbezogene Daten verarbeiten. Sie gilt auch für Kleinunternehmer.
Die DSGVO gilt für alle in der EU tätigen Unternehmen, egal wo sie ansässig sind^[1]. Somit müssen sich zum Beispiel auch amerikanische Firmen, die sich an europäische Kunden wenden, an die Grundverordnung halten.

Was ist das Ziel der DSGVO?

Ziel der DSGVO ist, dass

die EU-Bürger eine bessere Kontrolle über ihre Daten haben
Unternehmen von Wettbewerbsgleichheit profitieren (vor der DSGVO gab es Wettbewerbsverzerrungen durch unterschiedliche nationale Datenschutzbestimmungen)
durch hohe Bußgelder die Durchsetzbarkeit des Datenschutzes verbessert wird^[2].

Die Datenschutzgrundverordnung soll das Verbrauchervertrauen erhöhen und so die Unternehmen fördern.^[1].

Was heißt „Datenverarbeitung“?

Die DSGVO regelt die Verarbeitung personenbezogener Daten. Zur Datenverarbeitung gehören beispielsweise:

Datensammlung
Datenspeicherung
Datenverwaltung
Datenverwendung
Datenaufbereitung
Datenauslesen

Dr. Stephan Gärtner sagt, dass jeder Umgang mit personenbezogenen Daten eine Datenverarbeitung ist.^[3]
Achtung: Somit ist auch bereits das reine Betrachten von personenbezogenen Daten auf dem Bildschirm oder auf einem Papier eine "Datenverarbeitung".^[4]

Beispiele für Datenverarbeitungen:

Bezahlvorgänge über Zahlungsdienstleister
Entgegennehmen einer Visitenkarte
Datensicherung
Führen einer Mitarbeiterliste
Newsletter-Versand
Hosting von Websites

Was sind personenbezogene Daten?

Zum Einstieg 3 Definitionen, was personenbezogene Daten sind:

RA Dr. Stephan Gärtner:
„Personenbezogene Daten sind Informationen über menschliche Wesen.“^[3]
Mittwald:
„Daten gelten dann als personenbezogen, wenn mit ihrer Hilfe eine natürliche Person theoretisch identifiziert werden kann.“^[2]
Offizielle Definition nach DSGVO:
„Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“^[5]

Personenbezogene Daten sind beispielsweise:

Namen
E-Mail-Adresse
Postanschrift
Telefonnummer
Geburtsdatum und Alter
Standortdaten (vor allem in Kombination mit anderen Daten, wie zum Beispiel der IP-Adresse)
Zugangsdaten (Benutzername und dazugehöriger Dienst)
IP-Adresse (da diese über Umwege zurück auf eine Person verfolgt werden kann)
Cookies (aber nur solche die persönliche Daten speichern)
Transaktionsnummern (zum Beispiel bei Online-Shop-Bestellungen)
Bild- oder Video-Aufnahmen der Person
KFZ-Kennzeichen
Personalausweisnummer, Reisepassnummer, Sozialversicherungsnummer
Gesundheitsdaten
Bewerberdaten
Zeugnisse (zum Beispiel Schul- oder Arbeitszeugnisse)
Unterschrift
Bankverbindung, Kreditkartendaten
Einkommen
Ethnische Herkunft
Überzeugungen (zum Beispiel politisch, religiös, philosophisch)
Gewerkschaftszugehörigkeit

Wenn man sich unsicher ist, ob ein Datum personenbezogen ist oder nicht, sollte man einen Personenbezug annehmen.^[6]

Als Unternehmer muss man erklären können, mit welcher Berechtigung man personenbezogene Daten verarbeitet und welche Maßnahmen man zum Schutz der Daten ergreift. Wenn man personenbezogene Daten an Dritte weitergibt, muss man den Betroffenen explizit darüber informieren.^[4]

Wie werden Verstöße aufgedeckt und welche mögliche Folgen hat die DSGVO?

Nach der DSGVO sind Unternehmen dazu verpflichtet, Datenpannen umgehend an die zuständige Datenschutzbehörde zu melden. Hier kannst du nachlesen, wie du eine Datenpanne am besten meldest.

Auch Arbeitnehmer, Kunden, Geschäftspartner oder Konkurrenten können auf Probleme aufmerksam machen oder Verstöße melden. Außerdem werden auch die Behörden selbst aktiv. So finden beispielsweise regelmäßige Recherchen im Internet oder direkt vor Ort bei den Unternehmen statt.^[7]

Der Online-Marketer Nico Lampe kommt zum Schluss, dass eigentlich nur von Datenschutzbehörden eine Gefahr für dich ausgehen könnte. Diese hätten aber genug damit zu tun, große Unternehmen datenschutzkonform zu machen.^[8] Beruhigend kann auch die Tatsache sein, dass bereits vor der DSGVO Strafen bis zu 300.000 Euro möglich waren^[9].

In der Tat brauchten die Datenschutzbehörden einige Vorlaufzeit, um sich auf die Mehrarbeit einzustellen. Laut dem baden-württembergischen Landesdatenschutzbeauftragten Stefan Brink sind die deutschen Behörden personell insgesamt gut aufgestellt und schaffen es, regelmäßig Verstöße zu ahnden. Allerdings gibt es auch hierzulande kleinere Behörden, die mit der Flut an neuen Aufgaben personell überfordert sind.^[7]

Mario Wolosz (Gründer von Klick-Tipp) behauptet, dass es durch die DSGVO eine Marktbereinigung geben wird. Unsaubere Anbieter, die sich nicht an den Datenschutz halten, würden vom Markt verschwinden. Es würde Datenschutzvorreiter und Datenschutzverweigerer geben.^[10]

Wer muss mit Bußgeldern rechnen?

Bei Nichteinhalten der Datenschutzverordnung drohen Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes^[1] (je nachdem welcher Betrag höher ist) - und das angeblich für jeden einzelnen Verstoß gegen die DSGVO^[11].

Artikel 83 der DSGVO formuliert, dass „die Verhängung von Geldbußen [...] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend” sein muss^[12]. Wenn dein Unternehmen bestraft werden sollte, würde also dein Gewinn angeschaut werden und ein Bußgeld verhängt werden, das dir weh tut, aber auch nicht mehr. Die 20 Millionen Strafe würden sehr sicher nur sehr große Konzerne treffen.^[8]

ThriveThemes* sagt, dass die Bußgelder der DSGVO eher auf Firmen zielen, die ihr Geschäft allein mit den Daten ihrer Nutzer machen, also zum Beispiel Facebook oder Google. Für kleine Unternehmen ist das Problem eher, den Rechten der Nutzer nachzukommen. Erst wenn man Nutzer-Anfragen ignoriert, der Nutzer Beschwerde einlegt und man dann noch Warnungen von Behörden ignoriere, drohe Gefahr.^[13]

Das erste Bußgeld in Millionenhöhe wurde von Frankreich im Januar 2019 gegen Google verhängt. Der Vorwurf mangelnder Transparenz durch die französische Datenschutzbehörde führte dazu, dass dem Internet-Giganten 50 Millionen Euro Bußgeld auferlegt wurden.^[14]

