EuGH-Urteil zu Tracking-Cookies und Facebook Like-Button

Nutzer zeigen sich genervt von den Cookie-Hinweisen und die Rechtslage ist alles andere als eindeutig. Der EuGH hat nun ein wegweisendes Urteil gefällt. Demnach sind Tracking Cookies ohne echte Einwilligung rechtswidrig und dürfen abgemahnt werden. Also falls Ihre Website Cookies für Tracking / Marketingzwecke verwendet, müssen Sie jetzt handeln:

  • Ein reiner Cookie Hinweis ist laut EuGH nicht ausreichend.
  • Verwenden Sie stattdessen Banner mit Einwilligungsmöglichkeit. So werden Tracking-Daten erst übertragen werden, nachdem der Nutzer aktiv eingewilligt hat.
Hinweis

Nicht alle Cookies benötigen eine Einwilligung. So gibt es Cookies, die keine Daten weitergeben (wie Session-Cookies, Cookies für LogIns oder Sicherheit). Diese Cookies gehören m.E. zum Betrieb einer Website. Leider ist diese Aussage nicht rechtsverbindlich, denn die DSGVO macht keine Aussagen dazu.

Zudem gibt es ein EuGH Urteil zum Facebook Like Button, welches die Informationspflicht für Webseitenbetrieber eindeutig regelt. Demnach darf der Like Button erst Daten an Facebook senden, nachdem der User aktiv zugestimmt hat.

Bei einer Standardeinbindung des Facebook Like Button werden Daten bereits beim Aufruf der Website gesendet. Die Standardeinbindung ist somit rechtswidrig! Verwendet Ihre Website den Facebook Like Button? Oder einen ähnlichen Button anderer Sozialer Netzwerke? Dann müssen Sie handeln!

Hinweis

Es gibt technische Lösungen für die rechtskonforme Einbindung des Facebook Like Buttons

Google Analytics rechtssicher einsetzen

Wenn Sie Google Analytics (GA) auf Ihrer Website einsetzten,  wird das Verhalten Ihrer Besuchern ausgemessen (Tracking). Mit dem Tracking erhebt GA zahlreiche Daten, die sich Nutzern zuordnen lassen Diese Erhebung personenbezogener Daten steht eigentlich im Widerspruch zum Datenschutz. Datenschützer haben dies jahrelang kritisiert und sich letztendlich mit Google auf eine rechtskonforme Nutzung von GA geeinigt. Was nicht heisst, dass Sie GA jetzt bedenkenlos einsetzen können! Als  Seitenbetreiber müssen Sie einiges  beachten und modifizieren  um GA rechtssicher nutzen zu können.

Wie Sie GA rechtssicher einsetzen – eine Schritt für Schritt Anleitung

1) Trackingcode modifizieren
Damit die Daten auf Ihrer Website rechtskonform erhoben werden, müssen Sie den Standard – Trackingcode anpassen. Die Modifikationen am Code bewirken, dass:
a) IP-Adressen anonymisiert werden
b) Das Tracking vom Nutzer deaktiviert werden kann
c) Die Dauer der Speicherung von erhobenen Daten reduziert wird
d) Löschen alter Daten in Ihrem GA – Account

Hinweis:  Newsletter – Abonnenten können Ihren Trackingcode kostenlos vom mir modifizieren lassen. Zur Newsletter  -Anmeldung

2) Trackingcode einbinden
Jede Seite die analysiert werden soll benötigt den Trackingcode. Laut Google soll der Trackingcode im Header der Website platziert werden. Bei Performanceproblemen kann der Code alternativ im Footer stehen.

3)  Datenschutzerklärung anpassen
In Ihrer Datenschutzerklärung informieren Sie Ihre Nutzer über den Einsatz von GA. Es ist darzulegen, wie die Daten erhoben, verarbeitet und gespeichert werden. In diesem Zusammenhang ist auf die Auftragsdatenverarbeitung und  IP-Anonymisierung zu benennen.

Hinweis: Sie brauchen dafür nicht zwingend einen Rechtsanwalt oder Datenschutzbeauftragten. Dank der Zusammenarbeit mit eRecht24 kann ich Ihnen eine rechtskonforme Datenschutzerklärung erstellen.

