DSGVO für freiberufliche Übersetzer und Sprachdienstleister

Tipps, Muster, Datenschutz-Beispielvorlagen für Sprachmittler

26 Mai 2018
·
von Dave Naithani
·
(Kommentare: 0)
DSGVO – was sie für Übersetzer und andere freiberufliche Sprachdienstleister bedeutet

Die EU-Daten­schutz­grund­ver­ord­nung gilt nicht etwa nur für große Unter­neh­men. Frei­be­ruf­li­che Über­set­zer, Lek­toren, Dol­met­scher und sons­tige selbst­stän­dige Sprach­dienst­leis­ter un­ter­lie­gen na­tür­lich ge­nau­so den Vor­ga­ben der DSGVO. Und so haben auch wir uns als Sprach­dienst­leis­ter-Netz­werk vor die­sem Hinter­grund noch­mal in­ten­siv mit dem Daten­schutz­thema aus­ei­nan­der­setzen müssen.

Dabei sind wir sehr dank­bar gewe­sen für die un­zäh­li­gen hilf­rei­chen Ar­ti­kel von An­wäl­ten, Blog­gern und auch Be­hör­den, die Licht ins DSGVO-Dickicht brin­gen (von denen wir einige im nach­fol­gen­den Artikel ver­lin­ken)! Insbesondere die sehr günstige und übersichtliche Bro­schü­re „Erste Hil­fe zur Da­ten­schutz-Grund­ver­ord­nung für Un­ter­neh­men und Ve­reine: Das So­fort­maß­nah­men-Paket“* hat uns sehr weitergeholfen. Aller­dings haben wir be­merkt, dass es nur rela­tiv wenig kon­krete Hilfe­stel­lungen und Bei­spiele für Frei­be­rufler, ge­schwei­ge denn ge­zielt für Sprach­mittler gibt. Aus diesem Grund haben wir uns dazu ent­schlos­sen, unsere Learnings und ein um­fang­reiches Muster-Ver­zeich­nis von Ver­arbei­tungs­tä­tig­kei­ten mit praxis­re­le­van­ten Bei­spie­len) spe­ziell für Über­set­zer und Sprach­dienst­leister mit euch zu teilen.

Denn nach der DSGVO ist vor der DSGVO: Ab sofort gehört der In­halt der Daten­schutz­grund­ver­ord­nung für alle, die sich neu als Sprach­dienst­leister selbst­ständig machen möch­ten, ge­nau­so zur Pflicht­lek­türe, wie zum Bei­spiel die Vor­gaben, die es beim Im­pres­sum zu berücksichtigen gilt.

*Affiliate-Link: Wenn Sie hierüber etwas bei Ama­zon kau­fen, er­hal­te ich eine klei­ne Pro­vi­si­on. Ih­nen ent­ste­hen da­durch kei­ne Mehr­kosten.

Bevor wir ins Eingemachte gehen, ein wichtiger Hinweis:

Bei allen Informationen, die ihr hier findet, handelt es sich um unsere ganz persönlichen Learnings, die sich hoffentlich auch für euch als hilfreich erweisen. Da wir aber keine Juristen sind, stellen sämtliche Infos und Mustervorlagen auf dieser Seite keine rechtliche Beratung dar und können eine solche auch nicht ersetzen! In erster Linie ist folgende Zusammenstellung als persönlicher Erfahrungsbericht zu verstehen (was haben wir persönlich im Rahmen der DSGVO gelernt und gemacht). Doch jeder Freiberufler wird in seinem Arbeitsalltag ganz eigene Datenschutzherausforderungen haben, auf die es individuell einzugehen gilt. Im Zweifel solltet ihr euch deshalb Rat bei einem Juristen oder Datenschutzbeauftragten einholen.

DSVGO-Grundlagen


Wir setzen an dieser Stelle voraus, dass du bereits weißt,

  • was es mit der DSGVO auf sich hat,
  • dass du davon betroffen bist
  • und das sich daraus gewisse To-Dos in deinem Arbeitsalltag ergeben.

Wenn dem so ist, kannst du diese Box getrost überspringen.

Solltest du noch Nachholbedarf haben, empfehlen wir dir als Freiberufler beispielweise folgenden Artikel als Einstieg in die Materie:

www.content-iq.com/2018/03/22/dsgvo-fuer-einzelunternehmer-und-freelancer

Außerdem gibt es ein paar grundlegende Begriffe, die immer wieder im weiteren Kontext auftauchen werden. Zumindest die Antwort zu folgenden beiden Fragen solltest du kennen:

Was sind eigentlich personenbezogene Daten?