Auch in Deutschland wurden Stand Januar 2019 seit Inkrafttreten der DSGVO 41 Bußgelder verhängt, wobei hier der höchste Betrag bei 80.000 Euro lag. Diese Höhe wurde vor allem damit begründet, dass besonders sensible Daten betroffen waren. Durch den DSGVO-Verstoß eines Unternehmens waren diverse Gesundheitsdaten öffentlich abrufbar. Dieser schwerwiegende Fall musste nach Ansicht der deutschen Behörden auch eine empfindliche und öffentlich sichtbare Sanktion nach sich ziehen.^[7]

Ein weiterer Fall betraf das soziale Netzwerk Knuddels.de. Die Plattform musste ein Bußgeld von 20.000 Euro zahlen, weil wegen fehlender Updates ihr Server gehackt wurde und 800.000 E-Mail-Adressen sowie 2 Millionen Zugangsdaten unverschlüsselt im Internet veröffentlicht wurden. Das Bußgeld fiel deshalb nicht so hoch aus, weil Knuddels seiner Meldepflicht nachkam und sehr gut mit der Datenschutzbehörde kooperierte.^[15]

Das Versandunternehmen "Kolibri Image" aus Hamburg wurde mit einem Bußgeld in Höhe von 5.000 Euro belegt. In diesem Fall erfolgte der Bußgeldbescheid aufgrund eines fehlenden Vertrags zur Auftragsverarbeitung. Das Hamburger Unternehmen arbeitete mit einem spanischen Dienstleister zusammen, der sich jedoch weigerte einen entsprechenden Vertrag zu übersenden. Daraufhin antwortete der Hessische Datenschutzbeauftragte dem Unternehmen auf Anfrage, dass in einem solchen Fall das Unternehmen selbst einen Vertrag in spanischer Übersetzung an den Dienstleister schicken solle. Kolibri Image sah dieses Vorgehen als unverhältnismäßig an. Die Folge: ein Bußgeldbescheid, weil Daten trotz fehlender Rechtsgrundlage an den spanischen Dienstleister weitergegeben wurden.^[16]

Doch es müssen nicht nur Unternehmen mit Bußgeldern rechnen. In Sachsen-Anhalt war erstmals auch eine Privatperson davon betroffen. Der Mann verschickte mehrmals per E-Mail Beschwerden an Vertreter von Wirtschaft, Politik und Presse. Dabei waren allerdings die Empfänger für jeden sichtbar, da die E-Mail-Adressen entweder in das Feld "An" oder "CC" gesetzt waren. Die Datenschutzbehörde sah darin einen mehrfachen DSGVO-Verstoß gegenüber Behörden und verhängte ein Bußgeld in Höhe von 2.600 Euro. Privatpersonen müssen jedoch nicht mit Bußgeldern rechnen, wenn die E-Mails rein privater Natur sind. In einem solchen Fall greift die DSGVO nicht.^[16]

Wie ist es mit Abmahnungen?

Datenschutz-Experten von Heise.de sagen, dass es von 2018 an 5 bis 10 Jahre Rechtsunsicherheit geben wird. Um eventuelle Abmahnungen zu schreiben, benötigen Anwälte nach wie vor einen Konkurrenten des Abzumahnenden, der die Abmahnung beauftragt. Es ist umstritten, ob die DSGVO überhaupt zu Abmahnungen führen kann, da Abmahnungen nur im Wettbewerbsrecht ausgesprochen werden dürfen, die DSGVO aber vorrangig das Ziel hat, die Verbraucher besser zu schützen und somit das Wettbewerbsrecht eventuell gar nicht direkt betrifft.^[17]

RA Matthias Hechler sagt, dass in Deutschland die Ansicht herrscht, dass Verstöße gegen die DSGVO die Mitbewerber weder zur Abmahnung oder Klageerhebung berechtigen^[18]. Erste Gerichtsurteile, ob wegen der DSGVO abgemahnt werden dürfe, fielen Stand November 2018 unterschiedlich aus.

Grundsätze der DSGVO

Die DSGVO regelt beispielsweise, wie sensible Daten verarbeitet werden, an wen sie weitergegeben werden dürfen und wann sie zu löschen sind.^[2]

Verarbeitung personenbezogener Daten

Personenbezogene Daten dürfen nicht verarbeitet werden, außer es liegen bestimmte Erlaubnistatbestände vor.^[19]

Es gibt 2 Erlaubnistatbestände. Man darf personenbezogene Daten verarbeiten, wenn

man sich eine wirksame Einwilligung der Person eingeholt hat.^[19]
es rechtliche Vorschriften gibt.

Laut RA Stephan Gärtner gibt es sehr viele Rechtsvorschriften. Davon sollte man als Unternehmer Gebrauch machen. Dies ist auch im Sinne des Verbrauchers, weil Rechtsvorschriften weniger erlauben als eine Einwilligung.^[3]

Beispiele für Rechtsvorschriften:

Die steuerliche Aufbewahrungspflicht
Man muss einen Vertrag erfüllen.
Beispiele:
- Bei einem Kaufvertrag muss man dem Kunden Waren zusenden. Dazu braucht man seine Postanschrift, bei digitalen Produkten wenigstens eine E-Mail-Adresse.
- Es liegt ein AV-Vertrag vor.
Wenn man selbst oder ein Dritter ein „berechtigtes Interesse“ hat, welches nicht durch höhere Interessen der betroffenen Personen überwogen wird (nach Art. 6 Abs. 1 S.1 lit. f DSGVO).
Beispiele:
- Um mit einem Kunden einen Termin abzustimmen, braucht man seine Kontaktdaten^[19].
- Ein Erwägungsgrund für das berechtigte Interesse ist „Direktmarketing“. Ob dazu auch Newsletter gehören, kann man nicht mit absoluter Sicherheit sagen^[19].
- Erfassung von IP-Adressen zur IT-Sicherheit^[2]

Wenn Daten verarbeitet werden sollen, muss also immer geklärt werden, ob die Datenverarbeitung rechtmäßig ist. Wenn dies der Fall ist, dürfen die Daten verarbeitet werden.^[12]

Ob man als Unternehmer eher auf die Einwilligung oder auf eine Rechtsvorschrift setzt, hängt nicht nur von deinem Risikoprofil ab, sondern mehr vom Vertrauen deiner Empfänger. Vertrauen dir deine Empfänger, werden sie dir keine Probleme machen.^[3]

Datenspeicherung und -minimierung

Die Speicherung der Daten muss zweckmäßig erfolgen.

