Home / Aktuelles & Termine / it.sec blog

Cookies sind kurze Textinformationen, die beim Besuch von Webseiten auf dem PC oder Smartphone platziert werden, um beispielsweise Einstellungen der Internetseiten, den Login-Status oder den Inhalt des Einkaufswagens in Online-Shops zu speichern. Diese sogenannten funktionalen Cookies sind in der Regel durch das berechtigte Interesse des Webseiten-Betreibers rechtlich abgedeckt.

Daneben gibt es Tracking-Cookies, die Betreibern von Webseiten dazu dienen, Benutzerprofile zu erstellen. Datenschutzrechtlich waren Tracking Cookies bereits relevant. Gemäß 15 Abs. 3 Telemediengesetz (TMG) waren Nutzer nach dem Opt-Out-Prinzip lediglich über ihr Widerspruchsrecht zu informieren. In der Regel wurde dies durch einen Datenschutzhinweis auf der Webseite oder durch das Einblenden eines Cookie-Banners beim Aufruf der Webseite umgesetzt.

Mit ihrem Positionspapier vom 26.04.2018 bewertet die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) die rechtliche Situation völlig neu. Die Wirksamkeit des Telemediengesetzes im Bereich des Datenschutzes wird darin klar hinter die DSGVO gestellt.

Die DSK formuliert im genannten Positionspapier im Hinblick auf Cookies Folgendes: „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen (…) bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“

Das Positionspapier in Gänze können Sie unter folgendem Link einsehen: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf

Daher gilt nun bereits ab 25.05.2018 und nicht erst mit Einführung der für das Jahr 2019 erwarteten neuen ePrivacy-Verordnung, dass erst durch einen aktiven Klick des Webseitenbesuchers auf ein entsprechendes Feld im Banner („Ich stimme zu“) sämtliche Cookies aktiviert werden. Webseiten sollten also dringend auf technisch notwendige Cookies reduziert werden, für die es ein berechtigtes Interesse geben kann. Für alle anderen Cookies muss die ausdrückliche und aktive Einwilligung durch den Webseiten-Besucher erteilt werden.

L. Fuchs
Beraterin für Datenschutz

Bei Google Analytics handelt es sich um ein Instrument zum Webtracking bzw. zur Reichweitenanalyse im Internet, mit dem das Surfverhalten der Webseitennutzer anhand der über diese erhobenen Daten (Online-Kennzeichnungen (einschließlich Cookie-Kennungen), Internet-Protokoll-Adressen und Gerätekennungen, vom Webseitenbetreiber vergebene Kennzeichnungen) zu Zwecken der bedarfsgerechten Gestaltung der Webseiten analysiert werden kann. Um einen datenschutzkonformen Einsatz des Analysetools Google Analytics gewährleisten zu können, sind eine Reihe von Maßnahmen durch den Webseitenbetreiber (= Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO) zu ergreifen.

Insbesondere muss ein Vertrag zur Auftragsverarbeitung zwischen dem Webseitenbetreiber und dem Anbieter von Google Analytics abgeschlossen werden. Der bisher von Google Inc. zur Verfügung gestellte Vertrag entspricht noch nicht den Vorgaben von Art. 28 DSGVO. Daher stellt Google LLC (vormalige Bezeichnung Google Inc.) nun unter https://privacy.google.com/businesses/processorterms/ sog. „Auftragsdatenverarbeitungsbedingungen“, die alle Regelungsinhalte aus Art. 28 DSGVO enthalten, zur Verfügung, denen die Webseitenbetreiber, die Google Analytics einsetzen, in ihren Kontoeinstellungen zustimmen müssen.

Der Webseitenbetreiber muss des Weiteren zustimmen, dass Daten der Webseitennutzer auch außerhalb der EU/EWR übermittelt werden. Diese Datenübermittlungen in Drittstaaten sollen gemäß den Auftragsdatenverarbeitungsbedingungen jedoch abgesichert sein durch die seit dem 26.09.2016 bestehende Privacy Shield-Zertifizierung der Google LLC sowie ihrer hundertprozentigen Tochtergesellschaften (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active).

Es bleibt abzuwarten, wie sich der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, mit dem der bisher von Google zur Verfügung gestellte Vertrag zur Auftragsverarbeitung abgestimmt wurde, zu den neuen Auftragsdatenverarbeitungsbedingungen äußern wird.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Monatlich gehen in Deutschland um die 50.000 neue Webseiten online. Alle diese Seiten sind gesetzlich verpflichtet, eine Datenschutzerklärung bereitzustellen. Dass ist jedoch häufig nicht der Fall.

Ab Mai 2018 kann dies empfindliche Bußgelder nach sich ziehen. Vor allem eine Webseite bietet für Aufsichtsbehörden und Verbände eine einfache Möglichkeit zu kontrollieren, ob die datenschutzrechtlichen Vorgaben umgesetzt wurden.

