DSGVO im Überblick
Das müssen Unternehmen jetzt für den Datenschutz tun
Ab dem 25. Mai müssen Unternehmen die Regeln der EU-DSGVO (EU-Datenschutz-Grundverordnung) umgesetzt haben. Hohe Strafen drohen. Bis zu 50.000 Euro für kleinere Verstöße, bis zu 300.000 Euro für schwerwiegendere Verstöße und insgesamt maximal 20 Millionen Euro. Deshalb laufen auch bei visual4 die Öfen heiß. Die wichtigsten Erkenntnisse und Tipps rund um die DSGVO haben wir so kurz und knapp wie möglich für Sie zusammengefasst.
Ja, die Zeit drängt. Den Datenschutz dürfen wir nicht auf die leichte Schulter nehmen. Das ist bei allen Unternehmen angekommen. Auch bei uns beschäftigen sich aktuell mehrere Mitarbeiter intensiv mit der DSGVO. Die einen recherchieren, die anderen tüfteln an der Website und am CRM und weitere schrauben am Verfahrensverzeichnis.
Da wir uns selbst intensiv mit den Datenschutzregeln auseinandergesetzt haben, fassen wir unsere Erkenntnisse für unsere Kunden (und alle, die uns über die Suchmaschine gefunden haben) kurz und knapp zusammen.
Datenschutzkonforme Website
Erster Angriffspunkt ist Ihre Website
Die meisten personenbezogenen Daten Ihrer Interessenten und Kunden erfassen Sie über Ihre Website und/oder Ihren Online-Shop. Mit ein paar wenigen Anpassungen machen Sie Ihre Online-Präsenzen fit für die Datenschutz-Grundverordnung:
- SSL einbinden
- Datenschutzrichtlinien aktualisieren
- IP der Besucher in Google Analytics anonymisieren
- Social-Media datenschutzkonform einbinden
- Auf Cookies richtig hinweisen
Nutzen Sie SSL!
Vor allem, wenn Sie Kontaktformulare auf Ihrer Website haben! Ob Ihre Website SSL-verschlüsselt ist, erkennen Sie an der URL: http://www.website.de (ohne SSL) vs. https://www.website.de (mit SSL).
Hintergrund: Personenbezogene Daten müssen laut DSGVO so früh wie möglich verschlüsselt werden. Wer SSL auf der Website verwendet, überträgt die Daten aus den Formularen bereits verschlüsselt. Da sich SSL sehr einfach in die Unternehmenswebsite einbinden lässt, sind Unternehmen verpflichtet, die SSL-Verschlüsselung auch zu nutzen.
Aktualisieren Sie Ihre Datenschutzrichtlinien!
Mit der DSGVO ist es verpflichtend, dass Sie absolut transparent und verständlich darlegen, welche Daten Sie über die Website erheben, welche Drittanbieter wie Google oder Facebook auf die Daten der Besucher zugreifen können und was Sie mit den Besucherdaten machen.
Beliebte Dienste von Drittanbietern sind zum Beispiel:
- Google Webfonts
- Google Maps
- Youtube und Vimeo
- Spotify und Soundcloud
- Social-Media-Dienste wie Twitter, Pinterest etc.
Dazu gehören eRecht24 bietet hierfür beispielsweise einen kostenlosen Generator an.
Anonymisieren Sie die IP Ihrer Besucher in Google Analytics!
Mithilfe der IP-Adresse kann es möglich sein, eine Person eindeutig zu identifizieren. Deshalb gehört sie zu den personenbezogenen Daten und darf ohne Einwilligung der betreffenden Person nicht erhoben werden. Alles zum datenschutzkonformen Einsatz von Google Analytics finden Sie unter DSGVO: In 5 Schritten Google Analytics datenschutzkonform einbinden.
Binden Sie Social Media datenschutzkonform ein!
Wenn Sie Social Media wie Facebook, Twitter und Xing wie auch Youtube einbinden, dann übertragen Sie personenbezogene Daten wie die IP-Adresse an Facebook & Co. Und das ohne Einwilligung der Besucher. Das ist mit der Datenschutz-Grundverordnung nicht erlaubt!
Verlinken Sie ggf. nur auf Ihre Social-Media-Profile oder holen Sie sich die Einwilligung der Besucher bevor Ihre Website Daten an Facebook & Co. überträgt. Wenn Sie die Like- und Teilen-Funktion einbinden möchten, können Sie zwei von Heise entwickelte Lösungen nutzen.
Zum einen die 2-Klick-Lösung: Die Like- und Teilen-Funktion ist erst einmal deaktiviert. Mit dem ersten Klick aktivieren Besucher die Social-Media-Funktion, z. B. für Twitter oder für Facebook. Mit dem zweiten Klick lässt sich der Inhalt dann liken oder teilen.
