In der Europäischen Union tritt ab sofort die neue Datenschutz-Grundverordnung (DSGVO) in Kraft! In einem Work-Shop haben wir gemeinsam mit Rechtsanwalt Lukas Bühlmann die Auswirkungen für Webauftritte/Digitalkanäle in der Schweiz diskutiert und das nötige Know-how vermittelt.
3. Wir möchten Ihnen zeigen:
» Was die Auswirkungen auf die digitalen Kanäle sind.
» Wie Sie Ihre Webseite aufrüsten müssen.
» Wie die Massnahmen elegant umgesetzt werden können.
UNSER ZIEL.
4. DSGVO ist ein juristisches Thema. Wir von der Plan.Net Suisse AG
sind keine Juristen. Die folgenden Themen beinhalten Empfehlungen
und Ratschläge, welche unsere Recherchen und Abklärungen
ergeben haben. Wir übernehmen keine Gewähr für Richtigkeit,
Aktualität und Vollständigkeit unserer Ausführungen und keinerlei
Haftung für mögliche Rechtsfolgen.
WIR SIND KEINE JURISTEN.
6. HTTP ist ein Protokoll, welches Daten von
Ihrem Internet-Browser auf den Webserver
der Webseite überträgt. Diese Daten, z. B.
Eingaben bei Kontaktformularen, werden
unverschlüsselt versendet.
Mit einem SSL-Zertifikat können die Daten
über das Protokoll HTTPS verschlüsselt
übermittelt werden und sind so für Hacker
nicht lesbar. Das Verfahren ist vergleichbar
mit dem Versiegeln eines Briefs vor dem
Versenden.
WAS BEDEUTET HTTPS?
7. Webseiten ohne SSL-Zertifikat werden von
Browsern und von Google bereits als unsicher
abgestraft.
Webseiten mit einem SSL-Zertifikat werden
entsprechend markiert. Dabei wird
unterschieden zwischen der Standard- und
der EV-Version (Extended Validation).
Die EV-Version erweitert die Adressleiste mit
einem grünen Balken, welcher den im
Handelsregister eingetragenen Firmennamen
beinhaltet. Dies verstärkt u.a. visuell die
Sicherheit und das Vertrauen.
SSL-ZERTIFIKATE.
8. Wir empfehlen Ihnen kein Gratis SSL-Zertifikat!
Nein, ein kostenloses SSL-Zertifikat ist nicht unsicherer als ein
kostenpflichtiges.
Zwar sorgen auch die kostenlosen Zertifikate für Verschlüsselung,
liefern aber keine Angaben über die Identität des Domaininhabers
oder Seitenbetreibers, während kostenpflichtige Zertifikate mit EV
immer garantieren, dass eine eingetragene Firma dahinter steckt.
GRATIS SSL-ZERTIFIKAT?
9. Das SSL-Zertfikat wird pro Domain gekauft. Wir arbeiten meistens
mit dem Anbieter Thawte (https://www.thawte.de), wo ein Zertifikat
mit EV pro Jahr EUR 249.– kostet.
Das Zertifikat muss zusätzlich auf dem Webserver installiert und alle
Aufrufe von HTTP auf HTTPS weitergeleitet werden. Zu guter Letzt
muss die Webseite auf https-Kompatibilität geprüft und ggf.
angepasst werden.
Für diese Arbeiten rechnen wir mit einem Aufwand von rund 2 Tagen.
IMPLEMENTIERUNG UND KOSTEN.
11. Cookies sind Daten, die von einer Website, die Sie besuchen, auf
Ihrem Computer als Textdatei gespeichert werden.
Cookies speichern Informationen wie z. B. Ihre bevorzugte Sprache
oder andere persönliche Seiteneinstellungen. Wenn Sie später diese
Website erneut besuchen, übermittelt der Browser die gespeicherten
Cookie-Informationen an die Seite zurück. Dadurch können
individuelle und an Sie angepasste Informationen angezeigt werden.
WAS IST EIN COOKIE?
12. Der Umgang mit Cookies wird von DSGVO geregelt, sobald diese
personenbezogene Daten betreffen.
Zusätzlich wird aber ab 2019 die ePrivacy-Verordnung der EU den
gesamten Umgang mit Cookies neu regeln.
DSGVO UND DIE EPRIVACY-VERORDNUNG.
