Ratgeber: DSGVO & Cookies

Das müssen SIe beachten

Hinweis!


Dieser Ratgeber ist keine Rechtsberatung! Im Rahmen unserer Arbeit mussten wir uns intensiv mit den Datenschutzbestimmungen und der DSGVO beschäftigten. Wir sind jedoch keine Juristen noch Datenschutz-Experten. Wir können weder für die Vollständigkeit, Aktualität und Richtigkeit der bereitgestellten Inhalte die Haftung übernehmen.

Was ist die Datenschutzgrundverordnung (DSGVO)?

Die DSGVO ist eine neue EU-Verordnung, die am 25. Mai 2018 in Kraft getreten ist. Die Datenschutzstandards wurden damit in der kompletten Europäischen Union vereinheitlicht. Es wird hauptsächlich der Umgang mit personenbezogenen Daten geregelt.


Für wen gilt die DSGVO?

Die DSGVO gilt für alle Unternehmen, welche in der EU ansässig sind; eine Niederlassung in der EU haben oder nur Zugriff auf personenbezogene Daten von EU-Bürgern haben. Es gibt keine Ausnahme, egal ob Einzelunternehmer ohne Internetseite, ein Verein oder großes Business-Monopol. Jedoch beschränken wir uns in diesem Guide nur auf Internetseiten.


Welche Strafen gibt es für Verstöße?

Die Strafen werden individuell verhandelt. Grundsätzlich sind für Verstöße im Datenschutz Strafen in Höhe von bis zu 10 Mio Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich (je nachdem, welcher der Beträge höher ist). Zuletzt erhielt die "Deutsche Wohnung" zum Beispiel ein Bußgeldbescheid in Höhe von 14,5 Mio Euro für diverse Datenschutzverstöße. Aber auch kleinere Unternehmen hat es bereits getroffen. So musste das Hamburger Unternehmen "Kolibri Image" einen mittleren, vierstelligen Betrag zahlen.


Was sind personenbezogene Daten?

Personenbezogene Daten lassen sich immer auf eine Person zurückführen. Jedoch kann der Begriff in die Irre führen, da personenbezogene Daten sogar schon IP-Adressen und Cookies sind. Sobald die Möglichkeit besteht, dass man einzelne Daten einer Person zuweisen könnte (auch wenn die Person unbekannt ist und keine anderen Daten vorhanden sind), hat man mit personenbezogenen Daten zu tun.

Hier einige Beispiele:

  • Name
  • Adresse
  • E-Mail-Adresse
  • KFZ-Kennzeichen
  • Telefonnummer
  • Standortdaten
  • IP-Adressen
  • Cookies

Jeder nutzt personenbezogene Daten!

Oft wird fälschlicherweise angenommen, dass man selbst aktiv keine Daten in der Art sammelt und deswegen nicht betroffen ist. Deshalb hier einige alltägliche Beispiele für personenbezogene Daten in Unternehmen.

1. Sie bekommen eine Anfrage für Support/Dienstleistung/Produkt per E-Mail.

Auch wenn der Absender keinen Namen, Adresse oder Telefonnummer hinterlassen haben sollte sind Sie betroffen, die E-Mail-Adresse reicht aus. Es handelt sich ganz klar um personenbezogene Daten.

2. Sie haben einen Blog und ein Nutzer kommentiert einen Beitrag.

In den meisten Fällen muss eine E-Mail-Adresse beim Kommentieren angegeben werden, auch wenn diese nicht angezeigt wird. Auch hier werden personenbezogene Daten gespeichert.

3. Sie nutzen Google Analytics und ein Nutzer kommt auf Ihre Seite.

Google setzt Cookies, speichert die IP-Adresse und wertet den Standort und weitere Systemdaten des Nutzers aus. Hier werden personenbezogene Daten gespeichert. Zusätzlich werden die Daten noch an Dritte (nämlich Google) weitergegeben, was die Sache an sich komplizierter macht, aber dazu später mehr.


