Den ersten Schritt haben Sie mit dem Lesen dieses Beitrages eingeleitet. Auch wenn ein komplexes und eher trockenes Rechtsthema ist, sollten Sie trotzdem prüfen welche Bereiche Ihres Unternehmens von der neuen Verordnung betroffen sein könnten. Stellen Sie sich dazu folgende Fragen:

• Haben Sie eine eigene Website, welche auch ausserhalb der Schweiz erreichbar ist? 
• Verwenden Sie Cookies? Es ist sehr wahrscheinlich, dass Sie dies tun, wenn auch unbewusst. Denn bereits ein Spam-Schutz oder Trackingmethoden sprechen dafür. 
• Verwernden Sie einen Trackingcode auf Ihrere Website wie Google Analytics, Adwords oder Facebook Pixel? 
• Arbeiten Sie mit Kontaktformularen oder einem Login-Bereich? 
• Rufen Sie deine Besucher mitel Kommentarfunktion oder einem Gästebuch auf, sich mitzuteilen? 
• Haben Sie Ihre Sozialen Netzwerke wie Facebook, Twitter, Instragram oder Youtube verlinkt oder eingebettet? 
• Können sich Ihre Websitebesucher für einen Newsletter anmelden? 
• Wissen Sie mit welchem Tool Ihr Unternehmen Kunden- und Mitarbeiterdaten Beispiels für die Buchhaltung, Newsletter-Tool, Datencloud etc. sammelt? Hier empfehlen wir eine kurze Liste anzulegen, welche Daten Sie in welchem Tool und wozu sammeln. Dies hilft uns später beim «Aufräumen» und «Verträge» anpassen.  
• Wissen Sie, wer in Ihrem Unternehmen auf welche Daten Zugriff hat? Gehen diese Personen mit den Daten sorgfältig und vertraulich um? Erstellen Sie auch hierfür eine Liste, welche danach Optimiert werden kann. 
• Verarbeitet Ihr Unternehmen Daten von einem anderen Unternehmen?

Sie haben die Liste unter Punkt 1 erstellt. Wir empfehlen Ihnen darauf Ihre Datenschutzrichtlinien zu erstellen oder überarbeiten.  

Auch die Platzierung der Datenschutzrichtlinie darf nicht mehr versteckt im Footer sein, sondern muss für jeden Besucher an prominenter Stelle angezeigt werden. Entweder in der Hauptnavigation oder auch über ein Pop-up Fenster, welches aktiv weggeklickt werden muss. 
Wir empfehlen Ihnen diese Richtlinien vom Anwalt Ihres Vertrauens prüfen zu lassen. 

Im Impressum müssen zwingend Angaben zum Unternehmen (Betreiber der Webseite) mit Namen und Kontaktdaten enthalten sein. Wir empfehlen die Platzierung im Footer, weil das Impressum von allen Seiten aus aufrufbar sein muss. 

Fast alle Webseiten verwenden Cookies. In Zukunft ist es Pflicht die Besucher aktiv darauf hinzuweisen und sie müssen die Möglichkeit haben sich davon «abzumelden». Am einfachsten lässt sich dies mit einem Pop-Up lösen, welcher auf die «Cookie Policy» in der Datenschutzerklärung verweist. Für den Abmelde-Dienst reicht es, wenn Sie zu einer Seite verlinken, in der beschrieben wird, wie man auf dem eigenen Computer Cookies unterbindet. 
Wir empfehlen: Ein einziges Pop-up einzubinden, auf welchem die Cookie-Geschichte wie auch die Datenschutzrichtlinien eingebunden sind. 

Ohne Trackingcodes wären digitale Marketing-Massnhamen fast unmöglich. Die Datenschutzgrundverordnung stellt nun aber einige Anforderungen an die Verwendung solcher Codes: 

• Die IP Adressen dürfen nur noch anonymisiert getrackt werden. 
• Es muss die Nutzung der Tracking-Codes offengelegt werden. Wozu verwenden Sie die Daten? 
• Es muss für den Besucher eine Möglichkeit geben, sich davon abzumelden.

Neu dürfen nur noch die Daten als Pflichtfeld erfasst werden, welche Sie auch für die Bearbeitung des Zwecks, für welchen die Daten gesammelt werden auch benötigen. Beispielsweise braucht es für einen Newsletter nur eine Emailadresse, für einen Anruf nur eine Telefonnummer etc. 
Alle anderen Angaben dürfen nur noch als «freiwillige» Felder erfasst werden. Hier aber auch nur, wenn in den Datenschutzrichtlinien transparent offengelegt wird wozu die weiteren Angaben verwendet werden. 
Für jeden Zweck ist eine separate Einwilligung notwendig. Unter einem Kontaktformular oder auch Login-Formular muss ein Kästchen, welches der Besucher anklicken muss, platziert werden. 

Bei vielen Blogs und Newsbereichen ist es standartmässig hinterlegt, dass wir den Besucher um seine Meinung bitten. Dies ist mittels eine Kommentarfunktion gelöst. Neu muss in der Datenschutzrichtlinie zwingen darauf hingewiesen werden, dass bei der Nurzung dieser Funktion Daten abgespeichert werden. 

Über Standart-Plugins, mit welchen auf Webseiten verlinkungen auf die sozialen Netzwerke gemacht werden, werden von den Netzwerken unrechtmässig Daten gesammelt. Daher sind all diese Social Media Plugins kaum meh empfehlenswert. Am besten werden Sie durch einfache Links auf die Netzwerke ersetzt. Können Sie aber nicht auf ein solches Plugin verzichten, ist es zwingend eine Deklaration in der Datenschutzrichtlinie zu verfassen. 

Eine vergessene Quelle für «geheimes Tracking» sind YouTube Videos, welche Sie auf Ihrer Seite eingebaut haben. Überprüfen Sie unbedingt all diese eingebetteten Videos, es müsst bei jedem iframge snippet ein Haken bei «erweiterte Datenschutzbestimmungen» gesetzt werden. 

Viele von Ihnen verwendeten Plattformen, Softwares und Tools sammeln Kunden daten, was uns im Alltag nicht bewusst ist. Teils haben sich Ihr Kunden selbst dafür eingetragen wir für einen Newsletter registriert und teils haben Sie die Daten dort selbst hinterlegt wie in einem CRM oder in der Buchhaltung. 

Dabei prüfen Sie bitte nicht nur Ihre Kunden sondern auch die Daten Ihrer Mitarbeitenden werden geschützt.
Aufgrund des Zeitdruckes empfehlen wir den Fokuss vorerst auf die Plattformen/Tools zu setzen, welche in irgendeiner Weise mit der Webseite verknüpft sind. 

Mit all diesen Anbietern sind sogenannte Auftragsdatenverarbeitungsvereinbarungen oder «Data Processor Agreements/Addendums» zu schliessen. Die meisten Standarttools wie Google, Mailchimp oder Dropbox bitente solche Vereinbarungen standartmässig an. Unterzeichnen Sie die Vereinbarungen und legen sie sauber ab. Damit Sie im Fall einer Prüfung, alle notwendigen Dokumente nachweisen können. 

Die DSGVO steigert die Eigenverantwortung gegenüber der personenbezogenen Daten massiv an. Als Unternehmer sind Sie nichz nur selbst aktiv  verantwortlich für die Einhaltung der Verordnung, sondern müssen auch Ihre Mitarbeitenden und Dienstleister informieren und schulen.  
Auch hier legen wir den Fokus auf die Website. Welche Mitarbeitende haben Zugriff auf sensible Kundendaten? Benötigen all diese Mitarbeitenden vollen Zugriff oder liesse sich dieser ohne weiteres einschränken?