DSGVO

Die DSGVO Checkliste für verschiedene Anwendungen 1/2

11. Mai 2018

Die DSGVO Checkliste für verschiedene Anwendungen 1/2

Zuerst einmal ein paar grundlegende Sachen zur Datenschutz Grundverordnung – DSGVO genannt:

Ganz wichtig ist, wenn Du weiter liest zu wissen, dass ich kein Anwalt bin und lediglich aus verschiedenen Checklisten hier rezitiere. Ich habe die einzelnen Punkte nicht auf Herz und Nieren geprüft und doch kann man sie sich als Richtwert nehmen. Ich möchte explizit darauf hinweisen, dass jeder bezüglich der DSGVO sich einen Anwalt nehmen muss, um definitiv abzuklären ob das was er macht auch den aktuellen Richtlinien entspricht.

Als Nächstes möchte ich klar betonen, dass man nicht per se Angst haben muss. Es werden garantiert sicher zuerst die grossen Firmen “dran genommen” und diese müssen dann evtl. die Strafen bezahlen. Die kleine Unternehmerin oder der kleine Unternehmer muss vorerst noch keine grosse Angst haben.

Trotzdem muss die DSGVO nach bestem Wissen und Gewissen umgesetzt werden. Es empfiehlt sich aber auf jeden Fall die Verordnung auf seiner eigenen Webseite umzusetzen. Auch möchte ich betonen, dass man keine 5000 Euro oder Franken investieren muss, um einen Datenschutzbeauftragten zu definieren. Zumal ein Solcher erst ab einer gewissen Grösse definiert werden muss und dafür muss man auch kein Geld bezahlen. Es reicht, wenn die Inhaberin bzw. der Inhaber als Datenschutzbeauftragter vorhanden sind.

Wer die Datenschutz Grundverordnung nachlesen möchte, kann das hier gerne tun:
https://lmr.li/dsgvo-eu

Der Datenschutzbeauftragte

Laut Artikel 37 brauchen alle Unternehmen in denen personenbezogene automatisiert verarbeitet werden, einen Datenschutzbeauftragten. Unter diese Daten gehören beispielsweise: Namen, Emailadressen, Kontonummern oder Standortdaten eines Kunden. Bei kleinen Firmen bis zu zehn Mitarbeitern, muss kein Datenschutzbeauftragter bestellt werden.

Was sind die Aufgaben einer solchen Person?
Sie überwacht die Aktivitäten der Firma und stellt sicher, dass die im Unternehmen gesammelten Daten auch gemäss der DSGVO genutzt werden. Das ist wirklich grob zusammengefasst. Sollte jemals eine Anfrage diesbezüglich eingehen von einem Anwalt, wird diese an den Datenschutzbeauftragten gestellt und dieser muss dann auch den Kopf dafür hinhalten.

Was sind die Voraussetzungen für einen Datenschutzbeauftragten?
Da ist sich die Verordnung leider noch nicht so einig, welche Qualifikationen er genau haben muss. Das wird wahrscheinlich irgendwann im Zuge eines Urteils genau festgelegt. Allerdings sollte er sich schon mit dem Thema Datenschutz auskennen, Auskunft darüber erteilen können, wenn eine Anfrage herein kommt und sich ständig weiterbilden.

Auskunftspflicht über die angeforderten Daten

Mit der Einführung der DSGVO ist der Datenschutz massiv verbessert worden für die Konsumenten. Neu gilt die Auskunftspflicht auf Anfrage, ausserhalb eines Gerichtsverfahrens. Kommt also eine Anfrage eines Kunden, muss diesem Auskunft erteil werden über die Verarbeitung seiner Daten. Wie, Wann, Wo, mit wem usw. Das Unternehmen ist auch auskunftspflichtig und kann sich dieser nicht entziehen.

Verzeichnis über Verarbeitungstätigkeiten anlegen

Damit Du als Unternehmer/in sofort Auskunft erteilen kannst über die Verarbeitung der Daten, solltest Du ein Verzeichnis über die Verarbeitung anlegen. Ist ein kleiner Aufwand, denn das kannst Du locker über eine Exceltabelle lösen. Das schreibt Artikel 30 vor. In dieser Liste wird aufgelistet, welche Daten man zu welchem Zeitpunkt, warum und wie erfasst hat und was mit diesen gemacht wird. Denke dabei bitte auch an die internen Daten Deiner Angestellten. Darunter fallen zum Beispiel Personaldaten und Lohnbuchhaltung.

