DSGVO: Haben Sie an alles gedacht?

Die DSGVO ist seit einem guten halben Jahr in Kraft. Sind Sie datenschutztechnisch à jour und haben alle rechtlichen Fallstricke in Ihren Online-Aktivitäten beseitigt? Wir fassen nochmals zusammen, worauf Sie achten müssen und wie wir Sie bei der DSGVO-Umsetzung unterstützen können.

Dies vorweg: Wir sind eine Digitalagentur, keine Datenschutzexperten. Bei speziellen Fragen und Problemen sollten Sie eine juristische Fachperson zu Rate ziehen.

Was ist die DSGVO?

DSGVO steht für Europäische Datenschutz-Grundverordnung (Englisch: GDPR). Sie wurde von der EU erlassen und trat am 25. Mai 2018 in Kraft. Die DSGVO regelt EU-weit den Umgang mit personenbezogenen Daten, die Unternehmen und Organisationen ohne Einwilligung der betroffenen Personen durch ihre Online-Aktivitäten speichern.

Wozu dient die DSGVO?

Die DSGVO dient dazu, EU-Bürgern mehr Rechte in Bezug auf ihre Daten zu gewähren und Unternehmen zu einem standardisierten und verantwortungsvollen Umgang bei der Sammlung und Verarbeitung personenbezogener Daten zu verpflichten. So müssen Unternehmen und Organisationen EU-Bürger darüber informieren, ob und welche Daten (z. B. Name, Adresse, E-Mail-Adresse) zu welchem Zweck erhoben werden und ob dies mit oder ohne Einwilligung oder gar nicht erlaubt ist. Die Datenspeicherung bedarf gewisser Sicherheitsstandards; es muss zum Beispiel sichergestellt sein, dass keine Daten verloren gehen oder an unbefugte Dritte gelangen können. Betroffene haben zudem das Recht zu erfahren, was mit ihren Daten passiert. Verstösse gegen die DSGVO werden mit zum Teil sehr hohen Bussen geahndet.

Wen betrifft die DSGVO?

Obwohl die EU mit der DSGVO vor allem der masslosen Datensammlung grosser Konzerne wie Google den Kampf angesagt hat, betrifft die Verordnung sämtliche Unternehmen, Organisationen, Behörden und Vereine, die persönliche Daten von EU-Bürgern speichern – seien sie digitaler oder analoger Natur.

Was kümmert uns Schweizer eine EU-Verordnung?

Die DSGVO ist zwar eine Verordnung der EU, sie betrifft aber auch Schweizer Unternehmen. Denn die DSGVO greift immer dann, wenn ein Unternehmen Daten von einer EU-Bürgerin oder einem EU-Bürger sammelt und verarbeitet, egal ob dieses Unternehmen in der EU ansässig ist oder nicht. Als Schweizer Unternehmen werden Sie kaum verhindern wollen, geschweige denn können, dass EU-Bürger mit ihnen in Kontakt treten und Sie so Daten von ihnen speichern, sei es über einen Website-Besuch, eine Bestellung oder über eine Anfrage per E-Mail. Also sind auch Sie verpflichtet, der DSGVO Folge zu leisten. Es ist zudem nur eine Frage der Zeit, bis auch die Schweiz ähnliche Bestimmungen einführen respektive ihr Datenschutzgesetz (DSG) an die europäischen Bestimmungen angleichen wird.

Welche unternehmerischen Aktivitäten sind DSGVO-
relevant?

Achtung: Ihre Website ist nicht die einzige Datenquelle. Sei es der E-Mail-Verkehr, Online-Marketing, geschäftliche Aktivitäten in den sozialen Medien oder Google-Adwords-Kampagnen mit anschliessender Conversion-Rate-Analyse, im geschäftlichen Alltag gewinnen Sie Unmengen von digitalen und analogen personenbezogenen Daten, die unter die DSGVO fallen (Namen, Anschriften, E-Mail-Adressen, Geburtstage, Standortdaten IP-Adressen und so weiter). Besteht kein Vertrag (z.B. eine Shop-Bestellung, ein Dienstleistungsauftrag oder ein Arbeitsvertrag), eine andere rechtliche Verpflichtung oder ein «berechtigtes Interesse» Ihres Unternehmens (z.B. Direktwerbung), ist auch hier eine Einwilligung der Betroffenen erforderlich.

Was müssen Sie als Website-Betreiber unternehmen?

Die oben erwähnten Beispiele und ähnliche Fälle einer Datenverarbeitung von personenbezogenen Daten sind auch unter der DSGVO erlaubt. Die Datenverarbeitungsprozesse müssen jedoch in einem Datenverarbeitungsverzeichnisdokumentiert und die Betroffenen in einer verständlichen Datenschutzerklärung darüber informiert werden, welche Daten zu welchem Zweck und wie lange gespeichert werden (Artikel 13). Nicht verwendete Daten sollten nach einer gewissen vordefinierten Zeit gelöscht werden.

