Lastminute: In 10 Schritten zum sicheren Datenschutz

Die neue Verordnung: Die DSGVO steht vor der Tür. Aufgrund der fortschreitenden Digitalisierung überwindet diese Verordnung die Landesgrenzen. Das EU-Recht wirkt sich auch auf die Schweiz aus.

 

Was sollten Sie als Schweizer Unternehmen tun?

 

Es sind lediglich wenige Tage bis zum Inkrafttreten der Verordnung. Daher wäre es nicht zielführend, sich zuerst mit den vielen Sonderbestimmungen und Details auseinanderzusetzen. Minimieren Sie zuerst das grösste Risiko: Ihre eigene Website. Sie steht jedem EU-Bürger offen und kann mit wenigen Klicks auf Verstösse untersucht werden.

 

Wir empfehlen, die folgenden 10 Punkte zu beachten.

1. Überblick über die neue DSGVO verschaffen

Den ersten Schritt haben Sie mit dem Lesen dieses Beitrages eingeleitet. Auch wenn es ein komplexes trockenes Rechtsthema ist, sollten Sie trotzdem prüfen, welche Bereiche Ihres Unternehmens von der neuen Verordnung betroffen sein könnten. Stellen Sie sich dazu folgende Fragen:

 

Haben Sie eine eigene Website, welche auch ausserhalb der Schweiz erreichbar ist?

 

Verwenden Sie Cookies? Es ist sehr wahrscheinlich, dass Sie dies tun, wenn auch unbewusst. Denn bereits ein Spamschutz oder Trackingmethoden sprechen dafür.

 

Verwenden Sie einen Trackingcode, wie Google Analytics, Adwords oder Facebook Pixel auf Ihrer Website?

 

Arbeiten Sie mit Kontaktformularen oder einem Log-in-Bereich?

 

Rufen Sie Ihre Besucher mittels Kommentarfunktion oder einem Gästebuch auf, sich mitzuteilen?

 

Haben Sie Ihre sozialen Netzwerke, wie Facebook, Twitter, Instagram oder Youtube verlinkt oder eingebettet?

 

Können sich Ihre Webseitenbesucher für einen Newsletter anmelden?

 

Wissen Sie, mit welchem Tool Ihr Unternehmen Kunden- und Mitarbeiterdaten Beispielsweise für die Buchhaltung, Newsletter-Tool, Datencloud etc. sammelt? Hier empfehlen wir, eine Liste zu erstellen, um darin zu dokumentieren, welche Daten Sie mit welchem Tool und wozu sammeln. Dies hilft uns später beim «Aufräumen» und «Verträge» anpassen.

 

Wissen Sie, wer in Ihrem Unternehmen auf welche Daten Zugriff hat? Gehen diese Personen mit den Daten sorgfältig und vertraulich um? Erstellen Sie auch hierfür eine Liste, welche danach optimiert werden kann.

 

Verarbeitet Ihr Unternehmen Daten von einem anderen Unternehmen?

2. Datenschutzerklärung erstellen, anpassen & einbinden

Wenn Sie die Liste unter Punkt 1 erstellt haben, sollten Sie Ihre öffentlichen Datenschutzrichtlinien überarbeiten oder erstellen.

 

Die Platzierung der Datenschutzrichtlinien darf auf der Website nicht mehr versteckt im Footer sein, sondern muss für jeden Besucher an prominenter Stelle angezeigt werden. Entweder in der Hauptnavigation oder über ein Pop-up Fenster, welches aktiv weggeklickt werden muss.

 

Wir raten Ihnen, diese Richtlinien vom Anwalt Ihres Vertrauens prüfen zu lassen.

3. Impressum auf allen Seiten

Im Impressum müssen zwingend Angaben zum Unternehmen (Betreiber der Webseite) mit Namen und Kontaktdaten enthalten sein. Hier raten wir eine Platzierung im Footer, weil das Impressum von allen Seiten aus aufrufbar sein muss.

4. Cookie Pop-up installieren

Die meisten Webseiten verwenden Cookies. In Zukunft ist es Pflicht die Besucher aktiv darauf hinzuweisen und sie müssen die Möglichkeit haben sich davon «abzumelden».

 

Am einfachsten lässt sich dies mit einem Pop-up Fenster lösen, welches auf die «Cookie Policy» in der Datenschutzerklärung verweist. Für den Abmeldedienst reicht es, wenn Sie zu einer Seite verlinken, in der beschrieben wird, wie man auf dem eigenen Computer Cookies unterbindet.

 

Unsere Empfehlung: Ein Pop-up zu integrieren, auf welchem die Cookie-Geschichte, wie auch die Datenschutzrichtlinien eingebunden sind.

5. DSGVO-konforme Trackingcodes

Ohne Trackingcodes wären digitale Marketingmassnahmen fast unmöglich. Die Datenschutzgrundverordnung stellt nun aber einige Anforderungen an die Verwendung solcher Codes:

 

Die IP-Adressen dürfen nur noch anonymisiert getrackt werden.
Es muss die Nutzung der Trackingcodes offengelegt werden. Wozu verwenden Sie die Daten?

 

Es muss für den Besucher eine Möglichkeit geben, sich davon abzumelden.

