DSGVO, Datenschutz-Grundverordnung, DS-GVO, General Data Protection Regulation, GDPR, deutsches Bundesdatenschutzgesetz
Hier erfahren Sie alles Wichtige über die europäische Datenschutz-Grundverordnung (DS-GVO), die international unter dem Namen General Data Protection Regulation (GDPR) bekannt ist, sowie über Neuerungen am deutschen Bundesdatenschutzgesetz.
Weitere Namen sind DS-GVO, Datenschutzgrundverordnung, europäisches Datenschutzgesetz, europäische Datenschutzverordnung, VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES - vom 27. April 2016, zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.
Selbständige, Handwerker, Kleinunternehmer und mittelständische Unternehmer (KMU) erfahren hier ganz konkret und verständlich, was Sie bezüglich der DS-GVO wie wo in Ihrem eigenen Internet-Auftritt ändern müssen - mit einfacher Einbauanleitung zum sofortigen kostenlosen Umsetzen.
Ein Inhaltsverzeichnis mit direkten Sprungmarken und Überblick über alle bei DS-GVO, Datenschutz-Grundverordnung, General Data Protection Regulation, GDPR, deutsches Bundesdatenschutzgesetz - behandelten Themenbereiche finden Sie als Pop-Up.
Da ich praktisch täglich (manchmal sogar mehrfach täglich) Ergänzungen zu diesem Artikel eintrage, verzichte ich auf die Datumsangabe. Der Artikel ist aktuell.
Drei Forderungen gemäß DS-GVO
Die europäische DS-GVO = Datenschutz-Grundverordnung stellt drei Informationsforderungen an alle Persondendaten Verarbeitende:
- Öffentliche Publikation aller datenschutzrelevanten Tätigkeiten - z.B. im Internet. Das wird in diesem Artikel hier behandelt.
- Schriftliche Auskunftserteilung an die aufsichtsführende Behörde mittels Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 der DS-GVO. Siehe hierzu den eigenständigen Artikel VVT.
- Schriftliche Auskunftserteilung an jeden einzeln anfragenden Auskunftssuchenden. Siehe den hierzu eigenständigen Artikel Auskunftspflicht.
Mein Versprechen an Sie: Alle Artikel bleiben öffentlich zugänglich, kostenlos und werden ständig gepflegt sowie ausgebaut resp. aktualisiert.
Zweiteilung
Der Aufbau des Artikels über die DS-GVO ist zweiteilig:
- Im ersten Teil des Artikels erfahren Sie wichtige Hintergründe und erhalten die Antworten auf die klassischen W-Fragen, damit Sie wissen, was Sie machen müssen und vor allem wie.
- Ganz Eilige erhalten im zweiten Teil sofort die Lösungen mit Textbausteinen zu Einfügen.
Sie mögen keine Theorie? Das ist verständlich. Aber von den folgenden Punkten hängt die Zukunft Ihrer Firma ab:
Hintergrund
- Zum 25. Mai 2018 tritt die von der EU erlassene Datenschutz-Grundverordnung = DS-GVO (englisch: General Data Protection Regulation = GDPR) endgültig in Kraft.
- Da sie bereits seit 2016 in Kraft ist, finden sich keine weiteren Übergansfristen.
- D.h. die DS-GVO darf auch bereits heute angewendet und umgesetzt werden. Sie dürfen sofort loslegen und müssen nicht mit der Umsetzung warten.
- Die von der EU in Artikel 83 angedrohten hohen Strafgelder von bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes des Unternehmens, sehe ich nicht als eigentliches Problem (siehe Erläuterungen weiter unten). Da steht bereits der Vorbehalt
verhältnismäßig
sowie die erforderliche Einzelfallprüfung mit Nachweis des Ausmaßes des von ihnen erlittenen Schadens
, der unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile
und der gerichtliche Instanzenweg dagegen. Dies gilt auch, wenn Erwägungsgründe / Präambeln 151 und 152 sowie Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen von abschreckende[n] Sanktionen
sprechen. Aber Abmahnvereine und Abmahnrechtsanwälte bereiten sich seit Monaten vor, um wieder einmal hunderttausende Opfer zur Kasse zu bitten.
- Dennoch besteht kein Grund zur Panik, Hektik etc. Mit den hier aufgeführten Hinweisen, Anweisungen und Bausteinen gelingt es den meisten Firmen, binnen eines Tages die datenschutzrechtlichen Anforderungen im Internet zu erfüllen.
Externe Helfer und Hilfen
- Selbstverständlich steht es Ihnen frei, zahlreiche externe Helfer dafür zu beschäftigen.
- Rechtsanwälte bieten sich resp. drängen sich seit 2016 jedem auf, ihre teuren Beratungsleistungen (oft außerhalb der sowieso schon teuren BRAGO) anzunehmen und malen absolute Schreckensszenarien an die Wand. - Leider sieht es dann in den Beraterverträgen in Punkto Haftung und Verantwortungsübernahme bei Fehlern der Beratung und der konkreten Umsetzung eher dünn aus. Welcher Anwalt hat für Fehler schon einmal seine Verantwortung Ihnen gegenüber übernommen und den Ihnen dadurch entstandenen Prozess kostenlos durchgeführt oder Ihre Firmenstrafe bezahlt?
- Beratungsfirmen bieten sich resp. drängen sich seit 2016 jedem auf, ihre teuren Analyse- und Beratungsleistungen anzunehmen. Diese schicken Ihnen dann gerne einen oder gleich mehrere junge, dynamische (oft jedoch völlig unerfahrene) Berater in die Firma, halten alle Mitarbeiter tagelang von der Arbeit ab, wirbeln den ganzen Betrieb durcheinander und machen ein sogenannte
GAP-Analyse
. Im für fünf- bis sechsstellige Summen erstellten Abschlussprotokoll steht dann in schönen Worten aufgelistet, wo Sie als Firma überall Lücken im Datenschutz haben (laut Ansicht der Berater). Wer dann auch noch konkrete Lösungen wünscht, erhält den nächsten Beratungsvertrag. - Leider sieht es jedoch auch hier in Punkto Haftung und Verantwortungsübernahme bei Fehlern der Beratung und konkreten Umsetzung eher dünn aus. Welcher Berater hat für Fehler schon einmal seine Verantwortung Ihnen gegenüber übernommen und den Ihnen dadurch entstandenen Schaden bezahlt?
- Sogenannte Datenschutzbeauftragte bieten sich seit einiger Zeit vermehrt an, Ihnen alles abzunehmen. Leider ist der Titel Datenschutzbeauftragte nicht wirklich geschützt. D.h. die Qualität der Personen schwankt erheblich. Und bezüglich der Haftung bei Fehlern in der Umsetzung sieht es ebenso mager aus.
- Überdies bieten mehr als einhundert Firmen Kurse und Seminare zur DS-GVO an. Dort reißen fachlich wenig qualifizierte Animateure Witze, über welche kaum jemand zu Hause am Fernseher lachen würde. Andere spielen abwechselnd
guter Polizist - böser Polizist
, bis dann der Kursleiter (meist Typ Suppenkasper oder Zappelphilipp) in der Eucharistie schließlich aus seinem trüben Wasser angeblich Wein macht. D.h. Sie erhalten eine Broschüre / Checkliste, in der angeblich alles Relevante gedruckt steht. Meist steht dort jedoch nur exakt der Inhalt des Artikels 13 DS-GVO, den sie auch kostenlos und schneller hätten lesen können. Allerdings besitzen jene Unterlagen grundsätzlich einen kleinen aber wichtigen Vermerk der folgenden Art: Alle Angaben entsprechen unserem Wissenstand vom 27.04.2016
. Damit ist jede Haftung ausgeschlossen. Denn jeder weiß, dass sich Vorschriften und Gesetze sowie vor allem deren Auslegung und Anwendung ändern. Vor allem die überall zu findenden Angaben zur ersten Fassungen von 2016 und sogar früheren kann man getrost vergessen. Selbst die offizielle deutsche Fassung der DS-GVO wurde am 22.11.2016 überarbeitet herausgegeben. Und die neue Fassung des Bundesdatenschutzgesetzes (gültig ab 25.05.2018) wurde erst am 30. Juni 2017 verabschiedet und am 05. Juli 2017 im Bundesgesetzblatt ausgegeben. - Für diese drei- bis vierstelligen Kursgebühren und die letztendliche Zeitverschwendung durch wenig begnadete Entertainer müssen Sie dann dennoch alles nochmals - ohne Garantie - zu Hause durchlesen. Das können Sie hier auch - aber kostenlos. Und die hier gegebenen Tipps sind zum einfachen Markieren und Kopieren gelb markiert.
- Die neueste Abzockmasche von Anwälten lautet in etwa wie folgt:
Für 100 Euro Pauschalpreis optimieren wir Ihr Impressum
- Klingt gut, als ob man für 100 Euro (oder manchmal sogar knallhart kalkulierten 99,95 Euro sich von allen Problemen und Sorgen der DS-GVO loskaufen könnte. Das ist Humbug. Sie erhalten dafür nur ein paar Sätze zum Hineinkopieren in Ihr Impressum unter der Überschrift Datenschutz. Das können Sie hier unten alles selbst kostenlos erhalten.
Rechtsanwälte sind fast nie gleichzeitig IT- oder HTML- oder Internet-Spezialisten. Sie schauen sich folglich aus Wissens- und Zeitmangel auch nie alle Inhaltsseiten oder alle Programme / Dienste auf Ihrem Auftritt an. D.h. sie übersehen zwangsläufig wichtige Dinge, für die Sie als Betreiber haften sowie anschließend abgemahnt und sogar bestraft werden können. Deshalb folgt nach dem Pauschalangebot auch bald ein zusätzliches individuelles Angebot in horrender Höhe. Jenen miesen Trick mit dem Lockvogelangebot und anschließenden Fragen an Sie nennt man in der Verkaufspsychologie Fuß in der Tür-Technik. Diese Rechtsanwälte übernehmen aber selbst bei letzten Individualcheck keine Garantie, dass alles abgedeckt ist. Denn nur Sie selbst wissen, was Sie tun. Und folglich können nur Sie selbst das nun geforderte VVT nach Artikel 30 korrekt führen. Sie müssen sich selbst um einige Dinge kümmern. Das Überleben Ihrer Firma hängt davon ab.
Firmenverantwortung
- Gleichgültig, wen Sie als Firmeninhaber / Internet-Betreiber als externe Helfer beauftragen, Sie tragen selbst immer die alleinige Verantwortung. Dieser können Sie sich nicht entziehen. Die Verantwortung für den Datenschutz kann nicht nach außen delegiert werden.
- Die gesamte Verantwortung kann auch nicht an eigene Mitarbeiter in der eigenen Firma delegiert werden. Sie können nur die Aufgaben und Arbeiten dazu delegieren.
- Also können Sie sich auch selbst darum kümmern.
- Dies ist umso leichter, als nur Sie Ihre eigene Firma kennen. Wenn Sie mehrere Mitarbeiter haben, dann fragen Sie diese im Zuge von Verbesserungsvorschlägen mit kleiner Prämie (ab 150 Euro reichen oft aus). Da erfahren Sie mehr über Lücken und Verbesserungspotential im Datenschutz, als Externe je herausbekommen.
- Hinzu kommt der Umstand, dass es sich bei den Datenschutzbestimmungen (im Gegensatz zu AGB) nicht um ausgefeilte und folglich völlig unverständliche juristische Texte handeln darf, sondern:
Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen ... in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln
Art. 12 DS-GVO (1). Wörtlich identisch findet sich dies im BDSG NEU in § 32 (2), sowie in § 33 (2). Auch in Art. 21 DS-GVO (4) steht: dieser Hinweis hat in einer verständlichen ... Form zu erfolgen.
Explizit wird in Erwägungsgrund / Präambel (42) Bezug genommen: Gemäß der Richtlinie 93/13/EWG des Rates (10) sollte eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und ... in einer klaren und einfachen Sprache zur Verfügung gestellt werden, und sie sollte keine missbräuchlichen Klauseln beinhalten.
Die DS-GVO - die neue europäische Datenschutz-Grundverordnung
Im Folgenden wird auf die DS-GVO - die neue europäische Datenschutz-Grundverordnung - eingegangen, damit Sie verstehen, worum es überhaupt geht. Die DS-GVO wird offiziell auch gerne als Richtlinie (EU) 2016/679 bezeichnet. - Es ist einfacher, als Sie vielleicht glauben. Man kann es auch ohne Jura-Studium oder Promotion verstehen. Wer bei Amazon einkaufen kann, kommt auch damit klar.
Vorab: Präzise heißt es Erwägungsgrund
. Da diese Erwägungsgründe
jedoch dem eigentlichen Rechtstext mit den Artikeln vorangestellt werden, nennen sie viele auch Präambel
. Zum Rechtscharakter der Präambeln bei EU-Gesetzen/-EU-Verordnungen siehe z.B. Gabler.
Ferner gilt derzeit noch der wichtige Hinweis: Es finden sich 2 Versionen des Bundesdatenschutzgesetzes (BDSG): Die derzeit bis 24.05.2018 gültige Variante und die ab dem 25.05.2018 geltende. Letztere wird in diesem Artikel ausdrücklich als BDSG NEU gekennzeichnet.
Grundsätzlich gilt, dass die allgemeine europäische DS-GVO Vorrang genießt vor dem spezifischeren deutschen BDSG. § 1 (5) (BDSG NEU) lautet: Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.
Betroffene der DS-GVO
Wer fällt unter die europäische Datenschutz-Grundverordnung? - Aufgrund des Marktortprinzips fast jeder.
- Jede Firma etc., die in Europa tätig ist. Art. 1 DS-GVO (1)
- Jede Firma etc., die mit Personen Geschäfte tätigt, die sich aktuell in Europa aufhalten (nicht nur erklärte EU-Bürger) - Art. 1 DS-GVO (2).
- Ferner wird festgehalten, dass die DS-GVO für jegliche Datenverarbeitung gilt: manuelle, teilautomatisch und vollautomatische in Dateisystemen. Art. 2 DS-GVO (1) - Die Erwägungsgrund / Präambel hält in (15) ausdrücklich fest, dass die Vorschrift technologieneutral anzuwenden ist. - Aber
Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.
- Damit sind so ziemlich alle Unternehmen betroffen.
- Es wird nicht zwischen Waren oder Dienstleistungen unterschieden. D.h. auch Dienstleister jeglicher Art sind betroffen. Art. 3 DS-GVO (2)
- Zahlreiche Begriffe wie
personenbezogene Daten
werden sehr weit gefasst. Art. 4 DS-GVO (1-26). Bereits ein Name reicht aus. Das trifft ebenfalls fast alle Dokumente.
- Vor allem die Definition von Firma ist mit Unternehmen sehr weit gefasst:
eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen
.
- Hinzu kommt, dass in Deutschland über das Finanzamt bereits die Gewinnerzielungsabsicht als Kriterium dafür gewertet wird. D.h. auch Privatpersonen, die z.B. einen Partner-Link zu Amazon setzen oder einen Werbebanner zu einer anderen Firmenseite schalten, fallen darunter.
- Dies schränkt meines Erachtens den Freibrief der Datenschutz-Grundverordnung für Art. 2 DS-GVO (2)
c) natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten
ein. Dabei sind die Ausdrücke persönlich
und familiär
juristisch bereits deutlich enger zu sehen, als viele Menschen gemeinhin vermuten. Die EU hält in Erwägungsgrund / Präambel (18) auch fest: Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten.
- D.h. aber in der Umkehrung, dass z.B. der Facebook-Account eines Selbstständigen unter die strenge DS-GVO fällt.
- Die doppelte Haftung bei Facebook hat inzwischen auch der EuGH bestätigt.
- Haftung bei Facebook trifft beide Facebook und den Betreiber einer Fanseite. Siehe z.B. Heise sowie Verantwortung z.B. Heise. Das Urteil besagt, dass die datenschutzrechtliche Verantwortlichkeit sehr weitreichend zu verstehen ist. Kurz zusammengefasst sagte der EuGH, dass es bei der Verarbeitung personenbezogener Daten keine Vorteile ohne Verantwortung gibt.
- Die Analyse zum EuGH-Urteil ergibt zwar Unsicherheiten, aber derzeit noch keinen Grund, Facebook-Seiten sofort zu schließen. Siehe Heise - Zusammengefasst halte ich es für verfrüht, Facebook-Seiten oder gar alle Social-Media-Accounts alleine aufgrund dieses Urteils sofort zu löschen. Wenn Sie Nachteile erwarten, dann sollten Sie sie derzeit offline nehmen und abwarten, wie sich die Lage entwickelt. Aber wirtschaftlich handelnde Unternehmen sollten sich sowieso ernstlich fragen, ob sich angesichts der Unwägbarkeiten und Risiken der eigene Auftritt bei Facebook wirklich rechnet. Ebenso denke ich nicht, dass dem Urteil eine sofortige Abmahnungswelle folgen wird. Derzeit ist die Rechtslage sogar für abmahnende Anwälte ziemlich unsicher. Deshalb kann man vorläufig abwarten, wie deutsche Gerichte entscheiden. Aber durch das EuGH-Urteil ist die Gefahr gewachsen, dass schwarze Schafe dieses EuGH-Urteil ausnutzen und Sie abmahnen.
- Das Bundesdatenschutzgesetz (BDSG NEU) § 2 (4) 1) umschreibt sehr umfassend:
Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts
- eigentlich jeder. - Erste einleitenden Informationen zu den Begriffen natürliche Person und zur juristische Person.
- Nirgendwo steht z.B., dass Vereine (mit oder ohne e.V.) oder Verbände von den Datenschutzbestimmungen ausgenommen wären.
- Für Kleinstunternehmen gelten laut Erwägungsgrund / Präambel (13) Erleichterungen: Artikel 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission (5) sollte maßgebend sein.
(1) Die Größenklasse der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) setzt sich aus Unternehmen zusammen, die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.
(2) Innerhalb der Kategorie der KMU wird ein kleines Unternehmen als ein Unternehmen definiert, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR nicht übersteigt.
(3) Innerhalb der Kategorie der KMU wird ein Kleinstunternehmen als ein Unternehmen definiert, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet.
- Leider werden diese Regelungen durch die DS-GVO selbst wieder deutlich eingeschränkt. So lautet Artikel 30 (5):
Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.
- Für viele kleine Firmen (unter 250 Mitarbeiter) ließe sich nun trefflich über die Details (Risiko, gelegentlich) streiten. Aber das wird vermutlich erst vor Gericht ausgefochten. Deshalb muss derzeit leider jedem kommerziell Tätigen empfohlen werden, sich daran zu halten.
- Geschützt werden durch die DS-GVO laut Erwägungsgrund / Präambel (14):
Der durch diese Verordnung gewährte Schutz sollte für die Verarbeitung der personenbezogenen Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.
- Betroffen sind laut Erwägungsgrund / Präambel (26) alle klar lesbaren Daten sowie Pseudonymdaten (z.B. Kundennummern), nicht jedoch anonymisierte Daten, die keiner Person mehr zugeordnet werden können. D.h. anonymisierte Logfiles sind erlaubt:
Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymen Daten, auch für statistische oder für Forschungszwecke.
- Ausgenommen sind jedoch ausdrücklich laut Erwägungsgrund / Präambel (30) IP-Adressen und Cookie-Kennungen
, weil diese eine Rückverfolgung erlauben.
Zur Klarstellung: Vieles ist in der DS-GVO, der europäischen Datenschutz-Grundverordnung, bewusst vage gehalten worden, damit die nationalen Instanzen - Gesetzgeber und Gerichte - sich hierzu im Detail gestalterisch äußern können. D.h. solange es keine rechtskräftigen höchstinstanzlichen Urteile gibt, kann man leider auch nichts Genaues sagen. Aber man kann Rahmenbedingungen abschätzen. Und diese sind mit dem neuen Bundesdatenschutzgesetz sowie der DS-GVO erstaunlich eng.
