Vollständige Offenlegung: Keine der folgenden Bestimmungen ist eine Rechtsberatung. Dies soll dazu dienen, innerhalb unserer Gemeinschaft Gespräche über die Auswirkungen der GDPR anzuregen.
Was ist GDPR?
Die GDPR ("Allgemeine Datenschutzverordnung") wurde am 25. Mai in der Europäischen Union eingeführt. Es handelt sich um ein Gesetz zum Schutz der EU-Bürger, das die Verarbeitung, Übermittlung und Speicherung von Daten regelt, die als privat oder persönlich identifizierbar gelten. Der Schutz personenbezogener Daten gilt als ein Grundrecht des EU-Rechts.
Jedes Unternehmen oder Unternehmenseigentum - wie eine Website -, auf das ein europäischer Bürger zugreift, fällt unter die Zuständigkeit von GDPR. Lassen Sie mich das noch einmal betonen: Zugriff durch einen europäischen Bürger. Es spielt keine Rolle, ob sie physisch in Europa sind oder nicht. Wenn also ein EU-Bürger von Barrie aus Ihre Website besucht, wird es Ihnen nichts nützen, wenn er Besucher aus Europa blockiert.
Die Strafen für Verstöße sind hoch: bis zu 20 Millionen Euro (~30,6 Millionen kanadische Dollar) oder 4% des weltweiten Umsatzes. Man kann mit Sicherheit sagen, dass dies dazu dienen soll, Druck auf die Weltkonzerne auszuüben, damit sie sich anpassen. Aber wie das Sprichwort sagt, ist es besser, sicher zu sein, als sich zu entschuldigen.
Viele der Fragen im Zusammenhang mit der Durchsetzung und Einhaltung von Vorschriften sind auslegungspflichtig. Wir werden hier nicht in sie eindringen, weil es den Rahmen unseres Meetups sprengt und, was noch wichtiger ist, wir sind keine Juristen. Aber was wir gesehen haben, ist, dass Unternehmen auf der ganzen Welt Schritte unternehmen, um GDPR-konform zu werden.
Hinweis: Darum ging es in diesen "Wir haben unsere Datenschutzerklärung aktualisiert" E-Mails.
Compliance ist schwer zu bestimmen. Der offizielle Text ist kryptisch und schwer verständlich. Wenn Sie eine schnelle Google-Suche nach GDPR durchführen, finden Sie Dutzende von Millionen von Blog-Posts, Checklisten, Zusammenfassungen usw. von Anwaltskanzleien und Beratern, die entstanden sind, um die Verwirrung zu beseitigen.
Trotz der Unklarheit ist der allgemeine Geist und die Absicht hinter GDPR eine gute Sache. Unsere personenbezogenen Daten sind im gesamten Web über Anwendungen, Geräte und Server verteilt. GDPR schafft einen Rahmen, der festlegt, wie diese Informationen erfasst, gespeichert, verschoben und verwaltet werden.
Ein schneller Einstieg in die GDPR
Das Information Commissioner's Office (ICO) des Vereinigten Königreichs hat folgende Unterlagen zusammengestellt eine zwölfstufige Schnellstart-Anleitung Unterstützung von Unternehmen bei der Vorbereitung auf GDPR. Die Schritte sind wie folgt:
1. Erkennen Sie, dass sich das Gesetz ändert, die Bedeutung des Gesetzes und die Auswirkungen auf Ihr Unternehmen. Wir haben den Kern der Sache bereits besprochen. GDPR ist eine große Sache, die Unternehmen weltweit betrifft.
2. Dokumentieren Sie, welche personenbezogenen Daten Sie bereits haben, woher sie stammen und mit wem Sie sie teilen. Es kann hilfreich sein, ein Informationsaudit durchzuführen. Dies könnte auch ein guter Zeitpunkt sein, um Ihre Informationen an einem einzigen Ort, wie beispielsweise einem CRM, zu konsolidieren.
Die GDPR verlangt, dass Sie Aufzeichnungen über Ihre Verarbeitungsaktivitäten führen.
3. Überprüfen und aktualisieren Sie Ihre Datenschutzerklärung und alle Datenschutzhinweise. Nochmals, das ist es, wofür diese "wir haben unsere Datenschutzerklärung aktualisiert" E-Mails gedacht waren.
