So machen Sie Ihre Website DSGVO-konform

Veröffentlicht: 2021-07-19

Die DSGVO-Anforderungen gelten weiterhin während der Brexit-Austrittsfrist des Vereinigten Königreichs und für alle Unternehmen, die mit der EU Handel treiben. Hier sind 10 Änderungen, die Sie jetzt an Ihrer Website vornehmen sollten, um auf der richtigen Seite des Gesetzes zu bleiben und Ihre Kunden zufrieden zu stellen.

In diesem Beitrag möchte ich speziell den engen Bereich abdecken , wie Sie Ihre Website DSGVO-konform machen und Empfehlungen für die spezifischen Änderungen geben, die Sie vornehmen müssen.

Was ist mit Brexit und 2020… ist die DSGVO immer noch eine Anforderung?

Die Datenschutz-Grundverordnung (DSGVO) gilt für alle Unternehmen mit Sitz in der EU und solche mit EU-Bürgern als Kunden. Für britische Unternehmen ändert das Brexit-Austrittsabkommen keine Änderungen an der Einhaltung während der Übergangszeit, und auch die Anforderungen für Unternehmen, die innerhalb der EU handeln, werden sich nicht ändern.

Darüber hinaus verpflichtet sich das Vereinigte Königreich, die hohen Standards der DSGVO aufrechtzuerhalten (und die Regierung plant, sie nach dem Brexit in britisches Recht zu übernehmen.

Am 25. Mai 2018 traten die aktuellen Regelungen der DSGVO in Kraft.

Es ist interessant, die Durchsetzung der DSGVO-Vorschriften in Betracht zu ziehen, und die Website des DSGVO Enforcement Tracker bietet eine Liste und einen Überblick über Bußgelder und Strafen, die Datenschutzbehörden innerhalb der EU im Rahmen der DSGVO verhängt haben.

Erstens muss ich sagen, dass ich kein Jurist bin, und zweitens ist dies eine kursorische Analyse. Zum Zeitpunkt des Schreibens enthält die Datenbank

  • In 16 Fällen von Geldbußen und Strafen, in denen die Zusammenfassung das Wort „Web“ enthält, darunter ein Fall im Dezember 2019 bezüglich eines Betreibers einer Website für Rechtsnachrichten, war die Datenschutzerklärung nur auf Englisch verfügbar, obwohl sie auch an einen Niederländisch- und Französischsprachigen gerichtet war Publikum.
  • 5 Fälle, in denen die Zusammenfassung das Wort „E-Mail“ enthält, darunter ein Fall im Jahr 2019, in dem Vodaphone eine Marketing-E-Mail an eine große Anzahl von Empfängern (Kunden) gesendet hat, ohne die Blindkopie-Funktion zu verwenden. Die anfängliche Geldbuße von 60.000 Euro wurde auf 36.000 Euro herabgesetzt.

Auf der einen Seite ist dies nicht eine riesige Anzahl von Verfolgungen wegen Nichteinhaltung, sondern kombiniert dieses Risiko mit der erhöhten Sensibilität der Verarbeitung personenbezogener Daten und dem Bewusstsein dafür, und die Einhaltung der DSGVO wird nicht nur eine gesetzliche Anforderung, sondern auch guten Geschäftssinn.

Wie wirkt sich die DSGVO auf meine Website-Pläne und -Funktionalität aus?

Die DSGVO hat erhebliche Auswirkungen auf die Website-Anforderungen, was sich auf die Integration Ihrer Website in Ihre anderen digitalen Aktivitäten wie E-Mail-Marketing, soziale Medien und E-Commerce-Aktivitäten auswirkt.

Der rote Faden, der all diese Empfehlungen verbindet, besteht darin, dass im Rahmen der DSGVO das Konzept der freien, spezifischen und informierten Einwilligung durch neue Regeln gestärkt wird, was bedeutet, dass Unternehmen wie unseres mehr Transparenz bieten müssen.

Hier sind 10 Schritte, die Sie für Ihre Website überprüfen und notwendige Änderungen mit Ihrem Webentwicklungsteam besprechen sollten. Bei Fragen können Sie sich gerne mit mir in Verbindung setzen.

