Empfehlungen zur DSGVO / GDPR

Datenschutz Grundverordnung / Data Protection

Die Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft und betrifft zum Einen alle Organisationen, die in der EU ansässig sind, und zum Anderen alle Organisationen, welche persönliche Daten von Personen welche in der EU ansässig sind verarbeiten. Die neuen Richtlinien geben betroffenen Personen neue Rechte in Bezug auf den Umgang mit ihren persönlichen Daten, zum Beispiel mit den Benutzerdaten auf einer Website.


Die Parteien

Datenübermittelnde

Personen, deren Daten gesammelt werden

Verantwortliche

Zuständig für die Sammlung und Verwendung der Daten

Datenverarbeitende

Kampaweb / SalsaLabs

Rechtlicher Hinweis

Die Informationen auf dieser Seite sind keine verbindlichen Rechtsauskünfte und nicht zu verwechseln mit einer Rechtsberatung durch einen Rechtsanwalt. Kampaweb GmbH übernimmt keine Haftung. Durch die unterschiedlichen Verwendungsmöglichkeiten der Systeme und der Ausprägung verschiedener organisationsspezifischer Prozesse, ist die Konformität zum geltenden Recht individuell zu prüfen. 

Neue Rechte und Pflichten

Die neue Regelung gilt rückwirkend auch auf bereits gesammelte Daten, welche deshalb neu interpretiert werden müssen.

Informationspflicht

Personen müssen darüber informiert werden, bevor persönliche Daten gesammelt werden dürfen. Zudem muss der genaue Verwendungszweck (Sammeln, Teilen, Verwerten) der Daten offengelegt werden, sowie falls die Daten den EU-Raum verlassen.

Auskunftsrecht

Personen haben das Recht, Auskunft darüber einzufordern, welche Informationen über sie gesammelt worden sind und wie diese verwendet werden. Auf Wunsch ist eine Kopie dieser Daten der Person auszuhändigen.

Berichtigung

Personen haben das Recht auf die Berichtigung, bzw. Vervollständigung ihrer persönlichen Daten.

Einwilligung

Die Einwilligung zur Verwendung von personenbezogenen Daten muss AKTIV für jeden Verwendungszweck einzeln gegeben werden. Einwilligungen müssen ebenso einfach wieder zurückgenommen werden, wie sie gegeben werden können.

Übertragbarkeit

Personen haben das Recht, einzufordern, ihre personenbezogenen Daten in einem strukturierten und maschinenlesbaren Format zu erhalten. Es kann auch gefordert werden, die Daten einer dritten Partei zu übergeben.

Löschung

Personen können jederzeit die Löschung ihrer personenbezogenen Daten beantragen. Die Löschung der personenbezogenen Daten hat zeitnah zu erfolgen.

DO's

Abmeldemöglichkeiten in Emails und auf der Website

Einwilligungen müssen so einfach wieder entzogen werden können, wie sie gegeben wurden.

Cookie-Pop-up

Man braucht auch die Zustimmung zur Verwendung von Cookies. Es muss sichergestellt werden, dass keine Daten gesammelt werden, bevor der Website-Besucher sein OK dazu gibt.

Kurze Formulare

Formulare sollten nur Daten abfragen, welche auch wirklich für den jeweiligen Zweck benötigt werden.

Verantwortliche Person

Jede Organisation braucht einen Person, die für den Datenschutz verantwortlich ist. Diese Person muss auf der Website aufgeführt werden und leicht kontaktierbar sein.

DONT's

E-Mail-Versand an alle Kontakte

Für jede (E-Mail-)Kommunikation benötigt es explizite Zustimmung, z.B. dadurch dass unter einer Petition noch die Option "Ich wünsche über die Kampagne XY auf dem Laufenden gehalten zu werden" angewählt wurde

Vorausgewählte Checkboxen

Vorausgewählte Checkboxen stellen keine aktive Einwilligung dar.

Vermischung von Zustimmungen

Zustimmungen dürfen nicht miteinander verknüpft sein (z.B. Mit der Übermittlung des Petitionsformulars stimmen Sie zu weiter über diese Kampagne informiert zu werden). Jede Zustimmung muss separat erfolgen.

Massnahmen durch Kampaweb

In den letzten Monaten hat Kampaweb sich viel mit dem Thema DSGVO auseinandergesetzt und viele kleine Anpassungen vorgenommen. Hier die wichtigsten im Überblick:

Um eine sichere Datenübertragung zu gewährleisten, müssen alle Websites auf https / SSL umgestellt werden. Viele unserer Kunden haben ihre Sites bereits umstellen lassen. Kunden, deren Sites noch auf http laufen, werden kontaktiert. Mit Let's Encrypt fallen heutzutage keine wiederkehrenden Kosten für Zertifikate mehr an. Darüber hinaus begünstigt Google sichere Seiten auch in den Suchresultaten.

Mit dem in Kraft treten der DSGVO muss auch für das Webtracking eine Einwilligung eingeholt werden, bevor diese startet. Das heisst, jede Website benötigt ein Element, auf welchem dem Websitebesucher die Möglichkeit gegeben wird, dem Tracking explizit zuzustimmen, bzw. es abzulehnen.

Um der Informationspflicht nachzukommen, muss es auf jedem Formular einen Hinweis geben, was mit den gesammelten Daten geschieht. Kampaweb wird einen generischen Text erstellen, der jedem Formular angefügt ist. Der Text kann, falls nötig, vom Kunden pro Formular angepasst werden. 

Kampaweb trägt auf dieser Site Informationen für Kunden zusammen und erarbeitet Ansätze für die DSGVO-konforme Verwendung von KAMPATOOLS & Salsa. Kampaweb gibt sich Mühe, dass diese Angaben die wichtigsten Bereiche der DSGVO abdecken. Beachten Sie aber bitte den rechtlichen Hinweis.

Gerne setzt Kampaweb für einzelne Kunden noch weitergehende, kundenspezifische Massnahmen um. Auch bietet Kampaweb Support beim Erarbeiten von individuellen Lösungsvorschlägen an. 

Kampaweb und Salsalabs arbeiten gemeinsam daran, dass die einzelnen Zustimmungen von Supportern einfacher nachweisbar sind. Achtung: Zustimmungen müssen zwingend über Gruppen gesammelt werden, um nachweisbar zu sein. 

Kampaweb erstellt neue, exportierbare Reporte, um Kunden dabei zu unterstützen, dem Auskunftsrecht sowie dem Recht auf Datenübertragbarkeit gerecht zu werden.


Häufig gestellte Fragen

Die DSGVO trat bereits am 24. Mai 2016 in Kraft und ist ab dem 25. Mai 2018 zwingend anzuwenden.

Wenn Sie Daten von Europäern auf Ihrer Website (Cookie-Tracking) oder in Ihrem CRM verarbeiten, müssen Sie sich an die EU-DSVGO halten. 

Nein. Bisher wird ein Double-Opt-in nicht zwingend vorgeschrieben. Was allerdings vorgeschrieben wird, ist eine eindeutig, aktive und informierte Einwilligung.

In der DSVGO liest sich dies wie folgt:

"Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit einer betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen." 

Nein, Daten dürfen weiterhin den EU-Raum verlassen. Im Rahmen der DSGVO ändern sich die Regelungen bezüglich der Übertragung personenbezogener Daten außerhalb der EU nicht. Solange personenbezogene Daten „angemessen geschützt“ werden, können sie auch außerhalb der EU übertragen werden. Allerdings muss die Datenübermittelnde Person über einen Transfer der Daten informiert werden.