SlideShare ist ein Scribd-Unternehmen logo
DSGVO.
24. Mai 2018
AGENDA.
» SSL-Verschlüsselung
» Cookies
» Google Analytics
» Newsletter-Marketing
» Formulare
» Rechtstexte
» Auftragsverarbeiter
Wir möchten Ihnen zeigen:
» Was die Auswirkungen auf die digitalen Kanäle sind.
» Wie Sie Ihre Webseite aufrüsten müssen.
» Wie die Massnahmen elegant umgesetzt werden können.
UNSER ZIEL.
DSGVO ist ein juristisches Thema. Wir von der Plan.Net Suisse AG
sind keine Juristen. Die folgenden Themen beinhalten Empfehlungen
und Ratschläge, welche unsere Recherchen und Abklärungen
ergeben haben. Wir übernehmen keine Gewähr für Richtigkeit,
Aktualität und Vollständigkeit unserer Ausführungen und keinerlei
Haftung für mögliche Rechtsfolgen.
WIR SIND KEINE JURISTEN.
SSL-VERSCHLÜSSELUNG.
HTTP ist ein Protokoll, welches Daten von
Ihrem Internet-Browser auf den Webserver
der Webseite überträgt. Diese Daten, z. B.
Eingaben bei Kontaktformularen, werden
unverschlüsselt versendet.
Mit einem SSL-Zertifikat können die Daten
über das Protokoll HTTPS verschlüsselt
übermittelt werden und sind so für Hacker
nicht lesbar. Das Verfahren ist vergleichbar
mit dem Versiegeln eines Briefs vor dem
Versenden.
WAS BEDEUTET HTTPS?
Webseiten ohne SSL-Zertifikat werden von
Browsern und von Google bereits als unsicher
abgestraft.
Webseiten mit einem SSL-Zertifikat werden
entsprechend markiert. Dabei wird
unterschieden zwischen der Standard- und
der EV-Version (Extended Validation).
Die EV-Version erweitert die Adressleiste mit
einem grünen Balken, welcher den im
Handelsregister eingetragenen Firmennamen
beinhaltet. Dies verstärkt u.a. visuell die
Sicherheit und das Vertrauen.
SSL-ZERTIFIKATE.
Wir empfehlen Ihnen kein Gratis SSL-Zertifikat!
Nein, ein kostenloses SSL-Zertifikat ist nicht unsicherer als ein
kostenpflichtiges.
Zwar sorgen auch die kostenlosen Zertifikate für Verschlüsselung,
liefern aber keine Angaben über die Identität des Domaininhabers
oder Seitenbetreibers, während kostenpflichtige Zertifikate mit EV
immer garantieren, dass eine eingetragene Firma dahinter steckt.
GRATIS SSL-ZERTIFIKAT?
Das SSL-Zertfikat wird pro Domain gekauft. Wir arbeiten meistens
mit dem Anbieter Thawte (https://www.thawte.de), wo ein Zertifikat
mit EV pro Jahr EUR 249.– kostet.
Das Zertifikat muss zusätzlich auf dem Webserver installiert und alle
Aufrufe von HTTP auf HTTPS weitergeleitet werden. Zu guter Letzt
muss die Webseite auf https-Kompatibilität geprüft und ggf.
angepasst werden.
Für diese Arbeiten rechnen wir mit einem Aufwand von rund 2 Tagen.
IMPLEMENTIERUNG UND KOSTEN.
COOKIES.
Cookies sind Daten, die von einer Website, die Sie besuchen, auf
Ihrem Computer als Textdatei gespeichert werden.
Cookies speichern Informationen wie z. B. Ihre bevorzugte Sprache
oder andere persönliche Seiteneinstellungen. Wenn Sie später diese
Website erneut besuchen, übermittelt der Browser die gespeicherten
Cookie-Informationen an die Seite zurück. Dadurch können
individuelle und an Sie angepasste Informationen angezeigt werden.
WAS IST EIN COOKIE?
Der Umgang mit Cookies wird von DSGVO geregelt, sobald diese
personenbezogene Daten betreffen.
Zusätzlich wird aber ab 2019 die ePrivacy-Verordnung der EU den
gesamten Umgang mit Cookies neu regeln.
DSGVO UND DIE EPRIVACY-VERORDNUNG.
Wir empfehlen Ihnen einen Cookie-Banner auf Ihrer Webseite
anzuzeigen. Damit informieren Sie Ihre Besucher, dass Ihre
Webseite Cookies verwendet.
Was aber muss der Cookie-Banner können? Die Anzeige alleine
reicht nur für zwingend notwendige Cookies. Alle anderen Cookies
dürften aus rechtlicher Sicht erst gesetzt werden, wenn der Besucher
den Cookies aktiv zustimmt.
COOKIE-HINWEIS JA, ABER WIE?
Es gibt dutzende Plug-ins für Cookie-Banner, welche einzig und
allein auf Cookies hinweisen und weder Opt-in- noch Opt-out-
Funktionalitäten haben. Cookies werden bereits beim ersten
Seitenaufruf geladen. Der Banner verschwindet auch, wenn man auf
die nächste Seite navigiert.
Diese Variante ist aktuell – und wohl auch nach dem 25. Mai 2018 –
die weitverbreitetste Lösung, wenn auch sie nicht vollständig
rechtskonform ist.
DER KLASSISCHE COOKIE-BANNER.
Es gibt inzwischen verschiedene Anbieter für erweiterte Cookie-
Banner. Diese scannen die angegebene Webseite auf Cookies. Sie
geben an, welche Cookies per Default und welche erst nach dem
Einverständnis des Besuchers geladen werden.
Die Webseite muss so programmiert werden, dass diese
Einstellungen auch korrekt berücksichtigt werden. Dies ist technisch
