DSGVO-Leitfaden: Die wichtigsten Informationen zur EU Datenschutz-Grundverordnung

Sie beeinflusst auch unsere Online-Aktivitäten in der Schweiz: Die Europäische Datenschutz-Grundverordnung (DSGVO). Seit dem 25. Mai 2018 in Kraft, hat sie da und dort für ratlose Gesichter gesorgt. Darum haben wir für Sie die wichtigsten Informationen zur Datenverarbeitung auf Ihrer Website und zu den am häufigsten verwendeten Webseiten-Tools zusammengestellt. Ein kleiner Handlungs-Leitfaden – damit Sie auch sicher auf der sicheren Seite sind.

Hinweis: Die folgende Übersicht erhebt keinen Anspruch auf Vollständigkeit. Sie dient vor allem als Handlungsleitfaden und weist Sie auf ausgewählte, wichtige Punkte im Hinblick auf die DSGVO hin.

Das Wichtigste in Kürze

Grundsätzlich lassen sich Auswirkungen der DSGVO auf die Schweiz so zusammenfassen: Sobald auf einer Webseite Daten von Personen in der EU erfasst und verarbeitet werden, muss die DSGVO beachtet und deren Vorgaben eingehalten werden. Sobald Sie eine Webseite in Auftrag geben, sind Sie vollumfänglich eigenverantwortlich für die über Ihre Webseite verarbeiteten Personendaten.

Wer ist für die erfassten Daten verantwortlich?

Wenn Sie selber bestimmen, wie und zu welchem Zweck über Ihre Webseite Personendaten erfasst und verarbeitet werden, sind Sie für diese Daten verantwortlich. Sie müssen sicherstellen, dass die Daten rechtmässig erfasst, verarbeitet, gespeichert und genutzt werden. Die betroffenen Personen müssen über ihre Rechte informiert sein und wissen, wie, zu welchem Zweck und wie lange die Daten gespeichert werden. Ausserdem müssen Sie von allen Betroffenen eine explizite Einwilligung für das Erfassen, Verarbeiten und Speichern der Daten einholen. Diese Verantwortung gilt auch, wenn Sie jemanden mit der Betreuung Ihrer Website beauftragen. Sie müssen als Auftraggeber eines Webmandates sicherstellen, dass der Auftragsverarbeiter seinen vertraglichen Verpflichtungen nachkommt und alle Daten sicher und rechtmässig verarbeitet.

6 Bereiche und Tools: Das ist zu tun.

1. Google Analytics

Sobald auf Ihrer Webseite Google Analytics eingesetzt wird, beauftragen Sie Google, für Sie personenbezogene Daten zu verarbeiten. Damit diese Nutzung datenschutzkonform ist, wird empfohlen vor dem Einsatz dieser Tools mit Google einen Vertrag zur Datenverarbeitung zu schliessen. Dies können Sie auch elektronisch über das Google Analytics Konto erledigen. Weiter sollten die Nutzer Ihrer Website darüber informiert werden, dass Sie Google Analytics nutzen. Auch braucht es eine sogenannte Opt-Out-Möglichkeit (eine Abstellfunktion), mit der die Nutzer das Aufzeichnen ihrer Daten durch Google Analytics abstellen können. Ausserdem muss eine Kürzung der IP-Adresse (Anonymisierungsfunktion) vorgenommen werden.

2. Google Ads und Google Search Console

Beim Einsatz dieser Tools findet keine Verarbeitung von personenbezogenen Daten durch Ihr Unternehmen statt, weshalb aufgrund der DSGVO kein Handlungsbedarf besteht.

3. Facebook Pixel

Facebook ist für Ihr Unternehmen als Auftragsverarbeiter tätig. Deshalb sind die gleichen Punkte wie bei der Nutzung von Google Analytics zu beachten. Es braucht wiederum einen Vertrag zur Datenverarbeitung durch Facebook. Facebook scheint zurzeit keine Möglichkeit anzubieten, Facebook Pixel ohne Übertragung von Personendaten an Facebook einsetzen zu können. Es bietet aber technische Hilfsmittel, um die Übermittlung von Personendaten per Facebook Pixel zu unterbinden, solange der Benutzer Ihrer Webseite nicht in die Datenverarbeitung eingewilligt hat. Es ist davon auszugehen, dass der Einsatz von Facebook Pixel aktuell eine vorgängige Einwilligung der Webseitenbenutzer sowie eine datenschutzkonforme Aufklärung voraussetzt.

4. Webseiten-Plugins

Bei Webseiten-Plugins ist es sinnvoll vorab zu prüfen, ob diese personenbezogene Daten erfassen und speichern. Wenn dies der Fall ist, braucht es eine rechtliche Grundlage für diese Datenverarbeitung. Diese kann in Form einer Einwilligung gelegt werden. Ausserdem muss der Nutzer Ihrer Webseite informiert werden, wie und wozu als auch wie lange seine Daten gespeichert werden.

5. Mailchimp (Newsletter-Tool)

Auch Mailchimp ist für Ihr Unternehmen als Auftragsverarbeiter tätig. D.h. auch hier sind Sie als Nutzer für das rechtmässige Verarbeiten der Daten mitverantwortlich. Es empfiehlt sich zudem, eine Double-Opt-In Anmeldung mit ausdrücklicher Einwilligung zum Eintrag in die Verteilerliste zu nutzen. Dabei wird beim Eintrag in eine Newsletter-Verteilerliste eine zusätzliche E-Mail zur Bestätigung verschickt, mit der der Eintrag erst aktiviert wird. Ausserdem ist es sinnvoll die bisherigen Einstellungen Ihres Newsletter-Tools genau zu prüfen. In der Datenschutzerklärung ist anzugeben, welche Daten zu welchem Zweck verarbeitet werden. Im Rahmen der Registrierung eines neuen Nutzers speichert Mailchimp das Datum und die Uhrzeit der Anmeldung sowie die E-Mail- und die IP-Adresse. Darauf ist ebenfalls hinzuweisen. Zusätzlich müssen Sie bei jedem E-Mail-Versand eine Abmeldemöglichkeit in Form eines Links in den Newsletter integrieren.

6. Impressum und Datenschutzerklärung

Ausserdem ist es wichtig auch das Impressum und die Datenschutzerklärung auf Ihrer Website zu überprüfen. Wir können Ihnen hierbei Empfehlungen zukommen lassen bzw. das Impressum und die Datenschutzerklärung nach unserem besten Wissen anpassen. Da hier aber ganz spezifische rechtliche Anforderungen gelten können, muss eine abschliessende Kontrolle durch Sie und/oder Ihren Anwalt gemacht werden.

Gerne kümmern wir uns in Ihrem Auftrag um konkrete Massnahmen im Hinblick auf die DSGVO. Dazu gehören:

• Auftragsverarbeitungsvertrag mit Google Analytics
• Google Analytics IP anonymisieren
• Plugins überprüfen
• Mailchimp Auftragsverarbeitungsvertrag
• Mailchimp Double-Opt-In-Anmeldung integrieren
• Anpassen Impressum/Datenschutzerklärung