DSGVO – EU-Datenschutz-Grundverordnung

EU-DSGVO: Zusammenfassung wesentlicher Inhalte

Dieses Dokument bildet eine Zusammenfassung von Neuerungen im Zusammenhang mit der DSGVO und die dafür wichtigsten Inhalte für die seoCon- Online Marketing Agentur. Die Informationen sind dabei gewissenhaft recherchiert. Für etwaige Fehlinformationen oder Fehlinterpretationen Dritter wird keine Haftung übernommen.

1. Allgemeine Informationen

Neue Rechte für Einzelpersonen:

• Detailinformationen über die Verarbeitung ihrer Daten von Organisationen oder Unternehmen anfordern;
• Kopien aller personenbezogenen Daten anfordern, die eine Organisation über sie gespeichert hat;
• Die Berichtigung falscher oder unvollständiger Daten beantragen;
• Die Löschung ihrer Daten von einer Organisation beantragen, wenn beispielsweise kein berechtigter Grund für die Aufbewahrung der Daten vorliegt;
• Ihre Daten von einer Organisation anfordern und die Übertragung der Daten an eine andere Organisation beantragen (Datenübertragbarkeit);
• Die Verarbeitung ihrer Daten seitens einer Organisation unter bestimmten Umstä̈nden ablehnen
• nicht mehr einer automatisierten Entscheidungsfindung einschließlich Profiling unterliegen.

Zu der Speicherung von Daten:

„In einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“)“

Einwilligung:

Das Unternehmen muss jederzeit genau belegen können, dass die betroffene Person zur Verarbeitung der Daten eingewilligt hat.

Sanktionen:

Wie wichtig der professionelle und sorgfältige Umgang mit der neuen DSGVO für Unternehmen ist zeigen die Strafen:

• Strafen in Höhe bis zu 20 Millionen Euro bzw. 4% des Jahresumsatzes

2. Inhalte

Möglicher Einstieg bei der Datenschutzerklärung

in ein paar Sätzen beschreiben, dass die DSGVO vom entsprechenden Unternehmen eingehalten wird

• Hier eventuell einfügen, dass man sich bemüht mit den personenbezogenen Daten im Internet rechtmäßig und sicher umzugehen, aber dass absoluter Schutz nie gegeben sein kann und deswegen auch eine telefonische Übermittlung der Daten selbstverständlich möglich ist.

Ein Vorschlag hierbei ist folgender, von der WKO angegebener Text:

• Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten daher ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, TKG 2003). In diesen Datenschutzinformationen informieren wir Sie über die wichtigsten Aspekte der Datenverarbeitung im Rahmen unserer Website.
  
  Kontakt mit uns:
  Wenn Sie per Formular auf der Website oder per E-Mail-Kontakt mit uns aufnehmen, werden Ihre angegebenen Daten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen sechs Monate bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Begriffsbestimmungen

Sowohl in der DSGVO komplett als auch in vielen Beispielen gegeben – Nutzer wird das Lesen erleichtert bzw. es treten keine Unklarheiten in Bezug auf die richtige Nennung/Verarbeitung auf.

Wichtige Punkte dabei:

• Personenbezogene Daten
• Betroffene Person
• Verarbeitung
• Profiling (aus Daten hervorgehoben um persönliches „Profil“ zu erstellen)
• Pseudonymisierung („Anonymisierung“ der Daten von Personen)
• Der Verantwortliche der Verarbeitung

Name und Anschrift des für die Verarbeitung Verantwortlichen

Die wichtigsten Informationen zum Unternehmen (vollständiger Name, Adresse, GF, UID-Nummer,..) sollten hier angegeben werden.

Cookies

Werden auf der Seite Cookies verwendet, sollte dies ausführlich beschrieben werden und erklärt werden, warum auf der Seite Cookies eingesetzt werden

• Wichtig bei den Cookies ist, dass nicht nur eine Information im Impressum gegeben wird, sondern auch die Möglichkeit, Cookies deaktivieren zu können. Der Nutzer muss auf der Website informiert werden und eine Möglichkeit haben, die Information zu bestätigen und auch mehr Informationen zu erhalten.
• Die zentralen Aspekte der Verwendung von Cookies, die in der Datenschutzerklärung genau erläutert werden sollen sind dabei:
  • Art
  • Verwendung und
  • Speicherung der Cookies
• Für WordPress Seiten wird hierbei das Plugin Cookie Consent empfohlen, mit welcher eine Benachrichtigung auf der Seite eingebaut werden kann.
  • Hierbei ist es ratsam, den Link zu den Datenschutzbestimmungen einzubauen.