Die andere datenschutzrechtlich erlaubte Variante sind die Shariff-Buttons – ebenfalls von Heise entwickelt. Mit der Shariff-Variante werden die Daten der Besucher erst dann übertragen, wenn Sie auf einen der Social-Media-Buttons klicken. Vorher sind Ihre Besucher vollkommen unsichtbar für Facebook & Co. Der Unterschied zur 2-Klick-Lösung: Bei Shariff müssen Besucher nur einmal klicken, um einen Webinhalt zu liken oder zu teilen.
Plugins für die 2-Klick-Lösung und Shariff-Variante gibt es für alle großen CMS, z. B. WordPress, Joomla! und TYPO3.
Weitere Informationen finden Sie auf Heise:
Erläutern Sie, welche Art von Cookies Sie speichern!
Nach deutschem Recht müssen Sie in der Datenschutzerklärung darauf hinweisen, dass Sie Cookies speichern. Wichtig ist außerdem, dass Sie den Webseitenbesuchern erklären, wie sie das Speichern von Cookies abwählen können. Es reicht also ein sogenanntes Opt-out (Widerrufen der Einwilligung).
Das Cookie-Banner (also ein Opt-in), wie Sie es sicher schon häufig beim Besuchen eines Shops gesehen und angeklickt haben, brauchen Sie für die Einhaltung der DSGVO nicht. Allerdings schreibt Google dieses Cookie-Banner vor, wenn Ihr Unternehmen AdSense oder DoubleClick einsetzt.
Informieren Sie sich weiter:
Double-Opt-in für Newsletter
Keine Mail ohne Einwilligung
Vom Double-Opt-in haben Sie bestimmt schon gehört. Wenn Sie Newsletter und Werbemails versenden wollen, brauchen Sie die explizite Zustimmung der Empfänger. Doch aufgepasst! Vorausgefüllte Checkboxen sind ungültig!
Das müssen Sie beim E-Mail-Marketing beachten:
- Empfänger müssen aktiv zustimmen (Opt-in)
- Empfänger muss Opt-in bestätigen, indem er seine Daten validiert (Double-Opt-in)
- Bestätigungsmail darf keine Werbung enthalten
- Double-Opt-in muss vor Gericht nachweisbar sein
- Empfänger müssen sich jederzeit austragen können
Lassen Sie Empfänger aktiv zustimmen!
Die Empfänger Ihrer Newsletter müssen das Häkchen selbst setzen oder auf sonstige Weise aktiv der Zusendung von Newslettern zustimmen. Die Einwilligung muss vollkommen freiwillig sein und darf nicht unter Druck oder Zwang abgegeben werden. Eine Bestellung im Online-Shop muss z. B. ohne Newsletter-Abonnement möglich sein.
Lassen Sie sich die Zustimmung bestätigen (Double-Opt-in)!
Hat der Empfänger der Zusendung von Newslettern zugestimmt, müssen Sie sich die Zustimmung über eine E-Mail mit Bestätigungslink aktiv bestätigen lassen.
Hintergrund: Es könnte ja jemand aus Scherz die E-Mail-Adresse eines Kollegen, Freundes (oder Feindes) eingegeben haben. Deshalb muss der Newsletter-Empfänger bestätigen, dass er tatsächlich der Zusendung von Newslettern zugestimmt hat.
Beachten Sie das Grundprinzip der Transparenz! Der Einwilligende muss verstehen, auf was er sich einlässt. Daher sollten Sie in der ersten Opt-in-Phase wie auch in der zweiten Opt-in-Phase klar und präzise nennen, welche Art von Mailings der Empfänger erwarten kann, z. B. Produktangebote und Produktinformationen, News aus der Branche etc.
Verzichten Sie auf Werbung in der Bestätigungsmail!
Die Bestätigungsmail darf nur den Zweck der Einwilligungsbestätigung verfolgen. Sie dürfen keine weiteren Inhalte in die Bestätigungsmail packen.
Speichern Sie die Einwilligungen so, dass Sie sie vor Gericht nachweisen können!
Folgende Informationen sollten Sie sammeln und einem Gericht vorlegen können:
- Wie sah der Text aus, auf den der Empfänger seine Einwilligung gegeben hat?
- Wie sah die Bestätigungsmail aus?
- Datum und Uhrzeit des Klicks auf den Bestätigungslink
- Falls einfach möglich: IP-Adresse, über die der Bestätigungslink geklickt wurde
Weitere Informationen:
Empfänger müssen sich jederzeit vom Newsletter austragen können!
Setzen Sie in jedem Newsletter, den Sie versenden, einen Widerrufs-Link. Über diesen Link können die Newsletter-Empfänger ihre Einwilligung jederzeit widerrufen.
