Datenschutz Verstehen – Datenschutz bei der Web-Entwicklung
Seit dem Urteil des Europäischen Gerichtshofs (EuGH) vom 01. Oktober 2019 sind einige Unternehmen sehr vorsichtig geworden bei der Verwendung von Cookies. Für die rechtskonforme Verwendung von Cookies ist nämlich eine informierte und aktive Einwilligung der betroffenen Person notwendig. Das Urteil wirkt sich auf alle die aus, die Cookies auf ihrer Webseite verwenden. Insbesondere die Web-Entwicklung nutzt Cookies und muss sich nun den offenen Fragen stellen. “Brauche ich für jeden verwendeten Cookie eine solche Einwilligung und gibt es überhaupt Cookies, die ohne Einwilligung gesetzt werden dürfen?” Wir haben die Antworten.
Liste der Cookies, welche keine Einwilligung benötigen
Das Surfen auf Webseiten bringt einige Vorteile für Nutzer mit sich. Hierzu tragen auch die Cookies maßgeblich bei. Cookies erleichtern die Nutzung der Webseite, indem sie sich wie ein Gedächtnis merken, was der Nutzer schonmal gemacht hat und somit diese Einstellung schnell wieder bereitstellen können. Außerdem gibt es einige Cookies, ohne die der Besuch einer Webseite nicht uneingeschränkt möglich ist. Ohne diese Cookies kann die Webseite nicht vollumfänglich genutzt werden. Eine Einwilligung ist für diese technisch notwendigen Cookies nicht nötig, dies leitet sich aus Art. 5 Abs. 3 der ePrivacy-Richtlinie ab.
Diese besagt,
„[…], wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Zu unbedingt erforderlichen Cookies zählen beispielsweise Opt-Out-Cookies, durch die ein Widerruf der Cookie-Einstellungen vorgenommen werden kann. Außerdem Cookies, die von Zahlungsdienstleistern gesetzt werden, nicht zu Analysezwecken, sondern um mögliche Zahlungsvorgänge vorzubereiten. Überdies auch First-Party Cookies, welche Webeinstellungen speichern. Der Cookie merkt sich z.B. die gewünschte Sprache und vom Nutzer bereits eingegebene Informationen. Sie erkennen den Nutzer, der sich in der Vergangenheit eingeloggt hat und loggen ihn automatisch wieder auf der Webseite ein. Sie werden stets von der genutzten Webseite selbst gesetzt und unterscheiden sich somit von Third-Party Cookie, dazu gleich mehr.
Zu den technisch notwendigen Cookies gehören auch die sog. Session Cookies. Diese speichern lediglich Informationen in Bezug auf die einzelne Browser-Sitzung. Bedeutet, dass diese Cookies nach Beendigung der Sitzung wieder gelöscht werden. Unbedingt erforderlich wird dieser Cookie beispielsweise im Onlineshop, wenn eine Warenkorb-Funktion notwendig ist.
Liste der Cookies, welche eine Einwilligung benötigen
Das Urteil des EuGH möchte Nutzer vor jedem Eingriff in die Privatsphäre schützen und nennt daher alle Cookies. Geschützt werden soll insbesondere vor Hidden Identifiers oder anderen Tools. Eine informierte und aktive Einwilligung ist daher stets bei jeglichen Cookies erforderlich, die nicht technisch notwendig sind bzw. für die kein begründeter Zweck vorliegt. Kein begründeter Zweck liegt demnach bei Cookies für Marketingzwecke, Performance- und Statistikzwecken oder Analysezwecken vor. Eine Einwilligungspflicht besteht außerdem bei Social-Media-Plugins wie Facebook, LinkedIn und Instagram, bei Cookies für Kartendiensten wie Google Maps, Cookies aus Remarketing-Diensten sowie aus Affiliate-Diensten. Webseiten nutzen zur Umsetzung eines gezielten Marketings Tracking-Cookies. Diese im Browser abgelegten Textdateien zeichnen das Verhalten eines Nutzers auf. Aktionen auf der Webseite werden verfolgt und gesammelt, ein Interessenschwerpunkt wird erstellt und dem potenziellen Kunden können somit angepasste Werbeinhalte gezeigt werden. Überdies können Tracking Cookies über mehrere Webseiten hinweg Daten des Nutzers sammeln und somit auch genauer feststellen, welche Seite besonders interessant sind und welche weniger relevant.
