EU-DSGVO: Zusammenfassung wesentlicher Inhalte
Dieses Dokument bildet eine Zusammenfassung von Neuerungen im Zusammenhang mit der DSGVO und die dafür wichtigsten Inhalte für die seoCon- Online Marketing Agentur. Die Informationen sind dabei gewissenhaft recherchiert. Für etwaige Fehlinformationen oder Fehlinterpretationen Dritter wird keine Haftung übernommen.
1. Allgemeine Informationen
Neue Rechte für Einzelpersonen:
- Detailinformationen über die Verarbeitung ihrer Daten von Organisationen oder Unternehmen anfordern;
- Kopien aller personenbezogenen Daten anfordern, die eine Organisation über sie gespeichert hat;
- Die Berichtigung falscher oder unvollständiger Daten beantragen;
- Die Löschung ihrer Daten von einer Organisation beantragen, wenn beispielsweise kein berechtigter Grund für die Aufbewahrung der Daten vorliegt;
- Ihre Daten von einer Organisation anfordern und die Übertragung der Daten an eine andere Organisation beantragen (Datenübertragbarkeit);
- Die Verarbeitung ihrer Daten seitens einer Organisation unter bestimmten Umständen ablehnen
- nicht mehr einer automatisierten Entscheidungsfindung einschließlich Profiling unterliegen.
Zu der Speicherung von Daten:
„In einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“)“
Einwilligung:
Das Unternehmen muss jederzeit genau belegen können, dass die betroffene Person zur Verarbeitung der Daten eingewilligt hat.
Sanktionen:
Wie wichtig der professionelle und sorgfältige Umgang mit der neuen DSGVO für Unternehmen ist zeigen die Strafen:
- Strafen in Höhe bis zu 20 Millionen Euro bzw. 4% des Jahresumsatzes
2. Inhalte
Möglicher Einstieg bei der Datenschutzerklärung
In ein paar Sätzen beschreiben, dass die DSGVO vom entsprechenden Unternehmen eingehalten wird.
- Hier eventuell einfügen, dass man sich bemüht mit den personenbezogenen Daten im Internet rechtmäßig und sicher umzugehen, aber dass absoluter Schutz nie gegeben sein kann und deswegen auch eine telefonische Übermittlung der Daten selbstverständlich möglich ist.
Ein Vorschlag hierbei ist folgender, von der WKO angegebener Text:
«Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten daher ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, TKG 2003). In diesen Datenschutzinformationen informieren wir Sie über die wichtigsten Aspekte der Datenverarbeitung im Rahmen unserer Website.
Kontakt mit uns:
Wenn Sie per Formular auf der Website oder per E-Mail-Kontakt mit uns aufnehmen, werden Ihre angegebenen Daten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen sechs Monate bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.»
Begriffsbestimmungen
Sowohl in der DSGVO komplett als auch in vielen Beispielen gegeben – Nutzer wird das Lesen erleichtert bzw. es treten keine Unklarheiten in Bezug auf die richtige Nennung/Verarbeitung auf.
Wichtige Punkte dabei:
- Personenbezogene Daten
- Betroffene Person
- Verarbeitung
- Profiling (aus Daten hervorgehoben, um persönliches "Profil" zu erstellen)
- Pseudonymisierung ("Anonymisierung" der Daten von Personen)
- Der Verantwortliche der Verarbeitung
Name und Anschrift des für die Verarbeitung Verantwortlichen
Die wichtigsten Informationen zum Unternehmen (vollständiger Name, Adresse, GF, UID-Nummer,..) sollten hier angegeben werden.
Cookies
Werden auf der Seite Cookies verwendet, sollte dies ausführlich beschrieben werden und erklärt werden, warum auf der Seite Cookies eingesetzt werden.