noch sehr komplex und entsprechend aufwändig.
DER ERWEITERTE COOKIE-BANNER.
KATEGORISIERUNG VON COOKIES.
Ein Anbieter für eine solche Lösung ist
OneTrust (https://onetrust.com/).
Cookies werden kategorisiert und können
durch den Benutzer aktiviert bzw. deaktiviert
werden.
» Notwendige Cookie (z. B. Session)
» Präferenz-Cookies (z. B. Sprachauswahl)
» Statistik-Cookies (z. B. Google Analytics)
» Marketing-Cookies (z. B. Remarketing)
Wenn man die rechtskonforme Cookie-Lösung wählt, wird
Remarketing in Zukunft schwierig. Die wenigsten Besucher werden
bewusst nicht notwendige Cookies akzeptieren.
Wir gehen aber fest davon aus, dass die grossen Player im
Remarketing entsprechende Massnahmen ergreifen und Lösungen
erarbeiten werden.
REMARKETING IN ZUKUNFT.
Der Facebook-Pixel sorgt für viel Diskussionsstoff. Nutzt man
Custom Audiences und aktiviert dafür den erweiterten Abgleich
(Advanced Matching), muss der Benutzter dafür sein aktives
Einverständnis geben, was kaum jemand macht.
Verzichtet man auf den erweiterten Abgleich, müsste man aber noch
immer eine Opt-out-Funktion zur Verfügung stellen, welche es so von
Facebook nicht gibt.
Wir empfehlen Ihnen, ab dem 25. Mai 2018 nicht mehr mit dem
erweiterten Abgleich zu arbeiten und die Situation um den Opt-out zu
beobachten.
FACEBOOK PIXEL UND PLUG-INS.
TRACKINGS / COOKIES IM EINSATZ.
Überprüfen Sie selber, welche Cookies und
Trackings auf Ihrer Webseite eingesetzt
werden. Zum Beispiel mit dem Tool Ghostery,
welches für alle gängigen Browser verfügbar
ist.
Der klassische Cookie-Hinweis-Banner ist weit verbreitet und kann
meistens über Plug-ins in Ihre Webseite eingefügt werden. Wir
können Sie gerne beraten, was für Ihre Webseite bzw. Ihr CMS die
beste Lösung ist. Bei TYPO3-Lösungen der Plan.Net Suisse AG
können wir die Integration für rund CHF 2000.– anbieten.
Der erweiterte Cookie-Banner ist komplexer. Nach der Auswahl eines
Anbieters muss der Banner in die Seite integriert und die Cookie-
Elemente auf der Webseite umprogrammiert werden. Die Kosten
sind abhängig vom Anbieter und der Anzahl Cookies auf Ihrer
Webseite.
INTEGRATION DES COOKIE-BANNERS.
COOKIE-LAYERS IN SCHÖN.
GOOGLE ANALYTICS.
VERTRAG ZUR
AUFTRAGSVERARBEITUNG.
Bisher musste man in Deutschland einen schriftlichen Vertrag mit
Google abschliessen, um Google Analytics einzusetzen. Dies gilt nun
für alle. Der Abschluss eines solchen Vertrages, der sogenannte
«Zusatz zur Datenverarbeitung», wird nun vereinfacht: Ab dem 25.
Mai 2018 muss der Vertrag nicht mehr ausgedruckt und per Post
nach Irland versendet werden, sondern es genügt, in den Google-
Analytics-Einstellungen den Vertrag elektronisch zu bestätigen.
Hierzu scrollen Sie in Google Analytics unter «Verwaltung >
Kontoeinstellungen» runter bis zur Rubrik «Zusatz zur
Datenverarbeitung».
Eine datenschutzkonforme Nutzung von Google
Analytics ist nur mit der Code-Erweiterung
«anonymizeIp» möglich. Durch Nutzung der
Code-Erweiterung werden die letzten 8 Bit der IP-
Adressen gelöscht und somit anonymisiert.
Es ist notwendig, dass den Betroffenen die
Möglichkeit eines Widerspruchs gegen die
Erstellung von Nutzungsprofilen eingeräumt wird.
Deshalb muss das Script erweitert werden, damit
ein Opt-Out-Cookie gesetzt wird. Dieses Cookie
verhindert die zukünftige Datenerfassung.
TRACKING-CODE
ANPASSEN.
Google bietet ab dem 25. Mai 2018 zusätzliche
Optionen zur Aufbewahrung der erhobenen
Daten. Die Aufbewahrungsdauer gilt nur für Daten
auf Nutzer- und Ereignisebene, die mit Cookies,
User IDs und Werbe-IDs verknüpft sind.
Aggregierte Daten sind nicht betroffen.
Öffnen Sie dafür die Verwaltung der gewünschten
Google Analytics Property und klicken Sie in der
Spalte «Property» auf «Tracking-Informationen >
Datenaufbewahrung».
AUFBEWAHRUNGSDAUER DER DATEN
FESTLEGEN.
Die Nutzung von Google Analytics ist in der
Datenschutzerklärung zwingend anzugeben.
Wegen DSGVO müssen die Texte angepasst
werden und primär folgende Daten beinhalten:
DATENSCHUTZERKLÄRUNG ANPASSEN.
• Umfang der Datenerhebung, Art. 12 und 13
DSGVO
• Rechtsgrundlage, Art. 13 DSGVO
• Speicherdauer bzw. Kriterien für Festlegung
der Dauer, Art. 13 Abs.2 lit.a DSGVO
• Widerspruchsrecht, Art. 21 DSGVO
• Hinweis zum Deaktivierungs-Add-on und Opt-
Out-Cookie
• Hinweis zu anonymizeIp
NEWSLETTER-
MARKETING.
Neu muss bei der Anmeldung neben der
«Einwilligung zum E-Mail-Service» (z. B.
Empfang von Newslettern) auch eine
Einwilligung zur «Erfassung und
Auswertung von personenbezogenen
Daten» (personenbezogenes Tracking)
