 Hallo? Ja! Sehr gut. Okay, legen wir los. Hallo, herzlich willkommen. Zuerst einmal möchte ich euch für euch ganz gut bestätigen, dass ihr euch ein bisschen kennengeler Thema stellt. Ich glaube, es ist eine komplette Hassliebe für jeden. Man möchte sich am liebsten nicht damit beschäftigen, aber uns aber irgendwie. Wir gehen jetzt genauso. Guck mal, ich habe mich in der letzten Woche intensiv mit diesem Thema beschäftigt. Speziell, was euch jetzt Websites und Online-Markt nicht angeht. Es ist ja ein sehr umfassendes Thema, was auch in die Unternehmungskonzesse reingeht. Für das bin ich nicht zuständig. Da gibt es eine rechte Zusammenarbeit. Da bekennst du das Beste aus. Zuerst eine kurze Umfrage. Wer von euch war schon mal beim Vorteil zum Thema DSGVO? Wow, okay. Cool. Und ich auch. Ich weiß nicht, ob es nur mir so ging, aber wer hat danach genau gleich sich gewusst wie vorhin? Das war natürlich nicht dumm, aber ich habe schon Angst gehabt. Alles klar. Also ich habe mir heute das Ziel gesetzt, dass ich den praktischem DSGVO-Vortrag halte, den ich bisher zerlebt habe. Ich hoffe, ich schaffte es auch. Ja, es ist ja eine kurze Zeit. Ich muss das Reiz immer wieder kürzen, weil es einfach zu lange dauert. Aber ich glaube, ich habe trotzdem für jeden was mit dabei, dass er mal gesagt hat, das kann ich jetzt umsetzen. Das wird nicht alles sein, aber legen wir einfach los und schauen mal. Ein kurzer Umfrage noch zum Aufwärmen, denn wir haben, wie gesagt, wer fühlt sich dabei noch bezüglich Thema DSGVO ungefähr so? Okay, passt. Ein sehr herrliches Publikum, das ist gut. Gegenfrage, wer fühlt sich bezüglich dem Thema eigentlich eh schon so? Alles klar, ich weiß nicht, was du grüßt. Okay, passt. Ja, also ich glaube, es geht jeden so, dass wir beschäftigen. Wichtig wie bei allem ist aber, einfach mal die Uhr gewahren und dort pennig. Es gibt einige Dinge zu beachten, aber wenn man sich wirklich mal hinsetzt in ein paar Tage und das durcharbeitet und sich damit beschäftigt, kann man eigentlich alles umsetzen, sofern man jetzt nicht gerade im Konzern, sondern auch 100.000 Mitarbeiter hat oder ein bisschen simplen Daten arbeitet. Trotzdem aber auch natürlich die Warnung. Also nehmt es ernst gegen das Gas. Der 25. Mai kommt, auf jeden Fall. Und es gibt einiges zum Anpassen. Okay, wir können mal starten, noch eine kurze Vorstellung zu mir. Mein Name ist Kierens Graf. Ich bin Kölner und Inhaber der Bärwärgentur in Concepts Marketing und Media. Wir sind ein Full Service Bärwärgentur in Flüchtlinge Bezir. Wir sind ein Zieg für Kesteamszeit. Und spezialisiert sind wir jetzt auf WordPress und Online Marketing. Und ich selbst bin jetzt 13 Jahren im Bereich Website-Erstellung und Online Marketing-Tätik. Noch eine kurze Warnung. Auf dem Motto, Rauch kann wirklich sein. Der Vortrag ist jetzt keine Beratung durch einen professionellen, koalifizierten Anwalt. Okay, Effektcheck. Dann starten wir los. Die wichtigsten Infos zuerst. Vielleicht kennt sie die schon, aber ich denke es ist wichtig, die zu wiederholen. Wenn man die Grundlagen wirklich mal versteht und durchhört, dann kann man sich eigentlich viele Fragen selbst beantworten. Weil die Absicht der DSGV ist doch recht klar. Wenn ich mal weiß, was die Grundlagen sind, dann kann ich schon damit denken. Ganz basic, was ist die Datenschutz-Grundverordnung? Die Datenschutz-Grundverordnung ist ein EU-Gesetz. Also für den ganzen EU-Raum wirkend. Dass unmittelbar in der Mitgliedsstaaten wirkt. Ziel ist die Schaffung eines einheitlichen Rechtsrahmens für den Datenschutz. Früher war es so, dass jedes Land seine eigenen Regelungen gehabt hat. Es war natürlich immer sehr der Vorweiter davon. Und jetzt wird es wirklich vereinheitricht. Aber was auch interessant ist, ist auf das erste Gesetz, das wirklich für Amerika dann zutrifft. Denn jede Firma, die in Europa sozusagen Kunden oder Besucher hat, muss sich auch an die DSGV halten. Das heißt, somit hat auf die EU zum ersten Mal in Amerika eines vor den Platz geknallt und sagt, okay, jetzt müssen wir uns in Regen spielen. Die Absicht war ja auch, wir können auch die DSGV-Küche etwas besser kontrollieren. Wann kommt die DSGV-Uhr? Ich habe schon gesagt, der Stichteil des der 25. Mai in Kraft ist sie eigentlich schon, aber jede volle Wirkung entfaltet sie dann und dann würde es auch die ersten Strafen rein theoretisch geben. Oder auch praktisch, wenn man es sieht. Genau welche Strafen gibt es. Ich glaube, das ist auch einer der