Wichtig bei den Cookies ist, dass nicht nur eine Information im Impressum gegeben wird, sondern auch die Möglichkeit, Cookies deaktivieren zu können. Der Nutzer muss auf der Website informiert werden und eine Möglichkeit haben, die Information zu bestätigen und auch mehr Informationen zu erhalten.
Die zentralen Aspekte der Verwendung von Cookies, die in der Datenschutzerklärung genau erläutert werden sollen sind dabei:
- Art
- Verwendung und
- Speicherung der Cookies
Für WordPress Seiten wird hierbei das Plugin Cookie Consent empfohlen, mit welcher eine Benachrichtigung auf der Seite eingebaut werden kann.
Hierbei ist es ratsam, den Link zu den Datenschutzbestimmungen einzubauen.
Erfassung von allgemeinen Daten
Hier sollte angegeben werden, was genau beim Besuch eines Nutzers auf einer bestimmten Seite erfasst wird.
- Beispiel: Browsertyp, usw.
- siehe Beispiel: https://www.dsgvo-service.at/Datenschutzerklaerung.aspx (Punkt 4)
- Die Formulierung der Bestimmung ist hierbei ebenfalls frei wählbar.
Newsletter
Auch hier ist eine umfassende Beschreibung der Vorgehensweise mit den ermittelten Daten wichtig. Außerdem muss hier wie bei Google Analytics ein Abkommen geschlossen werden (zumindest beim beliebten Service Mailchimp).
Der zum „Data Processing Addendum“ gibt es hier: https://mailchimp.com/legal/forms/data-processing-agreement/.
Noch vor der Anmeldung muss der User über folgende Punkte informiert werden:
- Ausdrückliche Einwilligung
- Informativ - über was informiert der Newsletter
- Möglichkeit des Widerrufs (freiwillig)
- Protokollierung und Doiuble-Opt-In
Ein Beispieltext hierfür wäre:
„Der Newsletter informiert über aktuelle Angebote und unsere Firma. Nähere Informationen zu Inhalten, Ihrer Anmeldung und Daten, dem Versand und der Auswertung sowie Abbestellmöglichkeiten erhalten Sie in der Datenschutzerklärung.“ + Link zur Datenschutzerklärung
Double-Opt-In:
- In Mailchimp selbst muss die Funktion „enable double opt-in“ aktiviert werden (seit 31.10.17 nicht mehr automatisch eingestellt)
- Zudem muss die Bestätigungs-Email angepasst werden, in welcher ein Hinweis auf die Datenerhebung, Sammlung und Verwendung, sowie ein Link zur Datenschutzbestimmung gegeben sein muss.
Kontaktformulare
Wenn die Daten eines Kontaktformulars in irgendeiner Form gespeichert werden, dann muss der Nutzer sein Einverständnis abgeben. Hierfür eignet sich eine eigene Checkbox, die der Nutzer anhaken muss
Die Checkbox darf NICHT schon vorher angekreuzt sein
Eine Möglichkeit für die Checkbox: „Ich bin mit der Erhebung/Speicherung meiner eingegebenen Daten und IP zur Kontaktaufnahme einverstanden.“
Share Buttons
Ohne Zustimmung des Besuchers dürfen keine Daten an Social Media-Kanäle übertragen werden. Dies wird schnell zum Problem, da die meisten Einbettungen von Social Media Buttons bereits beim Besuchen der Webseite eine Verbindung zu den sozialen Netzwerken herstellen. Facebook, Google+ & Co können so unbemerkt Daten der Webseitenuser erheben und deren Verhalten tracken.