„Personenbezogene Daten“ sind der Dreh- und Angelpunkt der ganzen Datenschutzgrundverordnung. Denn es sind diese Daten, die geschützt werden wollen und mit denen wir einen verantwortungsvollen, rechtlich zulässigen Umgang pflegen müssen. Und hierzu zählen:

Alle Informationen, die eine natürliche Person direkt oder indirekt identifizieren oder identifizierbar machen können.

Dazu gehören also beispielsweise Angaben, wie Name, Kontaktdaten, Bankverbindung, Fotos von einer Person oder auch eine IP-Adresse.

Ab wann spricht man denn von einer Verarbeitung von personenbezogenen Daten?

Beim Begriff „Verarbeitung“ muss man sich ein bisschen von der Bedeutung lösen, die man aus dem sonstigen Alltag kennt. Wenn man beispielsweise an das Verarbeiten von Lebensmitteln denkt, dann hat man hier vermutlich vor allem die Essenszubereitung – waschen, schnibbeln, kochen – und vielleicht noch das zu sich Nehmen vor Augen. Wäre die Lebensmittelverarbeitung aber von der DSGVO geregelt, dann würden bereits das Einkaufen, Lagern, Servieren, die Aufbewahrung und/oder Entsorgung der Essensreste ebenfalls unter den Begriff der Verarbeitung fallen.

Denn laut DSGVO zählen zu den „Verarbeitungstätigkeiten“ insbesondere folgende Vorgänge – unabhängig davon, ob diese handschriftlich (z.B. Karteikarten) oder digital bzw. mit Hilfe automatisierter Verfahren ausgeführt werden:

  • das Erheben
  • das Erfassen
  • das Organisieren
  • das Ordnen
  • die Speicherung
  • die Anpassung oder Veränderung
  • das Auslesen
  • das Abfragen
  • die Verwendung
  • die Offenlegung durch Übermittlung
  • Verbreitung oder eine andere Form der Bereitstellung
  • den Abgleich oder die Verknüpfung
  • die Einschränkung
  • das Löschen oder die Vernichtung

(... von personenbezogenen Daten)

Zusammengefasst kann man also feststellen, dass demnach beispielsweise jeder, der zu geschäftlichen Zwecken per E-Mail kommuniziert oder ein Kontaktformular auf seiner Website hat, bereits personenbezogene Daten verarbeitet.

Wenn du dann

  • entweder in der EU sitzt
  • oder außerhalb der EU sitzt, aber Kunden in der EU ansprichst/bedienst,

dann gelten für dich die Vorgaben der Europäischen Datenschutzgrundverordnung.

Welche To-Dos sich daraus für uns persönlich ergeben haben – einerseits als freiberufliche Übersetzerin, Lektorin und Sprachtrainerin, andererseits als Anbieter eines Netzwerks für Sprachdienstleister –, das beschreiben wir nachfolgend.

Was ich als Sprachdienstleister bzw. wir als Sprachdienstleister-Netzwerk im Rahmen der DSGVO unternommen haben

Fernrohr: Einen Überblick im DSGVO-Dickicht verschaffen (ToNic-Pics, Pixabay)

Schritt 1:
Überblick verschaffen und informieren ✓

Zu Beginn haben wir uns erst einmal eine Übersicht darüber verschafft, an welchen Stellen wir überhaupt personenbezogene Daten in unserem geschäftlichen Alltag verarbeiten (siehe dazu die Definition von „personenbezogene Daten“ und „Verarbeitung“ im oberen Abschnitt „DSGVO-Grundlagen“). Hierfür haben wir ganz einfach eine Word-Datei erstellt und stichpunktartig alles aufgelistet, was uns hierzu in den Sinn gekommen ist.

Insbesondere folgende Fragen haben uns dabei geholfen, zu identifizieren, wo/welche personenbezogenen Daten wir verarbeiten:

  • Wie läuft mein typischer Arbeitsalltag ab und an welchen Stellen komme ich mit personenbezogenen Daten in Berührung?
  • Wie sehen die Prozesse für mich als Übersetzerin, Lektorin, Sprachtrainerin ... aus (von der Kundenanbahnung, über die Abwicklung einer Dienstleistung bis hin zur Rechnungsstellung)?
  • An welchen Stellen werden auf meiner Website personenbezogene Daten erhoben, übermittelt gespeichert – verarbeitet?
    Wenn man hier nicht selber voll im Thema ist, dann sollte man dazu unbedingt Rücksprache mit seinem Webmaster bzw. seinem Online-Dienstleister halten. Denn oftmals erschließt sich einem Laien nicht, an welchen Stellen tatsächlich personenbezogene Daten im Hintergrund verarbeitet werden! Für die Kooperationspartner des Language-Boutique-Netzwerks haben wir uns natürlich bereits um das Thema Website gekümmert und die entsprechenden Maßnahmen umgesetzt.
  • Wie, wo und was speichere ich an Daten meiner (potenziellen) Kunden und wie nutze ich diese evtl. zu einem späteren Zeitpunkt?