Erfassung von allgemeinen Daten

• Hier sollte angegeben werden, was genau beim Besuch eines Nutzers auf einer bestimmten Seite erfasst wird: zB.: Browsertyp, usw.: siehe Beispiel:
• https://www.dsgvo-service.at/Datenschutzerklaerung.aspx (Punkt 4)
• die Formulierung der Bestimmung ist hierbei ebenfalls frei wählbar

Newsletter

• Auch hier eine umfassende Beschreibung der Vorgehensweise mit den ermittelten Daten
• Auch hier muss wie bei Google Analytics ein Abkommen geschlossen werden (zumindest beim beliebten Service Mailchimp)
• Der zum „Data Processing Addendum“ gibt es hier: https://mailchimp.com/legal/forms/data-processing-agreement/
• Noch vor der Anmeldung muss der User über folgende Punkte informiert werden
  • Ausdrückliche Einwilligung
  • Informativ – über was informiert der Newsletter
  • Möglichkeit des Wiederrufs (freiwillig)
  • Protokollierung und Double-Opt-In
• Ein Beispieltext hierfür wäre:
  • „Der Newsletter informiert über aktuelle Angebote und unsere Firma. Nähere Informationen zu Inhalten, Ihrer Anmeldung und Daten, dem Versand und der Auswertung sowie Abbestellmöglichkeiten erhalten Sie in der Datenschutzerklärung.“ + Link zur Datenschutzerklärung
• Double Opt in:
  • In Mailchimp selbst muss die Funktion „enable double opt-in“ aktiviert werden (seit 31.10.17 nicht mehr automatisch eingestellt)
  • Zudem muss die Bestätigungs-Email angepasst werden, in welcher ein Hinweis auf die Datenerhebung, Sammlung und Verwendung, sowie ein Link zur Datenschutzbestimmung gegeben sein muss.

Kontaktformulare

Wenn die Daten eines Kontaktformulars in irgendeiner Form gespeichert werden, dann muss der Nutzer sein Einverständnis abgeben.

• Hierfür eignet sich eine eigene Checkbox, die der Nutzer anhaken muss
• Die Checkbox darf NICHT schon vorher angekreuzt sein
• Eine Möglichkeit für die Checkbox:
  • „Ich bin mit der Erhebung/Speicherung meiner eingegebenen Daten und IP zur Kontaktaufnahme einverstanden.“

Share Buttons

Ohne Zustimmung des Besuchers dürfen keine Daten an Social Media-Kanäle übertragen werden. Dies wird schnell zum Problem, da die meisten Einbettungen von Social Media Buttons bereits beim Besuchen der Webseite eine Verbindung zu den sozialen Netzwerken herstellen. Facebook, Google+ & Co können so unbemerkt Daten der Webseitenuser erheben und deren Verhalten tracken.

Durch diese derzeit noch aktuelle Vorgehensweise erübrigt sich jedoch im Moment die Nutzung der meisten WordPress Sharing-Plugins mit der DSGVO. Es gibt aktuell jedoch 3 Möglichkeiten, dieses Problem zu umgehen:

• Totaler Verzicht der Social Sharing Plugins
• 2-Klick-Lösung: Durch zwischenschalten eines Plugins, bei dem erst durch erneutes Klicken die Zustimmung der Sammlung von Nutzerdaten erfolgt
• Mit dem Plugin Shariff lassen sich Datenschutzkonforme Teilen-Buttons erstellen. Es ist leicht zu bedienen und sehr flexibel – aktuell sicher die beste Lösung, wenn man nicht auf die Social Sharing Funktionalität verzichten möchte

User Registrierung

Wenn es auf der Seite eine User-Registrierung und Anmeldung gibt, dürfen nur für diesen Zweck notwendige Daten gespeichert werden. Es muss dabei immer das Einverständnis des Nutzers und der entsprechende Hinweis in der Datenschutzerklärung gegeben sein.

3. Web Analyse Tools

Google Analytics

Es müssen verschiedene Punkte eingehalten werden:

• Hinreichende Information über die Verwendung von Google Analytics
  • Eine ausführliche Beschreibung ist dabei unter https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html unter dem Punkt „Webanalyse zu finden“
• Vertrag mit Google:
  • mit Google muss ein Vertrag abgeschlossen werden, in dem die Auftragsdatenverarbeitung genauer erläutert wird
  • der Vertrag ist entweder über https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf auszudrucken, auszufüllen und an Google zurückzusenden
  • oder man schließt einen Online Vertrag mit Google ab, der in Google Analytics unter „Zusatz zur Datenverarbeitung“ und „Zusatz anzeigen“ zu finden ist:
    • Google Analytics -> Kontoeinstellungen -> Zusatz zur Datenverarbeitung anzeigen und zustimmen.

