Änderung bei Cookie Einwilligung

cookie nur mit zustimmung

Neue Datenschutz Regeln bei Cookies

 

Für Seitenbetreiber ist das Thema Cookies inzwischen zu einer neverending Story um Einwilligungserklärungen geworden. Und die Geschichte geht weiter: Nach einem Urteil des Europäischen Gerichtshofs (EuGH) müssen Betreiber von Internetseiten nun noch komplexere Vorkehrungen treffen, um die Einwilligung ihrer User einzuholen und rechtlich auf der sicheren Seite zu sein.

 

Ein einfaches Banner mit voreingestellten Ankreuzkästchen erfüllt nach diesem Urteil nämlich nicht mehr die datenschutzrechtlichen Anforderungen. Dadurch ist mit einer verschärften Regulierung in Deutschland zu rechnen. Doch was bedeutet das nun für Seitenbetreiber?

 

Rechtliche Definitionen und Aufgaben für Unternehmen

 

Das EuGH-Urteil definiert, dass eine Einwilligung zur Verwendung von Cookies „für den konkreten Fall“ und „unmissverständlich“ erteilt werden muss. Dies bedeutet, dass der Nutzer aktiv zustimmen muss. Ein passives Weitersurfen oder wegklicken eines Banners reichen damit nicht mehr aus. Zusätzlich müssen dem Nutzer klare und verständliche Informationen zur Verwendung seiner Daten zur Verfügung gestellt werden. Außerdem müsse er die Funktionsweise der Cookies verstehen können und über die Funktionsdauer, die Zugriffsmöglichkeiten Dritter und die Empfänger informiert werden.

 

Rechtlich wäre es leicht zu sagen: „Tracking Cookies dürfen nur noch mit ausdrücklicher, informierter, nachweisbarer und widerrufbarer Einwilligung gesetzt werden.“ Diese Aussage ist juristisch 100%ig richtig. Sie wird den meisten Unternehmen aber praktisch nicht weiterhelfen. Für sie bedeutet das Urteil, dass sie entweder das Webtracking über Drittseiten deutlich einschränken oder eine aktive Einwilligung mit umfassenden Erläuterungen vorsehen. Die wichtigste Frage für Internetseitenbetreiber ist nun: Wie können sie diese Vorgaben praktisch und effizient umsetzen?

 

Tools und Tipps zur Umsetzung der Cookie Regeln

 

Zusammengefasst dürfen Tracking-Cookies also nicht mehr ohne echte Einwilligung der Nutzer gesetzt werden. Dabei ist es wohl egal, ob in den Cookies tatsächlich personenbezogene Daten gespeichert werden oder ob nur anonyme Daten gespeichert werden. Zu beachten ist erstmal, dass nicht alle Cookies betroffen sind. Weiter ohne Einwilligung erlaubt sind so genannte First Party Cookies, die für eine Webseite erforderlich sind. Das sind zum Beispiel Warenkorb-Cookies, Cookies für LogIns, Cookies die eine Länder- oder Sprachauswahl betreffen oder Cookies, die Consent Tools für die Cookie Einwilligung setzen

 

In der aktuellen Diskussion und bei dem Urteil des EuGH geht es im Wesentlichen um Marketing- und Tracking Cookies. Wir empfehlen deshalb, Google Analytics & Co. nur noch mit vorheriger Einwilligung über ein Consent Tool einzusetzen.

 

Empfehlungen von Consent Tools:

 

+ Cookiebot

Wie schon an verschiedenen Stellen vorgestellt nutzen wir die Lösung von Cookiebot: https://cookie.dsbok.de. Kunden die ein Konto über uns bestellte haben, können die neuen Einstellungen von uns administrieren lassen.

 

+ Usercentrics

Das Consent Tool von Usercentrics ist eine individuelle Profi-Lösung, die im Normalfall oft mehrere hunderte Euro im Monat kosten kann. Das Consent Tool funktioniert für die meisten Webseiten-Typen unabhängig vom verwendeten CMS.

 

Für DSBOK Kunden bieten wir eine Lösung von Usercentrics an, die ohne Zusatzkosten exklusiv in Mandat enthalten ist und die wichtigsten Tools wie Google Analytics, Facebook Pixel, GoogleMaps, YouTube, Xing, Twitter und Google TagManager umsetzt. Da das Tool unabhängig von einem CMS auf möglichst vielen Webseiten funktioniert, benötigen Sie für die korrekte Einbindung allerdings etwas Programmierer-Know How.

 

+ Borlabs Cookie: PlugIn für WordPress

Wenn Sie mit WordPress arbeiten und ein PlugIn nutzen wollen, empfehlen wir Borlabs Cookie.

