Europa bei Nacht

Empfehlungen zur DSGVO

Massnahmen durch Kunden

Das Primer-Team begrüsst die Verbesserung des Datenschutzes, die die Einführung der DSGVO mit sich bringt. Wir freuen uns darauf, unsere Kunden bestmöglich bei der Umsetzung zu unterstützen. Auf dieser Seite haben wir Massnahmen zusammengetragen, welche unseren Kunden helfen die Vorgaben der DSVGO umzusetzen. Falls Sie Fragen haben oder Unterstützung benötigen, melden Sie sich gern bei uns. 


Zustimmungsnachweis

Um Zustimmung nachweisen zu können (z.B. ob und wann eine bestimmte Person zugestimmt hat, einen Newsletter zu erhalten), müssen zwingend verschiedene Webforms bzw. Mailchimp Formulare verwendet werden. In den einzelnen Formularübermittlungen werden IP-Adresse, Zeitpunkt der Übermittlung und Email-Adresse gespeichert- und diese Daten helfen Ihnen zu belegen, wann jemand Ihnen eine Einwilligung gegeben hat.

Massnahmen

Überprüfen Sie Ihre Formulare und passen Sie sie gegebenenfalls so an, dass es für jeden einzelnen Verwendungszweck ein einzelnes Formular gibt. Halten Sie zudem in einer Liste fest, woher die Daten in welcher Liste stammen, zu welchem Zweck sie gespeichert werden und wann sie wieder gelöscht werden. (Siehe Dokumentationspflicht)


Valide Einwilligung

Die Einwilligung zur Verwendung von personenbezogenen Daten muss aktiv und für jeden Verwendungszweck explizit gegeben werden.

Um eine aktive Zustimmung zu erhalten, muss die Person selbst das Häkchen setzen, um ihre Einwilligung zu etwas zu geben. Das heisst, Checkboxen zu diesem Zweck dürfen nicht mehr vorausgewählt sein.  Zustimmungen, welche über eine vorausgewählte Checkbox entstanden sind, sind - auch retrospektiv - nicht mehr gültig. 

Um eine explizite Einwilligung zu erhalten, dürfen Zustimmungen nicht miteinander vermischt oder pauschal sein (z.B. Ich möchte über Spannendes auf dem Laufen gehalten werden). Zustimmungen, welche über einen solche pauschale oder vermischte Einverständniserklärung (z.B. mit der Unterzeichnung der Petition stimme ich zu einen Newsletter zu erhalten) entstanden sind, sind nicht mehr gültig - auch retrospektiv. 

Massnahmen

Überprüfen Sie alle Formulare und passen Sie sie gegebenenfalls an. Falls eine Checkbox in einem Ihrer Formulare bereits vorausgewählt ist, kann dies im Formular geändert werden. Falls ein Formular bzw. eine Checkbox zustimmungsvermischt oder pauschal ist, erstellen Sie mehrere neue Checkboxen, um die unterschiedlichen Einverständnisse in Zukunft richtig abzubilden.  


Zustimmung zurücknehmen

Damit Personen ihre Zustimmung genauso einfach und spezifisch zurückzuziehen können, wie sie sie gegeben haben, sollte auch auf für jedes Anmeldeformular auch ein Abmeldeformular vorhanden sein. Dies hilft auch, um Datenschutz-konform nachweisen zu können, bis wann man welche Zustimmungen hatte. 

Massnahmen

Überprüfen Sie Ihre Abmeldeseiten. Falls Sie bisher Formulare für eine Anmeldung verwendet haben, müssen Sie nun für diese Formulare eine Abmeldeseite erstellen. Auf diesen Abmeldeseiten müssen Sie angeben, aus welcher Liste sich Personen abmelden können. 


Datenlöschung

Die Speicherdauer von Personendaten ist im Voraus zu bestimmen, und Daten sind zu löschen, wenn die Aufbewahrungsfrist abgelaufen ist. Zum Beispiel, sobald der Event vorbei ist, für den sich jemand angemeldet hatte.

Zudem müssen auch personenbezogene Daten, die Sie derzeit aufgrund einer Einwilligung besitzen, die aber nicht dem geforderten Standard der DSVGO entspricht, gelöscht werden.  

Massnahmen

Überprüfen Sie, welche Daten Sie haben und wie und zu welchem Zweck Sie diese erhalten haben. Löschen Sie Daten für die Sie keine Berechtigung (mehr) haben. Sie können versuchen, eine DSVGO-konforme Zustimmung für die Verwendung der Daten zu erhalten - ansonsten müssen die Daten gelöscht werden. Erstellen Sie zudem interne Richtlinien, zu welchem Zeitpunkt welche Daten gelöscht werden müssen.