Rechtmäßigkeit der Verarbeitung
- Praktisch alle legalen Tätigkeiten, die auch früher erlaubt waren, bleiben es auch weiterhin.
- Allerdings muss man nun Rechenschaft darüber ablegen. Dies läuft auf eine umfangreiche Informationspflicht hinaus.
- Die dafür gefundenen Erlaubnis-Kategorien sind so wichtig, dass sie hier einzeln aufgelistet werden, denn Sie müssen diese explizit in Ihrer schriftlichen Stellungnahme zum Datenschutz angeben. Art. 6 DS-GVO erlaubt in §1:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
- Das betrifft z.B. alle Kontaktformulare zur Anfrage, bei denen die Person die Daten freiwillig an Sie sendet, um exakt diese Anfrage beantwortet zu erhalten. Ebenso betrifft es klar als solche gekennzeichnete Formulare für die Bestellung eines Newsletters oder die Teilnahme an einem Gewinnspiel.
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- Dies betrifft z.B. alle Bestellungen sowie die Vorarbeiten zu Bestellungen von Waren und Dienstleistungen. Mit dem Klick auf den Schalter zahlungspflichtig bestellen
stimmt der Interessent der Datenverarbeitung zu. Er will ja die Ware / Dienstleistung.
Auch die Erwägungsgrund / Präambel (44) hält explizit fest: Die Verarbeitung von Daten sollte als rechtmäßig gelten, wenn sie für die Erfüllung oder den geplanten Abschluss eines Vertrags erforderlich ist.
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- Das trifft auf so ziemlich jeden Unternehmer zu, da er sich u.a. gegenüber dem Finanzamt bezüglich der Steuergesetze mit Belegen rechtfertigen muss. - Erwägungsgrund / Präambel (31) klärt: Behörden, gegenüber denen personenbezogene Daten aufgrund einer rechtlichen Verpflichtung für die Ausübung ihres offiziellen Auftrags offengelegt werden, wie Steuer- und Zollbehörden, Finanzermittlungsstellen, unabhängige Verwaltungsbehörden oder Finanzmarktbehörden, die für die Regulierung und Aufsicht von Wertpapiermärkten zuständig sind, sollten nicht als Empfänger gelten, wenn sie personenbezogene Daten erhalten, die für die Durchführung - gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten - eines einzelnen Untersuchungsauftrags im Interesse der Allgemeinheit erforderlich sind.
Erwägungsgrund / Präambel (45) klärt weiter: Mit dieser Verordnung wird nicht für jede einzelne Verarbeitung ein spezifisches Gesetz verlangt.
- D.h.: Sie müssen selbst keine Einzelgesetze oder Vorschriften detailliert suchen oder auflisten. Wenn Ihr Finanzamt die Unterlagen will, dann ist das eben so.
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
- Das klingt erst einmal abwegig, ist jedoch erklärt.
Erwägungsgrund / Präambel (47) erläutert hierzu: Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist
- Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar.
Sogar: Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.
- Auch zur Missbrauchserkennung und zur Verhinderung von Hackerangriffen dürfen Sie aufgrund eines berechtigten Interesses Daten speichern und können sich auf Erwägungsgrund / Präambel (49) berufen.
Es gibt jedoch Meinungen, welche besagen, dass man die IP-Daten auch dann nicht unbegrenzt lagern darf. 14 Tage gelten normalerweise als angemessen. Selbst der als sehr scharf bekannte Landesdatenschutzbeauftragte von Bayern erlaubt in einem aktuellen Muster-VVT-Schreiben für Shop-Betreiber 30 Tage zur Speicherung der IPs. - Aber gesetzliche Forderungen können dies natürlich verlängern. Zur Strafverfolgung resp. der privatrechtlichen Durchsetzung eigener Schadenersatzansprüche kann es unter Umständen erforderlich sein, die Daten bis zu letztinstanzlichen Klärung aufzubewahren - d.h. evtl. sogar viele Jahre. Zu den Details siehe
BGH Urt. v. 16.05.2017, Az. VI ZR 135/13
- Die anderen Erlaubnistatbestände in §6 dürften jedoch für die meisten Unternehmer eher selten zutreffen.
- Allerdings muss man jetzt laut Art. 7 DS-GVO (1) diese Einwilligung nachweisen.
- Am einfachsten geschieht dies mit einem schriftlichen Verweis auf die Datenschutzbestimmungen des eigenen Internet-Auftrittes (verlinkt) und dem Texthinweis, dass der Nutzer mit Klick auf den Absenden-/ Bestellen- etc. -Button der Nutzung dieser Personendaten zu dem Zweck zustimmt.
- Sie sehen, das ist im Grunde harmlos und auch schnell umzusetzen.
- Aber Sie dürfen diese Daten nun auch nur noch zu exakt diesem Zweck verwenden. D.h. ein Anfragender oder Besteller darf nicht plötzlich ungefragt einen Newsletter erhalten. Jeder Zweck erfordert nun eine separate Zustimmung.
- Daraus folgt, dass man bei mehreren Zwecken auch mehrere Abfragen (am einfachsten mit anzuklickenden / mit Haken zu versehenden Auswahlkästchen) anbietet, die jedoch noch nicht vorausgefüllt sein dürfen.
- Größte Vorsicht ist allerdings bei Einwilligungen von Kindern / Jugendlichen laut Art. 8 DS-GVO unter 16 Jahren zu üben, wobei diese Altersgrenze sogar von Land zu Land schwanken kann. Erwägungsgrund / Präambel (38) stellt Kinder ausdrücklich unter einen besonderen Schutz. Kinder werden in Deutschland und Österreich unter 14 Jahre alt definiert, in der Schweiz unt 10 - aber dann greift das EU-Mindestalter von 13 Jahren. Meines Erachtens sollten Sie sowieso nur mit Erwachsenen (ab 18 Jahren) kommunizieren sowie Geschäfte abschließen. Dazu kann man einen entsprechenden Passus in den eigenen Datenschutzbestimmungen einbauen. Siehe Beispiele weiter unten.
Die weiteren textlichen Erklärungen der EU erlauben in diesem Zusammenhang sogar explizit das Erheben und Speichern von Geburtsdaten, um sicherzustellen, dass es sich um Erwachsene handelt (Consent Check age limit for parental consent
).
Informationspflichten laut DS-GVO
Nutzen Sie die Liste der folgenden Punkte der DS-GVO als Checkliste zum Abhaken bei Ihrer Datenschutzerklärung. Alles muss erfüllt sein.
- Art. 13 DS-GVO ist mit Abstand der wichtigste Paragraf, den Sie sich unbedingt einmal im Original durchlesen sollten.
- (1) Der Betreiber muss dem Nutzer bereits
zum Zeitpunkt der Erhebung
eventueller Daten dies mitteilen.
- Daraus folgt, dass Sie i.d.R. vor dem Betätigen eines Schalters zum Versenden / Bearbeiten von Formularen den Nutzer mit einem Link auf Ihren Datenschutz verweisen müssen. Nicht erst danach.
- Dieser verlinkte Hinweis zu Ihrer Datenschutzverordnung muss vor jeden Schalter in jedem Formular. Es sei denn, es handelt sich um Folgeformulare: In einem Verkaufsprozess mit mehreren direkt hintereinander geschalteten Formularen reicht es aus, wenn der Kunde einmal die Datenschutzbestimmung zur Kenntnis nimmt / anklickt / bestätigt.
- a) Der Betreiber muss sich selbst kenntlich machen.
- Dies geschieht i.d.R. in der Datenschutzerklärung durch Verweis auf das Impressum, sofern sich dies auf derselben Seite (meist oben) befindet. Ansonsten sollte man den (Firmen-) Namen sowie die eigenen Kontaktdaten in der Datenschutzerklärung nochmals erwähnen. Es ist umstritten, was dies genau umfasst.
- Sofern Sie als kleine Firma auf das Impressum verweisen, sind Sie im grünen Bereich, da dies streng geregelt ist. Dort muss der eigene Name (ggf. mit Firmenbezeichnungen), die postalische Anschrift und eine verlinkte E-Mail-Adresse stehen.
- Die oft bei Rechtsanwälten zu findende weitergehende Forderung nach einer Telefon- und teilweise sogar Telefaxnummer halte ich für zu weitgehend und völlig unsinnig. Erstens hat heute kaum jemand mehr ein Faxgerät, zweitens ist ein Telefon wertlos für den Datenschutz. Geben Sie niemals Personendaten am Telefon heraus. Alle angeblichen Legitimationsmöglichkeiten per Telefon sind untauglich. Nur eine Personalausweiskopie oder persönliches Erscheinen in Ihrem Büro ist als zweifelsfreier Nachweis akzeptabel. (So sieht es auch explizit die WKO) - Im Übrigen bieten die meisten von mir untersuchten Auftritte der Großfirmen selbstverständlich keine solchen Angaben, die meisten bieten noch nicht einmal eine E-Mail-Adresse für den Datenschutz, sondern nur die Postadresse. Alle Firmen, die mit dem Datenschutz lange Erfahrung haben, verweisen auf den klassischen Schriftweg.
- b) Große Firmen besitzen einen firmeneigenen Datenschützer oder sind dazu sogar gesetzlich verpflichtet. Dann muss dessen Name samt direkten Kontaktdaten dort stehen.
- Dies alles muss jedoch nicht als kopierbarer und von Maschinen leicht auslesbarer Text eingesetzt werden. Auch Sie dürfen sich schützen und die Daten z.B. als Grafik einbinden, wodurch alle Missbräuche erschwert werden. - Zur Klarstellung: Die Datenschutzbestimmungen fordern nicht, dass Sie sich selbst zum Datenopfer illegaler Datensammler machen müssen.
- Bei c) wird es nun anspruchsvoll: Sie müssen den Zweck / die Zwecke der Datenerhebung im Detail auflisten und dazu nun unbedingt die Rechtsgrundlage anführen.
- Auch hier gilt jedoch, dass Sie dazu kein Jurist sein müssen. Es gelten die oben beschriebenen (für die meisten Firmen nur drei) relevanten Kategorien / Kriterien laut Art 6. DS-GVO. (Siehe oben: Rechtmäßigkeit der Verarbeitung.)
- D.h. Sie führen i.d.R. bis zu vier Zeilen / Absätze / Kategorien auf:
a) Wir verarbeiten personenbezogene Daten, sofern die betroffene Person uns ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat; - Das betrifft z.B. alle Kontaktformulare zur Anfrage, bei denen die Person die Daten freiwillig an uns sendet, um exakt diese Anfrage beantwortet zu erhalten. .....
b) Wir verarbeiten personenbezogene Daten, sofern die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist, sowie sie zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, die auf Anfrage der betroffenen Person erfolgen. - Dies betrifft z.B. alle Ihre Bestellungen sowie die Vorarbeiten zu Bestellungen von Waren und Dienstleistungen. ...
c) Wir verarbeiten personenbezogene Daten, sofern die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir selbst als Firma (etc.) unterliegen. ...
f) Wir verarbeiten personenbezogene Daten, sofern die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind / zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir selbst als Firma (etc.) unterliegen. ...
- Vorsicht: Führen Sie nur auf, was Sie wirklich machen. Wer z.B. nur eine Info-Seite mit einfachem Kontaktformular für inhaltliche Fragen zu den Texten bereitstellt, jedoch keinerlei Dienstleistungen oder Waren vertreibt, muss auch die anderen Punkte nicht auflisten. Meist sind jedoch die ersten drei oder alle vier Kategorien für Firmen erfüllt.
- e) Sie müssen angeben, ob Sie Personendaten an Dritte weiterreichen.
- Das klingt zuerst einmal irrelevant, da es in den Augen vieler Menschen angeblich nur große Firmen betreffen kann.
- Aber auch viele Ärzte und manche kleinen Firmen reichen die gesamten Daten zur Rechnungsabwicklung gerne an externe Dienstleister.
- Und noch viel mehr Unternehmer schalten Inkassounternehmen bei Zahlungsausfällen ein.
- Aber fast alle Selbständigen wie Unternehmer reichen steuerrelevante Unterlagen an Steuerfachkanzleien für die Erstellung der Steuererklärung weiter. Auf diesen Belegen befinden sich sehr oft (z.B. bei Rechnungen, Quittungen) die Personendaten Ihrer Kunden.
- Viele davon gelten derzeit als Dienstleister und somit eigenständige Verantwortliche, sind also nicht Auftragsverarbeiter. D.h. man benötigt mit diesen Gruppen dann keinen Vertrag zur Auftragsverarbeitung. Jedoch ist die Abgrenzung der zwei Gruppen noch etwas im Fluss. So sind z.B. Lohnbuchhalter, die eine Lohnabrechnung (als externer Dienstleister) durchführen wieder Auftragsverarbeiter, und man muss mit diesen einen Vertrag zur Auftragsverarbeitung abschließen. - Sie müssen allerdings im VVT alle aufgeführt werden.
- Allerdings müssen Sie dies nur pauschal angeben.
- Z.B.:
Zur Bonitätsprüfung geben wir Ihre Daten an entsprechende Dienstleister wie die SCHUFA weiter.
- Z.B.:
Zur Rechnungsabwicklung geben wir Kundendaten an unsere externen (Finanz-) Dienstleister weiter. Diese unterliegen ebenfalls der europäischen Datenschutz-Grundverordnung (DS-GVO).
- Keinesfalls müssen Sie hier Geschäftsgeheimnisse preisgeben und die Firmen auflisten. Es reichen ausdrücklich die
Kategorien von Empfängern
.
- Selbstredend dürfen Sie ins Detail gehen, sofern Sie dies im Sinne einer vertrauensbildenden Maßnahme für sinnvoll halten.
- Ganz schwierig ist die Nutzung kombinierter Dienste. Sie erhalten z.B. eine Anfrage über das Kontaktformular und sollen der Person doch bitte über WhatsApp etc. antworten. Dann geben Sie deren Daten an Dritte weiter und in diesem Fall liefern Sie sie sogar in die USA. Überlegen Sie sich solche Cross-Media-Nutzungen genau. Das müssen Sie dann auch explizit angeben.
- Hinzu kommt ein Detail, das wirklich fast jeden Internet-Betreiber betrifft. Nur wer seinen kompletten Server im eigenen Haus selbst betreibt (meist durch die eigene IT-Abteilung) oder einen sogenannten Hosted Server beim Provider selbst betreibt (meist durch ausgewiesene eigene IT-Spezialisten), gibt keine Daten an Dritte weiter. Da die meisten jedoch einen sogenannten Managed Server - also einen vom Provider betriebenen / rundum betreuten Server verwenden, hat jener Einsicht in die Daten und ist somit ein Dritter. - Um dieser Falle / dieser Angabe des Dritten zu entgehen, benötigen Sie einen Hoster mit einer sogenannten
Auftragsverarbeitung
nach Artikel 28 DS-GVO. D.h. ganz konkret: Sie müssen mit Ihrem Hoster einen schriftlichen Vertrag darüber abschließen. Dieser muss neu auf die DS-GVO abgestimmt sein und so z.B. das nun geforderte neue Wort Auftragsverarbeitung
enthalten und nicht mehr das in alten Verträgen nach altem Recht zu findende Wort Auftragsdatenverarbeitung
. Ferner muss darin stehen, dass Ihr Provider personenbezogene Daten gemäß den Weisungen des für die Verarbeitung Verantwortlichen verarbeitet.
- Also nach Ihren Angaben. Einen Mustervertrag der GDD Auftragsverarbeitung nach BDSG und DS-GVO. - Nochmals: Sie benötigen einen schriftlichen Vertrag mit Ihrem Provider. Dazu reicht jedoch laut Absatz 9 ein elektronisches Format aus. - Mein Provider all-inkl.com stellt einen derartigen elektronischen Vertrag jedem Kunden rechtzeitig zur Verfügung. - Fragen Sie unbedingt bei Ihrem Provider nach, wie er diesen wichtigen Punkt handhabt.
- f) Sie müssen angeben, ob Sie Daten in ein anderes Land weitergeben.
- Davon kann man nur abraten, da dann die Anforderungen erheblich steigen.
- Drittland umfasst auch EU-Ausland.
- Wirklich schwierig wird es bei Nicht-EU-Drittstaaten. Dies ist der Grund, warum man sich jede Zusammenarbeit mit US-Konzernen ernsthaft überlegen sollte. - Letztendlich haften zuerst einmal Sie für deren Versagen im Datenschutz. Deshalb müssen Sie dem Nutzer dafür auch geeignete Garantieren schriftlich geben.
- Derzeit als unproblematische Drittländer eingestuft sind: Schweiz, Neuseeland, Argentinien, Uruguay. Eingeschränkt tauglich sind Kanada und Israel.
- Unter Privacy Shield List finden Sie eine Liste der US-Firmen, welche sich freiwillig unter das Privacy Shield gestellt haben, um weiterhin mit der EU zusammenzuarbeiten.
- Sowohl e) und f) können Sie jedoch einschränken durch einen Zusatz:
..., es sei denn, staatliche Sicherheitsbehörden verlangen aufgrund der Rechtslage oder richterlicher Beschlüsse dies.
- Unterschätzen Sie nicht das Problem der strafrechtlichen Verfolgung der Computerkriminalität. Dann müssen Sie Daten ggf. herausgeben - auch an Behörden im EU-Ausland.
- Absatz (2) regelt weitere Anforderungen, die Sie schriftlich erfüllen müssen.
- a) Wie lange werden die erhobenen Daten jeweils gespeichert.
- Wenn Sie dies genau angeben können, so sollten Sie es erwähnen.
- Ausreichend sind jedoch auch pauschale Formulierungen wie z.B.:
Grundsätzlich speichern wir Informationen, die Sie uns übermitteln, nur solange wir diese für die Bearbeitung Ihrer Anfrage benötigen.
- Sofern Sie dies nicht im Detail wissen, oder diese Fristen sich ändern, reichen die
Kriterien für die Festlegung dieser Dauer
.
- Ausreichend sind auch hier pauschale Formulierungen wie z.B.:
Kundendaten speichern wir grundsätzlich nur solange, wie gesetzliche Fristen dies erfordern. Danach werde diese Daten routinemäßig gelöscht.
- Art. 13 DS-GVO (2) b) legt fest, dass Sie nun bereits aktiv auf eine eigene Auskunftspflicht resp.
das Bestehen eines Rechts auf Auskunft
durch den Nutzer hinweisen müssen. D.h. Sie sind nicht nur zur Auskunft verpflichtet, sondern Sie müssen den Nutzer schriftlich in der Datenschutzerklärung darauf aufmerksam machen.
- Abmahnvereine und Rechtsanwälte haben bereits angekündigt, dass sie insbesondere auf diesen neuen Punkt achten werden.
- Im Detail haben Sie sogar auf mehrere Punkte hinzuweisen:
- Sie haben das Recht auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten,
- sowie auf Berichtigung,
- auf die Löschung,
- auf die Einschränkung der Verarbeitung,
- sowie ein Widerspruchsrecht gegen die Verarbeitung,
- sowie ein Recht auf Datenübertragbarkeit.
- Dies Angaben dürfen Sie - wie hier geschehen - in einem (langen) Satz zusammenfassen.
- Art. 13 DS-GVO (2) c) legt fest, dass Sie nun bereits aktiv auf
das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen
aufmerksam machen müssen.
- Dies betrifft alle Einwilligungen, die der Nutzer / Kunde jemals gegeben hat. Denken Sie z.B. an einen Newsletter, den der Nutzer so abbestellen kann.
- Jedoch wird natürlich auch geregelt, dass alle Handlungen bis zum Widerruf zulässig waren. D.h. ein Widerruf wirkt nicht rückwirkend, sondern erst ab Eingang bei Ihnen - für die Zukunft.
- Sie sollten bei elektronischen Medien dennoch schnell handeln.