4. Überprüfen, aktualisieren und dokumentieren Sie Ihre Verfahren für die Arbeit mit personenbezogenen Daten. Dokumentation, selbst innerhalb einer kleinen Organisation, ist von großem Nutzen. Wenn Sie also in oder mit einem kleinen Unternehmen arbeiten und dieses noch nicht über eine Wissensdatenbank für das Team verfügt, ist jetzt ein guter Zeitpunkt, eine solche zu erstellen. Sie könnte so einfach wie ein Google Docs Ordner oder so aufwändig wie eine benutzerdefinierte WordPress Website sein.
5. Überprüfen, aktualisieren und dokumentieren Sie Ihre Verfahren zur zeitnahen Bearbeitung von Datenanfragen. Anfragen müssen innerhalb eines Monats kostenlos beantwortet werden, können aber abgelehnt oder mit einer Gebühr belegt werden, wenn sie übertrieben oder unbegründet sind. Auch dies ist etwas, das Sie in einer internen Team-Wissensdatenbank behandeln sollten - was tun Sie, wenn jemand eine Anfrage stellt?
6. Dokumentieren Sie, wie und warum Sie die von Ihnen verarbeiteten personenbezogenen Daten verarbeiten. Mit anderen Worten, Sie sollten einen legitimen Grund für die Erhebung der Daten haben, um die Sie bitten. Dies ist ein weiterer Punkt, der in der Team-Wissensdatenbank behandelt werden sollte, damit alle informiert sind.
7. Überprüfen und aktualisieren Sie, wie Sie die Zustimmung einholen, aufzeichnen und verwalten. Aktualisieren Sie die bestehende Zustimmung, wenn sie nicht mit GDPR übereinstimmt. Verwandt: Detaillierte Anleitung zur Einholung der Zustimmung (über ICO)
8. Geben Sie an, ob Sie das Alter der Benutzer überprüfen müssen und wenn ja, wie Sie die Zustimmung der Eltern oder des Vormunds einholen werden, wenn Sie personenbezogene Daten von Minderjährigen verarbeiten. Wenn Sie eine Website mit Jugendlichen als Zielgruppe aufbauen (denken Sie an Kinder bis 16 Jahre), wird dies wahrscheinlich für Sie gelten.
9. Stellen Sie sicher, dass Sie über dokumentierte Prozesse zur Erkennung, Meldung und Untersuchung von Datenschutzverletzungen verfügen. Dies ist auch eine Anforderung unter Kanadische PIPEDA-Gesetzgebungund noch etwas anderes, das Sie Ihrer Team-Wissensdatenbank hinzufügen können.
10. Überprüfung und Durchführung von Datenschutzfolgenabschätzungen. "Eine DPIA ist erforderlich, wenn die Datenverarbeitung ein hohes Risiko für Personen mit sich bringt." Wenn Sie mit einem größeren Unternehmen zusammenarbeiten oder mit sensiblen Daten zu tun haben, Lesen Sie den ICO-Leitfaden zu DPIAs..
11. Benennen Sie eine Person in dem Unternehmen, die für die Einhaltung der Vorschriften verantwortlich ist. Wie bei den DPIAs ist die Einrichtung eines Datenschutzbeauftragten entscheidend für große Unternehmen, die mit einem hohen Volumen an personenbezogenen Daten zu tun haben, oder für Unternehmen, die sensible Daten wie Gesundheitsinformationen verarbeiten.
12. Wenn das Unternehmen in mehreren EU-Mitgliedstaaten tätig ist, muss es eine Aufsichtsbehörde geben, die für die gesamte Datenverarbeitung in dem Unternehmen zuständig ist. Im Grunde genommen hört "der Dollar hier auf" - sie sind dafür verantwortlich, wie das Unternehmen mit personenbezogenen Daten umgeht.
Das ist viel, auch für eine Schnellstartanleitung, also um es noch weiter zusammenzufassen:
- Erhalten Sie ein Verständnis für den Umfang und die Auswirkungen von GDPR.
- Führen Sie eine Überprüfung der bereits vorhandenen personenbezogenen Daten durch.
- Aktualisieren Sie Ihre Datenschutzerklärung und Datenschutzhinweise.
- Aktualisieren und dokumentieren Sie Ihre Verfahren für die Arbeit mit personenbezogenen Daten.
- Haben Sie einen Ansprechpartner, der für die Verwaltung des Datenschutzes zuständig ist.
