Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung der EU in Kraft. Damit Webseiten konform bleiben, müssen einige Dinge beachtet werden. Panik ist aber keine angebracht. Wir zeigen Ihnen hier, was beachtet werden muss, und stehen gerne für weitere Beratungen zur Verfügung.
Was ist die DSGVO?
Die Datenschutzgrundverordnung der EU regelt den Umgang mit persönlichen Daten, die z. B. von Besuchern Ihrer Website gesammelt werden. Sie soll in Zukunft die Privatsphäre besser schützen und verhindern, dass Daten im Übermass gesammelt oder fahrlässig damit umgegangen wird. Wird die DSGVO verletzt, sieht das neue Gesetz hohe Strafen vor. Wie sich die Rechtssprechung entwickeln wird und ob es zu hohen Abmahnwellen kommt, ist aber noch völlig offen und wird sich erst in den kommenden Monaten und Jahren zeigen.
Unsere Prognose: Es wird voraussichtlich, wie so oft, auch dieses Thema viel heisser gekocht als es gegessen wird. Wenn Sie einige Grundlagen befolgen und Ihre Kunden offen und ehrlich informieren, sollten Sie auf der sicheren Seite sein.
Die wichtigsten Änderungen der DSGVO:
- Datenschutzbestimmungen: Jede Webseite muss eine einfach zugängliche Seite mit Informationen zum Datenschutz enthalten, die in klar verständlicher Sprache erklärt, welche Daten gesammelt werden und wozu. Diese Informationen in den AGBs oder im Impressum zu verstecken reicht in Zukunft nicht mehr aus.
- Auskunftspflicht: Benutzer müssen die Möglichkeit haben, Auskunft darüber zu erhalten, welche Informationen von Ihnen gesammelt wurden.
- Recht auf Vergessen (Löschung): Benutzer müssen die Möglichkeit erhalten, Ihre persönlichen Daten löschen zu lassen. (Hier gibt es aber Ausnahmen, siehe weiter unten.)
Externe Datenverarbeiter
Wenn auf Ihrer Webseite ein Dienst eingebunden ist, mit dem Personendaten ausgetauscht oder übertragen werden (zB. Google Analytics, MailChimp etc.), gelten diese als sogenannte «externe Datenverarbeiter» und man muss mit ihnen Verträge abschliessen. Aber keine Angst, diese Verträge werden von den entsprechenden Diensten zur Verfügung gestellt und können meist direkt auf den entsprechenden Webseiten abgeschlossen werden.
WordPress
Seit einigen Monaten wird daran gearbeitet, Tools in WordPress zu integrieren, die helfen sollen eine WordPress-Webseite DSGVO-konform zu machen. Es wird z. B. Werkzeuge geben, die es ermöglichen eine Datenschutz-Seite zu erstellen. Dort können in Zukunft auch Plugins Ihre eigenen Warnungen ausgeben, welche Daten gesammelt werden. Die weitere Roadmap der geplanten Änderungen findet sich hier.
Ausnahmen
Vieles, was man über die DSGVO liest, klingt sehr alarmistisch und man könnte meinen, in Zukunft sei es praktisch unmöglich Online-Marketing zu betreiben. Das ist aber falsch! Grundsätzlich gilt: Wenn ein sogenanntes «berechtigtes Interesse» an den gesammelten Daten besteht, dürfen diese auch weiterhin gesammelt und verwendet werden. Zudem können andere Gesetze die DSGVO aushebeln. Z. B. haben Sie als Geschäft eine Aufbewahrungspflicht von Rechnungen und dementsprechend auch von persönlichen Daten Ihrer Kunden für 10 Jahre. Darauf können Sie sich berufen, wenn ein Kunde seine Daten gelöscht haben möchte. Oder Sie haben einen Online Shop, der in die EU verkauft? Dann sind Sie zwecks Nachweis der VATMOSS (Mehrwertsteuer der EU) sogar dazu verpflichtet, IP- und Rechnungsadressen zu speichern. Auch hier steht dieses Gesetz über der DSGVO und es besteht ein berechtigtes Interesse an diesen Daten und sie dürfen die Löschung ablehnen.
Was ist bis zum 25. Mai zu tun?
Auch wenn Panik – wie gesagt – nicht angebracht ist, gibt es doch einige Dinge zu beachten. Selbstverständlich ist jede Webseite anders und die Anforderungen an die Umsetzung sollten individuell abgeklärt werden. Die folgenden Punkte sollten Sie auf jeden Fall bis zum 25. Mai erledigen:
- Status Quo: Notieren Sie, welche Daten von Ihren Besuchern gesammelt werden
- Notieren Sie, welche externen Dienste auf Ihrer Webseite eingesetzt werden
- Erstellen Sie eine Seite «Datenschutz» und informieren Sie dort Ihre Benutzer über alle Personendaten, die Sie sammeln.
- Schliessen Sie Verträge mit externen Datenverarbeitern ab (z. B. Google bei der Verwendung von Analytics, MailChimp, usw.)
Weitere Informationen
Wir haben intern für uns eine Dokumentation begonnen, die wir gerne mit Ihnen teilen. Diese befindet sich noch im Aufbau und wird laufend weiter entwickelt. Falls Sie Punkte interessieren, die Sie dort nicht finden, geben Sie uns gerne Bescheid. Wir freuen uns über jegliches Feedback!
WICHTIG / DISCLAIMER
Wie immer bei juristischen Themen müssen wir darauf hinweisen, dass es sich bei den erwähnten Punkten um Handlungsempfehlungen handelt, diese aber keine juristische Beratung durch einen Experten ersetzen! Wenn Sie spezifische Fragen zu Ihren Marketingmassnahmen haben oder unsicher sind, geht nichts über eine Beratung bei einem Rechtsexperten.
