In unserem Juni-Meetup haben Tomas und Stefan über aktuelle rechtliche Herausforderungen beim Betrieb einer Website informiert.
Was bedeutet TTDSG?
Die Abkürzung TTDSG steht für den Kurztitel ‚Telekommunikation-Telemedien-Datenschutz-Gesetz‘. Der volle Name des Gesetzes lautet ‚Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien‘.
https://www.gesetze-im-internet.de/ttdsg/
EU-US Privacy Shield
Der EU-US Privacy Shield (auch EU-US-Datenschutzschild) umfasst informelle Absprachen auf dem Gebiet des Datenschutzrechts seit dem Jahre 2015 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. Er betrifft Zusicherungen der US-amerikanischen Bundesregierung und einen Angemessenheitsbeschluss der EU-Kommission. Die Kommission hatte am 12. Juli 2016 beschlossen, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen. Die Absprache regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Sie wurde notwendig, als der Europäische Gerichtshof (EuGH) im Oktober 2015 die bis dahin angewendete Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärte. Am 16. Juli 2020 erklärte der EuGH auch den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield durch das Schrems-II-Urteil für ungültig. Der EU-US Privacy Shield wurde zwischen dem Durchführungsbeschluss der Kommission 2016 und der Entscheidung des EuGH 2020 angewendet.
https://de.wikipedia.org/wiki/EU-US_Privacy_Shield
Überprüfung Webseite auf DSGVO-Konformität
- Ist ein Consentmanager auf der Webseite installiert?
- Prüfen, ob Layer1 des Consentmanagers korrekt eingestellt ist:
Gibt es eine Annehmen und Ablehnen Schaltfläche?
… nur eine Zustimmschaltfläche (Ok) ist nicht erlaubt!
Streitpunkt, wenn nur essenzielle Cookies auf der Webseite verwendet werden. M. E. sollte dann trotzdem Zustimmen und Ablehnen möglich sein und die Seite gesperrt werden.
Haben beide Schaltflächen die gleiche Farbe?
… sonst Beeinflussung des Seitenaufrufers! - Sind die einzelnen Bereiche der Cookies sauber definiert?
Aufteilung der Cookies in Essenziell (Technisch notwendig), Funktionell und Marketing
Korrekte Zuordnung der Cookies zu Kategorien beachten (Abgrenzung was ist technisch notwendig klar festlegen) - Gibt es eine detaillierte Erläuterung zu den Cookie Anbietern auf Layer2?
Anbieter, gespeicherte Informationen, Speicherdauer und Erläuterungen dazu - Stimmt der Consentlayer mit der aktuell auf der Webseite verwendeten DSGVO überein?
Wie wird mit dem Hinweis auf AV Verträge umgegangen? - Stimmt die Anzahl der im Consentlayer angegebenen Dienste mit denen der Webseite überein?
Prüfen mit Cookiescanner und ggf. Abweichungen feststellen …
https://dr-dsgvo.de/webseiten-check
https://www.e-recht24.de/websitescanner
oder mit Firefox Addons …
https://addons.mozilla.org/de/firefox/addon/ghostery *
https://addons.mozilla.org/de/firefox/addon/umatrix
Möglichst eine Kombination aus mehreren Scanergebnissen bilden, um Fehlerinterpretationen zu minimieren. - Sperrt der Consentmanager tatsächlich eingebundene Inhalte, wenn der Benutzer keine Zustimmung zum entsprechenden Cookie gegeben hat?
Wird der Inhalt (Sperrung/Entsperrung des Cookieinhalts) dynamisch auch vor dem Aktualisieren der Webseite erneuert?
Scanergebnis in der Entwicklerkonsole nochmal überprüfen! - Ist im Consentmanager ein Hinweis zur Datenschutzerklärung (verantwortlicher Datenschützer) und zum Impressum der Webseite verlinkt?
- Verstößt ein Punkt gegen die Punkte 1. – 8. ist die gesamte Webseite nicht DSGVO-konform!
➔ dann grundsätzlich Schadensersatzpflicht (auf die rechtssichere Dokumentation des Sachverhalts achten … auch die IP-Adresse festhalten, von der aus die Webseite betrachtet wurde)
Beispiel Consent Manager:
https://blogs.sub.uni-hamburg.de/hwddev
Weitere Empfehlungen, die während des Vortrags genannt wurden:
webbkoll.dataskydd.net
Datenschutzfunktionen von Websites prüfen
european-alternatives.eu
Europäische Alternativen für digitale Dienste und Produkte
usefathom.com
Privacy-focused website analytics • no cookie notices required • GDPR Compliant
goatcounter.com
Open Source web analytics which doesn’t track users with unique ID and doesn’t need a GDPR notice.
Ghostery: Shady business practices?, Wikipedia
🎙Podcast-Tipp: „Auslegungssache Episode 89“
Der Technische Leiter bei Heise Medien schildert die Problematik von Cookie-Consent-Lösungen.