Künde, warum alle da ein bisschen Angst davor haben. Man klickt immer sehr massiv, wenn man sich ein bisschen fragt, was das ist. Die Maximalbusgelder sind 10 Mio. Euro bzw. 2% vom weltweiten Jahresumsatz oder ein schweren Fall 20 Mio. bzw. 4% vom Jahresumsatz. Das sind natürlich die höchsten Strafen. Das wird jetzt nicht jeder gleich testen können. Aber die Richter werden definitiv angehalten, auch die mindestens Strafen extrem zu erhöhen. Bis jetzt waren die Abmahnungen ein besonderes Aufregen, wenn man es mal klickt hat. Genau, das ist eigentlich die Absicht und das ist doch was dahinter. Im Grunde müssen Daten durch technische oder organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden. Das ist schon mal sehr interessant. Bis jetzt war ja das Backup eher mein Problem, wenn ich meine Daten verloren habe. Was soll es sein Schaden für meine Firma? Wenn ich jetzt aber personenbezogenen Daten verarbeite, bin ich auch dafür verantwortlich, für die Kunden die Daten zu sichern. Also Backup ist nicht mehr optional. Das muss man jetzt wirklich damit beschäftigen, auch wenn ich es vorher auf mein eigenes Gesäge und nicht gemacht habe. Ebenso muss die Verarbeitung der Daten für den Betroffenen nachvollziehbar sein und sie dürfen grundsätzlich nur für den Übermittelszweck verwendet werden. Transparenz ist ein richtiges Thema, dass ihr weiß, welche Daten ihr mich herum und für was wir das verwendet. Auch soll Unternehmen die Menge oder der verarbeiteten Daten auf das notwendige Maß bespenken. Bis jetzt war es eher so, dass man gesagt hat, auch mal reine Tracking-Code, vielleicht brauchen wir die Daten irgendwann einmal. Das ändert sich ja jetzt. Ich muss mich zuerst überregen, brauche ich die Daten, wenn mir auch für was und dann muss ich auch entsprechend die Besucher und so weiter darauf hinweisen. Also das ist eigentlich die Absicht der Datenschutz-Brundfordern. Welche Daten sind jetzt betroffen? Geht es um alles? Nein, also es gibt eine ganz klare Kategorie. Das ist umso genannte personenbezogene Daten. Habts wahrscheinlich schon gehört. Das sind Daten, jeglicher Art, die sich auf eine zumindest theoretisch identifizierbare Person beziehen. Also die Definition im Gesetz auch klingt jetzt vielleicht interessant. Im Klartext bedeutet es, logische Beispiele werden Name, Adressen, Kontaktdaten, Zahlungsdaten, Zukunftsdaten, Kundenakt etc. Das ist natürlich auch relevant. Die IP-Adresse gilt als personenbezogene Datum. Damit könnte ich rein theoretisch die Person herausfinden, die das war. Ebenso Cookies. Weil wenn ich mir alle Cookies anschaue, könnte ich vielleicht auswerten, wer das eigentlich war, aufgrund seiner Interessen und was er besucht hat etc. Also das ist mit diesem theoretisch identifizierbar gemeint. Es muss nicht klarer Name sein, das kann auch etwas anderes sein. Okay, dann kommt man zum nächsten Thema die Veranstaltung von personenbezogenen Daten. Die Frage stellt sich oft bei den Kunden. Verarbeitlich überhaupt diese Daten. Die meisten sagen mal, nein, ich habe hier keine Daten. Man verarbeitet solche Daten. Offensichtliche Beispiele werden natürlich Onlineshops logischerweise mit der Registrierung vor, membership areas also wo man sich einloggen kann. Loginbereiche, alles wo man sich irgendwie registriert. Ich denke, das ist relativ offensichtlich. Weniger offensichtlich, zumindest für die Kunden öfters dann, sind Kontakt- oder Anfrageformulare. Sobald ich der Ansprechpartner, Namen, Telefonnummer etc. bekomme, sind das personenbezogenen Daten. Supportformulare, vielleicht noch mühsleiter Anwendungen, alles in dieser Richtung. Also Formulare sind meistens ein Zeichen dafür, dass ich die Daten erfasse. Noch weniger offensichtlich, zumindest für den Kunden oft oder für den, der nicht so in der Materie drinnen ist, sind Tracking-Codes wie zum Beispiel Mapper-Röse. Also meistens Google Analytics ist ein fast jeder Webseite drinnen normal. Hotshow, wie auch zum Beispiel Google AdWords Remarketing, Facebook-Pixel für Facebook Ads etc. Alle diese Tracking-Codes sind für Kunden oft gar nicht klar, dass das drinnen haben. Eventuell noch gar nicht mein Verwendung. Wir haben früher in Kampagnen noch übergeblieben. Also da muss man auch nachschauen, was man eigentlich im Einsatz hat und warum wir auch noch weniger offensichtlich. Und da war es dann wirklich tricky. Jedliches Plug-In oder Third-Party-Tool, das zum Beispiel IP-Ad-Wessend oder ähnliches erfasst und verarbeitet. Also wir