Best-Practices Datenschutz für Agenturen
Ja, die Anwendung der DSGVO in Europa oder dem DSG in der Schweiz ist nicht einfach. Gerade als Mitarbeitende:r einer Agentur – und ich war ebenfalls jahrelang in Agenturen tätig – möchte ich die Verantwortung eigentlich lieber nicht übernehmen. Bad news: mit zunehmender Komplexität in der technischen Umsetzung kann die Verantwortung nicht mehr komplett an die Kunden zurückgewiesen werden. Die Umsetzung vom Datenschutz ist ein gemeinsames Werk zwischen dir als Agentur und deinen Kunden.
Damit die Umsetzung etwas einfacher wird, habe ich unsere Best-Practices für die effiziente Umsetzung von Datenschutzmassnahmen aus Sicht einer Agentur aufgeschrieben.
Bestandsaufnahme und Analyse
Damit du deinen Kunden eine gute Dienstleistung im Bereich des Datenschutzes machen kannst, empfehle ich dir zu Beginn eine erste Bestandsaufnahme. Die muss nicht einer Doktorarbeit entsprechend sondern eine kurze Liste reicht völlig aus:
- Welche Daten möchte dein Kunde von seinen Besuchenden erfassen oder tut es bereits?
- Kategorisiere diese Daten ob diese anonym sind, einen Menschen identifizieren oder sogar besonders zu schützen sind (beispielsweise Gesundheitsdaten)
- Schreibe auf, welches System welche Daten speichert
Dadurch hast du schnell eine Übersicht über die Daten und kannst jederzeit Auskunft geben. Das dauert wahrscheinlich nicht länger als 15 Minuten.
Ich zeichne mir die Übersicht der mir bekannten Datenflüsse als buntes Block-Diagramm in mein Notizbuch.
Formulare und Datenerfassung anpassen
Formulare sind ein wichtigster Teil der Datenerfassung. Oft auch in Kombination mit einer Marketing Automation wie Mailchimp oder Hubspot entstehen da regelrechte Datenkraken. Die weitere Verwendung der Daten für Marketing Zwecke ist oft auch nicht genügend durch die Kunden bestätigt. Ich empfehle dir als Agentur deshalb die folgende Grundhaltung:
- Stell sicher, dass nur notwendige Daten gesammelt werden und nicht auf Vorrat einfach Daten angesammelt werden (Datenminimierung).
- Alle Besuchenden sollten sich aktiv für die Marketingkommunikation anmelden müssen (Opt-in). Das kannst du mittels Opt-In Checkboxen und darauf folgenden Double-Opt-In machen.
- Erfasse an einem Ort welche Kontakte Consent für Marketing und Tracking gegeben haben.
- Mach keine vorausgefüllten Opt-In Checkboxen und versuch die Kunden so in ein Opt-In zu tricksen.
Cookie Consent umsetzen
Jetzt zur technisch und rechtlich korrekten Umsetzung des Consent auf der Webseite. Das ist für dich als Agentur die heikelste Aufgabe da dein Kunde sich hier komplett auf dich verlässt. Wenn du Dienste einbindest, die Besuchende identifizieren können, achte darauf, dass nur die Dienste geladen werden, für die du vorher die Zustimmung der Besuchenden erhalten hast. Damit die Besuchenden die Zustimmung einfach geben und verändern können, empfiehlt sich der Einsatz einer Consent Management Plattform – kurz CMP. Diese steuert die Darstellung der Consent Banner und stellt Kategorien für die Zustimmung von Diensten zur Verfügung. Dort kannst du unterscheiden ob Scripts notwendig für den Betrieb der Webseite sind, reinen Analytics Zwecken dienen oder für die Messung und Optimierung von Marketing Massnahmen dienen. Entsprechend dieser Kategorisierung kannst du die Dienste dann je nach Zustimmung der Besuchenden einbinden.
Ich verwende immer dieselben zwei CMP in meinen Projekten (da kostengünstig und gut):
- Borlabs Cookie das führende Wordpress Plugin für Agenturen
- Termly.io fokussiert sich auf kleine Unternehmen und ist dafür recht komplett
Die effektive Einbindung der Dienste ich über den Google Tag Manager und den eingebauten Consent Mode V2 um. Dies hat den Vorteil, dass du die volle Kontrolle über den initialen Consent hast und auf Veränderungen noch in derselben Webseiten-Anfrage reagieren kannst. Sowohl Borlabs auch als Termly.io integrieren sich ohne Hürden in den Google Consent Mode. Leider ist das Grundkonzept bei den ersten Umsetzungen nicht wirklich intuitiv gelungen. Deshalb verlinke ich dir hier ein gutes Youtube Video für die Umsetzung von Consent Mode V2 in Google Tag Manager: Set up Consent Mode V2 with any cookiebanner in GTM.