Beginnen wir mit den einfachen Änderungen, die Sie vornehmen müssen, und gehen wir dann zu den komplexeren Bereichen über.

1. Formulare: aktives Opt-in

Formulare, die Benutzer zum Abonnieren von Newslettern einladen oder Kontaktpräferenzen angeben, müssen standardmäßig auf „Nein“ gesetzt oder leer sein. Sie müssen Ihre Formulare überprüfen, um sicherzustellen, dass dies der Fall ist.

Als Beispiel hat das aktuelle Boots-Registrierungsformular vor der DSGVO-Compliance das Opt-in-Kästchen angekreuzt und den Benutzer gezwungen, sich aktiv abzumelden. Sehr ungezogen, schlechte Benutzererfahrung und muss bis Mai geändert werden.

DSGVO-Opt-In fehlgeschlagen

Im Jahr 2020 wurde dieses Formular gemäß den DSGVO-Anforderungen deaktiviert

Boots 2020 Website DSGVO-Konformität

Auf der anderen Seite würde ich argumentieren, dass Sainsbury's mir keine großartige Erfahrung bietet, indem es ein Opt-in annimmt und mich zwingt, das Kästchen zum Opt-out anzukreuzen. Ich würde argumentieren, dass sie damit möglicherweise dicht am Wind segeln und mich als potenzieller Kunde definitiv nicht begeistern:

2020 DSGVO Sainsburys Opt-out

2. Entbündeltes Opt-in

Die von Ihnen erbetene Einwilligung sollte für die Zustimmung zu den Allgemeinen Geschäftsbedingungen und die Zustimmung zu anderen Arten der Datenverwendung gesondert angegeben werden.

In diesem Beispiel hat Sainsbury's klar die Zustimmung zu seinen Allgemeinen Geschäftsbedingungen und das aktive Opt-in für seine Kontaktberechtigungen dargelegt.

Es ist eine Schande, dass Sainsbury's nicht die Möglichkeit hat, die Opt-in-Präferenzen für die Kommunikation (E-Mail, SMS, Post) detaillierter zu gestalten.

sainsburys granulare opt-in

3. Granulares Opt-in

Benutzer sollten in der Lage sein, für verschiedene Arten der Verarbeitung eine separate Einwilligung zu erteilen.

In diesem Beispiel bittet ABC Awards um eine spezifische Erlaubnis für jede Art der Verarbeitung (Post, E-Mail, Telefon) und auch um Erlaubnis, vergangene Daten an Dritte weiterzugeben.

4. Einfaches Widerrufen der Erlaubnis oder Opt-out

Der Widerruf der Einwilligung muss genauso einfach sein wie die Erteilung, und der Einzelne muss immer wissen, dass er das Recht hat, seine Einwilligung zu widerrufen.

In Bezug auf Ihre Web-Benutzererfahrung bedeutet dies, dass die Abmeldung darin bestehen kann, die Zustimmung zu bestimmten Kommunikationsströmen selektiv zu widerrufen:

Einwilligung zurückziehen DSGVO

Oder ändern Sie ganz einfach die Kommunikationsfrequenz oder beenden Sie die gesamte Kommunikation:

Häufigkeit der Einwilligung zurückziehen

5. Benannte Parteien

Ihre Webformulare müssen jede Partei, für die die Zustimmung erteilt wird, eindeutig identifizieren. Es reicht nicht aus, spezifisch definierte Kategorien von Drittorganisationen zu nennen. Sie müssen benannt werden.

In diesem Beispiel können Sie sehen, dass John Lewis das Wesentliche versteht, das wir benötigen, um benannte Berechtigungen für Updates jeweils von Waitrose, John Lewis und John Lewis Financial Services zu erteilen.

Zuvor wurden die Benutzer im Formular aufgefordert, sich abzumelden, anstatt sich anzumelden:

John Lewis Berechtigungen

6. Datenschutzerklärung und Geschäftsbedingungen

Das Information Commissioner's Office (ICO) hat uns freundlicherweise einen Muster-Datenschutzhinweis zur Verfügung gestellt, den Sie auf Ihrer Website verwenden können. Es ist übersichtlich, transparent und leicht zugänglich.