abgefragt werden.
NEWSLETTER-ANMELDUNG.
Double Opt-in sollte heute schon Standard
sein. Für den Nachweis, dass sich eine
Person auch wirklich angemeldet hat, ist
dieses Verfahren in Zukunft der sicherste
Weg.
Das Double Opt-in ist ein Verfahren, bei dem
der Abonnent eines Newsletters oder dem
Erhalt einer Unternehmensinformation seine
Zustimmung zusätzlich in einem zweiten
Schritt bestätigen muss.
NEWSLETTER-ANMELDUNG.
NEWSLETTER-TEMPLATE.
Neu müssen in jedem E-Mailing zwingend alle Abmelde-Funktionen
(per Link), ein vollständiges Impressum (Firma, Adresse, PLZ, Ort,
Telefon, E-Mail, Web) und ein Link zu den eigenen Datenschutz-
Richtlinien integriert werden.
BESTEHENDE ADRESSEN.
Adressen, die bisher, also vor dem 25. Mai 2018, «rechtskonform»
erhoben wurden, dürfen auch ohne erneute Zustimmung weiterhin
angeschrieben werden.
Rechtskonform = Mit einer korrekten Einwilligung (muss nicht
unbedingt Double Opt-In sein) und Widerspruchsmöglichkeit inkl.
Hinweis auf Datenschutzerklärung und personenbezogenem
Tracking.
Es ist daher davon auszugehen, dass die meisten Adressen nicht
rechtskonform sind.
WIE WEITER MIT DIESEN ADRESSEN?
Es ist umstritten, wie mit bestehenden Adressen nun konkret
umgegangen werden soll. Grundsätzlich gilt, dass man sich bei nicht
rechtskonformer Einwilligung in einem neuen Double Opt-in-
Verfahren die Zulassung bestätigen muss. Erste Erfahrungen haben
gezeigt, dass man damit den Grossteil der Adressen im Verteiler
verliert!
Wenn Sie in Ihrem Verteiler aber vorwiegend Adressen von
Geschäftskontakten haben und diesen immer eine Opt-out-
Möglichkeit zur Verfügung stellen, ist das Risiko sehr gering, dass
rechtliche Probleme entstehen.
ZUKÜNFTIGES SAMMELN VON ADRESSEN.
Adressen, die z. B. über den Verkäufer via Visitenkarte in die
Adressdatenbank gelangen, müssen vom Empfänger erst bestätigt
werden. Und zwar so, dass Sie die Bestätigung nachweisen können.
Auch hierbei gilt, dass das Hinzufügen von Kontakten aus einer
Geschäftsbeziehung in der Regel kein grosses rechtliches Risiko mit
sich bringt, wenn eine Opt-out-Möglichkeit angeboten wird.
Vorsicht ist geboten bei gekauften Adresslisten oder auch Daten aus
einem Wettbewerb.
FORMULARE.
Alle Formulare, in welche persönliche Daten
eingegeben werden, fallen unter die
Datenschutzverordnung.
Dazu gehören u.a. folgende Formulare:
» Kontakt-, Anmelde- und Registrierformular
(Newsletter, Event, Kommentare)
» Bestellungen (Produkt, Download) und
Buchungen
» Gewinnspiele und Verlosungen
ARTEN VON FORMULAREN.
Bei allen Formularen muss auf die
Datenschutzbestimmungen verwiesen werden. In
der Datenschutzerklärung muss beschrieben sein,
wofür die Daten des jeweiligen Formulars
verwendet werden. Umstritten ist, ob der User die
Bestimmungen aktiv (Checkbox) akzeptieren
muss.
Auch wird Datensparsamkeit gefordert. Dies
bedeutet, dass z. B. beim Kontaktformular
grundsätzlich nur nötige Informationen wie Name
und E-Mail-Adresse als Pflichtfeld abgefragt
werden dürfen.
VORGEHEN BEI FORMULAREN.
RECHTSTEXTE.
Ihre Webseite braucht eine Datenschutzerklärung,
welche auf jeder Seite Ihres Internetauftritts
verlinkt sein muss.
Es gibt diverse deutschsprachige Online-Tools für
die Erstellung von Datenschutzerklärungen. Eine
Schweizer Lösung ist uns nicht bekannt.
Bei umfangreicheren Datenbearbeitungen
empfiehlt sich einen Anwalt beizuziehen.
DATENSCHUTZERKLÄRUNGEN.
Ihre Webseite braucht ein Impressum, welches
auf jeder Seite Ihres Internetauftritts verlinkt sein
muss.
Verwenden Sie dafür einen Online-Generator:
www.bag.ch/impressum-generator
Haben Sie einen Shop bzw. verkaufen Sie direkt
auf der Webseite, braucht es eine AGB-Seite,
welche auf jeder Seite Ihres Internetauftritts
verlinkt sein muss.
IMPRESSUM UND AGB.
DATENVERARBEITER /
AUFTRAGSVERARBEITER.
Datenverarbeiter sind alle Firmen, welche Ihre
Kundendaten speichern, verarbeiten, analysieren
oder einfach darauf zugreifen können.
Mit diesen Firmen müssen Sie grundsätzlich
einen Auftragsverarbeitungsvertrag (AV)
abschliessen, welcher bestätigt, dass sich der
Datenverarbeiter an die Regeln von DSGVO hält
und bei einem Missbrauch/Verlust sofort
informiert.
DATENVERARBEITER.
VIELEN DANK!
T. +41 44 446 23 63
Creating Relevance | plan-net.ch
Lukas Bühlmann
Rechtsanwalt und Partner bei
Meyerlustenberger Lachenal
Matthias Strebel
Projekt Manager und DSGVO-
Verantwortlicher bei Plan.Net
Suisse AG
Philipp Sauber
Geschäftsführer und Partner
bei Plan.Net Suisse AG
Plan.Net Suisse AG
Kirchenweg 8 | 8008 Zürich