müssen uns auch damit beschäftigen, welche Plug-Ins wir im Einsatz haben, was machen die eigentlich, erfassen die Daten und wo gehen die hin. Also zum Beispiel, wir haben bei WordPress logischerweise auch Plug-Ins, auch Services wie bei Hotels oder Restaurants wie Booker Table, wo ich dann eine Reservierung über dieses Tool vornehmen kann. Da werden wir auch dann die Daten sozusagen über Booker Table abgewickelt. Chatlösungen wie Senders oder so was in die Richtung. Also alles, wo ich Daten sozusagen reinkommen und verarbeitet werden. Auch ein ganz gemeiner Punkt bei WordPress-Kommentare. Standardmäßig werden bei den Kommentaren auch die IP-Adressen mit erfasst. Ich habe da ein tolles Spam-Kommentar als Beispiel. Die Varier von Powerbackings hat mir geschrieben. Ihr Kommentar. Unter dem sehen wir dann auch die IP-Adressen. Die wird da standardmäßig mit erhoben. Es gibt ein Pragen, das würde ich allerdings nicht empfehlen. Vor zwei Jahren zuletzt abgedatet. Vielleicht würde ich es jetzt bald machen, weil es sehr interessant wird. Was ist cool von der Statistik an Downloads? Also irgendwie gibt es das Verträges-Adresser dran. Als Alternative würde ich empfehlen. Einfach deaktivierende IP-Speicherungen über die Functions-BHB. Es gibt einen kleinen Slippert. Ich bin selber Google-Domährlich zu sein. Wenn man das einfach reinschreibt, dann werden die IP-Adressen sozusagen nicht mit erhoben. Und auch nicht vergessen, wenn ihr jetzt schon wirklich Kommentare aufgezeichnet habt in eurem Blog, dann müsst ihr auch die überqueren sozusagen die IP-Adressen von einem bestehenden Kommentaren in der Datenbank löschen. Auch dazu gibt es in der Partie, die ich gleich mal gefunden habe, eine Anleitung über die Datenbank löschen können. Ein weiteres sehr begibtes Pragen für den Kommentar-Spam, also gegen den Kommentar-Spam, ist der Sprechismat. Ja, mit 5 Millionen plus Downloads. Sicher auf dem Einsatz. Allerdings werden auch hier zum Beispiel die IP-Adressen selber ermittelt und zu prüfen, ob der ein Spammer ist, ist eben dann nicht ganz ja, nicht ganz kosch, da müsste ich eine Zustimmung einfallen, dass ich das machen darf. Alternative wäre die Anti-Spam B zum Beispiel, macht das Ähnliche hat auch mittlerweile 300.000 Downloads und ist komfort mit den europäischen Datenschutzstandards. Ein weiteres Pragen, das wir öfters auch auf unschuldigen Websets sozusagen, auf ganz normalen Kundenwebsets ist Kontakt von 7 database, also wo dann die Anfrage von der Datenbank gespeichert werden, damit ich in Übersicht habe, wer dann gefragt und die auch downloaden könnte, auch da ist ja so, dass alles gespeichert wird. Und die Frage ist natürlich, wie kann ich anfangen, Anfragen zu speichern, also für den vernünftigen Zeitrahmen, wo ich es brauche, um die Anfragen zu bearbeiten, ja, aber für den nächsten 10 Jahren einfach mal so 6.Gaudenet und wo müsste ich eigentlich auch hier jetzt die Anfragen in regelmäßigen Abständen wieder löschen. Okay, jetzt haben wir das alles einmal schon gehört und dann stellt sich die Frage, darf ich überhaupt noch Daten erfassen? Ja, darf man. Es gibt 6 Punkte, wann Daten verarbeitet werden dürfen. Und die sollte man gut kennen, aber wirklich relevant sind nur 2 für uns. Schauen wir kurz nach. Das Erste ist, glaube ich, das offensichtlichste und das wird sicher einfach öfters in Zukunft und das ist ja auch die Absicht der TSGVO. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung ihrer personenbezogenen Daten für einen oder mehr bestimmte Zwecke gegeben. Also ganz krassisch, wenn ich jetzt der E-Mailus-Letter double-optim habe, dann natürlich darf ich der Person einen E-Mailus-Letter schicken. Ebenso wahrscheinlich relevant online-Shops. Die Verarbeitung ist für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Personen erfolgen. Also wenn jemand bei mir im Online-Shop etwas bestellt, dann muss ich natürlich seine Adresse, Namen und Kontaktarten speichern, damit ich den Vertrag erfüllen kann, ist natürlich legitim, ganz klar. Das dritte wäre, die Verarbeitung ist zur Erfüllung einer mächtlichen Verpflichtung erforderlich, der da verantwortlich unterliegt. Das wäre zum Beispiel die Aufbewahrungspflicht für Rechnungen und Belege, da vor allem darin. Dann weniger relevant wahrscheinlich für uns ist, die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Also lebenswichtiger Sicht, das Betroffene nicht aus unserer, als Makete. Es ist wahrscheinlich eher für Ärzte Krankenhäuser solche Sachen