General Data Protection Regulation (GDPR)

General Data Protection Regulation (GDPR)

Einführung & Dokumentation von Online & Branding

Zusammenfassung

Die General Data Protection Regulation (GDPR) trat per 25. Mai 2018 in Kraft. Ziel des Gesetztes ist es, die Datenschutzgesetze auf europäischer Ebene zu vereinheitlich und die Daten von EU-Bürgern besser zu schützen, vor allem personenenbezogene Daten stehen im Fokus (Name, Wohnort, IP-Adresse). GDPR ist auch in der Schweiz anwendbar, sobald Daten von EU-Bürgern verarbeitet werden - dies ist bspw. der Fall, sobald ein europäischer Bürger eine Schweizer Website besucht.

Dadurch, dass die Baloise Websites gruppenweit 7 Millionen Besucher aus Europa verzeichnen, waren einige Anpassungen notwendig, um die Sites GDPR-konform zu gestalten Sobald mit dem CMS Magnolia oder dem Tracking-Tool Google Anaytics personenbezogene Daten erfasst, gespeichert und verarbeitet werden, müssen so Aufbewahrungs- und Löschfristen definiert und dokumentiert, die Einverständniserklärung der betroffenen Person (bspw. Website-Besucher) zwingend eingeholt werden, wobei diese Person jederzeit das Recht hat, diese Erklärung zu wiederrufen sowie eine Auskunft zu bekommen, welche Daten über ihn oder sie gespeichert werden.

Einführung

Alle Infos zu GDPR in Kürze - von der Definition über dem zum Ziel des Gesetzes bis zu möglichen Sanktionen.

  • Worum geht es bei GDPR?

    GDPR steht für General Data Protection Regulation, im deutschsprachigen Raum auch als Datenschutz-Grundverordnung (DSGVO) bekannt. Dieses neue europäische Datenschutz-Gesetz wurde vor über zwei Jahren verabschiedet und trat am 25. Mai 2018 in Kraft. Ziel des Gesetzes ist es, Daten von europäischen Bürgern besser zu schützen sowie die Gesetzgebung auf europäischer Ebene zu vereinheitlichen – gerade im Zeitalter, wo Daten als Basis für Geschäftsmodelle fungieren (Social Media, Online Werbung et cetera), ein wichtiger Schritt. Im Fokus von GDPR stehen dabei personenbezogene Daten wie Name, Nachname, Wohnort, Mail-Adressen, IP-Adressen et cetera.

  • Was ist mit der Schweiz?

    In der Schweiz wird voraussichtlich das neue Schweizer Datenschutzgesetz per 2019 in Kraft treten, Experten gehen davon aus, dass es weniger restriktiv ausfallen wird als die europäische Variante. Das heisst aber nicht, dass die Schweiz nicht von GDPR betroffen wäre, im Gegenteil: Sobald Daten von einem europäischen Bürger verarbeitet werden (Name, Nachname, Wohnort, IP-Adresse), müssen die GDPR-Richtlinien auch hier eingehalten werden. Beispiele: belgischer Journalist meldet sich für Mediennewsletter auf baloise.com an, deutscher Bürger meldet sich bei Movu an, um seinen Umzug in die Schweiz zu handeln, Expat aus Irland bewirbt sich via baloise.com in der Corporate IT, italienischer Bürger surft auf baloise.ch.

    Dies gilt aber nicht nur für Schweiz, sondern auch für amerikanische Unternehmen wie Amazon, Google und weitere. Gerade diese, im Silicon Valley geborene und gross gewordene Big Player waren dabei ein Grund für das Aufkommen von GDPR, werden im Valley solche Dinge wie Datenschutz und Privatsphäre nur als kurzer Ausflug der Menschheitsgeschichte betrachtet, was es im Zuge des neuen Datenschutz-Gesetzes nun zu korrigieren gilt.

  • Was gilt es bei der Umsetzung zu beachten?

    Ob Daten, die via dem CMS Magnolia verarbeitet oder transferiert werden, Besucher, die via Google Analytics erfasst werden, Kundendaten im CRM, Newsletterlisten - sobald personenbezogene Daten erfasst, gespeichert und verarbeitet werden, müssen Aufbewahrungs- und Löschfristen definiert und dokumentiert, die Einverständniserklärung der betroffenen Person (Website-Besucher, Kunde et cetera) zwingend eingeholt werden, wobei diese Person jederzeit das Recht hat, dieser Erklärung zu wiederrufen sowie eine Auskunft zu bekommen, welche Daten über ihn oder sie gespeichert werden – dies binnen weniger Stunden (24-48 Stunden, je nach Quellenangabe).

    Des Weiteren muss das sogenannte Datenminimisierungsprinzip angewendet werden, d.h. der Zugang zu Daten (CMS, Google Analytics) darf nur für einen bestimmten Zweck vergeben werden, gleichsam müssen bspw. Formulare und Prozesse auf Websites so gestaltet werden, dass so wenige Daten wie möglich benötigt werden, wobei hier zwischen Primär- und Sekundärdaten unterschieden wird. Beispiel: Für die Anmeldung eines Newsletters  ist die E-Mail-Adresse nötig und ausreichend, d.h. hier handelt es sich um Primärdaten. Bei allen weiteren Daten wie Name, Nachname, Anrede, die nicht erforderlich sind für den Abschluss einer Anfrage resp. eines Prozesses, sondern aus anderen Gründen gespeichert werden (Datengeilheit, konkretere Adressierung von Personen) handelt es sich um Sekundärdaten, für die ein triftiger Grund angegeben werden muss, warum diese trotz allem erhoben werden.

  • Welche Strafen drohen bei einem Vergehen?