Weitere ähnliche Inhalte

Ähnlich wie DSGVO-Workshop 24. Mai 2018

Zwischenpräsentation
ZwischenpräsentationZwischenpräsentation
Zwischenpräsentation
Milan Koch
 
Google Business Development Company Profile
Google Business Development Company ProfileGoogle Business Development Company Profile
Google Business Development Company Profile
Enzo Giannone
 
Digital Fitness Webinar "DSG"
Digital Fitness Webinar "DSG"Digital Fitness Webinar "DSG"
Digital Fitness Webinar "DSG"
StephanMeyer26
 
25% Lifetime-Provision mit eRecht24 Premium - Websitebetreib Digital - member...
25% Lifetime-Provision mit eRecht24 Premium - Websitebetreib Digital - member...25% Lifetime-Provision mit eRecht24 Premium - Websitebetreib Digital - member...
25% Lifetime-Provision mit eRecht24 Premium - Websitebetreib Digital - member...
Abida Bibi
 
ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...
ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...
ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...
e-dialog GmbH
 
eStrategy Magazin Ausgabe 04 / 2013
eStrategy Magazin Ausgabe 04 / 2013eStrategy Magazin Ausgabe 04 / 2013
eStrategy Magazin Ausgabe 04 / 2013
TechDivision GmbH
 
Digitale Transformation in der Finanzbranche
Digitale Transformation in der FinanzbrancheDigitale Transformation in der Finanzbranche
Digitale Transformation in der Finanzbranche
TWT
 
Website-Analyse simpel, sauber und sicher.
Website-Analyse simpel, sauber und sicher.Website-Analyse simpel, sauber und sicher.
Website-Analyse simpel, sauber und sicher.
ManuelMarreroHenriqu
 
EU-Cookie-Richtlinie - Der aktuelle Handlungsbedarf
EU-Cookie-Richtlinie - Der aktuelle HandlungsbedarfEU-Cookie-Richtlinie - Der aktuelle Handlungsbedarf
EU-Cookie-Richtlinie - Der aktuelle Handlungsbedarf
RESMEDIA - Anwälte für IT-IP-Medien
 
Onlinemarketing-Recht– Was Unternehmen und Agenturen 2019 wissen müssen #AFBMC
Onlinemarketing-Recht– Was Unternehmen und Agenturen 2019 wissen müssen #AFBMCOnlinemarketing-Recht– Was Unternehmen und Agenturen 2019 wissen müssen #AFBMC
Onlinemarketing-Recht– Was Unternehmen und Agenturen 2019 wissen müssen #AFBMC
AllFacebook.de
 
QualityClick 5 Erste Schritte
QualityClick 5 Erste SchritteQualityClick 5 Erste Schritte
QualityClick 5 Erste Schritte
Jan Bischoff
 
Onlinemarketing-Recht – Was Unternehmen und Agenturen 2019 wissen müssen #AFBMC
Onlinemarketing-Recht – Was Unternehmen und Agenturen 2019 wissen müssen #AFBMCOnlinemarketing-Recht – Was Unternehmen und Agenturen 2019 wissen müssen #AFBMC
Onlinemarketing-Recht – Was Unternehmen und Agenturen 2019 wissen müssen #AFBMC
Thomas Schwenke
 
Pflichtwissen zum Datenschutz in Kundenkommunikation und Marketing
Pflichtwissen zum Datenschutz in Kundenkommunikation und MarketingPflichtwissen zum Datenschutz in Kundenkommunikation und Marketing
Pflichtwissen zum Datenschutz in Kundenkommunikation und Marketing
Thomas Schwenke
 
Google Analytics und das Kirchliche Datenschutzgesetz (KDG)
Google Analytics und das Kirchliche Datenschutzgesetz (KDG)Google Analytics und das Kirchliche Datenschutzgesetz (KDG)
Google Analytics und das Kirchliche Datenschutzgesetz (KDG)
Ralf Simon
 
Upliftr.de - Wie richte ich Google Analytics ein | Die Guideline
Upliftr.de - Wie richte ich Google Analytics ein | Die GuidelineUpliftr.de - Wie richte ich Google Analytics ein | Die Guideline
Upliftr.de - Wie richte ich Google Analytics ein | Die Guideline
Upliftr
 
Lukas Stuber, Angelink: E-Shop-Performance steigern mit Suchmaschinen und Web...
Lukas Stuber, Angelink: E-Shop-Performance steigern mit Suchmaschinen und Web...Lukas Stuber, Angelink: E-Shop-Performance steigern mit Suchmaschinen und Web...
Lukas Stuber, Angelink: E-Shop-Performance steigern mit Suchmaschinen und Web...
Carpathia AG
 