§ 13 TMG und auch Art 12 ff DSGVO legt jedem Webseitenbetreiber die Pflicht auf, eine Datenschutzerklärung auf seiner Webseite einzupflegen. Diese sollte im Idealfall mit nur einem Klick von jeder Seite aus erreichbar sein.

In dieser Datenschutzerklärung muss der Betreiber der Webseite den Nutzer in allgemein verständlicher Form u.a. über Art, Umfang, Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über mögliche Weitergaben von Daten an Staaten außerhalb der Europäischen Union bzw. des EWR unterrichten.

Die Nutzer müssen u.a. über Folgendes informiert werden:

  • die Erhebung von IP-Adressen,
  • die vom Browser übermittelten Daten,
  • Gewinnspiele,
  • Benutzerkonto,
  • Newsletter,
  • Webtracking,
  • Cookies,
  • Online-Bewerbungen,
  • Kontaktformulare,
  • Foren,
  • Plugins,
  • Widerspruchsrecht.

Es müssen stets die Zwecke angegeben werden, zu denen die Daten verarbeitet und an wen sie weitergegeben werden, sowie die jeweilige Rechtsgrundlage der Datenverarbeitung.

Wer den Nutzer einer Webseite nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, begeht gemäß § 16 TMG und Art 83 Abs. 5 DSGVO eine Ordnungswidrigkeit, die mit einem Bußgeld von bis zu 4 % des weltweit erzielten Vorjahresumsatzes oder bis zu 20.000.000 € geahndet werden kann. Auch kann ein Verstoß gegen das Wettbewerbsrecht vorliegen, so dass eine Abmahnung erfolgen kann.

Dr. Bettina Kraft
Volljuristin, Senior Consultant für Datenschutz

Laut heute veröffentlichter Pressemitteilung Nr. 74/2017 hat der VI. Zivilsenat des BGH mit Urteil ebenfalls vom heutigen Tage (Aktenzeichen VI ZR 135/13) im Rechtsstreit eines Piratenpolitikers gegen die Bundesrepublik Deutschland auf die Revisionen des Klägers und der Beklagten das Urteil des Landgerichts Berlin (Aktenzeichen 57 S 87/08) aufgehoben und den Rechtsstreit zur erneuten Entscheidung zurückverwiesen.

Hintergrund des Streits ist die Speicherung von dynamischen IP-Adressen durch Webseiten-Betreiber, hier durch verschiedene Bundesministerien. Diese speichern Nutzerdaten wie IP-Adressen, Zugriffszeiten und aufgerufene Seiten. Kern des Rechtsstreits war die Frage, ob dynamische IP-Adressen personenbezogene Daten sind, so dass diese Speicherung unzulässig sein könnte.

Der BGH ist laut Pressemitteilung der Auffassung, dynamische IP-Adressen seien personenbezogene Daten. Daher dürften IP-Adressen nur unter den Voraussetzungen des § 15 Abs. 1 Telemediengesetz gespeichert werden:

Ohne Einwilligung des Nutzers dürfen von diesem genutzte IP-Adressen über den Nutzungsvorgang hinaus nur dann erhoben und gespeichert werden, soweit die Erhebung und Verwendung erforderlich ist, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei bedarf es laut BGH einer Abwägung mit den Interessen und den Grundrechten und Grundfreiheiten der Nutzer. Da der BGH diese Abwägung nicht vornehmen konnte – es sind noch tatsächliche Feststellungen zu treffen –, hat er den Rechtsstreit zur Klärung dieser Frage zurückverwiesen.

Schon jetzt kann festgehalten werden, dass ohne Einwilligung des Nutzers die Speicherung von IP-Adressen bei kostenfreien Webseiten im Grundsatz unzulässig sein dürfte. Der Nutzungsvorgang ist mit Abruf und Auslieferung einer Webseite, also in der Regel binnen weniger Zehntelsekunden, beendet. Im Einzelfall kann anderes gelten, dazu sind die näheren Umstände zu beurteilen.

Wir beraten hierzu nach ausführlicher Analyse der hoffentlich bald vorliegenden Urteilsgründe gerne.

Dr. Wolfhard Steinmetz
Consultant für Datenschutz

Abbinder Abmahnung Abmahnungen ADCERT Angemessenheitsbeschluss Anwendbarkeit Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Custom Audience Dashcam Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fernmeldegeheimnis FlugDaG Fluggastdaten Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gesetz gegen den Unlauteren Wettbewerb Google Google Analytics Hacker Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Joint Control Kanada Klagebefugnis Konzern konzerninterner Datentransfer KUG Kundenbindung Kunsturhebergesetz Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Lösegeld Markennamen Markenrecht Marktortprinzip Meldepflicht Meldescheine Meltdown Microsoft Misch-Account MouseJack-Angriffe NIST Nutzungsbedingungen One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schadprogramm Seitenbetreiber Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Software Software-Entwicklung Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Supercomputer Risikolage Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz Telstra Security Report TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30