4 Wege für Web Teams GDPR-Konformität zu gewährleisten

Author avatar
By Lisa Marchand
Okt 17 2017 — GDPR, Neuheiten

Die Datenschutz-Grundverordnung (General Data Protection and Regulation, GDPR) für die Europäische Union rückt immer näher und ab dem 25. Mai 2018 muss diese jedes Unternehmen, das personenbezogene Daten von Europäischen Bürgern verwaltet, verpflichtend beachten und umsetzen. Kurz gesagt: Die EU verschärft die Regeln bezüglich personenbezogener Daten und wie damit umgegangen werden muss. Mit hoher Wahrscheinlichkeit verbergen sich auf Ihrer Website weit mehr personenbezogene Daten, als Sie erwarten – beispielsweise in Form von in Vergessenheit geratenen Webseiten, Bildmetadaten, PDFs, usw.

Der Prozess zur GDPR-Konformität wird definitiv abteilungsübergreifende Zusammenarbeit erfordern, dennoch stellt sich auch die Frage, was genau Web Teams tun können, um die Daten der Nutzer zu schützen? (Und Ihre Unternehmen bei Nichtkonformität vor drohenden Bußgeldern)

Verstehen Sie Ihre eigene Rolle und die Ihrer Drittanbieter

Vor dem Hintergrund der GDPR, ist es wichtig, die Unterschiede zwischen Datenverarbeitern und Datenverantwortlichen zu verstehen – und welche Rolle Sie und Dritte, mit denen Sie zusammenarbeiten, dabei spielen.

Ein Datenverantwortlicher bestimmt welche Daten erhoben werden und wie diese verwendet werden – oftmals ist das die Rolle Ihres Unternehmens. Beispielsweise entscheidet meist der Webmaster, welche Inhalte ein Formular auf den Zielseiten enthält – diese oder ähnliche Entscheidungen können direkte Folgen für Ihr Unternehmen haben.

Ein Datenverarbeiter ist zwar kein Angestellter des Datenverantwortlichen, aber verarbeitet die Daten im Auftrag des Datenverantwortlichen – denken Sie dabei an Dritte, die Ihnen dabei helfen personenbezogene Daten zu organisieren, um Sie in Form von Email-Listen, Krankenakten und vielem mehr speichern zu können.

Wenn Sie beispielsweise als Bank persönliche Daten Ihrer Online-Kunden erheben, sind Sie der Verantwortliche dieser. Wenn Sie aber diese Kundendaten in eine Software von einem Drittanbieter eingeben, wird dieses Unternehmen die Daten in Ihrem Auftrag verarbeiten und als Datenverarbeiter agieren. Beide Parteien müssen in Zukunft GDPR konform werden und bleiben.

Überprüfen Sie alle Drittanbieter, die Daten für Sie verarbeiten und finden Sie heraus, ob diese bereits GDPR konform handeln oder zukünftige Pläne dafür haben. Falls das nicht der Fall ist, sollten Sie über einen Wechsel zu einem GDPR-konformen Anbieter nachdenken.

Führen Sie ein Daten-Audit durch

Mit der GDPR wird es verpflichtend für Unternehmen, Register über alle personenbezogenen Daten zu führen, die vom Unternehmen oder dessen Drittanbietern gespeichert werden. In diesem Prozess ist der gesamte Daten-Lebenszyklus vom Erheben, über das Speichern, bis hin zum Löschen miteinzuschließen.

Kein Grund zur Beunruhigung! Wenn Ihr Team Inhalte wie IP-Adressen oder Cookies sammelt, ist es ein guter Ausgangspunkt, zu Beginn ein Audit von allen personenbezogenen Daten durchzuführen, die Sie von EU Bürgern sammeln. (Namen, Email Adressen, Telefonnummern, IP Adressen, usw.) Daraufhin können Sie entscheiden, welche Daten Sie behalten möchten und welche Sie loswerden sollten. Wenn Sie in vollem Bewusstsein des kompletten Umfangs Ihrer Daten sind, wird es sich in Zukunft auch einfacher gestalten, Anfragen zum Löschen spezieller Datensätze zu bearbeiten.

Beachten Sie währen des ersten Daten-Audits, dass die GDPR einen Schwerpunkt auf das Verarbeiten von Kinderdaten legt, weshalb Sie diesen Informationen besondere Aufmerksamkeit schenken sollten.

Gestalten Sie Ihre Datenschutzbestimmungen und die Profil-Selbstverwaltung neu

Wenn Sie während der "EU Cookie Directive" vor einigen Jahren bereits mit Webseiten gearbeitet haben, erinnern Sie sich mit Sicherheit an den Wettlauf, Besucher offen über die Nutzung und den Zweck von Cookies zu informieren – GDPR geht hier noch einen Schritt weiter.

Demonstrieren Sie Ihren Besuchern gegenüber Transparenz und holen Sie deren Zustimmung mit einer klaren und präzisen Formulierung ohne zweideutige Wortwahl oder verwirrende Fachbegriffe ein. Als zweiten Schritt den Zweck der Datenverarbeitung zu erklären, wird allerdings eine größere Herausforderung darstellen. Arbeiten Sie hierbei zusammen mit Ihrer Rechtsabteilung an Ihren Datenschutzbestimmungen, um tiefer in die Art und Weise einzutauchen, wie personenbezogene Daten genutzt werden. Dafür können Sie den Richtlinien von GDPR folgen.

Daraufhin können Sie die folgenden Inhalte zentral an einem Punkt implementieren:

  • Ihre neue Datenschutzbestimmung
  • Die Profil-Selbstverwaltung Ihrer Nutzer (oder einen direkten Link dorthin), um eine individuell-angepasste Email Kommunikation basierend auf deren Themenpräferenz zu gewährleisten
  • Kontaktinformationen Ihres Unternehmens, damit Nutzer Veränderungen oder das Löschen personenbezogener Daten beantragen können (Das ist eine klare Voraussetzung der GDPR)

Nutzen Sie eine automatisierte Lösung

Abschließend ist es überlegenswert ein Tool zu nutzen, welches personenbezogene Daten und all Ihre Website-Domains automatisiert auffinden kann. Je größer Ihre Organisation, desto größer ist das Risiko, dass Sie den Überblick über die Daten in Ihrem Besitz verlieren – und sogar darüber, wie viele Domains Sie eigentlich besitzen.

Die Nutzung einer automatisierten Lösung kann Ihnen eine wochen- oder sogar monatelang Durchsuchung Ihrer digitalen Präsenzen ersparen.

Erfahren Sie mehr darüber, wie Sie Ihre Website GDPR konform gestalten können. Treten Sie in Kontakt mit einem unserer Experten und probieren Sie noch heute die Siteimprove Intelligence Platform aus.

Post a comment

You accept the use of cookies by continuing to browse the site or closing this banner. Read more about cookies in our Privacy Policy.