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
Michael Kirst-Neshva
 
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Thomas Schwenke
 
Goldbach Group I Goldbach Seminar I Data Management im programmatischen Zeita...
Goldbach Group I Goldbach Seminar I Data Management im programmatischen Zeita...Goldbach Group I Goldbach Seminar I Data Management im programmatischen Zeita...
Goldbach Group I Goldbach Seminar I Data Management im programmatischen Zeita...
Goldbach Group AG
 
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer GeschäftsverkehrIT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
eBusinessLotse-Suedwestfalen-Hagen
 

Ähnlich wie DSGVO-Workshop 24. Mai 2018 (20)

Zwischenpräsentation
ZwischenpräsentationZwischenpräsentation
Zwischenpräsentation
 
Google Business Development Company Profile
Google Business Development Company ProfileGoogle Business Development Company Profile
Google Business Development Company Profile
 
Digital Fitness Webinar "DSG"
Digital Fitness Webinar "DSG"Digital Fitness Webinar "DSG"
Digital Fitness Webinar "DSG"
 
25% Lifetime-Provision mit eRecht24 Premium - Websitebetreib Digital - member...
25% Lifetime-Provision mit eRecht24 Premium - Websitebetreib Digital - member...25% Lifetime-Provision mit eRecht24 Premium - Websitebetreib Digital - member...
25% Lifetime-Provision mit eRecht24 Premium - Websitebetreib Digital - member...
 
ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...
ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...
ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...
 
eStrategy Magazin Ausgabe 04 / 2013
eStrategy Magazin Ausgabe 04 / 2013eStrategy Magazin Ausgabe 04 / 2013
eStrategy Magazin Ausgabe 04 / 2013
 
Digitale Transformation in der Finanzbranche
Digitale Transformation in der FinanzbrancheDigitale Transformation in der Finanzbranche
Digitale Transformation in der Finanzbranche
 
Website-Analyse simpel, sauber und sicher.
Website-Analyse simpel, sauber und sicher.Website-Analyse simpel, sauber und sicher.
Website-Analyse simpel, sauber und sicher.
 
EU-Cookie-Richtlinie - Der aktuelle Handlungsbedarf
EU-Cookie-Richtlinie - Der aktuelle HandlungsbedarfEU-Cookie-Richtlinie - Der aktuelle Handlungsbedarf
EU-Cookie-Richtlinie - Der aktuelle Handlungsbedarf
 
Onlinemarketing-Recht– Was Unternehmen und Agenturen 2019 wissen müssen #AFBMC
Onlinemarketing-Recht– Was Unternehmen und Agenturen 2019 wissen müssen #AFBMCOnlinemarketing-Recht– Was Unternehmen und Agenturen 2019 wissen müssen #AFBMC
Onlinemarketing-Recht– Was Unternehmen und Agenturen 2019 wissen müssen #AFBMC
 
QualityClick 5 Erste Schritte
QualityClick 5 Erste SchritteQualityClick 5 Erste Schritte
QualityClick 5 Erste Schritte
 
Onlinemarketing-Recht – Was Unternehmen und Agenturen 2019 wissen müssen #AFBMC
Onlinemarketing-Recht – Was Unternehmen und Agenturen 2019 wissen müssen #AFBMCOnlinemarketing-Recht – Was Unternehmen und Agenturen 2019 wissen müssen #AFBMC
Onlinemarketing-Recht – Was Unternehmen und Agenturen 2019 wissen müssen #AFBMC
 
Pflichtwissen zum Datenschutz in Kundenkommunikation und Marketing
Pflichtwissen zum Datenschutz in Kundenkommunikation und MarketingPflichtwissen zum Datenschutz in Kundenkommunikation und Marketing
Pflichtwissen zum Datenschutz in Kundenkommunikation und Marketing
 
Google Analytics und das Kirchliche Datenschutzgesetz (KDG)
Google Analytics und das Kirchliche Datenschutzgesetz (KDG)Google Analytics und das Kirchliche Datenschutzgesetz (KDG)
Google Analytics und das Kirchliche Datenschutzgesetz (KDG)
 
Upliftr.de - Wie richte ich Google Analytics ein | Die Guideline
Upliftr.de - Wie richte ich Google Analytics ein | Die GuidelineUpliftr.de - Wie richte ich Google Analytics ein | Die Guideline
Upliftr.de - Wie richte ich Google Analytics ein | Die Guideline
 
Lukas Stuber, Angelink: E-Shop-Performance steigern mit Suchmaschinen und Web...
Lukas Stuber, Angelink: E-Shop-Performance steigern mit Suchmaschinen und Web...Lukas Stuber, Angelink: E-Shop-Performance steigern mit Suchmaschinen und Web...
Lukas Stuber, Angelink: E-Shop-Performance steigern mit Suchmaschinen und Web...
 
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
 
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
 
Goldbach Group I Goldbach Seminar I Data Management im programmatischen Zeita...
Goldbach Group I Goldbach Seminar I Data Management im programmatischen Zeita...Goldbach Group I Goldbach Seminar I Data Management im programmatischen Zeita...
Goldbach Group I Goldbach Seminar I Data Management im programmatischen Zeita...
 
