Datenschutz für Coaches - so schützt du dich vor Abmahnungen

Warum überhaupt Datenschutz?

Betrifft mich Datenschutz als Coach, Berater oder Dienstleister überhaupt?

Dieser Gastartikel stammt von Tim Brettschneider von voll-gmbh.de.

Datenschutz geht alle an - naja zumindest die Unternehmen, welche auch Daten erheben.
Denn immer dann, wenn personenbezogene Daten erhoben werden, gilt es, diese entsprechend zu schützen und deren Verwendung zu regulieren.

Im weltweiten Vergleich haben wir in Deutschland relativ strenge Datenschutzvorschriften.
Dazu kommen für uns in Deutschland noch die EU-Richtlinien im Datenschutz und viele weitere Auflagen.

Datenschutz USA	Datenschutz Deutschland
Kein Datengeheimnis	Datengeheimnis ist Standard
Firmen bestimmen Vergabe von Daten	Kunde bestimmt über Verwendung von Daten
Kein gesetzlicher Datenschutz	Bundesdatenschutzgesetz
Keine Aufsichtsbehörde	Bundesamt für Sicherheit in Informationstechnik
Patriot Act	Auskunft über Datenerhebung bei Betroffenen Pflicht

Man sieht also recht deutlich, dass man es in den USA mit dem Thema Datenschutz doch etwas lockerer angeht. Ja und genau hier entstehen auch die meisten Probleme mit dem Datenschutz.

Ungeschützte Daten, reale Gefahr für den Verbraucher?

„Ich habe doch nichts zu verbergen“ - diese Aussage hört man doch recht häufig in Bezug auf den Datenschutz. Nur wenige Menschen können wirklich greifen, welche Gefahren ein unzureichender Datenschutz mit sich bringt.

Wenn Kreditkartendaten weitergegeben werden, dann ist das Problem noch relativ greifbar. Es gibt aber noch viele weitere Problematiken im Datenschutz, hier ein Beispiel aus der Berufspraxis:

Jemand betreibt einen Blog für junge Eltern. Über Google Analytics erkennt er schnell welche Beiträge besonders oft gelesen werden und damit das Interesse der Leser wecken.
Außerdem hat er einen Newsletter und sammelt dort fleißig E-Mail-Adressen.

Diese E-Mail-Adressen gibt er an einen Windelhersteller weiter. Zudem konnte der Blogger den Standort der Eltern über ein Gewinnspiel ermitteln und gibt diese Daten ebenfalls weiter.
Verstöße dieser Art finden sehr häufig statt! Die Möglichkeiten der Manipulation sind groß und das Ausmaß können wir nur erahnen, wie dieser Artikel zeigt >>https://www.dasmagazin.ch/2016/12/03/ich-habe-nur-gezeigt-dass-es-die-bombe-gibt/

Reale Gefahren für Seitenbetreiber: Datenschutz aus Anbietersicht

Wie Eingangs aufgezeigt, ist das Thema Datenschutz in Deutschland ernst zu nehmen.
Verstöße im Datenschutz ziehen sehr hohe Strafen nach sich, hier wird mit Bußgeldern gearbeitet und diese liegt bei 50.000€ (https://dejure.org/gesetze/BDSG/43.html) 
Gerade für kleine Unternehmen bzw. Coaches, Berater oder Dienstleister, welche sich gerade in ihrer Gründungsphase befinden, wäre das der Supergau!

Betrifft das auch Coaches und Trainer?

Dieses Thema betrifft jeden der eine Webseite hat! Selbst, wenn man kein Google Analytics eingebunden hat. Eine Webseite liegt in der Regel auf einem Server und der Hosting Anbieter erhebt Server-Log-Files und stellt diese dem Seitenbetreiber bereit. Schon hier werden nutzerbezogene Daten erhoben und es gelten die Datenschutzpflichten für den Betreiber der Seite.

Klingt kompliziert? Die wichtigsten Problemstellen im Überblick

Beim Datenschutz im Web haben wir ganz grob 3 Baustellen:

• Datenerhebung (welche Daten werden erhoben)
• Informationspflicht (Nutzer über Erhebung entsprechend Informieren)
• USA – Deutschland Problem (verschiedene Gesetzeslagen)

USA-Deutschland Problematik im Datenschutz
Immer wenn ich mit dem Thema Datenschutz bei Kunden zu tun habe, liegen 80% der Probleme in diesem Bereich. Viele Seitenbetreiber in Deutschland nutzen Tools aus den USA und das führt oft zu Problemen und Verstößen!
Zum Beispiel: In den USA darf Google Analytics die volle IP des Nutzers speichern, in Deutschland ist dies verboten. Daher muss Analytics für den deutschen Markt modifiziert werden, sonst begeht man eine Ordnungswidrigkeit und kann mit einem Bußgeld von bis zu 50.000 Euro bestraft werden.