Der Zweck, für den die Daten erhoben werden, muss vor der Erhebung und Speicherung dieser Daten festgelegt werden.^[2]
Die Daten dürfen nur so lange gespeichert werden, bis der Zweck erfüllt ist.
Sie dürfen nur für den Zweck verwendet und gespeichert werden, für den sie ursprünglich eingesammelt wurden (Zweckbindung).^[19]

Datenminimierung:
Man darf nur solche personenbezogenen Daten einsammeln, die man für die Erbringung der vertraglichen Leistung tatsächlich benötigt.^[12]

Anforderungen an eine Einwilligung

Eine Einwilligung muss nach der DSGVO folgende Punkte erfüllen^[19]^[6]:

Sie muss freiwillig erfolgen.
Man darf sie nicht an davon unabhängige Dinge koppeln (Kopplungsverbot, siehe auch den Abschnitt #Kopplungsverbot bei Freebies).
Die Einwilligung muss auf einen bestimmten Fall beschränkt sein.
Sie muss unmissverständlich sein.
Der Einwilligende muss informiert werden über Widerrufsrecht, Nennung des Verantwortlichen und Zweck der Datenverarbeitung.
Sie muss widerrufen werden können.
Die Person muss in Deutschland mindestens 16 Jahre alt sein. Wenn sie jünger ist, braucht man die Einwilligung von Erziehungsberechtigten.
Die Einwilligung muss nachweislich protokolliert werden (zum Beispiel über Double Opt-In).

Eine Einwilligung kann schriftlich, elektronisch oder auch mündlich erfolgen. Außerdem muss sie eine proaktive Handlung des Betroffenen beinhalten (zum Beispiel das Anhaken einer Checkbox). ^[4]

Man sollte sparsam mit Einwilligungen umgehen, denn dort kann man auch viel falsch machen.^[20]^[10]

Betroffenen-Rechte

Der Betroffene hat folgende Rechte:^[6]^[11]

Recht auf Auskunft über all seine im Unternehmen gespeicherten Daten (wenn ein Kontakt davon Gebrauch macht, muss er vor der Auskunft gegenüber dem Datenverarbeiter beweisen, dass er diese Person ist - zum Beispiel über eine teilweise geschwärzte Kopie seines Personalausweises) - der E-Mail-Marketing-Anbieter Klick-Tipp bietet dazu die "automatisierte Selbstauskunft" an (über die Signatur)
Recht auf Berichtigung der Daten
Recht auf Löschung (wenn ein solcher Antrag eingeht, muss man prüfen ob der Löschung zum Beispiel eine Aufbewahrungspflicht entgegen steht. Wenn dies der Fall ist, musst du dem Kunden mitteilen, dass dir eine Löschung seiner Daten nicht „zumutbar“ ist.)
Recht auf Widerspruch gegen die Verarbeitung (bei berechtigtem Interesse)
Recht auf Widerruf der Einwilligung
Recht auf Einschränkung der Verarbeitung (dem Widerspruch / Widerruf nachgelagertes Recht)
Recht auf Datenübertragbarkeit / Datenportabilität

Dokumentationspflichten

Im Vergleich zum alten BDSG fordert die DSGVO erheblich mehr Transparenz. Man muss dem Verbraucher viel transparenter darlegen, was man mit dessen Daten macht.^[11] Auch muss man zum Beispiel seine Lieferanten und seine Mitarbeiter darüber informieren, wie man deren Daten verarbeitet.

Wenn eine Prüfstelle bei dir nachforscht, ist es wichtig, dass du einen (Papier)Ordner hast, in dem alle wichtigen Datenschutz-Dokumentationen abgeheftet sind.^[21]

Es gibt verschiedene konkrete Dokumentationspflichten:

Verzeichnis von Verarbeitungstätigkeiten (VV), früher als "Verfahrensverzeichnis" bezeichnet
Technische und organisatorische Maßnahmen (TOM)

Verzeichnis von Verarbeitungstätigkeiten (VV)

Mit dem „Verzeichnis von Verarbeitungstätigkeiten (VV)“ behält man als Unternehmer selbst den Überblick darüber, wo und wie im eigenen Unternehmen personenbezogene Daten verarbeitet werden. Das Verzeichnis dient auch dazu, die Tätigkeiten gegenüber den Behörden darzulegen, wenn es zu Beschwerden kam oder eventuell eine zufällige Prüfung stattfindet.

Weitere Infos zum VV:

Unternehmen mit weniger als 250 Mitarbeitern, die nur „gelegentlich“ personenbezogene Daten verarbeiten, müssen kein VV erstellen.^[22] Dies wird allerdings auf kaum eine Firma zutreffen, da fast jeder (auch Einzelunternehmer) fortlaufend personenbezogene Daten verarbeiten.
Man sollte seine VV fortlaufend aktualisieren.
Die Anlage A eines AV-Vertrages ähnelt dem VV sehr.^[2]
Der alte Name für das „Verzeichnis von Verarbeitungstätigkeiten“ lautete „Verfahrensverzeichnis“.

Technische und organisatorische Maßnahmen (TOM)

In den "Technischen und organisatorischen Maßnahmen (TOM)" hält man fest, welche technischen und organisatorischen Schutzvorkehrungen im eigenen Unternehmen getroffen wurden, um eine sachgemäße Verarbeitung personenbezogener Daten sicherzustellen.

Bei den TOM geht es um die Frage, wie man personenbezogene Daten konkret schützt. Man muss zum Beispiel sicherstellen, dass die Daten vor unbefugtem Zugriff geschützt werden.

Weitere Infos zu den TOM:

Die Anlage B eines AV-Vertrages entspricht den TOM.^[2]
Man sollte bestrebt sein seine TOM stetig zu verbessern und dementsprechend auch zu dokumentieren.^[2]
Wenn man das Schutzniveau absenkt, muss man die AV-Verträge mit seinen Kunden neu schließen.^[2]

Meldepflicht bei Datenschutzpannen

Eine Datenschutzpanne liegt dann vor, wenn personenbezogene Daten unrechtmäßig weitergegeben werden oder es zu einem Verlust solcher Daten kommt. Der Unternehmer muss innerhalb von 72 Stunden nach Kenntnisnahme der Panne diese an die zuständige Datenschutzaufsichtsbehörde melden. Die Panne sollte zudem möglichst umfassend dokumentiert werden.^[2]

Es wird empfohlen einen Prozess zu definieren, wie man auf Datenlecks beziehungsweise Datenverluste im Unternehmen reagiert. Dieser Prozess sollte in den „Technischen und organisatorischen Maßnahmen zum Datenschutz“ festgehalten werden.^[2]

Auftragsverarbeitung

Werden personenbezogene Daten von einem anderen Unternehmer verarbeitet, sind beide Parteien nach Artikel 28ff der DSGVO dazu verpflichtet einen sogenannten Vertrag zur Auftragsverarbeitung (kurz „AV-Vertrag“) miteinander abzuschließen. Mit dem AV-Vertrag stellen die zwei Parteien sicher, dass personenbezogene Daten gemäß rechtlicher Vorgaben verarbeitet und geschützt werden.

