Die 2016 eingeführte neue Datenschutz-Grundverordnung (DSGVO) ist eine der wichtigsten Reformen der EU Datenschutzbestimmungen in Europa in den letzten 20 Jahren. Das ultimative Ziel der DSGVO besteht darin, die Datenschutzgesetze in Europa zu vereinheitlichen, die privaten Daten europäischer Bürger zu schützen und ihnen mehr Rechte und Kontrolle über ihre eigenen Daten zu geben.
Online-Unternehmen benötigen einen konstanten Datenstrom, um das Benutzererlebnis auf der Website zu verbessern, Website-Besucher und Kunden neu anzusprechen oder personalisierte Anzeigen zu generieren. Nach der neuen DSGVO müssen Website-Benutzer jedoch ihre eindeutige Einwilligung erteilen, bevor Daten erfasst werden können. Der Nutzer muss nun darüber informiert werden, wie die Daten erhoben und verarbeitet werden. Daher muss die Datenschutzerklärung für den Benutzer zugänglich und leicht verständlich sein. Website-Benutzer müssen sich eine Vorstellung davon machen, welche Art von Daten zu welchem Zweck erfasst werden, bevor sie den Bedingungen des Dienstes zustimmen, da eine Nichteinhaltung der DSGVO hohe Geldstrafen und sogar Gerichtsverfahren nach sich ziehen kann.
Es gibt viele verschiedene Aspekte des Gesetzes, die von Website-Hosts in ganz Europa berücksichtigt werden müssen, was recht kompliziert sein kann. Doch nicht jeder kann sich einen DSGVO-Spezialisten im Unternehmen leisten. Mit den folgenden Tipps erhalten Sie daher einen ersten Eindruck, wie Ihr Unternehmen und Ihre Website kontinuierlich konformer mit dem europäischen Datenschutzrecht werden können. Dieser Leitfaden enthält keine Rechtsberatung, sondern versucht, ein grundlegendes Verständnis der DSGVO-Anforderungen zu vermitteln.
1. Kennen Sie die Terminologie
Bevor Sie versuchen, Ihre Website DSGVO-konform zu gestalten, sollten Sie über ein grundlegendes Verständnis der Terminologie verfügen.
Persönliche Daten
Personenbezogene Daten sind Informationen, die eine Person identifizieren können, entweder direkt oder durch eine Kombination der gesammelten Daten. Daten, die eine Person identifizieren können, können unter anderem die E-Mail-Adresse, die IP-Adresse (die den genauen Standort eines Nutzers vorhersagen kann), Namen, das Einkommen, die Religion oder persönliche Bilder sein. Darüber hinaus ist das Gesamtverhalten auf der Website personenbezogene Daten, da Cookies die Browsing-Aktivitäten auf mehreren Websites verfolgen können (z. B. über welche Inhalte der Benutzer scrollt oder auf welche Inhalte der Benutzer klickt).
Datenschutz-erklärung
In der Datenschutzerklärung wird beschrieben, welche Art von Daten Sie von unseren Nutzern erfassen und wie mit diesen Daten weiter umgegangen wird. Darüber hinaus sollte die Datenschutzrichtlinie eine Beschreibung darüber enthalten, wie die personenbezogenen Daten vertraulich behandelt werden oder wer Zugriff auf die Daten hat. Die Datenschutzerklärung sollte für die Nutzer der Website leicht verständlich und zugänglich sein.
Datenverarbeiter und Verantwortlicher
Der Datenverantwortliche ist die Person oder Software, die den Zweck der Daten und die Art und Weise ihrer weiteren Verarbeitung bestimmt. Der Datenverarbeiter hingegen ist die Person oder Software, die die Daten im Auftrag des Datenverantwortlichen verarbeitet und analysiert.
GDPR-Konformität
Was bedeutet es eigentlich, DSGVO-konform zu sein? Die Einhaltung der aktuellen DSGVO kann je nach Unternehmen, Organisation, Nutzern und Datenqualität eine unterschiedliche Bedeutung haben. Um jedoch mit der DSGVO im Allgemeinen konform zu sein, muss das Unternehmen oder die Person, die personenbezogene Daten erhebt, spezifische Maßnahmen ergreifen, um sicherzustellen, dass diese standardmäßig sicher gehandhabt, verarbeitet und gespeichert werden.