- Großversendern gedruckter Werbung fällt es allerdings aufgrund des oft langen Vorlaufes nicht immer leicht, so etwas sofort zu stoppen. So erhalten die Erben Verstorbener oft noch monatelang Werbepost, was von den Gerichten toleriert wird.
- Art. 13 DS-GVO (2) d) legt fest, dass Sie nun bereits aktiv auf
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
hinweisen müssen.
- Für die meisten Firmen ist dies die / der jeweilige Landesbeauftragte für den Datenschutz.
- Der folgende textliche Hinweis sollte für die meisten Firmen ausreichen:
Ferner besteht für jeden Nutzer ein Beschwerderecht bei einer Aufsichtsbehörde. In [Ihr Bundesland] ist dies z.B. die / der Landesbeauftragte für den Datenschutz und die Informationsfreiheit [Ihr Bundesland].
- Es ist nicht gefordert, aber kann als Hilfe angesehen werden, wenn man dies dann auch noch aktiv verlinkt. Wenn jemand auf Sie wütend ist und sich beschweren will, wird er die Adresse mit der Suchmaschine sowieso sofort finden. D.h. Sie haben nichts verhindert. Sofern Sie jedoch dokumentieren wollen, dass Sie sich an die europäische Datenschutz-Grundverordnung (DS-GVO), sowie das deutsche Bundesdatenschutzgesetz übergenau halten, können Sie dies auch verlinken.
- Art. 13 DS-GVO (2) e) legt fest, dass Sie nun bereits aktiv darauf hinweisen müssen,
ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen
- Für die meisten Firmen kommt - wenn überhaupt - meist nur eine vertragliche Pflicht für einen Vertragsabschluss zum Einsatz.
- Wichtiger ist deshalb der weitere Hinweis,
welche mögliche[n] Folgen die Nichtbereitstellung hätte
.
- Meist kann man diese beiden Punkte zusammen mit den drei Kategorien oben abarbeiten.
- Für einfache Anfragen per Kontaktformular ließe sich dies z.B. so formulieren:
Selbstverständlich haben Sie das Recht, die Felder im Kontaktformular nicht auszufüllen. Dies hat jedoch zur Folge, dass diese Anfrage dann auch nicht abgeschickt wird resp. wir sie weder bearbeiten noch beantworten können.
- Für komplexere Vertragsformulare ließe sich dies z.B. so formulieren:
Selbstverständlich haben Sie das Recht, einzelne oder alle Felder im Auftragsformular nicht auszufüllen. Dies hat jedoch zur Folge, dass kein Vertrag zustande kommt.
- Zur Klarstellung: Der europäische Datenschutz hebelt kein BGB oder Vertragsrecht etc. aus. Sie besitzen als Anbieter (der Waren oder Dienstleistungen) weiterhin die Freiheit, Verträge zu schließen oder nicht. Sofern Sie die Daten zur Vertragserstellung benötigen, so dürfen Sie diese auch weiterhin erheben. Wenn der Nutzer berechtigte Daten nicht liefern will, dann wird er seine Gründe haben und soll lieber zur Konkurrenz gehen. Sie werden mit derartigen Bedenkenträgern und Querulanten als Kunden sowieso kaum Freude haben. Mein Anwalt sagte einmal treffend:
Lieber nicht gearbeitet, als umsonst gearbeitet.
- Viele Rechtsanwälte dehnen diese Frage auch auf Cookies aus. Sofern Sie Cookies verwenden (siehe unten) sollten Sie die negativen Folgen beim Abschalten / Löschen derselben erwähnen.
- Art. 13 DS-GVO (2) f) legt fest, dass Sie nun bereits aktiv darauf hinweisen müssen, falls eine automatisierte Entscheidungsfindung oder Profiling verwendet wird.
- Dies klingt für viele Menschen zuerst einmal nach SCHUFA und extrem kostspieligem Aufwand für Data-Warehouses, Data-Mining etc. - D.h. es scheint kaum jemanden zu betreffen. Aber damit kann auch schon weniger gemeint sein.
- So ist die Auswahl einer bestimmten Sprachseite anhand der IP bereits eine - zwar harmlose, aber dennoch - automatische Entscheidungsfindung.
- Noch konkreter und eindeutig relevant wird dies, wenn man anhand der Betriebssystem- und Browserkennung z.B. iPhone-Besitzer herausfiltert und Ihnen Produktseiten mit einem höheren Preis anbietet, da sie erfahrungsgemäß sowieso für alles mehr bezahlen.
- Der Spielarten fanden sich schon viele. Prüfen Sie dies selbst genau ab und fragen Sie ggf. Ihren Shop-System-Betreuer.
- Für die meisten Firmen rate ich von Profiling etc. ab. Falls Sie so etwas dennoch anwenden, so müssen Sie zumindest
aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
machen. - Falls Profiling dazu führt, dass eine Person etwas nicht erhält, muss sogar eine durch Menschen durchgeführte Nachprüfung stattfinden.
- Art. 13 DS-GVO (3) ist eine erstaunliche Rechtserweiterung für den Betreiber, einmal zu einem bestimmten Zweck erhobene Daten danach auch anders zu verwenden, - aber mit den Einschränkungen unter (2).
- Generell rate ich davon ab, einmal erhobene Daten für einen weiteren Zweck als den bei der Erhebung angegebenen zu verwenden. Das widerspräche dem in fast allen Datenschutzbestimmungen aufzufindendem Satz:
Sämtliche Daten werden ausschließlich zu den vom Nutzer bestimmten Zwecken verwendet.
- Auch die Umsetzung, dass man dann die Personen vor dem Weiterverarbeiten nochmals davon in Kenntnis setzen muss, ist kaum durchführbar. Stellen Sie sich nur vor, jemand wäre im Urlaub, kann folglich keinen Einspruch erheben, oder der E-Mail-Account läuft voll / über und er erhält die Nachricht nicht - mit der Folge, dass er sich danach bei der Beschwerdestelle meldet. Da wird Ärger auf Sie zukommen. Im Zweifel stellen sich die Gerichte dann auf die Seite der betroffenen Person und verlangen Nachweise sowie lange Fristen vor der Nutzung. Aber es scheint offensichtlich erlaubt.
- Das BDSG NEU § 24 Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen erweitert dies auf 1. Straftaten und:
wenn ... 2. sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist
. D.h. dann dürfen Sie einmal zu anderen Zwecken erhaltene Daten auch verwenden. Als Beispiel sei hier ein (ehemaliger) Nutzer angeführt, der Ihre Systeme zu hacken und / oder sie zu schädigen versucht. - Nochmals: Die neuen Datenschutzregelungen machen Sie keineswegs völlig schutzlos gegen Kriminelle. Jedes Mittel bedarf jedoch inzwischen einer Abwägung.
- Artikel 14 legt die Informationspflichten fest, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden.
- Generell sollten die meisten Internet-Betreiber keine Daten von Dritten beziehen, sondern nur von der betroffenen Person selbst.
- Tun Sie es dennoch, sind nochmals umfassende Angaben zu machen. Vor allem müssen Sie dann die Betroffenen aktiv darüber informieren. Es existieren nur wenige Ausnahmegründe. Trotzdem erlaubt auch dieser Artikel weiterhin den erstaunlichen Einkauf von Fremddaten.
Artikel 30 - Verzeichnis von Verarbeitungstätigkeiten - VVT
Siehe hierzu den eigenständigen Artikel Artikel 30 - Verzeichnis von Verarbeitungstätigkeiten - Das müssen Sie als Firma intern führen.
Auskunftspflicht des Betreibers / Auskunftsrecht der betroffenen Person
Schriftliche Auskunftserteilung an jeden einzeln anfragenden Auskunftssuchenden. Siehe den hierzu eigenständigen Artikel Auskunftspflicht.
Weitere Rechte des Betroffenen / Pflichten des Betreibers
Die folgenden Details sind im Grunde banal und (hoffentlich) bekannt:
- Art. 16 DS-GVO regelt das Recht, falsche Daten unverzüglich berichtigen zu lassen.
- Art. 17 DS-GVO regelt das Recht, Daten unverzüglich löschen zu lassen.
Davon gibt es jedoch zahlreiche Ausnahmen.
- Wichtig für Sie als Betreiber bleibt der Punkt, dass Sie keine Daten löschen müssen, die Sie zur Durchsetzung eigener Rechte benötigen.
So dürfen Sie z.B. beleidigende Schreiben von Nutzern bis zur endgültigen gerichtlichen Klärung aufbewahren.
Dies gilt selbstverständlich auch für alle Vertragsunterlagen, falls ein Kunde z.B. in Zahlungsverzug ist.
Nochmals zur Beruhigung: Auch der neue Datenschutz setzt keine anderen allgemeinen Rechte außer Kraft.
- Erwägungsgrund / Präambel (68) schränkt z.B. ein:
Dieses Recht sollte zudem das Recht der betroffenen Person auf Löschung ihrer personenbezogenen Daten und die Beschränkungen dieses Rechts gemäß dieser Verordnung nicht berühren und insbesondere nicht bedeuten, dass die Daten, die sich auf die betroffene Person beziehen und von ihr zur Erfüllung eines Vertrags zur Verfügung gestellt worden sind, gelöscht werden, soweit und solange diese personenbezogenen Daten für die Erfüllung des Vertrags notwendig sind.
- Art. 18 DS-GVO regelt das Recht, die Einschränkung der Verarbeitung zu verlangen. Dabei werden die Daten weiterhin gespeichert, aber nicht mehr verwendet. Davon gibt es jedoch zahlreiche Ausnahmen.
- Art. 19 DS-GVO regelt die Mitteilungspflicht bei Art 16-18 über die durchgeführten Maßnahmen. Wenn ein Nutzer Daten geändert, gelöscht oder einschränken haben will, so muss der Betreiber ihn über die Umsetzung des Wunsches informieren.
- Art. 20 DS-GVO regelt das Recht auf Datenübertragbarkeit.
Das klingt kompliziert, ist jedoch einfach:
- Sie speichern Daten i.d.R. in einer Datenbank - d.h. strukturiert. Dann hat der Nutzer / Kunde das Recht, diese Daten von Ihnen auch strukturiert zu erhalten bzw. sie strukturiert weiterzuleiten / weiterleiten zu lassen. Stellen Sie sich eine Datenbank wie eine Excel-Tabelle vor. Daraus folgt: Sie sollten die Daten (sofern möglich) dem Anfragenden ggf. Zeilenweise zukommen lassen und nicht als endlosen unlesbaren Datenmüll in einer Zeile.
- Aber Erwägungsgrund / Präambel (68) schränkt ein:
Das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu übermitteln oder zu empfangen, sollte für den Verantwortlichen nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten.
- Ursprünglich war dies für Großkonzerne mit großen Nutzerdatenspeicher (wie die Konten bei sozialen Netzwerken) gedacht, bei denen die Nutzer eine Umzugsmöglichkeit der eigenen Daten erhalten sollten. Klassische Firmen sind davon nicht betroffen.
- Art. 21 DS-GVO regelt das Widerspruchsrecht: Dies betrifft diverse Fälle der Datenerhebung, von denen ich bereits abgeraten habe, u.a. Direktwerbung und das Profiling sowie für Firmen eher seltene Fälle.
- Art. 22 DS-GVO regelt automatisierte Entscheidungen im Einzelfall einschließlich Profiling: Dies betrifft diverse Fälle der Datenerhebung, vor denen ich bereits gewarnt habe.
- Art. 23 DS-GVO regelt die Rahmenbedingungen, innerhalb derer diese von der EU erlassene Datenschutz-Grundverordnung DS-GVO gesetzlich eingeschränkt werden kann. Im Grunde regelt er die weitgehende Einheitlichkeit des Datenschutzes in Europa. Deshalb darf z.B. das Bundesdatenschutzgesetz für Deutschland auch nur in kleineren Punkten - aber durchaus entscheidend - abweichen.
Auch, wenn mir jetzt viele Juristen widersprechen werden, so wage ich folgende Prognose: Da zahlreiche Dinge im neuen BDSG für nichtöffentliche Stellen (EU-Verordnung 2016/679) nicht mehr erwähnt werden, werden sich Richter in Streitfällen vermutlich analog auf die Paragrafen BDSG NEU § 45 ff. berufen, obwohl dies für öffentliche Stellen (EU-Verordnung 2016/680) gedacht sind, da dort einiges spezifischer erklärt wird.
Um es kurz zu machen: Die hier weiter unten angebotenen Texte berücksichtigen auch die engere Sichtweise aus der EU-Verordnung 2016/680 und dem BDSG NEU § 45 ff.
Praxistipps - Teil 2
Hier finden Sie die praktische Umsetzung der Datenschutz-Grundverordnung (DS-GVO) sowie des deutschen Bundesdatenschutzgesetzes mit allen mir bekannten Details.
Falls Sie Ihr spezifisches Problem zur DS-GVO hier nicht finden sollten, so dürfen Sie mir dies gerne gemäß den Bestimmungen unten zukommen lassen.
Salvatorische Klauseln vorab
- Alle hier gegebenen Beispiele sind als Anregung gedacht und nicht als rechtlich verbindlicher Text zu verstehen, der exakt so stehen muss, soll oder in manchen Fällen sogar nicht einmal darf.
- Sie dürfen diese hier im zweiten Teil angegebenen mit
Anführungszeichen
sowie farblich gekennzeichneten Beispiel-Texte
markieren, kopieren, bei sich einfügen, verwenden, abändern etc., ohne mich um Genehmigung fragen zu müssen. Sie dürfen sich auch bei meiner eigenen Datenschutzerklärung bedienen, sofern dies für Sie hilfreich ist. Viele der dortigen Sätze habe ich jedoch auch hier in den einzelnen Rubriken bereits aufgelistet.
- Rechtlicher Hinweis für Trolle etc.: Meine Freizügigkeit bezieht sich nur auf die in Anführungszeichen gesetzten Beispieltexte. Das Urheberrecht am Artikel bleibt bestehen und die alleinigen Nutzungsrechte des Artikels verbleiben bei mir.
- Da ich Ihre exakten Umstände in Ihrer Firma, Ihrem Verein, Verband etc. nicht kenne, kann ich für die Richtigkeit keine Gewähr übernehmen. Falls Sie dies wünschen, so dürfen Sie mir gerne mit dem Kontaktformular einen Auftrag dazu erteilen, den ich dann gewissenhaft, aber kostenpflichtig erfülle.
- Also: Schalten Sie immer zuerst Ihr Gehirn ein, und passen Sie die hier erwähnten Dinge an Ihre eigenen Bedürfnisse, Umstände und Anforderungen an.
- Warnung: Es ist schädlich, einfach alles (sämtliche hier angegebenen Varianten) blind zu kopieren und zu verwenden. Abgesehen von der Redundanz widersprechen sich manche Angaben zwangsläufig für gewisse Firmen / Dienstleister.
- Sofern mir erkenntlich, kennzeichne ich die unterschiedlichen Anwendungsfelder explizit. Aber es kommt letztendlich immer darauf an, was Sie exakt als Betreiber / Verantwortlicher im Internet machen.
Von den großen Firmen lernen
- Aufgrund des Urheberrechtes ist es zwar nicht erlaubt, einfach die Datenschutzerklärung gemäß der Datenschutz-Grundverordnung (DS-GVO) sowie des deutschen Bundesdatenschutzgesetzes eines anderen Anbieters zu kopieren. Aber lernen darf man durchaus daraus, wie diese es machen.
- Die hier gewählten Beispiele stellen keinerlei Wertung dar. Sie repräsentieren meines Erachtens nur die bunte und interessante Vielfalt der rechtlich zulässigen Möglichkeiten.
- Ferner können Sie an diesen Großauftritten mit eigenen erfahrenen Juristen für diese Spezialfragen sehen, was durchaus erlaubt ist.
Interessant fand ich, dass z.B. Apple Dinge wie Beruf
oder individuelle Geräteidentifizierungsmerkmale
bewusst unter nicht-personenbezogenen Daten
rubriziert. Das ist immerhin das exakte Gegenteil. Aber an Apple wagt sich kein Abmahner heran.
Gestaltung der Datenschutzerklärung gemäß der Datenschutz-Grundverordnung (DS-GVO) sowie des deutschen Bundesdatenschutzgesetzes
Dazu finden sich in den beiden Rechtstexten keine genauen Angaben.
Der Seitenname / die Überschrift / der Name
Noch nicht einmal der Name ist festgelegt:
- Die meisten Anbieter nennen den Text schlicht
Datenschutz
- Andere
Datenschutzerklärung
- Manche
Datenrichtlinie
- Manche
Datenschutzhinweis/e
- Manche
Datenschutzrichtlinie
Technische Gestaltung
Auch ist nicht geregelt, dass es unbedingt eine eigene Seite sein muss.
- Die geforderten Informationen müssen sich nur finden lassen. D.h. sie müssen verlinkt sein.
- Erwägungsgrund / Präambel (13) hält fest:
Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden.
Gemäß der Richtlinie 93/13/EWG des Rates (10) sollte eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden, und sie sollte keine missbräuchlichen Klauseln beinhalten.
- In Art. 21 DS-GVO (4) steht:
dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.
- Getrennte Form heißt jedoch nicht zwangsläufig eine eigene Seite, sondern kann auch durch eine klare Überschrift / Überschriften getrennt beim Impressum meinen. Allerdings ist eine Vermischung der Datenschutzerklärung mit reinen Werbebotschaften zu vermeiden.
- Eine deutlich erkennbare H2-Überschrift sollte ausreichen. Wenn Sie diese - wie ich - betonen wollen, dann setzen Sie eine deutlich (z.B. farblich) erkennbare horizontal row <hr> (ein langer horizontaler Trennstrich) davor. Dann ist es wirklich auch für Nörgler abgetrennt.
- Auch bei den Links zur Datenschutzerklärung gehen die Meinungen auseinander:
- Viele Rechtsanwälte / Abmahner fordern, dass sich auf jeder Inhaltsseite des gesamten Auftrittes ein Link mit dem Namen Datenschutz zu jener Seite / dem Absatz in einer anderen Seite (z.B. Impressum) befindet.
- Aber der Bundesgerichtshof hat bereits entschieden, dass selbst für das Impressum die indirekte Verlinkung z.B. über das Kontaktformular ausreicht. Warum sollte plötzlich für den Datenschutz eine höhere Anforderung gelten.
- Eine direkte Verlinkung halte ich persönlich bei den meisten Internet-Auftritten nur bei Formularen für erforderlich, da (nur) dort Personendaten erhoben werden.
- Falls Sie jedoch - wie manche Großfirmen - jeden Klick eines Nutzers ab Betreten des Auftrittes verfolgen und diese mit Klardaten (IP, Browser- und Betriebssystemkennung, Prozessorkennung, Rechnerkennung etc.) oder pseudonymen Daten festhalten dann mit Personendaten verknüpfen, so sieht das anders aus.
- D.h. Sie dürfen die datenschutzrelevanten Inhalte auch über mehrere Seiten verteilen.
- Das ist durchaus üblich. So finden sich immer wieder getrennte Einzelseiten mit Hinweisen zur Technik, zu den erhobenen (Personen-)Daten und das Öffentliche Verfahrensverzeichnis.
- Dies empfiehlt sich sogar, falls unterschiedliche Abteilungen im Redaktionssystem einer Großfirma jene unterschiedlichen Texte separat betreuen.
- Andererseits spricht für kleine Firmen auch nichts dagegen alles zusammen in das Impressum - unter eine eigene Kapitelüberschrift zu packen.
- Letzteres hat den Vorteil, dass das Impressum sowieso heute in allen Navigationen immer verlinkt ist (oder zumindest sein sollte).
- Sofern man den Title-Tag des jeweiligen Links mit Zusätzen wie
Anbieterkennzeichnung, Datenschutz, Haftungsausschluss, Sicherheitsinformationen
etc. versieht, geht daraus auch alles Relevante hervor.