Zusammenfassung: Der Verwendungs- und Erhebungszweck ist wichtig

Generell ist es immer wichtig genau zu wissen wann man personenbezogene Daten verarbeitet und warum man dies tut. Jedes Unternehmen sollte sich spätestens jetzt mit der DSGVO auseinandersetzen.

Entspricht die Verarbeitung nicht mehr dem ursprünglichen Erhebungszweck, braucht man zwingend eine Einwilligung der Person.

Sollten für die Speicherung der Daten kein Erhebungszweck mehr vorhanden sein, müssen die Daten unaufgefordert gelöscht werden.

Galt es vor einigen Jahren noch so viele Daten wie möglich zu sammeln, um Kundenprofile und Datenanalysen für Marketing & CO zu erstellen. sollte man heute zweimal darüber nachdenken, ob man die Daten wirklich benötigt und die Weiterverarbeitung auch zulässig ist.

Im Zweifelsfall sollte man immer eine freiwillige Einwilligung von Besucher einfordern, diese muss umfassend sein, also den Besucher darüber aufklären was genau mit den Daten passiert. Sollte der Besucher nicht zustimmen dürfen Sie die Daten nicht für weitere Zwecke nutzen.

Vermeiden Sie eine zwingende Einwilligung für andere Verwendungszwecke an Anmeldungen etc. zu koppeln, da dies ebenfalls nicht mehr erlaubt ist.


Führung eines Verarbeitungsverzeichnisses

Was ist ein Verarbeitungsverzeichnis?

Ein Verarbeitungsverzeichnis soll die Prozesse dokumentieren, welche den Umgang mit personenbezogenen Daten nachvollziehbar machen.

Wer muss ein Verarbeitungsverzeichnis führen?

Wenn eines oder mehr der folgenden Szenarien zutrifft:

  • Mehr als 250 Mitarbeiter
  • Verarbeitung besonderer Datenkategorien (z.B. Krankenakten, Finanzdaten, Zugangsdaten, etc.)
  • Verarbeung von personenbezogenen Daten erfolgt nicht nur gelegentlich

Während die ersten beiden Punkte noch gut nachvollziehbar sind, ist der letzte Punkt schwieriger zu fassen. Wann erfolgt eine Verarbeitung nicht nur gelegentlich? Auch hier sind einige Anwälte überfragt und raten die ersten Urteile abzuwarten. Im Zweifelsfall sollte man aber ein Verarbeitungsverzeichnis führen.

Wir gehen davon aus, dass eine Verarbeitung nicht nur gelegentlich ist sobald Daten gezielt gesammelt werden bzw. werden müssen.

Hier zwei Beispiele:

1. ein Shop zielt darauf ab Bestellungen zu generieren, dazu braucht der Shop Informationen wie Rechnungsadresse, Versandadresse, etc. Es ist nicht im Sinne des Shops nur gelegentlich zu verkaufen. Unserer Meinung nach wäre ein Verarbeitungsverzeichnis zu führen.

2. Eine Website nutzt ein Newsletter-Tool und schlägt den Nutzern vor sich in den Newsletter einzutragen. Auch hier ist das Ziel E-Mail-Adressen zu sammeln und E-Mails zu versenden. Da gezielt E-Mail-Adressen eingesammelt werden, ist auch hier unserer Meinung nach ein Verarbeitungsverzeichnis zu führen.

Auf Anfrage der zuständigen Behörde muss das Verarbeitungsverzeichnis vorgelegt werden, wenn es geführt werden muss.

Aufbau eines Verarbeitungsverzeichnisses

Ein Verarbeitungsverzeichnisses ist immer individuell auf das Unternehmen abgestimmt. Bisher gibt es noch keine amtlichen Vorlagen zu dem Thema, welcher aber sicherlich noch folgen werden.