6. Kontaktformulare und interne Bereiche (Log-in-Seiten)

Neu dürfen nur noch die Daten als Pflichtfeld erfasst werden, welche Sie auch für die Bearbeitung des Zwecks, für welchen die Daten gesammelt werden benötigen. Beispielsweise braucht es für einen Newsletter nur eine E-Mail-Adresse, für einen Anruf nur eine Telefonnummer etc.

 

Alle anderen Angaben dürfen nur noch als «freiwillige» Felder erfasst werden. Dies aber auch nur, wenn in den Datenschutzrichtlinien transparent offengelegt wird, wozu die weiteren Angaben verwendet werden.

 

Für jeden Zweck ist eine separate Einwilligung notwendig. Unter einem Kontaktformular oder auch Log-in-Formular muss ein Kästchen, welches der Besucher anklicken muss, platziert werden.

7. Kommentarfunktion und Gästebuch

Bei vielen Blogs und Newsbereichen ist es standardmässig hinterlegt, dass der Besucher um seine Meinung gebeten wird. Dies ist mittels Kommentarfunktion erstellt.

 

Neu muss in der Datenschutzrichtlinie zwingend darauf hingewiesen werden, dass bei der Nutzung dieser Funktion, Daten abgespeichert werden.

8. Geheimes Tracking über die sozialen Netzwerke

Standard-Plugins, welche die Webseite mit den sozialen Netzwerken verlinken, sammeln von den Netzwerken unrechtmässig Daten.

 

Daher ist von solchen Social Media Plugins abzuraten. Am besten werden Sie durch einfache Links auf die Netzwerke ersetzt. Können Sie aber nicht auf ein solches Plugin verzichten, ist zwingend eine Deklaration in der Datenschutzrichtlinie zu verfassen.

 

Eine vergessene Quelle für «geheimes Tracking» sind YouTube Videos, welche auf Webseiten eingebaut sind. Überprüfen Sie unbedingt diese eingebetteten Videos, es muss bei jedem iframe Snippet ein Haken bei «erweiterte Datenschutzbestimmungen» gesetzt werden.

9. Wo sammeln Sie überall Kundendaten?

Viele von Ihnen verwendeten Plattformen, Softwares und Tools sammeln Kundendaten, ohne dass wir es wissen.

 

Teils haben sich Ihr Kunden selbst dafür eingetragen, wie für einen Newsletter registriert und teils haben Sie die Daten hinterlegt, wie in einem CRM oder in der Buchhaltung.

 

Dabei prüfen Sie bitte nicht nur Ihre Kundendaten, sondern auch die Daten Ihrer Mitarbeitenden, welche ebenso geschützt werden müssen.
Aufgrund des Zeitdruckes empfehlen wir den Fokus vorerst auf die Plattformen / Tools zu setzen, welche in irgendeiner Weise mit der Webseite verknüpft sind.

 

Mit all diesen Anbietern sind sogenannte Auftragsdatenverarbeitungsvereinbarungen oder «Data Processor Agreements/Addendums» zu schliessen. Die meisten Standardtools, wie Google, Mailchimp oder Dropbox bieten solche Vereinbarungen standardmässig an. Unterzeichnen Sie die Vereinbarungen und legen Sie diese sauber ab. Damit Sie im Fall einer Prüfung, alle notwendigen Dokumente nachweisen können.

10. Info und Schulung der Mitarbeitenden, Datensicherheitspflicht

Die DSGVO steigert die Eigenverantwortung gegenüber der personenbezogenen Daten massiv. Als Unternehmer sind Sie nicht nur selbst aktiv verantwortlich für die Einhaltung der Verordnung, sondern müssen auch Ihre Mitarbeitenden und Dienstleister informieren und schulen.

 

Auch hier beraten wir mit Fokus auf die Website. Welche Mitarbeitende haben Zugriff auf sensible Kundendaten? Benötigen all diese Mitarbeitenden vollen Zugriff oder liesse sich dieser ohne weiteres einschränken?

Sind alle «Hausaufgaben» gemacht, ist ein abschliessender Check beim Anwalt empfehlenswert. Dieser kann Fragen klären und das gewählte Vorgehen, sowie verfasste Texte auf ihre Konformität mit der DSGVO und dem Schweizer DSG überprüfen.

 

Die Kosten für eine Anwaltskonsultation lassen sich jedoch massiv reduzieren, wenn man sich anhand der nachfolgenden 10 Schritte bereits einen umfassenden Überblick verschafft und nötige Anpassungen in die Wege geleitet hat.

Legal Disclaimer

 

Dieser Blogbeitrag stellt trotz sorgfältiger Recherche KEINE Rechtsberatung dar.

 

Mit diesen 10 Schritten erreichen Sie noch keine 100 % Compliance und sind auch nur teilweise auf die bevorstehende Änderung des Schweizer Datenschutzgesetzes vorbereitet. Trotz sorgfältiger Recherche stellt dies KEINE Rechtsberatung dar. Die netfang AG übernimmt keine Gewähr oder Haftung hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie allfälligen Rechtsfolgen.

 

Wir empfehlen Ihnen eine Konsultation des Anwaltes Ihres Vertauens, da unsere Ausführungen nicht auf einer juristischen Ausbildung basieren.

 

In nächster Zeit wird sich noch einiges bezüglich des Schutzes der personenbezogenen Daten in der Schweiz tun. Halten Sie die Augen und Ohren offen, damit Sie rechtzeitig Anpassungen vornehmen können.

 

DSGVO – Datenschutz ohne Ländergrenzen

 

Quellen