Lassen Sie uns nun auf die praktischen Auswirkungen auf die Arbeit, die wir online erledigen, eingehen.
Ein (sehr) hochrangiger Überblick über die GDPR in Bezug auf Websites
Auf der einen Seite haben Sie ein Unternehmen mit einer Website. Sie nutzen diese Website, um ihre Dienste zu präsentieren, Updates und Ankündigungen zu teilen und Anfragen über Kontaktformulare zu erhalten.
Auf der anderen Seite haben Sie die Nutzer der Website. Sie gehen auf die Website, um mehr über das Unternehmen zu erfahren, Informationen zu lesen und vielleicht sogar Kontakt aufzunehmen.
Das Unternehmen verwendet eine Handvoll Tools von Drittanbietern auf seiner Website. Sie verfügen über Webanalysen, Live-Chat, E-Mail-Erfassung für ihre Newsletter und Tracking für Werbung.
Zwischen den Formularen und Tools von Drittanbietern kann das Unternehmen viele persönliche Daten von seinen Benutzern sammeln. Aber bevor sie es abholen, müssen sie die Zustimmung einholen. An dieser Stelle kommt die Datenschutzerklärung ins Spiel. Es sagt den Benutzern, welche Daten gesammelt werden, mit wem sie geteilt werden (wo sie gespeichert werden) und wie sie verwendet werden.
Nach GDPR gilt das Unternehmen als Datenverantwortlicher. Wenn ein Benutzer seine personenbezogenen Daten ändern, exportieren oder löschen möchte, ist das Unternehmen dafür verantwortlich, dem Benutzer eine Möglichkeit zu geben, diese Anfrage zu stellen. Das Unternehmen ist auch für die rechtzeitige Erfüllung dieses Antrags verantwortlich.
Die Tools von Drittanbietern gelten als Datenverarbeiter. Sie speichern Daten, aber der Datenverantwortliche (das Unternehmen) ist für deren Verwaltung verantwortlich. Die Prozessoren geben dem Controller (dem Unternehmen) auch die Möglichkeit, die Daten bei Bedarf zu ändern, zu exportieren und zu löschen.
Darüber hinaus ermöglicht die Website durch die Verwendung von Datenschutzhinweisen und Berechtigungskontrollen dem Benutzer, seine Zustimmung zu erteilen und zu ändern.
Wie wenden wir dies als WordPress Benutzer an?
Wenn wir Websites mit WordPresserstellen, richten wir neue Anwendungen ein, in denen die persönlichen Daten von Menschen gespeichert werden können. Und als Entwickler oder Eigentümer dieser Anwendungen tragen wir die Verantwortung für den Schutz der Daten unserer Benutzer.
In einer einfachen WordPress Website ohne Plugins können persönliche Daten durch Benutzerregistrierung und Kommentare erfasst und gespeichert werden. Wenn wir zusätzliche Plugins installieren, kann die Menge der von uns gesammelten Informationen exponentiell anwachsen. Zum Beispiel:
- Sicherheits-Plugins, die Besucher-IPs verwenden, um den Datenverkehr auf die schwarze Liste zu setzen.
- Analyse-Plugins, die das Nutzerverhalten verfolgen.
- Kontaktformular-Plugins, die Einträge speichern.
- eCommerce-Plugins, die Lieferadressen speichern.
- Marketing-Plugins, die E-Mail-Adressen sammeln.
- Plugins für Werbung und Social Media, die sich mit Trackern von Drittanbietern verbinden.
Diese Plugins speichern entweder Daten lokal auf dem Server unserer Website oder sie verbinden sich mit einem Drittanbieter ("Datenverarbeiter"), um die Daten zu speichern.
In der neuesten Version von WordPress, haben wir jetzt die Möglichkeit, eine Seite der Datenschutzrichtlinie zu identifizieren. Dies ist die Seite, auf der wir alle von uns gesammelten Daten offenlegen; wie wir sie verwenden; an wen die Daten weitergegeben werden (falls zutreffend); und den Prozess, mit dem Benutzer Datenänderungen, Exporte oder Löschungen beantragen können.
In der neuesten Version von WordPress sind auch enthalten zwei neue Werkzeuge zur Erfüllung von Datenexport- und Löschaufträgen. Standardmäßig betreffen diese Werkzeuge nur Daten, die von der Kern-Software WordPress gesammelt werden, wie Benutzerkonten und Kommentatoren. Andere Plugins springen ein, um Datenanfragen für Dienste von Drittanbietern, Daten-Selbstverwaltung und Einverständniserklärungen zu bearbeiten. Wir werden uns diese gleich anschauen.