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer GeschäftsverkehrIT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
 

DSGVO-Workshop 24. Mai 2018

  • 2. AGENDA. » SSL-Verschlüsselung » Cookies » Google Analytics » Newsletter-Marketing » Formulare » Rechtstexte » Auftragsverarbeiter
  • 3. Wir möchten Ihnen zeigen: » Was die Auswirkungen auf die digitalen Kanäle sind. » Wie Sie Ihre Webseite aufrüsten müssen. » Wie die Massnahmen elegant umgesetzt werden können. UNSER ZIEL.
  • 4. DSGVO ist ein juristisches Thema. Wir von der Plan.Net Suisse AG sind keine Juristen. Die folgenden Themen beinhalten Empfehlungen und Ratschläge, welche unsere Recherchen und Abklärungen ergeben haben. Wir übernehmen keine Gewähr für Richtigkeit, Aktualität und Vollständigkeit unserer Ausführungen und keinerlei Haftung für mögliche Rechtsfolgen. WIR SIND KEINE JURISTEN.
  • 6. HTTP ist ein Protokoll, welches Daten von Ihrem Internet-Browser auf den Webserver der Webseite überträgt. Diese Daten, z. B. Eingaben bei Kontaktformularen, werden unverschlüsselt versendet. Mit einem SSL-Zertifikat können die Daten über das Protokoll HTTPS verschlüsselt übermittelt werden und sind so für Hacker nicht lesbar. Das Verfahren ist vergleichbar mit dem Versiegeln eines Briefs vor dem Versenden. WAS BEDEUTET HTTPS?
  • 7. Webseiten ohne SSL-Zertifikat werden von Browsern und von Google bereits als unsicher abgestraft. Webseiten mit einem SSL-Zertifikat werden entsprechend markiert. Dabei wird unterschieden zwischen der Standard- und der EV-Version (Extended Validation). Die EV-Version erweitert die Adressleiste mit einem grünen Balken, welcher den im Handelsregister eingetragenen Firmennamen beinhaltet. Dies verstärkt u.a. visuell die Sicherheit und das Vertrauen. SSL-ZERTIFIKATE.
  • 8. Wir empfehlen Ihnen kein Gratis SSL-Zertifikat! Nein, ein kostenloses SSL-Zertifikat ist nicht unsicherer als ein kostenpflichtiges. Zwar sorgen auch die kostenlosen Zertifikate für Verschlüsselung, liefern aber keine Angaben über die Identität des Domaininhabers oder Seitenbetreibers, während kostenpflichtige Zertifikate mit EV immer garantieren, dass eine eingetragene Firma dahinter steckt. GRATIS SSL-ZERTIFIKAT?
  • 9. Das SSL-Zertfikat wird pro Domain gekauft. Wir arbeiten meistens mit dem Anbieter Thawte (https://www.thawte.de), wo ein Zertifikat mit EV pro Jahr EUR 249.– kostet. Das Zertifikat muss zusätzlich auf dem Webserver installiert und alle Aufrufe von HTTP auf HTTPS weitergeleitet werden. Zu guter Letzt muss die Webseite auf https-Kompatibilität geprüft und ggf. angepasst werden. Für diese Arbeiten rechnen wir mit einem Aufwand von rund 2 Tagen. IMPLEMENTIERUNG UND KOSTEN.
  • 11. Cookies sind Daten, die von einer Website, die Sie besuchen, auf Ihrem Computer als Textdatei gespeichert werden. Cookies speichern Informationen wie z. B. Ihre bevorzugte Sprache oder andere persönliche Seiteneinstellungen. Wenn Sie später diese Website erneut besuchen, übermittelt der Browser die gespeicherten Cookie-Informationen an die Seite zurück. Dadurch können individuelle und an Sie angepasste Informationen angezeigt werden. WAS IST EIN COOKIE?
  • 12. Der Umgang mit Cookies wird von DSGVO geregelt, sobald diese personenbezogene Daten betreffen. Zusätzlich wird aber ab 2019 die ePrivacy-Verordnung der EU den gesamten Umgang mit Cookies neu regeln. DSGVO UND DIE EPRIVACY-VERORDNUNG.
  • 13. Wir empfehlen Ihnen einen Cookie-Banner auf Ihrer Webseite anzuzeigen. Damit informieren Sie Ihre Besucher, dass Ihre Webseite Cookies verwendet. Was aber muss der Cookie-Banner können? Die Anzeige alleine reicht nur für zwingend notwendige Cookies. Alle anderen Cookies dürften aus rechtlicher Sicht erst gesetzt werden, wenn der Besucher den Cookies aktiv zustimmt. COOKIE-HINWEIS JA, ABER WIE?
  • 14. Es gibt dutzende Plug-ins für Cookie-Banner, welche einzig und allein auf Cookies hinweisen und weder Opt-in- noch Opt-out- Funktionalitäten haben. Cookies werden bereits beim ersten Seitenaufruf geladen. Der Banner verschwindet auch, wenn man auf die nächste Seite navigiert. Diese Variante ist aktuell – und wohl auch nach dem 25. Mai 2018 – die weitverbreitetste Lösung, wenn auch sie nicht vollständig rechtskonform ist. DER KLASSISCHE COOKIE-BANNER.
  • 15. Es gibt inzwischen verschiedene Anbieter für erweiterte Cookie- Banner. Diese scannen die angegebene Webseite auf Cookies. Sie geben an, welche Cookies per Default und welche erst nach dem Einverständnis des Besuchers geladen werden. Die Webseite muss so programmiert werden, dass diese Einstellungen auch korrekt berücksichtigt werden. Dies ist technisch noch sehr komplex und entsprechend aufwändig. DER ERWEITERTE COOKIE-BANNER.