Was sind DSGVO-relevante Website-Funktionen?

In der folgenden Auflistung finden Sie die gängigsten Website-Funktionen, durch die Sie personenbezogene Daten gewinnen. Die Liste soll Ihnen dabei helfen, die für Ihre Datenschutzerklärung relevanten Datenverarbeitungsprozesse auf Ihrer Webseite zu identifizieren:

• Kontakt-Formulare
• E-Mail
• Bewerbungs-Upload
• Bestellungen im Shop
• Kommentarfunktion
• Geschützte Bereiche (nur mit Zugangs-/Anmeldedaten zugänglich)

Was ist mit Google Maps, YouTube & Co.?

Wenn Sie auf Ihrer Website Funktionen von externen Online-Diensten integrieren (z.B. Google Maps auf Ihrer Standort-Seite) werden die entsprechenden personenbezogene Daten Ihrer Website-Besucher auch an diese externen Unternehmen übermittelt und von diesem verarbeitet. Je nach Dienst können das IP-Adressen, E-Mail-Adressen, Standort- oder andere Daten sein. Es liegt in Ihrer Verantwortung, die Konformität mit den Bestimmungen der DSGVO zu verifizieren und die Besucher Ihrer Website über die Datenübermittlung an Dritte zu informieren.

Das sind die gängigsten externen Online-Dienste auf Unternehmenswebsites:

• Google Maps
• Video-Dienste (YouTube, Vimeo)
• Social-Share-Widgets zum Liken und Teilen von Beiträgen auf Facebook, Twitter, Instagram usw.
• Web-Schriften von Google (fonts.com, Adobe Typekit)
• Newsletter-Tools (z.B. MailChimp)
• Website-Analyse-Tools (z.B. Google Analytics)
• Werbe- und Conversionsanalyse-Tools (z.B. Google Adwords, Facebook Pixel usw.)

Wie wird eine Datenschutzerklärung erstellt?

Für die Erstellung einer rechtlich wasserdichten Datenschutzerklärung wenden Sie sich bitte an eine juristische Fachperson. Die wichtigste Vorarbeit können Sie allerdings selber leisten: Dokumentieren Sie vorab die interne und externe Datenverarbeitung. Eine allgemeine Vorlage kann zum Beispiel mit einem der vielen Generatoren (siehe Link weiter unten) erstellt, Ihren Prozessen angepasst und von Ihrem Anwalt ergänzt werden.

Worauf sollten Sie sonst noch achten?

Datenmenge minimieren
Reduzieren Sie die Menge und Speicherdauer der erfassten Daten auf ein Minimum.

Maximalen Schutz sicherstellen
Schützen Sie die Daten so gut wie möglich, beispielsweise durch Pseudonymisierungen, Verschlüsselungen oder Zugangsbeschränkungen. Bei Verletzungen des Datenschutzes besteht eine Meldepflicht und es drohen Bussen.

«Privacy by Default»
Achten Sie darauf, dass Sie wirklich nur notwendige Daten standardmässig speichern. Den Newsletter-Versand an Adressaten, die dies nicht ausdrücklich gewünscht haben, ist rechtlich nicht erlaubt.

Bei externer Datenverarbeitung: Vertrag abschliessen!
Falls Sie die Verarbeitung Ihrer Daten an ein externes Unternehmen delegieren (z.B. die Auswertung von Website-Besucherzahlen an Google Analytics), so liegt es in Ihrer Verantwortung zu überprüfen, dass diese Verarbeitung DSGVO-konform ist. Am besten schliessen Sie dafür einen entsprechenden Vertrag ab – einen sogenannten Auftragsdaten-Verarbeitungsvertrag.

Datenschutz-Vertreter in der EU ernennen
Sollten Sie als Schweizer Unternehmen regelmässig Daten von EU-Bürgern sammeln und auswerten, verlangt Artikel 27 der DSGVO, dass Sie einen Datenschutz-Vertreter mit EU-Anschrift ernennen.

