Empfehlungen zur DSGVO

Massnahmen durch Kunden

Das Kampaweb-Team begrüsst die Verbesserung des Datenschutzes, die die Einführung der DSGVO mit sich bringt, und freut sich darauf seine Kunden bestmöglich bei der Umsetzung zu unterstützen. Auf dieser Seite haben wir Massnahmen zusammengetragen, welche unseren Kunden helfen die Vorgaben der DSVGO umzusetzen. Falls Sie Fragen haben oder Unterstützung benötigen, melden Sie sich gern bei uns. 


Zustimmungsnachweis

Um Zustimmung nachweisen zu können (z.B. ob und wann eine bestimmte Person zugestimmt hat, einen Newsletter zu erhalten), müssen zwingend Gruppen verwendet werden. Nur Gruppen speichern IP-Adresse, Zeitpunkt des Gruppeneintritts und Email-Adresse - und diese Daten helfen Ihnen zu belegen, wann jemand Ihnen eine Einwilligung gegeben hat. 

Bei der Verwendung von anderen Lösungen mit Checkboxen (wie z.B. custom fields) kann eine Zustimmung zu einem späteren Zeitpunkt nicht einwandfrei nachgewiesen werden.

Massnahmen

Überprüfen Sie Ihre Formulare und passen Sie sie gegebenenfalls so an, dass es für jeden einzelnen Verwendungszweck eine einzelne, optionale Gruppe gibt. Halten Sie zudem in einer Liste fest, woher die Daten in welcher Gruppe stammen, zu welchem Zweck sie gespeichert werden und wann sie wieder gelöscht werden. (Siehe Dokumentationspflicht) 


Valide Einwilligung

Die Einwilligung zur Verwendung von personenbezogenen Daten muss aktiv und für jeden Verwendungszweck explizit gegeben werden.

Um eine aktive Zustimmung zu erhalten, muss die Person selbst das Häkchen setzen, um ihre Einwilligung zu etwas zu geben. Das heisst, Gruppen dürfen nicht mehr vorausgewählt sein.  Zustimmungen, welche über eine vorausgewählte Gruppe entstanden sind, sind - auch retrospektiv - nicht mehr gültig. 

Um eine explizite Einwilligung zu erhalten, dürfen Zustimmungen nicht miteinander vermischt oder pauschal sein (z.B. Ich möchte über Spannendes auf dem Laufen gehalten werden). Zustimmungen, welche über einen solche pauschale oder vermischte Einverständniserklärung (z.B. mit der Unterzeichnung der Petition stimme ich zu einen Newsletter zu erhalten) entstanden sind, sind nicht mehr gültig - auch retrospektiv. 

Massnahmen

Überprüfen Sie alle Gruppen und passen Sie sie gegebenenfalls an. Falls eine Ihrer Gruppen bereits vorausgewählt ist, kann dies in Salsa in der Gruppeneinstellung geändert werden. Einfach auf der jeweiligen Gruppe zum Tab "options" gehen und dort "preselected" aus dem reference name löschen. Falls eine Gruppe zustimmungsvermischt oder pauschal ist, erstellen Sie mehrere neue Gruppen, um die unterschiedlichen Einverständnisse in Zukunft richtig abzubilden.  

Falls Sie solche vorausgewählte oder zustimmungsvermischte Gruppen haben, muss eine neue, aktive Einwilligung für jeden einzelnen Verwendungszweck eingeholt werden, um die bereits gesammelten Daten weiterhin verwenden zu dürfen. 

Dokumentieren Sie alle Gruppen, die sie haben, deren Verwendungszweck und woher die Daten in dieser Gruppe kommen. 


Zustimmung zurücknehmen

Damit Personen ihre Zustimmung genauso einfach und spezifisch zurückzuziehen können, wie sie sie gegeben haben, sollte auch auf den Abmeldeseiten mit Gruppen gearbeitet werden. Dies hilft auch, um Datenschutz-konform nachweisen zu können, bis wann man welche Zustimmungen hatte. 

 

Massnahmen

Überprüfen Sie Ihre Abmelde-Seiten. Falls Sie bisher Signup-pages für Abmeldungen verwendet haben, müssen Sie nun diese Seiten mit richtigen unsubscribe pages ablösen. Auf diesen Abmeldeseiten müssen Sie die Gruppen auswählen, aus denen sich Personen abmelden können. 


Datenlöschung

Die Speicherdauer von Personendaten ist im Voraus zu bestimmen, und Daten sind zu löschen, wenn die Aufbewahrungsfrist abgelaufen ist. Zum Beispiel, sobald der Event vorbei ist, für den sich jemand angemeldet hatte.

Zudem müssen auch personenbezogene Daten, die Sie derzeit aufgrund einer Einwilligung besitzen, die aber nicht dem geforderten Standard der DSVGO entspricht, gelöscht werden.  

Massnahmen

Überprüfen Sie, welche Daten Sie haben und wie und zu welchem Zweck Sie diese erhalten haben. Löschen Sie Daten für die Sie keine Berechtigung (mehr) haben. Sie können versuchen, eine DSVGO-konforme Zustimmung für die Verwendung der Daten zu erhalten - ansonsten müssen die Daten gelöscht werden. Erstellen Sie zudem interne Richtlinien, zu welchem Zeitpunkt welche Daten gelöscht werden müssen.


