02102 8500-365 info@santexx-marketing.de

EuGH ≠ BGH

“Sicher ist, dass nichts sicher ist…”

frei nach Joachim Ringelnatz (1883-1934)

“Selbst das nicht!”

…so endet das Ringelnatz-Zitat im Original. Trefflicher kann man die  Situation seit Inkrafttreten der EU-Datenschutz-Grundverordnung DSGVO kaum beschreiben.
Deutsches und Europäisches Recht sind nicht auf einem Nenner, widersprüchliche Gerichtsentscheidungen und Auslegungen brachten Verunsicherung für alle, die personenbezogene Daten zu nicht rein privaten Zwecken  verarbeiten. Insbesondere für Websitebetreiber, denn als solcher ist man mit “seinen” Daten nie allein. 

Auch über anderthalb Jahre nach Ende der eigentlichen Übergangsfrist fühlt es sich noch ein bisschen an wie eine DSGVO Probezeit. Selbst beim Gesetzgeber: Zwei im September gebilligte Datenschutzanpassungsgesetze müssen noch umgesetzt werden und die neue ePrivacy-Verordnung  lässt auf sich warten. Auch ist längst nicht abschließend geklärt, wer künftig überhaupt Verstöße gegen die DSGVO abmahnen darf.

Illustration - Richter

DSGVO

7 Abmahn-Fallen, die noch weit verbreitet sind

Stand Dezember 2019: Die Angst vor einer großen Abmahnwelle in Kombination mit Schlagzeilen zu schwindelerregend hohen Strafandrohungen hat sich augenscheinlich gelegt. Gleichzeitig scheint eine Müdigkeit eingetreten zu sein, sich um neue rechtsverbindliche Entscheidungen und die damit verbundenen Pflichten zu kümmern.  

Cookie "Notice"

Das Setzten von Cookies, die nicht essenziell für den Betrieb einer Website oder eines Web-Shops sind, bedarf einer aktiven Einwilligung des Nutzers, BEVOR diese Cookies aktiv sind (Opt-in).

Siehe EuGH-Urteil vom 01.10.2019

Ebenso sollte ein Widerruf dieser Einwilligung jederzeit einfach möglich sein, dies kann durch einen Opt-out-Button (z.B. in der Datenschutzerklärung) geschehen.

Es gibt inzwischen einige kostenlose Tools und Plugins wie Cookie Constent (WordPress). Für Seitenbetreiber mit diversen Third-Party-Cookies empfehlen sich eher kostenpflichtige Plugins wie Borlabs Cookie oder WP DSGVO Tools, Legalweb oder Cookiebot, mit denen auch Inhalte von Drittanbietern rechtskonform eingebunden werden können. (z.B. Youtube, Vimeo, Facebook-Pixel).

Zugleich kümmern sich Fachleute um die individuell nötigen Datenschutz- und Cookiehinweise und man erhält Support und Updates, wenn es Neuigkeiten in der Rechtsprechung gibt.

Web-Fonts + andere CDNs (Content Delivery Networks)

Auf vielen Webseiten sind nach wie vor Web-Fonts eingebettet (Google Fonts, Adobe Fonts ehem. Typekit u.ä.), die von fremden Servern geladen werden. Sobald ein Nutzer eine solche Webseite besucht, werden diverse persönliche Daten an Server (evtl. in Drittländer) gesendet.

Für Google Fonts empfehlen viele Fachanwälte, die Schriften herunterzuladen und lokal auf dem eigenen Server abzulegen und von dort laden zu lassen. Gleiches gilt für Schriften wie font awesome.

Adobe Fonts Typekit-Webschriften dürfen nicht lokal eingebunden werden. Siehe Nutzungsbedingungen. Adobe postuliert zwar, dass alle Dienste DSGVO-konform seien, und hat die Vereinbarung zur Auftragsverarbeitung für die Cloud-Dienste kürzlich aktualisiert, genaue Informationen zur Verarbeitung der IP-Adressen von Websitebesuchern auf Seiten mit eingebundenen Fonts sind allerdings nicht zu finden. (https://www.adobe.com/de/privacy/policies/adobe-fonts.html)

Ob es künftig ausreichen wird, einen Vertrag zur Auftragsverarbeitung mit den jeweiligen Dritt-Parteien zu schließen, sich auf ein berechtigtes Interesse zu berufen, und welche Networks die Anforderungen an die DSGVO einhalten bzw. tatsächlich als rein funktional gelten werden, bleibt abzuwarten. Für WordPress, dem meist genutzten CMS der Welt, gibt es inzwiwschen zahlreiche Plugins und Systemanpassungen, um sich von Dritt-Parteien zu verabschieden und auf lokal gehostete Inhalte und Scripte zu verweisen. In der Datenschutzerklärung sollten sie aber auf jeden Fall erwähnt werden.

Analytics & Tracking ohne "consent"

Bei Analyse- und Tracking-Tools wie Google Analytics oder Matomo müssen die IP-Adressen der Nutzer anonymisiert werden. Zudem ist eine aktive Zustimmung (Consent/Opt-in) vor der Aktivierung einzuholen und es muss die Möglichkeit zum Widerruf der Einwilligung gegeben sein.

In der Datenschutzerklärung bzw. Cookie-Übersicht muss erläutert werden, welche Daten erhoben werden und zu welchem Zweck. Werden Daten nicht nur lokal auf dem eigenenen Server gespeichert, sondern an Dritte gesendet, ist dazu ein Vertrag zur Auftragsverarbeitung zu schließen.

Auch die Rechenschafts- und Nachweispflichten zur Datenerhebung und -löschung (Verarbeitungsverzeichnis) sind sowohl vom Websitebetreiber als auch den Auftragsverarbeitern zu erfüllen.
In einem Blog-Beitrag, der noch vor dem Urteil zur Opt-in-Pflicht geschrieben wurde, erläutert Rechtsanwalt Dr. Thomas Schwenke aus Berlin die möglichen Auswirkungen der DSGVO und der ePrivacy-Richtlinie auf Tracking und Analyse. Hier äußert er sich auch zu den Risiken für Websitebetreiber im Hinblick auf das Gebot der Datenvermeidung und Datensparsamkeit.
https://drschwenke.de/dsgvo-tracking-cookies-online-marketing-gluecksspiel/

 

Formulare & Kommentarfunktion

Ob Formulare, die selbstverständlich nur über SSL-Verschlüsselung angeboten werden dürfen, zusätzlich zwingend ein Opt-In zur Datenübertragung vor Versenden beinhalten müssen, darüber scheiden sich die Anwalts-Geister. Datenschutz-Guru hat auch hierzu ein erheiterndes Podcast gepostet.
Wer eine Kommentarfunktion aktiviert hat, sollte die IP-Adressen nicht speichern und bei Kollision mit Anti-Spam-Programmen neue Möglichkeiten suchen.

 

Datenschutzhinweise & Impressum

Was ein Impressum nach § 5 Telemediengesetz (TMG) oder nach § 55 Rundfunkstaatsvertrag (RstV) enthalten muss, was zu beachten ist, wenn das Impressum auch für andere Onlinepräsenzen gilt, wie es benannt werden darf und nach wie vielen Klicks es auf Ihrer Website erreichbar sein muss, kann unter folgendem Link nachgelesen werden. https://www.it-recht-kanzlei.de/Thema/impressum-tmg.html

Noch zu erwähnen ist, dass sowohl das Impressum als auch die Datenschutzerklärung schnell zu finden sein müssen. Die Datenschutzerklärung muss vom Impressum getrennt auffindbar sein und zwar auf jeder Seite der Website mit nur einem Klick. Ein Link im Cookie-Consent-Banner und Auffindbarkeit über ein Menü müssen also gegeben sein.
Das Impressum muss ebenso von jeder Seite erreichbar sein, allerdings erst spätestens nach zwei Klicks. 
Eine Auswahl an Datenschutz-Generatoren (bitte die Nutzungsbedingungen studieren!):

  • https://www.ratgeberrecht.eu/datenschutz/datenschutzerklaerung-generator-dsgvo.html
  • https://www.adsimple.de/
  • https://drschwenke.de/neuer-datenschutz-generator/
  • https://www.e-recht24.de/muster-datenschutzerklaerung.html
  • https://www.activemind.de/datenschutz/generatoren/datenschutzerklaerung/

 

Auftragsverarbeiter

Die Dokumentations- und Rechenschaftspflichten beim Betrieb einer Website beschränken sich nicht nur auf eine ausführliche Datenschutzerklärung, die jederzeit (auch als Link von Social Media Accounts aus) über maximal 2 Klicks erreichbar sein müssen.

Es müssen auch Verträge oder Vereinbarungen mit sämtlichen Verarbeitern geschlossen und dokumentierbar sein, angefangen beim Hoster der Website. Jeder Website-Betreiber sollte sich informieren, mit welchen Partnern Verträge geschlossen werden müssen. Auf https://www.blogmojo.de/av-vertraege/ finden Sie eine Liste (ohne jegliche Gewähr), aber ständig aktualisiert.

Social Plugins & Videos einbetten

Die Einbindung von Social Plugins muss so gestaltet werden, dass keine Nutzerdaten schon allein beim Aufrufen einer Seite übertragen werden. Für WordPress-Seiten empfiehlt sich dafür das Plugin Shariff. Für Video-Einbettungen über die Plattform YouTube sollte man die Option “erweiterter Datenschutz” nutzen. Für Vimeo erklärt der Datenschutz-Guru & Fachanwalt für IT-Rech