Home / Aktuelles & Termine / it.sec blog

Cookies sind kurze Textinformationen, die beim Besuch von Webseiten auf dem PC oder Smartphone platziert werden, um beispielsweise Einstellungen der Internetseiten, den Login-Status oder den Inhalt des Einkaufswagens in Online-Shops zu speichern. Diese sogenannten funktionalen Cookies sind in der Regel durch das berechtigte Interesse des Webseiten-Betreibers rechtlich abgedeckt.

Daneben gibt es Tracking-Cookies, die Betreibern von Webseiten dazu dienen, Benutzerprofile zu erstellen. Datenschutzrechtlich waren Tracking Cookies bereits relevant. Gemäß 15 Abs. 3 Telemediengesetz (TMG) waren Nutzer nach dem Opt-Out-Prinzip lediglich über ihr Widerspruchsrecht zu informieren. In der Regel wurde dies durch einen Datenschutzhinweis auf der Webseite oder durch das Einblenden eines Cookie-Banners beim Aufruf der Webseite umgesetzt.

Mit ihrem Positionspapier vom 26.04.2018 bewertet die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) die rechtliche Situation völlig neu. Die Wirksamkeit des Telemediengesetzes im Bereich des Datenschutzes wird darin klar hinter die DSGVO gestellt.

Die DSK formuliert im genannten Positionspapier im Hinblick auf Cookies Folgendes: „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen (…) bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“

Das Positionspapier in Gänze können Sie unter folgendem Link einsehen: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf

Daher gilt nun bereits ab 25.05.2018 und nicht erst mit Einführung der für das Jahr 2019 erwarteten neuen ePrivacy-Verordnung, dass erst durch einen aktiven Klick des Webseitenbesuchers auf ein entsprechendes Feld im Banner („Ich stimme zu“) sämtliche Cookies aktiviert werden. Webseiten sollten also dringend auf technisch notwendige Cookies reduziert werden, für die es ein berechtigtes Interesse geben kann. Für alle anderen Cookies muss die ausdrückliche und aktive Einwilligung durch den Webseiten-Besucher erteilt werden.

L. Fuchs
Beraterin für Datenschutz

Laut heute veröffentlichter Pressemitteilung Nr. 74/2017 hat der VI. Zivilsenat des BGH mit Urteil ebenfalls vom heutigen Tage (Aktenzeichen VI ZR 135/13) im Rechtsstreit eines Piratenpolitikers gegen die Bundesrepublik Deutschland auf die Revisionen des Klägers und der Beklagten das Urteil des Landgerichts Berlin (Aktenzeichen 57 S 87/08) aufgehoben und den Rechtsstreit zur erneuten Entscheidung zurückverwiesen.

Hintergrund des Streits ist die Speicherung von dynamischen IP-Adressen durch Webseiten-Betreiber, hier durch verschiedene Bundesministerien. Diese speichern Nutzerdaten wie IP-Adressen, Zugriffszeiten und aufgerufene Seiten. Kern des Rechtsstreits war die Frage, ob dynamische IP-Adressen personenbezogene Daten sind, so dass diese Speicherung unzulässig sein könnte.

Der BGH ist laut Pressemitteilung der Auffassung, dynamische IP-Adressen seien personenbezogene Daten. Daher dürften IP-Adressen nur unter den Voraussetzungen des § 15 Abs. 1 Telemediengesetz gespeichert werden:

Ohne Einwilligung des Nutzers dürfen von diesem genutzte IP-Adressen über den Nutzungsvorgang hinaus nur dann erhoben und gespeichert werden, soweit die Erhebung und Verwendung erforderlich ist, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei bedarf es laut BGH einer Abwägung mit den Interessen und den Grundrechten und Grundfreiheiten der Nutzer. Da der BGH diese Abwägung nicht vornehmen konnte – es sind noch tatsächliche Feststellungen zu treffen –, hat er den Rechtsstreit zur Klärung dieser Frage zurückverwiesen.

Schon jetzt kann festgehalten werden, dass ohne Einwilligung des Nutzers die Speicherung von IP-Adressen bei kostenfreien Webseiten im Grundsatz unzulässig sein dürfte. Der Nutzungsvorgang ist mit Abruf und Auslieferung einer Webseite, also in der Regel binnen weniger Zehntelsekunden, beendet. Im Einzelfall kann anderes gelten, dazu sind die näheren Umstände zu beurteilen.

Wir beraten hierzu nach ausführlicher Analyse der hoffentlich bald vorliegenden Urteilsgründe gerne.

Dr. Wolfhard Steinmetz
Consultant für Datenschutz

Abmahnung Abmahnungen ADCERT Angemessenheitsbeschluss Anwendbarkeit Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Custom Audience Dashcam Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Facebook Facebook-Pixel Fahrzeugdaten Fahrzeuge Fanpage Fernmeldegeheimnis FlugDaG Fluggastdaten Funkmäuse Funktastaturen Gemeinsam Verantwortliche Google Google Analytics Hacker Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Lösegeld Marktortprinzip Meldepflicht Meldescheine Meltdown Microsoft MouseJack-Angriffe NIST One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Penetrationstest Personalausweiskopien personenbezogene Daten Persönlichkeitsrechte Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Profiling Quantencomputer Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Reichweitenanalyse Risiko Risikolage Risikomanagement Risk & Compliance Management Sanktionen Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Software-Entwicklung Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Verschlüsselte E-Mails Verschlüsselungsverfahren Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtracking Webtrecking Werbung Wettbewerbsrecht wettbewerbsrechtliche Abmahnung WhatsApp Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31