- Ferner empfehle ich, dann die Überschrift der Impressumsseite zu erweitern auf:
Impressum und Datenschutz
Impressum, Haftungsausschluss, Datenschutz
Impressum, Haftungsausschluss, Datenschutz, Sicherheitsinformationen
- Je nachdem, was Sie dort alles zusammengefasst haben.
- Sie dürfen dort am Seitenanfang auch eine schnelle Navigation mit Direktsprungmarken zu den einzelnen durch Überschriften getrennten Bereichen einfügen. (Siehe z.B. mein Impressum)
- Letztendlich dürfen Sie auch verschiedene Internet-Auftritte, Produkte, Dienstleistungen etc. auf eine einzige Datenschutzerklärung verlinken, sofern sie für alle Dinge zutrifft.
Auch die Form ist nicht geregelt.
- Es muss als Grundforderung nur schriftlich und verständlich erfolgen.
- Erwägungsgrund / Präambel (58) verdeutlicht:
Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist. Dies gilt insbesondere für Situationen, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden, wie etwa bei der Werbung im Internet. Wenn sich die Verarbeitung an Kinder richtet, sollten aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann.
- Verständlich hat jedoch gravierende Auswirkungen bei mehrsprachigen Auftritten.
- Indirekt geht aus der DS-GVO hervor, dass man dann in jeder Sprache die eigenen Datenschutzregeln veröffentlichen muss.
- Übersetzen Sie auf keinen Fall selbst die deutschen Texte einfach in eine Fremdsprache, es sei denn Sie sind Muttersprachler und / oder Fachübersetzer jener Sprache. Und selbst dann sollten Sie unbedingt die jeweilige Sprachfassung der europäischen Datenschutz-Grundverordnung zu Rate ziehen, um die korrekten Worte zu verwenden.
- Verwenden Sie auf keinen Fall automatische Übersetzungsdienste wie Google Translate etc. Im besten Fall ist der resultierende Text unverständlich. Im schlimmsten Fall rechtlich falsch.
- Allerdings müssen Sie auch keine Rücksicht auf Ausländer oder Migranten etc. nehmen. Sofern Sie z.B. einen deutschen Auftritt betreiben, reicht eine deutsche Datenschutzerklärung. Es ist das Problem des Nutzers, sich entsprechende Deutschkenntnisse anzueignen, um Ihren Text zu verstehen.
- Ferner müssen Sie auch nicht jeden technischen oder rechtlichen Ausdruck erklären. Man darf eine gewisse (Internet-) Bildung und Grundwissen voraussetzen - zumindest bei Erwachsenen.
- Es wird auch keine einfache Strukturierung durch Überschriften gefordert. D.h. Sie können alles auch als gefürchteten langen Text in mäßig großer Schrift in langen Absätzen darstellen.
- Dennoch empfehle ich dringend, dies nicht zu übertreiben. Erstens kann jeder Nutzer mit der STRG und +Taste die Schrift im Browser vergrößern und zweitens könnte ein Gericht dies dann doch anders bewerten.
- Persönlich neige ich dazu, (mir) wichtige Dinge mit Überschriften zu strukturieren. Insbesondere gilt dies für die neu geforderten und von Abmahnern untersuchten Dinge wie
- Seitenbetreiber und Verantwortlicher für den Datenschutz
- Rechte des Nutzers
- Ferner kann ich so das gefürchtete Thema Kinder / Jugendliche hervorheben, sodass es zweifelsfrei von jedem erkannt werden kann.
- Ansonsten darf man Überschriften in der Datenschutzerklärung auch verwenden, um auf positive eigene Aspekte hinzuweisen, wie eigene hohe Sicherheitsstandards oder allgemein als schädlich angesehene Dinge, die man selbst nicht verwendet.
Reihenfolge der Inhalte
Auch die Reihenfolge der Inhalte ist nicht geregelt.
Umfang der Inhalte
- Die Inhalte selbst sind - wie oben geschildert - nur im Mindestumfang geregelt.
- Sie dürfen also durchaus mehr einfügen, was die meisten Firmen übrigens zu sogenannten vertrauensbildenden Maßnahmen nutzen.
Einleitung
Das in diesem Kapitel aufgeführte ist freiwillig. Bei Gefallen dürfen Sie sich hier gerne etwas aussuchen. Es muss jedoch nichts davon in einer Datenschutzerklärung stehen.
Die meisten Firmen verwenden eine lächerliche, überflüssige, aber zur Einlullung der Nutzer hilfreiche höfliche und rechtlich völlig unverbindliche Einleitung der folgenden Art. Die Schrägstriche / kennzeichnen die üblichen Varianten, aus denen Sie sich das für Sie Passendste zusammenstellen dürfen:
Wir wissen / verstehen, dass Ihnen der sorgfältige Umgang mit Ihren persönlichen Informationen / Daten wichtig ist / am Herzen liegt.
[Ihr Firmenname] nimmt den Schutz personenbezogener Daten sehr ernst.
Liebe Nutzer des Internet-Auftrittes [Ihr Domainname etc.]. Der Betreiber dieses Internet-Auftrittes ist sich bewusst, dass Ihnen der sorgfältige Umgang mit Ihren persönlichen Informationen wichtig ist.
Sehr geehrte Nutzer. Der Betreiber dieses Internet-Auftrittes ist sich bewusst, dass Ihnen der sorgfältige Umgang mit Ihren persönlichen Informationen wichtig ist.
Wenn Sie unsere / [Firmenname-] Dienste verwenden, vertrauen Sie uns Ihre Daten an.
Deshalb schätzen wir Ihr Vertrauen / danken wir Ihnen für Ihr Vertrauen in uns.
Der Betreiber schätzt deshalb Ihr Vertrauen, das Sie ihm für den gewissenhaften Umgang mit Ihren persönlichen Informationen entgegenbringen.
Der Schutz Ihrer Daten ist uns sehr wichtig.
Deshalb möchten wir, dass Sie wissen, wann wir welche Daten speichern und wie wir sie verwenden.
Der Schutz Ihrer persönlichen Daten hat für uns einen hohen Stellenwert. Es ist uns deshalb wichtig, Sie darüber zu informieren, welche persönlichen Daten wir erfassen, wie wir diese verwenden und welche Gestaltungsmöglichkeiten Sie dabei haben. Dieser Datenschutzhinweis gibt Ihnen Antworten auf die wichtigsten Fragen.
Wir versichern / Der Betreiber dieses Internet-Auftrittes versichert Ihnen, (sehr) gewissenhaft mit diesen Informationen umzugehen.
Dann folgt ein fast überall zu findender ähnlicher Satz:
Mit dieser Erklärung zum Datenschutz geben Sie dem Betreiber Ihr Einverständnis, Ihre nachstehend aufgeführten personenbezogenen Daten zu den hier genannten Zwecken zu erheben, zu verarbeiten und zu nutzen.
Mit dieser Erklärung geben Sie uns / [Ihr eigener Firmenname] / dem Betreiber dieses Internet-Auftrittes Ihr Einverständnis / Einwilligung / das Recht dafür, Ihre nachstehend / im Folgenden aufgeführten personenbezogenen Daten zu den hier genannten Zwecken erheben, verarbeiten und nutzen zu dürfen.
- Dies ist rechtlich gesehen natürlich Unsinn, da der Nutzer weder durch das reine Vorhandensein solch eines Satzes noch durch Lesen dieses Satzes einer Datenverarbeitung seiner Personendaten zustimmt, sondern nur durch eine aktive Handlung - einen Klick auf einen Schalter, der wiederum von Ihnen (z.B. in einer Datenbank) protokolliert werden muss.
Dann findet sich meist auch sofort ein Zusatz der Art:
Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
- Dieser letzte Punkt ist zwar sehr wichtig (Widerruf), kann jedoch auch an anderer Stelle stehen.
- Da sich diese Sätze fast überall wörtlich so finden, erhält man den Eindruck, dass die meisten Firmen einen Mitarbeiter zu demselben Seminar geschickt hätten. Das ist so nicht erforderlich.
Andere Einleitungen lauten z.B.:
In dieser Datenschutzerklärung erfahren Sie, welche Daten von uns erfasst werden, zu welchen Zwecken wir die Daten erfassen und was wir mit den erfassten Daten machen.
Diese Datenschutzbestimmung erläutert, welche persönlichen Daten wir / [eigener Firmenname] durch Interaktionen mit Ihnen oder durch unsere Produkte von Ihnen erhebt / erheben und wie wir diese Daten verwenden.
- Sie dürfen auch darauf hinweisen, dass Sie alle Vorschriften einhalten:
Der Betreiber dieses Internet-Auftrittes beachtet alle Vorschriften des europäischen Datenschutzes gemäß der Datenschutz-Grundverordnung DS-GVO (= General Data Protection Regulation GDPR) sowie des deutschen Bundesdatenschutzgesetzes (BDSG). Hierzu wurden geeignete technische und organisatorische Maßnahmen getroffen.
Wir haben technische und organisatorische Maßnahmen getroffen, die sicherstellen, dass die Vorschriften über den Datenschutz sowohl von uns als auch von externen Dienstleistern beachtet werden.
Zum Schutz Ihrer Daten vor unberechtigtem Zugriff und Missbrauch haben wir umfangreiche technische und betriebliche Sicherheitsvorkehrungen nach deutschem Recht getroffen.
- Das ist ebenso nichtssagend, weil selbstverständlich. Aber Sie dürfen die beiden erwähnten Rechtstexte (DS-GVO und BDSG) sogar verlinken. Wer jemals diese Originaltexte komplett gelesen hat, hat sich durch einen dicken Roman durchgearbeitet. Kurzum: Das tut sich heute kaum jemand mehr an. - Wer etwas gegen Sie als Firma unternehmen will, soll vorab durchaus einen Eindruck davon bekommen, worauf er sich einlässt.
- Als dreist empfinden viele Nutzer abschließende Sätze der Einleitung wie:
Bitte nehmen Sie sich einen Augenblick Zeit, um sich mit unseren Praktiken zum Schutz der Persönlichkeitsrechte vertraut zu machen...
, worauf dann seitenlanger kleingedruckter Fließtext folgt.
Hauptteil
Danach folgen in völlig freier Reihenfolge die von der europäischen Datenschutz-Grundverordnung (DS-GVO) sowie dem Bundesdatenschutzgesetz geforderten Punkte, welche unbedingt vorhanden sein müssen.
Kennzeichnungspflicht
- Gemäß Art. 13 DS-GVO (1) a) muss der Betreiber sich selbst kenntlich machen.
- Man kann dies als einen Satz formulieren und ggf. durch eine Überschrift hervorheben:
- Seitenbetreiber und Verantwortlicher für den Datenschutz
- Max Mustermann, Teststraße 4, 12345 Beispielort.
- Sie dürfen die E-Mail-Adresse dazuschreiben. Das empfehle ich, ist jedoch nicht gefordert.
- Sie dürfen selbstredend mehr hinschreiben, wie Telefon- und Faxnummer etc. Das empfehle ich nicht, und es ist auch nicht gefordert.
Datenerhebung
Sie müssen für jede Gruppe von Daten / jeden Anwenderfall kennzeichnen, welche Daten Sie erheben, wozu und auf welcher Gesetzesgrundlage.
Beginnen wir mit den E-Mails und Kontaktformularen, die sich m.E. auf jedem Internet-Auftritt befinden:
- Hier dürfen Sie sich das für Sie Passende in den Varianten (mit / gekennzeichnet) aussuchen. Aber eigentlich benötigen Sie jeden der folgenden Punkte. Denken Sie zumindest an die Erfüllung aller Regeln: Jeden Einzelfall, die Angabe welcher Daten, wozu, Gesetzesgrundlage, was passiert, wenn jemand sich weigert, Speicherfristen.
Der Betreiber erhebt Daten gemäß Art. 6 DS-GVO Rechtmäßigkeit der Verarbeitung 1.a). Dies betrifft unter anderem das Kontaktformular und E-Mails.
Sofern innerhalb dieses Internet-Angebotes die Möglichkeit zur Eingabe persönlicher oder geschäftlicher Daten (z.B. E-Mail-Adresse, Namen, Anschriften im Kontaktformular) besteht, so erfolgt die Preisgabe dieser Daten seitens des Nutzers auf ausdrücklich freiwilliger Basis, und der Nutzer stimmt mit Absenden der Nachricht der Verwendung der dort eingetragenen Daten zur Beantwortung der Anfrage zu.
Die Daten des Kontaktformulars werden nicht in einer Datenbank gespeichert, sondern nur als reine Textdatei als E-Mail an den Betreiber gesandt / werden zur weiteren Bearbeitung in einer Datenbank gespeichert.
Alle in diesem Zusammenhang übermittelten Daten werden ausschließlich zum Zwecke Ihrer Anfrage / Ihres Anliegens verwendet.
Es findet keine weitere Nutzung der damit in Zusammenhang stehenden Daten statt. / Eine weitere Nutzung findet nur im Zusammenhang mit Ihrem Anliegen / Ihrer Anfrage statt.
Der Betreiber dieses Internet-Auftrittes verarbeitet Ihre Personendaten nicht weiter / verarbeitet Ihre Personendaten nur im Zusammenhang Ihrer Anfrage weiter.
Der Betreiber dieses Internet-Auftrittes gibt keine Personendaten an Dritte weiter noch leitet er sie ins Ausland, es sei denn, staatliche Sicherheitsbehörden verlangen aufgrund der Rechtslage oder richterlicher Beschlüsse dies. / Der Betreiber dieses Internet-Auftrittes gibt Personendaten an Dritte / Dienstleister weiter, sofern es zur Beantwortung Ihre Anfrage erforderlich ist.
- Oder ziemlich vage:
Ihre Daten werden in Deutschland verarbeitet. Im gesetzlich zulässigen Rahmen findet die Datenverarbeitung auch im europäischen und außereuropäischen Ausland statt.
Die Anfrage und damit zusammenhängende Personendaten werden nur solange gespeichert, wie sie zur Antwort benötigt werden, und spätestens gemäß den gesetzlichen Fristen gelöscht.
- Sie dürfen als Betreiber gewisse Daten auch schneller löschen und dies auch mitteilen, um viele Anfragen durch eine Negativauskunft (Keine Daten vorhanden) zu beschleunigen:
Zur Erfüllung der Forderung nach Datenminimierung (früher: Datensparsamkeit) behält sich der Betreiber vor, Anfragen sofort zu löschen. Auch dem Betreiber unaufgefordert zugesandte Daten werden sofort gelöscht.
Selbstverständlich dürfen Sie sich weigern, die z.B. im Kontaktformular geforderten Angaben zu machen. In diesem Fall wird es uns allerdings vielfach nicht möglich sein, Sie über unsere Produkte oder Leistungen zu informieren oder Ihre Anfragen zu beantworten. / Dies führt jedoch dazu, dass diese Anfrage dann auch nicht abgeschickt resp. bearbeitet oder beantwortet wird. / Dies führt jedoch dazu, dass wir die Anfrage ggf. nicht vollständig bearbeiten können und es zu Rückfragen kommen kann, welche die Bearbeitung Ihre Anfrage erheblich verzögern können.
Auch der letzte Satz ist wichtig und gefordert. Sie müssen nun bei jeder Aufnahme von Personendaten deutlich machen, was geschieht, wenn der Nutzer sie verweigert.
Kommen wir nun zu den direkt kommerziell genutzten Daten:
- Hier dürfen Sie sich ebenso das für Sie Passende in den Varianten (mit / gekennzeichnet) aussuchen. Aber eigentlich benötigen Sie jeden der folgenden Punkte. Denken Sie zumindest an die Erfüllung aller Regeln: Jeden Einzelfall, die Angabe welcher Daten, wozu, Gesetzesgrundlage, was passiert, wenn jemand sich weigert, Speicherfristen.
Sofern sich Personen oder Firmen mit einem Auftrag / einer Bestellung an uns / den Betreiber / [Ihr Firmenname] wenden, um Dienstleistungen zu nutzen / Waren zu bestellen, so erfolgt die Verarbeitung der Daten im Sinne der Erfüllung des Vertrags, dessen Vertragspartei die betroffene Person ist, oder die Daten sind zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. Siehe Art. 6 DS-GVO Rechtmäßigkeit der Verarbeitung 1.b). Ferner ist dann die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen erforderlich, denen der Seitenbetreiber unterliegt (z.B. Steuerrecht). Siehe Art. 6 DS-GVO Rechtmäßigkeit der Verarbeitung 1.c). Überdies greift dann Art. 6 DS-GVO Rechtmäßigkeit der Verarbeitung f): Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen ... erforderlich.
Nach dem Ende Ihres Auftrages / Abonnements entstehen gesetzliche Aufbewahrungspflichten aus dem Steuerrecht. Danach ist der Betreiber / sind wir verpflichtet, entsprechende Nachweise 10 Jahre aufzubewahren. Die Aufbewahrungsfrist beginnt mit dem Ende / Schluss des Kalenderjahres.
Bei Aufträgen erhebt der Betreiber und verwendet personenbezogene Daten eines Nutzers soweit diese Daten für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen ihm als Dienstleister / Lieferanten / Produzenten und dem Nutzer über die Nutzung der angebotenen Dienstleistungen / Waren erforderlich sind. Der Betreiber erfasst dann folgende Daten: Vorname, Nachname, ggf. Firmenname, Straße, Hausnummer, Postleitzahl, Ort, Land, Ihre E-Mail-Adresse, Vertragsdaten [... ggf. weitere Daten wie Telefon, Telefax, Bank-/Kontodaten etc. angeben]. Diese Daten werden beim Betreiber nur für die Abwicklung des Vertragsverhältnisses genutzt und nach Ablauf des Vertragsverhältnisses gelöscht, sobald die gesetzlichen Fristen dies erlauben.
Bei Kunden erheben und verwenden wir mehrere personenbezogene Daten, soweit diese Daten für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen uns aus Auftragnehmer und Ihnen als Kunden für das Vertragsverhältnis erforderlich sind. Wir erfassen dann u.a. folgende Daten: Anrede / Titel, Vorname, Nachname, ggf. Firmenname, Straße, Hausnummer, Postleitzahl, Ort, Land, Ihre E-Mail-Adresse, Telefon, ggf. Telefax, Bank-/Kontodaten, Vertragsdaten [ggf. auch Autokennzeichen, Schiffskennzeichen, Flugzeugnummern etc.]. Diese Daten werden bei uns nur für die Abwicklung des Vertragsverhältnisses genutzt und nach Ablauf des Vertragsverhältnisses gelöscht, sobald die gesetzlichen Fristen es erlauben.
Pflichtfelder sind mit einem * Stern gekennzeichnet.
- Dieser Hinweis ist nicht erforderlich, wenn alle Felder Pflichtfelder sind. - Selbstverständlich dürfen Sie sich weigern, die zu einem Vertragsschluss erforderlichen Angaben zu machen. Dies führt jedoch dazu, dass dann auch kein Vertrag zustande kommt.
Bei gemischten Feldern als Zusatz erforderlich: Bei Feldern ohne Stern handelt es sich um Zusatzinformationen, welche Sie ohne Einfluss auf die Vertragsentstehung verweigern dürfen, die uns jedoch ggf. schnelle Rückfragen erlauben und somit den Auftragsprozess in Ihrem Sinne beschleunigen.
Diesbezügliche Daten werden auf einem besonders geschützten Offline-Rechner gelagert. / Diesbezügliche Daten werden auf einem / mehreren besonders geschützten dezentralen Online-Systemen gelagert.
Keinerlei Kundendaten werden vom Betreiber an Dritte weitergegeben oder ins Ausland geleitet, es sei denn, staatliche Sicherheitsbehörden verlangen aufgrund der Rechtslage oder richterlicher Beschlüsse dies.
/ Kundendaten werden von uns an Finanzdienstleister zur Vertrags-Abwicklung weitergeleitet.
/ Kundendaten (u.a. Ihre kompletten Adressdaten) werden von uns ferner an Logistikpartner weitergeleitet, damit Ihnen die bestellte Ware zugestellt werden kann.
