DSGVO-Leit­fa­den: Die wich­tigs­ten Infor­ma­tio­nen zur EU Daten­schutz-Grund­ver­ord­nung


DSGVO-Leit­fa­den: Die wich­tigs­ten Infor­ma­tio­nen zur EU Daten­schutz-Grund­ver­ord­nung

Sie beein­flusst auch unse­re Online-Akti­vi­tä­ten in der Schweiz: Die Euro­päi­sche Daten­schutz-Grund­ver­ord­nung (DSGVO). Seit dem 25. Mai 2018 in Kraft, hat sie da und dort schon für rat­lo­se Gesich­ter gesorgt. Dar­um haben wir für Sie die wich­tigs­ten Infor­ma­tio­nen zur Daten­ver­ar­bei­tung auf Ihrer Web­site und zu den am häu­figs­ten ver­wen­de­ten Web­sei­ten-Tools zusam­men­ge­stellt. Ein klei­ner Hand­lungs-Leit­fa­den – damit Sie auch sicher auf der siche­ren Sei­te sind.

Hin­weis: Die fol­gen­de Über­sicht erhebt kei­nen Anspruch auf Voll­stän­dig­keit. Sie dient vor allem als Hand­lungs­leit­fa­den und weist Sie auf aus­ge­wähl­te, wich­ti­ge Punk­te im Hin­blick auf die DSGVO hin.

Das Wich­tigs­te in Kür­ze
Grund­sätz­lich las­sen sich Aus­wir­kun­gen der DSGVO auf die Schweiz so zusam­men­fas­sen: Sobald auf einer Web­sei­te Daten von Per­so­nen in der EU erfasst und ver­ar­bei­tet wer­den, muss die DSGVO beach­tet und deren Vor­ga­ben ein­ge­hal­ten wer­den. Sobald Sie eine Web­sei­te in Auf­trag geben, sind sie voll­um­fäng­lich eigen­ver­ant­wort­lich für die über Ihre Web­sei­te ver­ar­bei­te­ten Per­so­nen­da­ten.

Wer ist für die erfass­ten Daten ver­ant­wort­lich?
Wenn Sie sel­ber bestim­men, wie und zu wel­chem Zweck über Ihre Web­sei­te Per­so­nen­da­ten erfasst und ver­ar­bei­tet wer­den, sind Sie für die­se Daten ver­ant­wort­lich. Sie müs­sen sicher­stel­len, dass die Daten recht­mäs­sig erfasst, ver­ar­bei­tet, gespei­chert und genutzt wer­den. Die betrof­fe­nen Per­so­nen müs­sen über ihre Rech­te infor­miert sein und wis­sen, wie, zu wel­chem Zweck und wie lan­ge die Daten gespei­chert wer­den. Aus­ser­dem müs­sen Sie von allen Betrof­fe­nen eine expli­zi­te Ein­wil­li­gung für das Erfas­sen, Ver­ar­bei­ten und Spei­chern der Daten ein­ho­len. Die­se Ver­ant­wor­tung gilt auch, wenn Sie jeman­den mit der Betreu­ung Ihrer Web­site beauf­tra­gen. Sie müs­sen als Auf­trag­ge­ber eines Web­man­da­tes sicher­stel­len, dass der Auf­trags­ver­ar­bei­ter sei­nen ver­trag­li­chen Ver­pflich­tun­gen nach­kommt und alle Daten sicher und recht­mäs­sig ver­ar­bei­tet.

6 Berei­che und Tools: Das ist zu tun.

1. Goog­le Ana­ly­tics (Goog­le Mar­ke­ting Plat­form) und Goog­le Tag Mana­ger
Sobald auf Ihrer Web­sei­te Goog­le Ana­ly­tics und/oder den Goog­le Tag Mana­ger ein­ge­setzt wird, beauf­tra­gen Sie Goog­le, für Sie per­so­nen­be­zo­ge­ne Daten zu ver­ar­bei­ten. Damit die­se Nut­zung daten­schutz­kon­form ist, wird emp­foh­len vor dem Ein­satz die­ser Tools mit Goog­le einen Ver­trag zur Daten­ver­ar­bei­tung zu schlies­sen. Dies kön­nen Sie auch elek­tro­nisch über das Goog­le Ana­ly­tics Kon­to erle­di­gen. Wei­ter soll­ten die Nut­zer Ihrer Web­site dar­über infor­miert wer­den, dass Sie Goog­le Ana­ly­tics nut­zen. Auch braucht es eine soge­nann­te Opt-Out-Mög­lich­keit (eine Abstell­funk­ti­on), mit der die Nut­zer das Auf­zeich­nen ihrer Daten durch Goog­le Ana­ly­tics abstel­len kön­nen. Aus­ser­dem muss eine Kür­zung der IP-Adres­se (Anony­mi­sie­rungs­funk­ti­on) vor­ge­nom­men wer­den.

2. Goog­le Ads und Goog­le Search Con­so­le
Beim Ein­satz die­ser Tools fin­det kei­ne Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten durch Ihr Unter­neh­men statt, wes­halb auf­grund der DSGVO kein Hand­lungs­be­darf besteht.