Zur Verdeutlichung, hier ein Auszug mit ein paar Beispielen aus unserer Übersichtsliste, wie/wo wir personenbezogene Daten verarbeiten:

  • Kundenanfragen (Online-Formular, E-Mail, Telefon)
  • Kommunikation via E-Mail und anderen Kanälen
  • Bearbeitung, Speicherung, Sicherung von Vertragsdaten sowie der vom Kunden bereitgestellten und zu bearbeitenden Dokumente (z.B. Übersetzungstexte, Lektoratsdokumente), die z.T. personenbezogene Daten enthalten können.
  • Führen einer Kundenkartei (z.B. im Adressbuch des E-Mailprogramms)
  • Buchhaltung/Rechnungsstellung
  • Online-Tracking auf der Website
  • Sonstige Cookies auf Website
  • Website-Kommentare
  • usw.
Datenverarbeitung unter die Lupe nehmen

Schritt 2:
Eigenen Umgang mit personenbezogenen Daten hinterfragen ✓

Wenn es dir wie uns geht, dann warst du vielleicht stellenweise überrascht darüber, in welchem Umfang doch personenbezogene Daten in den eigenen Arbeitsprozessen anfallen und verarbeitet werden. Ohne Datenverarbeitung geht's meistens ja auch gar nicht!

Aber dann gab's wiederum Stellen, an denen wir bemerkt haben, dass das Erfassen/Speichern von personenbezogenen Daten gar nicht, nicht mehr oder zumindest nicht im bisherigen Umfang erforderlich ist. Hier sind wir nach Artikel 5, Absatz 1c der DSGVO zur „Datenminimierung“ aufgefordert: „Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein

Also sind wir hingegangen und haben Datensätze gelöscht, die wir nicht/nicht mehr benötigen* und haben gewisse Prozesse umgestellt, damit von vornherein keine unnötigen Daten mehr erfasst oder abgefragt werden. Beispielsweise haben wir festgestellt, dass auf unserem Server von unserem Provider zwei vorinstallierte Statistikprogramme liefen, in denen sämtliche Logdaten (z.B. IP-Adressen der Besucher) aller Website-Aufrufe seit Bestehen unserer Website gespeichert waren. Diese Daten wurden von uns nie ausgewertet oder sonstwie genutzt – also eine sinnlose Anhäufung von personenbezogenen Daten. Daraufhin haben wir zum einen diese Daten restlos gelöscht, zum anderen haben wir unseren Provider darum gebeten, diese Statistikprogramme von unserem Account zu entfernen (was daraufhin auch geschehen ist).

Datenminimierung ist das eine. Aber die mindestens genauso wichtige Frage lautet:
Gibt es eine rechtliche Grundlage, die uns überhaupt erlaubt, die personenbezogenen Daten zu verarbeiten, die wir verarbeiten?

Hinweise auf die „Rechtmäßigkeit der Verarbeitung“ sind in der DSGVO vor allem in Artikel 6 zu finden. Die offensichtlichste rechtliche Grundlage für eine Verarbeitung von personenbezogenen Daten ist die Einwilligung durch die betroffene Person. Doch daneben gibt es noch eine Reihe weitere Begründungen, die eine Verarbeitung von personenbezogenen Daten legitimieren, wie z.B. zur Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung. Hier macht es Sinn, die in Schritt 1 identifizierten eigenen Verarbeitungen von personenbezogenen Daten einmal mit den in Artikel 6, Absatz 1 der DSGVO beschriebenen Bedingungen abzugleichen und am besten in die bereits begonnene Word-Datei die jeweilige Begründung zu vermerken (diese Infos wirst du bei dem unter „Schritt 6“ beschriebenen Punkt – der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten – nämlich sowieso benötigen).