In der Zwischenzeit ist dein Essen hier: Erstellen Sie Ihre Datenschutzerklärung Seite. Sagen Sie Ihren Benutzern genau, was Sie mit ihren Daten machen. Und geben Sie ihnen die Möglichkeit, Datenanfragen zu stellen. Ein einfaches Kontaktformular ist zunächst in Ordnung.
WordPress GDPR-Plugins
In Ordnung. Lassen Sie uns über die GDPR-Plugins sprechen, die uns helfen können.
GDPR wurde hier in Toronto vom Team von Trew Knowledge entwickelt. Es ist ein ziemlich umfangreiches Plugin. Es bietet Zustimmungsmanagement, Frontend-Privatsphäre-Präferenzmanagement, Double-Opt-In-E-Mails für das Recht auf Löschung, Neuzuordnung von Benutzerdaten, Backend-Lookup und Verwaltung, Protokollierung, Telemetrie-Tracking und vieles mehr. Es ist gut dokumentiert und fühlt sich wie eine Erweiterung des WP-Kerns an.
Ein weiteres beliebtes GDPR-Plugin, wenn auch nicht annähernd so gut dokumentiert, und es unterstützt nur WordPress Core, Kommentare, WooCommerce, Gravity Forms und Kontaktformular 7 out of the box. Die Roadmap deckt nichts ab, was über den 3. Juni hinausgeht, so dass es schwer zu wissen ist, was ihre Pläne für die zukünftige Kompatibilität sind. Es fühlt sich auch sehr nach einem aufgesetzten Plugin an.
Privacy WP verfolgt einen anderen Ansatz. Anstatt die auf Ihrem Server gespeicherten Daten zu verwalten, integriert Privacy WP die integrierten Tools zum Exportieren und Löschen von Daten mit den Daten von Drittanbietern (die zuvor erfassten Datenverarbeiter). Schau dir den Ankündigungspost von Scott Deluzio an.
Cookiebot ist kein WordPress Plugin, aber ich sehe es auf mehr Websites als eine Drop-in-Lösung für die Handhabung der GDPR-Zustimmung. Er durchsucht die Website nach dem Vorhandensein von Cookies und handhabt die Genehmigungskontrollen. Es gibt einen kostenlosen Plan, der für kleine Websites (unter 100 Seiten) geeignet ist, aber der Preis steigt von da an schnell an.
Zugehöriges Lesen
Dieses Treffen wäre nicht möglich gewesen, ohne die folgenden Ressourcen zu nutzen:
Allgemeine Datenschutzverordnung (Wikipedia)
Datenschutz in der EU (Europäische Kommission)
Leitfaden zur Allgemeinen Datenschutzverordnung (GDPR) (ICO)
Vorbereitung auf die GDPR: 12 Schritte, die jetzt zu unternehmen sind (ICO)
GDPR für kanadische Vermarkter: Gilt das auch? (Kunst & Wissenschaft)
Best Practices für E-Mail-Marketing für CASL & GDPR (Art & Science)
Das Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente (PIPEDA)
***
Haben Sie Fragen oder Anmerkungen zu diesem Treffen? Lassen Sie es uns wissen auf der Veranstaltungsseite, in unserer Facebook-Gruppeoder hinterlassen Sie unten einen Kommentar.
Das war der tolle Andy.
Wie hier versprochen, ist der Link zu den Ressourcen der Digital Analytics Association. Ich nahm an dem Workshop teil, der von ihrem Toronto-Kapitel veranstaltet wurde. Und natürlich sind die Analysten sehr besorgt über die GDPR, weil sie die Daten tatsächlich verwalten!
https://community.digitalanalyticsassociation.org/blogs/marilee-yorchak/2018/05/29/gdpr-daa-resources-for-you
Danke Heather!
Hallo Andy, danke für die Erwähnung von Cookiebot. Wir haben ein wordpress Plugin - siehe bitte: https://wordpress.org/plugins/cookiebot/. Es wird jedoch nur das Zustimmungsfeld gesetzt. Sie müssen alle Ihre Cookies manuell markieren, um sicherzustellen, dass Sie den Vorschriften entsprechen.