Digital Compliance | DSGVO

5 GDPR Quick Fixes: Machen Sie Ihre Webseite fit für die neue EU-Datenschutzverordnung

Die neue Europäische Datenschutz Grundverordnung (EU-DSGVO)(auf Englisch GDPR) tritt am 25. Mai 2018 in Kraft und wie Sie sicherlich wissen, drohen empfindliche Bussen bei nicht Einhaltung der neuen Vorgaben. Ein Unternehmen und dessen Online-Kanäle GDPR-konform abzusichern, ist meist ein grösseres Unterfangen, für das eigentlich seit Mai 2016 genügend Zeit war. Aber seien wir realistisch: Noch immer ist ein Grossteil der Unternehmen nicht bereit für GDPR.

In diesem Blog Post zeigen wir Ihnen fünf einfache und wichtige Quick Fixes für Ihre Webseite, die für die GDPR-Konformität zwingend sind.

1. Cookie Banner einfügen

GDPR schreibt vor, dass der Nutzer über das Abspeichern persönlicher Informationen informiert werden muss. Dazu gehören auch IP-Adressen und Online-Identifiers, wie sie beispielsweise in Cookies gespeichert werden. Für die Sammlung, Verarbeitung und Speicherung von persönlichen Daten ist zudem die Zustimmung des Data-Subjekts (des Nutzers) erforderlich. Die aktuelle Europäische e-Datenschutz-Richtlinie von 2002 (e-Privacy Direktive) anerkennt, dass Tracking-Cookies und funktionale Cookies für das Verbessern und den Betrieb einer Webseite notwendig sind und erlaubt bei diesen eine implizite Zustimmung. Der Nutzer muss darüber jedoch ausdrücklich informiert werden, was zu den bereits bekannten Cookie-Bannern führte.

Einen solchen Cookie-Banner sollten Sie auf Ihrer Webseite integrieren. Wenn Sie Marketing Cookies (Display-Ad-Networks, Remarketing, Marketing Automation etc.) auf der Webseite verwenden, dürfen diese erst nach Zustimmung des Nutzers gesetzt werden.

Beispiel Cookie-Banner für Tracking mit implizierter Zustimmung bei weiterer Nutzung der Webseite:

Cookie Banner Beispiel

Beispiel Cookie-Banner für Tracking und Targeting: Hier dürfen Targeting- und Marketing Cookies erst nach dem Klick auf «Accept Cookies» gesetzt werden.

Cookie Banner Beispiel

Idealerweise geben Sie dem Nutzer die Möglichkeit zu entscheiden, welche Art von Cookies er erlauben möchte, beispielsweise unterteilt in:

  • Notwendige Cookies (z. B. Login-Session, Warenkorb etc.)
  • Funktionale Cookies (z. B. vimeo.com etc.)
  • Tracking/Performance Cookies (z. B. Google Analytics etc.)
  • Werbe- & Targeting Cookies (z. B. DoubleClick, AppNexus etc.)
  • Personalisierte Cookies (z. B. Marketing Automation wie HubSpot, Marketo etc.)

Dabei ist wichtig, dass für die Werbe- und Targeting Cookies sowie für die personalisierten Cookies eine explizite Zustimmung des Nutzers erfolgen muss.

Das Beispiel unten zeigt eine Out-of-the-Box Cookie-Management Lösung von OneTrust Weitere Anbieter sind beispielsweise TRUSTe oder Evidon

Cookie Consent Solution - Cookie Management Center

Wichtig ist, dass gemäss GDPR das Entziehen der Zustimmung genauso einfach erfolgen muss wie das Erteilen. Im Beispiel oben wird dies durch einen Link zu den Cookie-Einstellungen im Footer auf jeder Seite gewährleistet.

2. Formulare anpassen

Ein bewährter Denkansatz bei der Überprüfung der Formulare mit der GDPR-Brille ist, dass Sie sich vorstellen, dass jedes Feld mit persönlichen Informationen die gleiche Sorgfalt verdient wie beispielsweise Ihre Kreditkartennummer, Ihre AHV-Nummer oder die Telefonnummer Ihrer Mutter.

