Am 25. Mai gelten für den Umgang mit Kundendaten neue Regeln
DSGVO – was Inhaber von Websites beachten müssen
Am 25. Mai 2018 endet die Übergangsfrist zur neuen EU-Datenschutz-Grundverordnung. Ab diesem Datum müssen auch Unternehmen mit Sitz in der Schweiz die Vorschrift erfüllen, wenn Sie Daten von EU-Kunden gespeichert haben. Betroffen ist damit die Mehrzahl der Unternehmen in der Schweiz.
Was ist die DSGVO
- Die neue Datenschutz-Grundverordnung (DSGVO) regelt die Speicherung und Nutzung persönlicher Kundendaten im Unternehmen.
- Benutzerdaten dürfen künftig nur noch mit ausdrücklichem Einverständnis des Benutzers gespeichert und verwendet werden.
- Als persönliche Kundendaten gelten nicht nur Name oder die e-Mail-Adresse, sondern jegliche Information, die Rückschlüsse auf den Benutzer zulassen, etwa auch IP-Adressen
- Die DSGVO betrifft nicht nur Websites, sondern jegliche Applikationen, also etwa auch das CRM oder Newsletter-Software
- Das Unternehmen muss jederzeit wissen, wo persönliche Kundendaten gespeichert sind, grössere Unternehmen müssen eine verantwortliche Person für diese Aufgabe bestimmen
- Der Kunde darf Auskunft verlangen, was für Informationen über ihn im Unternehmen gespeichert sind sowie deren Löschung verlangen
Was müssen Unternehmen tun?
- Abklären, ob man unter die DSGVO-Bestimmungen fällt. Massgebend für die Anwendung der DSGVO ist der Wohnsitz der Person. Befindet sich dieser in der Europäischen Union, greift die Verordnung. Betroffen sind also auch alle Schweizer Unternehmen mit mindestens einem Personeneintrag aus dem EU-Raum – also vermutlich die Mehrheit der Unternehmen in der Schweiz.
- Abklären, wo überall im Unternehmen persönliche Kundendaten gespeichert sind, und die Resultate dokumentieren
- Das Vorgehen definieren, falls ein Kunde Auskunft über seine gespeicherten Daten verlangt (Auskunftsrecht)
- Das Vorgehen definieren, wenn ein Kunde die Löschung dieser Daten beantragt
- Definieren, wie die Sicherheit der persönlichen Kundendaten gewährleistet wird
Was muss konkret bei Firmenwebsite angepasst werden?
Jedes Unternehmen sollte im Minimum die Einhaltung der folgenden Punkte sicherstellen:
- Für Websites besteht auch in der Schweiz seit 2012 die Impressumspflicht. Spätestens per Ende Mai 2018 muss dieses an die DSGVO angepasst werden, oder aber durch einen separaten Bereich «Datenschutz» ergänzt werden.
- Bei der Eingabe von Kundendaten (z.B. Kontaktformular) muss der Kunde sein Einverständnis für deren Speicherung und allenfalls der weiteren Verwendung geben.
- Bei Bestellungen oder Kontaktanfragen dürfen keine Optionen mehr vorausgewählt sein. So sind etwa bereits angewählte Checkboxen «Ich möchte künftig den Newsletter erhalten» ausdrücklich verboten.
- Für die Nutzung von Google Analytics für Zugriffsstatistiken muss neu die Zustimmung des Benutzers eingeholt werden, oder aber die IP-Nummern müssen anonymisiert werden.
- Beim Abonnieren von Informationen (z.B. Newsletter, Facebook-Gruppe) muss der Benutzer ausdrücklich die Zustimmung zur Speicherung seiner Daten geben. Bei Newslettern ist zudem das Double-Optin-Verfahren künftig Pflicht.
- Es dürfen nur noch die absolut notwendigen Daten abgefragt werden: wer also z.B. Newsletter-Abonnenten werbe möchte, braucht dazu Name und e-Mail. Wer beispielsweise noch das Alter abfragt – weil man das «irgendwann sicher brauchen kann», kommt in Konflikt mit der DSGVO.
Angebot für Website-Kunden von mazze.ch
Die DSGVO betrifft das gesamte Unternehmen, nicht nur die Website. Für die Umsetzung der Verordnung empfiehlt sich der Beizug eines Anwalts. Was die Website betrifft, offertiert mazze.ch allen Kunden DSGVO-Website-Check zum Fixpreis für CHF 160.00. Das Angebot gilt nur für Websites, die von mazze.ch erstellt wurden, andere Sites auf Basis Drupal CMS sind nach Absprache aber ebenfalls möglich.