3. Face­book Pixel
Face­book ist für Ihr Unter­neh­men als Auf­trags­ver­ar­bei­ter tätig. Des­halb sind die glei­chen Punk­te wie bei der Nut­zung von Goog­le Ana­ly­tics zu beach­ten. Es braucht wie­der­um einen Ver­trag zur Daten­ver­ar­bei­tung durch Face­book. Face­book scheint zur­zeit kei­ne Mög­lich­keit anzu­bie­ten, Face­book Pixel ohne Über­tra­gung von Per­so­nen­da­ten an Face­book ein­set­zen zu kön­nen. Es bie­tet aber tech­ni­sche Hilfs­mit­tel, um die Über­mitt­lung von Per­so­nen­da­ten per Face­book Pixel zu unter­bin­den, solan­ge der Benut­zer Ihrer Web­sei­te nicht in die Daten­ver­ar­bei­tung ein­ge­wil­ligt hat. Es ist davon aus­zu­ge­hen, dass der Ein­satz von Face­book Pixel aktu­ell eine vor­gän­gi­ge Ein­wil­li­gung der Web­sei­ten­be­nut­zer sowie eine daten­schutz­kon­for­me Auf­klä­rung vor­aus­setzt.

4. Web­sei­ten-Plugins
Bei Web­sei­ten-Plugins ist es sinn­voll vor­ab zu prü­fen, ob die­se per­so­nen­be­zo­ge­ne Daten erfas­sen und spei­chern. Wenn dies der Fall ist, braucht es eine recht­li­che Grund­la­ge für die­se Daten­ver­ar­bei­tung. Die­se kann in Form einer Ein­wil­li­gung gelegt wer­den. Aus­ser­dem muss der Nut­zer Ihrer Web­sei­te infor­miert wer­den, wie und wozu als auch wie lan­ge sei­ne Daten gespei­chert wer­den.

5. Mail­chimp (News­let­ter-Tool)
Auch Mail­chimp ist für Ihr Unter­neh­men als Auf­trags­ver­ar­bei­ter tätig. D.h. auch hier sind Sie als Nut­zer für das recht­mäs­si­ge Ver­ar­bei­ten der Daten mit­ver­ant­wort­lich. Es emp­fiehlt sich zudem, eine Dou­ble-Opt-In Anmel­dung mit aus­drück­li­cher Ein­wil­li­gung zum Ein­trag in die Ver­tei­ler­lis­te zu nut­zen. Dabei wird beim Ein­trag in eine News­let­ter-Ver­tei­ler­lis­te eine zusätz­li­che E-Mail zur Bestä­ti­gung ver­schickt, mit der der Ein­trag erst akti­viert wird. Aus­ser­dem ist es sinn­voll die bis­he­ri­gen Ein­stel­lun­gen Ihres News­let­ter-Tools genau zu prü­fen. In der Daten­schutz­er­klä­rung ist anzu­ge­ben, wel­che Daten zu wel­chem Zweck ver­ar­bei­tet wer­den. Im Rah­men der Regis­trie­rung eines neu­en Nut­zers spei­chert Mail­chimp das Datum und die Uhr­zeit der Anmel­dung sowie die E-Mail- und die IP-Adres­se. Dar­auf ist eben­falls hin­zu­wei­sen. Zusätz­lich müs­sen Sie bei jedem E-Mail-Ver­sand eine Abmel­de­mög­lich­keit in Form eines Links in das Mai­ling inte­grie­ren.

6. Impres­sum und Daten­schutz­er­klä­rung
Aus­ser­dem ist es wich­tig auch das Impres­sum und die Daten­schutz­er­klä­rung auf Ihrer Web­site zu über­prü­fen. Wir kön­nen Ihnen hier­bei Emp­feh­lun­gen zukom­men las­sen bzw. das Impres­sum und die Daten­schutz­er­klä­rung nach unse­rem bes­ten Wis­sen anpas­sen. Da hier aber ganz spe­zi­fi­sche recht­li­che Anfor­de­run­gen gel­ten kön­nen, muss eine abschlies­sen­de Kon­trol­le durch Sie und/oder Ihren Anwalt gemacht wer­den.

Ger­ne küm­mern wir uns in Ihrem Auf­trag um kon­kre­te Mass­nah­men im Hin­blick auf die DSGVO. Dazu gehö­ren:

  • Auf­trags­ver­ar­bei­tungs­ver­trag mit Goog­le Ana­ly­tics
  • Goog­le Ana­ly­tics IP anony­mi­sie­ren
  • Plugins über­prü­fen
  • Mail­chimp Auf­trags­ver­ar­bei­tungs­ver­trag
  • Mail­chimp Dou­ble-Opt-In-Anmel­dung inte­grie­ren
  • Anpas­sen Impressum/Datenschutzerklärung

Kon­tak­tie­ren Sie uns, wenn wir eine der genann­ten Mass­nah­men für Sie umset­zen bzw. Sie dar­in unter­stüt­zen dür­fen.

Ihre Ansprech­per­son für alle Fra­gen und Anlie­gen rund um die DSGVO: San­dra Fischer, sfischer@rocket.ch, +41 41 500 10 14