13. Wir empfehlen Ihnen einen Cookie-Banner auf Ihrer Webseite
anzuzeigen. Damit informieren Sie Ihre Besucher, dass Ihre
Webseite Cookies verwendet.
Was aber muss der Cookie-Banner können? Die Anzeige alleine
reicht nur für zwingend notwendige Cookies. Alle anderen Cookies
dürften aus rechtlicher Sicht erst gesetzt werden, wenn der Besucher
den Cookies aktiv zustimmt.
COOKIE-HINWEIS JA, ABER WIE?
14. Es gibt dutzende Plug-ins für Cookie-Banner, welche einzig und
allein auf Cookies hinweisen und weder Opt-in- noch Opt-out-
Funktionalitäten haben. Cookies werden bereits beim ersten
Seitenaufruf geladen. Der Banner verschwindet auch, wenn man auf
die nächste Seite navigiert.
Diese Variante ist aktuell – und wohl auch nach dem 25. Mai 2018 –
die weitverbreitetste Lösung, wenn auch sie nicht vollständig
rechtskonform ist.
DER KLASSISCHE COOKIE-BANNER.
15. Es gibt inzwischen verschiedene Anbieter für erweiterte Cookie-
Banner. Diese scannen die angegebene Webseite auf Cookies. Sie
geben an, welche Cookies per Default und welche erst nach dem
Einverständnis des Besuchers geladen werden.
Die Webseite muss so programmiert werden, dass diese
Einstellungen auch korrekt berücksichtigt werden. Dies ist technisch
noch sehr komplex und entsprechend aufwändig.
DER ERWEITERTE COOKIE-BANNER.
16. KATEGORISIERUNG VON COOKIES.
Ein Anbieter für eine solche Lösung ist
OneTrust (https://onetrust.com/).
Cookies werden kategorisiert und können
durch den Benutzer aktiviert bzw. deaktiviert
werden.
» Notwendige Cookie (z. B. Session)
» Präferenz-Cookies (z. B. Sprachauswahl)
» Statistik-Cookies (z. B. Google Analytics)
» Marketing-Cookies (z. B. Remarketing)
17. Wenn man die rechtskonforme Cookie-Lösung wählt, wird
Remarketing in Zukunft schwierig. Die wenigsten Besucher werden
bewusst nicht notwendige Cookies akzeptieren.
Wir gehen aber fest davon aus, dass die grossen Player im
Remarketing entsprechende Massnahmen ergreifen und Lösungen
erarbeiten werden.
REMARKETING IN ZUKUNFT.
18. Der Facebook-Pixel sorgt für viel Diskussionsstoff. Nutzt man
Custom Audiences und aktiviert dafür den erweiterten Abgleich
(Advanced Matching), muss der Benutzter dafür sein aktives
Einverständnis geben, was kaum jemand macht.
Verzichtet man auf den erweiterten Abgleich, müsste man aber noch
immer eine Opt-out-Funktion zur Verfügung stellen, welche es so von
Facebook nicht gibt.
Wir empfehlen Ihnen, ab dem 25. Mai 2018 nicht mehr mit dem
erweiterten Abgleich zu arbeiten und die Situation um den Opt-out zu
beobachten.
FACEBOOK PIXEL UND PLUG-INS.
19. TRACKINGS / COOKIES IM EINSATZ.
Überprüfen Sie selber, welche Cookies und
Trackings auf Ihrer Webseite eingesetzt
werden. Zum Beispiel mit dem Tool Ghostery,
welches für alle gängigen Browser verfügbar
ist.
20. Der klassische Cookie-Hinweis-Banner ist weit verbreitet und kann
meistens über Plug-ins in Ihre Webseite eingefügt werden. Wir
können Sie gerne beraten, was für Ihre Webseite bzw. Ihr CMS die
beste Lösung ist. Bei TYPO3-Lösungen der Plan.Net Suisse AG
können wir die Integration für rund CHF 2000.– anbieten.
Der erweiterte Cookie-Banner ist komplexer. Nach der Auswahl eines
Anbieters muss der Banner in die Seite integriert und die Cookie-
Elemente auf der Webseite umprogrammiert werden. Die Kosten
sind abhängig vom Anbieter und der Anzahl Cookies auf Ihrer
Webseite.
INTEGRATION DES COOKIE-BANNERS.
23. VERTRAG ZUR
AUFTRAGSVERARBEITUNG.