*Für Geschäftskorrespondenz (hierzu zählen auch E-Mails) gilt eine gesetzlich vorgeschriebene sechsjährige Aufbewahrungsfrist. Für Dokumente, die für steuerrechtliche Verfahren Relevanz besitzen (z.B. Buchungsbelege, Rechnungen etc.), gilt womöglich auch eine längere Aufbewahrungspflicht. Die Frist beginnt mit dem Schluss des Kalenderjahres – eine Geschäftsmail, die im März 2010 empfangen/versendet wurde, müsste demnach bis Ende 2016 aufbewahrt werden. Übrigens: Diese Löschfristen solltest du ebenfalls in deinem Verzeichnis von Verarbeitungstätigkeiten vermerken, das du laut DSGVO verpflichtet bist zu führen (siehe Beispielsvorlage am Ende dieses Artikels).

Auftragsdatenvereinbarung

Schritt 3:
Auftragsverarbeiter identifizieren und Verträge zur Auftragsverarbeitung schließen ✓

Ganz klar: DU bist derjenige, der stets verantwortlich ist für den richtigen und sicheren Umgang mit personenbezogenen Daten, die dir, beispielsweise von Kunden anvertraut wurden. Doch häufig nimmt man im Rahmen seiner Geschäftstätigkeit als Sprachdienstleister selber Dienste von externen Anbietern in Anspruch (z.B. E-Mail-Provider, Website-Hosting, Webmaster-Dienstleistungen etc.), die mit den dir anvertrauten personenbezogenen Daten in Berührung kommen können.

Sobald du nun mit externen Dienstleistern zusammenarbeitest, die in deinem Auftrag solche Daten „verarbeiten“, musst du dir deshalb von diesen vertraglich garantieren lassen, dass sie ebenfalls gemäß der DSGVO mit den Daten umgehen. Das nennt man eine „Auftragsverarbeitung“. Und dafür braucht es zwischen dir (dem sogenannten Verantwortlichem), und dem Auftragsverarbeiter einen „Vertrag zur Auftragsverarbeitung“. Dieser Vertrag regelt die Rechten und Pflichten hinsichtlich des Datenschutzes zwischen dir und dem Dienstleister.

Beispiel 1: Auf unseren Websites setzen wir Google Analytics ein, um das Besucherverhalten auf unseren Websites zu analysieren und unser Web-Angebot entsprechend zu verbessern. Dabei werden Merkmale unserer Besucher von Google verarbeitet und gespeichert. Aus diesem Grund gilt Google als Auftragsverarbeiter. Es wird also – übrigens auch schon vor DSGVO-Zeiten – eine Zusatzvereinbarung zur Auftragsverarbeitung benötigt (die man mittlerweile auch online abschließen kann).

Beispiel 2: Wir arbeiten mit einem Buchhaltungsprogramm eines Online-Anbieters. Die Rechnungs- und Kontaktdaten, die wir in dieses Programm eingeben, werden also auf dem externen Server dieses Software-Anbieters gespeichert und verarbeitet. Demnach gilt der Anbieter als Auftragsverarbeiter. Wir mussten also mit diesem einen Vertrag zur Auftragsverarbeitung abschließen.

Beispiel 3: Das Sprachmittler-Netzwerk Language Boutique ist ebenfalls ein Auftragsverarbeiter. Und zwar verarbeiten wir personenbezogene Daten im Auftrag unserer Kooperationspartner. Denn sämtliche E-Mails zwischen unseren Kooperationspartnern und deren Kunden laufen über die von uns bereitgestellten E-Mail-Server. Zudem, wenn ein Kunde seine persönlichen Daten in ein Online-Angebotsformular eines unserer Language-Boutique-Kooperationspartners eingibt, dann passiert das auf der von uns bereitgestellten Website, auf unseren Servern. Da wir nun theoretisch die Möglichkeit hätten, Einblick in diese Daten zu bekommen, brauchen wir einen Vertrag zur Auftragsverarbeitung mit unseren Kooperationspartnern.

To-do: Du solltest dir deshalb deine unter „Schritt 1“ erstellte Liste nochmal vorknöpfen und deine Arbeitsprozesse dahingehend ansehen, wo ggf. Auftragsverarbeitungen stattfinden. Anschließend solltest du mit sämtlichen identifizierten Auftragsverarbeitern einen Vertrag schließen. In einem solchen Vertrag zur Auftragsverarbeitung werden die Verpflichtungen zum Datenschutz sowie die Rechte der Vertragspartner festgehalten, die sich aus der Zusammenarbeit – der Auftragsverarbeitung – ergeben. Viele Auftragsverarbeiter haben hierfür ein Vertragswerk, das sie dir auf Anfrage oder gar proaktiv anbieten werden. Ansonsten findet man dazu online ebenfalls Mustervorlagen, die für die eigene Situation angepasst werden können.