Eine Vorlage und Leitfaden für den Aufbau eines Verarbeitungsverzeichnisses finden Sie bei Bitkom: https://www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html


Einwilligung und die Gefahren

Sobald man Daten für weitere Zwecke nutzt oder an Dritte weitergibt, braucht man eine aktive freiwillige Einwilligung vom Nutzer.

Eine Einwilligung darf nicht passiv per Datenschutzerklärung erfolgen, sondern immer an der Stelle, an welcher die Daten erhoben werden.

In der Theorie reicht eine mündliche, elektronische oder schriftliche Einwilligung aus. Jedoch ist der Seitenbetreiber im Zweifelsfall in der Beweislast. Wie genau der Beweis aussehen soll, weiß leider noch keiner, hier raten manche Anwälte auf die ersten Urteile zu warten. Eine Checkbox als Bedingung zur Einwilligung sollte aber mindestens vorhanden sein. Die Checkbox darf nicht vorausgewählt sein.

Eine Einwilligung muss ebenfalls umfassend sein. Man muss angeben welche Daten wozu genutzt werden und an wen diese weitergegeben werden. Bei der Weitergabe an Dritte muss man ebenfalls angeben, wie diese die Daten nutzen. Auch die Dauer der Nutzung und Speicherung muss erwähnt werden.

Es muss darauf hingewiesen werden, dass der Nutzer die Einwilligung widerrufen kann.

Neu: Das Kopplungsverbot

Neu mit der DSGVO ist das Kopplungsverbot.

DSGVO Art. 7 Abs. 4 sagt: „Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Übersetzt heißt das ungefähr: „Man darf keine zwingende Einwilligung für eine Verarbeitung von personenbezogenen Daten einbauen, wenn das für das eigentliche Angebot nicht erforderlich ist.“

Dazu zwei Beispiele:

1. Es darf kein Download für ein freies E-Book mit der Einwilligung für Newsletter gekoppelt werden

2. Eine Bestellung in einem Shop, darf nicht automatisch per AGB oder andere zwingender Einwilligung an weitere Werbemaßnahmen gekoppelt sein.

3. Gewinnspiele dürfen die gesammelten Daten nicht mit einer Pflichteinwilligung für weitere Werbemaßnahmen koppeln.


Datenschutz-Folgeabschätzung

Wie der Name bereits erahnen lässt, müssen hier die Folgen von „Datenschutzpannen“ abgeschätzt werden.

Die Datenschutz-Folgeabschätzung betrifft meinst nur größere Unternehmen, welche Daten in großen Mengen oder kleinere Unternehmen, welche Daten besonderer Kategorien nutzen, wie Krankenakten, Steuerdaten, etc..

Hier müssen die Verarbeitungsvorgänge beschrieben, mögliche Risiken durchgespielt, Notwendig- und Verhältnismäßigkeit erklärt und mögliche Maßnahmen geplant werden.

Sobald man zu einer Datenschutz-Folgeabschätzung verpflichtet ist, braucht man ebenfalls einen Datenschutzbeauftragten.

Wie eine Datenschutz-Folgenabschätzung aussehen soll, ist noch nicht klar. Die Behörden wollen dazu aber Beispiel-Listen veröffentlichen


Meldepflicht bei Datenschutzverstößen

Bei Datenpannen, wie Datenbankhacks oder auch fahrlässigem Umgang mit den Daten, sind Sie nun verpflichtet diese der Aufsichtsbehörde innerhalb von 72 Stunden zu melden. Ebenfalls müssen die Betroffenen informiert werden. Sie sind außerdem zu einer umfassenden Dokumentation verpflichtet.

Eine praktische Vorgehensweise gibt es noch nicht. Wichtig ist es jedoch den Vorfall den zuständigens Behörden zu melden.


Datenschutzerklärung

Die Datenschutzerklärung muss in fast allen Fällen angepasst werden. Es wird nun eine einfache und verständliche Sprache für die Nutzer gefordert, welche über alle Datenverarbeitungsprozesse aufklären muss.