dann zutreffend. Auch weniger relevant für uns. Die Verarbeitung ist für die Wahrnehmung eine Aufgabe erforderlich, die Verarbeitung oder in Ausübung öffentlicher Gewalt erfolgt. Die ersten fünf Punkte waren nicht so haut fürs Marketing für die Behrung. Gibt es noch eine Rettung, das ist der sechste Punkt. Die Verarbeitung ist zur Behrung der berechtigten Interessen des Verantwortlichen, also von uns als Websitebetreiber, oder eines Trethandmittels erforderlich. Wir haben natürlich berechtigte Interessen, wir müssen Behrung machen, unsere Produkte verkaufen, das wurde auch natürlich berücksichtigt, aber, wieder den großen Fetten aber, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogenen Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person mehr Kind handelt. Das heißt, das Ganze ist eigentlich wie eine Art Wachschale. Auf der einen Seite habe ich mein berechtigtes Interesse, und auf der anderen Seite habe ich das Recht vom Betroffenen, dass er natürlich eine Privatsphäre haben möchte. Und das muss man pro Konter abwägen und schauen, ist das irgendwie nachvollziehbar, dass sich diese Daten erfasst? Ist das legitim? Oder reuchtet er doch eine Zustimmung, weil es eigentlich nicht wirklich offensichtlich ist, dass ich die Daten erhebe? Direkt, dass die Betroffenen dürfen nicht übermäßig betroffen sein und die Schutzgrundverordnung ist nicht für uns geschrieben, sondern eben für die Betroffenen. Eine kleine Ausnahme gibt es noch, das werden die sensiblen Daten, die man nicht immer erheben, ist grundsätzlich verboten, nur mit Zustimmung erlaubt. Das werden Daten, die in dieser Kategorie reinfallen, also z.B. rassische, ethnische Herkunft, politische Meinungen, sexuelle, etc., sind das glaube ich nicht gerade Standarddaten, könnte aber z.B. bei Gesundheitsdaten sehr relevant werden, also apothekenbestellung oder andere solche Sachen. Okay, wie schaut jetzt eine korrekte Einwilligung aus, d.h. was muss ich tun, damit ich der Person etwas schicken darf oder seine Daten verwenden darf? Ich habe das in Stichworten einmal eingeschwen, das gibt einen Gesetzestext, kann man auch nachlesen, der ist ein bisschen sperrer zum Lesen. Also grundsätzlich muss es einmal freiwillig sein, dass die Person, die sich selbst entschieden haben, dass sie die Zustimmung gibt, darf nicht gezwungen worden sein. Sie muss für einen bestimmten Fall gegeben worden sein, also ich kann nicht einmal eine Bestätigung cremen, ja, das Benuseiter schicken und dann schick ihm auch, steht alles andere oder verwendet es für meine andere Firma, etc., es gibt immer klare Fälle und falls ich mehrere Verwendungszwecke habe, muss ich auch die einzeln abfragen. Informierterweise, ich muss dem Kunden, genau sagen, was passieren wird, wie lange speicherst du meine Daten, zum Beispiel, wo kommen die hin? Man muss sich einfach auskennen, es muss unmissverständlich sein, also keine Facebook- rechtlichen Inweise mehr, die da 10 Seiten lang sind und es muss eine eindeutig bestätigende Handlung geben. Bedeutet jetzt konkret und war Beispiele, vorab noch steht nicht dabei, dass es schriftlich sein muss, aber die Nachweispflicht liegt bei mir, das heißt, im Grunde müssen wir es schon schriftlich machen, weil sonst haben wir keinen Beweis, dass er uns in Zustimmung gab. Ja, vor allem die Kreuz der Checkboxen sind leider out, dürfen wir nicht mehr machen, wie früher, ja, hackert ich mir den Newsletter, hoffentlich übersiedelst, er muss eben aktiv wirklich zustimmen. Auch darf ich keine unnötigen Pflichtfelder einbauen, bei einer Bestellung zum Beispiel, also die Daten, für den Vertrag, für die Erfüllung des Vertrages brauche, darf ich ja abfragen, aber ich kann als Nektler losgehen und dann noch alles Mögliche abfragen, was mich interessiert das Marketer, zumindest nicht das Pflichtfeld, also ich kann schon fragen, wenn es freiwillig hergeht, ist ja okay, aber ich darf endlich zwingen dazu, damit er die Bestellung abgeben kann. Koppelungsverbot ist auch ein interessantes Thema, das wäre, dass ich quasi die Zustimmung an irgendetwas anderes koppel, ich kann es sich aber nicht aussuchen, ob er jetzt das nimmt oder nicht, also Beispiel wäre, ich würde eine Zustimmung machen für zwei Firmen, also ja, ich würde den Newsletter erhalten von Firma AB und DE, das muss wirklich getrennt sein, ich darf das nicht koppeln. Ein Streitthema, ich glaube aber, dass es weiterhin gehen wird, das ist nur meine persönliche Meinung, wer ihn zum Beispiel, gratis