 

+ Consent Management Provider (CMP)

Auch das Tool „Consent Management Provider“ funktioniert unabhängig von einem bestimmten CMS, ist also z.B. nicht auf WordPress beschränkt. Es gibt eine kostenlose Variante mit einigen Einschränkungen und bis zu 10.000 Page Views/ Monat:

https://www.consentmanager.de/

 

Checkliste für Consent Tools:

 

Egal für welches Consent Tool Sie sich entscheiden, prüfen Sie auf jeden Fall, ob folgende Voraussetzungen erfüllt sind:

 

+ Die Einwilligung muss durch den Nutzer gesetzt werden und darf nicht schon per default angekreuzt sein

+ Das Tool muss vor der Einwilligung alle Cookies (bis auf das eigene Cookie des Consent Tools) blocken

+ Cookies dürfen erst nach der Einwilligung des Nutzers gesetzt werden

+ Es muss in der Einwilligungsbox jedes Tool einzeln benannt sein

 

Die Einwilligungen können (nach aktuellem Stand) in Gruppen zusammengefasst sein und müssen nicht für jedes Tool einzeln erklärt werden. Achten Sie darauf, dass Sie Ihr Consent Tool in Ihrer Datenschutzerklärung darstellen. Zu beachten ist außerdem, dass bei einer Nutzung von Consent Tools die Datenschutzerklärung angepasst werden muss.

 

Für die Umsetzung sollten sich Seitenbetreiber nicht zu viel Zeit lassen. Es wurden zwar keine Fristen gesetzt, aber die deutschen Gerichte werden sich in ihren Urteilen an die Vorgaben des EuGH halten. Und die Datenschutzbehörden werden wohl ebenfalls dieser Auffassung folgen.

 

Tipps für Werbetreibende zum Cookie-Urteil:


Schritt: Prüfen

Folgende Punkte sollte jeder Betreiber einer Website oder eines Shops jetzt prüfen:

  • Welche Plugins/Tools werden für dieWebsite/App genutzt? Häufig ist dies nicht bekannt, weil ein IT Dienstleister oder eine Agentur nach eigenem Ermessen Tools in die Website/App „eingebaut“ haben.
  • Speichern die genutzten Plugins/Tools Informationen auf den Endgeräten Ihrer Nutzer, insbesondere in Cookies, und übermitteln diese Informationen an den Anbieter/System? Alternativ: Greifen die genutzten Plugins/Tools auf bereits auf dem Endgerät Ihrer Nutzer gespeicherte Informationen zu, die dann an den Anbieter des Plugins/Tools übermittelt werden?
  • Verfolgen Website-/Shop-Betreiber mit der Nutzung der Plugins/Tools gleichartige Zwecke wie dessen Anbieter, insbesondere profitieren sie von der Verarbeitung der mit dem Plugin/Tool erhobenen oder sonst verarbeiteten Informationen durch den Anbieter des Plugins/Tools?
  • Speichert das Plugin/Tool Bewegungs oder Aktionsdaten des Benutzers aus denen sich personenbezogene Profile erstellen lassen?

    Schritt: Maßnahmen ergreifen

Für jedes Plugin/Tool, für das alle oder einige der obenstehenden Fragen mit „ja“ beantwortet werden, können folgende Maßnahmen teilweise oder gesamt erforderlich sein:

  • Schließen Sie mit dem Anbieter des Plugins/Tools eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 Abs. 1 S. 2 DS-GVO ab. Stellt der Anbieter keine solche Vereinbarung zur Verfügung und ist auch nicht bereit, eine von Ihnen vorgeschlagene Vereinbarung zu akzeptieren, ist die Nutzung des Plugins/Tools immer datenschutzrechtswidrig.
  • Informieren Sie die Nutzer Ihrer Website/App über das Plugin/Tool und stellen Sie dafür alle Datenschutzinformationen gemäß Art. 13, 14, 21 DS-GVO sowie ergänzend die Informationen zur gemeinsamen Verantwortlichkeit gemäß Art. 26 Abs. 2 S. 2 DS- GVO zur Verfügung. Das muss passieren, bevor es zur Speicherung von oder zum Zugriff auf Informationen auf dem Endgerät des Nutzers kommt. Das Fehlen der Informationen ist ein Datenschutzverstoß.
  • Holen Sie vor der Aktivierung des Plugins/Tools eine ausdrückliche Einwilligung (Opt- in) der Nutzer ein, die den Vorgaben insbesondere aus Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a) und Art. 7 DS-GVO entspricht.
  • Dokumentieren Sie den hierfür implementierten Prozess sowie die technischen Vorgänge im Zusammenhang mit der Einholung der Einwilligung. Es dürfen erst dann Informationen auf dem Endgerät gespeichert oder von dort abgerufen werden, wenn die Einwilligung des Nutzers vorliegt. Das ist nur möglich, wenn beim ersten Aufruf der Website mit einem Cookie-Overlay oder einer speziellen Landingpage zunächst die Einwilligung abgefragt wird, bevor die Datenverarbeitungen beginnen.