In bestimmten Fällen sind wir gesetzlich verpflichtet, Daten an eine anfragende staatliche Stelle zu übermitteln. Darüber hinaus geben wir keine Daten an Dritte weiter, es sei denn, Sie haben ausdrücklich eingewilligt / uns damit beauftragt / dazu bevollmächtigt.
- Falls Sie eigene Schutzmaßnahmen auf dem Internet-Auftritt durchführen, so sollten Sie dies angeben:
Der Betreiber schützt sein Kundensystem (Login in Ihre Bestelldaten etc.) vor Hackerangriffen und ähnlichem Missbrauch durch Protokollierung der Nutzung, gemäß Art. 6 DS-GVO Rechtmäßigkeit der Verarbeitung f): Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen ... erforderlich, sowie Art. 6 DS-GVO Rechtmäßigkeit der Verarbeitung 1.b) zur Erfüllung rechtlicher Verpflichtungen, denen der Seitenbetreiber unterliegt. Jene Daten werden nach regelmäßigen Kontrollen gelöscht, sobald die gesetzlichen Fristen dies erlauben.
Zur Missbrauchserkennung protokollieren wir Zugangsdaten zu unseren geschützten Bereichen gemäß Art. 6 DS-GVO Rechtmäßigkeit der Verarbeitung f): Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen ... erforderlich, sowie Art. 6 DS-GVO Rechtmäßigkeit der Verarbeitung 1.b) zur Erfüllung rechtlicher Verpflichtungen, denen wie unterliegen. Jene Daten löschen wir nach regelmäßigen Kontrollen, sobald die gesetzlichen Fristen dies erlauben.
Für Zwecke der Datensicherheit, insbesondere zur Abwehr von Angriffsversuchen, erheben wir Zugangsdaten zu unseren Systemen. ...
- Manche Firmen geben auch ganz pauschal an:
Wir bewahren personenbezogene Daten solange wie notwendig auf, um die in dieser Datenschutzrichtlinie beschriebenen Zwecke zu erfüllen, soweit nicht eine längere Aufbewahrungsfrist durch Gesetze verlangt oder erlaubt ist.
Vager geht es kaum noch, ist aber zulässig.
- Fotografen und Videografen sollten beachten, dass Fotos und Filme neben Rechten am Bild des Aufgenommenen etc. auch datenschutzrelevant sind und folglich angegeben werden müssen.
Rechte des Nutzers / Kunden
Sie müssen nun explizit auf die Rechte der Nutzer und Kunden durch die DS-GVO hinweisen, wobei 3 Gruppen wichtig sind und alle schriftlich erwähnt werden müssen:
Sie haben ein Recht auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten, sowie auf Berichtigung, auf Löschung, auf Einschränkung der Verarbeitung, und ein Widerspruchsrecht gegen die Verarbeitung, sowie ein Recht auf Datenübertragbarkeit.
Oder:
Für jeden Nutzer besteht ein Recht auf Auskunft seitens des Verantwortlichen / Betreibers über die betreffenden personenbezogenen Daten, sowie auf Berichtigung, auf Löschung, auf Einschränkung der Verarbeitung, und ein Widerspruchsrecht gegen die Verarbeitung, sowie ein Recht auf Datenübertragbarkeit.
- Oder etwas einschränkender und ausführlicher:
Sofern die entsprechenden gesetzlichen Voraussetzungen vorliegen, besteht für jeden Nutzer ein Recht auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten, sowie auf Berichtigung (Artikel 16 DS-GVO), auf Löschung (Artikel 17 DS-GVO), auf Einschränkung der Verarbeitung (Artikel 18 DS-GVO), und ein Widerspruchsrecht gegen die Verarbeitung (Artikel 21 DS-GVO), sowie ein Recht auf Datenübertragbarkeit (Artikel 20 DS-GVO).
- Manche Stimmen behaupten, dass das Recht auf Widerspruch besonders optisch (z.B. Fettdruck, Umrahmung) hervorgehoben werden soll. Erwägungsgrund / Präambel 70 lautet:
Die betroffene Person sollte ausdrücklich auf dieses Recht hingewiesen werden; dieser Hinweis sollte in einer verständlichen und von anderen Informationen getrennten Form erfolgen.
Aber das betrifft dort eher Direktwerbung und Profiling. Artikel 21 legt explizit zum Widerspruchsrecht nur fest: dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.
- Also eigentlich sollte ein eigener Absatz ausreichen.
Für jeden Nutzer besteht ein Recht auf Widerruf der Genehmigung zur Verwendung für alle jemals gegebenen Daten, mit Wirkung für die Zukunft.
- Oder:
Sie haben ein Recht auf Widerruf der Genehmigung zur Verwendung für alle jemals gegebenen Daten, mit Wirkung für die Zukunft.
- Oder:
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
- Oder:
Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
Ferner besteht ein Beschwerderecht bei einer Aufsichtsbehörde (Artikel 17 DS-GVO). In [Ihr Bundesland] ist dies z.B. der Landesbeauftragte für den Datenschutz und die Informationsfreiheit [Ihr Bundesland].
(Dazu dürfen Sie das auch zu jener Stelle verlinken).
- Den letzten Punkt dürfen Sie auch ganz ausführlich gestalten, indem Sie dessen gesamte Daten angeben.
Der / Die Landesbeauftragte für den Datenschutz [Ihr Bundesland]
Straße #
PLZ Ort
Telefon: +49 (Vorwahl) Telefonnummer
Telefax: +49 (Vorwahl) Telefaxnummer
E-Mail: ###@###.[bundesland].de
Internet-Auftritt / Website: https://www.###.de
Da diese drei Punkte zentral und neu sind, empfehle ich hier eine Überschrift der Art: Ihre Rechte / Rechte des Nutzers / Ihre Rechte als Nutzer / Ihre Rechte als Kunde
(etc.).
Kinder / Jugendliche
Privat können Kinder und Jugendliche ein Quell der Freude sein. Als Nutzer sowie Kunden sind sie jedoch problematisch und in Punkto Datenschutz wirklich riskant.
Unter einer Überschrift zu Kinder / Jugendliche
sollten Sie Ihre Standpunkte unmissverständlich klar machen.
Falls Sie keine Kinder als Nutzer wünschen:
Der Betreiber dieses Internet-Auftrittes wendet sich ausdrücklich nur an Volljährige.
Der Betreiber dieses Internet-Auftrittes ermuntert Erziehungsberechtigte nachdrücklich, die Online-Aktivitäten ihrer Kinder zu begleiten.
Personen unter 18 Jahren sollten ohne Zustimmung der Eltern oder Erziehungsberechtigten keine personenbezogenen Daten an den Betreiber übermitteln.
Kinder und Jugendliche sollen sich ferner bitte ausschließlich über einen Erziehungsberechtigten mit dem Betreiber dieser Seite in Verbindung setzen.
Der Betreiber fordert keine personenbezogenen Daten von Kindern oder Jugendlichen an, sammelt diese nicht und gibt sie auch nicht an Dritte weiter.
Falls Sie sich speziell an Kinder und Jugendliche als Nutzer wenden, ...
- sollten Sie den Rat von dafür spezialisierten Juristen suchen. Der Haken liegt in den Details, die z.B. ganze Produkte / Dienstleistungen für diese Zielgruppen bereits kategorisch ausschließen und andere einschränken.
- sollten Sie dann wirklich nur ganz wenige Daten von dieser Zielgruppe erheben.
- muss dann die Sprache der Datenschutzerklärung für diese Zielgruppe nochmals einfacher sein.
Sonderfälle
Cookies
Generell gilt bei Cookies das Verbot mit Erlaubnisvorbehalt. D.h.: Der Nutzer im Internet muss einwilligen.
Grundsätzlich muss man mehrere Arten und Anwendungen von Cookies unterscheiden:
- Cookies zur Sitzungsverwaltung (auch Session-Cookies genannt) und den Warenkorb (auch Transaktionen, Transaktions-Cookies genannt).
- Jedem Anwender dürfte nach einem Login-Formular klar oder zumindest erklärbar sein, dass seine Daten irgendwie verwaltet werden müssen. Dies geschieht mit Cookies. D.h. jeder, der sich z.B. in ein Forum einwählt, in seine Kundendatei bei einem Shop, oder in ein Online-Abonnement muss irgendwie verwaltet werden. Dies geschieht mittels Cookies resp. mittels Sessions-IDs, welche aber auch wieder in Cookies gespeichert werden.
- Des Weiteren dürfte auch jedem Nutzer eines Online-Shops einleuchten, dass man seine Waren, welche er in den Warenkorb legt, irgendwie verwalten muss, nämlich mit Cookies.
- Diese Fälle kann man somit leicht erklären, was Sie in Ihrer Datenschutzerklärung tun sollten.
Nur innerhalb des geschlossenen, mit Login geschützten internen Bereichs werden Session-IDs zur reinen Sitzungsverwaltung verwendet. Bei eingeschalteten Cookies im Browser wird automatisch ein temporäres Cookie erzeugt, der nach der Sitzung wieder gelöscht wird / ein dauerhaftes Cookie erzeugt, der bis zu # Tagen aktiv bleibt.
Falls Sie Cookies im Browser deaktiviert haben, wird eine Session-ID (eine lange Zeichenfolge) an die URL gehängt. In den internen - nur mit Passwort und Benutzerkennung zugänglichen - Bereichen funktionieren die Inhalte nur mit im Browser aktivierten Cookies.
Auch in unserem Warenkorb im Shop funktioniert die Einkaufsfunktion nur mit eingeschalteten Cookies. Sind diese in Ihrem Browser deaktiviert, können Sie keine Waren einkaufen.
- Sie müssen nun den Zusatz über die Folgen bei ausgeschalteten Cookies erwähnen.
- Die meisten Betreiber weisen dann noch mehr oder weniger ausführlich darauf hin, was Cookies sind, und dass von Ihnen keine direkten Gefahren ausgehen. Es ist als vertrauensbildende Maßnahme möglich, aber nicht gefordert. Dann finden sich oft Sätze wie:
Bei Cookies handelt es sich um kleine Textdateien, die lokal im Zwischenspeicher des Internet-Browsers des Seitenbesuchers gespeichert werden. Die Cookies ermöglichen die Wiedererkennung des Internet-Browsers.
Cookies sind kleine Textdateien, die auf Ihrem Computer gespeichert werden. Damit kann erkannt werden, welche Webseiten Sie vom gleichen Computer aus wiederholt besuchen.
Bei Cookies handelt es sich um spezifische Identifikationszeichen, die wir auf die Festplatte Ihres Computers oder sonstige Endgeräte übertragen, damit unsere Systeme Ihr Gerät wiedererkennen und Ihnen (besondere) Funktionen zur Verfügung stellen können.
Cookies sind kleine Textstücke, die zum Speichern von Informationen in Webbrowsern verwendet werden. Cookies werden verwendet, um Kennungen und sonstige Informationen auf Computern, Telefonen und anderen Geräten zu speichern bzw. zu erhalten.
Diese obigen Varianten kann man in der Datenschutzerklärung einfach und schnell behandeln.
Ferner reicht ein kurzer textlicher Hinweis darauf (mit Link zur Datenschutzerklärung) bei der ersten Seite, welche derartige Cookies verwendet: Das ist i.d.R. die Login-Seite mit der Eingabemaske für Benutzerkennung und Passwort. - Sie müssen die Nutzer vor der ersten Nutzung von Cookies darauf aufmerksam machen.
Daneben finden sich jedoch sogenannte Tracking- und Tracing-Cookies (auch persistente Cookies genannt, da sie lange - teilweise über Jahre - erhalten bleiben).
- Wie der Name bereits sagt, handelt es sich um eine eineindeutige Kennzeichnung des Nutzers, welche eine systematische Verfolgung des Nutzers erlaubt.
- Zur Klarstellung vorab: Mir ist schleierhaft, warum Internet-Betreiber (Organisationen, Firmen, Parteien, Vereine, Privatleute etc.) dies tun. Alle meine Analysen ergaben einen minimalen Nutzen der oft noch nicht einmal solide ausgewerteten Roh-Daten, welche einem hohen Aufwand auf Seiten der Technik, Kosten und Anforderungen des Datenschutzes gegenüberstehen.
- Angesichts heute weit verbreiteter Abwehrmaßnahmen seitens der Nutzer, welche Tracking / Tracing im Browser bereits abgeschaltet haben, Cookies regelmäßig beim Ausschalten des Browsers löschen, Plug-ins installiert haben, welche Cookies sogar in Echtzeit (also während der Sitzung) ständig löschen, sperren, mit anderen Nutzern tauschen etc., sind die meisten so gewonnenen Daten sowieso wertlos.
- Die vorgeschobene Behauptung, dass man damit die eigenen Seiten angeblich erheblich leichter verbessern könnte, ist somit blanker Unsinn. Das könnten Sie mit einfachen (anonymisierten) Logfiles, welche nur die Seitenzugriffe festhalten, ebenso gut. Sie müssten diese kostenlosen Daten nur einmal auswerten. Letztere anonymisierten Daten sind im Übrigen erlaubt. Man spricht hierbei von einem Privacy-by-design-Ansatz / data protection by design = Erwägungsgrund (78). - Dabei lautete die IP-Adresse dann immer 0.0.0.0.
- Aber selbst das renommierte staatliche BSI verwendet derartige Überwachungs-Cookies und gibt dazu die lächerliche Begründung:
Hinweis zur Verwendung von Cookies Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.
Deshalb dürfen Sie es auch.
- Jetzt - mit der Umsetzung der DS-GVO - bietet sich Ihnen noch einmal die Gelegenheit, die Sinnhaftigkeit derartiger Maßnahmen zu überlegen.
- Falls Sie dennoch derartige Verfolgungs-Cookies verwenden wollen, dann werden die Anforderungen aus Sicht des Datenschutzes sehr hoch.
- Sie müssen in Ihrer Datenschutzerklärung auf die Verwendung hinweisen.
Durch Cookies wird uns / dem Betreiber ermöglicht / Cookies erlauben uns, eine Analyse der Benutzung der Webseite / des Internet-Auftrittes durchzuführen. Das Ziel ist / der Zweck besteht in der Optimierung / Verbesserung unseres Internet-Auftrittes / unserer Website / unserer Seiten / unserer Seiteninhalte / unserer Produkte.
- Noch gravierende ist der Umstand, dass die DS-GVO fordert, der Nutzer muss vor der ersten Nutzung von Cookies dies erfahren und ablehnen können.
- Eigentlich macht dies jeden derartigen Auftritt zur Sperrzone mit vorgeschalteter Frageseite. Da man diese unhaltbare Problematik erkannt hat, reicht nun ein Hinweis, auf der ersten Seite des eigenen Auftrittes, welche der Nutzer besucht.
Stellen Sie sich das technisch jedoch nicht zu einfach vor. Es ist jede Seite als erste Seite / Eingangsseite zu behandeln, da über die Suchmaschinen ein Nutzer quer einsteigen kann.
- Deshalb finden Sie nun auf vielen Auftritten diese unten oder oben angebrachten störenden Balken, welche auf die Cookies hinweisen:
Wir verwenden Cookies, die es uns ermöglichen, die Benutzung der Webseite zu analysieren. ... Durch die Nutzung unserer Webseite stimmen Sie der Nutzung von Cookies zu.
Danach folgt ein Schalter OK
oder ähnlich.
Diese Website verwendet Cookies für Analysen, personalisierte Inhalte und Werbung. Indem Sie diese Website nutzen, erklären Sie sich mit dieser Verwendung einverstanden. Erfahren Sie mehr
- Andere blenden einen hohen / breiten Balken ein, in welchem sie auf ihre gesamten Datenschutzbestimmungen hinweisen, in denen sich dann versteckt auch die Hinweise zu Cookies befinden.
- Andere schreiben ziemlich dreist:
Auch wir verwenden Cookies - das ist nichts Schlimmes. Sie erleichtern die Benutzung der Seite. Mehr erfahren.
- Dieser Klick auf den Schalter OK muss protokolliert werden, d.h. in einer geschützten Datenbank als Beleg der Zustimmung des Nutzers gespeichert werden.
- Ferner müssen Sie in der Datenschutzerklärung angeben, was passiert, wenn der Nutzer Cookies ablehnt:
Eine Nutzung dieses Internet-Auftrittes / unserer Angebote ist auch ohne Cookies möglich. Die meisten Browser sind so eingestellt, dass sie Cookies automatisch akzeptieren. Sie können das Speichern von Cookies jedoch deaktivieren oder Ihren Browser so einstellen, dass er Sie benachrichtigt, sobald Cookies gesendet werden. Dann können Sie diese Cookies im Einzelfall ablehnen oder zulassen.
Ohne aktivierte Cookies ist es jedoch möglich, dass einzelne Funktionen dieses Internet-Auftrittes nicht mehr voll umfänglich benutzbar sind oder die Benutzungsergonomie sinkt.
- Was leider viele Betreiber nicht wissen, ist, dass sogenannte Echtzeitanalysesysteme - wie z.B. Piwik / Matomo, Google Analytics, etracker, Oracle Maxymiser etc. - nicht nur JavaScript, sondern auch Cookies verwenden.
- Hinzu kommt der Umstand, dass Sie somit als Betreiber Personendaten an Dritte weitergeben und in manchen Fällen sogar ins Ausland leiten. Dies müssen Sie angeben und für das Ausland eigene Garantien bereitstellen.
In jenen Hinweisbalken und der Datenschutzerklärung müssen Sie dann auch weitere Angaben machen:
- Sie können / Du kannst die Verwendung der Cookies durch eine entsprechende Einstellung Ihrer / Deiner Browser-Software verhindern. Es kann jedoch sein, dass in diesem Fall nicht sämtliche Funktionen dieser Website / dieses Internet-Auftrittes voll umfänglich nutzbar sind. Nähere Informationen finden Sie / findest Du in der Datenschutzerklärung unter dem Stichpunkt Cookies / Verwendung von Cookies.
Zählpixel, Pixel Tags, Beacons und Webbeacons
Ein weiterer Punkt sind sogenannte Zählpixel:
- Viele Anbieter, wie etwa VG WORT oder Webtrekk GmbH (Messpixel), verwenden derartige Pixel für die Nutzungsauswertung auf fremden Seiten.
- Das Zählpixel (ein sogenanntes Beacon) - i.d.R. eine winzige Grafik (meist nur 1*1 Pixel groß und unsichtbar) - ist dabei datenschutzrechtlich harmlos. Aber oft - jedoch nicht immer - sind damit Cookies verbunden, welche der Drittanbieter dem Nutzer zusendet.
- Die Rechtslage ist unklar, da ja nicht Sie als Betreiber die Cookies verwenden. Sicherheitshalber sollte man jedoch darauf hinweisen. Z.B. in der folgenden Art:
Der Betreiber hat auf einigen Seiten / in einigen Artikeln / Beiträgen Zählpixel der Verwertungsgesellschaft WORT (VG WORT) eingebaut. Diese Zählpixel (winzige unsichtbare Grafiken) werden von der Verwertungsgesellschaft WORT (VG WORT), Rechtsfähiger Verein kraft Verleihung, Untere Weidenstraße 5, 81543 München zur Verfügung gestellt. VG Wort verwendet zusätzlich meist ein Cookie, das als Textdatei auf Ihrem Computer gespeichert wird. Die dadurch ermittelten Daten nutzt nur die VG WORT, um die Anzahl der Seitenabrufe festzustellen. Bitte informieren Sie sich zu den diesbezüglichen Datenschutzbestimmungen bei VG Wort
- Die letzten Worte darf man dann auch dorthin verlinken.
- Je nachdem, wie viele unterschiedliche Drittanbieter Sie besitzen, sollten Sie diese Auskunft für jeden erteilen.