E-Books daranlaut, gibt mir dernehmerer Dresse, kriegst ein E-Book, muss ja mein Gratis E-Book nicht bestellen, von dem ich glaube, ich werde das kein Problem sein. Ihr seid schon gesagt, jede Verbindung muss konkret auswählbar sein und es muss gerade deutlich und einfach formuliert sein. Ein paar Beispiele, wie das jetzt aktuell gelöst wird, hier ist ein Beispiel aus Anmeldung des Formulares Wirtschaftskammer für den Ideen und da gibt es unten dann den Passus ihre Daten werden von uns vertraulich behandelt, die Verbindung ihrer Daten erfolgt nur für den Zweck der Veranstaltung. Okay, alles klar, das werde ich ausfüllen und abschicke, damit das wirklich nur für die Veranstaltung verwendet, ich kriege dann keine Mailings oder sonstigen Sachen. Und man sieht auch hier, bei den Pflichtfeldern die sind ziemlich abgespeckt, das ist wirklich nur das Notwendigste für die Veranstaltung, der ganze Best ist hier alles als Optional zum ausfüllen. Wer von euch kennt C2N, wahrscheinlich den meisten passt, die haben es auch ganz schick gelöst für die Newsletteranmeldung zum Beispiel, die Möglichkeit, E-Mail-Adresse einzugeben und der Newsletter zu abonnieren. Und darunter habe ich den Link Beispiele hinweisen, Doppelpunkt, Datenschutz, Anmeldnöse und Widerhut, welcher draufklickt, komme ich auf eine Extrasseite, wo mir ganz übersichtlich erklärt wird was passiert, warum verwendet ihr Statistiken, wie verwendet ihr Mailchimp, etc. und dann gibt es auch noch den Datenschutz-Hinweis. Darunter kommen sogar auch Beispiele bisherige Newsletter, also das ist wirklich sehr fähig und übersichtlich gelöst, da gibt es nichts zu meckern. Auch von T3N-Mails zum Beispiel das Anbändeformular für den Login-Bereich, den Sie haben, da steht dann auch drunter, indem du auf diesen Button klickst, bestimmst du drei Nutzungsbedingungen und Datenschutz-Bestimmungen zu, und wenn ich da draufklick, komme ich gleich direkt zur Datenschutz-Erklärung. Weiteres, letztes Beispiel von einem Anfrageformular für einen Bauträger und da wir dann zugeschlehen ihre Daten werden uns für die weitere Verarbeitung, Angebot zur Stellung und gegebenenfalls Vertragserfüllung übermittelt von den unsere Kundenverwalpen für maximal 12 Monate gesteichert. Dann weiß derjenige auch ganz genau was damit passiert. Okay, das waren jetzt mal einige Beispiele, wir müssen sich Gas geben, Zeit vergeht. Praktische Umsetzung, ich hab's versprochen, also was kann man noch praktischer hier vermitteln. Wir gehen im Sofa bei den Webseiten, dass wir zuerst einen Datenaudit schauen, welche Daten werden erhoben. Das heißt, wir müssen mal anschauen, welche Daten generieren ich mit meiner Website, muss man wirklich hinsetzen und alles genau durchprüfen und was geschieht vor allem auch damit. Und wir schauen, okay, ab, erheblich personenbezogene Daten wahrscheinlich, und B, sind es auf sensible Daten, wenn ja dann gibt es noch eine Reihe von anderen Verpflichtungen, die ich bekomme, die stehen alle in der PSGV. Beispiele werden eben Formulare, Epanolöse, Ente mit Seinamts, Kommentarbe, Webshop etc. Einfach mal ein Liste machen und durchschauen, wo kommen Daten hin, es ist meistens viel mehr, wenn man glaubt. Bei den Formularen ist auch ein wichtiges Thema natürlich, mal schauen, sind meine Formulare korrekt, das heißt, hab ich keine unrähtigen Pflichtfelder, gibt's beim Formular direkt beim Absenden, entweder eben einen Link, einen Hinweis auf die Erklärung oder eben genau die Erklärung, was mit den Daten passiert. Gibt's irgendwo voraus gewählte Checkboxen, die es nicht geben sollte und auch wichtig, hab ich eine ISSL-Selverschlüsselung, weil es natürlich auch eine Absicherung der Daten, wenn ich Formular Daten erfasse, dann sollten die auch verschlüsselt werden. Ist mit 13 Glück jetzt ja eh mittlerweile gratis möglich, wenn wir sagen lassen, bei ISNM ist jetzt nicht der Bezahltablage, aber bei ISNM gibt's es auch schon gratis mit dabei. Welche anderen Marketing Tools und Skrips etc. werden verwendet? Da auch in Ruhe bei Gluckschauen, Google Analytics werden den meisten drinnen haben, das kann man auch verwenden, man muss noch einige Anpassungen vornehmen, zu dem kann man auch Google AdWords Remarketing verwenden, ich das, Facebook Pixel, sonstige Skrips und von der Gluckschauung, was da drinnen ist. Ein praktisches Beispiel, wenn man es nicht so kodafin ist, und der, das Brauen Firefox oder Chrome Plug in Glustery ist ein Werbeblocker, hat aber gleichzeitig eine coole