Sie müssen auch Ihre Allgemeinen Geschäftsbedingungen auf Ihrer Website aktualisieren, um auf die DSGVO-Terminologie zu verweisen. Insbesondere müssen Sie transparent machen, was Sie mit den Informationen tun, wenn Sie sie erhalten haben und wie lange Sie diese Informationen sowohl auf Ihrer Website als auch in Ihren Office-Systemen aufbewahren. .

Sie müssen auch mitteilen, wie und warum Sie Daten sammeln. Ihre Datenschutzrichtlinie muss Anwendungen detailliert beschreiben, die Sie verwenden, um Benutzerinteraktionen zu verfolgen.

7. Online-Zahlungen

Wenn Sie ein E-Commerce-Unternehmen sind, verwenden Sie wahrscheinlich ein Zahlungsgateway für Finanztransaktionen. Ihre eigene Website sammelt möglicherweise personenbezogene Daten, bevor sie die Details an das Zahlungsgateway weitergibt.

Wenn dies der Fall ist und Ihre Website diese personenbezogenen Daten speichert, nachdem die Informationen weitergegeben wurden, müssen Sie Ihre Webprozesse ändern, um alle personenbezogenen Daten nach einem angemessenen Zeitraum, beispielsweise 60 Tagen, zu entfernen . Die DSGVO-Gesetzgebung macht keine Angaben zur Anzahl der Tage, es liegt in Ihrem eigenen Ermessen, was als angemessen und erforderlich verteidigt werden kann.

8. Tracking-Software von Drittanbietern

Jetzt wird es schwierig, wenn es um Tracking-Software von Drittanbietern geht.

Viele Websites verwenden auf ihrer Website Marketing-Automatisierungs-Softwarelösungen von Drittanbietern. Dies können Lead-Tracking-Anwendungen wie Lead Forensics, Leadfeeder oder CANDDI sein. Oder es könnte sich um Anrufverfolgungsanwendungen wie Infinity Call Tracking oder Ruler Analytics handeln.

Der Einsatz dieser Tracking-Anwendungen wirft einige sehr interessante Fragen in Bezug auf die DSGVO-Compliance auf, und dies bleibt meiner Meinung nach eine Grauzone. Auf den ersten Blick verfolgen diese Anwendungen Benutzer auf eine Weise, die sie nicht erwarten würden und für die sie keine Einwilligung erteilt haben. Zum Beispiel verfolgt es mein Verhalten jedes Mal, wenn ich auf Ihre Website zurückkehre oder eine bestimmte Seite auf Ihrer Website ansehe.

Die Anbieter dieser Anwendungen versichern uns jedoch, dass sie DSGVO-konform sind.

Zum einen raten Anbieter wie CANNDI dazu, Banner mit klaren und eindeutigen Hinweisen auf die Verwendung von Cookies,

CANNDI DSGVO-Konformität

Und die Softwareanbieter argumentieren, dass die Verwendung der Cookie-Tracking-Technologie im berechtigten Interesse Ihres Unternehmens als Datenverantwortlicher liegt, und insbesondere Erwägungsgrund 47 erlaubt „Verarbeitung für Direktmarketingzwecke oder Betrugsprävention“.

CANDI rät:

Berechtigtes​​​​​​​​​​​​​​​​​​​​​​Prinzip​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​–​​​–​–​–​–​––––​––––––––––––––––– Wenn du das Prinzip des berechtigten​​​​​Interessens” im Rahmen deines Website-Trackings verwendest, ist es ratsam, dies während deiner DSGVO-Vorbereitung festzuhalten, dass dies der Fall ist. ​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​ Dies sollte die Gründe enthalten, aus denen Sie dies verwenden.

Ich möchte CANNDI dafür danken, dass sie ihre DSGVO-Perspektive geteilt haben, und würde Ihnen empfehlen, sie zu lesen (PDF).