Sehen Sie es locker. Die meisten Nutzer stören sich überhaupt nicht an Cookies. Die Einen wissen nichts davon. Die Anderen besitzen bereits massive Schutzvorkehrungen, welche die Cookies sowieso löschen.
Google Maps
Wer andere externe Dienste wie z.B. Maps von Google verwendet, muss auch hierzu einiges beachten und angeben.
Dieser Internet-Auftritt / Diese Webseite verwendet Google Maps / Google Maps API, um geographische Informationen visuell darzustellen. Bei der Nutzung von Google Maps werden von Google auch Daten über die Nutzung der Maps-Funktionen durch Besucher erhoben, verarbeitet und genutzt. Nähere Informationen über die Datenverarbeitung durch Google können Sie / kannst Du den Datenschutzhinweisen von Google entnehmen. Dort kann ein bei Google eingetragener Nutzer im Datenschutzcenter auch seine Einstellungen verändern, um die Daten zu verwalten und zu schützen.
- Es empfiehlt sich dabei auf jeden Fall ein Link zu den Datenschutzbestimmungen des externen Anbieters.
Social Plugins
Seit über zehn Jahren sind diese Social Plugins bei Facebook, Twitter, Google+ etc. üblich. Aber die meisten Anwender wissen wenig darüber.
Derartige Social Plugins verbergen sich meist hinter dem Link Teilen
, Empfehlen
oder Weiterempfehlen
sowie Seite empfehlen
oder Seite weiterempfehlen
respektive hinter den Grafiken / Logos der sozialen Netzwerke.
De facto handelt es sich um komplexe Verlinkungen zu den externen Anbietern, wobei jene in die Lage versetzt werden, bereits bei Ihnen auf Ihrer Seite extrem umfangreiche Personendaten zu erheben.
- Social Plugins sind laut Urteil des Landgerichtes Düsseldorf vom 09.03.2016 Aktenzeichen 12 O 151/15 nur nach Erlaubnis des Nutzers zulässig.
Dieser Internet-Auftritt / Diese Webseite verwendet mit den "Empfehlen" Buttons am Anfang / Ende jedes Artikels sogenannte Social Plugins von ...
Falls Sie diese anklicken, so kann jener Anbieter erhebliche Personendaten speichern und vor allem miteinander verknüpfen.
Bitte lesen Sie hierzu die jeweiligen Datenschutzbestimmungen bei den jeweiligen Anbietern.
- Es empfiehlt sich dabei auf jeden Fall ein Link je Social Plugin zu den dortigen Datenschutzbestimmungen des jeweiligen externen Anbieters.
- Alles weitere finden Sie in dem aufschlussreichen Artikel von heise Schützen und teilen - Social-Media-Buttons datenschutzkonform nutzen
Kontaktformulare
- Gemäß dem Prinzip der Datenminimierung Art. 5 DS-GVO (1) c), sollten Sie sich Ihre alten Kontakt-Formulare einmal ansehen. Früher hat man sehr oft riesige Formulare erstellt, in denen man pauschal fast alles abfragte.
- Erwägungsgrund / Präambel (39) hält klar fest:
Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein.
- Sofern Sie einen berechtigten Grund dazu haben und wirklich alle Daten / Felder benötigen, so spricht auch weiterhin nichts dagegen.
- Nun müssen Sie jedoch angeben, welche Felder zwangsweise als Pflichtfelder ausgefüllt werden müssen, damit man das Formular absenden kann. Dies geschieht meist mit den üblichen Sternchen und einem erklärenden Text irgendwo in der Nähe des Formulars.
- Um ganz sicherzugehen, sollten Sie wirklich wenig abfragen.
- Für sinnvoll und datenschutzrechtlich vertretbar halte ich Titel / Anrede (z.B. Herr, Frau, Dr. ...), E-Mail-Adresse zum Antworten und ein Feld: Anfragetext.
- Wer als Nutzer mehr möchte, muss dies selbstständig und freiwillig im Anfragetextfeld tun.
- Wer z.B. einen Rückruf wünscht, gibt dann von sich aus seine Telefonnummer an.
- Und wer eine postalische Zusendung von Prospektmaterial wünscht, der muss dann eben auch seine Postanschrift in das große allgemeine Feld der Anfrage eintippen.
- Im Zweifel muss man als Empfänger der Nachricht / des Kontaktformulars nachfragen. Aber dies ist datenschutzrechtlich gesehen sicherer, als pauschal alles vom Anfrager abzufragen, was man jemals benötigen könnte.
Auch ich war hier zuerst skeptisch. Aber die Vorteile überwiegen in der Praxis. Vor allem beim Nachfragen stellt sich nämlich schnell heraus, um welchen Charakter es sich beim Anfragenden handelt. Wer seinen eigenen Fehler erkennt und sich für seien fehlenden erforderlichen Zusatzdaten (z.B. zum Postversand der Broschüre) entschuldigt, wird mit hoher Wahrscheinlichkeit ein guter Kunde werden. Wer hingegen die Schuld unhöflich bei Ihnen sucht, dem brauchen Sie nicht einmal Ihre Werbebroschüre zuzusenden. Sparen Sie sich das Porto für derartige Querulanten.
- Wenn Sie einmal ehrlich die letzte Zeit recherchieren, benötigten Sie mindestens die Hälfte der erhobenen Daten meist nicht.
- Sie müssen textlich vor dem Absenden-Schalter auf Ihren Datenschutz hinweisen.
Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln
Art. 12 DS-GVO (1). Auch in Art. 21 DS-GVO (4) steht: dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.
- Erwägungsgrund / Präambel (13) hält klar fest:
Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.
- Ein eigener Absatz mit einfachem Text vor dem Schalter Absenden etc. sollte ausreichen:
Mit Betätigen des Schalters "Absenden" stimme ich der Nutzung meiner persönlichen Daten im Sinne der Datenschutzbestimmungen dieses Internet-Auftrittes zu.
- Siehe z.B. mein Kontaktformular.
- Ein zusätzliches Kästchen zum Abhaken für die Anerkennung des Datenschutzes halte ich persönlich nicht für erforderlich, sofern es sich um ein einfaches Kontaktformular handelt, das nur der Kontaktaufnahme dient. Denn jede derartige Einwilligung muss laut DS-GVO protokolliert werden. Dies kann sinnvoller Weise nur mit einer Datenbank mit mindestens vier Feldern geschehen (E-Mail-Adresse, Anfrage und Einwilligung in die Datenschutzerklärung, Datum mit Uhrzeit und ggf. IP sowie Betriebssystem sowie Browser-Kennung etc.). Diese zusätzliche Datenerhebung widerspräche jedoch dem eigenen Grundsatz der DS-GVO - der Datenminimierung. Ferner handelte es sich für die meisten kleinen Firmen um einen unverhältnismäßigen zusätzlichen Aufwand und wieder um ein eigenes Datenschutzproblem. Und selbst das würde nicht ausreichen, denn die Daten könnten falsch sein (E-Mail-Adressen, Postadressen, Namen und selbst Telefonnummern finden sich überall. D.h. im Grunde erhält man eine Gewissheit, dass der Absender eingewilligt hat, nur durch das weiter unten beschriebene Verfahren des Double-Opt-In: Der Absender müsste zuerst eine E-Mail erhalten und diese bestätigen, bevor er das Kontaktformular absenden könnte. Das wäre jedoch völlig unpraktikabel.
Bestellformulare / Auftragsformulare
Die Formen sind vielfältig. Deshalb kann man nur pauschale Aussagen machen.
- Keine Felder dürfen mehr vorausgefüllt, vorausgewählt sein.
- Pflichtfelder sind mit einem Stern oder Ähnlichem zu Kennzeichnen und das Symbol (Stern etc.) ist vor dem Formular als Pflichtfeld textlich zu erklären / zu deklarieren.
- Da es sich sowieso in fast allen Fällen um eine hinter dem Formular liegende Datenbank handelt, ist ein weiteres Kästchen mit zu setzendem Haken für die explizite Anerkennung des Datenschutzes aus meiner Sicht erforderlich. Als Text reicht ein einfacher Satz wie der folgende aus:
Ich habe die rechtlichen Informationen über den Datenschutz gelesen und stimme ihnen hiermit zu.
Die rechtlichen Informationen / Bestimmungen zum Datenschutz habe ich zur Kenntnis genommen und akzeptiere sie hiermit.
Aus allgemeinen Beweisgründen - und nun auch zur Erfüllung der Dokumentationspflicht für den Datenschutz - halte ich das Verfahren des Double-Opt-In zumindest für den ersten Auftrag / den ersten Bestellvorgang eines Nutzers für erforderlich:
- Der Absender erhält nach dem ersten Absenden seiner Bestellung etc. eine E-Mail, in welcher auf seine Bestellung etc. explizit hingewiesen wird.
- Darin finden sich zwei Links:
- Ein Link zur Bestätigung der Bestellung etc., falls der Empfänger (mit der angegebenen E-Mail-Adresse) tatsächlich den Auftrag etc. erteilt hat.
- Ein zweiter Link zur Löschung des Vorganges, falls er nicht der Besteller war.
- Nur diese zweifache Bestätigung ist sicher und taugt zur gerichtsverwertbaren Dokumentation im Vertragsrecht und im Datenschutz.
Newsletter / Gewinnspiele
Hierbei werden einzelne Dinge für nur einen einzigen Verwendungszweck abgefragt.
- Auch wenn es nun überbordend klingt: Ich halte für jeden Vorgang die gleichen Anforderungen wie für Bestellformulare und Auftragsformulare für erforderlich. Siehe oben. Also 1 mit Haken zu versehendes Kästchen für den Datenschutz (mit Link dorthin) und das Double-Opt-In-Verfahren.
- Ferner empfiehlt sich für Newsletter ein klarer Hinweis bei der Bestellung, sowie in der ersten und zweiten E-Mail auf die datenschutzrechtliche Einwilligung. Er kann z.B. in der folgenden Art abgefasst sein:
Hiermit willige ich ein, dass [Ihr Firmenname] mich per E-Mail über [Ihre Produkte - je genauer bezeichnet, umso besser] in einem Newsletter informiert. Meine Personendaten werden ausschließlich zu diesem Zweck verwendet. Es erfolgt keine Weitergabe an Dritte. Ich kann die hier gegebene Einwilligung jederzeit per E-Mail über die E-Mail-Adresse [hier die Abbestell-E-Mail-Adresse verlinken], oder per Brief an die Postadresse [hier die postalische Abbestell-Adresse angeben], oder durch Klick auf des in jeder E-Mail / in jedem Newsletter vorhandenen Links zur Abbestellung widerrufen.
Hierbei werden zwei oder mehrere Dinge zusammengefasst. Z.B. wird:
- beim Kontaktformular zusätzlich ein Newsletter angeboten
- beim Bestellformular ein Newsletter angeboten
- beim Gewinnspiel ein Newsletter angeboten
- bei der Bestellung die Einwilligung zur weiteren telefonischen Beratung zusätzlich angeboten.
usw.
Kombinationsformulare bleiben weiterhin erlaubt - wie die DS-GVO im Grunde nichts verbietet, was früher nicht bereits illegal war -, sind jedoch nun datenschutzrechtlich aufwändiger.
- Jeder Verwendungszweck muss klar und deutlich hervorgehen werden.
- Für jeden Verwendungszweck muss klar und deutlich sichtbares ein nicht vorausgewähltes / vorausgefülltes Kästchen zum Abhaken des Datenschutzes vorhanden sein.
- Nochmals: Es ist nun für jeden Verwendungs-Zweck der Daten eine Einzeleinwilligung erforderlich.
- Die zwangsweise Verquickung verschiedener Elemente dürfte von Gerichten vermutlich als unzulässig abgewehrt werden. D.h. man darf vermutlich nicht die Teilnahme an einem Gewinnspiel von einer Zustimmung zur Telefonwerbung abhängig machen.
Verlinkung, Banner, Werbung
Wer (Fremd-) Werbung auf seinen Seiten schaltet, muss nun erklären, was damit passiert.
- Bei einfachen (= passiven) Links und Bannern sind sie auf einer sicheren Seite:
Der Betreiber dieses Internet-Auftrittes verwendet Links und schaltet Werbebanner zu Fremdauftritten. Diese sind lediglich als passive Links gestaltet. D.h. erst mit Klick auf die Links / Banner gelangen Sie auf die Fremdseite, und erst dort können Daten über Sie von jenem Fremdanbieter gespeichert werden. Die jeweilige Zielseite unterliegt jedoch nicht den hiesigen Datenschutzbestimmungen. Falls Sie auf einen solchen Link / Banner klicken, so informieren Sie sich bitte dort über deren Datenschutzregelungen.
- Manche fügen dann noch deutlicher hinzu:
Wir haben keinen Einfluss darauf, dass die Betreiber der verlinkten Seiten die Datenschutzbestimmungen einhalten.
Oder: Bitte beachten Sie, dass nach Verlassen unserer Webseiten die Datenschutzbestimmungen der jeweiligen anderen Internetanbieter greifen und wir keinen Einfluss auf deren Einhaltung haben.
- Bei Partnerprogrammen (wie z.B. Amazon) kann die Sache schon komplexer sein.
- Je nachdem verwendeten technischen Werkzeug - z.B. komplexe Suchmaske des Fremdanbieters (Händlers) auf den eigenen Inhaltsseiten - kann jener Externe bereits dadurch alles im Zusammenhang mit dem Seitenaufruf bei Ihnen lesen und protokollieren. D.h. der Nutzer wird von Dritten abgehört, erhält evtl. sogar bereits ein Cookie jenes Drittanwenders ohne sein Wissen, und auch Sie erfahren davon wenig bis nichts.
- Meiden Sie derart komplexe Werbung oder fragen Sie jenen Werbepartner nach seinen eingesetzten Techniken und Datenschutzbestimmungen.
- Ggf. sollten sie ausführlich darauf hinweisen, ggf. auch darauf, dass Sie (bei zahlreichen High-Tech-Fremdbannern von sogenannten Werbeservern) auf die Details keinen Einfluss haben. z.B.:
Auf manchen / bestimmten / einigen Seiten werden Anzeigen von fremden Unternehmen oder Werbe-Agenturen direkt geschaltet / geliefert. Hier kommen möglicherweise Cookies zum Einsatz, ohne dass der Anbieter / wir Sie darauf hinweisen kann / können.
Interne Suchmaschinen
Zwar sind interne Suchmaschinen selten. Aber meist etwas tückisch bezüglich des Datenschutzes:
- Sofern es sich im Hintergrund um - wie so oft - einen externen Dienstleister handelt, sollten Sie darauf hinweisen. Meist handelt es sich um Firmen in den USA, oder zumindest außerhalb Europas.
- Fraglich und strittig ist und bleibt, ob hier wirklich personenbezogenen Daten aufgenommen werden.
- I.d.R. wird zuerst - wie von jeder Suchmaschine - Ihr eigener Internet-Auftritt von dem externen Dienstleister komplett gescannt und dann indiziert. Das läuft heute völlig automatisch meist binnen Sekunden ab.
- Auf Ihrem Auftritt ist ein Suchfeld in die Navigation integriert und leitet eine Suchanfrage (=Suchwort) als passiven Link an den externen Dienstleister. Bis hierhin ist alles datenschutzrechtlich im absolut grünen Bereich.
- Der Kunde wird jedoch fast immer auf eine Antwortseite des fremden Dienstleisters geleitet - auch wenn diese so gestaltet ist, wie Ihr Internet-Auftritt.
- Rein theoretisch könnte jener externe Dienstleister die üblichen Logdateien nicht anonymisieren oder sogar ein Cookie setzen. Viele Anbieter - wie Google - schalten auch Werbung auf diesen Antwortseiten der Suchanfrage - jedoch meist ausschließlich entsprechend des vom Nutzer eingetippten Suchwortes.
- Zahlreiche Firmen klassifizieren derartige Daten allerdings als
nicht-personenbezogen
.
Wir erheben und speichern gegebenenfalls nähere Angaben darüber, wie Sie unsere Dienste nutzen, unter anderem auch Ihre Suchanfragen. Diese Informationen ermöglichen uns, die Aussagekraft der von unseren Diensten bereitgestellten Ergebnisse zu verbessern. Diese Informationen werden nicht mit Ihrer IP-Adresse verknüpft, außer in seltenen Fällen zur Qualitätssicherung unserer über das Internet bereitgestellten Dienste.
- Persönlich neige ich dazu, den Umstand einer derartigen Suchmaschine sicherheitshalber anzugeben und auf deren eigene Privacy Policy mit Link zu verweisen.
- Z.B.:
Der Betreiber verwendet eine spezielle Suchmaschine für das Suchen und Finden von Inhalten nur auf diesem Auftritt. Diese Suchmaschine wird extern von der US-Firma ### betrieben. Falls Sie diese Suchfunktion freiwillig und aktiv durch Klick auf den Schalter "Suchen" verwenden, so gelangen Sie auf die Ergebnis-Seite / Suchtrefferseite des Betreibers ### in den USA. Bitte informieren Sie sich dann bei ### über die dortigen Datenschutzbestimmungen
(das letzte Wort am besten verlinkt).
- Aber selbst, wenn Sie eine eigene interne Suchmaschine verwenden, sollten Sie angeben, ob und wie Sie diese Suchanfragen auswerten.
Was Sie selbst nicht tun
- Das Folgende ist zwar nicht gefordert, aber sinnvoll in zweierlei Hinsicht: Erstens ist es eine vertrauensbildende Maßnahme zum Datenschutz, und zweitens ersparen Sie sich so sehr viele Anfragen von Querulanten zur DS-GVO.
- Prüfen Sie jedoch zuerst, ob das wirklich im Einzelnen so auf Ihren Auftritt / Ihre Firma zutrifft.
Der Betreiber dieses Internet-Auftrittes erhebt weder Standortdaten / ortsbasierte Daten, noch speichert er solche.
Der Betreiber dieses Internet-Auftrittes verwendet keine unbemerkte Datenübertragung, wie sie z.B. durch Social Plugins, JavaScript etc. durchgeführt werden kann.
Der Betreiber dieses Internet-Auftrittes verwendet weder Session-IDs noch Cookies noch Flash-Cookies.
Der Betreiber dieses Internet-Auftrittes verwendet keine Tracking-Dienste noch erstellt er Nutzungsprofile noch nutzt er solche.
Der Betreiber dieses Internet-Auftrittes verwendet keine Nutzungsauswertung, wie sie z.B. durch Google-Analytics oder andere Echtzeit-Überwachungssoftware bei Besuchern durchgeführt wird.
Der Betreiber dieses Internet-Auftrittes verwendet auch keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4.
Der Betreiber dieses Internet-Auftrittes verwendet weder andere datenschutzrelevante Informationen aus anderen Quellen noch verknüpft er solche Daten mit eigenen datenschutzrelevanten Informationen.
Es findet keine personenbezogene Verwertung der klassischen Logfiles statt. Jeder IP-Zugriff wird automatisch auf 0.0.0.0 anonymisiert. Die statistische Auswertung anonymisierter Datensätze zur Optimierung der eigenen Seiten bleibt vorbehalten.
- ...
SSL HTTPS
Fakten
- Wie alles beim Bundesdatenschutz und der europäischen Datenschutz-Grundverordnung ist auch die Frage nach der Verschlüsselung heftig umstritten.
- Fakt ist: Es finden sich keinerlei Gesetze oder Vorschriften, die SSL oder TLS (Transport Layer Security) oder HTTPS explizit verlangen.
Da Letzteres dennoch immer wieder von interessierten Kreisen behauptet wird, hier einmal die angeblichen Fundstellen, auf die sich diese Mindermeinung bezieht:
- Angeblich ist das Bayerische Landesamt für Datenschutzaufsicht (LDA Bayern) der Ansicht, dass Webseitenbetreiber die Übertragung sensibler Kundendaten mittels Kontaktformularen verschlüsseln müssen.