Des Weiteren muss noch ein Ansprechpartner genannt werden, an den sich die Nutzer wenden können. Sollte es einen Datenschutzbeauftragten geben, muss dieser ebenfalls genannt werden.

Folgende Punkte müssen beachtet werden (falls vorhanden):

  • Die Verarbeitung der Daten auf der Seite
  • Umgang mit Kunden-/Bestelldaten
  • Nutzung von Tracking- und Social-Media-Tools
  • Newsletter-Tool inkl. Hinweis auf Auftragsdatenverarbeitungsvertrag (ADV)
  • Dauer der Speicherung
  • Abschnitt zur Auskunft, Berichtung, Löschung und Widerspruch zu den Daten
  • Pflicht auf Datenportabilität

Pflicht zur Datenportabilität

Der Besucher hat das Recht auf Herausgabe seiner Daten. Ein Beispiel dafür gibt es noch nicht. Man sollte jedoch davon ausgehen, dass die Daten der Person inkl. die Art und der Umfang der Verarbeitung gemeint ist.


Verschlüsselung von Daten

Sobald mit personenbezogenen Daten gearbeitet wird, müssen diese Daten verschlüsselt werden.

Generell kann man sagen, dass jede Seite mittlerweile ein SSL-Zertifikat haben sollte, da fast alle Seiten in irgendeiner Form personenbezogene Daten übertragen.

Hier einige Fallbeispiele, wann die Website verschlüsselt werden muss:

  • Kontaktformular
  • Kommentarfunktion
  • Online-Shop
  • Newsletter-Anmeldefeld
  • Verwendung von Cookies

Recht auf Vergessenwerden / Löschpflicht

Daten müssen gelöscht werden, wenn

  • diese nicht mehr dem eigentlichen Verwendungszweck dienen.
  • Die Einwilligung widerrufen wurde bzw. der Besucher widerspricht
  • Keine gesetzlichen Speicherpflichten verletzt werden

Dazu haben wir einige Beispiele für Sie:

1. Teilnahme am Gewinnspiel

Wenn das Gewinnspiel vorbei ist, müssen alle Daten der Teilnehmer gelöscht werden, es sei denn, die Nutzer haben freiwillig eingewilligt, dass die Daten noch für weitere Zwecke erhoben werden. Die Einwilligung darf nicht durch Teilnahme am Gewinnspiel erzwungen werden (siehe Kopplungsverbot weiter oben)

2. Newsletter-Abmeldung

Bei der Newsletter-Abmeldung widerruft die Person die Einwilligung zum Erhalt von Emails. In den meisten Fällen ist der Erhebungszweck zur Speicherung der E-Mail-Adresse damit weggefallen und die Daten müssen gelöscht werden.

3. Kundendaten im Online-Shop

Wenn ein Kunde sich in einem Shop angemeldet hat und kann er darauf bestehen, dass das Konto und seine Daten gelöscht werden.

Sollte der Kunde jedoch Bestellungen getätigt haben, haben Sie eine eventuelle Speicherpflicht von 10 Jahren, jedoch nur für die jeweiligen Rechnungs- bzw. Versanddaten. Alle anderen Daten müssen nach Aufforderung gelöscht werden.


Auftragsdatenverarbeitungsvertrag

Ein Auftragsdatenverarbeitungsvertrag (ADV) ist immer dann notwendig, wenn Personen bezogene Daten an Dritte weitergereicht werden, egal ob bewusst oder unbewusst.

Hier einige Beispiele:

1. Sie nutzen einen Newsletter-Anbieter wie KilckTipp, Cleverreach oder MailChimp. Da diese Email-Adressen Ihrer Kunden speichern, ist hier ein ADV notwendig​.

2. Webhoster speichern in den allermeisten Fällen mindestens die IP-Adressen der Nutzer. Manche Hoster führen sogar eigene Statistiken. Auch hier ist ein ADV notwendig.

