DSGVO-konforme Websites - Worauf kommt es an?
Ist Ihre Website DSGVO-konform mit den Anforderungen der EU-Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 in Kraft treten ist?
Hier sind 10 Änderungen, die Sie jetzt vornehmen müssen, damit Ihre Website auf der richtigen Seite des Gesetzes bleibt und Ihre Kunden zufrieden sind.
Was genau ist die DSGVO?
Die DSGVO wurde entwickelt, um die Datenschutzgesetze in ganz Europa zu harmonisieren, den Datenschutz aller EU-Bürger zu schützen und zu stärken und die Art und Weise, wie Unternehmen an den Datenschutz herangehen, neu zu gestalten.
Wie würde ich also betroffen sein, wenn ich das Risiko eingehe?
Tun Sie es nicht! Unternehmen, die die Datenschutz-Grundverordnung (DSGVO) an dem Tag, an dem sie in Kraft tritt, nicht einhalten, müssen mit einer empfindlichen potenziellen Geldstrafe von 20 Millionen Euro oder 4 Prozent ihres Umsatzes rechnen – je nachdem, welcher Betrag höher ist.
Die Einhaltung der Datenschutz-Grundverordnung von 2018 ist daher ein wichtiges Thema für Ihr Unternehmen, mit dem Sie sich jetzt befassen sollten, wenn Sie es nicht bereits getan haben.
Welche Informationen könnten Sie also sammeln?
Es kann sein, dass Sie über Ihre Website Daten sammeln, ohne dass Sie sich dessen bewusst sind, z. B. Cookies und IP-Adressen. Es gibt jedoch einige Daten, die Ihnen bekannt sind – wie Kontaktformulare, Newsletter-Anmeldungen und E-Commerce-Transaktionen.
Was bedeutet das in der Praxis?
Wir werden dies weiter unten im Detail aufschlüsseln, aber praktisch gesehen müssen Sie aus der Perspektive einer Webseite zunächst einmal darüber nachdenken, wie Ihr Unternehmen über Ihre Webseite Daten sammelt – wir sprechen hier von personenbezogenen Daten, die zur Identifizierung einer Person verwendet werden können. Dinge wie Namen, E-Mail-Adressen, Kontaktnummern, IP-Adressen usw.
Wenn Personen Ihre Website besuchen und mit ihr interagieren, müssen Sie die Vorgänge so klar und transparent wie möglich machen.
Sie müssen aufzeigen, welche Informationen Sie sammeln, und Optionen für die Zustimmung auf granularer Ebene anbieten. Sie müssen Einzelpersonen ermöglichen, die von Ihnen gesammelten Daten einzusehen, und Sie müssen in der Lage sein, diese Daten aus Ihren Systemen zu entfernen, sobald die Personen Sie dazu auffordern.
Diese Punkte sollten Sie berücksichtigen
1. Die Datenschutzpolitik
Sobald Sie die von Ihnen gesammelten Daten analysiert haben (und wenn es viele sind, müssen Sie einen Datenschutzbeauftragten benennen, der für die Überwachung dieser Daten verantwortlich ist), müssen Sie diese in einer überarbeiteten Datenschutzerklärung auf Ihrer Website darlegen.
Ihre Datenschutzerklärung muss sehr klar formuliert sein und Angaben darüber enthalten, wie Sie Daten erfassen, wo Sie sie speichern, wie lange Sie sie aufzubewahren gedenken, wie Personen die von Ihnen gespeicherten Informationen einsehen können und schließlich, wie sie ihre Daten aus Ihren Systemen löschen lassen können (Recht auf Vergessen).
2. Fügen Sie Ihrer Webseite ein SSL-Zertifikat hinzu
Der Datenschutz hat im Rahmen der DSGVO oberste Priorität. Die Menschen wollen sicher sein, welche Informationen sie bereitstellen und wie sie diese bereitstellen.
Ein Single-Socket-Layer- oder SSL-Zertifikat ist eine kleine Datei, die einen kryptografischen Schlüssel digital an die Daten eines Unternehmens bindet. Wenn Sie ein solches Zertifikat auf Ihrer Website haben, wird das Vorhängeschloss-Symbol aktiviert, das Sie in Webbrowsern sehen.
Es bietet Ihnen das https:// in Ihrer Adressleiste – es macht alle Ihre Inhalte zwischen den Servern sicher, es erhöht Ihre Platzierung in der Google-Suchmaschinenoptimierung (SEO), was ein Bonus ist, und schafft/verbessert das Vertrauen der Kunden, was zu verbesserten Konversionsraten führt – insbesondere bei E-Commerce-Websites.
3. Überprüfen Sie ALLE Webseiten-Formulare
Formulare auf Ihrer Webseite dürfen keine angekreuzten Kästchen mehr enthalten. Dies gilt als stillschweigende Zustimmung und nicht als freiwillig gegeben.
Die Nutzer:innen sollten die Möglichkeit haben, ihre Zustimmung für verschiedene Arten der Verarbeitung separat zu erteilen. Zum Beispiel sollte die Option, per Post, E-Mail oder Telefon kontaktiert zu werden, in drei separaten Kästchen angekreuzt werden.
Wenn Sie um die Erlaubnis bitten, Daten an Dritte weiterzugeben, müssen Sie ein weiteres Kästchen ankreuzen. Wenn Sie über eine Website Daten im Namen mehrerer Dritter sammeln, müssen Sie für jede Partei eine eindeutige Opt-in-Option vorsehen.
Das Angebot eines Whitepapers für den Fall, dass sie sich für etwas anmelden, ist eine großartige Möglichkeit, um mehr Anmeldungen zu erhalten, aber Sie müssen trotzdem ein Opt-in-Kästchen vorsehen, da sonst die Zustimmung nicht freiwillig erteilt wurde.