Interne Datensicherheit

Datensicherheit muss nicht nur bei der Übertragung der Daten im Internet gegeben sein. Es muss auch darauf geachtet werden, wer in Ihrer Organisation Zugriff auf die Daten hat und ob diese Personen im richtigen Umgang mit persönlichen Daten geschult wurden. 

Massnahmen

Überprüfen Sie, wer Zugang zu sensitiven Daten (z.B. User mit der Rolle Client-Admin) hat und passen Sie Zugangs- und Verwaltungsrechte (z.B. wer darf Daten einsehen / exportieren) an. Schaffen Sie dokumentierte Richtlinien zum sicheren Umgang mit persönlichen Daten. 


Transparenznotiz

Sie können jedem Formular eine generische Transparenznotiz zur Sammlung von Daten anfügen. Zwingend notwendig ist eine Verlinkung auf die Datenschutzseite, damit Personen, welche Daten übertragen, nachlesen können, was mit Ihren Daten genau passiert (Verwendungszweck).

Massnahmen

Erstellen Sie bei jedem Formular die entsprechende Transparenznotiz inkl. Link zur Datenschutzseite.


Datenschutzerklärung

Die obligatorische Datenschutzerklärungsseite muss genaustens darüber Auskunft geben, welche Daten wie gesammelt werden und wofür. 

Diese Seite muss von jedem Formular aus mit einem (1) Klick erreichbar sein. 

Massnahmen

Überprüfen Sie Ihre Datenschutzerklärung und passen Sie sie gegebenenfalls an. Es muss jeder Dienst aufgeführt werden und beschrieben werden, was mit den Daten gemacht wird und wie lange sie aufgehoben werden. Zudem sollte erklärt werden, wie Personen ihren Rechten (Berichtigung der Daten, Löschung, Transfer, etc.) nachkommen können.


Auskunftsrecht / Übertragbarkeit

Damit Sie einer Person Auskunft darüber geben können, welche Daten Sie von ihr besitzen und diese Daten dann gegebenenfalls auch in geeigneter Form übergeben können, können Sie die Formularübermittlungen in Webform exportieren.

Massnahmen

Exportieren Sie bei Bedarf die Übermittlungen aus den einzelnen Webform-Übermittlungen.


Verantwortliche und Datenschutzbeauftragte

Verantwortliche sind Personen, die für Datenerhebung und Datenverarbeitung verantwortlich sind. Z.B. eine Petitionskampagne führen und bestimmen, welche Daten abgefragt werden und was mit diesen passiert. Diese werden unterstützt und geschult (z.B. Wie sieht ein sicheres Passwort aus, welche Daten dürfen wir sammeln und wann müssen sie gelöscht werden) von den Datenschutzbeauftragten.

Massnahmen

Benennen Sie einen Datenschutzbeauftragten und identifizieren Sie Verantwortliche in ihrer Organisation. Diese Personen sollten klar erkennbar auf der Website vermerkt werden. Wenn es Verantwortliche gibt, die für bestimmte Datensammlungen (z.B. pro Kampagne) verantwortlich sind, sollten diese auf der Formularseite, mit Kontaktmöglichkeit, aufgeführt werden. 


Dokumentationspflicht

Eine weitere Verpflichtung der Verantwortlichen ist die Dokumentation aller Vorgänge und Massnahmen. So sollten die Typen der gesammelten Daten und deren Zweck, die zu treffenden Sicherheitsmassnahmen, Verwendungsrichtlinien, Fristen für die Löschung der verschiedenen Datenkategorien sowie der Vorgang im Falle eines Datenlecks dokumentiert werden.

Massnahmen

Tragen Sie alle relevanten Arbeitsabläufe (z.B. Wann werden welche Daten gelöscht, Massnahmen im Falle eines Datenlecks, sicherer Transfer von Daten ausserhalb des CRM Systems, etc.)  zusammen und schreiben Sie sie nieder.

Diese sollten für alle Mitarbeiter zugänglich sein. Es reicht, diese Dokumente in elektronischer Form aufzubewahren. 


Rechtlicher Hinweis

Die Informationen auf dieser Seite sind keine verbindlichen Rechtsauskünfte und nicht zu verwechseln mit einer Rechtsberatung durch einen Rechtsanwalt. MD Systems und Kampaweb GmbH übernehmen keine Haftung. Durch die unterschiedlichen Verwendungsmöglichkeiten der Systeme und der Ausprägung verschiedener organisationsspezifischer Prozesse, ist die Konformität zum geltenden Recht individuell zu prüfen.