News & Blog

DSGVO im Überblick

Das müssen Unternehmen jetzt für den Datenschutz tun

Ab dem 25. Mai müssen Unternehmen die Regeln der EU-DSGVO (EU-Datenschutz-Grundverordnung) umgesetzt haben. Hohe Strafen drohen. Bis zu 50.000 Euro für kleinere Verstöße, bis zu 300.000 Euro für schwerwiegendere Verstöße und insgesamt maximal 20 Millionen Euro. Deshalb laufen auch bei visual4 die Öfen heiß. Die wichtigsten Erkenntnisse und Tipps rund um die DSGVO haben wir so kurz und knapp wie möglich für Sie zusammengefasst.

Ja, die Zeit drängt. Den Datenschutz dürfen wir nicht auf die leichte Schulter nehmen. Das ist bei allen Unternehmen angekommen. Auch bei uns beschäftigen sich aktuell mehrere Mitarbeiter intensiv mit der DSGVO. Die einen recherchieren, die anderen tüfteln an der Website und am CRM und weitere schrauben am Verfahrensverzeichnis.

Da wir uns selbst intensiv mit den Datenschutzregeln auseinandergesetzt haben, fassen wir unsere Erkenntnisse für unsere Kunden (und alle, die uns über die Suchmaschine gefunden haben) kurz und knapp zusammen.

Datenschutzkonforme Website

Erster Angriffspunkt ist Ihre Website

Die meisten personenbezogenen Daten Ihrer Interessenten und Kunden erfassen Sie über Ihre Website und/oder Ihren Online-Shop. Mit ein paar wenigen Anpassungen machen Sie Ihre Online-Präsenzen fit für die Datenschutz-Grundverordnung:

  • SSL einbinden
  • Datenschutzrichtlinien aktualisieren
  • IP der Besucher in Google Analytics anonymisieren
  • Social-Media datenschutzkonform einbinden
  • Auf Cookies richtig hinweisen

DSGVO: Anpassungen für die Website

Nutzen Sie SSL!

Vor allem, wenn Sie Kontaktformulare auf Ihrer Website haben! Ob Ihre Website SSL-verschlüsselt ist, erkennen Sie an der URL: http://www.website.de (ohne SSL) vs. https://www.website.de (mit SSL).

Hintergrund: Personenbezogene Daten müssen laut DSGVO so früh wie möglich verschlüsselt werden. Wer SSL auf der Website verwendet, überträgt die Daten aus den Formularen bereits verschlüsselt. Da sich SSL sehr einfach in die Unternehmenswebsite einbinden lässt, sind Unternehmen verpflichtet, die SSL-Verschlüsselung auch zu nutzen.

Aktualisieren Sie Ihre Datenschutzrichtlinien!

Mit der DSGVO ist es verpflichtend, dass Sie absolut transparent und verständlich darlegen, welche Daten Sie über die Website erheben, welche Drittanbieter wie Google oder Facebook auf die Daten der Besucher zugreifen können und was Sie mit den Besucherdaten machen.

Beliebte Dienste von Drittanbietern sind zum Beispiel:

  • Google Webfonts
  • Google Maps
  • Youtube und Vimeo
  • Spotify und Soundcloud
  • Social-Media-Dienste wie Twitter, Pinterest etc.

Dazu gehören eRecht24 bietet hierfür beispielsweise einen kostenlosen Generator an.

Anonymisieren Sie die IP Ihrer Besucher in Google Analytics!

Mithilfe der IP-Adresse kann es möglich sein, eine Person eindeutig zu identifizieren. Deshalb gehört sie zu den personenbezogenen Daten und darf ohne Einwilligung der betreffenden Person nicht erhoben werden. Alles zum datenschutzkonformen Einsatz von Google Analytics finden Sie unter DSGVO: In 5 Schritten Google Analytics datenschutzkonform einbinden.

Binden Sie Social Media datenschutzkonform ein!

Wenn Sie Social Media wie Facebook, Twitter und Xing wie auch Youtube einbinden, dann übertragen Sie personenbezogene Daten wie die IP-Adresse an Facebook & Co. Und das ohne Einwilligung der Besucher. Das ist mit der Datenschutz-Grundverordnung nicht erlaubt!

Verlinken Sie ggf. nur auf Ihre Social-Media-Profile oder holen Sie sich die Einwilligung der Besucher bevor Ihre Website Daten an Facebook & Co. überträgt. Wenn Sie die Like- und Teilen-Funktion einbinden möchten, können Sie zwei von Heise entwickelte Lösungen nutzen.

Zum einen die 2-Klick-Lösung: Die Like- und Teilen-Funktion ist erst einmal deaktiviert. Mit dem ersten Klick aktivieren Besucher die Social-Media-Funktion, z. B. für Twitter oder für Facebook. Mit dem zweiten Klick lässt sich der Inhalt dann liken oder teilen.