2. Anpassung unserer Website an die geltenden Datenschutzbestimmungen
Als das Gesetz 2016 in Kraft trat, standen die meisten Website-Betreiber vor der gleichen Frage: Wie kann ich meine Website DSGVO-konform machen? Mit den folgenden Schritten machen Sie Ihre Website konformer mit der Datenschutz-Grundverordnung.
Verfügen Sie über ein Opt-in- und Opt-out-Formular auf Ihrer Website.
Stellen Sie auf Ihrer Website ein Formular bereit, das für den Benutzer gut sichtbar ist und ihn über die Datenerfassung und -verarbeitung auf der Website informiert. Die meisten Websites verwenden Cookie-Popups, die ein Formular für Benutzerinhalte enthalten. Außerdem muss es für den Einzelnen einfach sein, seine Einwilligung zur Erhebung personenbezogener Daten zu widerrufen. Sie wird allgemein auch als „Opt-out“-Option bezeichnet.
Listen Sie alle Tracking-Software von Drittanbietern auf
Viele Websites nutzen Programme von Drittanbietern, um die gesammelten Daten effizienter zu analysieren. Fügen Sie in Ihrer Datenschutzrichtlinie oder auf Ihrem Cookie-Popup-Banner einen Abschnitt hinzu, der die Tracking-Software von Drittanbietern auflistet und beschreibt, die auf der Website verwendet wird. Darüber hinaus muss auf der Website klar angegeben werden, für welche Partei die Einwilligung erteilt wird und ob es Ausnahmen gibt.
Machen Sie es Ihrem Benutzer einfach, die erteilte Einwilligung zu widerrufen – insbesondere im E-Mail-Marketing
Der Widerruf der Einwilligung zu den gegebenen Datenverarbeitungsrechten kann auf der Website nur schwer umzusetzen sein, ohne das Nutzererlebnis auf der Website zu beeinträchtigen. Nach der DSGVO muss es jedoch so einfach entfernbar sein, wie es bisher gewährt wurde. Eine Möglichkeit, wie Unternehmen diese Herausforderung angegangen sind, besteht darin, bestimmte Bereiche aufzulisten, für die die Daten möglicherweise verwendet werden und denen der Benutzer zustimmen oder die er ablehnen kann (z. B. personalisierte Werbung, Verhaltensverfolgung, personalisierte Benutzererfahrung auf der Website). Dies geschieht meist über Cookies. Darüber hinaus sollte es für Ihre Newsletter-Abonnenten einfach sein, sich jederzeit von Ihrer E-Mail-Liste abzumelden. Wenn dies in Ihrer E-Mail nicht deutlich gekennzeichnet ist oder es überhaupt keine Möglichkeit zur Abmeldung gibt, kann dies zu hohen Bußgeldern führen.
3. DSGVO-konformer Einsatz von Google Analytics
Google Analytics wird mit Abstand am häufigsten verwendet und ist das beliebteste Website-Tracking Tool, das seinen Benutzern einen einzigartigen Einblick in das Verhalten seiner Website-Besucher gibt. Aber ist Google Analytics konform mit der DSGVO?
Sie können einige einfache Schritte unternehmen, um die Verwendung von Google Analytics für Ihre Website konform zu gestalten. Google Analytics registriert jeden Benutzer mit einer eindeutigen Benutzer-ID, um die Gesamtzahl der Besucher auf der Website (z. B. neue oder wiederkehrende Kunden), das Verhalten (z. B. über welche Websites der Kunde konvertiert; Absprungrate) und die Interaktion auf der Website anzuzeigen Webseite. Darüber hinaus kann Analytics Benutzer nach Alter, Geschlecht und manchmal sogar Einkommen segmentieren. Alle genannten Informationen gelten im Sinne der DSGVO als personenbezogene Daten, die potenziell eine Person identifizieren können. Allerdings lässt sich der volle Umfang der durch Google Analytics erfassten Daten nur schwer ermitteln, da Google das Tool ständig weiterentwickelt und verbessert.