4) Auftragsverarbeitungsvertrag abschließen
Da GA die erhobenen Daten an Google sendet und Google diese Daten speichert und verarbeitet, müssen Sie mit Google einen Vertrag zur Auftragsverabeitung abschließen. Die “elektronischer Form” ist laut DSGVO hierfür ausreichend. Sie finden den Auftragsverarbeitungsvertrag in Ihrem Google – Konto im Menüpunkt Kontoeinstellungen.

 

Weiterführende Informationen zum rechtssicheren Einsatz von Google Analytics finden Sie auf den Seiten von eRecht24

Was muss im Impressum stehen?

Als Webseitenbetreiber sind Sie laut Telemediengesetzes (TMG) verpflichtet ein Impressum anzugeben. Was genau in diesem Impressum stehen muß:

  • Vollständiger Name und Anschrift des Seitenbetreibers. Sowie bei juristischen Personen der vollständige Name der Gesellschaft mit Formzusatz (GmbH, GbR)
  • Der ausgeschrieben Vor- und Zuname der vertretungsberechtigten Person(en)
  • Daten zur unmittelbaren Kontaktaufnahme, Telefonnummer, E-Mail-Adresse, Fax
  • Handelsregisternummer und Registergericht, soweit vorhanden
  • Umsatzsteuer-ID (§ 27a UStG) und Wirtschafts-Identifikationsnummer (§ 139c Abgabenordnung), soweit vorhanden
  • Für Tätigkeiten, die der behördlichen Zulassung bedürfen ist hier die zuständige Aufsichtsbehörde anzugeben
  • Bei reglementierten Berufen ist die zuständige Kammer, die gesetzliche Berufsbezeichnung sowie der Staat anzugeben. Zudem die Bezeichnung der berufsrechtlichen Regelungen sowie einen Link hierauf.

Weitere Angaben, die üblicherweise im Impressum stehen:

  • Angaben zu Bildrechten / Quellen
  • Angaben zum Designer / Programmierer /Texter

Diese Angaben ergeben sich aus den jeweiligen Nutzungsverträgen. Beispielsweise Nutzungsrechte auch so geregelt sein, dass  der Fotograf unter jedem Bild zu nennen ist.

Hinweis zum Design: Es ist darauf zu achten, dass der Link „Impressum“ stets gut sichtbar per direktem einfachem Link von allen Unterseiten des Angebots erreichbar ist. Der Impressums-Link darf nicht von Popup Elementen oder dergleichen verdeckt werden.

Kurz und knackig: Die DSGVO Checkliste

Seit dem 25. Mai 2018 gilt Datenschutzgrundverordnung (DSGVO) auch für deutsche Webseitenbetreiber.  Webseiten müssen seitdem den Anforderungen der DSGVO entsprechen. Für mich selbst und viele meiner Kunden war dies in 2018 ein großes Thema und es wurden Anstrengungen unternommen um nicht gleich wegen Verletzung von Datenschutzrechten abgemahnt zu werden. Allerdings hat sich das Thema mit einer Überarbeitung der Datenschutzerklärung nicht erledigt. Denn die Schutzrechte werden oft ganz versteckt verletzt, wenn beim Besuch einer Website Informationen für Dritte wie Google, Facebook oder Andere erhoben werden.

Zu einer Abmahnung kann es aber auch bei einem unvollständigen Impressum, unsicherer Datenübertragung, fehlender Hinweise, … kommen. Und was wenn ein User die Löschung seiner Daten verlangt? Oder eine Datenpanne aufgrund eines Hackerangriffs eintritt?

Die nachfolgende Checkliste soll Ihnen helfen die gröbsten Fehler zu vermeiden. Es ist eine gute Orientierung ohne Anspruch auf Vollständigkeit. Ein vollständiger Datenschutz Bedarf einer individuelle Analyse. Falls Sie wissen wollen ob Ihre Website abmahnsicher ist, biete ich einen kostenlosen Abmahncheck für Newsletterabonnenten. Sie können sich für den den Newsletter registrieren oder einen Telefontermin vereinbaren.


Diese 8 Punkte müssen erfüllt sein, damit Ihre Internetseite DSGVO-konform ist:

1. Verschlüsselte Datenübertragung
personenbezogene Daten müssen verschlüsselt übertragen werden. An einem sicheren Übertragungsprotokoll führt folglich kein Weg vorbei. Ob Ihre Website eine verschlüsselte Datenübertragung gewährleistet erkennen Sie am „https“ vor Ihrer eigentlichen Internetadresse. Zudem kennzeichnen viele Browser sichere URLs mit einem grünen Schloss oder dem Wort „sicher“.

