Eingesetzte Webseitenerweiterungen
Welche Rolle spielen die eingesetzen Erweiterungen für meine Webseite?
Cookies
Wie gestalte ich Einwilligungsbanner?
Die Frage, welche Mindestanforderungen ein DSGVO-konformes Einwilligungsbanner abdecken muss, klären die „FAQ zu Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps des Landesbeauftragten für den Datenschutz Baden-Württemberg“ (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/FAQ-zu-Cookies-und-Tracking.pdf)
Was bedeutet das Urteil des europäischen Gerichtshof zum Cookiebanner und Like Button für Webseitenbetreiber?
In unserem Blog setzen wir uns mit dem Urteil auseinander und geben Praxisempfehlungen zur Umsetzung.
Opt-Ins und Opt-Outs
Unterschiede zwischen Opt-In und Opt-Out
Der maßgebliche Unterschied zwischen einer Widerspruchslösung (Opt-Out) und einer Einwilligung (Opt-In) ist, dass im Falle einer Widerspruchslösung zunächst eine Datenverarbeitung stattfindet, die lediglich durch Erklärung eines Widerspruchs für die Zukunft untersagt werden kann. Anders liegt der Fall hingegen, wenn eine Einwilligung (Opt-In) erforderlich ist. Dann darf eine Datenverarbeitung nämlich erst stattfinden, nachdem eine wirksame Einwilligung vom Nutzer tatsächlich erteilt worden ist.Quelle: Orientierungshilfe der Aufsichtsbehörden von Anbietern für Telemedien: https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf, Seite 18.
Stellungnahme der Datenschutzkonverenz zum Thema Tracking
Stellungnahme der Datenschutzkonferenz zur Anwendbarkeit des TMG – besonders zu beachten in diesem Zusammenhang Punkt 9 zum User Tracking. Demnach soll ein User Tracking, welches eindeutige Personen identifiziert nur noch mit Opt-In möglich sein.
https://www.datenschutzkonferenz-online.de/media/ah/201804_ah_positionsbestimmung_tmg.pdf
Eine Interpretation im Netz: https://www.datenschutzbeauftragter-info.de/tracking-nur-noch-mit-opt-in-kritische-anmerkungen-zum-dsk-papier/ Im Gegenzug zu dieser Stellungnahme könnte eine Erfassung der Google Analytics Daten mit anonymisierter IP-Adresse auch mit Opt-Out ausreichend sein. Ein Unsicherheitsfaktor in diesem Bereich wird bis zu den ersten Urteilen bleiben.
Auftragsverarbeiter
Auftragsverarbeitung VS gemeinsame Verantwortlichkeit
Falls Sie bei Google Analytics in den Kontoeinstellungen „Google-Produkte und Dienste“ aktiviert haben, empfehlen wir, diesen Punkt zu deaktivieren. Mit der Aktivierung entsteht eine gemeinsame Verantwortlichkeit zwischen dem Nutzer und Google. Aus der Vereinbarung der gemeinsamen Verantwortlichen geht leider nicht genau hervor, für welche Daten und Prozesse Sie als Nutzer mit verantwortlich sind. Dies hat zur Folge, dass Sie die Datenschutzerklärung anpassen müssen, jedoch aufgrund der fehlenden Informationen seitens Google keine vollständigen Angaben machen können.
Social Media
Videos datenschutzkonform einbetten
Aus datenschutzrechtlicher Sicht wäre für Drittanbieter eine Lösung wie unter Punkt 3 des unten genannten Artikels am Sichersten. Hierbei wird keine Verbindung zu Drittanbietern (YouTube Servern) hergestellt, bevor der Nutzer aktiv auf das Video klickt. Kompletter Artikel unter: https://www.blogmojo.de/youtube-videos-datenschutzkonform-einbetten/
Als weitere Möglichkeit empfiehlt das Landesamt für den Datenschutz in Bayern, das Video erst zu starten, wenn der Benutzer durch einen extra Klick seine Zustimmung zum Abspielen äußert. Außerdem muss die Datenschutzerklärung der Webseite über den Vorgang informieren. Quelle: https://www.lda.bayern.de/de/faq.html
Wer ausreichend Ressourcen zur Verfügung hat, kann das Video auch selber hosten. Aus Datenschutzsicht ist das sicher die sparsamste Lösung. Zudem ist man mit dieser Lösung unabhängig von Drittanbietern. Ein Nachteil dieser Lösung ist allerdings, dass bei unzureichenden Ressourcen die Performance der Seite stark leidet.
Newsletter
Kontaktformular und weitere Formulare
Onlinebewerbung
Onlinezugänge und Passwörter
Facebook Connect
Ob die Verwendung von Facebook Connect rechtskonform durchführbar ist, bleibt umstritten, eine belastbare Rechtsprechung zu diesem Thema existiert nach unserem Kenntnisstand bislang noch nicht. Eine das rechtliche Risiko minimierende Lösung wäre die Implementierung des nachstehenden Verfahrens:
- Im Rahmen des Login-/Registrierungsprozess im Zusammenhang mit Facebook Connect müsste vom Nutzer zwingend eine ausdrückliche Einwilligung eingeholt werden, dass er zum einen darüber aufgeklärt wird, welche Datentransfers mit dem Verfahren wohin verbunden sind, und zum anderen, dass er mit diesen Datentransfers einverstanden ist.
- Zudem muss der Seitennutzer transparent im Rahmen der Datenschutzerklärung über die Datenverarbeitungsvorgänge im Zusammenhang mit Facebook Connect unterrichtet werden.
- Das Einholen der Einwilligung sollte durch das Setzen eines Hakens in ein Kästchen erfolgen (sog. „Opt-In-Verfahren“), was der Webshop-Betreiber unbedingt mitprotokollieren und speichern müsste.
- Schließlich müsste die Einwilligung für den Nutzer leicht und formlos widerrufbar sein. Dies bedeutet, dass der Nutzer am besten in der Datenschutzerklärung auf die Möglichkeit des Widerrufs der Einwilligung hinzuweisen und ihm hierfür etwa eine E-Mail-Adresse zu nennen hätte.
Ob dieses Vorgehen einem gerichtlichen Verfahren Stand halten würde, lässt sich allerdings mit letzter Gewissheit nach dem gegenwärtigen Stand der Dinge nicht mit Sicherheit vorhersagen. Quelle und Kompletter Artikel unter: https://www.it-recht-kanzlei.de/facebook-connect.html#abschnitt_22
Passwortsicherheit für Onlinezugänge
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden Württemberg veröffentlichte die folgenden Richtlinien zum sicheren Umgang mit Passwörtern: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/02/Hinweise-zum-Umgang-mit-Passwoertern-1.0.1.pdf
Erweiterte Sicherheitseinstellungen
Referrer Richtlinien definieren
In den Meta Angaben im HTLM Head Teil folgenden Code einfügen: <meta name=“referrer“ content=“no-referrer“>