Google gibt im Rahmen seiner EU-Einwilligungsrichtlinie an, dass die Eigentümer der Website dafür verantwortlich sind, offenzulegen, dass Google Analytics auf der Website verwendet wird. Darüber hinaus müssen sie die Einwilligung der Endnutzer der Website in der Europäischen Union einholen und den genauen Grund für die Erhebung der personenbezogenen Daten angeben. Somit verlagert Google Analytics die Verantwortung für die Datenschutzanforderungen auf den Websitebetreiber. Die folgenden Tipps helfen Ihnen, die Einhaltung der DSGVO bei der Nutzung von Google Analytics zu kontrollieren.
Aktivieren Sie die IP-Anonymisierung
Die IP-Adresse zählt im Sinne der DSGVO zu den personenbezogenen Daten. Google verwendet die IP-Adresse der Nutzer, um einen geografischen Bericht zu erstellen. Durch die Anonymisierung verringert sich somit die Genauigkeit Ihres Nutzer-Trackings durch Google Analytics. Sie können eine Anonymisierung der IP-Adresse archivieren, indem Sie die folgende Variable zum Google Analytics-Tracking-Code-Skript hinzufügen:
{ 'anonymize_ip': true }
Sobald die Funktion zum Tracking-Code von Google Analytics hinzugefügt wird, wird die IP-Adresse zum Zeitpunkt der Erfassung anonymisiert.
2. Überprüfen Sie die Pseudofiction-Einstellungen von Google Analytics
Google Analytics hat bereits Maßnahmen implementiert, um die Identifizierung eines einzelnen Nutzers zu verhindern. Sie sollten jedoch prüfen, ob die folgenden Pseudofiction-Einstellungen aktiv sind und funktionieren.
Benutzeridentifikation: Stellen Sie sicher, dass die Benutzer durch Zahlen oder Buchstaben identifiziert werden und nicht durch bestimmte E-Mail-Adressen oder Benutzernamen im Klartext.
Transaktions-ID: Durch die Kombination der Transaktions-ID mit anderen Datenquellen im Konto kann möglicherweise eine Person identifiziert werden. Stellen Sie daher sicher, dass es sich bei der ID um eine zufällige alphanumerische Kennung handelt.
Verschlüsselte Daten: Zu den verschlüsselten Daten können E-Mail-Adressen oder persönliche Telefonnummern gehören. Daher wird empfohlen, die Erfassung verschlüsselter Daten über Google Analytics zu vermeiden. Google Analytics hat eine Mindest-Hashing-Anforderung von SHA256 und empfiehlt die Verwendung von Salt mit mindestens 8 Zeichen.
- Überprüfen Sie den Seitentitel der URLs
Wenn die URL „email=querystring“ als Parameter enthält, ist es wahrscheinlich, dass Sie personenbezogene Daten an andere Marketingtools auf Ihrer Website übermitteln. Überprüfen Sie Ihre Seitentitel und URLs, um sicherzustellen, dass keine personenbezogenen Daten erfasst werden.
- Weitere Maßnahmen zur fortlaufenden Compliance
Neben den technischen Aspekten sind die folgenden Maßnahmen wichtig, um eine dauerhafte Einhaltung der DSGVO sicherzustellen.
- Finden Sie jemanden im Unternehmen, der für den Datenschutz und eine regelmäßige Überprüfung der DSGVO-Konformität verantwortlich ist.
- Dokumentieren und protokollieren Sie alle Ihre DSGVO-Beschwerdemaßnahmen und sichern Sie alle ausgefüllten Einwilligungsformulare
- Bewerten Sie regelmäßig Ihre Datenschutzmaßnahmen
- Schulung der Mitarbeiter, um das Verständnis für die DSGVO-konforme Nutzung und Erhebung personenbezogener Daten zu fördern und zu fördern
Zusammenfassung
Auch wenn der Hype um die DSGVO seit der Einführung des Gesetzentwurfs im Jahr 2016 deutlich nachgelassen hat, sollte er nicht vergessen oder ignoriert werden. Es gibt verschiedene Compliance-Maßnahmen, die in einem Unternehmen durchgeführt werden können und die zu unterschiedlichen Compliance-Leveln führen. Es liegt im Ermessen des einzelnen Website-Betreibers, wie konform er mit den DSGVO-Anforderungen sein möchte. Wenn Sie jedoch die vorgeschlagenen Tipps befolgen, kommen Sie der DSGVO-Konformität einen Schritt näher.