Bisher musste man in Deutschland einen schriftlichen Vertrag mit
Google abschliessen, um Google Analytics einzusetzen. Dies gilt nun
für alle. Der Abschluss eines solchen Vertrages, der sogenannte
«Zusatz zur Datenverarbeitung», wird nun vereinfacht: Ab dem 25.
Mai 2018 muss der Vertrag nicht mehr ausgedruckt und per Post
nach Irland versendet werden, sondern es genügt, in den Google-
Analytics-Einstellungen den Vertrag elektronisch zu bestätigen.
Hierzu scrollen Sie in Google Analytics unter «Verwaltung >
Kontoeinstellungen» runter bis zur Rubrik «Zusatz zur
Datenverarbeitung».
24. Eine datenschutzkonforme Nutzung von Google
Analytics ist nur mit der Code-Erweiterung
«anonymizeIp» möglich. Durch Nutzung der
Code-Erweiterung werden die letzten 8 Bit der IP-
Adressen gelöscht und somit anonymisiert.
Es ist notwendig, dass den Betroffenen die
Möglichkeit eines Widerspruchs gegen die
Erstellung von Nutzungsprofilen eingeräumt wird.
Deshalb muss das Script erweitert werden, damit
ein Opt-Out-Cookie gesetzt wird. Dieses Cookie
verhindert die zukünftige Datenerfassung.
TRACKING-CODE
ANPASSEN.
25. Google bietet ab dem 25. Mai 2018 zusätzliche
Optionen zur Aufbewahrung der erhobenen
Daten. Die Aufbewahrungsdauer gilt nur für Daten
auf Nutzer- und Ereignisebene, die mit Cookies,
User IDs und Werbe-IDs verknüpft sind.
Aggregierte Daten sind nicht betroffen.
Öffnen Sie dafür die Verwaltung der gewünschten
Google Analytics Property und klicken Sie in der
Spalte «Property» auf «Tracking-Informationen >
Datenaufbewahrung».
AUFBEWAHRUNGSDAUER DER DATEN
FESTLEGEN.
26. Die Nutzung von Google Analytics ist in der
Datenschutzerklärung zwingend anzugeben.
Wegen DSGVO müssen die Texte angepasst
werden und primär folgende Daten beinhalten:
DATENSCHUTZERKLÄRUNG ANPASSEN.
• Umfang der Datenerhebung, Art. 12 und 13
DSGVO
• Rechtsgrundlage, Art. 13 DSGVO
• Speicherdauer bzw. Kriterien für Festlegung
der Dauer, Art. 13 Abs.2 lit.a DSGVO
• Widerspruchsrecht, Art. 21 DSGVO
• Hinweis zum Deaktivierungs-Add-on und Opt-
Out-Cookie
• Hinweis zu anonymizeIp
28. Neu muss bei der Anmeldung neben der
«Einwilligung zum E-Mail-Service» (z. B.
Empfang von Newslettern) auch eine
Einwilligung zur «Erfassung und
Auswertung von personenbezogenen
Daten» (personenbezogenes Tracking)
abgefragt werden.
NEWSLETTER-ANMELDUNG.
29. Double Opt-in sollte heute schon Standard
sein. Für den Nachweis, dass sich eine
Person auch wirklich angemeldet hat, ist
dieses Verfahren in Zukunft der sicherste
Weg.
Das Double Opt-in ist ein Verfahren, bei dem
der Abonnent eines Newsletters oder dem
Erhalt einer Unternehmensinformation seine
Zustimmung zusätzlich in einem zweiten
Schritt bestätigen muss.
NEWSLETTER-ANMELDUNG.
30. NEWSLETTER-TEMPLATE.
Neu müssen in jedem E-Mailing zwingend alle Abmelde-Funktionen
(per Link), ein vollständiges Impressum (Firma, Adresse, PLZ, Ort,
Telefon, E-Mail, Web) und ein Link zu den eigenen Datenschutz-
Richtlinien integriert werden.
31. BESTEHENDE ADRESSEN.
Adressen, die bisher, also vor dem 25. Mai 2018, «rechtskonform»
erhoben wurden, dürfen auch ohne erneute Zustimmung weiterhin
angeschrieben werden.
Rechtskonform = Mit einer korrekten Einwilligung (muss nicht
unbedingt Double Opt-In sein) und Widerspruchsmöglichkeit inkl.
Hinweis auf Datenschutzerklärung und personenbezogenem
Tracking.
Es ist daher davon auszugehen, dass die meisten Adressen nicht
rechtskonform sind.