3. ​Auch Google Analytics speichert IP-Adressen sowie System- und Browser-Daten. Auch hier ist ein ADV notwendig.


Die häufigsten Fehler und nächsten Schritte

Kein SSL-Zertifikat!

Die meisten Seiten nutzen keine SSL-Verschlüsselung. Fast alle Websites erheben Personen bezogene Daten

SSL-Zertifikate müssen meist kostenpflichtig bei dem eigenen Web-Hoster gebucht werden.

Sobald das SSL-Zertifikat aktiv ist muss darauf geachtet werden, dass die Website nur noch per HTTPS erreichbar ist. Bei WordPress ist dies relativ einfach. Gehen Sie dazu im Backend in Einstellungen -> Allgemein. Ersetzen Sie die Einträge für WordPress-Adresse (URL) und Website-Adresse (URL) durch die entsprechenden mit HTTPS.


Google Analytics wird falsch genutzt

Anonymisieren Sie die Daten. Dazu muss folgende fettgedruckte Zeile hinzugefügt werden.

 <script>
    (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
    (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
    m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
    })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');

    ga('create', 'UA-XXXXXXXXX-X', 'auto');
    ga('set', 'anonymizeIp', true);
    ga('send', 'pageview');
</script>

Fügen Sie folgend Abschnitt hinzu: 

ga('set', 'anonymizeIp', true);

Oder ersetzen Sie den Code als Ganzes. Achten Sie darauf das Muster-Tag durch ihr eigenes zu tauschen.

UA-XXXXXXXXX-X

Da die Einbindung von Google Analytics teilweise stark variiert, muss die Code für die Anonymisierung ggf. angepasst werden.

Trotz der Anonymisierung werden noch immer Personen bezogene Daten an Dritte (nämlich Google weitergegeben). Schließen Sie deshalb noch mit Google einen ADV-Vertrag ab:

Folgen Sie dazu den Anweisungen: https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf


Social Sharing Tools nutzen

Die meisten offiziellen Sharing Tool von Facebook und Co verstoßen gegen das Datenschutzrecht. Sobald man die Seite aufruft, werden etliche personenbezogene Daten an die Anbieter übermittelt ohne das diese eingewilligt haben. Auch ein allgemeiner Passus in der Datenschutzerklärung, welcher über das Vorgehen informiert, macht die Sache nicht legal.

Verzichten Sie unbedingt auf diese Tools!

Wenn Sie trotzdem den Nutzern die Möglichkeit geben möchten Inhalte zu teilen, nutzen Sie Tools wie „shariff“. Das Tool wurde von Heise Verlag entwickelt und ist datenschutzkonform.

Für Programmierer: https://github.com/heiseonline/shariff

Als WordPress-Plugin: https://de.wordpress.org/plugins/shariff/

Als Typo3-Extension: https://extensions.typo3.org/extension/rx_shariff/


Newsletter-Tools nutzen

Newsletter-Tools speichern die E-Mail-Adressen und somit ebenfalls personenbezogene Daten. Hier ist zwingend ein Auftragsdatenverarbeitungsvertrag mit den jeweiligen Anbietern erforderlich. Deutsche Anbieter sind zwingend mit den Datenschutz vertraut und halten die Richtlinien meist ein. Gerade von amerikanischen Unternehmen sollte man im Zweifelsfall Abstand halten.

a. Prüfen ob die Datenschutzrichtlinien vom Anbieter eingehalten werden.

b. Auftragsdatenverarbeitungsvertrag mit dem Anbieter abschließen.

Update: Der richtige Umgang mit Cookies auf Ihrer Website

Ende September 2019 hat der Europäische Gerichtshof ein Urteil bzgl. Cookies auf Websites & Shops gefällt, das jeden Betreiber trifft.