Interne Datensicherheit

Datensicherheit muss nicht nur bei der Übertragung der Daten im Internet gegeben sein. Es muss auch darauf geachtet werden, wer in Ihrer Organisation Zugriff auf die Daten hat und ob diese Personen im richtigen Umgang mit persönlichen Daten geschult wurden. 

​​​​​​​Massnahmen

Überprüfen Sie, wer Zugang zu sensitiven Daten (z.B. einen Salsa-Login) hat und passen Sie Zugangs- und Verwaltungsrechte (z.B. wer darf in Salsa exportieren/ Massen-Upates machen) an. Schaffen Sie dokumentierte Richtlinien zum sicheren Umgang mit persönlichen Daten. 


Transparenznotiz

Kampaweb wird jedem Formular eine generische Transparenznotiz zur Sammlung von Daten anfügen. Diese kann durch den Kunden mithilfe der Oberflächenübersetzung global angepasst werden. Zwingend notwendig ist eine Verlinkung auf die Datenschutzseite, damit Personen, welche Daten übertragen, nachlesen können, was mit Ihren Daten genau passiert.

Des Weiteren können Kunden diesen Text auch bei einzelnen Formularen über das jeweilige Salsa-Formular überschreiben. Der Transparenztext muss z.B. über den Verwendungzweck Auskunft geben und auf die Datenschutzseite der Website verlinken.

Massnahmen

Sobald Kampaweb diese Notiz hinzufügt, sollten Sie die Transparenznotiz mithilfe der Oberflächenübersetzung anpassen. Neben Informationen über die Zwecke der Verarbeitung muss es noch einen Link zur Datenschutzseite geben.


Datenschutzerklärung

Die obligatorische Datenschutzerklärungsseite muss genaustens darüber Auskunft geben, welche Daten wie gesammelt werden und wofür. 

Diese Seite muss von jedem Formular aus mit einem (1) Klick erreichbar sein. 

Massnahmen

Überprüfen Sie Ihre Datenschutzerklärung und passen Sie sie gegebenenfalls an. Es muss jeder Dienst aufgeführt werden und beschrieben werden, was mit den Daten gemacht wird und wie lange sie aufgehoben werden. Zudem sollte erklärt werden, wie Personen ihren Rechten (Berichtigung der Daten, Löschung, Transfer, etc.) nachkommen können.

Standardfunktionen von KAMPATOOLS inkludieren die Verwendung von Cookies, Google Analytics, Facebook-Pixl, recaptcha (Spamschutz), AddThis (Social-Media-Sharing) und Salsa (CRM). Die Verwendung dieser Softwares muss erwähnt werden und es muss erklärt werden, was mit den Daten passiert. Bei der Verwendung von Salsa (nur beim Email-Versand), Mailchimp, Action Sprout, AddThis und Google Analytics verlassen die Daten den EU-Raum. Dies muss explizit erwähnt werden. 


Auskunftsrecht/ Übertragbarkeit

Damit Sie einer Person Auskunft darüber geben können, welche Daten Sie von ihr besitzen und diese Daten dann gegebenenfalls auch in geeigneter Form übergeben können, erstellt Kampaweb mehrere Reporte in Salsa. Diese können Sie dann noch individuell anpassen.

Massnahmen

Sobald Kampaweb die Reporte fertig gestellt hat, können Sie diese individuell anpassen. 


Verantwortliche und Datenschutzbeauftragte

Verantwortliche sind Personen, die für Datenerhebung und Datenverarbeitung verantwortlich sind. Z.B. eine Petitionskampagne führen und bestimmen, welche Daten abgefragt werden und was mit diesen passiert. Diese werden unterstützt und geschult (z.B. Wie sieht ein sicheres Passwort aus, welche Daten dürfen wir sammeln und wann müssen sie gelöscht werden) von den Datenschutzbeauftragten.

Massnahmen

Benennen Sie einen Datenschutzbeauftragten und identifizieren Sie Verantwortliche in ihrer Organisation. Diese Personen sollten klar erkennbar auf der Website vermerkt werden. Wenn es Verantwortliche gibt, die für bestimmte Datensammlungen (z.B. pro Kampagne) verantwortlich sind, sollten diese auf der Formularseite, mit Kontaktmöglichkeit, aufgeführt werden. 


Dokumentationspflicht

Eine weitere Verpflichtung der Verantwortlichen ist die Dokumentation aller Vorgänge und Massnahmen. So sollten die Typen der gesammelten Daten und deren Zweck, die zu treffenden Sicherheitsmassnahmen, Verwendungsrichtlinien, Fristen für die Löschung der verschiedenen Datenkategorien sowie der Vorgang im Falle eines Datenlecks dokumentiert werden.

Massnahmen

Tragen Sie alle relevanten Arbeitsabläufe (z.B. Wann werden welche Daten gelöscht, Massnahmen im Falle eines Datenlecks, sicherer Transfer von Daten ausserhalb des CRM Systems, etc.)  zusammen und schreiben Sie sie nieder.

Diese sollten für alle Mitarbeiter zugänglich sein. Es reicht, diese Dokumente in elektronischer Form aufzubewahren. 

Rechtlicher Hinweis

Die Informationen auf dieser Seite sind keine verbindlichen Rechtsauskünfte und nicht zu verwechseln mit einer Rechtsberatung durch einen Rechtsanwalt. Kampaweb GmbH übernimmt keine Haftung. Durch die unterschiedlichen Verwendungsmöglichkeiten der Systeme und der Ausprägung verschiedener organisationsspezifischer Prozesse, ist die Konformität zum geltenden Recht individuell zu prüfen.