Wir haben uns für unseren eigenen Vertrag zur Auftragsverarbeitung vor allem an folgenden beiden Vorlagen orientiert:

  • Mustervertragsanlage von Bitkom (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.)
  • Muster-Vertrag zur Auftragsdatenverarbeitung von e-recht24.de (leider kostenpflichtig/nur für Premium-Mitglieder)
Menüpunkt "Datenschutzerklärung"

Schritt 4:
Datenschutzerklärung für Website überarbeiten/aktualisieren bzw. neu erstellen ✓

Die DSGVO verlangt von Freiberuflern genauso wie von Unternehmen, dass sie Betroffene über eine etwaige Verarbeitung von personenbezogenen Daten informiert. Die Informationspflichten sind umfangreich und laut DSGVO auch für den Ottonormalverbraucher verständlich zu formulieren. Auf Websites hat sich hierfür die Veröffentlichung und Verlinkung einer Datenschutzerklärung etabliert.

Was den Inhalt einer solchen Datenschutzerklärung betrifft, muss aber zum Glück niemand das Rad neu erfinden. Denn es gibt zahlreiche Muster und Generatoren, die einem für die gängigsten Verarbeitungsszenarien von personenbezogenen Daten auf Websites, vorgefertigte Textbausteine bereitstellen.
Aber Achtung: Jede Website bringt ihre eigene Anforderungen mit sich und so sollte jede Muster-Datenschutzerklärung, die man verwendet, auf Herz und Nieren überprüft und mit den tatsächlichen Gegebenheiten auf der eigenen Website abgeglichen werden. Hierzu am besten auch mit dem eigenen Webmaster/Online-Dienstleister Rücksprache halten.

Wir haben als Grundlage für unsere eigene Datenschutzerklärung sowie für die Webseiten unserer Kooperationspartner den Datenschutzgenerator von eRecht24 verwendet – allerdings ist dieser nur für Premiummitglieder nutzbar (kostenpflichtig). Es gibt jedoch auch zahlreiche andere (kostenlose) Muster und Generatoren dafür – einfach mal nach „DSGVO Datenschutzerklärung Generator“ (oder Muster) googeln.

Icon DSGVO-konforme Website

Schritt 5:
Die sonstige Website „DSGVO-tauglich“ machen ✓

In den Wochen vor Inkrafttreten der DSGVO haben wir uns auf die Suche nach bestehenden DSGVO-Baustellen auf unseren Websites gemacht und diese folgendermaßen beseitigt.

  • Einbindung der im vorherigen Punkt beschriebenen Datenschutzerklärung
    Hierbei ist zu beachten, dass die Datenschutzerklärung, genauso wie auch das Impressum, von jeder Unterseite eines Webangebots „unmittelbar erreichbar“ sein muss. Dementsprechend findet man in der Fußzeile jeder unserer Seiten/Unterseiten einen Link zur Datenschutzerklärung.

    Zudem darf die Datenschutzerklärung nicht im Impressum „versteckt“ werden. D.h. entweder man hat eine eigene Seite nur für die Datenschutzerklärung und benennt sie entsprechend oder man benennt den Menüpunkt z.B. „Impressum und Datenschutz“, wenn man die Datenschutzerklärung und das Impressum auf derselben Seite unterbringen möchte. Wir haben uns für Letztere Möglichkeit entschieden, bieten aber durch einen sogenannten Textanker an, direkt zum ersten Absatz unserer Datenschutzerklärung zu springen bzw. diese zu verlinken.
Screenshot Cookiebanner
  • Einbindung eines „Cookie-Banners“
    Verwendet man auf einer Website Cookies und/oder Web-Analyse-Verfahren, dann müssen Besucher darüber informiert werden. Dabei reicht es jedoch nicht, das erst in der Datenschutzerklärung zu tun. Stattdessen soll an Ort und Stelle, wo diese Dinge im Einsatz sind, darauf aufmerksam gemacht werden – also i.d.R. überall auf einer Website. Für diesen Zweck haben sich sogenannte Cookie-Banner durchgesetzt.

    Deshalb wird auch beim ersten Aufruf der Language-Boutique-Websites nun jedem Besucher ein solches Cookie-Banner angezeigt. Dieses Pop-up/Overlay am unteren Bildrand weist auf unseren Einsatz von Cookies und Tracking hin und verlinkt auf unsere Datenschutzerklärung. Hierbei haben wir darauf geachtet, dass der Link zum Impressum im Fußbereich unserer Website nicht durch das Cookie-Banner überdeckt wird und dass die Darstellung des Banners auch für mobile Endgeräte optimiert ist.