  • 16. KATEGORISIERUNG VON COOKIES. Ein Anbieter für eine solche Lösung ist OneTrust (https://onetrust.com/). Cookies werden kategorisiert und können durch den Benutzer aktiviert bzw. deaktiviert werden. » Notwendige Cookie (z. B. Session) » Präferenz-Cookies (z. B. Sprachauswahl) » Statistik-Cookies (z. B. Google Analytics) » Marketing-Cookies (z. B. Remarketing)
  • 17. Wenn man die rechtskonforme Cookie-Lösung wählt, wird Remarketing in Zukunft schwierig. Die wenigsten Besucher werden bewusst nicht notwendige Cookies akzeptieren. Wir gehen aber fest davon aus, dass die grossen Player im Remarketing entsprechende Massnahmen ergreifen und Lösungen erarbeiten werden. REMARKETING IN ZUKUNFT.
  • 18. Der Facebook-Pixel sorgt für viel Diskussionsstoff. Nutzt man Custom Audiences und aktiviert dafür den erweiterten Abgleich (Advanced Matching), muss der Benutzter dafür sein aktives Einverständnis geben, was kaum jemand macht. Verzichtet man auf den erweiterten Abgleich, müsste man aber noch immer eine Opt-out-Funktion zur Verfügung stellen, welche es so von Facebook nicht gibt. Wir empfehlen Ihnen, ab dem 25. Mai 2018 nicht mehr mit dem erweiterten Abgleich zu arbeiten und die Situation um den Opt-out zu beobachten. FACEBOOK PIXEL UND PLUG-INS.
  • 19. TRACKINGS / COOKIES IM EINSATZ. Überprüfen Sie selber, welche Cookies und Trackings auf Ihrer Webseite eingesetzt werden. Zum Beispiel mit dem Tool Ghostery, welches für alle gängigen Browser verfügbar ist.
  • 20. Der klassische Cookie-Hinweis-Banner ist weit verbreitet und kann meistens über Plug-ins in Ihre Webseite eingefügt werden. Wir können Sie gerne beraten, was für Ihre Webseite bzw. Ihr CMS die beste Lösung ist. Bei TYPO3-Lösungen der Plan.Net Suisse AG können wir die Integration für rund CHF 2000.– anbieten. Der erweiterte Cookie-Banner ist komplexer. Nach der Auswahl eines Anbieters muss der Banner in die Seite integriert und die Cookie- Elemente auf der Webseite umprogrammiert werden. Die Kosten sind abhängig vom Anbieter und der Anzahl Cookies auf Ihrer Webseite. INTEGRATION DES COOKIE-BANNERS.
  • 23. VERTRAG ZUR AUFTRAGSVERARBEITUNG. Bisher musste man in Deutschland einen schriftlichen Vertrag mit Google abschliessen, um Google Analytics einzusetzen. Dies gilt nun für alle. Der Abschluss eines solchen Vertrages, der sogenannte «Zusatz zur Datenverarbeitung», wird nun vereinfacht: Ab dem 25. Mai 2018 muss der Vertrag nicht mehr ausgedruckt und per Post nach Irland versendet werden, sondern es genügt, in den Google- Analytics-Einstellungen den Vertrag elektronisch zu bestätigen. Hierzu scrollen Sie in Google Analytics unter «Verwaltung > Kontoeinstellungen» runter bis zur Rubrik «Zusatz zur Datenverarbeitung».
  • 24. Eine datenschutzkonforme Nutzung von Google Analytics ist nur mit der Code-Erweiterung «anonymizeIp» möglich. Durch Nutzung der Code-Erweiterung werden die letzten 8 Bit der IP- Adressen gelöscht und somit anonymisiert. Es ist notwendig, dass den Betroffenen die Möglichkeit eines Widerspruchs gegen die Erstellung von Nutzungsprofilen eingeräumt wird. Deshalb muss das Script erweitert werden, damit ein Opt-Out-Cookie gesetzt wird. Dieses Cookie verhindert die zukünftige Datenerfassung. TRACKING-CODE ANPASSEN.
  • 25. Google bietet ab dem 25. Mai 2018 zusätzliche Optionen zur Aufbewahrung der erhobenen Daten. Die Aufbewahrungsdauer gilt nur für Daten auf Nutzer- und Ereignisebene, die mit Cookies, User IDs und Werbe-IDs verknüpft sind. Aggregierte Daten sind nicht betroffen. Öffnen Sie dafür die Verwaltung der gewünschten Google Analytics Property und klicken Sie in der Spalte «Property» auf «Tracking-Informationen > Datenaufbewahrung». AUFBEWAHRUNGSDAUER DER DATEN FESTLEGEN.
  • 26. Die Nutzung von Google Analytics ist in der Datenschutzerklärung zwingend anzugeben. Wegen DSGVO müssen die Texte angepasst werden und primär folgende Daten beinhalten: DATENSCHUTZERKLÄRUNG ANPASSEN. • Umfang der Datenerhebung, Art. 12 und 13 DSGVO • Rechtsgrundlage, Art. 13 DSGVO • Speicherdauer bzw. Kriterien für Festlegung der Dauer, Art. 13 Abs.2 lit.a DSGVO • Widerspruchsrecht, Art. 21 DSGVO • Hinweis zum Deaktivierungs-Add-on und Opt- Out-Cookie • Hinweis zu anonymizeIp
  • 28. Neu muss bei der Anmeldung neben der «Einwilligung zum E-Mail-Service» (z. B. Empfang von Newslettern) auch eine Einwilligung zur «Erfassung und Auswertung von personenbezogenen Daten» (personenbezogenes Tracking) abgefragt werden. NEWSLETTER-ANMELDUNG.