Informationspflicht
Nutzer müssen darüber informiert werden, wie und welche Daten erhoben werden. Das regelt man mit dem Datenschutzhinweis, dieser muss komplett und formell richtig sein.
Außerdem gibt es hier noch einen rechtlichen Rahmen einzuhalten, doch dazu später mehr.

Datenerhebung
Hier gilt es zu beachten das bestimmte Daten gar nicht erhoben werden dürfen, wie zum Beispiel die volle IP des Nutzers in Google Analytics.
Zudem muss man hier noch das Thema Freiwilligkeit anmerken, auf freiwilliger Basis darf man einige Daten erheben…man darf den Nutzer aber in vielen Fällen nicht zwingen.

Die wichtigsten Punkte im Datenschutz als Checkliste

Um das komplizierte Thema auf den Punkt zu bringen, habe ich eine Checkliste ausgearbeitet. Diese Liste enthält die häufigsten Datenschutzprobleme die mir bei meinen Kunden begegnet sind.

• Impressumspflicht und von jeder Seite aus mit einem Klick erreichbar.
• Datenschutzhinweis muss ein separater Link auf der Website sein und von jeder Seite mit einem Klick erreichbar.
• es muss eine Person benannt werden, welche für Auskunft, Löschung und Sperrung zuständig ist und 2 Kontaktmöglichkeiten angegeben werden.
• es muss eine technische IP-Anonymisierung für Google Analytics hinterlegt werden.
• der Nutzer muss die Möglichkeit haben sich generell vom Tracking bei Google Analytics auszuschließen.
• der Nutzer muss die Möglichkeit haben sich vom Tracking (Analytics) direkt nur auf der besuchten Seite auszuschließen – ermöglicht zum Beispiel über Opt-Out Cookie.
• es muss über die Datenerhebung entsprechend aufgeklärt werden, hierzu gibt es viele Mustertexte im Netz (Facebook Like Button, etc.).
• bei Newsletter ist das Double-Opt-In-Verfahren Pflicht.

Die Top 3 Probleme die mir beim Datenschutz begegnen und die jeder Seitenbetreiber sofort prüfen sollte sind:

1. fehlende IP Anonymisierung
2. Datenschutzhinweis ist „versteckt“
3. fehlende Opt-Out Möglichkeit bei Analytics

Was passiert, wenn ich nicht handle?

Das kann eine Weile gut gehen, aber auch schnell richtig weh tun!
Denn, der Webseitenbetreiber bekommt von 3 Fronten Druck:

• einmal vom Gesetzgeber mit Bußgeldern bis zu 50.000€,
• dann von den Nutzern die ihre Daten schützen wollen,
• und seit kurzem auch von der Konkurrenz, die im Wettbewerbsrecht abmahnen können.

Seit Ende 2015 ist es dem Wettbewerb möglich, Datenschutzverstöße abzumahnen. Das birgt ein enormes Risiko für die Webseitenbetreiber.

Ich selbst habe in der VOLL GmbH einen Bot geschrieben, dieser prüft automatisch die Webseiten unserer Kunden und zeigt Datenschutzverstöße an.

Nun setze ich diesen ein um meinen Kunden zu helfen, Abmahnanwälte könnten einen ähnlichen Bot aufsetzen um damit Abmahnungen zu versenden. Die Gefahr ist also real und sollte nicht auf die leichte Schulter genommen werden.

Was muss ich als Coach jetzt tun, um kein Risiko zu haben?

Ich hoffe, dass kein Leser jetzt Schweißausbrüche beim Lesen bekommen hat. Es klingt alles doch recht umfangreich, aber die Korrektur des Datenschutzes ist oft schnell und unkompliziert gemacht.

Dabei liegt meiner Meinung nach die größte Hürde bei der Technik.
Die IP-Anonymisierung und die Opt-Out Möglichkeiten müssen technisch eingepflegt werden und die Funktion geprüft werden, der Aufwand ist dafür überschaubar.

Auf der rechtlichen Seite sieht das wieder einfacher aus, hier gibt es klare Vorgaben und im Netz findet man kostenlose Datenschutzmuster die man verwenden kann.

Ich wünsche viel Spaß bei der datenschutzkonformen Erhebung von Daten!