    Neben einem Reputationsschaden droht eine Strafe von der EU in Höhe von 20 Millionen Euro oder 4% des weltweiten Geschäftsvolumens – je nachdem, was grösser ausfällt. Vor das Gericht gezogen wird zwar so schnell keiner, gibt es Übergangsfristen gerade zu Beginn, sollte man aufgrund dieser empfindlichen Sanktionen das Thema aber sehr ernst nehmen.

  • Was gab es für Online & Branding zu tun?

    Eine Menge. Dadurch, dass unsere Websites mit rund 7 Millionen Besuchern pro Jahr ein wesentlicher Touchpoint von unseren (potentiellen) Kunden, Bewerbern und Aktionären darstellt, ist der Berührungspunkt mit GDPR sehr gross. Problematisch war hierbei, dass das Thema in der Baloise insgesamt deutlich unterschätzt wurde, erst viele Dinge klarer wurden, je näher man dem 25. Mai 2018 kam und wir uns zum Teil auf eigene Recherchen verlassen mussten, da es nach wie vor viel Unklarheit gab oder gibt.

Dokumentation Allgemein

Was gabe es abseits von CMS, Cookies und Tracking für uns zu tun?

  • Auslegeordnung erstellen

    Wo und wie werden wir mit personenbezogenen Daten konfrontiert? Wie ist das mit Umsystemen, welche an's CMS andocken? Was ist mit Social Media Inhalten, die via Plugin auf unseren Websites angezeigt werden? Wer ist Owner der Daten, wer gibt den Auftrag, diese zu bearbeiten?

  • Interviews, Meetings & Workshops

    Interviews mit Personen von KPMG, Compliance, externen Berater für die Themen GDPR und Datenschutz, Meetings und Workshop mit Personen von Compliance und Onlineverantwortlichen zwecks Sensibilisierung und Schaffung von Verständnis.

  • Datenschutzbestimmungen

    Erklärung für Compliance (was machen wir eigentlich?), Schreiben, Abstimmung mit Compliance, Implementation in baloise.com, baloisepark.ch, artprize.baloise.com, travelguide.baloise.com, brandportal.baloise.com, webstyleguide.baloise.com, Datenschutzerklärung auf baloise.com (Beispiel): https://www.baloise.com/de/home/datenschutzbestimmungen.html

  • Cookie Policy

    Erklärung für Compliance (was machen wir eigentlich?), Schreiben, Abstimmung mit Compliance, Implementation in baloise.com, baloisepark.ch, artprize.baloise.com, travelguide.baloise.com, brandportal.baloise.com, webstyleguide.baloise.com, Cookie Policy (statische und dynamische Inhalte) auf baloise.com (Beispiel): https://www.baloise.com/de/home/cookie-policy.html

  • Antragsstellung

    Ausfüllen von Anträgen und Formularen zur Konformität und Nicht-Konformität von Applikationen

Dokumentation CMS

Welchen Einfluss hat GDPR auf das CMS Magnolia und was mussten wir umsetzen?

  • CMS Weisung

    Erarbeiten einer CMS Weisung; 6-seitige Weisung für GDPR-Konformität von Magnolia für die CMS Redakteure

  • Formular-Inventar-Vorlage

    Form-Inventar Vorlage: Excel-Vorlage für das Inventarisieren von Formularen sowie die Zuweisung von Daten-Attributen

  • Cookie Policy

    Seite hinzufügt für alle Magnolia-basierten Websites (± 45) in mehreren Sprachen (bis zu 8 Sprachen); Aufnahme der Requirements und Testing für das Styling der dynamischen Cookie-Policy

  • Cookie Banner

    Entfernen des alten Cookie Banners auf allen Magnolia-basierten Websites (± 45 in bis 8 Sprachfassungen)

  • Implementation Codes

    Implementation von OneTrust Codes (siehe unten) in alle Magnolia-basierten Websites (± 45)

  • Social Plugins

    Entfernen von Social Plugins auf baloise.com

  • Formulare

    Anpassung von Formularen auf baloise.com & baloisepark.ch (Checkbox für das Einholen des Einverständnisses des Absenders)

  • Dokumentation

    Confluence Seite für alle SBUs mit Mustervorlagen, Guidelines etc.: https://confluence.baloisenet.com/atlassian/display/fiiao/GDPR zur Dokumentation und Ablage

Dokumentation Cookies & Tracking

Was gab es in den Bereichen Cookies und Tracking vor dem Hintergrund von GDPR zu tun?

  • Cookie Banner & Cookie Policy

    Konfiguration Cookie Banner, Cookie-Präferenz-Center und dynamische Cookie Policy in OneTrust für alle Magnolia-basierten Websites (±45) in mehreren Sprachen (bis zu 8 Sprachen), Einarbeitung in  OneTrust

  • Dokumentation

    Dokumentation OneTrust & Google Analytics für Siteverantwortliche und Agenturen für Websites auf nicht Magnolia-Basis sowie von eigenhändig eröffneten Google-Konten

  • Google Analytics

    Konfiguration bestehender Google Analytics Konten (rund 45) nach GDPR-Anpassungen durch Google

  • Consulting

    Beratung von externen Partnern zum GDPR-konformen Einsatz von Google Analytics für Baloise Websites, die wir selbst nicht betreuen

Kontakt

Content Management System

Barbara Moser
+41 58 285 7662
barbara.moser@baloise.com

Daniel Zangger
+41 58 285 9378
daniel.zangger@baloise.com

Cookies & Tracking

Manuel Thomas
+41 58 285 8946
manuel.thomas@baloise.com

Sophia Michaelis
+41 58 285 8145
sophia.michaelis@baloise.com