DSGVO - Hinweise betreffend Website & -Analytics*

Was ist die DSGOV?

Im Frühjahr 2016 hat das europäische Parlament die Verabschiedung der Datenschutz-Grundverordnung (DSGVO) beschlossen, die nach einer Übergangsfrist von zwei Jahren im Mai 2018 anwendbar wird. Am 25. Mai 2018 wird das neue Recht wirksam. An diesem Tag verlieren alle Gesetze, die den Regelungsbereich der Datenschutz-Grundverordnung betreffen, ihre Geltung.

 

Neben Informationen wie Name, Geburtsdatum und dergleichen gehört unter anderem auch die IP-Adresse zu den  personenbezogenen Daten. Da diese einmalig vergeben wird und so einem Gerät und in weiterem einer Person zugeordnet werden kann.

Für wen gilt die DSGVO?

Die Neuregelung des Datenschutzrechts betrifft sämtliche Unternehmen in der Europäischen Union. Neu ist, dass auch Unternehmen, die ihren Sitz außerhalb der EU haben, die DSGVO beachten müssen. Das gilt für Unternehmen, die Daten von EU-Bürgern verarbeiten, um ihnen Waren oder Dienstleistungen anzubieten, und für Unternehmen, die das Verhalten von Personen in der EU beobachten (Marktortprinzip). 

 

Aktuell läuft auch in der Schweiz die Diskussion zur Totalrevision des Datenschutzgesetzes, welche ziemlich die gleichen Ziele wie die DSGVO verfolgt. Mittelfristig werden also auch im Inland Änderungen anstehen.

Was ist bei Google Analytics / Analytics 360 bis zum 25. Mai zu tun?

Überprüfen Sie die Einstellungen zur Datenaufbewahrung. Sie finden diese im Analytics-Konto unter
Verwaltung -> Property (mittlere Spalte) -> Tracking-Informationen -> Datenaufbewahrung

Hier entscheiden Sie, wie lange Nutzerdaten für Sie zur Verfügung stehen müssen. Standardmässig hat Google diese neu auf 26 Monate eingestellt. Dieser Zeitraum sollte im Normalfall für aussagekräftige Analysen ausreichend sein.


Weiter müssen Sie entscheiden, ob ein Nutzer bei erneutem Besuch Ihrer Website neu getrackt wird, d.h. ab dann wieder die 26 Monate zu laufen beginnen oder nicht. Standardmässig ist diese Einstellung auf "ein" eingestellt. Dies wird so empfohlen, da sonst Nutzer, die beispielsweise nach 23 Monaten erneut die Website besuchen, nur noch 3 Monate "getrackt" werden.

 

Google hat zudem angekündigt, vor dem 25. Mai ein neues Tool zum Löschen von Nutzern einzuführen. Mit diesem Tool können Sie alle mit einem einzelnen Nutzer verknüpften Daten in Google Analytics und/oder Google 360-Properties löschen. Nähere Informationen sind aktuell noch nicht bekannt. 

 

Hier finden Sie Informationen dazu:

Was ist im Google Tag Manager bis zum 25. Mai zu tun?

Wenn Analytics im Tag Manager eingebunden ist, gelten die dort vorgenommenen Einstellungen und es müssen keine Anpassungen vorgenommen werden. Ansonsten müssen in der Grundkonfiguration die IP-Anonymisierung auf “Wahr” gestellt werden.

Was ist bei den Cookies zu beachten?

Der Nutzer muss neu darauf hingewiesen werden, dass Cookies verwendet werden. Ausserdem muss in dieser Information ein Link zu den Datenschutzhinweisen vorhanden sein.

Was ist bei den AGBs bzw. dem Datenschutzhinweis zu beachten?

Vereinfacht gesagt müssen Sie die Nutzer auf folgende Dinge hinweisen:

  • Offenlegung des Einsatzes von Google Analytics
  • Hinweis auf die Deaktivierung von Cookies oder von Tracking via Browser Add-on
  • Erwähnung des Datenspeicherorts USA
  • Und vieles mehr

Im Netz besteht über einige Websites die Möglichkeit, via Generator eine konforme Datenschutzerklärung zu erstellen (ohne Gewähr). Wir haben für Sie mal eine Seite rausgesucht: 

 

https://www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator/

Was müssen Unternehmen generell tun?

  • Erstellung von Richtlinien für den Datenschutz und die IT-Sicherheit
  • Aufbau einer angemessenen Datenschutzorganisation
  • Aufbau von Prozessen zur Einbindung des Datenschutzbeauftragten sowie zur Abstimmung und Kooperation mit den Aufsichtsbehörden
  • Beschwerdemanagement und andere Massnahmen zur Wahrung von Rechten der Nutzer
  • Laufende Dokumentation aller Massnahmen
  • Information und einholen der Bewilligung der Person, deren Daten verarbeitet werden (Achtung: Bewilligungen zur Verwendung der persönlichen Daten müssen explizit von jedem einzelnen Nutzer erneut eingeholt werden).
  • Beachten Sie, dass keine vorangekreuzten Felder mehr erlaubt sind (z.B. bei Newsletter abonnieren)

Hotelleriesuisse hat hierzu ein Factsheet zusammengestellt, welches Sie hier herunterladen können.

*Hinweise

Die Hinweise betreffend DSGVO wurden mit grösstmöglicher Sorgfalt und nach bestem Wissen und Gewissen erstellt. Sie bietet keine Gewähr auf Aktualität, Vollständigkeit und Richtigkeit und ist keinesfalls abschliessend.

 

Datenschutzrechtliche Fragen können in der Regel nur in Bezug auf den konkreten Einzelfall beantwortet werden, weshalb jede Datenschutzerklärung nur nach einer individuellen anwaltlichen Prüfung verwendet werden sollte. Ein Generator kann weder Rechtsfragen prüfen noch Aussagen über die Rechtmässigkeit der Datenverarbeitung treffen. Unsere Hinweise sind kein Ersatz für eine anwaltliche Beratung. Lassen Sie Ihre Datenschutz-Erklärung unbedingt von Ihrem Rechtsanwalt überprüfen und freigeben.