Funktion, dass er mir genau zeigt, was da passiert, ich habe mir den Herber aufgerufen und da wird man gleich überwaltlich befeuert mit neuen Tracers und 5 Werbenetzwerken, also die Cookies fliegen da nur so gut drum und man sieht eben da ganz genau, was da passiert, also Google Tag Manager, Google Analytics, Hot Shots, okay, ich werde überwacht, etc. Das könnt ihr euch mal einrichten und dann könnt ihr ganz leicht eure Website anschauen, was da so vorkommt. Ja, auch noch ein Punkt, wie angesprochen, falls ich jetzt wirklich Personalbezogene Daten auf der Website speichere, also Online-Shop, Login-Bereichen, so weiter, auch mal anschauen, wie das Backup gelöst ist, weil ich ja auch die Daten vor Zerstörung sichern muss. Security ist generell ein Thema, WordPress und Plugins halt Einhalten, WordPress Hardening, Best Practices, Vornehmende, etc. und wie schon erwähnt, SSL auch für Seeort sind ja ein Vorteil, also ich soll es einfach einsetzen, kann ich schauen. Geben Sie noch die Frage, wer hat eigentlich Zugriff auf die Daten, also auf die Website, aufs Google AdWords-Konto oder so immer. Ich muss dann eine Auftragsverarbeitung mit dem Hosting-Anbieter abschließen. Die werden eigentlich viele Sachen bereitstellen logischerweise, weil die ja selbst interessiert sind. Das kann man auch in elektronischer Form erfolgen, also mit Savi habe ich auch gerade vorher gesprochen, die werden das bald einführen, dass man im Konto über eine Jetbox einfach das bestätigen kann, dann ist das erledigt. Von dem her muss man sein Verträglichen und her schicken, das werden sich ja die Hosting-Provider auch für uns übernehmen, aber halt schauen ob es das gemacht hat. Wir brauchen Mittragendur, die die Website betreut, zum Beispiel, wenn die auch Zugriff auf die Daten hat. Und einen Geheimhaltungsvertrag mit den Mitarbeitern, auch da gibt es eine Vorlage von der Wirtschaftskammer, weil die Mitarbeiter müssen das ja auch alles einhalten. Okay, jetzt habe ich meinen Audit gemacht. Das Nächstes muss ich dann eben die Anpassungen vornehmen und da kann ich dann so vorgehen, dass ich mir mal, jetzt habe ich meine Liste gemacht, was ich jetzt habe, die Datenformulare, etc. einfach anschauen, wenn es nicht notwendig ist, und der TSG verokernform ist, wo wir schon die Reise einfach mal entfernen, dann brauchen wir sie nicht. Auch nicht vergessen die alten bestehenden Datenlöschen, falls ihr die noch habt, wenn die dann nicht TSG verokernform herum wurden. Hinweise der Zustimmungserklärung einer Gänze, wo es notwendig ist, eben Kontaktformulare etc. und die Datenschutzerklärung und auch da gibt es gute Vorlagen von der Wirtschaftskammer, die man nehmen kann, muss man nicht unbedingt zum Anwalt geben, wenn man eine ganz standard Website hat mit dem zusammenstoppen, dann haut das schon ganz gut hin. Gurga Lütix ist sicher ein wichtiges Thema für unser Kunden, haben wir uns schon gesagt schmeißen wir es raus aus Panik und von dem Rad ich natürlich ab, ihr wollt sie auch auf eure Website weiterhin optimieren und betreuen, also nicht jetzt wegen der DSBV und davon verlieren. Es gibt ein paar Schritte bei Gurga Lütix, die man vornehmen muss, das erste wäre ein Nummermaus IP einzustellen, standardmäßig wieder die komplette IP-Adresse am Google man mit tut. Gibt es ein kleines, eine kleine Gänze, um die ich machen kann, dann werden die letzten drei Stellen weggeschnitten, also quasi anonymisiert, dann ist das Ganze schon wieder okay. Datenverarbeitungsauftrag mit Google abschließen, das geht im Google-Konto, zeichere ich euch dann noch Cookie-Hinweis, sobald ihr Google Analytics verwendet, setzt ihr auch Cookies, das heißt dann brauche ich auch diese Cookie-Toolbar zum wegklicken, Datenschutzerklärung ergänzen, also eure eigene, mit Hinweis darauf eben, dass ihr Google Analytics verwendet, was es ist etc. und es muss auch immer eine Opt-Out-Möglichkeit geben, also wenn derjenige sagt, ich will das nicht verwenden, dann muss er irgendwie die Möglichkeit haben, auch da zeichere ich euch noch, da gibt es einen Link, den man setzen kann so im Toolbar-Plugging. Wie schaut das ein Analyse-IP aus, also im Tracking-Script, entweder als für Universal Analytics, was die meisten wahrscheinlich von euch noch haben werden oder jetzt der neue Global Side-Tag, muss ich eben dann hier diesen Teil ergänzen, auch das gibt es überall, im Internet als Anleitung, ist keine Rockerzeit, falls ich jetzt nicht im Tracking-Code herumfutzen möchte, kann ich auch ein Plage nutzen, wie z.B. dieses, wo ich auch dann keine Statistiken habe, schon direkt im Dashboard und da gibt es dann die Möglichkeit, unter erweiterte Einstellungen ein IP-Adress anonymisieren einzuschalten, dann passiert dann genau das, also diese Zeit damit hinzugefügt. Aber Achtung, wenn ihr den Tracking-Code schon drinnen habt und dann auch noch das Plage instorniert und dann habt ihr eine Absprungrate von 1%, dann passen die Daten nicht mehr, also ihr müsst das schon vorher entfernen, falls ihr dann das Plage nutzen wollt. Gut, dann der Datenverarbeitungsauftrag, also im Google Analytics-Konto bei Konto-Einstellungen, wenn sie da drauf geht, dann gibt es ja, wenn sie runter scrollt, gibt es diesen Abschnitt Zusatz zur Datenverarbeitung. Wenn ihr jetzt euer Google Analytics-Konto schon längere Zeit habt, da wird es bei euch wahrscheinlich so ausschauen, dass hier steht, für dieses Konto erfolgt da noch keine Zustimmung für den Zusatz zur Datenverarbeitung. Also solange das steht, habt ihr noch keine glückliche Vereinbarung mit Google. Ihr müsst es dann einfach einmal auf Zusatz anzeigen, klicken, dann kommt dieser Hinweis, der man sich dann ganz gründlich durchliest und dann geht man auf Speichern und dann ist das Ganze erledigt und dann sollte es so ausschauen, die Zusatz zur Datenverarbeitung für dieses Konto erfolgt den 4. April 2018. Ab dem Zeitpunkt sind die Daten, die ihr in Google schickt, legitim. Rein theoretisch müsst ihr die alles von davor löschen. Also ich empfehle euch auch noch, dass ihr ein eigener Datenansicht anlegt mit diesem Stichwerk, wo ihr das gemacht habt, dann habt ihr für später, falls das hart auf hart kommt, eine Datenansicht mit den Daten ab diesem Zeitpunkt und die anderen könnt ihr dann löschen oder so. Der Zusatz zur Web-Analyse, also in der Datenschutz-Erklärung das ist eine Vorlage kann man sich auch bei verschiedenen Webseiten inspirieren lassen, die das vielleicht schon gemacht haben. Es wird dann genau darauf hingewiesen, was Google Analytics ist, wo die Daten hinkommen etc. Es gibt dann hier eben diesen Link auf dieses Opt-Alt-Plagien, das derjenige installieren könnte. Wenn ich das verliehen kann, ist das schon mal ok für die Opt-Alt-Möglichkeit. Eine zweite Möglichkeit, wenn ich es ganz genau nehme, gibt es auch online zum Nachlesen. Ich kann auch ein kleines Skript einbauen, dass ich mir, wenn ich auf diesen Link klicke, ein Opt-Alt-Cookie verpasse, damit ich nur für diese Webseite keine Daten erfasst bekomme. Aber es ist nicht beides notwendig, so das erste, das ist sicher leichter. Ja, da haben wir es nochmal zum... Ok, dann auch noch schauen natürlich, wenn ich jetzt Cookies verwende, also bei Google Analytics ja sowieso der Fall, aber auch sonst noch, also Mehrsprachigkeit zum Beispiel, Login-Bereich etc., da da ein überall Cookie ist gesetzt. Ja, da habe ich sehr webmehrlöser Login-Bereich und Mehrsprachigkeit an den Shops. Wenn Cookies gesetzt werden, dann brauche ich eben auch diesen Cookie-Hinweis. Da verwenden wir zum Beispiel die eine Diesendorf und die Factory, da hat auch schon 500.000 Installs, das ist kürzlich auch gedätet, kann man recht gut anpassen und damit ist das dann schon erledigt. Auch ein Hinweis, also tut sich nicht unnötig selbst geist man nicht, aber schon beim Seiten gesehen, wo dann ganz fett über die ganze Menübar dieser Cookie-Hinweis steht und man findet das Menü gar nicht und kann die Seite nicht verwenden. Ihr könnt es ruhig unten geben, also tut sich nicht unnötig da ein Stein in den Weg werfen. Ok, das war's auch schon, da fahren wir jetzt doch an dieser Reaktion. Ich weiß, es gibt noch viel mehr, da muss ich dann beschäftigen, aber ich denke, es waren schon mal einige praktische Tipps. Noch ein kleiner Bonus. Ich habe ja in der letzten Zeit viele Checklisten und Vorlagen gesammelt von der Wirtschaftskammer, ist recht gut aufbereitet, aber oft schwer zu finden. Also schieb zu meinen E-Mailer kann ich euch jetzt ein kleines Plan verschicken mit den PDFs und Checklisten, die man da halt so bekommt. Oder irgend so ein eti von der Wirtschaftskammer? Wie speicherst du die Daten? Die werden nur für den Zweck von dieser Ausgabe verwendet. Gut aufgepasst. Für alle. Für Privatpersonen. Für Privatpersonen gibt's eine Ausnahme. Es darf nur nicht an ebeneren genergischen Hauch haben. Ja, auch für alle. Ja, auch für alle. Also, wie gesagt, am besten noch Checklisten mit der Wirtschaftskammer, aber auf einmal