Am 25. Mai 2018 tritt die neue Datenschutzverordnung der EU (DSGVO) in Kraft. Das Gesetz regelt den Umgang mit personenbezogenen Daten einheitlich – für alle europäischen Staaten.
Unternehmen müssen einige Vorkehrungen treffen, um die, mit der Richtlinie einhergehenden Bedingungen, vollständig zu erfüllen. Auch Websiten und Online-Shops sind von der tangiert. Unternehmen deren Seiten die neuen Anforderungen nicht abdecken, sind stark „abmahngefährdert“. Einige Quellen nennen mögliche Abmahnungen in Höhen, die sich auf bis zu 4% des Vorjahresumsatzes belaufen. Aus diesem Grund informieren wir umfangreich- hier, in unserem Agentur-Blog.
Wir haben ein Paket für Sie zusammengetragen, das die wesentlichen Vorgaben der neuen Richtlinie enthält. In Ergänzung zu diesem Paket empfehlen wir Ihnen die Website im Anschluss an die Anpassungen zusätzlich von einer Anwaltskanzlei überprüfen zu lassen. Nur mit dieser Kombination der Expertisen sind Sie 100-prozentig sicher.
Je nachdem, wie Sie Nutzerdaten auf Ihrer Website verarbeiten und ob Sie bereits selbst Vorkehrungen getroffen haben, werden alle - oder nur Teile - der nachfolgend genannten Schritte auf Ihrer Website nötig sein:
SSL-Verschlüsselung
Daten, das gilt insbesondere für Angaben aus Kontaktformularen, müssen laut DSGVO verschlüsselt übergeben werden. Sollten Sie ein Kontaktformular auf Ihrer Website anbieten, muss Ihre Website mit einem sog. SSL-Zertifikat versehen werden. In der Webadresse des Browsers wird dann statt des alten http:// künftig https:// stehen.
Cookie-Hinweis
Wenn Ihre Website Tracking-Tools wie Google-Analytics oder aber einfach nur das CMS-Wordpress verwendet wird, dann enthält die Seite Cookies. Dies sind kleine Programme, die sich auf dem Rechner der Besucher installieren und teilweise Daten speichern. Künftig dürfen solche Cookies nur verwendet werden, wenn die Besucher der Website der Anwendung ausdrücklich zustimmen. Ein Cookie-Hinweis muss der Seite quasi „vorgeschaltet“ werden. Wie ein solcher Hinweis in der Praxis aussieht, sehen Sie hier unten, auf unserer Agenturseite (schwarzer Balken am unteren Seitenrand).
Double Opt-in und Opt-out bei Newslettern
Sollten Sie Besuchern auf der Website ermöglichen, dass Sie sich für einen Newsletter anmelden, muss unbedingt die Double-Opt-In-Funktion erfüllt sein. Darunter versteht man die "doppelte Absicherung" der Anmeldung: Sobald sich ein neuer Interessent für Ihren Newsletter anmeldet, erhält jener eine automatisch generierte E-Mail, in der er nochmals separat aufgefordet wird, die Anmeldung zu bestätigen. Erst mit dem Klick auf die Bestätigung ist die Anmeldung verbindlich.
Gute Newsletter-Tools bieten dieses Anmeldeverfahren als Standard an. Bei kostenlosen Tools oder Versand des Newsletters über eigene Systeme ist Vorsicht geboten.
Hinweis der Nutzung personenbezogener Daten beim Kontaktformular oder ausdrückliche Zustimmung der Verwendung der Daten zu Werbezwecken
Sollten Sie Kundendaten bei Online-Bestellungen oder bei Übermittlung des Kontaktformulares speichern und zu Werbezwecken (z.B. Newsletter) einsetzen, muss der Seitenbesucher dieser Verwendung eindeutig zustimmen. Dies kann beispielsweise umgesetzt werden, indem Sie eine zustimmungspflichtigen BUTTON ALS EXTRA-FELD bei Ihrem Kontaktformular integrieren.
Speichern Sie die Daten aus dem übertragenen Kontaktformular dagegen lediglich für die Bearbeitung der Anfrage, genügt ein KURZER TEXTHINWEIS.
Anpassung des Impressum & Datenschutz auf der Website
Im Impressum und Datenschutz der Website müssen die wichtigsten Angaben zur Datenspeicherung enthalten sein.
Impressum der Social-Media-Kanäle anpassen
Die neuen Bestandteile der Datenschutzerklärung Ihrer Website unbedingt auch auf Facebook und andere Kanäle mit Impressumspflicht stellen
Vertrag zur Datenverarbeitung mit Hoster und Agentur abschließen
Dienstleister, die Sie mit der Pflege oder der Speicherung und Sicherung Ihrer Website beauftragen, müssen Ihnen bestätigen, dass sie mit eventuell einsehbaren und auf dem Webserver gespeicherten Informationen sorgsam umgehen. Für alle unsere Kunden, die das Hosting bei unserer Agentur abgeschlossen haben, regeln wir diese Vereinbarung. Sollten Sie über andere Anbieter hosten, raten wir Ihnen von den dort zuständigen Stellen Auskünfte und Bestätigungen einzuholen.
Datenschutzbeauftragter
Unternehmen, bei denen mindestens 10 Personen ständig mit der Verarbeitung von Personendaten beschäftigt sind, müssen einen internen oder externen Datenschutzbeauftragen benennen.
Dokumentation & Auskunft
Unternehmen sind verpflichtet ein Verarbeitungsverzeichnis für personenbezogene Daten anzulegen. Eine umfassende Erläuterung stellt die BITKOM UNTER DIESEM LINK zur Verfügung. Alle Betroffenen, also im Falle der Website Besucher, die ihre Daten übermitteln, haben schriftlich, elektronisch und mündlich Anspruch auf Auskunft zur Speicherung ihrer Daten.
Löschung der Daten
Für die Löschung der personenbezogenen Daten muss im Unternehmen ein Konzept erarbeitet werden, welches bei Bedarf Behörden vorgelegt werden kann. Unser Tipp: Halten Sie schriftlich fest, an welchen Speicherorten Sie Daten ablegen, wer auf diese Daten zugreifen kann und in welchem Turnus Sie die Daten löschen.
Google-Analytics Datenverarbeitung klären
Vertrag zur Auftragsdatenverarbeitung mit Google abschließen und IP-Anonymisierung aktivieren.
Lesen Sie weiter in unserem Agentur-Blog: