Willkommen bei BID:IT - Professional IT Engineering.

  • 06461 75875-0
Kontakt

Aktuelles

 

Teaser Abmahnung (Biedenkopf, 17.09.2019) Da hat es selbst unserem erfahrenen Webteam die Sprache verschlagen: Bei einer regionalen Recherche von über 200 Webauftritten in der Region Mittelhessen wurde festgestellt, dass diese in der Kombination Cookie-Consent/Datenschutzerklärung zu 100% (!) abmahnfähig sind - selbst Großkonzerne und Banken!

 

 

Wie kommen wir zu diesem Ergebnis?

Bei den Cookie-Consents (Cookie-Einwilligung) haben wir zum einen diese auf die einfache Widerrufbarkeit (Rechtsgrundlage: Art. 7 Abs. 3 lit. 4 DSGVO) überprüft. Klickt man auf den entsprechenden Button ("OK", "Weiter" o. ä.), so ist der eingeblendete Consent verschwunden. Dadurch ist die erteilte Einwilligung nur durch Löschen der Cookies in den Browser-Einstellungen möglich - und damit weitaus komplizierter als die Erteilung der Einwilligung.
Weiterhin muss die Möglichkeit bestehen, die verschiedenen Cookie-Typen auswählen zu können. Für einen einwandfreien Seitenbetrieb notwendige Cookies stellen ein berechtigtes Interesse des Webseiten-Betreibers dar und bedürfen daher keiner Einwilligung (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO). Für die Verwendung anderer Cookie-Typen (Statistik- und Marketing-Cookies) muss daher z. B. durch Anklicken einer Checkbox die Einwilligung des Seitenbesuchers eingeholt werden. Entsprechende Häkchen in den jeweiligen Checkboxen dürfen hierbei standardmäßig nicht gesetzt sein ("Privacy by Default" bzw. "Data Protection by Default").

Einen DSGVO-komformen Cookie-Consent können Sie gerne auf unserem Webauftritt austesten: Sobald Sie die entsprechenden Cookie-Typen angehakt und auf "Erlauben" oder "Ablehnen" geklickt haben, können Sie durch das Anklicken des kleinen schwarzen Fähnchens "Widerufen" (am linken unteren Seitenrand) Ihre vorgenommenen Einstellungen rückgängig machen oder nach Belieben anpassen.

Bei den Datenschutzerklärungen fehlten gänzlich erforderliche Angaben bei der Verwendung von Drittanbieter-Plugins, beispielweise jQuery, JavaScript-Bibliotheken und Content Delivery Networks (CDN). Angaben von verwendeten Web Fonts (wie z. B. von Google oder Adobe) waren nur teilweise vorhanden.

Wo liegt der Rechtsbruch, wenn keine persönlichen Angaben eingegeben werden?

Auch wenn die Seitenbesucherin bzw. der Seitenbesucher keine persönlichen Daten eingibt (z. B. über ein Kontaktformular), wird bei der Verwendung der o. g. Plugins die IP-Adresse an den Anbieter übertragen - und das meistens an ein Drittland. IP-Adressen sind "identifizierbare personenbezogene Daten" (Rechtsgrundlage: Erwägungsgrund 30 DSGVO) und fallen somit in die Rechtsprechung.

Die unangenehme "Nebenwirkung" bei einer Abmahnung

Durch die erfolgreiche Zustellung einer Abmahnung wird dem Abgemahnten gleichzeitig ein Datenschutzverstoß bekannt gemacht (sofern dieser ihm nicht schon vorher bekannt war). Jetzt kommt Art. 33 DSGVO Abs. 1 ins Spiel: Dieser regelt zum einen die Meldepflicht des Verantwortlichen an die für ihn zuständige Aufsichtbehörde binnen einer Frist von 72 Stunden. Weiterhin steht in Abs. 1: "[...] es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.".

In letztgenannten Satz ist ein Interpretationsspielraum vorhanden. Inwiefern werden Rechte und Freiheiten des Seitenbesuchers eingeschränkt, wenn seine IP-Adresse an Dritte übertragen wird? Da es diesbezüglich noch keine Rechtsurteile gibt, bleibt dieses Thema spannend: Muss dies als Datenschutzverletzung gemeldet werden oder nicht?

Fazit:

  • Verwenden Sie niemals vorformulierte Datenschutzerklärungen. Diese reichen keinesfalls aus.
  • Die kostenlosen (und auch z. T. kostenpflichtigen) Online-Generatoren für Datenschutzerklärungen decken ebenfalls nicht alle erforderlichen Angaben ab - höchstens bei einem händisch, rein mit HTML-Code programmiertem Webauftritt (Aber welches bedeutende Unternehmen hat das noch?).
  • Eine rechtskonforme Datenschutzerklärung ist immer eine "Maßanfertigung". Sie muss fortlaufend auf dem aktuellsten Stand gehalten werden. Jede technische Veränderung am Webauftritt ist mit der entsprechenden Webagentur abzusprechen, ob diese mit aufgeführt werden muss.

Wer hält mir das Ganze vom Hals, damit ich meiner Arbeit nachgehen kann?

Wenn sie eine Datenschutzbeauftragte bzw. einen Datenschutzbeauftragten benannt haben, dann muss diese(r) auf die Einhaltung des Datenschutzes in Ihrem Unternehmen hinwirken. Haben Sie keine(n), dann sollte eigentlich Ihre Webagentur (sofern diese professionell ist) die entsprechenden Anforderungen direkt umsetzen. Leider tun dies die wenigsten Webagenturen. Schlimmer ist es, wenn der Webauftritt selbst (z. B. durch Baukastensysteme) erstellt worden ist, weil man Kosten sparen wollte: Welcher Unternehmer hält sich denn neben seinem Kerngeschäft in Sachen Datenschutzrecht auf dem Laufenden?

Wir als BID:IT bieten Ihnen eine Komplettlösung an - rechtlich und technisch sicher! Unser Webteam stellt durch seine Fachkompetenz den technischen Part dar. Den rechtlichen Part übernehmen unsere externen Juristen sowie unsere Datenschutzbeauftragten.

Gerne beraten wir SIe ausführlich. Schreiben SIe uns einfach unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! an. Wir freuen uns auf Ihre Mail.

Zu guter Letzt: Bitte machen Sie Ihrer/Ihrem Datenschutzbeauftragten oder Ihrer Webagentur keinen Vorwurf!

Die Datenschutzbeauftragten und die Webagenturen leisten in der Regel richtig gute Arbeit - doch sie können nicht alles "auf dem Radar" haben. Hierfür muss man nicht nur in beiden Bereichen hochqualifiziert und erfahren sein, sondern auch technisch/juristische Zusammenhänge erkennen und verknüpfen können. Letzteres können wir als derzeit einziges Unternehmen bundesweit (Stand 17.09.2019) unter einem Dach anbieten.
Dies bedeutet noch lange nicht, dass Sie als Verantwortlicher Ihr Datenschutz-Management komplett neu ausrichten müssen. Wichtig ist vor allem, dass Datenschutzbeauftragte und Webagenturen in dieser Thematik ganz eng zusammenarbeiten und jede technische Veränderung miteinander abstimmen müssen. Als Auditoren können wir das selbstverständlich gerne für Sie sicherstellen.