Datenschutzerklärung erstellen und aktuell halten
Eine gute Datenschutzerklärung macht insbesondere eines: den Besuchenden erklären was mit den gesammelten Daten passiert. Also eigentlich gar nicht so schwer. Nur werden die meisten Datenschutzerklärungen rechtlich korrekt formuliert. Dadurch versteht kaum ein normaler Mensch noch was mit den Daten passiert. Ich schreibe deshalb gerne auch mal zwei Versionen: eine rechtlich verbindliche Version und um meine Besuchenden besser aufzuklären. Grob enthält die Datenschutzerklärung über folgende Punkte (nicht abschliessend):
- Welche Daten sammelst du, warum und auf welcher Rechtsgrundlage
- In welchen Diensten und Länder werden diese gespeichert
- Was haben die Besuchenden für Rechte an den Daten
Ist aufwändig aber im Sinne der Datenschützer:innen und Besuchenden.
Nutze doch für deine Projekte PrivacyBee. Da hast du sowohl rechtliche Verbindlichkeit als auch Transparenz für die Besuchenden.
Sicherheitsmassnahmen implementieren
Die Sicherheitsmassnahmen für Webseiten verstehen sich unter Profis von selbst. Ich achte immer auf die folgenden Punkte:
- Ausschliesslich HTTPS für die gesamte Website und Redirects um dies sicherzustellen
- Nur die notwendigen Personen haben Zugriff auf die gesammelten Daten
- Mindestens alle Personen mit Administrator Rechten müssen starke Passwörter und Zwei-Faktor-Authentifizierung haben
- Patches und Updates werden regelmässig eingespielt
- Bei sensitiven Daten macht ein externes Audit der Webseite auch Sinn
Rechte der Betroffenen umsetzen
Alle Besuchenden haben grundsätzlich das Recht an den eigenen Daten. Damit dies umsetzbar ist, musst du als Agentur dokumentieren, wie die folgenden Prozesse in den Webseiten und Lösungen in deinen Kundenlösungen umgesetzt werden können:
- Wie können Besuchende ihre Daten einsehen
- Wie können Besuchende ihre Daten korrigieren
- Wie können Besuchende ihre Daten löschen
- Wie können Besuchende ihre Daten exportieren
Das bedeutet jetzt nicht, dass du komplexe Integrationen und Applikationen zum Einsatz bringst. Du musst nur sicherstellen, dass die Besuchenden wissen wie sie eine Anfrage stellen können und die entsprechenden, manuellen Prozesse dokumentieren. Das reicht für das Gros der Anfragen im Normalfall aus.
Verarbeiterverzeichnis führen
Als Agenturpartner:in schlägst du deinen Kunden oft Dienste wie Google Analytics oder Piwik vor. Damit deine Kunden ihrer Verantwortung bezüglich Datenschutz nachkommen können, musst du sicherstellen, dass diese Drittanbieter DSGVO- oder DSG-konform sind und Daten nur nach Zustimmung übertragen werden. Das haben wir mit der technischen Umsetzung bereits sichergestellt. Rechtlich muss mit diesen Diensten ein Auftragsdatenverarbeitungsvertrag, kurz ADV, abgeschlossen werden. Dieser wird beispielsweise bei Google elektronisch abgeschlossen.
Damit deine Kunden die Übersicht behalten, musst du ihnen ein Verarbeiterverzeichnis der Dienste zur Verfügung stellen. Eine Vorlage dazu haben wir in unserer Masterclass zur Verfügung gestellt.
Dokumentation und Schulungen
Datenschutz kann nur effektiv umgesetzt werden wenn das gesamte Team mitzieht. Klar, es muss nicht jede Person über Expertenwissen verfügen. Aber genügende Grundlagen um eine vernünftige Einschätzung und Handlung abzuleiten ist aus meiner Sicht ein Muss. Deshalb solltest du als Agentur alle datenschutzrelevanten Prozesse dokumentieren und auch deinen Kunden zur Verfügung stellen. Dein Team als auch das Team vom Kunden sollte Bescheid wissen über die wichtigsten Richtlinien im Umgang mit den Daten die dein Kunde verwaltet.