Gerne möchte ich Sie über das aktuelle Urteil informieren und Sie dabei unterstützen Ihre Website sicherer zu machen.

Was sind eigentlich Cookies?

Cookies sind kleine Textdateien, die von einer besuchten Website auf dem eigenen Computer gespeichert werden. Sie speichern zum Beispiel Informationen wie die bevorzugte Sprache oder andere persönliche Seiteneinstellungen. Wird die Website erneut besucht, werden die Cookie – Informationen wieder an die Seite übermittelt, sodass Ihnen eine mehrsprachige Website zum Beispiel direkt in der gewünschten Sprache angezeigt wird.

Diese Textdateien sind aber auch dafür notwendig, um Websitestatistiken zu erstellen und werden auch für personalisierte Werbung genutzt.

Cookies werden aber nicht nur durch die eigene Website gesetzt, sondern auch durch das Einbinden fremder Inhalte. Zum Beispiel wenn man dem Nutzer über eine interaktive Karte von Google zeigen möchte, wo er das Unternehmen findet oder etwa ein Video von Youtube auf der Website einbindet.

Cookies sind also in vielerlei Hinsicht nicht nur für den Websitebetreiber wichtig, sondern erleichtern dem User auch die Nutzung einer Seite.

Nutzt meine Website auch Cookies?

Ja. Jede Website nutzt Cookies. In vielen Fällen sind das keine Werbecookies, sondern essentielle Cookies, die benötigt werden um die Website nutzerfreundlich zu bedienen oder das Weberlebnis für den Nutzer zu verbessern.

Was sagt das Urteil?

Kurz zusammengefasst sagt der EuGH, dass es nicht mehr ausreicht die User mit einem Banner auf Cookies hinzuweisen. Laut Urteil muss der User aktiv selbst den Cookies zustimmen und muss darüber informiert werden, welche Cookies genutzt werden.

Was auf Ihrer Website jetzt geändert werden sollte

Wir empfehlen Ihnen jetzt bei jedem Nutzer die Einwilligung für die Cookies einzuholen und Sie darüber zu informieren wie und welche Cookies auf Ihrer Website eingesetzt werden.

Technisch läuft das so ab, dass der Nutzer, sobald er zum ersten Mal Ihre Website besucht, einen Hinweis wie diesen hier sieht:

Cookie Hinweis

Hier kann der User mit „Ich akzeptiere“ nun, wie vom EuGH gefordert, ausdrücklich den Cookies zustimmen. Außerdem kann er die Cookie - Einstellungen noch individuell anpassen und sich hier auch über die Art der Cookies informieren.

Erst nachdem der Nutzer ausdrücklich zugestimmt hat wird der entsprechende Cookie gesetzt.

Im Zuge der DSGVO Anpassungen passen wir Ihre Website wie oben beschrieben an, sodass Sie mit Ihrer Website auf der sicheren Seite sind.


Sie brauchen Hilfe bei der Umsetzung?

Gerne können wir die Integration mit Ihnen zusammen durchführen. Wir erstellen mit Ihnen und e-Recht24 eine Datenschutzerklärung und setzen technische Vorgaben entsprechend um.

DSGVO Datenschutz Integration in Ihre Homepage

laut eRecht24 Premium DSGVO Datenschutz Generator und den gesetzlichen Vorgaben

zusätzlich wird das Impressum neu erstellt und an die aktuelle Rechtslage angepasst​

SSL-Zertifikat für die Verschlüsselung von Daten

Mit einem SSL-Zertifikat ist die verschlüsselte und sichere Übertragung von Daten im Internet gewährleistet.

Ein SSL-Zertifikat ist zwingend erforderlich für eine korrekte Umsetzung​

Cookie Zustimmung

Durch unsere Cookie - Lösung muss der Nutzer zunächst den Cookies zustimmen, bevor er die Website benutzen kann.

Cookies werden so erst geladen, wenn der Nutzer ausdrücklich zugestimmt hat.