Vorgehen bei Social-Media-Plugins

Soweit Social-Media-Plugins genutzt werden, kann alternativ eine 2-Klick-Lösung wie der Shariff aus dem Heise Verlag eingesetzt werden. Dann muss die Einwilligung erst mit dem Aktivierungs-Klick des Nutzers auf ein Plugin/Tool eingeholt werden. Ohne die vorherige, ausdrückliche Einwilligung ist die Nutzung des Plugins/Tools datenschutzrechtswidrig. Eine Widerspruchslösung (Opt-out) reicht nicht mehr aus.

Wichtig: Setzen Benutzer ein Plugin/Tool ein, ohne diese Maßnahmen umgesetzt zu haben, laufen sie Gefahr, dass die Datenschutzaufsicht die weitere Nutzung untersagt und ggf. ergänzend eine Geldbuße gegen sie verhängt wird. Zudem können Besucher der Website und ggf. auch Mitbewerber rechtlich gegen Seitenbetreiber vorgehen.

Trackingtool auf dem eigenen Server

Wenn das eingesetzte Trackingtool auf der eigenen Serverlandschaft installiert ist und keine Daten an Dritte schickt, ist zu beachten, dass trotzdem für das Tracking eine Einwilligung eingeholt werden sollte. Die Problematik mit dem weiteren Empfänger entfällt an dieser Stelle. Ggf. muss mit der Agentur, die das Plugin/Tool betreut/einrichtet ein AV Vertrag abgeschlossen werden. Hier werden zwar keine personenbezogenen Daten an Dritte weitergegeben aber der Sachverhalt, das aus dem Tracking automatisiert Profile erstellt werden können erfordert die Einwilligung.

Einwilligungserklärungen nutzerfreundlich gestalten

Viele Firmen versuchen die Einwilligung durch Nebensätze wie „… wenn Sie nicht zustimmen, können wir Ihnen eventuell verschiedene Dienste auf unserer Webseite nicht richtig anbieten…“ zu „erzwingen“. Dies stellt im Rahmen der DSGVO ein Problem da, weil zum einen dem User keine nennenswerten Nachteile durch die Verweigerung der Einwilligung entstehen. Zudem gilt bei der Einwilligung „Privacy by design“ und „privace by default“. Design ist hier auf den Inhalt bezogen. Die textliche Gestaltung suggeriert hier, dass der Betroffene das System nicht vollständig benutzen kann, wenn er nicht zustimmt.

Dazu noch ein wichtiger Tipp zum Schluss: Eine gut gemachte Einwilligung, erzeugt mehr Zustimmung beim Betroffenen als eine karge Wort-Wüste die es auf das allernötigste reduziert.

Weitere Informationen zu dem Thema finden Sie in meinem PDF „Cookies und Tracking“, das Sie sich herunterladen können. Kontaktieren Sie mich, wenn Sie mit Ihrem Unternehmen Unterstützung bei der Umsetzung benötigen. Melden Sie sich einfach bei mir und genießen Sie trotz der ganzen Diskussion weiterhin Ihre Kekse zum Kaffee!

 

Dateien für den E-Mailversand mit Passwort schützen

E-Mails mit personenbezogenen Daten müssen geschützt sein

Dies gilt natürlich nicht nur für Inhalte mit personenbezogenen Daten sondern auch für betriebsinterne Informationen! Es ist leichter als Sie denken E-Mail Verkehr abzufangen. 

Für alle Windows Benutzer gibt es eine gute Nachricht. Wer Office verwendet kann ganz einfach Office Dateien wie Word oder Excel mit einem Passwort versehen:

Navigieren Sie im geöffneten Dokument auf "Datei". Bei Windows 10 sieht das dann so aus: (Wenn Sie eine ältere Windows Version benutzen bitte über die Hilfefunktion suchen)

Wenn Sie "Dokument schützen" anklicken bekommen Sie eine Auswahl von Möglichkeiten aus der Sie "Mit Kennwort verschlüsseln" wählen.

WICHTIG: Merken Sie sich das Passwort und schreiben Sie es auf.
Auch hier gilt mindestens 8 Zeichen mit Zahlen, Buchstaben und Sonderzeichen.

Nun kann das ausgewählte Dokument nur noch mit diesem Passwort geöffnet werden. 

Die Übermittlung des Passwortes zum E-Mailempfänger kann dann vorab entweder telefonisch oder per SMS erfolgen. 

BITTE NICHT ÜBER WHATS-APP VERSCHICKEN!!

Sollten Sie häufiger Passwortgeschützte Dateien verschicken, sollte man auch hier in regelmäßigen Abständen das Passwort ändern. Es muss ja nicht wöchentlich sein aber alle 3 Monate ist eine Empfehlung.

