Laduma Werke Blog Kontakt
Achtung vor der GDPR

Wieso die GDPR bzw. EU-Datenschutz-Grundverordnung (DSGVO) ernst genommen werden muss und was es für Schweizer Firmen bedeutet

GDPR EU-Datenschutzverordnung Craft CMS Tipps

Der Facebook-Skandal als Auslöser

Man könnte sagen es fing alles mit dem Facebook (Cambridge Analytica) Skandal an - Die Privatsphäre von Millionen Nutzer ist missbraucht geworden.. und die Reaktionen waren heftig! Privatsphäre ist allen heilig, zumindest sobald sie missbraucht wird. Und als Konsequenz, mit bestem Timing, greift die EU nun endlich ein und genehmigte die 4-Jahre-lang diskuttierte Regulation des Datenschutzrechts, die Privatsphäre etwas besser schützen soll. Die GDPR bzw. EU-DSGVO soll am 25. Mai 2018 in Kraft treten. Bis dann müssen Firmen, die Daten von EU-Bürgern sammeln (auch kleine Firmen, die z.B. Email-Adressen für Newsletter sammeln) die Richtlinien kennen und nötigenfalls Änderungen vornehmen. Sonst risikieren sie eine Busse von bis zu 4% vom Umsatz!

 

Entscheidende Änderungen der GDPR/EU-DSVGO

Im Grunde genommen sollen folgende Änderungen dazu beitragen:

  1. Erweiterter Geltungsbereich: Alle Firmen sind nun betroffen, sobald diese mit Daten von EU-Bürgern umgehen oder in Kontakt geraten. Das heisst also auch Schweizer Firmen können betroffen sein! (Mehr dazu in den verlinkten Artikeln unten)
  2. Neue, härtere Strafmassnahmen: Firmen können bis zu 4% von ihrem Umsatz und max. 20 Millionen Euro gebüsst werden, falls sie gegen die Richtlinien verstossen.
  3. Neue Zustimmungsrichtlinien: Die Zeit, in der alles in den AGBs versteckt sind, sind (endlich) vorbei! Jeder (EU-)Nutzer, muss in einem einfachen Formular in verständlicher und einfacher Sprache darauf hingewiesen werden, wofür seine Daten gebraucht werden. Zudem soll es genauso einfach sein Zustimmung zu entziehen, wie es ist Zustimmung zu geben.
  4. Benachrichtung bei Datenpannen: Es wird obligatorisch, die betroffenen Nutzer einer Datenpanne innert 72h darüber zu informieren.
  5. Offene Einsicht: Betroffene müssen auf Anfrage jederzeit Einsicht in ihre Daten haben, bezüglich Verwendungszweck sowie auch Verwendungsort. Zudem muss eine Kopie bereitgestellt werden, wenn danach gefragt wird.
  6. Das Recht vergessen zu werden: Betroffene haben das Recht auf Anfrage ihre Daten löschen zu lassen. Zudem müssen zu dieser Zeit Ausbreitung und Verarbeitung der Daten durch Dritte gestoppt werden.
  7. Recht auf Datenübertragbarkeit: Betroffene haben das Recht ihre Daten anzufordern und diese zu einem anderen "Aufseher" zu portieren.
  8. Privatsphäre durch bestimmte Massnahmen: Es ist nun rechtlich reguliert die Privatsphäre und damit die Daten der Betroffenen zu schützen. Der "Aufseher" soll effektiv angebrachte, technische und organisatorische Massnahmen vorsehen.
  9. Data Protection Officers: Für grössere Datensammler (wo die Datensammlung und Verarbeitung ein Kernbereich ist) ist es nicht mehr obligatorisch ihre Aktivitäten zu melden, sondern es gelten neu interne Dokumentations-Regulation, also ähnlich wie bei der Buchhaltung. Dazu muss dann ein sogenannter "Data protection officer" angestellt werden.