Weitere Informationen:

Der Unternehmer, der im Auftrag des anderen personenbezogenen Daten verarbeitet, wird als „Auftragsverarbeiter“ bezeichnet.^[6]
Hat der Auftragsverarbeiter seinen Sitz außerhalb der EU, so benötigt man einen AV-Vertrag, der sogenannte „Model Clauses“ (Standardvertragsklauseln) beinhaltet. Diese von der EU vorgegebenen Vertragsklauseln müssen in jedem AV-Vertrag mit Firmen außerhalb der EU verwendet werden, andernfalls ist der AV-Vertrag ungültig.^[23]
Wenn kein AV-Vertrag vorhanden ist, sind beide Seiten haftbar.^[24]
Ein AV-Vertrag ist bereits dann notwendig, wenn ein Geschäftspartner nur die Möglichkeit hat, personenbezogene Daten des Auftraggebers zu lesen. Dies ist zum Beispiel bereits dann der Fall, wenn man als Webmaster den Zugang des Kunden zu dessen E-Mail-Marketing-Anbieter hat.^[6]
Ein Webmaster / eine Agentur ist in einer Art Sandwich-Position. Einerseits nutzt sie Tools, zum Beispiel eine Buchhaltungs-Software die Kundendaten verarbeitet. Auf der anderen Seite sind die Kunden, deren personenbezogene Daten die Agentur wiederum verarbeitet. Für beide Seiten müssen AV-Verträge vereinbart werden.^[6]
Grundsätzlich können jede der beiden Parteien einen Vertrag vorlegen. Es ist jedoch sinnvoll, dass die Agentur ein Schreiben für ihre Kunden aufsetzt, da die Agentur besser weiß, welche Daten des Kunden sie verarbeitet.
Wenn der Kunde sich sträubt, den AV-Vertrag zu unterschreiben, sollte man dies dokumentieren.
Menschen, die einem bei der Umsetzung der Arbeit für den Kunden helfen, sollten im AV-Vertrag genannt werden.^[6]
Früher hieß es nicht „Auftragsverarbeitung“, sondern „Auftragsdatenverarbeitung“. Alte Verträge über eine Auftragsdatenverarbeitung können durch die DSGVO hinfällig sein.^[6]
Seit 25. Mai 2018 müssen Auftragsverarbeitungsverträge von deutschen Websitebetreibern nicht mehr per Unterschrift auf Papierform geschlossen werden, sondern dürfen elektronisch per Mausklick abgeschlossen werden.^[25]

Ein AV-Vertrag hat 2 Anlagen:

„Anlage A: Details zum Auftrag“: Sie entspricht inhaltlich dem „Verzeichnis von Verarbeitungstätigkeiten“ (VV)
„Anlage B: Technische und organisatorische Maßnahmen (TOM)"

Auswahl an Dienstleistern, mit denen man normalerweise einen Vertrag zur Auftragsverarbeitung (englisch "DPA - Data processing agreement") abschließen muss:

Webhost
Webmaster/Agenturen
Tracking-Services wie Google Analytics (dort muss man den „Zusatz zur Datenverarbeitung“ per Mausklick akzeptieren, siehe offizielle Anleitung von Google)
E-Mail-Marketing-Anbieter
Terminbuchungs-Software
Druckerei (wenn diese personalisierte Druckdaten wie Rechnungen oder Lohnabrechnungen druckt)
Virtuelle Assistenten
Externe Lohn- und Gehaltsabrechner
Externer Rechnungsbearbeiter / Buchhalter
Papier-, Akten-, oder Datenträgervernichter
Externe CRM-Systeme

Auswahl an Dienstleistern, mit denen man keinen AV-Vertrag schließen muss:

E-Mail Anbieter, wie zum Beispiel GMX oder T-Online^[26]
Zahlungsanbieter Digistore24^[23]
PayPal^[27]

Mit Freelancern muss man einen AV-Vertrag schließen, mit Angestellten nicht.

Listen mit Informationen, welcher Dienstleister einen AV-Vertrag zur Verfügung stellt, stellen wird oder nicht zur Verfügung stellt, finden sich zum Beispiel unter blogmojo.de und hier.

Eine Vorlage für den AV-Vertrag gibt es zum Beispiel hier bei der GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.).

Datenschutzbeauftragter

Ob ein Datenschutzbeauftragter (DSB) verpflichtend ist, hängt allgemein von folgenden Punkten ab:^[1]

der Art und der Menge der von deinem Unternehmen gesammelten Daten
ob die Datenverarbeitung dein Hauptgeschäft ist
und ob du diese in großen Umfang betreibst.

Ein Unternehmen in Deutschland braucht dann einen Datenschutzbeauftragten, wenn mindestens 10 Mitarbeiter ständig Kontakt mit personenbezogenen Daten haben^[24].

Zum Beispiel zählt jeder Mitarbeiter, der digital Kontakt mit Kunden hat, zu diesen 10 Mitarbeitern.

Zu den 10 Personen können zum Beispiel auch Freelancer, Leiharbeiter oder Praktikanten gehören. Der Begriff „ständig“ ist in diesem Zusammenhang weit auszulegen. So ist ein Mitarbeiter auch dann mitzuzählen, wenn seine Kernaufgabe nicht die Datenverarbeitung ist.^[28]

Es müssen nur solche Personen nicht berücksichtigt werden, die für allgemeine Tätigkeiten wie Reinigung zuständig sind. Somit müssen die allermeisten Unternehmen ab zehn Mitarbeitern einen Datenschutzbeauftragten bestellen.^[2]

Aufgrund von §38 BDSG (neu) liest man oft, dass ein Datenschutzbeauftragter dann notwendig ist, wenn man als Verantwortlicher in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
Die „automatisierte Verarbeitung“ bedeutet dabei, dass „Datenverarbeitungsanlagen“ zum Einsatz kommen. Eine Datenverarbeitungsanlage ist beispielsweise ein PC.

Der Datenschutzbeauftragte darf von extern kommen oder ein normaler Angestellter sein. Es darf jedoch kein Angestellter sein, der in Kerngeschäfte des Unternehmens verwickelt sein darf, da dieser Mensch sonst in Interessenskonflikte geraten könnte.^[24]

Man darf auch freiwillig einen Datenschutzbeauftragten bestellen. Wenn man keinen Datenschutzbeauftragten bestellt, ist man selbst als Unternehmer komplett für den Datenschutz seiner Firma verantwortlich.^[10]

Wenn man verpflichtet ist, einen Datenschutzbeauftragten zu stellen, so muss man diesen auch offiziell der zuständigen Behörde mitteilen.^[17]

Im Englischen heißt der Datenschutzbeauftragte „data protection officer (DPO)“.

Tipps zur Umsetzung

Man sollte mit den Dingen starten, die nach außen hin sichtbar sind.^[6]
Um zu prüfen welche externen Dienste deine Website nutzt, kannst du diesen Artikel von Ernesto Ruge konsultieren. Eine andere Möglichkeit ist das Browser-Plugin Ghostery.
Cloudspeicher-Dienste wie Dropbox zu nutzen ist (meistens) sicherer als sich eigene Backup-Systeme aufzubauen. Denn die Cloudspeicher sind sich auf die Speicherung von Daten spezialisiert und sie wollen die Daten ihrer Kunden natürlich bestmöglich schützen.^[29]

Konkrete Anleitungen und Checklisten für die DSGVO findest du im Abschnitt „Informationspakete“

Newsletter / E-Mail-Marketing

In diesem Abschnitt sammeln wir konkrete Tipps und Hinweise zum Thema E-Mail-Marketing.