32. WIE WEITER MIT DIESEN ADRESSEN?
Es ist umstritten, wie mit bestehenden Adressen nun konkret
umgegangen werden soll. Grundsätzlich gilt, dass man sich bei nicht
rechtskonformer Einwilligung in einem neuen Double Opt-in-
Verfahren die Zulassung bestätigen muss. Erste Erfahrungen haben
gezeigt, dass man damit den Grossteil der Adressen im Verteiler
verliert!
Wenn Sie in Ihrem Verteiler aber vorwiegend Adressen von
Geschäftskontakten haben und diesen immer eine Opt-out-
Möglichkeit zur Verfügung stellen, ist das Risiko sehr gering, dass
rechtliche Probleme entstehen.
33. ZUKÜNFTIGES SAMMELN VON ADRESSEN.
Adressen, die z. B. über den Verkäufer via Visitenkarte in die
Adressdatenbank gelangen, müssen vom Empfänger erst bestätigt
werden. Und zwar so, dass Sie die Bestätigung nachweisen können.
Auch hierbei gilt, dass das Hinzufügen von Kontakten aus einer
Geschäftsbeziehung in der Regel kein grosses rechtliches Risiko mit
sich bringt, wenn eine Opt-out-Möglichkeit angeboten wird.
Vorsicht ist geboten bei gekauften Adresslisten oder auch Daten aus
einem Wettbewerb.
35. Alle Formulare, in welche persönliche Daten
eingegeben werden, fallen unter die
Datenschutzverordnung.
Dazu gehören u.a. folgende Formulare:
» Kontakt-, Anmelde- und Registrierformular
(Newsletter, Event, Kommentare)
» Bestellungen (Produkt, Download) und
Buchungen
» Gewinnspiele und Verlosungen
ARTEN VON FORMULAREN.
36. Bei allen Formularen muss auf die
Datenschutzbestimmungen verwiesen werden. In
der Datenschutzerklärung muss beschrieben sein,
wofür die Daten des jeweiligen Formulars
verwendet werden. Umstritten ist, ob der User die
Bestimmungen aktiv (Checkbox) akzeptieren
muss.
Auch wird Datensparsamkeit gefordert. Dies
bedeutet, dass z. B. beim Kontaktformular
grundsätzlich nur nötige Informationen wie Name
und E-Mail-Adresse als Pflichtfeld abgefragt
werden dürfen.
VORGEHEN BEI FORMULAREN.
38. Ihre Webseite braucht eine Datenschutzerklärung,
welche auf jeder Seite Ihres Internetauftritts
verlinkt sein muss.
Es gibt diverse deutschsprachige Online-Tools für
die Erstellung von Datenschutzerklärungen. Eine
Schweizer Lösung ist uns nicht bekannt.
Bei umfangreicheren Datenbearbeitungen
empfiehlt sich einen Anwalt beizuziehen.
DATENSCHUTZERKLÄRUNGEN.
39. Ihre Webseite braucht ein Impressum, welches
auf jeder Seite Ihres Internetauftritts verlinkt sein
muss.
Verwenden Sie dafür einen Online-Generator:
www.bag.ch/impressum-generator
Haben Sie einen Shop bzw. verkaufen Sie direkt
auf der Webseite, braucht es eine AGB-Seite,
welche auf jeder Seite Ihres Internetauftritts
verlinkt sein muss.
IMPRESSUM UND AGB.
41. Datenverarbeiter sind alle Firmen, welche Ihre
Kundendaten speichern, verarbeiten, analysieren
oder einfach darauf zugreifen können.
Mit diesen Firmen müssen Sie grundsätzlich
einen Auftragsverarbeitungsvertrag (AV)
abschliessen, welcher bestätigt, dass sich der
Datenverarbeiter an die Regeln von DSGVO hält
und bei einem Missbrauch/Verlust sofort
informiert.
DATENVERARBEITER.
42. VIELEN DANK!
T. +41 44 446 23 63
Creating Relevance | plan-net.ch
Lukas Bühlmann
Rechtsanwalt und Partner bei
Meyerlustenberger Lachenal
Matthias Strebel
Projekt Manager und DSGVO-
Verantwortlicher bei Plan.Net
Suisse AG
Philipp Sauber
Geschäftsführer und Partner
bei Plan.Net Suisse AG
Plan.Net Suisse AG
Kirchenweg 8 | 8008 Zürich