4. Einfacher Entzug der Zustimmung oder Opt-Out
Es muss genauso einfach sein, die Einwilligung eines Nutzers zu widerrufen, wie sie zu erteilen, und die Personen müssen immer wissen, dass sie das Recht haben, ihre Einwilligung zu widerrufen.
In Bezug auf die Benutzerfreundlichkeit Ihrer Webseite bedeutet dies, dass Sie eine Möglichkeit zur Abmeldung in Ihrem E-Mail-Marketing und einen Link auf Ihrer Website bereitstellen müssen – am besten in den Datenschutzbestimmungen Ihrer Webseite.
5. Was speichern Sie in Cookies?
Mit der Verordnung über den Schutz der Privatsphäre und die elektronische Kommunikation aus dem Jahr 2011 wurde die Werbung für die Verwendung von Cookies und deren Akzeptanz gesetzlich vorgeschrieben.
Die Verwendung von Cookies sollte auch in Ihrer Datenschutzrichtlinie beschrieben werden und wofür die gesammelten Informationen verwendet werden. Die Nutzer:innen können sich in den Datenschutzeinstellungen ihres Browsers auch gegen die Nachverfolgung von Cookies entscheiden. Es lohnt sich, den Nutzer:innen diesen Hinweis zu geben.
Wenn Sie Plugins von Drittanbietern wie z. B. Google Analytics verwenden, um autonome Daten zu erfassen, müssen Sie Ihre Nutzer:innen dennoch über Ihre Datenschutzbestimmungen darauf hinweisen.
6. IP-Tracking anonymisieren
Es gibt viele Software-Anbieter, die Ihnen einen Tracking-Code zur Verfügung stellen, den Sie in Ihre Webseite einbinden können, sodass sie Ihnen identifizierbare Daten über Ihre Besucher liefern können.
Dies ist ein Unterschied zu den anonymen Daten, die in Google Analytics zu finden sind. Sie müssen sicherstellen, dass jede IP-Nachverfolgung, die Sie durchführen, auch in Ihrer Datenschutzerklärung angegeben wird, da IP-Adressen als „personenbezogene Daten“ eingestuft werden.
Wenn Ihre Webseite ein Blog-Element enthält, in dem Nutzer:innen Kommentare hinterlassen oder sich für einen News-Feed anmelden können, besteht die Möglichkeit, dass ihre IP-Adresse in der Datenbank Ihrer Website gespeichert wird, und deshalb müssen Sie die Nutzer:innen darüber informieren.
7. Werbung für soziale Medien untersuchen
Wenn Sie vorhaben, E-Mail-Adressen für den Aufbau von Listen für Werbung in sozialen Medien zu verwenden, müssen Sie Ihre Nutzer:innen darüber informieren. Sie müssen sich für das Social-Media-Marketing entscheiden (in Form eines detaillierten Kästchens zum Ankreuzen) und auch die Möglichkeit haben, sich abzumelden.
8. Vorsicht beim Re-Marketing
Hier werden Cookies eingesetzt, um Ihre Online-Aktivitäten zu verfolgen. Sie müssen in Ihrer Datenschutzrichtlinie ausdrücklich darauf hinweisen, dass Cookies auf diese Weise verwendet werden, wenn Ihre Website an dieser Art von Aktivitäten teilnimmt.
9. Online-Zahlungen
Wenn Sie ein E-Commerce-Unternehmen sind, werden Sie wahrscheinlich ein Zahlungs-Gateway für finanzielle Transaktionen verwenden – PayPal, Stripe, Payoneer usw.
Ihre eigene Webseite sammelt möglicherweise personenbezogene Daten, bevor sie diese Angaben an das Zahlungsportal weitergibt. Wenn dies der Fall ist, benötigen Sie auf jeden Fall ein SSL-Zertifikat, um sicherzustellen, dass diese Daten ordnungsgemäß verschlüsselt werden.
Wenn Ihre Webseite diese personenbezogenen Daten speichert, nachdem sie weitergegeben wurden, müssen Sie Ihre Datenschutzrichtlinien und Webprozesse so ändern, dass personenbezogene Daten nach einem angemessenen Zeitraum, z. B. 90 Tagen, gelöscht werden.
Die DSGVO-Gesetzgebung enthält keine ausdrücklichen Angaben zur Anzahl der Tage, es liegt in Ihrem eigenen Ermessen, was als angemessen und notwendig zu verteidigen ist.
Sie müssen lediglich darauf vorbereitet sein, einer Person, die darum bittet, die ihr vorliegenden Daten zur Verfügung zu stellen, wenn eine Person Sie darum bittet – und ggf. löschen.
10. Vermeiden Sie Datenverstöße
Die Datenschutz-Grundverordnung verpflichtet alle Organisationen, bestimmte Arten von Datenschutzverletzungen an die Webseite des Information Commissioner’s Office (ICO) und in einigen Fällen auch an Einzelpersonen zu melden.
Sie müssen das ICO nur dann über eine Verletzung benachrichtigen, wenn diese wahrscheinlich zu einem Risiko für die Rechte und Freiheiten von Personen führt – wenn sie beispielsweise zu Diskriminierung, Rufschädigung, finanziellem Verlust, Verlust der Vertraulichkeit oder einem anderen erheblichen Nachteil führen könnte.
Seien an dieser Front wachsam! Wobei man anmerken kann, dass Punkt 10 sehr wahrscheinlich nur auf sehr große Seiten und Portale zutreffen wird.
Erhalten Sie heute noch Unterstützung
Starten Sie jetzt und steigern Sie Ihre Sichtbarkeit!
Lassen Sie sich unverbindlich zur eigenen Website
und Ihrer Onlinestrategie beraten!