schätze ich mal, wenn wir nicht komplett gemeinnützig sind. Müsste man sich aber auch kundigen, dass ich den Pfarrer übernehmen kann. Okay, du brauchst. Also wie gesagt, ich bin ja kein Rechtsanwalt, das heißt, ich weiß sowas, was ich bei der Website anpassen muss, aber... Wie geht's? Wie geht's du oder ihr mit externen Sachen, und sowas um? Ja, das ist ja auch alles so. Ja, auch für Google Maps gibt's so einen kleinen Hinweis, zum Beispiel, wenn man Datenschutzerkennung reingehen kann. Bei den Forms ist dann die Frage, werden Personen bezogen in Daten erhoben? Genau, also da muss man dann immer schade werden, die Anbieter sicherlich dann Lösungen noch bereitstellen. Auch noch kurz, es gibt auch die Möglichkeit für eine Geförderte, also es gibt auch eine Geförderung die bieten wir jetzt in den Kunden auch an, weil das war ein... Erstens, wenn wir für die Kunden nicht schon mehr Effekt das machen müssen, dann haben wir gesagt, okay, wir können das zumindest das Trostfluss da weniger aufwendig machen. Auch da kann ich euch Ihnen was schicken, das muss ein DSGVO-Website auch nicht machen, dann eine Beratung, die fast zu 15% gefördert wird. Okay, dann mal vielen Dank. Wissen wir mal jetzt von der Zeit hin? Ja. Geht's sonst doch jetzt doch mit über Fragen? Kann man hier wirklich wie Facebook, Remarketing oder Custom Audiences nochmal anbrechen? Wie löst sie das irgendwo oder derzeit einfach mit 25 und aufhören zu was denn? Naja, auch wiederum mit der Datenschutzerklärung, dann musst du euch deinen Passus reinschreiben, dass du irgendwas machst. So wird es halt zur Zeit gemacht bei vielen Websites. Ja, und dann auch, ich glaube, es gibt auch eine Möglichkeit, wenn man fast wird, das muss man halt bereitstellen, dann wäre es grundsätzlich okay. Ich meine, das Thema ist, es gibt noch keine Rechtsprechung zur DSGVO. Also es ist sehr spannend, weil es im Gesetz es gab noch ein einziges Urteil, diesbezüglich, also wie dann die Richter wirklich in der Praxis entscheiden, ist man ja noch nicht. Darum kann man es jetzt einmal nur zum besten gewissen vorbereiten, entweder einmal gewissen, oder auch nicht. Und dann werden wir eh sehen wenn ich zuerst hoffentlich die größeren treffen wird. Und wir können dann daraus lernen. Ja? Es ist unverantwortlich, jetzt ist es nicht ab. Bei deinem Grund ist es die Verantwortung. Naja, ich glaube, das ist ein Streitthema, aber ich persönlich denke mir, wenn ich ein Baumeister beauftrage, dann sollte auch die rechtlichen Namen kennen. Also ich glaube, das wird ungut. Zumindest den Kunden verliere ich, wenn er sich aufrecht, aber es gibt sowas wie Privacy bei Default. Wenn ich Webseiten erstelle, sollte ich diese ganzen Einstellungen eigentlich schon möglichst berücksichtigen. Darum, wenn ich Webseiten erstelle, sollte ich das dann schon quasi entsprechend richtig machen. Zum Thema Privacy für Default. Wenn der User auf die Webseite jetzt das erste Mal dann wieder schreckt, ohne dass er das nicht gelesen hat. Eigentlich geht es erst am Nachladen, wenn er den Kunden lieber stimmt. Also bei diesem Plage, was ich gezeigt habe, gibt es auch einen kleinen Hook, mit dem kann ich gewisse Skrips blockieren, bis er auf OK geklickt hat. Also das kann man auch. Es wäre halt, je nachdem, was ich vornehme, wenn es jetzt eine erwartete Handlung ist, so wie du klein lündigst, wird es wahrscheinlich nicht so schlimm sein. Aber wenn ich auf nochmal sicher gehen möchte, kann ich auch jetzt nicht genau sagen, aber die Möglichkeit gibt es auf jeden Fall bei dem Plage, dass man das blockiert. Dann ist man 100% auf der sicheren Seite. Ja, Österreich und Deutschland, wie gesagt, Ziel ist ja hier, eine einheitliche Rechtsprechung zu schaffen. Deutschland, Weimar, viel schärfer, was das angeht. Ja. Es wird sicher in Deutschland wieder Ärger zugehen, aber auch in Österreich dürfen wir es nicht ums Denken. Das ist ja zu viel, das ist das eine. Alles klar. Ja, eine Frage noch, und dann muss ich auch nochmal der nächste Beleg vorbereiten. Ich habe noch mit besorgenden Daten bei einem Internet von den Unternehmen. Ja, auch die Daten meiner Mitarbeiter sind personenübezogenen Daten. Also auch da muss ich dann schon auch auftauchen. Ich kann ja mit denen ein vereinbauen, eine schriftliche, dass sie jetzt zustimmen und sie können sich ja bei mir quasi auch auftauchen in realen Leben. Aber wenn das hier erwartet. Okay, dann viel Dank. Ich hoffe, es war einiges für euch vorbei. Ich gehe auf die andere Seite.