Recht auf Vergessenwerden
Bereiten Sie sich auf
Auskünfte und Löschanträge vor
Auskunftsrecht: Laut DSGVO hat jede Person ein Recht darauf, zu erfahren, welche personenbezogenen Daten Ihr Unternehmen zur betreffenden Person speichert. Wenn die Person es wünscht, müssen Sie auch über jede Änderung der gespeicherten Daten informieren.
Ein wichtiges Datenschutzthema ist auch das Recht auf „Vergessenwerden“. Eine Person soll damit volle Kontrolle über die eigenen personenbezogenen Daten zurückbekommen. Wenn ein Interessent, Kunde etc. möchte, dass Ihr Unternehmen die personenbezogenen Daten löscht, müssen Sie dem nachkommen. Aber Achtung! Wenn Sie die Daten, z. B. aus steuerrechtlichen Gründen noch brauchen, dann müssen Sie die Daten bis zur gesetzlich vorgeschriebenen Frist vorhalten!
- Weitere Informationen zum Auskunftsrecht: https://dsgvo-gesetz.de/art-15-dsgvo/
- Weitere Informationen zum Recht auf „Vergessenwerden“: https://dsgvo-gesetz.de/art-17-dsgvo/
Vertrag zur Auftragsdatenverarbeitung
Schließen Sie Verträge mit
Cloud-Diensten ab!
Ihre Website liegt nicht in Ihrem eigenen Rechenzentrum, sondern im Rechenzentrum Ihres Hosters? Sie nutzen Office 365, Trello, Slack, Bilendo oder ähnliche Cloud-Dienste – und gehen auf diesen Plattformen mit Kundendaten um? Dann müssen Sie mit diesen Anbietern sogenannte Verträge zur Auftragsdatenverarbeitung abschließen. Denn ab sofort liegt es in Ihrer Pflicht, zu prüfen, ob die Drittanbieter verantwortungsvoll mit den Daten Ihrer Kunden umgehen.
Vorlagen für einen Auftragsverarbeitungsvertrag finden Sie hier:
DSGVO Verfahrensverzeichnis
Alles muss dokumentiert werden
Ganz wichtig für Ihre Absicherung vor Gericht ist das Verfahrensverzeichnis. Darin dokumentieren Sie, welche personenbezogenen Daten Sie für welchen Zweck an welchen Stellen erheben, wie Sie für die Sicherheit der Daten sorgen und wie lange Sie die Daten jeweils speichern.
Weitere Informationen sowie Muster und Vorlagen zum Verfahrensverzeichnis finden Sie hier:
- Muster für Verfahrensverzeichnisse, bvdnet.de
- Verfahrensregister und Verfahrensbeschreibung für den nicht öffentlichen Bereich, lfd.niedersachsen.de
DSGVO FAQ
Fragen und Antworten zum Datenschutz
Während unserer Recherchen und der DSGVO-Umsetzung sind einige Fragen aufgetaucht, die ein wenig mehr ins Detail gehen und auch für Sie interessant sein könnten.
Brauche ich ein Double-Opt-in für Kontaktformulare?
Nein. Aber setzen Sie einen Hinweis und einen Link zur Datenschutzerklärung und fragen Sie ab, ob der Anfragesteller die Datenschutzerklärung gelesen hat. In der Datenschutzerklärung legen Sie dann dar, was mit den Daten geschieht und wie lange die Daten, z. B. im CRM-System gespeichert werden (einen angemessenen Zeitraum legen Sie im Verfahrensverzeichnis fest).
Darf ich eine Bestellung mit der Einwilligung von Werbe-Mails koppeln?
Nein. Eine Bestellung muss möglich sein, ohne in den Versand von Werbe-Mails einzuwilligen. Bzw. Einwilligungen in Werbe-Mails, die so eingeholt wurden, sind ungültig, da sie nicht als freiwillig gelten.
Weitere Informationen: https://www.cr-online.de/blog/2016/10/11/kopplungsverbot-der-einwilligungskiller-nach-der-dsgvo/
Gilt die DSGVO nur für Kundendaten?
Nein. Die DSGVO bezieht sich auch auf die Daten Ihrer Mitarbeiter.
DSGVO-Support
Lassen Sie sich vom Rechtsanwalt beraten!
Dieser Text soll Ihnen einen Überblick geben, in welche Bereiche Sie sich detaillierter einarbeiten sollten und Ihnen den Einstieg erleichtern. Da wir keine Rechtsanwälte sind, können wir Sie nicht juristisch beraten. Da Verstöße gegen die DSGVO mit hohen Strafen geahndet werden, lassen Sie sich bei Fragen am besten von einem Rechtsanwalt beraten!
Das könnte Sie auch interessieren ...