2. Vollständige Datenschutzerklärung
Laut DSGVO müssen Dienste und Plug-ins, die Daten einer dritten Partei zugänglich machen in der Datenschutzerklärung aufgeführt werden.  Zudem müssen Sie Nutzer über die Verarbeitung ihre Daten und damit verbundene Rechte aufklären.

3. Formulare
In Formularen dürfen nur Daten abgefragt werden, die für den jeweiligen Zweck erforderlich sind. Für eine Newsletter-Anmeldung wird beispielsweise nur die E-Mail-Adresse benötigt. Vor- und Zunamen dürfen daher keine Pflichtfelder sein. Zudem muss in  jedem Formular die aktive Zustimmung zur Datenverarbeitung eingeholt und dokumentiert werden.

5.  Statistik-Tools
Falls Sie ein Statistik Tool, wie Google Analytics einsetzen, müssen die gesammaelten IP-Adressen  anonymisiert werden. Dieselbe Problematik betrifft die meisten Hostinganbieter, die Analyse Tools einsetzen. Weissen Sie trotz Anonymisierung in der Datenschutzerklärung auf den Einsatz derartiger Tools hin.

6. Cookies Hinweis
Ob auf den Einsatz von Cookies hingewiesen und eine entsprechende Einwilligung eingeholt werden muss ist rechtlich umstritten. Da fast alle Webseiten Cookies verwenden und die Rechtslage nicht eindeutig ist, empfehle ich zumindest darauf hinzuweisen. Und zwar nicht nur in der Datenschutzerklärung, sondern mittels einem unübersehbaren Hinweis auf der Starseite.

7.  Verträge zur Auftragsverarbeitung
Wenn  personenbezogener Daten durch „externe“ Unternehmen das erhoben und verarbeitet werden, muss dies vertraglich geregelt werden. Zumindest ihr Hoster verarbeitet und erhebt Daten. Aber auch jegliche Technik von Drittanbieter, die in Ihre Website integriert ist, wie beispielsweise Google Maps, Facebook Plugins, etc.

8. Einverständniserklärungen prüfen
Liegen Einverständniserklärungen für den Empfang von Newslettern, Angeboten oder anderen Informationen vor? Ohne eine nachweisbare Einverständniserklärungen dürfen Sie keine Informationen versenden.


Für alle, die sich eine rechtssichere Website wünschen biete ich einen besonderen Service in Kooperation mit dem Fachanwalt für Internetrecht Sören Siebert – Rechtsanwalt & Gründer von eRecht24: Mit dem Premiumservice Datenschutz zur abmahnsicheren Website.

WordPress der Datenschutz Grundverordnung (DSGVO) anpassen

Ab dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO). Die Europäische Union (EU) führt damit einheitliche und verbindliche Datenschutzregelungen für EU Länder ein. Webseitenbetreiber müssen insbesondere die Regelung zur Verarbeitung von personenbezogenen Daten beachten. Denn fast alle Webseiten erheben und verarbeiten personenbezogene Daten, wie: Name, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Kontodaten, Standortinformationen, IP-Adressen. Aber auch eingesetzte Redaktionssysteme (CMS) wie WordPress verarbeiten Daten, die gegen die DSGVO verstoßen können.

In diesem Artikel will ich die Grundsätz der DSGVO vorstellen, damit Sie wissen um was es im Kern geht (wer will schon die ganze Verordnung lesen?). Zudem gebe ich technische Tipps, mit deren Hilfe Sie WordPress der Datenschutz Grundverordnung (DSGVO) anpassen können.

Grundsätze der DSGVO

  • Es muss eine Prüfung der eingesetzten Systeme stattfinden. Meist sind dies Content Maangement Syteme (CMS), wie WordPress, Typo3 Joola, etc.
  • Es muss eine Prüfung der eingesetzten Dienste stattfinden. Meist sind dies Social Media Dienste, wie Facebook, Twitter, Instagram, etc.
  • Nach einem technischen Zwischenfall müssen alle Daten und Zugänge schnell wieder herstellbar sein. Tägliche Backups sind also Pflicht. Für den Fall, dass Ihre Website gehackt wurde, ist die Meldung bei der zuständigen Aufsichtsbehörde binnen 72 Stunden erforderlich.
  • Personenbezogene Daten dürfen nur verschlüsselt übertragen werden. Damit wird SSL und HTTPS Pflicht.
  • Der Zweck der personenbezogenen Datenverarbeitung muss stets verständlich, nachvollziehbar und eindeutig sein.
  • Die betroffene Person muss der  Datenverarbeitung zustimmen und kann jederzeit Auskunft oder auch die Löschung  ihrer personenbezogenen Daten verlangen.

Technischer Tipp Kontaktformular

Da in Kontaktformulare personenbezogene Daten erhoben, verarbeitet und gespeichert werden muss mindesten ein Hinweis darauf gut sichtbar angebracht werden (s.a. Abbildung). Falls eine Einverständniserklärung erforderlich ist kann diese mit einem Formularelement, welches vor dem absenden  bestätigt werden muss realisiert werden.

Um Ihrer Auskunfts-, Löschpflicht zu entsprechen zu können müssen müssen über das Kontaktformular übermittelten Daten gespeichert werden. Überprüfen Sie, ob Formulardaten in Ihrer Datenbank gesichert werden. Fall nicht können Sie diese Funktion abhängig vom eingesetzten Formularplugin nachrüsten.

Technischer Tipp Kommentarfunktion im Blog

Geben Sie Nutzern auf Ihrer Website die MöglichkeitInhalte zu kommentieren? Dann sollten Sie die Kommentarfunktion von WordPress anpassen. Denn zu jedem Kommentar wird ein Bild gezeigt (Gravatar). Dieses Bild wird automatisch mit der Gravatar-Dantenbank abgeglichen und somit werden personenbezogene Daten übertragen. In den WordPress Einstellungen können Sie diese Funktion deaktivieren.

Zudem werde IP-Adressen der Kommentierenden automatisch gespeichert. Was zur Bekämpfung von Spam sehr hilfreich sein kann, mit den neuen Datenschutzregelungen aber kollidiert. Daher empfehle ich die automatische Speicherung der IP Adresse zu unterbinden. Mit einem kleinen Eingriff in die funktions.php von WordPress ist dies schnell erledigt:

function wpb_remove_commentsip($comment_author_ip) {
return “; }
add_filter(‚pre_comment_user_ip‘, ‚wpb_remove_commentsip‘);

Zudem sollten bisher erhobene IP Adressen aus der Datenbank gelöscht werden. Die Funktion dafür lautet:

function remove_comment_ip() {
return „127.0.0.1“; }
add_filter( ‚pre_comment_user_ip‘, ‚remove_comment_ip‘, 50);

Alternativ haben Sie die Möglichkeit ein entsprechendes Plugin einzusetzen.

Technischer Tipp Plugins und Social Media

Viele Plugins speichern Daten auf amerikanischen Servern, die evtl. nicht mit dem DSGVO konform sind. Auch werden ungefragt Daten erhoben und weiter verarbeitet. Dies betrifft nicht nur die üblichen Social Media Dienste, wie Facebook, Twitter und Co. Auch Plugins welche zur Datensicherung oder Zwischenspeicherung eingesetzt werden können davon betroffen sein.

Überprüfen Sie deshalb, die auf Ihrer Website eingesetzten Dienste ganz genau. Deaktivieren Sie Social Media Dienste, die ungefragt Daten erheben bis eine rechtskonforme Lösung gefunden ist.

Technischer Tipp Kontakt-, Bestellformulare

In Formularen werden peronenbezogene Daten abgefragt. Gemäß DSGVO sind Sie verpflichtet diese Daten:

  • Sicher, d.h. verschlüsselt zu übertragen. Dabei hilft Ihnen ein Sicherheitszertifikat (SSL, HTTPS). Weitere Informationen zur sichern Datenübertragung finden Sie in meinen Artikeln SSL für WordPress – warum auf ein sicheres Protokoll umstellen? und Was Sie bei der SSL Umstellung beachten müssen
  • Auf Nachfrage Auskunft über die gespeicherten Daten zu geben, sowie personenbezogene Daten zu löschen. Dabei hilft Ihnen eine Datenbank, in der Sie alle peronenbezogenen Daten vorhalten. Mit einem entsprechenden Erweiterung (Plugin) empfehle ich alle personenbezogenen Daten, welche über Formulare verarbeitet werden in Ihre WordPress-Datenbank zu speichern.

Sie benötigen Hilfe?

POSTkomm bietet seinen Kunden umfangreiche, kostenlose Beratung . Um denDSGVO Anforderungen gerecht zu werden müssen Sie personenbezogene Daten vor fremden Zugriff schützen.  Die Sicherheit Ihrer Website ist Pflicht. Der Premiumservice von POSTkomm hilft Ihnen dabei.

Der Premiumservice bietet WordPress-Sicherheit, Websitepflege und Suchmaschinenoptimierung. Die Leistungen werden  ganz nach Ihrem Bedarf zu einem Servicepaket zusammengestellt.Dabei erhalten Sie bis zu 40% Rabatt auf meinen Stundenlohn!  Jetzt informieren!

 

Neue Datenschutzregeln: Was müssen Sie wissen?

die neue EU Datenschutz Grundverordnung (EU-DSGVO) muss ab dem 25.05.2018 angewandt werden. Damit versucht die EU den Datenschutz einheitlich zu regeln und erlaubt hohe Geldstrafen. Als Websitebetreiber werden Sie generell zur Verwendung möglichst datenschutzfreundlicher Voreinstellungen verpflichtet. Dabei  dürfen nur Daten verarbeitet werden, die für den bestimmten Zweck erforderlich sind. Die EU-DSGVO regelt unter Anderem die Erfassung personenbezogener Daten. Die nachfolgenden Fragen helfen Ihnen zu klären:

  • Ob auf  Ihrer Website personenbezogener Daten erhoben werden
  • Ob Änderungen auf Ihrer Website notwendig sind

Braucht Ihre Website einen Datenschutzhinweis?
Klares JA, wenn es sich um eine kommerzielle Website handelt. Dabei haben Ihre Website-Besucher einen Anspruch auf leicht verständliche Informationen zur Datenerhebung und Datenverarbeitung. Es muss klar sein ob und wie personenbezogene Daten erhoben werden. Auf die Verwendung von Google Analytics und Social Media Elemente muss hingewiesen werden.

Was ist bei der Verwendung von Google Analytics zu beachten?
Google Analytics erfasst persönliche Daten Ihrer Website Besucher. Deshalb müssen Sie im Datenschutzhinweis darauf hinweisen und zudem eine Möglichkeit des Wiederrufs einrichten. Die IP-Adressen von Website-Besuchern dürfen von Google Analytics nur gekürzt erfasst werden. Eine entsprechende Anonymisierungsfunktion findet sich in den Einstellungen.

Was ist bei der Verwendung von Social Media Elementen zu beachten?
Sind Facebook-Timeline, Twitter-Feed, Like-Buttons oder andere Social Media Elemente implementiert, benötigen Sie die Zustimmung des Website-Besuchers. Diese Social Media Elemente dürfen also erst nach Zustimmung Daten erheben. Benutzerfreundliche und Datenschutzkonforme Lösungen sind möglich – kontaktierenSie mich bei Bedarf.

Was ist bei der Verwendung von Cookies zu beachten?
Cookies werden zur Speicherung von Daten auf dem Rechner des Website-Besuchers verwendet. Typischerweise bei einem Warenkorb, einem Login-Bereich oder auch bei der Verwendung von Google Analytics. Dafür erheben und speichern Cookies personenbezogene Daten. Deshalb ist der Datenschutz bei der Verwendung von Cookies unbedingt zu beachten. Aus Ihrem Datenschutzhinweis muss hervorgehen, welche Daten zu welchem Zweck und wie lange gespeichert werden.

Müssen Sie für eine sichere Datenübertragung sorgen (SSL)?
Ja, sobald Sie personenbezogene Daten erheben bspw. mittels eines Kontaktformulars. Mit der Einrichtung eines SSL Zertifikats sorgen Sie für eine verschlüsselte und damit sichere Datenübertragung. Zudem gibt es weitere Gründe, die für SSL sprechen. Lesen Sie dazu meine Artikel:
Google kennzeichnet Websites ohne SSL Zertifikat
Was Sie bei der SSL Umstellung beachten müssen

 

Hinweis: Dieser Artikel stellt keine rechtliche Beratung dar, sondern will auf Änderungsbedarf im Zusammenhang mit den neuen Datenschutzregeln hinweisen. Sind Sie Kunde von  POSTkomm? Dann berate ich  Sie  zu diesem Thema kostenfrei. Im Zweifelsfall ist aber sicherlich ein Anwalt der richtige Ansprechpartner.