Wie muss die Einwilligung aussehen?

Eine Einwilligung für den Newsletter muss nach der DSGVO folgende Punkte erfüllen:

Freiwillig: Man darf den Besucher zu nichts zwingen. Siehe auch den Abschnitt #Kopplungsverbot bei Freebies.
Für den bestimmten Fall: Der Besucher muss erkennen können, welche seiner personenbezogenen Daten zu welchem Zweck von wem verarbeitet werden^[19]. Man muss angeben, um welche Themen und Angebote es im Newsletter geht^[19]^[24].
Informiert: Man muss zum Beispiel angeben, wie oft der Newsletter erscheinen wird.^[19]
Unmissverständlich: Der Abonnent versteht, dass er sich gerade in einen Newsletter einträgt.^[19]

Kopplungsverbot bei Freebies

Die meisten Newsletter-Abonnenten werden eingesammelt, indem man den Interessenten ein Freebie als Anreiz für Eintrag anbietet. Das Kopplungsverbot der DSGVO sieht vor, dass man unabhängige Dinge nicht miteinander koppeln darf. Streng ausgelegt könnte das bedeuten, dass man das Freebie nicht an den Eintrag der E-Mail-Adresse koppeln darf, weil man als Anbieter das Freebie ja auch direkt, ohne Eintrag der E-Mail-Adresse, zum Download anbieten könnte.

Hier sammeln wir verschiedene Meinungen von Experten zum Freebie-Kopplungsverbot:

Nach Meinung von RA Schwenke ist eine Kopplung von einem E-Book an ein Newsletter-Abonnenment zulässig, solange das E-Book nicht mehr wert ist als ein Goldbarren. Man sollte jedoch schon auf der Einstiegsseite auf die Kopplung hinweisen, nicht erst dann, wenn der Interessent schon Daten von sich in ein Formular eingetragen hat. Schwenke bezieht sich dabei unter anderem auf Kurzpapier Nr. 3 der Datenschutzkonferenz DSK von Juni 2017.^[30]
Experten von Mittwald sagen, dass das Kopplungsverbot relativ soft sei. Eine relativ sichere Vorgehensweise wäre, das Freebie nach wie vor erst nach dem Eintrag der E-Mail-Adresse herauszugeben, aber im Opt-in-Formular den Newsletter in den Vordergrund zu stellen und das Freebie erst unterhalb der Newsletter-Vorstellung zu erwähnen.^[6]. Das Gleiche sagt ThriveThemes: Solange man den Besucher klar darüber informiert, dass er sich für einen Newsletter einträgt, ist es in Ordnung zu sagen, dass er dadurch auch das Freebie erhält.^[13]
Um weiterhin mit Freebies Leads einzusammeln, empfiehlt Klick-Tipp, dass man sein zukünftiges E-Mail-Marketing zum Bestandteil seines Freebies macht. Dazu sollte man einen Informationsvertrag mit dem Lead abschließen (Klick-Tipp beruft sich hierbei auf die Vertragsfreiheit). Hier siehst du ein Beispiel wie Klick-Tipp es selbst formuliert.^[10]
Die ganz saubere Lösung wäre, auf der LandingPage wirklich nur den Newsletter zu bewerben (sogar mit Checkbox bei der Einwilligung) und das Freebie unabhängig vom Newsletter direkt öffentlich zum Download anzubieten.^[19]

Darf man bestehende E-Mail-Adressen weiterverwenden?

Man darf bestehende Kontakte (E-Mail-Adressen) weiterverwenden, solange man sie damals DSGVO-konform eingesammelt hat. Das heißt man muss damals zum Beispiel auch auf die Widerrufs-Möglichkeit hingewiesen haben.^[24]
Digistore sagt, dass vor dem 25.5.2018 erhobene personenbezogene Daten weiterhin verarbeitet werden dürfen, sofern eine nachweisbare Einwilligung des Betroffenen vorliegt oder ein berechtigtes Interesse des Verantwortlichen oder eines Dritten besteht, das das Interesse des Betroffenen überwiegt.^[4]
Klick-Tipp sagt, dass man Double-Opt-In-Kontakte weiterverwenden darf, man muss diesen jedoch die Transparenzerklärung zuschicken und in dieser Mail auch eine Möglichkeit zur Abmeldung bieten.^[10]

Text fürs Anmeldeformular / Checkbox

Eine zusätzliche Checkbox in Anmeldeformularen ist nicht notwendig. Unterhalb des Anmeldeformulars muss man aber auf den Datenschutz hinweisen. Ein Textvorschlag wäre: „Bevor du dich hier anmeldest, lies bitte [diese wichtigen Informationen] zum Datenschutz und zur DSGVO.“
Dabei verlinkt „diese wichtigen Informationen“ in einem neuen Browserfenster auf die eigene Transparenzerklärung.
Um sich zusätzlich abzusichern, empfiehlt Gärtner, dass man die Transparenzerklärung in die Bestätigungsmail einfügt und auch die Datenschutz-Archiv-Adresse ins CC der Bestätigungsmail einfügt.^[10]
Laut RA Schwenke muss das Anmeldeformular einen „Teaser“ für die vollständige Datenschutzerklärung darstellen. Über diese Punkte sollte man die Interessenten informieren^[30]:
- Inhalt des Newsletters (nicht zu eng, aber auch nicht zu weit gefasst)
- Falls man weitere Angaben einsammelt als nur die E-Mail-Adresse: Begründung, warum man dies tut
- Erfolgsmessung
- Widerrufsmöglichkeit
- Seines Erachtens nicht notwendig: Welche Newsletter-Software verwendet wird, Protokollierung der Anmeldung
Eine Checkbox auf dem Opt-in-Formular braucht man nur dann, wenn der Newsletter ein Zusatz zur eigentlichen Aktion ist, zum Beispiel also bei einem Kauf im Online-Shop oder bei der Teilnahme an einem Gewinnspiel. Diese Checkbox darf nicht vorausgewählt sein.
Bei einem reinen Newsletter-Opt-in-Formular ist das Klicken auf „Absenden“ die eindeutige Einwilligung. Hier braucht man also keine Checkbox.^[24]

Erfolgsmessung

Wenn der Anbieter der Newsletter-Software eine Erfolgsmessung/Tracking/Profiling macht, muss man den Abonnenten darüber informieren. Dafür gibt es prinzipiell 3 Möglichkeiten^[30]:

Hinweis in Opt-in-Formular oder sogar Hinweis nur in der Datenschutzerklärung - hierbei würde die Erfolgsmessung auf Grundlage berechtigter Interessen des Versenders (Art. 6 Abs. 1 lit. f DSGVO) erfolgen
Einwilligung umfasst die Erfolgsmessung - dies empfiehlt RA Schwenke.
Extra Opt-In für die Erfolgsmessung über eine zusätzliche Checkbox