- Die einen Rechtsanwälte berufen sich dabei auf ein im September 2014 vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) anlasslos durchgeführten Test von E-Mail-Servern von Unternehmen im Freistaat auf Verschlüsselung. Rechtliche Folgen hatte er nicht. Und es ging um E-Mail-Server, nicht um Webauftritte oder Kontaktformulare etc.
- Ende 2015 verschickte dasselbe Landesamt erneut Briefe an Shop-Betreiber. Danach wurde es ruhig.
- Die anderen Rechtsanwälte, welche so etwas behaupten, beziehen sich dabei direkt auf das Bundesdatenschutzgesetz (BDSG) § 9 Technische und organisatorische Maßnahmen
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
- Vor allem wird der letzte Satz (oben fett hervorgehoben) zur Verhältnismäßigkeit gerne weggelassen.
- Bundesdatenschutzgesetz (BDSG - alt) Anlage (zu § 9 Satz 1). Dort fand sich in Absatz
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
- Sogar die sehr weitgehende DS-GVO spricht nur im Art. 5 DS-GVO (1) f) von:
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ('Integrität und Vertraulichkeit')
;
- Erwägungsgrund / Präambel (83) erwähnt vage:
Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau - auch hinsichtlich der Vertraulichkeit - gewährleisten, dass den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.
- Kein Wort von SSL, kein Wort von Verschlüsselung des gesamten Auftrittes etc. Kein Wort von Eingabeverschlüsselung (denn darum handelt es sich bei https). Ganz im Gegenteil bezieht sich dieser Satz auf andere Dinge der Datensicherheit. Meines Erachtens bezieht sich dies eher auf die Back-end-Systeme, auf denen hochsensible Daten liegen. Denn die folgenden Erwägungsgrund / Präambel (84) spricht explizit vom Fall
hohes Risiko
und den Bedingungen unter denen diese Daten dennoch unverschlüsselt verarbeitet werden dürfen. - Es ist also durchaus im Einzelfall selbst bei hochsensiblen Daten erlaubt. - Und die Folge-Erwägungsgründe / Präambeln 85 bis 88 beziehen sich auf Hackerangriffen und Informationspflichten bei Datenverlusten (aus den Back-end-Systemen). Und es wird explizit von der Verarbeitung
gesprochen - nicht der Erhebung der Daten.
- Auch Artikel 6 (4) e) spricht von Verschlüsselung nur in Hinsicht auf die nachträgliche
Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden...
.
- Allerdings weist Artikel 34 (3) a) darauf hin, dass verschlüsselte Daten auf dem Back-end-System dem Betreiber ersparen, eine Meldung bei Hackerangriffen an die betroffenen Personen zu machen. Aus dieser Erleichterung kann man jedoch im Umkehrschluss folgern, dass eine Verschlüsselung per se nicht gefordert ist. - Dies wird nochmals dadurch erhärtet, dass der ursprüngliche Entwurf Stand 2014 noch streng forderte
Durch diese technischen Sicherheitsvorkehrungen sind die betreffenden Daten für alle Personen zu verschlüsseln, die nicht zum Zugriff auf die Daten befugt sind.
Und exakt diese wurde für die Endversion wieder verändert. Also auch aus dieser Änderung geht klar hervor, dass man noch nicht einmal für die Back-end-Systeme eine Verschlüsselung fordert.
- Auch einige andere Vorschläge zu
verschlüsselte[n] Daten
aus den Vorversionen wurden in der Endversion der DS-GVO wieder gestrichen. D.h. der Gesetzgeber wollte es nicht.
- Eine frühere Antrags-Version der DS-GVO aus dem Jahr 2014 Änderungsantrag 109 zu Artikel 13 a (neu) enthielt sogar noch den Zusatz zur Auskunftspflicht (Artikel 13) des Betreibers, dass man angeben sollte
f) ob personenbezogene Daten verschlüsselt gespeichert werden.
- Dieser wurde wieder gestrichen. Auch das belegt, dass man eine Verschlüsselung nicht gesetzlich fordert.
- Und selbst der früher vorhandene Erwägungsgrund
(67) Der Kommission sollten Durchführungsbefugnisse übertragen werden, ..., insbesondere in Bezug auf Verschlüsselungsstandards
, wurde in der Endfassung gestrichen. Die europäischen Gesetzgeber wollten es so.
- Die DS-GVO umfasst über 50.000 Wörter und fast 400.000 Zeichen. Wenn man es gewollt hätte, so wäre für die kurzen Ausdrücke
TLS
, SSL
oder HTTPS
wirklich noch Platz gewesen.
- Verschlüsselung meint somit eher die Back-end-Systeme, also die Datenbanken. Dort kann es meines Erachtens durchaus sinnvoll sein, zumindest manche Felder zu verschlüsseln, die als sensibel gelten. Hierzu finden sich durchaus praktikable und leicht zu implementierende (also preiswerte) Lösungen z.B. mit PHP und MySQL, wie ich dies bereits mehrfach für Datenbanken durchgeführt habe.
- Auch Artikel 32 - Sicherheit der Verarbeitung erwähnt das Wort Verschlüsselung aber im Zusammenhang mit Pseudonymisierung, aber - wie oben - unter Berücksichtigung zahlreicher Faktoren.
- Etwas anders sieht es nach BDSG NEU aus. Dort legt § 64 Anforderungen an die Sicherheit der Datenverarbeitung fest:
(1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten.
Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.
- Satz 1 entspricht weitgehend den früheren Aussagen. Bei Satz 2 ist dies schon einschränkend zu sehen, da jene Technischen Richtlinien sehr umfangreich und eher fordernd sind. M.E. richten sie sich jedoch eher an die großen Netzwerk- und Systembetreiber.
- Absatz 2) erläutert:
Die in Absatz 1 genannten Maßnahmen können unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind.
Da steht nicht müssen.
- Vor allem die folgenden Texte sowie insbesondere Absatz 3 zielen jedoch wiederum eher auf Backend-Systeme:
Verwehrung des Zugangs
, Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
... von gespeicherten personenbezogenen Daten (Speicherkontrolle)
, Transport von Datenträgern
belegen dies.
- Selbst der abschließende vage Satz
Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden
enthält das Wort kann und nicht muss.
- Allerdings weist BSDG NEU § 66 (3) 1. darauf hin, dass verschlüsselte Daten auf dem Back-end-System dem Betreiber ersparen, eine Meldung bei Hackerangriffen an die betroffenen Personen zu machen. Aus dieser Erleichterung kann man jedoch im Umkehrschluss folgern, dass eine Verschlüsselung per se nicht gefordert ist.
- BDSG NEU § 71 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen hält auch nur fest:
Er hat hierbei den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen zu berücksichtigen.
- Und selbst die geldgierige Abmahnbranche hat sich bisher bezüglich SSL nur an bestimmte kleine Shop-Betreiber herangewagt, die man sowieso gnadenlos wegen jeder Bagatelle glaubt, abmahnen zu können. Amazon und andere waren zu groß und zu mächtig. Die hätten diese Abmahner auch in Grund und Boden geklagt.
- Folglich gibt es auch keine Urteile zu SSL, nur Mindermeinungen.
- Und selbst der in diesem Punkt als extrem aggressiv geltende Bayerische Landesdatenschutzbeauftragte erwähnt in seinem neueren Papier Sicherheit der Verarbeitung - Art. 32 DS-GVO / Security die Wörter HTTPS, TLS oder SSL nicht mehr. Derzeit ist das weder in Deutschland und schon gar nicht im Europa konsensfähig.
Dennoch sehe ich die latente Gefahr, dass Abmahnvereine und geldgierige Rechtsanwälte gnadenlos darauf bestehen werden. Dies wird einer der Hauptpunkte bei zukünftigen Abmahnungen sein. Denn das grüne Schloss ist leicht zu erkennen. Eine sorgfältige Textanalyse der Datenschutzangaben im Internet-Auftritt hingegen ist mühsam und kostet viel Zeit. - Die Erfahrung zeigt, dass Abmahnanwälte und Abmahnvereine - resp. deren schlecht bezahlten Angestellten - oft oberflächlich und schnell arbeiten, da es um den Massenumsatz geht. Ein grünes Schloss oder dessen Fehlen kommt dabei natürlich zu Pass. - Wer in einem Streitfall gegen solche Auswüchse meine Hilfe sucht, darf auf mich und entsprechende Gutachten zählen.
Ratschläge
- Wer sich für HTTPS interessiert, soll bitte den folgenden Artikel Sicherheit lesen.
- Kümmern Sie sich unbedingt zuerst um die DS-GVO und deren textliche Umsetzung.
- Die Einführung von HTTPS ist ein eigenes (Groß-) Projekt und sollte keineswegs nun zuerst durchgeführt oder mit der Datenschutz-Grundverordnung zusammen irgendwie hingewurschtelt werden. Dann wird erfahrungsgemäß beides unerfreulich ablaufen.
- Generell neige ich als Praktiker und Pragmatiker mit jahrzehntelanger Erfahrung im Internet, seinen Gesetzen und Verordnungen sowie vor allem der Umsetzung derselben zu einem nüchternen analytischen Vorgehen:
- Wer nur Informationen in das Internet stellt, benötigt kein HTTPS für den gesamten Auftritt.
- Wer nur ein einfaches Kontaktformular besitzt, wie z.B. ich hier, benötigt HTTPS weder für das Kontaktformular noch für den gesamten Auftritt.
- Selbst bei der Erhebung der üblichen Daten wie der Adresse, die auch in Adressbüchern zu finden ist, oder der Telefonnummer (die fast immer irgendwo öffentlich publiziert wird, halte ich eine Verschlüsselung für unangemessen hohen Aufwand.
- Je umfangreicher jedoch die von Ihnen online erfassten Daten werden, und vor allem je kritischer diese ausfallen, umso eher kann es erforderlich sein. So halte ich z.B. die Erfassung der IBAN - also Kontonummern und Bankleitzahlen - für zumindest grenzwertig.
- Gehen Sie bei der Analyse von Ihrem gesunden Menschenverstand aus. Wo bekommen Sie selbst
Bauchschmerzen
? Das dürfte dann auch den beurteilenden Instanzen wie Gutachtern und Richtern so gehen.
Änderungen
- Änderungen an Ihrer aktuellen Datenschutzerklärung /-bestimmungen sind immer wieder erforderlich bei technischen Änderungen an Ihren IT-Systemen, bei Änderungen Ihrer Ablauf-Prozesse etc.
- Änderungen an Ihrer aktuellen Datenschutzerklärung /-bestimmungen sind auch erlaubt.
- Manche Firmen veröffentlichen in einem Archiv auch die alten Bestimmungen. Das ist nicht rechtlich erforderlich.
- Auch die vereinzelt zu hörende Forderung nach einem angeblich anzugebenden Datum der Datenschutzerklärung lässt sich nicht in den Gesetzen und Vorschriften nachweisen.
Reale Zielgruppen der Datenschutzerklärung
Für wen machen Sie nun eigentlich die ganze Arbeit mit der DS-GVO?
- Auch, wenn es ketzerisch und hart klingen mag: ca. 3/4 aller Nutzer Ihres Internet-Auftrittes werden niemals einen Blick auf Ihre Datenschutzerklärung werfen. D.h. Sie klicken den Link zu jenen Inhalten noch nicht einmal an.
- Von denjenigen, die es anklicken, werden wiederum ca. 90% Ihre Datenschutzerklärung nicht bis zum Ende durchlesen.
- Bei denjenigen, welche es tatsächlich tun, handelt es sich fast ausschließlich um Querulanten, Trolle, Rechtsanwälte und Mitarbeiter von Abmahnvereinen.
- Nutzen Sie dennoch diese DS-GVO dazu, um sich über Ihre eigene Firma, Ihren Internet-Auftritt und insgesamt über Prozesse und Abläufe sowie die dazu notwendiger Weise erhobenen Daten Klarheit zu verschaffen. So können Sie letztendlich Ihre Firma erfolgreicher machen, indem Sie Geld sparen, Arbeit reduzieren und sich auf das Wesentliche beschränken. - Misten Sie wirklich aus. Es lohnt sich.
Schutz vor Abmahnungen
Da wir nun erkannt haben, dass die Arbeit zum DS-GVO überwiegend als Schutz vor Abmahnern anzusehen ist, stellen sich einige Problemzonen.
- Seien Sie kritisch gegenüber Anfragen unbekannter Personen.
- Abmahner werden verstärkt versuchen, per Telefon Auskünfte gemäß DS-GVO zu erhalten. Ohne schriftlich eingesandte beidseitige Kopien des Personalausweises, sollten Sie jedoch niemals Personendaten herausgeben oder datenschutzrechtliche Auskünfte erteilen. Das wäre ein schwerer Verstoß, der sehr teuer bestraft wird.
- Seien Sie ganz besonders auf der Hut, wenn Personen anrufen, welche Sprachprobleme haben oder vortäuschen. Mir kam bereits ein dreister Fall unter, bei dem ein sich als Pakistani ausgebender Mann anrief und auf Englisch Auskunft verlangte. Als ich ihn korrekt darauf hinwies, dass hier Deutsch als Amtssprache gilt, unterbrach er kurz, um ganz offensichtlich mit seinem deutschen Call-Center-Leiter zu sprechen, und fing dann plötzlich gebrochen mit
will Auskunft
an, worauf er wieder ins Englische verfiel. Das sind fast immer Betrüger. Als ich die Telefonnummer überprüfte, stellte sich heraus, dass es sich um ein Call-Center handelte, das für einen Abmahnverein in Deutschland tätig war.
- Noch dreister verhielt sich ein Mitarbeiter einer Rechtsanwaltskanzlei (eine bekannte Abmahnkanzlei in der Landeshauptstadt), der bei mir anrief, sich vorsätzlich falsch als Mitarbeiter des Landesdatenschutzbeauftragten ausgab und komplette Auskunft forderte. Duktus und Wortwahl kamen mir merkwürdig und unstimmig für einen Behördenangestellten vor. Darauf fragte ich nach seinem Namen und der unterdrückten Telefonnummer (der Landesdatenschutzbeauftragte unterdrückt seine Telefonnummer nämlich nicht, Rechtsanwälte und Abmahnvereine jedoch fast immer), notierte alles und rief natürlich nicht diese Nummer (der Kanzlei) an, sondern bei der Behörde. Dort stellte sich heraus, dass weder ein Herr dieses Namens dort angestellt sei, noch die Telefonnummer zu dem Amt gehörte, noch überhaupt irgendein Anliegen bezüglich meiner Person vorlag. Als ich danach die mir angegebene Telefonnummer wählte, gab sich der Angestellte der Rechtsanwaltskanzlei erneut vorsätzlich falsch als Datenschutzmitarbeiter der Landesbehörde aus. Wie Sie sehen, wird im Einzelfall sogar dreist gelogen, um andere hereinzulegen.
- Verweisen Sie höflich aber strikt auf den Schriftweg.
Bereits am Stichtag, den 25.05.2018, begann die Abmahnwelle als heftige Brandung bei den Betroffenen einzuschlagen.
- Streitwerte von über 7.000 Euro führen bei Abmahnungen gemäß UWG für Verstöße bei der DS-GVO zu Abmahngebühren von über 700 Euro. Siehe u.a. Heise: DSGVO: Die Abmahn-Maschinerie ist angelaufen.
- Obwohl dies von den Medien und anderen interessierten Kreisen bisher weitgehend vertuscht wird, scheint die Abzocke derart grotesk zu sein, dass inzwischen sogar die CDU noch kurzfristig ein Gesetz nachreichen will, das derartige Abmahnungen im Zusammenhang mit der DS-GVO für zumindest ein Jahr unterbinden soll. Siehe u.a. Heise: DSGVO: Union will teure Abmahngebühren rasch aussetzen.
- Vorsicht: Das Gesetz, sofern es überhaupt kommt, schützt nicht vor Abmahnungen, die davor eingehen oder rückdatiert sind. Ferner schützt es auch nicht alles und jeden. Und letztendlich hat es nur eine relativ kurzzeitige aufschiebende Wirkung für Abmahnungen der Mitbewerber. Aber alle Kunden und Aufsichtsbehörden dürfen Sie dennoch verklagen.
Nachdem Sie sich den obigen Artikel durchgelesen haben, werden Sie hoffentlich die meisten Fallen sowieso schon behoben haben. Falls Sie dennoch abgemahnt werden sollten, so beherzigen Sie folgende Details:
- Bleiben Sie ruhig. Selbst im schlimmsten Fall ist das kein Beinbruch.
- Beantworten Sie das Schreiben nicht in der ersten Wut selbst sofort, sondern holen Sie sich zuerst rechtlichen Rat ein.
- Sie benötigen einen Anwalt mit Erfahrung im Internet-Recht.
- Nicht jeder darf Sie gebührenpflichtig abmahnen. U.a. kann man z.B. von einem Mitbewerber auf Basis des Gesetzes gegen den unlauteren Wettbewerb (UWG) abgemahnt werden. Dies muss allerdings genau geprüft werden. Viele Abmahner versenden Schreiben als reinen Bluff. Wenn nur jeder zehnte Angeschriebene aus Angst bezahlt, werden diese Betrüger binnen Wochen reich.
Ein Rechtsanwalt findet sicherlich weitere formale Fehler.
- Als zweithäufigster Mangel fallen pauschale oder schlicht falsche Behauptungen auf. Prüfen Sie das detailliert. - Mir sind sogar schon Abmahnungen untergekommen, die über einen fremden Internet-Auftritt lauteten. Mit anderen Worten: Die angeschriebene Firma war die falsche.
- Riskieren Sie im Zweifel eine Klage.
- Die meisten Abmahner knicken dann ein, da ihnen der Aufwand zu hoch ist.
- Vor allem scheuen viele die Öffentlichkeit, da dann herauskommt, dass es sich um eine unzulässige Massenabmahnung handelte.
- Und vor Gericht geht so ein Streit oft ganz anders aus als Laien meist vermuten.
- Hier spreche ich aus eigener Erfahrung als Opfer: Selbst bei schwersten mit zahllosen schriftlichen Beweisstücken nachgewiesenen (sogar wiederholten) Verstößen von juristisch ausgebildeten Menschen (sogar anerkannten Rechtsanwälten - die folglich vorsätzlich dagegen verstießen) gegen den Datenschutz griff niemand ein. Keiner (weder Datenschutzbeauftragter, noch Staatsanwalt, noch Richter) wollte da ein Fass aufmachen, oder sich so einen komplexen Fall - heute auch noch mit EU-Recht - ans Bein binden. Das bedeutet nämlich richtig Arbeit für die ohnedies überlasteten Behörden und Instanzen.
- Als Folge habe ich so manchem meiner Kunden bereits erfolgreich zur Klage geraten: Oft reicht bereits ein kurzes Schreiben der Art an den Abmahner:
Aufgrund Artikel ### sehen wir die Rechtslage anders und werden einer Klage nicht ausweichen.
In fast allen Fällen hatte sich die Sache damit erledigt. - Nochmals: viele Massen-Abmahner zocken nur verbal sehr hoch.
- Hinzu kommt, dass bei der DS-GVO wirklich vieles noch sehr vage ist und dringend einer rechtlichen Klärung bedarf. Wenn Sie obsiegen, dann hat dieses Urteil für Sie einen Werbeeffekt, der mindestens europaweit wirkt und somit eine sehr preiswerte Werbeaktion darstellt.
- Ist die Abmahnung berechtigt, dann müssen Sie die Punkte in Ihrer Datenschutzerklärung ergänzen / abändern.
- Zur Vermeidung von Abmahngebühren predigen viele Geschäftsführer eine illegale Methode zur Abwehr von Abmahnungen: Sie lassen sich von einer befreundeten Firma eine in den relevanten Punkten identische aber vordatierte Abmahnung ohne Kostennote zusenden. Gemäß dem juristischen Satz:
ne bis in idem
dürfen Sie nämlich wegen einer identischen Sache nicht zweimal bestraft werden. - Persönlich halte ich dies für riskant. Aber andere schwören seit Jahren darauf.