By-The-Way:
Hat Ihr Handy eine Virus Software? Die meisten PC´s und Laptops haben so etwas. Beim Handy sind wir deutlich nachlässiger obwohl wir dort viele sensible Daten bevorraten, verschicken und empfangen.

Meldung des Datenschutzbeauftragten in Hessen

Datenschutzbeauftragter in Hessen melden

"Aufgrund der Datenschutz-Grundverordnung sind hessische Verantwortliche und Auftragsverarbeiter ab dem 25. Mai 2018 gem. Art. 37 Abs. 7 DS-GVO verpflichtet, die Kontaktdaten ihrer Datenschutz-beauftragten zu veröffentlichen und diese dem Hessischen Datenschutzbeauftragten mitzuteilen. Um einen reibungslosen Ablauf für die Vielzahl der erwarteten Meldungen zu gewährleisten, wird ein automatisiertes Meldeverfahren auf der Homepage des Hessischen Datenschutzbeauftragten bereitgestellt werden.  Das automatisierte Meldeverfahren ist bereits nutzbar. Der Hessische Datenschutzbeauftragte geht davon aus, dass Verantwortliche und Auftragsverarbeiter ihrer Mitteilungspflicht innerhalb von 3 Monaten nachkommen." Link zum Meldeformular: 

Hier den externen Datenschutzbeauftragten anmelden

 

Sicheres Passwort, kryptisches Passwort

sicheres Passwort

Leider werden immer noch viel zu häufig Passwörter benutzt, die Hacker in wenigen Sekunden knacken können. Häufig ist es einfach zu lästig oder man ist zu bequem ein langes sicheres Passwort zu benutzen. Abhilfe schafft der Kryptonizer den ich vom BVD e.V. zugeschickt bekommen habe.

Man bleibt einfach bei seinem „Passwort“ (, verschlüsselt dies aber mit dem Kryptonizer. Zum einen lernt man so das sichere Passwort einfacher auswendig, zum anderen hat man immer die Möglichkeit mit dem Kryptonizer  vom eigentlichen alten und einfachen Passwort auf das verschlüsselte Passwort zu kommen.  Wichtig dabei ist natürlich, dass man den Kryptonizer nicht zusammen mit dem Passwort aufbewahrt!

Der Kryptonizer ist eine Übersicht in der für 3 Zeichen des Alphabetes ein Verschlüsselungszeichen steht (Siehe Bild) . Wer es noch sichere haben möchte, kann es natürlich noch granularer anlegen. Bei 3 Zeichen passt es praktisch auf einen kleinen Zettel.

Erstellung eines sicheren Passwort

Erstellen Sie sich einen eigenen Kryptonizer oder nutzen Sie die Vorlagen vom BVD e.V. wie hier abgebildet.

Die zusätzlichen Startzeichen stellen die Zeichenvielfalt sicher und sind immer fix gesetzt.

Nun denken Sie sich einen einfaches Passwort für Ihr zu schützendes Login aus, z.B.    zalando

sicheres Passwort

Mit dem Kryptonizer wird daraus: n-10G6N6sqs

Damit haben Sie nun ein 11 stelliges Passwort, was Sie mit dem Kryptonizer schell bei der Hand haben.

DS-GVO, was Firmen unternehmen sollten

DSGVO - was muss man als Firma tun?

Die DS-GVO richtet sich eindeutig an die Leitung der Verantwortlichen Stelle. Diese ist Adressat der Regelungen, Pflichten und der Haftung aus der DS-GVO. Für viele Unternehmen werden die Anpassungen mit dem 25.05.2018 nicht abgeschlossen sein, es sollten aber die wichtigsten Maßnahmen eingeleitet und weitere geplant sein.

  1. Prüfen ob ein Datenschutzbeauftragter benannt werden muss (Wann brauche ich einen Datenschutzbeauftragten)
  2. Datenschutzgrundsätze der DS-GVO in das interne Regelwerk integrieren. Richtlinien und Prozesse definieren, Schulungsmaßnahmen dazu durchführen.
  3. Dokumentation überprüfen / anpassen – aus dem Verfahrensverzeichnis wird die Verarbeitungsübersicht, die zukünftig im Mittelpunkt des Datenschutzmanagements steht. Rechtsgrundlagen für die Verarbeitungen definieren.
  4. Verträge mit Dienstleistern überprüfen und anpassen. Keine Aufragsverarbeitung ohne den entsprechenden Vertrag.
  5. Betroffenen-Rechte und Informationspflichten gewährleisten und entsprechende Prozesse installieren.
  6. Meldepflichten im Unternehmen installieren und Prozesse einrichten, die die jeweilige Meldung fristgerecht ermöglichen.

Eine Gesamtliste der nötigen Tätigkeiten finden Sie hier: DSGVO Checkliste (Link folgt, bitte vorerst per E-Mail anfordern)