Die Tabelle reicht meistens den Datenschutzbehörden schon. Sollten noch mehr Anforderungen auf Dich zukommen, wirst Du darüber sicher informiert von der entsprechenden Behörde.

Prozesse festlegen und ein Handbuch schreiben

Um eine reibungs- und nahtlose Dokumentierung zu gewährleisten, solltest Du alle Prozesse klar darstellen und ein Handbuch schreiben. Das könnte zum Beispiel folgendes beinhalten bei einem Kunden, der über das Kontaktformular eine Anfrage startet:

  1. Kunde füllt folgende Daten übers Kontaktformular aus: X X X X
  2. Eine E-Mail wird an Person X gesendet, diese erfasst die Daten in unserem CRM-System
  3. der Kunde wird telefonisch oder per Email kontaktiert
  4. es wird dokumentiert, wann und wie der Kunde kontaktiert wurde
  5. dem Kunden werden Unterlagen zugesendet per Post/Email/Fax
  6. usw.

Im Handbuch ist zudem festgehalten:

  • Wie wird der Kunde über die Verarbeitung der Daten informiert?
  • Wie reagieren Mitarbeiter, wenn Kunden nach ihren gespeicherten Daten fragen?
  • Welcher Prozess wird angewendet, sollte ein Kunde darauf bestehen, seine Daten gelöscht haben zu wollen?
  • usw.

Je detaillierter Du solche Sachen machst, desto besser. Wenn Du alleine im Unternehmen arbeitest empfiehlt es sich diese Liste einmal aufzusetzen und dann in der Exceltabelle diese Schritte genau so darzustellen und auch wo zum Beispiel der Kunde schon ist, also datenverarbeitungstechnisch.

Alle Anstrengungen dokumentieren

Wie schon oben erwähnt: je detaillierter Du eine solche Liste führst und ein Handbuch machst, desto einfacher für die Datenschutzbehörde Deinen “Fall” abzuschliessen. Auch sollte dokumentiert werden, welche Massnahmen Du wann genau angegangen und abgeschlossen hast. Zum Beispiel: Am 25.5. wurde die neue Hardwarefirewall durch die Firma XY installiert. Am 20.4. habe ich einen Kurs zum Thema Datenschutz bei der Schule XY besucht und erfolgreich abgeschlossen.

Dokumentieren, was das Zeug hält. Je genauer desto besser. Es ist zwar erst einmal mit Aufwand verbunden, jedoch viel einfacher zu reagieren bei einer allfälligen Kontrolle oder Anklage.

Das waren jetzt einmal ein paar grundlegende Sachen. Ich komme nun zu Ausführungen in meinem Bereich, also dem Online Business. Hier gibt es einige technische Voraussetzungen, die Du schaffen musst.

Kein Sammeln von Daten online, ohne vorherige Zustimmung

Damit Du der DSGVO auch auf Deiner Webseite und im Online Business gerecht werden kannst, solltest Du auf jeden Fall die Zustimmung zur “Datensammlung” auf der Webseite einholen. Dabei ist es ganz wichtig den Kunden das nicht einfach nur akzeptieren zu lassen, sondern die Frage zu formulieren: Bist Du einverstanden damit, ja oder nein? Klickt der Kunde auf ja, stimmt er der Datensammlung zu. Klickt er auf nein, musst Du dafür sorgen, dass ab sofort keine Daten mehr gesammelt werden.

Das stösst technisch gesehen auf Probleme. Wenn Du zum Beispiel das Facebook Pixel auf Deiner Webseite installiert hast, sammelt dieses automatisch Daten und kann nicht vor einer Zustimmung gestoppt werden.

Google Tag Manager verwenden für alle Codes

Ich verwende auf allem meinen Webseiten immer den Tag Manager von Google. In diesem kann ich priorisiert festlegen, wann genau welcher Code geladen werden soll. Und vor allem auch punktgenau, auf welchen Seiten dieser Code überhaupt ausgespielt werden soll.