Durch diese derzeit noch aktuelle Vorgehensweise erübrigt sich jedoch im Moment die Nutzung der meisten WordPress Sharing-Plugins mit der DSGVO. Es gibt aktuell jedoch 3 Möglichkeiten, dieses Problem zu umgehen:
- Totaler Verzicht der Social Sharing Plugins
- 2-Klick-Lösung: Durch zwischenschalten eines Plugins, bei dem erst durch erneutes Klicken die Zustimmung der Sammlung von Nutzerdaten erfolgt
- Mit dem Plugin Shariff lassen sich Datenschutzkonforme Teilen-Buttons erstellen. Es ist leicht zu bedienen und sehr flexibel – aktuell sicher die beste Lösung, wenn man nicht auf die Social Sharing Funktionalität verzichten möchte
User Registrierung
Wenn es auf der Seite eine User-Registrierung und Anmeldung gibt, dürfen nur für diesen Zweck notwendige Daten gespeichert werden. Es muss dabei immer das Einverständnis des Nutzers und der entsprechende Hinweis in der Datenschutzerklärung gegeben sein.
3. Web Analyse Tools
Google Analytics
Es müssen verschiedene Punkte eingehalten werden:
- Hinreichende Information über die Verwendung von Google Analytics
- Vertrag mit Google:
- mit Google muss ein Vertrag abgeschlossen werden, in dem die Auftragsdatenverarbeitung genauer erläutert wird
- der Online Vertrag ist in Google Analytics unter „Zusatz zur Datenverarbeitung“ und „Zusatz anzeigen“ zu finden:
- Google Analytics -> Kontoeinstellungen -> Zusatz zur Datenverarbeitung anzeigen und zustimmen.
- Opt-Out Option:
- Jeder Nutzer muss die Möglichkeit haben, Google Anayltics auf der Seite zu deaktivieren
- Eine Möglichkeit hierbei ist folgendes Plugin (bei WordPress Seiten): https://wordpress.org/plugins/google-analytics-opt-out/
- Google Analytics IP-Anonymisierung:
- Die letzten Stellen der IP Adresse werden gekürzt
- Eine Möglichkeit: WordPress Seiten können ein Plugin verwenden, welche die IP Adresse anonymisiert: https://de.wordpress.org/plugins/google-analytics-dashboard-for-wp/
- Eine weitere Möglichkeit hierbei ist das Hinzufügen der Option _anonymizelp
Weitere Informationen
- Daten können ab sofort für einen bestimmten Zeitraum gespeichert und danach gelöscht werden
- Dadurch wird den Nutzern noch zusätzlich versichert, dass deren Daten nicht weiterverwendet werden
- man kann individuell bestimmen, wie lange die Daten gespeichert werden sollen
- Pfad für die Einstellung in Analytics: Verwaltung – Property – Tracking Informationen – Datenaufbewahrung
Es ist auch möglich, Daten einfach und sicher manuell zu löschen – Informationen dazu: https://developers.google.com/analytics/#apis-for-reporting-and-configuration
Für Google Analytics Nutzer gibt es die Möglichkeit, Unterstützung von Google in Anspruch zu nehmen. Informationen zu den verschiedenen Bereichen:
- Datenfreigabeeinstellungen: https://support.google.com/analytics/answer/1011397
- Datenschutz: https://support.google.com/analytics/answer/6004245
- Löschung von Analytics Konten: https://support.google.com/analytics/answer/1009696
- IP-Anaonymisierung: https://support.google.com/analytics/answer/2763052
Wichtig (bereits bei den Analytics Einstellungen angeführt): den Kontrakt mit Google in Google Analytics bestätigen.
Google Ads
Auch bei Ads muss informiert werden, wie Ads Conversion Tracking funktioniert und wie der Nutzer diese deaktivieren kann.
Ein gutes Beispiel hierfür ist unter https://www.dsgvo-service.at/Datenschutzerklaerung.aspx zu finden.
Google Ads Remarketing
Wird das Google Remarketing verwendet, so sollte hier neben einer umfangreichen Beschreibung der Funktionsweise auch die Möglichkeit für den Nutzer gegeben sein, das Remarketing deaktivieren zu können.
Folgende Punkte müssen dabei gegeben sein:
- Informationen darüber, wie Drittanbieter, einschließlich Google, Ihre Anzeigen auf Websites im Internet schalten
- Informationen darüber, wie Drittanbieter, einschließlich Google, mithilfe von Cookies Anzeigen basierend auf den vorhergegangenen Besuchen einer Person auf Ihrer Website schalten.