Die andere datenschutzrechtlich erlaubte Variante sind die Shariff-Buttons – ebenfalls von Heise entwickelt. Mit der Shariff-Variante werden die Daten der Besucher erst dann übertragen, wenn Sie auf einen der Social-Media-Buttons klicken. Vorher sind Ihre Besucher vollkommen unsichtbar für Facebook & Co. Der Unterschied zur 2-Klick-Lösung: Bei Shariff müssen Besucher nur einmal klicken, um einen Webinhalt zu liken oder zu teilen.

Plugins für die 2-Klick-Lösung und Shariff-Variante gibt es für alle großen CMS, z. B. WordPress, Joomla! und TYPO3.

Weitere Informationen finden Sie auf Heise:

Erläutern Sie, welche Art von Cookies Sie speichern!

Nach deutschem Recht müssen Sie in der Datenschutzerklärung darauf hinweisen, dass Sie Cookies speichern. Wichtig ist außerdem, dass Sie den Webseitenbesuchern erklären, wie sie das Speichern von Cookies abwählen können. Es reicht also ein sogenanntes Opt-out (Widerrufen der Einwilligung).

Das Cookie-Banner (also ein Opt-in), wie Sie es sicher schon häufig beim Besuchen eines Shops gesehen und angeklickt haben, brauchen Sie für die Einhaltung der DSGVO nicht. Allerdings schreibt Google dieses Cookie-Banner vor, wenn Ihr Unternehmen AdSense oder DoubleClick einsetzt.

Informieren Sie sich weiter:

Double-Opt-in für Newsletter

Keine Mail ohne Einwilligung

Vom Double-Opt-in haben Sie bestimmt schon gehört. Wenn Sie Newsletter und Werbemails versenden wollen, brauchen Sie die explizite Zustimmung der Empfänger. Doch aufgepasst! Vorausgefüllte Checkboxen sind ungültig!

Das müssen Sie beim E-Mail-Marketing beachten:

  • Empfänger müssen aktiv zustimmen (Opt-in)
  • Empfänger muss Opt-in bestätigen, indem er seine Daten validiert (Double-Opt-in)
  • Bestätigungsmail darf keine Werbung enthalten
  • Double-Opt-in muss vor Gericht nachweisbar sein
  • Empfänger müssen sich jederzeit austragen können

DSGVO: Newsletter-Anmeldung

Lassen Sie Empfänger aktiv zustimmen!

Die Empfänger Ihrer Newsletter müssen das Häkchen selbst setzen oder auf sonstige Weise aktiv der Zusendung von Newslettern zustimmen. Die Einwilligung muss vollkommen freiwillig sein und darf nicht unter Druck oder Zwang abgegeben werden. Eine Bestellung im Online-Shop muss z. B. ohne Newsletter-Abonnement möglich sein.

Lassen Sie sich die Zustimmung bestätigen (Double-Opt-in)!

Hat der Empfänger der Zusendung von Newslettern zugestimmt, müssen Sie sich die Zustimmung über eine E-Mail mit Bestätigungslink aktiv bestätigen lassen.

Hintergrund: Es könnte ja jemand aus Scherz die E-Mail-Adresse eines Kollegen, Freundes (oder Feindes) eingegeben haben. Deshalb muss der Newsletter-Empfänger bestätigen, dass er tatsächlich der Zusendung von Newslettern zugestimmt hat.

Beachten Sie das Grundprinzip der Transparenz! Der Einwilligende muss verstehen, auf was er sich einlässt. Daher sollten Sie in der ersten Opt-in-Phase wie auch in der zweiten Opt-in-Phase klar und präzise nennen, welche Art von Mailings der Empfänger erwarten kann, z. B. Produktangebote und Produktinformationen, News aus der Branche etc.

Verzichten Sie auf Werbung in der Bestätigungsmail!

Die Bestätigungsmail darf nur den Zweck der Einwilligungsbestätigung verfolgen. Sie dürfen keine weiteren Inhalte in die Bestätigungsmail packen.

Speichern Sie die Einwilligungen so, dass Sie sie vor Gericht nachweisen können!

Folgende Informationen sollten Sie sammeln und einem Gericht vorlegen können:

  • Wie sah der Text aus, auf den der Empfänger seine Einwilligung gegeben hat?
  • Wie sah die Bestätigungsmail aus?
  • Datum und Uhrzeit des Klicks auf den Bestätigungslink
  • Falls einfach möglich: IP-Adresse, über die der Bestätigungslink geklickt wurde

Weitere Informationen:

Empfänger müssen sich jederzeit vom Newsletter austragen können!

Setzen Sie in jedem Newsletter, den Sie versenden, einen Widerrufs-Link. Über diesen Link können die Newsletter-Empfänger ihre Einwilligung jederzeit widerrufen.

Recht auf Vergessenwerden

Bereiten Sie sich auf
Auskünfte und Löschanträge vor

Auskunftsrecht: Laut DSGVO hat jede Person ein Recht darauf, zu erfahren, welche personenbezogenen Daten Ihr Unternehmen zur betreffenden Person speichert. Wenn die Person es wünscht, müssen Sie auch über jede Änderung der gespeicherten Daten informieren.