Cookies akzeptieren oder ablehnen

Nein, Du bist nicht das Krümelmonster. Ok, war ein Flachwitz und hast Du sicher schon hundert Mal gelesen 😀 aber ich wollte die Stimmung etwas auflockern. Gemäss geltendem Datenschutzgesetzt musst Du jetzt schon informieren darüber, dass Du Cookies auf Deiner Webseite verwendest. Und BEVOR zugestimmt wird, darf eigentlich auch kein Cookie gesetzt werden. Erst nach der Zustimmung darf das Cookie gesetzt werden. Es gibt bereits technische Möglichkeiten, dieses so umzusetzen. Es braucht jedoch noch einige Zeit, bis das über Plugins zum Beispiel bei WordPress sauber funktioniert. Genauso verhält es sich übrigens

Google Analytics rechtskonform einbinden

Verwendest Du dieses Tool? Ich gehe zu 90% davon aus. Dann kannst Du einige Sachen berücksichtigen, damit Du Analytics rechtskonform einbindest. Du musst auf jeden Fall die IP-Adresse anonymisieren. Das Codeschnipsel für das anonymisieren der IP sieht so aus: ga(‘set’, ‘anonymizeIp’, true); Wenn Du die Anonymisierung über den Tag Manager machst, musst Du das Feld hinzufügen:
Google Analytics IP Adresse anonymisieren über Tag Manager

Ebenfalls solltest Du eine Opt-Out-Lösung anbieten. Der Besucher der Webseite muss die Möglichkeit haben, das Sammeln von Daten zu unterbinden. Dies erreichst Du ganz einfach, indem Du ihm folgenden Link in der Cookie Meldung auf der Webseite gibst: https://lmr.li/analytics-optout-plugin Dieses Plugin gibt es für alle gängigen Browser. Damit schaffst Du eine rechtskonforme Einbindung von Analytics auf Deiner Webseite.

Wie sieht es mit Remarketing aus?
Remarketing ist die beste Möglichkeit, Deine abgesprungenen Besucher wieder anzusprechen. Nun haben wir allerdings das Problem der DSGVO, welche es verbietet ohne Zustimmung, Daten zu sammeln, geschweige denn personalisierte Werbung anzuzeigen. Somit solltest Du vorerst davon absehen. Es ist aber eigentlich kein Problem, denn ohne ein Cookie im Browser des Besuchers funktioniert Remarketing nicht.

Das Facebook Pixel datenschutzkonform einbinden

Und dann komme ich zum allergrössten Problem, das es derzeit gibt in Verbindung mit der DSGVO. Das Facebook Pixel lässt sich nämlich aktuell nicht datenschutzkonform integrieren. Grund dafür ist, dass es seitens Facebook technisch nicht möglich ist, das Pixel vor einer Zustimmung des Besuchers auf der Webseite zu deaktivieren. Facebook hat jedoch angekündigt dies zu lösen. Bis wann ist jedoch noch unklar. Wenn Du jetzt datenschutzkonform das Facebookpixel einsetzen willst, dann entferne es von Deiner Webseite.

Das nächste Problem bei Facebook in Verbindung mit Werbung ist, dass Du weder eine custom audience noch eine lookalike audience nutzen darfst. Du weisst nämlich derzeit überhaupt nicht, welche Daten Facebook wie verarbeitet. Und da Du dies nicht nachweisen kannst, solltest Du aktuell davon absehen Daten an Facebook zu übermitteln.

So, nun vorerst mal genug technisches Geplänkel in diesem Beitrag 🙂 In einem weiteren Beitrag, der nächste Woche erscheint, gehe ich noch detailliert darauf ein, wie es sich mit der DSGVO verhält mit Emailmarketing und kostenfreien Angeboten.

Vielen Dank fürs Lesen bis zum Schluss

Damit auch Andere von diesen Informationen profitieren können, freue ich mich übers Teilen des Beitrags.

Wenn Du noch mehr Informationen haben möchtest, oder informiert werden willst, wenn ich wieder einen Blogbeitrag geschrieben habe, dann melde Dich beim kostenfreien Digital Marketing VIP-Club an. Dort bekommst Du noch mehr Informationen rund ums Thema Digital Marketing sowie kostenfreie Videos und eBooks.

4 Comments
  1. Tanja

    Roger, danke! Das ganze tönt nach vielviel protokollieren und zusatzaufwände. Wird mir fast schlecht... wie kann ich das auf ein minimum halten? Lieber Gruss

    • rogerruckstuhl

      Das ist allerdings eine sehr gute Frage, die Dir eigentlich nur ein Anwalt beantworten kann, der sich damit auskennt.

  2. Tanja

    Danke für die infos! Geteilt. Das alles tönt nach vielviel nebensächlichem aufwand. Wie kann ich das auf ein minimum halten? Lieber gruss

    • rogerruckstuhl

      Das ist allerdings eine sehr gute Frage, die Dir eigentlich nur ein Anwalt beantworten kann, der sich damit auskennt.

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.