- Informationen darüber, wie Ihre Besucher die Verwendung von Cookies durch Google deaktivieren können. Alternativ können Ihre Besucher die Verwendung von Cookies durch Drittanbieter deaktivieren, indem sie die Deaktivierungsseite der Netzwerkwerbeinitiative aufrufen.
Google Tag Manager
Auch bei der Verwendung des Google Tag Managers sollte ein kurzer Satz der Verwendung gegeben werden.
Zudem ist, wie bei Google Analytics, die Zustimmung bzw. Datenschutzerklärung im Verwaltungsbereich des Tag Managers zu bestätigen. (Pfad: Verwaltung – Kontoeinstellungen – Zusatz zur Datenschutzerklärung)
Wie bei den anderen Punkten muss auch hier eine umfangreiche Beschreibung gegeben werden (eine detaillierte Vorlagenbeschreibung ist hierbei unter Punkt 12 zu finden: https://www.dsgvo-service.at/Datenschutzerklaerung.aspx
Werden auch beispielsweise Dienste wie Xing, Twitter oder Ähnliches verwendet, sollte auch jeweils eine eigene Information gegeben sein.
Weitere Informationen
- Personen können nun in Zukunft jederzeit Auskunft über Ihre Daten verlangen, weshalb eine gewissenhafte und strukturierte Speicherung der Daten gewährleistet sein muss
- Datenschutzbestimmungen und Verträge mit Drittanbietern (z.B.: Google Analytics) müssen zwingend eingehalten werden
- Datenschutzverletzungen müssen sofort an die Datenschutzbehörde gemeldet werden
Wie umfangreich die Nutzer einer Website auf Ihre Rechte hingewiesen werden müssen ist nicht genau definiert. Dennoch ist eine Beschreibung der Rechte und Pflichten der Nutzer von Vorteil.
Ein gutes Beispiel liefert hier: https://www.dsgvo-service.at/Datenschutzerklaerung.aspx
Quellen:
http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE
https://www.webpunks.co/dsgvo-und-webseiten/
https://www.haendlerbund.de/de/datenschutzerklaerung
https://www.wko.at/internetrecht/datenschutzerklaerung-checkliste-infopflichten-dsgvo-tkg-we
Melden Sie sich gerne zu unserem Newsletter an.
Weitere Artikel, die Sie interessieren könnten…
OMX & SEOkomm 2024: Insights & Trends für die Zukunft des Online-Marketings
OMX 2024: Trends und Optimierungen im Online-Marketing Die Eröffnungs-Keynote ...
Digital Days 2024 in Linz: Innovationen und Trends für die digitale Zukunft von Unternehmen
Wir waren dabei, bei zwei spannenden Tagen auf den OÖNachrichten Digital Days 2024 in Linz. In unserem Bericht fassen wir die wichtigsten Trends und Entwicklungen zusammen, die uns besonders beeindruckt haben.
Conversion Rate Optimierung: Wie UI/UX-Design den Unterschied macht!
Der Schlüssel zur erfolgreichen Conversion Rate Optimierung (CRO) ist ein durchdachtes User Experience (UX) und User Interface (UI)-Design, das die Nutzererfahrung verbessert und die Conversion Rate steigert.
KI-gestütztes SEO: Sichtbarkeit steigern mit ChatGPT & Co
Wie KI-SEO zur Erreichung nachhaltiger Sichtbarkeit in den Suchmaschinen optimal eingesetzt werden kann und welche Aspekte es bei der Implementierung zu beachten gibt, erfahren Sie in diesem Beitrag.
Nehmen Sie gerne mit uns Kontakt auf
Starten Sie Ihre Erfolgsgeschichte im Web mit einer Anfrage bei seoCon. Jetzt kontaktieren!