Primär müssen Sie sich bewusst sein, welche Daten Ihrer Kunden und Website-Besucher Sie in welcher Form tatsächlich benötigen und erfassen («verarbeiten»).
Die Verarbeitung von Daten wird durch die DSGVO nicht generell verboten, sondern im Sinne des Verbraucherschutzes reguliert. Sie dürfen nur die Daten verarbeiten (erheben), die zum Erreichen des Ziels tatsächlich notwendig und deshalb gerechtfertigt sind. Bei einem Online-Shop kann dies zum Beispiel die Postadresse und das Geburtsdatum sein. Die Religionszugehörigkeit ist aber zum Beispiel für den Kauf einer Flasche Wein nicht massgebend. Diese Information zu verlangen oder zu speichern, wäre daher im Sinne der DSGVO wohl als nicht gerechtfertigt anzusehen.
Sobald Sie eine Übersicht über die von Ihnen verarbeiteten Daten und die Art der Verarbeitung haben, müssen Sie dies dokumentieren (Datenverarbeitungsverzeichnis). Im Falle einer Untersuchung müssen Sie dieses Dokument vorlegen können. Kleine Betriebe sind unter gewissen Umständen davon ausgenommen.
Zudem steht es jeder Person offen, bei Ihnen Einsicht über die zu ihr verarbeiteten Daten sowie deren Verwendungszwecke zu verlangen.
Sollten mehrere Personen auf diese Daten Zugriff haben (z. B. Webmaster, Mitarbeiter, externe Partner), so müssen Sie ebenfalls dokumentieren und belegen, dass diese Personen einen berechtigten Grund zur Arbeit mit diesen Daten haben.
Auch Schutzmassnahmen (Virenschutz, Lagerung von Daten, Schutz vor unbefugtem Zugriff etc.) müssen zweckmässig und dokumentiert sein.
Eine gesetzliche Verschärfung gab es bei Newslettern. Während früher eine einfache Anmeldung für einen Newsletter genügte, erfordert die DSVGO das so genannte «Double-Opt-In»-Verfahren. Sofern die Empfängeradressen und allfällige weitere Informationen nicht über dieses zweistufige Verfahren in Ihren Besitz geraten sind, verstossen Sie potenziell gegen die Verordnung, wenn Sie dies nicht nachholen.
Für Supportanfragen verwenden Sie bitte dieses Formular.