- Auch von den überlasteten Datenschutzbehörden droht in der Anfangsphase kein hartes Durchgreifen. Sie wollen zwar Stichproben machen. Aber:
Gerade am Anfang wollen die Landesdatenschützer jedoch vor allem beratend tätig sein.
Allerdings sollten Sie sich keinesfalls als beratungsresistent darstellen. Die Aufsichtsbehörden haben mit der DS-GVO nun auch rechtliche Mittel, schmerzlich hohe Strafen festzusetzen. Allerdings dürfen Sie als Betroffener auch diese natürlich durch ein Gericht überprüfen lassen, so wie es alle großen Firmen auch tun werden. Folglich wird sich alles mit den Jahren einspielen.
Erpressung wegen angeblicher Cookies
Die DSGVO war erst wenige Wochen alt, da fanden sich bereits die ersten dreisten Erpresser. Ihre Masche ist ganz einfach: Sie kommen in Ihr Geschäft und behaupten, dass Sie Cookies auf Ihrem Internet-Auftritt verwenden [in allen mir bekannten Fällen falsch - d.h. eine klare Lüge] und dass dies strafbar wäre [pauschal ist dies so unrichtig], dass Sie als Betreiber dies bis zu 10 Mio. Euro kostet und bis zu 3 Jahre ins Gefängnis bringen kann [das ist für schwere Verstöße gegen die DSGVO leider wahr]. Dann kommt jedoch der Dreh: Der vermeintliche Kunde ist bereit, von einer Strafanzeige abzusehen, sofern Sie ihm ein Produkt oder eine Dienstleistung günstiger oder kostenlos abgeben. Alternativ erzählt er es weiter und leitet zudem rechtliche Schritte gegen Sie ein.
Die rechtlich etwas versierteren Erpresser gehen feinfühliger vor, indem sie nach der Drohung bedeutsam schweigen, oder den Firmeninhaber süffisant fragen: Was können wir denn da machen, da ich Sie eigentlich nicht anzeigen will.
- Aber auch das bleibt Erpressung.
Rechtliche Aspekte
- Das Vorgehen dieser Verbrecher ist eindeutig strafrechtsrelevant. Ferner können Sie gegen diese Personen auch zivilrechtlich vorgehen.
- Tun Sie dies auf jeden Fall. Wer sich einmal erpressen lässt, wird sein Leben lang ein Opfer bleiben. Erpresser tauschen die erfolgreichen Erpresserlisten (Namen und Kontaktdaten der Opfer) aus.
- Solche Menschen wollen Sie auch nicht (mehr) als Kunden. Gleichgültig, ob diese Person früher einmal ein guter Kunde war. Ab jetzt ist er ein Verbrecher, der nur noch das Ziel hat, sich zu bereichern und Sie zu schädigen.
- Persönlich habe ich allen meinen betroffenen Firmen-Kunden in solchen Fällen erfolgreich zur Strafanzeige und Klage geraten. Daraufhin unterblieben ferner die rufschädigenden Verleumdungen. Auch ich gehe gegen solche Leute unverzüglich mit rechtlichen Schritten vor.
- Präambel / Erwägungsgrund (30) der DSGVO erwähnt als einziger Punkt der DS-GVO Cookies:
Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.
- Man beachte die vielen Einschränkungen wie kann
, unter Umständen
, können
.
- Manche Landesdatenschutzbeauftragte halten Cookies deshalb nun auch gemäß neuer DS-GVO für verboten und fordern rechtliche Schritte dagegen. Aber Forderungen (auch von Behörden) sind keine Gesetze oder sogar belastbare letztinstanzliche Gerichtsurteile. D.h. bis heute existieren keine Urteile dazu. Die Rechtslage zu Cookies ist noch ungeklärt.
- Das Problem liegt nämlich in einer alten EU-Cookie-Richtlinie aus dem Jahr 2009/136/EG zur alten e-Privacy-Richtlinie vom 12. Juli 2002 ist die Richtlinie 2002/58/EG (offiziell: Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation = kurz: Datenschutzrichtlinie für elektronische Kommunikation), die in Deutschland explizit nicht zu einem Gesetz umgewandelt wurde (siehe z.B.: e-recht24). Im Gegensatz zu Spanien, welches die EU-Vorgabe umsetzte und somit Cookies verbietet, es sei denn der Nutzer stimmt vorher explizit zu, gilt diese Richtlinie somit in Deutschland nicht. Und dies, obwohl die SPD mit der Opposition es einführen wollte. Daraus folgt klar, dass die Regierung (Gesetzgeber) es nicht wollte.
- Das alte Telemediengesetz (TMG) besagte bereits in § 15 Abs.3, dass es ausreicht, den Nutzer bei der Verwendung von Cookies zu unterrichten und auf ein Widerspruchsrecht hinzuweisen. Von vorheriger Einwilligung steht hier nichts. Dieses Opt-out-Verfahren, bei welchem der Nutzer erst nachträglich der Nutzung der Daten in Cookies widersprechen konnte, war laut Bundesregierung bereits die Umsetzung der EU-Richtlinie (siehe hierzu u.a. Die Umsetzung der EU-Cookie-Richtlinie in Deutschland). Aber auch die Gültigkeit dieses Gesetzes wird in Bezug auf Cookies heute angezweifelt.
- Da erst die e-Privacy-Verordnung der EU (vermutlich 2019) die Frage zu Cookies regeln soll, spricht auch dies dagegen, dass bereits eine rechtlich verbindliche generelle Verbots-Regelung existiert. Der erste Entwurf jener Verordnung sieht im Übrigen ein ganz anderes Vorgehen für die Praxis vor, welches allen bisherigen extrem weiten Forderungen (auch deutscher Datenschützer) widerspricht. De facto geht es dort um Cookies von Drittparteien, welche einen Nutzer über viele Internet-Auftritte hinweg kontinuierlich verfolgen (= weltweites kontinuierliches Tracking und Tracing). Noch einschränkender geht es vor allem um mobile Browser und deren Geräte-ID. Die gesamte Cookie-Frage soll zukünftig der Browser automatisch regeln. Das wäre das exakte Gegenteil der bisherigen Forderungen und würde zur Abschaffung der meist verhassten Cookie-Banner mit Zustimmung führen.
- Vorsicht ist allerdings bei Google (z.B. bei Adsense) und manchen anderen kommerziellen Anbietern anzuraten. Diese fordern nicht selten in ihren AGB die Einwilligung des Nutzers. D.h. hier wird auf privatrechtlicher Basis von Google etc. als Anbieter der Dienstleistungen von Ihnen als Betreiber / Nutzer jener Dienstleistungen, die immer mit Cookies verbunden sind, ein Banner mit Einwilligungsfunktion gefordert.
Praxis-Tipps
- Wer Cookies verwendet, sollte dennoch m.E. sicherheitshalber darauf hinweisen und bei jeder ersten Besuchsseite eine derartige Einwilligung vom Nutzer einholen.
- Wer jedoch keine Cookies verwendet - und hierum handelt es sich bei den mir bekannt gewordenen Erpressungsversuchen - darf dies allerdings nicht tun. D.h. Sie dürfen nicht prophylaktisch einfach behaupten, Sie würden Cookies verwenden, um angeblich ganz sicher zu gehen.
Technische Fakten
- Bereits die banalste Frage ist unklar: Sind Cookies überhaupt personenbezogenen Daten?
- Im Grunde genommen handelt es sich um Textdateien. Und wie mit jedem Text, können Sie als Betreiber dort hineinschreiben, was sie wollen.
- Falls Sie die IP des Nutzers dort hineinschreiben, dann wäre der Tatbestand erfüllt.
- Sofern Sie jedoch nur das Betriebssystem oder den Browser eintragen, halte ich dies für fraglich. Denn das käme der Aussage gleich, es handelt sich um einen Fußgänger, einen Radfahrer oder einen Pkw-Fahrer. Das sind zu weite Begriffe, als dass sie einer einzelnen Person treffsicher zugeordnet werden können.
Spielen wir den klassischen Fall einmal durch:
- Ein neuer Nutzer betritt Ihren Internet-Auftritt, auf dem Sie gezielt Cookies zum Tracking und Tracing einsetzen. - Ihr Ziel ist - zugegeben oder nicht - die systematische Überwachung des Nutzers. Sonst benötigen Sie so etwas nicht auf reinen Informationsseiten.
- Das für Sie Unglückliche und für den Nutzer Glückliche ist jedoch, dass - gleichgültig, was Sie auch immer sammeln, er nicht identifiziert werden kann. Selbst mit seiner IP, welche im Internet fast immer und regelmäßig wechselt, können Sie (als Normalsterblicher) ihn nicht identifizieren.
- Nur bei persistenten Cookies - und sofern der Nutzer diese nicht beim Schließen des Browsers automatisch löscht - können Sie als Betreiber den Nutzer beim nächsten Besuch wiedererkennen. Aber Sie besitzen de facto noch immer keine harten Personendaten über ihn.
- Anders sieht es hingegen in folgenden Fällen aus. Der Nutzer wird irgendwann zu einem Kunden und gibt dann alle seine Personendaten ein. Oder der Nutzer stellt mittels Kontaktformular eine Anfrage und gibt dabei wichtige Personendaten preis. Erst dann können Sie als Betreiber die Cookie-Daten mit der Person verbinden.
- Da jedoch die meisten derartigen Überwacher exakt darauf abzielen, dürften sich Gerichte auch genau darauf einschießen.
- Dennoch ist diese Pauschalierung technisch falsch. Es finden sich nämlich auch reine Verwaltungs-Cookies (auch temporäre Cookies oder Session-Cookies genannt), die eine Sitzung im internen Bereich verwalten, indem sie sicher einen Kundensatz nur einem Nutzer / einer Person zuordnen. Im Übrigen waren solche Session-Cookies bereits in der alten EU-Richtlinie aus dem Jahre 2009 (siehe oben) ausdrücklich ungefragt (also ohne Einwilligung des Nutzers) erlaubt, sofern sie wie hier technisch notwendig sind. Der EU-Gesetzgeber unterschied somit sehr wohl fein zwischen den verschiedenen Anwendungen der Cookies. Die Richtlinie nennt z.B. explizit
die von legitimen Gründen (wie manchen Arten von Cookies)
.
- D.h. das Ziel dieser Sitzungs-Cookies ist ausdrücklich nur die rechtlich geforderte und auch im Sinne des Kunden liegende sichere Zuordnung einer Person zu exakt und nur seinen Daten. Stellen Sie sich vor, das würde nicht gemacht werden. Dann könnte jeder andere Bankkunde auch auf Ihre Kontoauszüge etc. zugreifen. Exakt so findet es auch bei vielen Abonnement-Systemen statt. Genau diese Fälle meint jedoch die DSGVO mit Art. 6 Abs. lit f, in welchem sie dem Verantwortlichen berechtigte Interessen zur Verwendung derartiger Daten zubilligt (Siehe hierzu auch Die Cookie-Situation ab der DSGVO im Mai 2018).
- Hierbei beschränken sich viele Betreiber sogar ausdrücklich nur auf diese sichere Zuordnung - gemeint sind die oft sogenannten
technisch notwendigen Cookies
, welche nur der Funktionsfähigkeit der Website
dienen. D.h. sie betreiben überhaupt kein Tracking oder Tracing. Sie speichern weder in den Cookies noch in einer Datenbank irgendwelche weiteren Daten des Kunden (z.B. über besuchte Seiten).
- Aber selbstredend kann man letzteres auch tun, wie es z.B. viele Shops tun. Sie verwenden oft z.B. Tracking-Cookies, Targeting-Cookies, Analyse-Cookies, Cookies von Social-Media-Websites etc. Das systematische Tracking und Tracing (also die Verfolgung aller gelesenen Inhalte) erkennen Sie ganz schnell daran, dass Sie dort personalisierte Werbung in Form von meist unsinnigen Vorschlägen für ähnliche Produkte oder Dienstleistungen erhalten.
Fazit: Es kommt auch technisch auf die Details an. Spätestens in den höheren Instanzen werden Richter diese Details würdigen. Lassen Sie sich also nicht ins Boxhorn jagen - und auf keinen Fall einschüchtern oder erpressen.
Fragen
Sofern Sie die folgenden Bedingungen erfüllen...
- Sie haben den obigen Artikel vollständig gelesen,
- Sie haben zu Ihren Fragen bereits das Inhaltsverzeichnis dieses Artikels verwendet, um dort die bereits vorhandenen Antworten zu suchen.
- Sie haben bei Ihren Fragen die Stichwortsuche Ihres Browsers (STRG-Taste und Buchstabe f) in diesem Artikel verwendet, um das Stichwort und seine Synonyme bereits im ganzen Artikel unter den vorhandenen Antworten zu suchen.
- Sie haben in diesem Artikel für Sie unverständliche Fachausdrücke mit der Suchmaschine Ihres Vertrauens sowie bei Wikipedia bereits nachgeschlagen und sich selbst erklärt.
- Ihre Fragen sind kurz, präzise, sachlich und betreffen einen spezifischen Punkt der DS-GVO resp. deren Umsetzung.
... bin ich gerne bereit, Ihre Fragen per Kontaktformular kostenlos zu beantworten.
Meine Antworten...
- ... erfolgen hier im Artikel durch neutrale (d.h. u.a. anonyme) Beschreibungen zu dem Thema, so dass es für alle Anwender gilt.
- ... erfolgen je nach E-Mail-Aufkommen und Aufwand der Bearbeitung. - Ich bitte um etwas Geduld.
- ... erfolgen an Sie nur in Kurzform per E-Mail mit einem Verweis - Direktlink - auf die neue Stelle im Artikel.
Aufträge
Gerne dürfen Sie mir auch einen Dienstleistungs-Auftrag zur Umsetzung der DS-GVO bei Ihnen erteilen.
- Aufträge genießen selbstverständlich Priorität.
- Dann können auch komplexe Fragestellungen zu Ihrer vollsten Zufriedenheit gelöst werden.
- Das Dienstleistungsangebot reicht von der Beratung bis hin zur konkreten Umsetzung.
Ich freue mich auf Ihren Auftrag.
Quellen
- VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES - vom 27. April 2016, zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR)
Vorsicht: direkt im Anschluss - unten dran - befindet sich RICHTLINIE (EU) 2016/680 DES EUROPÄISCHEN PARLAMENTS UND DES RATES, vom 27. April 2016, die Behörden betrifft. Letzterer ist für Firmen nicht gemeint.
- Neues Bundesdatenschutzgesetzes (BDSG) - gültig ab 25.05.2018 (=Bundesdatenschutzgesetzes V2 - nicht immer funktioniert jeder Link.)
- Neues Bundesdatenschutzgesetzes Einzelparagrafen (BDSG) - gültig ab 25.05.2018
- Bundesdatenschutzgesetzes (BDSG) NEU
- Neues Bundesdatenschutzgesetzes (BDSG) - gültig ab 25.05.2018
- Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000, über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt ("Richtlinie über den elektronischen Geschäftsverkehr") - Sie wird nicht von der DS-GVO betroffen und gilt weiterhin.
- Richtlinie 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen - betrifft u.a. die klare und unmissverständliche Sprache, welche zu verwenden ist.
- Bundesdatenschutzgesetz alte Fassung - Das Bundesdatenschutzgesetz (BDSG) in der alten, nicht amtlichen Fassung, außer Kraft getreten am 25. Mai 2018, der Bekanntmachung vom 14. Januar 2003 (BGBl.I S.66), zuletzt geändert durch Artikel 7 des Gesetzes vom 30.06.2017 (BGBl. I Nr.44 S.2131) in Kraft ab 06.07.2017 mit Stand vom 5. Juli 2017.
- Aufgewertet Die DS-GVO bringt den Bürgern neue Rechte
- Datenschutz-Grundverordnung Wikipedia - als erste Einstieg in die Materie
- Kommission veröffentlicht Leitfaden zu neuen Datenschutzbestimmungen
- 2018 reform of EU data protection rules - mit zahlreichen Downloads- Englisch
- What your company must do - Was Firmen tun müssen - Englisch
- Firmen und Vereine betroffen - Was die neue Datenschutzverordnung der EU bedeutet
- Europäischer Datenschutzausschuss (EDSA)
- Article 29 Working Party
- Dokumente zur DS-GVO: Links und Downloads zur EU-Datenschutz-Grundverordnung (EU-DSGVO)
- Procedure: 2012/0011(COD): A7-0402/2013
- Verfahren: 2012/0011(COD: A7-0402/2013
- 2012/0011(COD) Personal data protection: processing and free movement of data (General Data Protection Regulation)
- Plenardebatten - Mittwoch, 13. April 2016 - Straßburg
- Angenommene Texte - Mittwoch, 12. März 2014 - Straßburg
- 52012PC0011 Vorschlag für VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) /* KOM/2012/011 endgültig - 2012/0011 (COD) */
- BERICHT 22. November 2013
- MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT
- BDSG § einzeln aufgelistet - Vorsicht: Privatanbieter
- Erwägungsgründe der DS-GVO § einzeln aufgelistet
- DS GVO § einzeln aufgelistet
- Praxishilfen DS-GVO der Gesellschaft für Datenschutz und Datensicherheit e.V.
- Privacy Shield List - Liste der US-Firmen, welche sich freiwillig unter das Privacy Shield gestellt haben, um weiterhin mit der EU zusammenzuarbeiten.
- Handreichungen für kleine Unternehmen und Vereine - zahlreiche Muster für VVTs und Auskunftpflichten
- EU-Datenschutz-Grundverordnung - Viele Unterlagen vom bayerischen Landesdatenschutzbeauftragten
- Wirtschaftskammer Österreichsehr gute Checkliste
- Datenverarbeitung im Webshop und auf der Website
- Checkliste für Cookies und Web-Analyse im Webshop
- Muster zur Erfüllung der datenschutzrechtlichen Informationspflichten für Webseiten - Vorsicht: Ersetzen Sie die österreichische TKG 2003 durch das deutsche BDSG.
- EU-Datenschutz-Grundverordnung: Auswirkungen auf Websites und Webshops
Hilfe / Feedback
Liebe Leserinnen und Leser,
damit diese umfangreichen, kostenlosen, wissenschaftlich fundierten Informationen schnell weiter ausgebaut werden können, bin ich für jeden Hinweis von Ihnen dankbar.
Deshalb freue ich mich über jede schriftliche Rückmeldung Ihrerseits per E-Mail oder Kontakt-Formular.
Da ich bewusst von niemandem irgendwelche Zuwendungen jeglicher Art für das Verfassen der absolut unabhängigen Artikel annehme, um meine völlige Neutralität zumindest auf dem hier beschriebenen Feld wahren zu können, verdiene ich mit diesen Artikeln kein Geld. Auch von Zeitschriften oder Magazinen aus dem IT-Bereich erhalte ich keinerlei Zuwendungen.
Deshalb freue ich mich, wenn Sie mein unabhängiges Engagement für Sie durch einen gelegentlichen Kauf bei Amazon über die hier angegebenen Links unterstützen. Es ist gleichgültig, welches Produkt Sie über diesen Link kaufen. - Es kann auch jede andere Ware außerhalb des Fotobereiches sein. Alle Preise sind und bleiben für Sie gleich niedrig, wie wenn Sie direkt zu Amazon gehen. Aber durch Ihren Klick auf meinen Link erhalte ich evtl. Monate später eine sehr kleine prozentuale Prämie (Cents je Kauf), welche mir hilft, die hohen Kosten bei der Erstellung der Artikel zumindest teilweise zu decken. - Bitte starten Sie Ihre Einkäufe bei mir.
Herzlichen Dank an alle für Ihre bisherige Unterstützung.
Ja, ich möchte die Unabhängigkeit dieser Seite unterstützen und kaufe über diesen Link bei Amazon
Pflichtangabe: Als Amazon-Partner verdiene ich an qualifizierten Verkäufen.
Zum Seitenanfang