Sonstiges

In der Bestätigungsmail nach dem Double-Opt-In sollten die Informationen aus dem Anmeldeformular wiederholt werden^[30]. Dazu gehören: Möglichkeit zum Widerspruch, Inhalte des Newsletters, Erfolgsmessung^[24].
Beim Verkauf von digitalen Produkten kann man die E-Mail-Adresse des Kunden ohne Double-Opt-in vom Zahlungsanbieter übernehmen, wenn man in seiner Produktbeschreibung die Transparenzerklärung verlinkt und auch einen Informationsvertrag einfügt.^[10]
Die DSGVO schreibt nicht vor, dass man Single-Opt-In oder Double-Opt-In nutzt, sondern man muss „nur“ nachweisen können, dass man den Kontakt kontaktieren darf.^[10]
Wie du als E-Mail-Marketing-Betreiber die Einwilligung eines Kontakts beweist, liegt in deiner Hand.^[31]

Hosting

Hier eine Auswahl von Seiten, auf denen bekannte Hoster darüber aufklären, welche Daten von den Besuchern erhoben werden, wenn du dort deine Website hostest:

1&1 Webhosting
AlfaHosting (dann noch auf den Punkt "Datenschutz & DSGVO" klicken)
Hetzner
Mittwald

Firmen in Drittländern

Wenn ein Unternehmen außerhalb der EU sitzt, wird es als Unternehmen in einem „Drittland“ bezeichnet.
Wenn man seine personenbezogene Daten von US-amerikanischen Firmen weiterverarbeiten lässt, sollte man darauf achten, dass diese Firmen dem Privacy Shield angehören^[24]. Unter diesem Link kannst du testen, ob dein Dienstleister Mitglied im Privacy Shield ist. Mitglied im Privacy Shield sind zum Beispiel Google, Facebook, Dropbox, SurveyMonkey, AWeber, Basecamp, Disqus und Zapier.

Facebook Ads / Facebook Pixel

Wie es um Facebook Ads und das Facebook Pixel in Sachen DSGVO bestellt ist, erfährst du zum Beispiel

in den ersten 11 Minuten dieses Interviews mit dem Rechtsanwalt Schwenke.
in diesem Interview mit Rechtsanwältin Sabrina Keese-Haufs -> Transkript lesen -> Abschnitt „Datenschutzrechtlicher Umgang mit dem Facebook Pixel“

Was klar ist:

Kundenlisten darf man nur dann zu Facebook hochladen (Custom Audiences), wenn man die Einwilligung der Kunden dafür hat.^[29] Klick-Tipp empfiehlt wiederum eine Transparenzerklärung und einen Informationsvertrag dafür zu nutzen.^[10]
Wenn eine Löschanfrage eines Nutzers hereinkommt, muss man diese auch aus der Custom Audience löschen. Facebook erlaubt nicht, einzelne E-Mail-Adressen aus Zielgruppen zu löschen. Deshalb müsste man bei jeder Löschanfrage die komplette Custom Audience löschen und neu hochladen. Eine automatisierte Möglichkeit bietet Klick-Tipp über sein Privacy Dashboard und dem Audience Sync an.^[10]
Facebook-Nutzer können sehr einfach nachsehen, welche Unternehmer ihre E-Mail-Adresse bei Facebook hochgeladen haben. Dazu geht man auf https://web.facebook.com/ads/preferences/?entry_product=ad_settings_screen, klickt auf „Werbetreibende, mit denen du interagiert hast“ und sieht die Unternehmen dann unter „Die ihre Kontaktliste zu Facebook hinzugefügt haben“.
Zur Unterscheidung, wann Facebook Datenverantwortlicher ist und wann Auftragsverarbeiter, siehe diese offizielle Facebook-Hilfeseite
Es gibt ein WordPress-Plugin, mit dem du deinen Besucher eine Opt-Out-Möglichkeit vom Facebook-Pixel zur Verfügung stellen kannst.
Besser ist das Plugin Pixelmate*. Mit diesem wird das das Facebook-Pixel erst geladen, wenn der Besucher zugestimmt hat (Opt-in).

Affiliates

Klick-Tipp sagt, dass man mit Transparenzerklärung und Informationsvertrag die Affiliates zum Beispiel von Digistore24 ohne Double-Opt-In in sein E-Mail-Marketing-System übernehmen kann.^[10]

Datenschutzerklärung

Die Datenschutzerklärung muss laut DSGVO so verständlich sein, dass der Nutzer sie versteht, ohne dass er Jurist ist oder einen solchen zurate ziehen muss^[12]. Es ist besser eine Datenschutzerklärung zu haben als gar keine^[17].

Was unter anderem in die Datenschutzerklärung (auch "DSE", englisch "Privacy Policy") sollte:

Wer in deinem Unternehmen für den Datenschutz verantwortlich ist^[29] und dessen Kontaktdaten. Wenn es einen Datenschutzbeauftragten gibt, muss dieser namentlich mit Kontaktdaten genannt werden^[2].
Welche Daten des Besuchers werden von welchen Diensten wie verarbeitet^[29]. Konkreter: Angaben zu einzelnen Verarbeitungstätigkeiten, Rechtsgrundlagen der Datenverarbeitung, Löschzeitpunkte, Quelle der Daten^[32]
Hinweis auf die Rechte der Nutzer
dass man als Affiliate tätig ist

Kostenlose DSGVO-Datenschutzerklärungs-Generatoren:

Datenschutz-Generator.de - für Privatpersonen und Kleinunternehmer (in Deutschland und Österreich), von RA Thomas Schwenke
Wilde Beuger Solmecke - in Kooperation mit der Deutschen Gesellschaft für Datenschutz (DGD)

Transparenzerklärung

Eine Transparenzerklärung ist eine spezialisierte Datenschutzerklärung für einen bestimmten Fall (zum Beispiel Visitenkarteneintragung). In der Transparenzerklärung verlinkt man auf die allgemeine Datenschutzerklärung. Einige weitere Anforderungen an die Transparenzerklärung:^[10]

einfache Sprache (die Transparenzerklärung kann auch als Infografik, zum Beispiel als Datenflussdiagramm vorliegen)
leicht zugänglich
wird dem Kontakt in der Regel vor oder zum Zeitpunkt der Erhebung bekannt gemacht

Messenger-Bots

Messenger-Bots sind in Sachen DSGVO ähnlich wie Newsletter zu behandeln:
In jeder Message muss ein Link zum Impressum, zur Datenschutzerklärung und eine Möglichkeit zum Abmelden vorhanden sein.^[29]

Google Fonts

Beim Laden von Google Fonts wird normalerweise eine Verbindung zu den Google-Servern aufgebaut und es könn(t)en Benutzerdaten übertragen werden. Hier liest du, welche Möglichkeiten es gibt die Google Fonts von deinem eigenen Server zu laden.

Wie es mit dem WordPress-Theme Divi geht, liest du in diesem Abschnitt im Divi-Artikel.