CANNDIO DSGVO-Perspektive

Die Anbieter dieser Tools sind überzeugt, dass sie DSGVO-konform sind. Wenn die Software jedoch etwas Illegales tut, ist Ihr Unternehmen als Datenverantwortlicher dafür verantwortlich. Die eigentliche Frage besteht darin, die Risiken der DSGVO-Compliance bei der Verwendung dieser Art von Software zu identifizieren und Ihre Risiken als Geschäftsinhaber zu mindern. Daher müssen Sie Ihren Vertrag mit diesen Softwareanbietern sorgfältig prüfen.

9. Was ist mit Google Analytics und Google Tag Manager?

Wenn Sie sich für das Engagement von Google zur DSGVO interessieren, ist diese Website ein guter Ausgangspunkt: Wie Google die Datenschutzgesetze einhält

Viele Websites sind so konfiguriert, dass sie Google Analytics verwenden, um das Benutzerverhalten zu verfolgen. Google Analytics war schon immer ein anonymes Tracking-System. Es werden keine „personenbezogenen Daten“ erhoben, daher glaube ich, dass die DSGVO keinen Einfluss auf deren Nutzung hat.

In Bezug auf Google Tag Manager; Es ist ein leistungsstarkes Tool, mit dem Ihre Website durch Einfügen kleiner Codemengen Informationen an Anwendungen von Drittanbietern senden kann. Sie können interne Datenbestände sowie externe Remarketing- und Retargeting-Systeme sowie eine Vielzahl weiterer Services integrieren. Das Problem für Unternehmen in Bezug auf Tag Manager besteht darin, sicherzustellen, dass Sie mit den Personen, die Zugriff auf Ihren Tag Manager haben (das kann Ihr Webdesigner oder Ihre Agentur für digitales Marketing sein) einen Vertrag abgeschlossen haben, um sicherzustellen, dass sie ihre rechtlichen Verantwortlichkeiten verstehen als einen Datenverarbeiter in Ihrem Namen als Datenverantwortlicher.

Das zugrunde liegende Problem der neuen DSGVO besteht also darin, Verträge mit Ihren externen Datenverarbeitern zu identifizieren und abzuschließen, um Ihre eigenen Interessen zu schützen.

10. Und schließlich… muss nicht nur Ihre Website DSGVO-konform sein

Die mit der DSGVO eingeführten Änderungen werden Ihr gesamtes Unternehmen durchdringen, und in dieser Artikelserie konzentrieren wir uns ausschließlich auf Ihr digitales Marketing.

Wenn Sie beginnen, die Details Ihrer Website zu planen, werden Sie eine Aladdin-Höhle von Problemen aufdecken, die Sie berücksichtigen müssen. Der Informationskommissar hat Ihnen eine ausgezeichnete Auswahl an Ressourcen zur Verfügung gestellt, aber hier sind einige wichtige Fragen, die Sie jetzt berücksichtigen sollten, wenn die Frist im Mai näher rückt:

  • Sie haben wahrscheinlich viele personenbezogene Daten an verschiedenen Orten im Unternehmen gespeichert. Verfügen Sie über ein gutes Verständnis und dokumentierte Aufzeichnungen über Ihre Daten?
  • Müssen Sie die Einwilligung für die von Ihnen gespeicherten Daten entweder einholen oder erneuern?
  • Haben Sie eine festgelegte Richtlinie für die Aufbewahrungsdauer personenbezogener Daten, damit Sie diese nicht unnötig aufbewahren und sicherstellen, dass sie auf dem neuesten Stand sind?
  • Werden Ihre Daten sicher aufbewahrt, wobei sowohl die Technologie als auch die menschlichen Faktoren bei der Datensicherheit berücksichtigt werden?
  • Ob Sie ein Datenverantwortlicher oder ein Datenverarbeiter (oder beides) sind, haben Sie die richtigen rechtlichen Vorkehrungen getroffen?

Wenn Sie Hilfe bei Ihrem Webdesign & Creative benötigen, zögern Sie nicht, uns zu kontaktieren.