DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Neue Erkennt­nisse nach ersten Prü­fungen durch Auf­sichts­be­hörden

Einsatz von Cookies und Tracking-Tools auf Web­seiten

Wer kennt sie nicht: Cookie-Banner, die sich inzwi­schen beim Besuch einer jeden Web­seite öffnen. Die aller­meisten können jedoch zu Abmah­nungen führen.

Die baye­rische Daten­schutz­auf­sichts­be­hörde hat am Safer Internet Day, dem 05.02.2019, Web­seiten hin­sichtlich ihrer Daten­schutz­kon­for­mität geprüft. Dabei wurden 20 Web­seiten bezüglich der Umsetzung von „Cyber­si­cherheit” und 40 Web­seiten bezüglich der Umsetzung des „Trackings” der Web­sei­ten­be­sucher durch Cookies und soge­nannte „Tracking Tools” (z. B. Google Ana­lytics) geprüft und bewertet.

Die Ergeb­nisse sind ver­öf­fentlicht und ernüch­ternd: auf keiner der geprüften Web­seiten ist – nach Meinung der baye­ri­schen Daten­schutz­auf­sichts­be­hörde – die Ein­holung der daten­schutz­rechtlich not­wen­digen Ein­wil­ligung mit den „Cookie-Bannern” rechts­konform umge­setzt (siehe Seite 24 und 25 im oben ver­linkten PDF-Dokument)!

Auf­sichts­recht­liche Kon­se­quenzen werden folgen. Das können Anwei­sungen sein, die Ein­holung von Ein­wil­li­gungen rechts­konform zu gestalten, das kann aber auch bereits die Ver­hängung einer Geldbuße sein.

Abmah­nungen drohen!

Ein wei­teres Risiko ist für Web­sei­ten­be­treiber jedoch viel wahr­schein­licher: diverse Gerichts­ur­teile, z. B. durch das OLG Hamburg Ende 2018  haben Ver­stöße gegen Daten­schutz­recht auf Web­seiten als abmahn­fähig ein­ge­stuft.

Zwar ist die bereits im letzten Jahr befürchtete Abmahn­welle aus­ge­blieben, es ist jedoch zu ver­muten, dass findige Abmahner sich bald auf unzu­rei­chende Cookie-Banner kon­zen­trieren und Web­sei­ten­be­treiber kos­ten­pflichtig abmahnen.

Meinung festigt sich auf EU-Ebene

In Juris­ten­kreisen wurde und wird die auch von der baye­ri­schen Daten­schutz­auf­sicht ver­tretene Meinung, das Setzen von Cookies (zumindest solchen, die nicht aus tech­ni­schen Gründen not­wendig sind) und die Ver­wendung von Tracking Tools auf Web­seiten erfordere zwangs­weise eine Ein­wil­ligung des Web­sei­ten­be­su­chers kon­trovers dis­ku­tiert. Inzwi­schen liegt aber ein ganz aktu­elles Rechts­gut­achten des Gene­ral­an­walts am EuGH vor, welches die Meinung auf EU-Ebene bestätigt. Auch wenn noch kein EuGH-Urteil ergangen ist, ist der EuGH in der Ver­gan­genheit häufig der Meinung des Gene­ral­an­walts gefolgt.

Wie sieht eine rechts­kon­forme Lösung aus?

Wenn vor­ein­ge­stellte Ein­wil­li­gungs­er­klä­rungen ohne Alter­na­tiven (die derzeit üblichen Cookie-Banner mit nur einem „OK”-Button) nicht rechts­konform sind, dann müssen Cookie-Banner offen­sichtlich min­destens um einen „Ablehnen” oder „Reject”-Button erweitert werden. Natürlich dürfen keine Cookies gesetzt oder Tracking Tools gestartet werden, wenn der Besucher diese Alter­native aus­wählt.

Ein gutes Bei­spiel ist ein dif­fe­ren­zierter Cookie-Banner, wie er z. B. hier zu finden ist.

Benö­tigen Sie Cookies oder Tracking-Tools über­haupt?

Bevor Sie nun Ihren Web­sei­ten­dienst­leister zur Umsetzung eines daten­schutz­rechts­kon­formen Cookie-Banners beauf­tragen: Fragen Sie sich, ob Sie Cookies und/oder Tracking Tools über­haupt benö­tigen. In vielen Gesprächen mit meinen Kunden habe ich her­aus­ge­funden, dass Cookies und Tracking Tools in den üblichen Ange­boten zur Erstellung und Wartung von Web­seiten ent­halten sind, die damit erzielten Ergeb­nisse oft aber über­haupt nicht genutzt werden.

In diesen Fällen haben sich viele meiner Kunden ent­schieden, dem Risiko zu ent­gehen, indem keine Cookies und Tracking Tools mehr auf der Web­seite ein­ge­setzt werden.

Fazit:

Warum ein Risiko ein­gehen, wenn Sie davon noch nicht einmal einen Vorteil haben?

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werk­um­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.