Cookies

Vor April 2018 waren sich Datenschützer einig, dass für Tracking-Tools wie Google Analytics kein Opt-in des Besuchers notwendig is, um Cookies bei ihm setzen zu dürfen. Schon in 2018 änderte sich das, als die „Datenschutzkonferenz von Bund und Ländern“ sich in einem Informationspapier vom 26.4.2018 für das Opt-in aussprach.

Durch Urteile des EuGH in 2019 und des BGH in 2020 wurde es dann endgültig Pflicht, dass nicht-notwendige Cookies (zum Beispiel Marketing-Cookies) erst geladen werden dürfen, wenn der Nutzer vorher zugestimmt (Opt-in) hat. Es gibt verschiedene Cookie Optin / Cookie-Consent-Lösungen um dies umzusetzen. Hier liest du mehr über die Cookie-Tools.

Kontaktformulare

Daten, die über ein Kontaktformular verschickt werden, müssen verschlüsselt übertragen werden. Unverschlüsselte Kontaktformulare wurden bereits abgemahnt.
Es muss ein Datenschutzhinweis in das Kontaktformular rein, der den Besucher informiert was mit seinen Daten geschieht.
Man braucht nicht für jedes Kontaktformular eine Einwilligung. Deshalb braucht man auch keine Checkbox.^[20]. Auch Mittwald sagt, dass eine Checkbox, die der Anfragende anhakt, nicht notwendig sei.^[6]
Nach dem Grundsatz der Datensparsamkeit dürfen nur Informationen abgefragt werden, die für die weitere Verarbeitung zwingend erforderlich sind. Pflichtfelder müssen als solche gekennzeichnet werden.^[2]

Informationspakete

Hier eine Auswahl von kostenlosen und kostenpflichtigen Angeboten, die informieren, was du in Sachen DSGVO tun und beachten musst:

Die Datenschutzformel von Digistore-Gründer Sven Platte
Bekanntes Rechts-Portal eRecht24* - inklusive "DSGVO Spezial" mit Vorlagen
DSGVO-Wissenspaket und AV-Vertrags-Wizard vom Agentur-Hoster Mittwald

Ein empfehlenswertes, praxisnahes Buch ist "DSGVO: Praktischer Leitfaden für Selbständige und kleine Betriebe"* von Ina Gutsch.

Sonstiges

Hier siehst du das Beschwerdeformular des Bayrischen Landesamtes für Datenschutz.
Der Orginal-Text der DSGVO mit ihren 99 Artikeln auf 88 Seiten (und über 50.000 Wörtern) kann zum Beispiel schön strukturiert auf dsgvo-gesetz.de oder in einem Dokument auf europa.eu nachgelesen werden.
Ein DSGVO-Muster für Vereine findet man hier beim Bayerischen Landesamt für Datenschutzaufsicht.
Das Bundesdatenschutzgesetz (BDSG) trat in geänderter Form ebenfalls am 25. Mai 2018 in Kraft. Zusammen mit der DSGVO ersetzt das BDSG-neu somit das alte BDSG, das bereits 1978 in Kraft trat.
Eine Richtlinie (wie zum Beispiel die Cookie-Richtlinie) muss erst in ein Gesetz gegossen werden. Im Gegensatz zu einer Richtlinie gilt eine Verordnung sofort und wird sofort anwendbares Recht.^[29]

Kritik

Es gibt nicht wenige Menschen, die die DSGVO kritisch beäugen. In diesem Abschnitt sammeln wir erwähnte Kritikpunkte:

Die Umsetzung der DSGVO ist aufwändig. Große Firmen haben entsprechende Rechtsabteilungen, die sich darum kümmern. Kleinunternehmer oder sogar private Blogger müssen sich selbst um die Umsetzung kümmern, da für sie die DSGVO genauso gilt wie für Konzerne. Dies ist in Augen vieler eine Zumutung und wird teilweise als Schlag gegen kleine und mittelständische Unternehmen gesehen^[33]^[34].
Fotos, auf denen Menschen zu sehen sind, sind personenbezogene Fotos. Ohne Einwilligung der gezeigten Personen dürfen solche Fotos nur noch von der „institutionalisierten Presse“ verwendet werden^[35]. Dies erschwert der freien Presse (nicht institutionalisiert) das Veröffentlichen von Fotos und investigativer Journalismus könnte bestraft werden.^[33]
Jeder, der sich öffentlich kritisch über eine konkrete natürliche Person äußern möchte, müsse vorher die betreffende Person um Erlaubnis fragen, diese Kritik äußern zu dürfen. Dies könnte das Ende von kritischen Medien (zum Beispiel Whistleblower-Seiten) bedeuten.^[33]

Weiterführendes

↑ ^a ^b ^c ^d Webseite der Europäischen Kommission, abgerufen am 7.5.2018
↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l ^m ⁿ Mittwald DSGVO-Wissenspaket vom 15.5.2018
↑ ^a ^b ^c ^d E-Mail-Marketing und die DSVGO – RA Dr. Stephan Gärtner, Klick-Tipp Academy April 2018, abgerufen am 23.5.2018
↑ ^a ^b ^c ^d Digistore-DSVO-Kurs: Lektion 1 - DSGVO Basics, Begriffsbestimmungen, abgerufen am 16.5.2018
↑ Artikel 4, Nummer 1 der DSGVO, abgerufen am 23.5.2018
↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k DSGVO-Webinar vom Hoster Mittwald, abgerufen am 13.5.2018
↑ ^a ^b ^c Interview mit dem Landesdatenschutzbeauftragten Baden-Württemberg, abgerufen am 7.2.2019
↑ ^a ^b DSGVO - SCHLUSS mit der PANIKMACHE von Nico Lampe, abgerufen am 21.5.2018
↑ Webinar für Online-Gewerbetreibende zur DSGVO*
↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l Klick-Tipp-Webinar mit Dr. Stephan Gärtner am 23.5.2018
↑ ^a ^b ^c Klick-Tipp Release Keynote April 2018, abgerufen am 15.5.2018
↑ ^a ^b ^c ^d Gut organisiert und vorbereitet stellt die DSGVO kein Problem dar, abgerufen am 14.5.2018
↑ ^a ^b The Smart Way to Make Your Opt-In Forms & Email Marketing GDPR Compliant*, abgerufen am 14.6.2018
↑ Bußgeld gegen Google, abgerufen am 7.2.2019
↑ DSGVO: Alle wichtigen Infos auf einen Blick, abgerufen am 6.12.2018
↑ ^a ^b DSGVO Faktencheck, abgerufen am 12.5.2019
↑ ^a ^b ^c heiseshow: Die DSGVO kommt – Was genau passiert jetzt? am 24.5.2018, abgerufen am 27.5.2018
↑ Erste Abmahnungen wegen DSGVO-Verstößen liegen vor, abgerufen am 28.5.2018
↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k Checkliste „DSGVO kompakt“, abgerufen am 7.5.2018
↑ ^a ^b Stephan Hansen-Oest: Braucht mein Kontaktformular jetzt eine Checkbox?, abgerufen am 18.5.2018
↑ Spreadmind ist DSGVO-konform*, abgerufen am 14.5.2018
↑ Wer verpflichtet ist ein Verfahrensverzeichnis nach DSGVO zu führen, abgerufen am 19.6.2018
↑ ^a ^b Digistore-DSVO-Kurs: Lektion 4 - Auftragsverarbeiter - was müssen Sie beachten?, abgerufen am 16.5.2018
↑ ^a ^b ^c ^d ^e ^f ^g ^h Facebook-Live "Q&A zur DSGVO" von Rechtsanwalt Dr. Thomas Schwenke, April 2018, abgerufen am 12.5.2018
↑ Google Analytics – Sollte ich den „Zusatz zur Datenverarbeitung“ akzeptieren? von Dr. Thomas Schwenke, abgerufen am 18.5.2018
↑ Kommentar von "DSGVO Navigator" im Artikel "Liste mit AV-Verträgen", abgerufen am 18.5.2018
↑ Auftragsverarbeitung: Mit wem müssen Sie Verträge schließen?, abgerufen am 13.6.2018
↑ DSGVO: Pflichten und Stellung des Datenschutzbeauftragten, abgerufen am 8.6.2018
↑ ^a ^b ^c ^d ^e ^f Rei Baumeister interviewt die Rechtsanwältin Sabrina Keese-Haufs, April 2018, abgerufen am 10.5.2018
↑ ^a ^b ^c ^d MailChimp, Newsletter und die DSGVO – Anleitung für rechtssicheres E-Mail-Marketing von RA Dr. Thomas Schwenke, abgerufen am 31.5.2018
↑ Gespräch zwischen Cristian-Oskar Marcachi und Stefan Seidner-Britting am 23.7.2019
↑ Die DSGVO und Digistore24 - Ihre Fragen, unsere Antworten, abgerufen am 13.6.2018
↑ ^a ^b ^c DSGVO – totale Meinungsversklavung im EU-Stil, 23.05.2018, abgerufen am 6.6.2018
↑ Dirk Müller - Datenschutzverordnung ist reines Zensur- und Machtinstrument! vom 25.5.2018, abgerufen am 6.6.2018
↑ Das DSGVO-Chaos ist angerichtet von Christoph Jehle am 3.5.2018, abgerufen am 6.6.2018