Ein wichtiges Datenschutzthema ist auch das Recht auf „Vergessenwerden“. Eine Person soll damit volle Kontrolle über die eigenen personenbezogenen Daten zurückbekommen. Wenn ein Interessent, Kunde etc. möchte, dass Ihr Unternehmen die personenbezogenen Daten löscht, müssen Sie dem nachkommen. Aber Achtung! Wenn Sie die Daten, z. B. aus steuerrechtlichen Gründen noch brauchen, dann müssen Sie die Daten bis zur gesetzlich vorgeschriebenen Frist vorhalten!

DSGVO: Recht auf Vergessenwerden

Vertrag zur Auftragsdatenverarbeitung

Schließen Sie Verträge mit
Cloud-Diensten ab!

Ihre Website liegt nicht in Ihrem eigenen Rechenzentrum, sondern im Rechenzentrum Ihres Hosters? Sie nutzen Office 365, Trello, Slack, Bilendo oder ähnliche Cloud-Dienste – und gehen auf diesen Plattformen mit Kundendaten um? Dann müssen Sie mit diesen Anbietern sogenannte Verträge zur Auftragsdatenverarbeitung abschließen. Denn ab sofort liegt es in Ihrer Pflicht, zu prüfen, ob die Drittanbieter verantwortungsvoll mit den Daten Ihrer Kunden umgehen.

Vorlagen für einen Auftragsverarbeitungsvertrag finden Sie hier:

DSGVO: Auftragsverarbeitungsverträge abschließen

DSGVO Verfahrensverzeichnis

Alles muss dokumentiert werden

Ganz wichtig für Ihre Absicherung vor Gericht ist das Verfahrensverzeichnis. Darin dokumentieren Sie, welche personenbezogenen Daten Sie für welchen Zweck an welchen Stellen erheben, wie Sie für die Sicherheit der Daten sorgen und wie lange Sie die Daten jeweils speichern.

Weitere Informationen sowie Muster und Vorlagen zum Verfahrensverzeichnis finden Sie hier:

DSGVO: Verfahrensverzeichnis anlegen

DSGVO FAQ

Fragen und Antworten zum Datenschutz

Während unserer Recherchen und der DSGVO-Umsetzung sind einige Fragen aufgetaucht, die ein wenig mehr ins Detail gehen und auch für Sie interessant sein könnten.

Brauche ich ein Double-Opt-in für Kontaktformulare?

Nein. Aber setzen Sie einen Hinweis und einen Link zur Datenschutzerklärung und fragen Sie ab, ob der Anfragesteller die Datenschutzerklärung gelesen hat. In der Datenschutzerklärung legen Sie dann dar, was mit den Daten geschieht und wie lange die Daten, z. B. im CRM-System gespeichert werden (einen angemessenen Zeitraum legen Sie im Verfahrensverzeichnis fest).

Darf ich eine Bestellung mit der Einwilligung von Werbe-Mails koppeln?

Nein. Eine Bestellung muss möglich sein, ohne in den Versand von Werbe-Mails einzuwilligen. Bzw. Einwilligungen in Werbe-Mails, die so eingeholt wurden, sind ungültig, da sie nicht als freiwillig gelten.

Weitere Informationen: https://www.cr-online.de/blog/2016/10/11/kopplungsverbot-der-einwilligungskiller-nach-der-dsgvo/

Gilt die DSGVO nur für Kundendaten?

Nein. Die DSGVO bezieht sich auch auf die Daten Ihrer Mitarbeiter.

DSGVO-Support

Lassen Sie sich vom Rechtsanwalt beraten!

Dieser Text soll Ihnen einen Überblick geben, in welche Bereiche Sie sich detaillierter einarbeiten sollten und Ihnen den Einstieg erleichtern. Da wir keine Rechtsanwälte sind, können wir Sie nicht juristisch beraten. Da Verstöße gegen die DSGVO mit hohen Strafen geahndet werden, lassen Sie sich bei Fragen am besten von einem Rechtsanwalt beraten!

Das könnte Sie auch interessieren ...

„Bei Bauvorhaben denkt man ganz selbstverständlich an Architekten, die für die Gestaltung von Gebäuden verantwortlich sind und gezielt dafür ausgebildet werden. Aber an wen sollte man denken, wenn es um die Gestaltung von …

Geschafft! Die Digitalagentur visual4 ist autorisiertes Beratungsunternehmen im Förderprogramm go-digital! Unternehmen, die sich digital erfolgreich aufstellen möchten, begleiten wir ab sofort bei der Antragstellung und dem Aufbau ihrer …

Was sind digitale Potenziale? Klingt nach Marketing-Blabla, ist es aber nicht. Der Mittelstand ist in der heißen Phase, seine Geschäftsmodelle in die digitale Welt zu übertragen. Mitarbeiter, die zuvor nichts mit IT zu tun hatten, arbeiten …