    Was diesbezüglich allerdings noch kontrovers diskutiert wird, ist, ob die Verwendung von Cookies und von Tracking ein „Opt-in“ benötigt oder ob ein „Opt-out“ reicht.
    • Opt-in würde bedeuten: Beim Aufruf einer Website würde zunächst noch kein Cookie oder Tracking-Skript geladen. Stattdessen wird zuerst das Einverständnis des Besuchers dafür erbeten. Erst, wenn dieser explizit der Verwendung von Cookies und Tracking zustimmt, würde der Besucher getrackt und ein Cookie auf seinem Rechner gesetzt werden.
    • Opt-out bedeutet: Beim Aufruf einer Website werden Cookies zunächst immer gesetzt und Trackingskripte geladen. Zeitgleich wird im Cookie-Banner aber über deren Verwendung informiert und entweder direkt im Cookie-Banner oder in der Datenschutzerklärung die Möglichkeit zu einem Opt-out gegeben (wie kann ich Tracking und Cookies unterbinden).
    Uns hat die Argumentation pro Opt-out überzeugt – siehe hierfür z.B. it-recht-kanzlei.de. Deshalb haben wir uns entsprechend auf der Hauptseite von Language Boutique für eine Opt-out-Umsetzung entschieden. Da aber unsere Language-Boutique-Koope­ra­tions­partner selbst für ihre jeweilige Website verantwortlich sind, kann jeder unserer Partner wählen, wie es individuell auf ihrer Website gehandhabt werden soll (Opt-in, Opt-out direkt im Cookie-Banner oder Opt-out-Möglichkeiten in der Datenschutzerklärung).
  • Überprüfung/Anpassung von sonstigen eigebetteten Drittanbieter-Tools und Plug-Ins
    Neben den Tracking- und Analyse-Werkzeugen machen die meisten Websites heutzutage Gebrauch von reichlich anderen Tools externer Anbieter. Auch diese setzen meist Cookies ein, „telefonieren nach Hause“ und übermitteln dabei z.T. personenbezogene Daten an den Server des Anbieters. Angefangen von eingebetteten YouTube-Videos, Like/Social-Share-Buttons, Google Maps, Google Fonts etc. Diese Tools müssen nun dahingehend überprüft werden, ob es eine datenschutzkonforme Möglichkeit gibt, sie einzusetzen, ob ein Zusatz in der Datenschutzerklärung ausreicht, ob eine Opt-In-/Opt-Out-Möglichkeit gegeben sein muss usw. Am besten einfach mal nach den von dir eingesetzten Tools und Datenschutz googeln und schauen, was diesbezüglich empfohlen wird.

  • Installation eines SSL-Zertifikats:
    Bereits seit 2016 sind unsere Websites mit einem SSL-Zertifikat ausgestattet, also nur noch über httpS://language-boutique.de aufrufbar. Dadurch ist eine sichere/verschlüsselte Übermittlung der in unsere Online-Formulare eingegebenen Daten gewährleistet. Beispielsweise unter datenschutzbeauftragter-info.de kann man nachlesen, warum dies notwendig ist. Bei einer Umstellung auf https müssen aber unbedingt einige Dinge beachtet werden, damit man sein Google-Ranking nicht einbüßt – siehe dazu z.B. allcodesarebeautiful.com/website-auf-https-umstellen/#umstellen

  • Überarbeitung von (Kontakt-)Formularen auf der Website:
    Online-Kontaktformulare sind ein typisches Beispiel für die Erhebung/Verarbeitung von personenbezogenen Daten. Zunächst ist sicherzustellen, dass wirklich nur die Daten abgefragt werden, die zwingend erforderlich sind (Grundsatz der Datenminimierung oder Datensparsamkeit, s. § 5 Art. (1) lit c DSGVO).
    Dann muss der Benutzer darüber aufgeklärt werden, wie/wofür die Daten verwendet werden und an wen er sich wenden kann, wenn seine Daten korrigiert oder gelöscht werden sollen – dies tun wir in unserer Datenschutzerklärung, die wir am Ende unseres Kontaktformulars verlinkt haben.
    Unterschiedliches ließt man darüber, ob es notwendig ist, zusätzlich eine Checkbox am Ende des Kontaktformulars vorzuhalten, mit der der Benutzer nochmal ausdrücklich bestätigen muss, dass seine eingegebenen Daten verwendet werden dürfen. Wir haben uns der Argumentation angeschlossen, dass man keine Checkbox braucht – nachzuhören in folgendem Podcast ab 4:35 Minuten:


    Eine weitere Änderung, die wir an unseren Angebotsformularen durchgeführt haben: An einer Stelle fragen wir standardmäßig in unserem Ange­bots­an­fra­ge­for­mu­lar ab, ob die Anfrage während Stoßzeiten an Kollegen weitergeleitet werden darf. Bislang war die Option „Ja, ich wäre einverstanden mit der Weiterleitung meiner Anfrage“ vorausgewählt. Dies wäre laut DSGVO aber nicht mehr zulässig (Prinzip „Privacy by Design“). Deshalb muss dort muss nun aktiv eine Auswahl getroffen werden, damit die Einwilligung des Kunden auch DSGVO-konform erfolgt.

  • Ergänzung/Aktualisierung der AGB hinsichtlich Datenschutzbestimmungen:
    Falls du, wie wir, Allgemeine Geschäftsbedingungen auf deiner Seite bereithältst, dann müssen auch diese ggf. an die Anforderungen der DSGVO angepasst werden. Unsere AGB haben wir dementsprechend von unserem Rechtsanwalt überarbeiten/ergänzen lassen und anschließend auf unserer Website bzw. den Webseiten unserer Kooperationspartner aktualisiert.
Muster-/Beispiel-Verzeichnis von Verarbeitungstätigkeiten für Übersetzer und Sprachdienstleister

Schritt 6:
Verzeichnis von Verarbeitungstätigkeiten erstellen ✓

Jeder, der personenbezogene Daten (z.B. Name und Kontaktdaten) geschäftlich verarbeitet (Kundenkartei/Adressbuch, Rechnungswesen, E-Mails ...), ist laut DSGVO i.d.R.* dazu verpflichtet, darüber ein Verzeichnis zu führen, um es auf Anfrage umgehend den Aufsichtsbehörden vorlegen zu können – das sogenannte „Verzeichnis von Verarbeitungstätigkeiten“. Wenn man danach googelt, findet man viele Artikel/Informationen dazu, einige Mustervorlagen und vereinzelt ein paar beispielhaft ausgefüllte Muster. Allerdings zielen die wenigen Beispiele meistens auf Unternehmen mit vielen Mitarbeitern, Arztpraxen oder Anwaltskanzleien ab. Zum Thema „Freiberufler“, geschweige denn „Übersetzer“ oder „Sprachdienstleister“ findet man hierzu kaum bis gar nichts Brauchbares. Aus diesem Grund haben wir ein Musterverzeichnis für euch erstellt, das hilfreiche Informationen und Beispiele enthält, die wohl auf viele von euch zutreffen werden.

Generelle Infos zum Verarbeitungsverzeichnis

  • *Theoretisch ist eine Freistellung vom Führen eines Verarbeitungsverzeichnisses möglich (für Unternehmen mit weniger als 250 Mitarbeitern). Sobald man aber u.a. regelmäßig personenbezogene Daten verarbeitet (z.B. Übersetzung/Lektorat von Lebensläufen, Bewerbungen/Anschreiben, Urkunden etc., Anlegen von Kundenkarteien und Speichern von Kundendaten etc.), kommt das schon nicht mehr in Frage. Es ist davon auszugehen, dass die Ausnahmen nur selten greifen werden – so auch die Auffassungen der bisher veröffentlichten Literatur.
  • Dieses Verzeichnis muss nicht öffentlich gemacht werden! Es muss also z.B. nicht Kunden gegenüber offengelegt werden. Es dient vor allem der eigenen Qualitätskontrolle und, um der Aufsichtsbehörde nachzuweisen, wie mit personenbezogene Daten umgegangen wird.
  • Die Verzeichnisse sind der Aufsichtsbehörde auf Anfrage unverzüglich zur Verfügung zu stellen.
  • Sie sind (in Deutschland) auf Deutsch zu führen – schriftlich oder elektronisch. Zur genauen Form gibt es keine Vorgaben, nur Mindestanforderungen, was den Inhalt betrifft.
  • Das Verzeichnis muss immer aktuell sein. Um der Aufsichtsbehörde die Aktualisierung nachweisen zu können, sollten Änderungen nicht einfach durch Überschreiben von Inhalten erfolgen. Stattdessen sollte man mindestens für den Zeitraum von einem Jahr Änderungen nachvollziehbar machen (entweder verschiedene Versionen der Verzeichnisse aufbewahren oder Dinge mit Datumsangabe ergänzen, statt zu überschreiben – siehe Spalte Q in unserem Beispielverzeichnis).
  • Folgende Bestandteile müssen mindestens enthalten sein:
    • Name und Kontaktdaten des Verantwortlichen
    • Name eines Datenschutzbeauftragten (sofern man einen hat bzw. verpflichtet ist einen zu haben)
    • Zwecke der Verarbeitung
    • Beschreibung der Kategorien betroffener, natürlicher Personen (also keine Unternehmen) und der Kategorien personenbezogener Daten.
    • Angaben zu Übermittlungen von personenbezogenen Daten an ein Drittland oder eine internationale Organisation
    • Löschungsfristen für die verschiedenen Datenkategorien
    • Eine allgemeine Beschreibung der getroffenen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu erzielen.
  • Empfehlenswert ist es aber, ein erweitertes Verzeichnis zu führen, in dem mindestens zusätzlich Folgendes beschrieben wird:
    • Die konkreten Verarbeitungstätigkeiten
    • Auf welchen Rechtsgrundlagen die Verarbeitung erfolgt