[ec-1] Webseite der Europäischen Kommission, abgerufen am 7.5.2018

[mittwald-paket-2] ↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l ^m ⁿ Mittwald DSGVO-Wissenspaket vom 15.5.2018

[gärtner-3] E-Mail-Marketing und die DSVGO – RA Dr. Stephan Gärtner, Klick-Tipp Academy April 2018, abgerufen am 23.5.2018

[digistore1-4] Digistore-DSVO-Kurs: Lektion 1 - DSGVO Basics, Begriffsbestimmungen, abgerufen am 16.5.2018

[5] Artikel 4, Nummer 1 der DSGVO, abgerufen am 23.5.2018

[mittwald-6] ↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k DSGVO-Webinar vom Hoster Mittwald, abgerufen am 13.5.2018

[spiegel-7] Interview mit dem Landesdatenschutzbeauftragten Baden-Württemberg, abgerufen am 7.2.2019

[lampe-8] DSGVO - SCHLUSS mit der PANIKMACHE von Nico Lampe, abgerufen am 21.5.2018

[juratogo-9] Webinar für Online-Gewerbetreibende zur DSGVO*

[kt-gärtner-10] ↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l Klick-Tipp-Webinar mit Dr. Stephan Gärtner am 23.5.2018

[klicktipp-11] Klick-Tipp Release Keynote April 2018, abgerufen am 15.5.2018

[problem-12] Gut organisiert und vorbereitet stellt die DSGVO kein Problem dar, abgerufen am 14.5.2018

[thrive-13] The Smart Way to Make Your Opt-In Forms & Email Marketing GDPR Compliant*, abgerufen am 14.6.2018

[14] Bußgeld gegen Google, abgerufen am 7.2.2019

[15] DSGVO: Alle wichtigen Infos auf einen Blick, abgerufen am 6.12.2018

[faktencheck-16] DSGVO Faktencheck, abgerufen am 12.5.2019

[heise-24-5-17] seshow: Die DSGVO kommt – Was genau passiert jetzt? am 24.5.2018, abgerufen am 27.5.2018

[18] Erste Abmahnungen wegen DSGVO-Verstößen liegen vor, abgerufen am 28.5.2018

[lawlikes-19] ↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k Checkliste „DSGVO kompakt“, abgerufen am 7.5.2018

[hansen-20] Stephan Hansen-Oest: Braucht mein Kontaktformular jetzt eine Checkbox?, abgerufen am 18.5.2018

[21] Spreadmind ist DSGVO-konform*, abgerufen am 14.5.2018

[22] Wer verpflichtet ist ein Verfahrensverzeichnis nach DSGVO zu führen, abgerufen am 19.6.2018

[digistore4-23] Digistore-DSVO-Kurs: Lektion 4 - Auftragsverarbeiter - was müssen Sie beachten?, abgerufen am 16.5.2018

[qa-schwenke-24] ↑ ^a ^b ^c ^d ^e ^f ^g ^h Facebook-Live "Q&A zur DSGVO" von Rechtsanwalt Dr. Thomas Schwenke, April 2018, abgerufen am 12.5.2018

[schwenke-ga-25] Google Analytics – Sollte ich den „Zusatz zur Datenverarbeitung“ akzeptieren? von Dr. Thomas Schwenke, abgerufen am 18.5.2018

[26] Kommentar von "DSGVO Navigator" im Artikel "Liste mit AV-Verträgen", abgerufen am 18.5.2018

[27] Auftragsverarbeitung: Mit wem müssen Sie Verträge schließen?, abgerufen am 13.6.2018

[28] DSGVO: Pflichten und Stellung des Datenschutzbeauftragten, abgerufen am 8.6.2018

[rei-29] ↑ ^a ^b ^c ^d ^e ^f Rei Baumeister interviewt die Rechtsanwältin Sabrina Keese-Haufs, April 2018, abgerufen am 10.5.2018

[schwenke-mailchimp-30] MailChimp, Newsletter und die DSGVO – Anleitung für rechtssicheres E-Mail-Marketing von RA Dr. Thomas Schwenke, abgerufen am 31.5.2018

[31] Gespräch zwischen Cristian-Oskar Marcachi und Stefan Seidner-Britting am 23.7.2019

[32] Die DSGVO und Digistore24 - Ihre Fragen, unsere Antworten, abgerufen am 13.6.2018

[kla-tv-33] DSGVO – totale Meinungsversklavung im EU-Stil, 23.05.2018, abgerufen am 6.6.2018

[34] Dirk Müller - Datenschutzverordnung ist reines Zensur- und Machtinstrument! vom 25.5.2018, abgerufen am 6.6.2018

[35] Das DSGVO-Chaos ist angerichtet von Christoph Jehle am 3.5.2018, abgerufen am 6.6.2018

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]