The EU General Data Protection Regulation (GDPR) is the most important change in data privacy regulation in 20 years

EUGDPR.org
Zustimmung bei GDPR ist das wichtigste

Was die GDPR/DSGVO fürs World Wild Web bei Laduma heisst

Wir setzen für unsere Webseiten das starke Inhaltsmanagementsystem Craft CMS ein und lieben es! Die Leute von Pixel & Tonic, die Craft CMS betreiben, haben sofort reagiert und einen "Data Protection Officer" angestellt. Zudem sind "Cookies" und Benutzerprofile auf Craft CMS bereits GDPR-ready. Dies reicht aber nicht - und nur weil ein CMS "GDPR-Ready" ist, heisst das noch lange nicht, dass die gesamte Webseite GDPR-ready ist. Dazu muss die zuständige Agentur (z.B. Laduma) zusammen mit dem Kunden garantierien, damit die Mindest-Massnahmen eingehalten sind:

  • Das Hostingumfeld muss analysiert werden. Ist die Agentur in der Lage an allen Orten, wo Daten aufbewahrt werden, die oben genannten Massnahmen vorzunehmen (z.B. Export, Löschung etc.)? Dies ist nicht selbstverständlich, denn Backups oder verschlüsselte Daten könnten dies erschweren. Da Laduma das Hosting in-house (in Zusammenarbeit mit Amazon) umsetzt und somit volle Kontrolle darüber hat, können wir dies vollumfänglich garantieren.
  • Die AGB's bzw. die interne Datenschutzbestimmungen müssen überarbeitet werden, damit sie in einfacher Sprache herkommen.
  • Es muss erwägt werden einen "Data Protection Officer." anzustellen (meist nicht nötig für "normale" Projekte und kleinere Firmen, welche hauptsächlich mit Schweizer Kunden arbeiten.).

 

Das Wichtigste: Die Zustimmung der Nutzer

Am allerwichtigsten ist aber die Zustimmung, zB. beim Erfassen der Email-Daten für Newsletter:

  • Die Zustimmung und deren Geltungsbereich muss bei der Datenaufnahme einfach und klar ersichtlich sein. Der klassische Satz "Durch den Besuch dieser Seite stimmen Sie zu..." ist also nicht erlaubt! Diese Erklärung sollte direkt in der Nähe des Formulars sein.
  • Die Checkbox darf im Formular nicht bereits angewählt sein. (Andere Tricks sind auch nicht erlaubt)
  • Die Art (z.B. Online Formular), der Ort (z.B. Domain), die IP-Adresse und Datum plus Zeit der Zustimmung sollten erfasst werden (als Beweismittel)
  • Unter 16-Jährige brauchen elterliche Zustimmung

 

Newsletter - Mailchimp

Wenn es zu Newsletter- bzw. Emailkampagnen kommt, dann ist unsere Wahl praktisch immer Mailchimp. Das Tool ist sehr einfach zu Bedienen, hat ein Riesenangebot an Funktionen und bietet auch eine Prise Humor.. Mailchimp bewies sich klar als unsere Wahl in dem sie superschnell waren mit Ihrer Reaktion: Newsletter-Anmeldungs-Formulare sind ab sofort GDPR-ready und sie haben einige Artikel mit Tipps & Tricks. Verwenden Sie einfach die sogenannten "GDPR fields" beim "signup" Formular.

Falls ihr bereits eine Liste mit Emails habt, dann bietet Mailchimp auch Optionen. Segmentiert zuerst die Liste nach "Zustimmung erhalten" und "keine Zustimmung erhalten". Anschliessend, sobald die "GDPR fields" im "signup" Formular aktiviert wurden, könnt ihr diesen Link kopieren und in einer Zustimmungs-Kampagne verlinken. Mailchimp weiss, wer bereits in der Liste ist - Das heisst diese Personen müssen lediglich die Checkbox aktivieren und haben somit ihre Zustimmung dann abgeben, ohne sich mühsam neu anmelden zu müssen.

 

Weitere Tipps

Weiterhin sollte sichergestellt werden, dass nirgends im öffentlichen Bereich der Webseite private Daten ausgegeben werden. Oftmals passieren auch unabsichtliche Fehler beim "Passwort vergessen" Formular: Ein böswilliger Nutzer gibt irgendeine Emailadresse an, drückt "Passwort vergessen" und wenn eine Fehlernachricht in der Art von "Email erfolgreich an die Adresse [xyz] gesendet" erscheint, dann ist dies auch schon eine Verletzung des Datenschutzes, denn es beweist, dass diese Email in der Datenbank erfasst ist.

Passt also auf mit euren Newsletter-Anmeldungen ! ;) Und lasst uns wissen, wenn ihr Tipps habt, womit wir den Blogpost ergänzen könnten!

 

In diesem Infoniqa-Artikel  und in diesem Watson-Artikel könnt ihr mehr über das Thema lesen!

 

Von der DSGVO sind nicht nur Firmen betroffen, sondern auch Selbstständige und private Webseiten-Betreiber. Und zwar immer dann, wenn sich Besucher registrieren müssen, um kostenlose Angebote zu beziehen

Watson
Data-Server

Galerie zu diesem Blogpost: