Die neue Europäische Datenschutz-Grundverordnung (DSGVO; engl. GDPR für General Data Protection Regulation) tritt in gut einer Woche in Kraft. Wie Sie ja sicher wissen, sind umfangreiche Massnahmen notwendig und bei Nichteinhaltung drohen empfindliche Bussen. Ein Unternehmen und dessen Online-Kanäle GDPR-konform zu machen, ist eine grosse Herausforderung und schnell geht dabei etwas vergessen. Aber keine Sorge: Noch ist Zeit, Ihren Webauftritt und -anwendungen hinsichtlich der GDPR-Readiness zu überprüfen und zu optimieren.
In diesem Blogartikel erklären wir Ihnen fünf wichtige Massnahmen, um Ihre Webseite GDPR-ready zu machen.
1. GDPR-Quick Win ‒ Cookie-Banner einfügen zur Information des Nutzers
Die GDPR schreibt vor, dass der Nutzer über das Abspeichern persönlicher Informationen informiert werden muss. Dazu gehören auch IP-Adressen und Online-Identifiers, wie sie beispielsweise in Cookies gespeichert werden. Der Nutzer muss ausdrücklich darüber informiert werden, was zu den bereits bewährten Cookie-Bannern führt. Sie sollten daher zwingend einen solchen Cookie-Banner auf Ihrer Webseite integrieren. Wenn Sie Marketing Cookies (Display-Ad-Networks, Remarketing, Marketing Automation etc.) auf der Webseite verwenden, dürfen diese erst nach Einwilligung des Nutzers gesetzt werden. Wichtig ist zudem, dass gemäss GDPR das Entziehen der Einwilligung genauso einfach erfolgen muss wie das Erteilen.
2. GDPR-Quick Win ‒ Formulare anpassen und explizite Einwilligung einholen
Überprüfen Sie Ihre Formulare mit der Datenschutz-Brille. Stellen Sie sich vor, dass jedes Feld mit persönlichen Informationen die gleiche Sorgfalt verdient wie beispielsweise Ihre Kreditkartennummer. Verfolgen Sie einen minimalistischen Ansatz und sammeln Sie nur notwendige Daten – die GDPR-Konformität wird es Ihnen danken. Formulare, die personenbezogene Daten enthalten, dürfen dabei nur verschlüsselt übermittelt werden. Wenn Ihre Webseite also noch nicht über https erreichbar ist, dann wird es allerhöchste Zeit.
Verwenden Sie zudem keine vorausgefüllten Checkboxen, beispielsweise für die Newsletter-Anmeldung, da dazu eine explizite Einwilligung notwendig ist. Verlinken Sie bei allen Formularen am Schluss direkt auf die Datenschutzrichtlinien. Der Nutzer muss sich vor dem Absenden informieren können, wozu seine Daten verwendet werden und was seine Rechte sind.
3. GDPR-Quick Win ‒ IP-Adressen anonymisieren
Aktivieren Sie die Funktion zur Anonymisierung der gesammelten IP-Adressen in Ihren Analyse-Tools. Beispielsweise können Sie in Google Analytics die IP-Adresse eines Besuchers zwar nicht sehen, dennoch wird sie beim Tracking auf den Google-Servern gespeichert. Da vollständige IP-Adressen zur Identifizierung von Personen verwendet werden können, sollten Sie diese verkürzen, indem Sie die IP-Anonymisierung aktivieren.
4. GDPR-Quick Win ‒ Datenschutzerklärung aktualisieren
Gemäss den Vorgaben der DSGVO hat der Data-Controller (also Sie als Betreiber der Webseite) umfassend, klar und in einer für den Nutzer verständlichen Sprache über die Speicherung und Verwendung von gesammelten personenbezogenen Daten zu informieren. Beispielsweise:
- Welche Informationen werden gesammelt?
- Wer sammelt die Daten?
- Wie werden die Daten gesammelt?
- Warum werden die Daten gesammelt?
- Wofür werden die Daten verwendet / verarbeitet?
- Mit welchen anderen Drittpartnern und zu welchem Zweck werden die Daten geteilt?
- Wie kann ein Nutzer Kontakt aufnehmen, um:
- Daten einzusehen und ggf. zu korrigieren?
- Daten zu löschen oder seine Einwilligung zur Verarbeitung zu entziehen?
5. GDPR-Quick Win ‒ Inhalt von Drittpartnern überprüfen und ggf. entfernen
Jeglicher Inhalt, der beim Aufbau der Webseite im Browser extern geladen wird, teilt der Quelle die IP-Adresse des Besuchers mit. Beispiele hierfür sind Social-Plugins oder externe Bild- und PDF-Quellen. Als Eigentümer der Webseite obliegt es Ihrer Verantwortung, mit welchen Drittpartnern Ihre Webseite personenbezogene Daten austauscht. Daher empfehlen wir, externe Inhalte zu überprüfen und sie bei Unsicherheiten zu entfernen oder anderweitig einzubinden.
GDPR Web Audit – setzen Sie auf eine unabhängige Überprüfung
Selbst wenn Sie die fünf oben aufgeführten Massnahmen umgesetzt haben bedeutet das (leider) nicht, dass Sie allen GDPR-Anforderungen gerecht werden. Wir empfehlen Ihnen daher unbedingt, Ihre Online-Kanäle durch einen unabhängigen GDPR Web Audit prüfen zu lassen. Kontaktieren Sie uns und fordern Sie ein individuelles Angebot für einen GDPR Web Audit an. Denn Vorsorge ist besser als Nachsorge – besonders bei diesem heiklen Thema!
Weitere Informationen über die neue Datenschutz-Grundverordnung finden Sie in unseren Data Governance Blog Posts und in unserem kostenlosen Whitepaper.