Der Einwilligung bedarf ebenfalls die Verwendung von Third-Party Cookies. Diese werden von Webseiten gesetzt, um auch hier das Nutzerverhalten zu analysieren, über einen längeren Zeitraum zu beobachten und somit die erfolgversprechendste Werbung zu schalten. Festgehalten werden hier z.B. die Navigation über Links, Zählung der Klicks auf der Webseite, Zählung der Webseitenaufrufe, Aufenthalt pro Webseite und vieles mehr. Wie der Name bereits sagt, werden diese Cookies nicht von dem Webseitenbetreiber selbst erstellt, sondern von Dritten, beispielsweise Werbeunternehmen und Advertisern. Zu beachten gilt hier, dass die Advertiser ihren Sitz außerhalb des europäischen Wirtschaftsraumes haben könnten.
Datenschutz-Anforderungen an die Web-Entwicklung
Nicht nur die Webseitenbetreiber sind direkt von den Datenschutzanforderungen betroffen. Urteile des Bundesgerichtshofs (BGH) und EuGH auf Grundlage der europäischen Datenschutz-Grundverordnung (DSGVO) sind auch von der Web-Entwicklung einzuhalten und umzusetzen. Unter Web-Entwicklung wird die Entwicklung von Software, Webanwendung, Webservice und Webseiten verstanden. Techniken wie JavaScript, jQuery, PHP und iFrames kommen hierbei zum Einsatz. Unter den Regelungen der DSGVO ist besonders zu berücksichtigen, dass bei der Verwendung dieser Techniken personenbezogene Daten übertragen werden. Durch Server, die durch das Internet verbunden und auf der gesamten Welt verteilt sind, können riesige Datenmengen bewegt werden. Hierdurch können Webanwendungen weltweit angeboten werden, dies wird als Content Delivery Network (CDN) bezeichnet. Das schnelle und globale Abrufen und Zurverfügungstellen von Daten bringt selbstverständlich einige Vorteile mit sich, jedoch ist auch die DSGVO einzuhalten.
Zur datenschutzkonformen Umsetzung kann zunächst der Art. 5 Abs. 1 DSGVO herangezogen werden. Dieser beschreibt allgemeine Grundsätze für die Verarbeitung und Speicherung von personenbezogenen Daten. Für die Web-Entwicklung einschlägige Grundsätze sind beispielsweise das Transparenzgebot gem. Art. 5 Abs. 1 lit. a) DSGVO, die Zweckbindung nach Art. 5 Abs. 1 lit. b) DSGVO sowie das Prinzip der Datenminimierung i.S.d. Art. 5 Abs. 1 lit. c) DSGVO. Webentwickler sollten daher direkt beim Start ihrer Arbeit darauf Acht geben, die Grundsätze einzuhalten und ein verbraucherfreundliches Designe und Handling zu entwickeln. Ebenso sollte der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) beachtet werden. Personenbezogene Daten dürfen nur so lange gespeichert werden, solange es für einen bestimmten Zweck erforderlich ist. Nach Art. 17 DSGVO haben Betroffene zudem das Recht auf Löschung bzw. “Vergessenwerden”. Es ist daher zu empfehlen, ein Löschkonzept zu entwickeln, um somit diesem Grundsatz gerecht zu werden. Entfällt der bestimmte Zweck, sollten die personenbezogenen Daten ausnahmslos gelöscht werden und auf keinem Server der CDN mehr zu finden sein.
Datenschutz-Checkliste für die Web-Entwicklung
- Etablierung eines Löschkonzepts
- Einhaltung des Transparenzgebots
- Erstellung eines Berechtigungskonzeptes
- Ausreichende technische- und organisatorische Maßnahmen (TOMs)
- Ausreichende Garantien zur Datenübermittlung in Drittländer
- Abschluss von Auftragsverarbeitungsverträgen gem. Art. 28 DSGVO mit Auftraggebern (Verantwortlichen)
- Implementierung aller notwendigen Mechanismen für die Nutzung von Cookies
- Datenschutzkonformer Cookie-Banner
- Cookies sollten erst dann gesetzt werden, wenn eine Einwilligung der betroffenen Person vorliegt
- Ausführliche Information über Cookies in der Datenschutzerklärung
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.