Damit kann man im Fall einer Prüfung durch die Aufsichtsbehörde schnell nachweisen, ob die erfolgte Verarbeitung von personenbezogenen Daten zulässig ist.

Beim mitgelieferten Beispielverzeichnis (Excel-Datei) handelt es sich also bereits um ein erweitertes Verzeichnis.

Aber: Dies ist sicherlich nur eine Einstiegshilfe. Bei jedem von euch werden die Verarbeitungsprozesse anders aussehen. Deshalb solltest du dir hinreichend Zeit nehmen, dich mit dem Verzeichnis zu befassen und es auf deine Abläufe und Tätigkeiten anzupassen und ergänzen!

Übrigens: Für das erste Befüllen des Verarbeitungsverzeichnis werden dir nun die unter Schritt 1, 2 und 3 zusammengestellten Infos sehr zugute kommen.

Erläuterungen zum Muster-/Beispiel-Verfahrensverzeichnis
Erläuterungen zum Muster-/Beispiel-Verfahrensverzeichnis

Download Musterverzeichnis mit zahlreichen Beispielen

Und nun: Viel Erfolg beim Datenschutz!

Wir hoffen, dass unsere hier aufgeführten Learnings und Maßnahmen möglichst vielen Sprachmittlern helfen werden, den Anforderungen der DSGVO erfolgreich zu begegnen.

Freiberuflichen Sprachdienstleistern, die sich insbesondere beim Umsetzen einer DSGVO-konformen Website überfordert fühlen bzw. die sich überhaupt eine eigene, ansprechende und suchmaschinenoptimierte Website wünschen, möchten wir an dieser Stelle aber auch auf die Vorteile des Language-Boutique-Netzwerks hinweisen:

Denn eine Stärke von Language Boutique ist es, dass wir ein Netzwerk sind, in dem sich wunderbare Synergie-Effekte ergeben. Denn um alle technischen und formalen Dinge, die die Websites unserer Kooperationspartner betreffen, kümmern wir uns. So auch um die Umsetzung eines DSGVO-konformen Webauftritts. Und auch jegliche anderen Learnings/Erfahrungen und Ressourcen teilen wir sehr gerne innerhalb unseres Netzwerks – z.B. im geschützten „Partnerbereich“ von partner.language-boutique.de.

Weitere Infos zu Language Boutique – wer wir sind, was wir freiberuflichen Sprachmittlern anbieten und wie man Teil des Netzwerks werden kann – erfahrt ihr unter partner.language-boutique.de.

Urheberrechtshinweise

Dieses Informationen sowie das Muster-Verzeichnis von Verarbeitungstätigkeiten wurde von Language Boutique erstellt. Es darf kostenlos für den Eigengebrauch von Freiberuflern verwendet werden.

Eine Zurverfügungstellung auf anderen Websites oder eine sonstige Vervielfältigung oder kommerzielle Verwendung ist nicht gestattet.

Wenn du auf diese Ressource verlinken möchtest, verwende dafür bitte folgenden Link:
https://partner.language-boutique.de/news/dsgvo-uebersetzer-sprachmittler

Zurück

Einen Kommentar schreiben

Website zuletzt aktualisiert am 07.12.2018 |  ©2018 Elizabeth Naithani  |  Language Boutique  |  Impressum & Datenschutz