Die wichtigsten Datenschutz-Rechte
Als datenverarbeitendes Unternehmen müssen Sie EU-Bürgern mitunter folgende Rechte gewähren:

• Auskunftsrecht
  Betroffene Personen haben das Recht, von Ihnen zu erfahren, welche Daten Sie für welchen Zweck wie lange speichern.
• Recht auf Datenlöschung
  Verlangt eine betroffene Person die Löschung ihrer Daten, müssen Sie diesem Antrag umgehend nachkommen, sofern nicht eine Aufbewahrungspflicht dagegen spricht (z.B. die zehnjährige Aufbewahrungsfrist gemäss MWSTG).
• Recht auf Vergessen werden
  Benötigen Sie die Daten einer bestimmten Person nicht mehr für den ursprünglichen Zweck, müssen Sie diese ohne Aufforderung löschen.
• Recht auf Widerspruch («Opt-out»)
  Direktwerbung, z.B. über einen E-Mail-Newsletter, gilt weiterhin als «berechtigtes Interesse». In Artikel 21, Abschnitt 2 der DSGVO wird der Umgang mit Direktwerbung aber neu geregelt. So müssen Sie allen Adressaten Ihrer Direktwerbung die Möglichkeit geben, sich aus Ihrem Verteiler abzumelden und keine weitere Werbung von Ihnen zu erhalten (Opt-out). Bei Ihrem E-Mail-Newsletter müssen Sie also zwingend eine Abmeldemöglichkeit integrieren.

Wie wir Sie als Webagentur unterstützen können

Da wir keine Datenschutzexperten sind, empfehlen wir Ihnen, sich bei allen Fragen rund um die DSGVO und vor allem bei der Erstellung Ihrer Datenschutzerklärung an eine Fachperson zu wenden.

Als Web-Spezialisten können wir Sie aber wie folgt unterstützen:

SSL-Verschlüsselung einrichten
SSL steht für «Secure Socket Layer» und bezeichnet die sichere (weil verschlüsselte) Netzverbindung zwischen einem Server (z.B. Ihr Unternehmensserver) und einem Client (Browser). Sollten Sie nicht schon über eine SSL verfügen, können wir dies schnell und unkompliziert für Sie erledigen. Es lohnt sich, denn Suchmaschinen bevorzugen Websites mit Verschlüsselung.

Datenschutzerklärung auf Website einbauen
Wir richten auf Ihrer Website eine neue Seite ein, auf der Sie Ihre Datenschutzerklärung publizieren können. Die Seite wird normalerweise auch im Footer verlinkt und der Cookie-Banner verweist darauf.

Analyse der eingesetzten Tools
Damit Sie alle wichtigen Infos zur Datenverarbeitung auf Ihrer Website zur Hand haben, erstellen wir für Sie eine detaillierte Liste aller eingesetzten Tools und den entsprechenden Informationen. Zusammen mit der Dokumentation über die interne Datenverarbeitung bildet diese Liste die optimale Basis für die Erstellung einer vollständigen und verständlichen Datenschutzerklärung.

Anonymisierung der IP-Adressen
Wir richten Ihr Analysetool (Google Analytics) so ein, dass es die IP-Adressen Ihrer Website-Besucher anonymisiert.

Cookie-Banner integrieren
Wir richten auf Ihrer Website das Cookie-Banner ein, welches Ihre Website-Besucher bei der ersten Nutzung darüber informiert, dass Ihre Website Cookies nutzt. Cookies sind kleine Textdateien, die auf dem Gerät (PC, Tablet, Handy) eines Website-Besuchers dauerhaft oder temporär gespeichert werden. Cookies dienen der Website-Nutzungsanalyse und -Verbesserung.

Achtung: Dies ist keine Rechtsberatung. Für konkrete Probleme oder spezifische Fragen wenden Sie sich an eine juristische Fachperson.

Datenschutz-Informationen der wichtigsten Anbieter von Online-Diensten:

• Google (Maps, YouTube, Google+, Fonts, uvm.): https://privacy.google.com/intl/de_ALL/
• Google Analytics, Anonymisierung der IP-Adresse: https://support.google.com/analytics/answer/2763052?hl=de
• Google Analytics, Auftragsdatenverarbeitungsvertrag: http://www.google.com/analytics/terms/de.pdf > Zustimmung in den Kontoeinstellungen von Google Analytics (empfohlen)
• Vimeo: https://vimeo.com/privacy
• Facebook/Instagram: https://www.facebook.com/business/gdpr
• Twitter: https://gdpr.twitter.com/de.html
• MailChimp, Gültige Einwilligung von Newsletter-Abonnenten einholen: https://kb.mailchimp.com/accounts/management/collect-consent-with-gdpr-forms
• MailChimp, Auftragsdatenverarbeitungsvertrag: https://mailchimp.com/legal/forms/data-processing-agreement/ (empfohlen)
• Adobe (Typekit und andere Dienste): https://www.adobe.com/ch_de/privacy.html
• XING: https://privacy.xing.com/de
• LinkedIn: https://www.linkedin.com/help/linkedin/answer/87080/linkedin-marketing-solutions-and-the-general-data-protection-regulation-gdpr-?lang=de
• Generator für DSGVO-konforme Muster-Datenschutzerklärung:https://www.ratgeberrecht.eu/leistungen/muster-datenschutzerklaerung.html#Generator

(Quelle mit freundlicher Erlaubnis durch die CMSBOX)