  • 29. Double Opt-in sollte heute schon Standard sein. Für den Nachweis, dass sich eine Person auch wirklich angemeldet hat, ist dieses Verfahren in Zukunft der sicherste Weg. Das Double Opt-in ist ein Verfahren, bei dem der Abonnent eines Newsletters oder dem Erhalt einer Unternehmensinformation seine Zustimmung zusätzlich in einem zweiten Schritt bestätigen muss. NEWSLETTER-ANMELDUNG.
  • 30. NEWSLETTER-TEMPLATE. Neu müssen in jedem E-Mailing zwingend alle Abmelde-Funktionen (per Link), ein vollständiges Impressum (Firma, Adresse, PLZ, Ort, Telefon, E-Mail, Web) und ein Link zu den eigenen Datenschutz- Richtlinien integriert werden.
  • 31. BESTEHENDE ADRESSEN. Adressen, die bisher, also vor dem 25. Mai 2018, «rechtskonform» erhoben wurden, dürfen auch ohne erneute Zustimmung weiterhin angeschrieben werden. Rechtskonform = Mit einer korrekten Einwilligung (muss nicht unbedingt Double Opt-In sein) und Widerspruchsmöglichkeit inkl. Hinweis auf Datenschutzerklärung und personenbezogenem Tracking. Es ist daher davon auszugehen, dass die meisten Adressen nicht rechtskonform sind.
  • 32. WIE WEITER MIT DIESEN ADRESSEN? Es ist umstritten, wie mit bestehenden Adressen nun konkret umgegangen werden soll. Grundsätzlich gilt, dass man sich bei nicht rechtskonformer Einwilligung in einem neuen Double Opt-in- Verfahren die Zulassung bestätigen muss. Erste Erfahrungen haben gezeigt, dass man damit den Grossteil der Adressen im Verteiler verliert! Wenn Sie in Ihrem Verteiler aber vorwiegend Adressen von Geschäftskontakten haben und diesen immer eine Opt-out- Möglichkeit zur Verfügung stellen, ist das Risiko sehr gering, dass rechtliche Probleme entstehen.
  • 33. ZUKÜNFTIGES SAMMELN VON ADRESSEN. Adressen, die z. B. über den Verkäufer via Visitenkarte in die Adressdatenbank gelangen, müssen vom Empfänger erst bestätigt werden. Und zwar so, dass Sie die Bestätigung nachweisen können. Auch hierbei gilt, dass das Hinzufügen von Kontakten aus einer Geschäftsbeziehung in der Regel kein grosses rechtliches Risiko mit sich bringt, wenn eine Opt-out-Möglichkeit angeboten wird. Vorsicht ist geboten bei gekauften Adresslisten oder auch Daten aus einem Wettbewerb.
  • 35. Alle Formulare, in welche persönliche Daten eingegeben werden, fallen unter die Datenschutzverordnung. Dazu gehören u.a. folgende Formulare: » Kontakt-, Anmelde- und Registrierformular (Newsletter, Event, Kommentare) » Bestellungen (Produkt, Download) und Buchungen » Gewinnspiele und Verlosungen ARTEN VON FORMULAREN.
  • 36. Bei allen Formularen muss auf die Datenschutzbestimmungen verwiesen werden. In der Datenschutzerklärung muss beschrieben sein, wofür die Daten des jeweiligen Formulars verwendet werden. Umstritten ist, ob der User die Bestimmungen aktiv (Checkbox) akzeptieren muss. Auch wird Datensparsamkeit gefordert. Dies bedeutet, dass z. B. beim Kontaktformular grundsätzlich nur nötige Informationen wie Name und E-Mail-Adresse als Pflichtfeld abgefragt werden dürfen. VORGEHEN BEI FORMULAREN.
  • 38. Ihre Webseite braucht eine Datenschutzerklärung, welche auf jeder Seite Ihres Internetauftritts verlinkt sein muss. Es gibt diverse deutschsprachige Online-Tools für die Erstellung von Datenschutzerklärungen. Eine Schweizer Lösung ist uns nicht bekannt. Bei umfangreicheren Datenbearbeitungen empfiehlt sich einen Anwalt beizuziehen. DATENSCHUTZERKLÄRUNGEN.
  • 39. Ihre Webseite braucht ein Impressum, welches auf jeder Seite Ihres Internetauftritts verlinkt sein muss. Verwenden Sie dafür einen Online-Generator: www.bag.ch/impressum-generator Haben Sie einen Shop bzw. verkaufen Sie direkt auf der Webseite, braucht es eine AGB-Seite, welche auf jeder Seite Ihres Internetauftritts verlinkt sein muss. IMPRESSUM UND AGB.
  • 41. Datenverarbeiter sind alle Firmen, welche Ihre Kundendaten speichern, verarbeiten, analysieren oder einfach darauf zugreifen können. Mit diesen Firmen müssen Sie grundsätzlich einen Auftragsverarbeitungsvertrag (AV) abschliessen, welcher bestätigt, dass sich der Datenverarbeiter an die Regeln von DSGVO hält und bei einem Missbrauch/Verlust sofort informiert. DATENVERARBEITER.
  • 42. VIELEN DANK! T. +41 44 446 23 63 Creating Relevance | plan-net.ch Lukas Bühlmann Rechtsanwalt und Partner bei Meyerlustenberger Lachenal Matthias Strebel Projekt Manager und DSGVO- Verantwortlicher bei Plan.Net Suisse AG Philipp Sauber Geschäftsführer und Partner bei Plan.Net Suisse AG Plan.Net Suisse AG Kirchenweg 8 | 8008 Zürich