  • Jedes Formularfeld muss notwendig sein. Sollte dies nicht der Fall sein, erläutern Sie die Notwendigkeit oder entfernen Sie überflüssige Felder. Verfolgen Sie einen minimalistischen Ansatz und sammeln Sie nur notwendige Daten.
  • Verlinken Sie bei allen Formularen direkt darunter auf die Datenschutzrichtlinie.
  • Der Nutzer muss sich vor dem Absenden des Formulars informieren können, was mit seinen Daten geschieht, also wozu, wo und wie lange diese abgespeichert werden.
  • Verwenden Sie keine vorausgefüllten Checkboxen (z. B. für die Newsletter-Anmeldung, da dazu eine explizite Zustimmung notwendig ist).
  • Formulare, die persönliche Informationen enthalten, dürfen nur verschlüsselt übermittelt werden.
  • Vermeiden sie die GET-Methode, da diese den Formularinhalt in der URL abbildet und dieser somit in Analytics Tools und Logfiles abgespeichert wird.
  • Die per Formular gesammelten Informationen dürfen einzig zu dem Zweck verwendet werden, dem der Nutzer beim Ausfüllen zugestimmt hat. So dürfen Sie beispielsweise die E-Mail-Adresse nicht automatisch für E-Mail-Marketing verwenden, wenn sie in einem Bestellformular enthalten war.
  • Alternativ können Sie das Formular auch ganz entfernen und durch einen E-Mail-Link und/oder eine Telefonnummer ersetzen.

3. IP-Adressen anonymisieren

Aktivieren Sie die IP-Anonymisierung in Ihren Analyse-Tools. In Google Analytics können Sie zwar die IP-Adresse eines Besuchers nicht sehen, dennoch wird sie beim Tracking auf den Google-Servern gespeichert. Dies kann verhindert werden, indem Sie die IP-Anonymisierung aktivieren. Bei Google Analytics kann dies mit dem Zusatz ga(’set›, ‹anonymizeIp›, true) im Trackingcode eingerichtet werden.

4. Datenschutzerklärung aktualisieren

Nach GDPR hat der Data-Controller (also der Betreiber der Webseite) umfassend, klar und deutlich und in einer für den Nutzer verständlichen Sprache über die Speicherung und Verwendung von gesammelten persönlichen Informationen zu informieren. Es muss unter anderem über folgende Punkte informiert werden:

  • Welche Informationen werden gesammelt?
  • Wer sammelt die Daten?
  • Wie werden die Daten gesammelt?
  • Warum werden die Daten gesammelt?
  • Wie werden die Daten verwendet/verarbeitet?
  • Mit welchen anderen Drittpartnern und zu welchem Zweck werden die Daten geteilt?
  • Verlassen die Daten das Land?
  • Wie kann ein Nutzer Kontakt aufnehmen, um:
    1. Daten einzusehen?
    2. Daten zu korrigieren?
    3. Daten zu löschen?
    4. Die Zustimmung zur Verarbeitung zu entziehen?

5. Inhalt von Drittpartnern überprüfen/entfernen

Jeglicher Inhalt, der beim Rendern der Webseite im Browser extern geladen wird (z. B. Social Plugins wie der Facebook Like Button, externe Bild- und PDF-Quellen), teilt der Quelle die IP-Adresse des Besuchers mit. Bei Seiten, die Cookies verwenden, können auch weitere Informationen an den Drittserver gesendet werden. So weiss dann Facebook beispielsweise, dass der Benutzer XY Ihre Webseite besucht hat, auch wenn er keine Facebook-Aktion auf Ihrer Webseite durchgeführt hat. Als Eigentümer der Webseite und somit Data-Controller obliegt es Ihrer Verantwortung, mit welchen Drittpartnern Ihre Webseite persönliche Informationen wie beispielsweise IP-Adressen oder andere Online-Identifiers austauscht.

Daher empfiehlt es sich externe Inhalte zu überprüfen und Unnötige zu entfernen. Ebenfalls müssen die externen Datenquellen in der Datenschutzvereinbarung aufgeführt werden und in einigen Fällen, beispielsweide beim Sammeln von Informationen für Targeting durch den Drittanbieter, ist ebenfalls die Zustimmung des Nutzers erforderlich.

Daher empfehlen wir, externe Inhalte zu überprüfen und sie bei Unsicherheiten zu entfernen oder anderweitig einzubinden.

Bitte beachten Sie, dass die Umsetzung der fünf aufgeführten Massnahmen nicht automatisch zu einer kompletten Erfüllung aller GDPR-Anforderungen führt. Weitere wichtige Anforderungen müssen eingehalten werden. Wir empfehlen Ihnen daher, einen GDPR Compliance Audit Ihrer Online-Kanäle durchzuführen. Fordern Sie jetzt Ihr individuelles Angebot für einen GDPR-Audit an.

Weitere Informationen über die neue Datenschutzverordnung finden Sie in unserem Digital Marketing Compliance-Bereich oder in unseren Compliance Blog Posts.

Lesen Sie unsere weiteren Artikel zum Thema DSGVO.

Bleiben Sie immer auf dem Laufenden mit unserem Newsletter.