• Opt-Out Option:
  • Jeder Nutzer muss die Möglichkeit haben, Google Anayltics auf der Seite zu deaktivieren
  • Eine Möglichkeit hierbei ist folgendes Plugin (bei WordPress Seiten): https://wordpress.org/plugins/google-analytics-opt-out/
• Google Analytics IP-Anonymisierung:
  • Die letzten Stellen der IP Adresse werden gekürzt
  • Eine Möglichkeit: WordPress Seiten können ein Plugin verwenden, welche die IP Adresse anonymisiert: https://de.wordpress.org/plugins/google-analytics-dashboard-for-wp/
  • Eine weitere Möglichkeit hierbei ist das Hinzufügen der Option _anonymizelp

Weitere Informationen

• Daten können ab sofort für einen bestimmten Zeitraum gespeichert und danach gelöscht werden
• Dadurch wird den Nutzern noch zusätzlich versichert, dass deren Daten nicht weiterverwendet werden
• man kann individuell bestimmen, wie lange die Daten gespeichert werden sollen
• Pfad für die Einstellung in Analytics: Verwaltung – Property – Tracking Informationen – Datenaufbewahrung

In Kürze wird es auch möglich sein, Daten einfach und sicher manuell löschen zu können – Informationen dazu werden in Kürze auf der Developers Seite bekanntgegeben: https://developers.google.com/analytics/#apis-for-reporting-and-configuration

Für Google Analytics Nutzer gibt es in Zukunft die Möglichkeit, Unterstützung von Google in Anspruch zu nehmen. Informationen zu den verschiedenen Bereichen:

• Datenfreigabeeinstellungen: https://support.google.com/analytics/answer/1011397
• Datenschutz: https://support.google.com/analytics/answer/6004245
• Löschung von Analytics Konten: https://support.google.com/analytics/answer/1009696
• IP-Anaonymisierung: https://support.google.com/analytics/answer/2763052

Wichtig (bereits bei den Analytics Einstellungen angeführt): den Kontrakt mit Google in Google Analytics bestätigen:

Google Adwords

Auch bei Adwords muss informiert werden, wie Adwords Conversion Tracking funktioniert und wie der Nutzer diese deaktivieren kann.

Ein gutes Beispiel hierfür ist unter https://www.dsgvo-service.at/Datenschutzerklaerung.aspx zu finden.

Google Adwords Remarketing

Wird das Google Remarketing verwendet, so sollte hier neben einer umfangreichen Beschreibung der Funktionsweise auch die Möglichkeit für den Nutzer gegeben sein, das Remarketing deaktivieren zu können.

Folgende Punkte müssen dabei gegeben sein:

• Informationen darüber, wie Drittanbieter, einschließlich Google, Ihre Anzeigen auf Websites im Internet schalten
• Informationen darüber, wie Drittanbieter, einschließlich Google, mithilfe von Cookies Anzeigen basierend auf den vorhergegangenen Besuchen einer Person auf Ihrer Website schalten.
• Informationen darüber, wie Ihre Besucher die Verwendung von Cookies durch Google deaktivieren können, indem sie die Anzeigenvorgaben Alternativ können Ihre Besucher die Verwendung von Cookies durch Drittanbieter deaktivieren, indem sie die Deaktivierungsseite der Netzwerkwerbeinitiative aufrufen.

Google Tag Manager

Auch bei der Verwendung des Google Tag Managers sollte ein kurzer Satz der Verwendung gegeben werden.

Zudem ist, wie bei Google Analytics, die Zustimmung bzw. Datenschutzerklärung im Verwaltungsbereich des Tag Managers zu bestätigen. (Pfad: Verwaltung – Kontoeinstellungen – Zusatz zur Datenschutzerklärung)

Facebook

Wie bei den anderen Punkten muss auch hier eine umfangreiche Beschreibung gegeben werden (eine detaillierte Vorlagenbeschreibung ist hierbei unter Punkt 12 zu finden: https://www.dsgvo-service.at/Datenschutzerklaerung.aspx

Weitere verwendete Dienste

Werden auch beispielsweise Dienste wie Xing, Twitter oder Ähnliches verwendet, sollte auch jeweils eine eigene Information gegeben sein.

Weitere Informationen

• Personen können nun in Zukunft jederzeit Auskunft über Ihre Daten verlangen, weshalb eine gewissenhafte und strukturierte Speicherung der Daten gewährleistet sein muss
• Datenschutzbestimmungen und Verträge mit Drittanbietern (z.B.: Google Analytics) müssen zwingend eingehalten werden
• Datenschutzverletzungen müssen sofort an die Datenschutzbehörde gemeldet werden

Wie umfangreich die Nutzer einer Website auf Ihre Rechte hingewiesen werden müssen ist nicht genau definiert. Dennoch ist eine Beschreibung der Rechte und Pflichten der Nutzer von Vorteil. Ein gutes Beispiel liefert hier:

https://www.dsgvo-service.at/Datenschutzerklaerung.aspx

Quellen:

http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE

https://www.webpunks.co/dsgvo-und-webseiten/

https://www.haendlerbund.de/de/datenschutzerklaerung

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html

https://offers.hubspot.de/dsgvo-kit

https://www.dsgvo-service.at/Datenschutzerklaerung.aspx