Die DSGVO und das Blockieren von Cookies - Anfangsniveau

08.01.2020, Ivan Kovac

Die DSGVO ist am 25. Mai 2018 in Kraft getreten und genießt noch immer die Reputation eines Boogeymanns, als etwas mysteriöses, das Vorsicht erfordert. Einerseits sind die Sanktionen riesig, andererseits ist es nicht ganz klar, was verlangt werden sollte.

Davon konnte ich mich selbst überzeugen, als ich alle 88 Seiten der kroatischen Version des Dokuments durchzulesen versuchte. Es ging nicht. Es ergaben sich mehr Fragen als Antworten. Aber wen könnte ich um eine genaue Erklärung bitten?

Hunderte Artikel zu diesem Thema lieferten hunderte Antwortmöglichkeiten. Autoren vermieden es meistens, irgend etwas genau und präzise zu sagen (meine Vermutung ist es, dass sie dies aus Selbstschutz vor Sanktionen taten, sofern es sich herausstellen sollte, dass sie etwas Falsches geschrieben hatten).

Anfragen in FaceBook-Gruppen, wo sich tausende von Web Developern oder Web Marketingleuten befinden (also die Leute, welche schon x-mal die DSGVO-Umsetzung auf Webseiten durchgemacht haben), ergaben im Durchschnitt 0-2 Antworten. Meistens erhältst du lediglich einen Link zu einem Artikel, den du schon kennst und der nicht zufriedenstellend war.

Was mir schlussendlich den Hinweis gab, dass ich auf dem richtigen Weg befand war eine „Halte das Wasser zurück…“*-Lösung, welche ich von einem Administrator einer DSGVO-FB-Gruppe bekam, nachdem ich alle meine bisherigen Maßnahmen präzise aufgeführt hatte.

Auf Kroatisch (sowie in ähnlichen Sprachen) gibt es keine standardisierte To-Do- oder Checkliste, die uns Schritt für Schritt durch den Prozess führen könnte.

Am Ende musste ich dann einen Kaffee mit dem Geschäftsführer eines DSGVO-Consulting-Unternehmen trinken.

Alles was Sie nun weiter in diesem Dokument lesen werden ist das Ergebnis einer stundenlangen Suche nach zweifellosen, klaren Antworten und Erklärungen zu „was verlangt wird und wie das zu schaffen ist“.

In diesem Blog-Beitrag gehen wir folgendes durch:

  • Was erfordert DSGVO bezüglich personenbezogener Daten und der Informationspflicht des Webseite-Besuchers;
  • Wie können wir sicherstellen, dass KEINE Cookies gespeichert werden, bevor der Besucher seine Einwilligung gegeben hat;
  • Welche Seiten einer Webseite sind obligatorisch und was müssen diese enthalten.

*“…bis die Meister weggehen.“ - die Lösung, die nicht sicher und final ist - umgangssprachlich

Wo sollen wir anfangen?

Der erste Schritt ist zu überprüfen, wo und welche Daten der Besucher bei Benutzung Ihrer Webseite hinterlässt. Zum Beispiel: Muss der Benutzer sich registrieren und trägt er selbst seine personenbezogenen Daten ein?

In dies der Fall, muss das Anmeldeformular die folgenden Elemente enthalten:

  1. Eine Erklärung zum Verarbeitungszweck der personenbezogenen Daten, sofern die Besucher entscheiden, diese zu hinterlassen. Ausführlichkeit oder Prägnanz der Erklärung hängen von Ihrer Inspiration ab, aber alle Informationen müssen richtig und wahr sein.  Das bedeutet folgendes: Sofern ich erkläre, dass ich die Daten zum Zweck vom Versenden von Newsletters sammle, habe ich KEIN Recht, andere Inhalte außer dem Newsletter an die gesammelten Adressen zu schicken.
  2. Eine Zustimmung/ Einwilligung – dies ist ein obligatorisches Element, für welches der Benutzer seine Einwilligung erteilt. Einfach nur „Newsletter-Anmeldeformular“ oben in Großbuchstaben anzugeben, ist nicht genug. Bei der DSGVO ist nichts selbstverständlich. Dieses Element kann weggelassen werden, sofern Sie stattdessen die Option Double-OPT IN einführen. Beim Double-OPT IN sollte der Benutzer auf eine E-Mail antworten und damit seine Einwilligung bestätigen. Nehmen Sie jedoch zur Kenntnis, dass die Meinungen dazu geteilt sind. Sofern Sie sich sicher fühlen möchten, entscheiden sie sich für die Check-Box Option.

Die Erklärung, sowie die Einwilligung dürfen lediglich einen Verarbeitungszweck enthalten (sogenanntes Kopplungsverbot).

Zutritt zu übermittelten personenbezogenen Daten

Personen, welche auf diese Art und Weise ihre eigenen personenbezogenen Daten eingegeben haben, haben das Recht auf Auskunft, Löschung, sowie auf Berichtigung der Daten. Unsere Pflicht ist es nicht nur dem Benutzer das Bestehen dieser Rechte deutlich mitzuteilen, sondern ihm auch zu erklären, wie er diese im gegebenen Fall ausüben kann.

Im erstem, sowie auch in jedem folgenden Newsletter, sollte eine Erinnerung im Footer angegeben werden welche Informationen zum Empfangszweck, zu den Möglichkeiten der Löschung oder Änderung der Daten, sowie zum Widerruf der Einwilligung sichtbar anzeigt.

Außerdem, sofern der Benutzer die erforderlichen Schritte nicht selbst vornehmen kann, müssen die Kontaktdaten von einer anderen verantwortlichen Person (zuständig für die Datenverarbeitung) angegeben werden.

Das wäre im Wesentlichen alles.

Beim Prozess der Selbstspeicherung lässt sich das Verfahren in folgende Schritte zusammenfassen:

  • den Benutzer über den Verarbeitungszweck informieren;
  • die Speicherung verhindern, falls der Benutzer die Kästchen nicht selbst gekennzeichnet hat und damit seine Einwilligung für diesen konkreten Zweck gegeben hat;
  • den Benutzer über das Recht auf Auskunft, Löschung, sowie auf Berichtigung von Daten informieren (dies wurde am häufigsten in der Datenschutzerklärung-Seite erwähnt);
  • dem Benutzer einfache und möglichst kurze Vorgehensweisen zur Einsicht, Änderung und Berichtigung seinen Daten ermöglichen (im Fall einer E-Mail-Kampagne könnte sich zum Beispiel ein Link im Footer befinden; sofern die Seite eine Registration erfordert, muss sie zum Beispiel eine Benutzerschnittstelle mit allen notwendigen Informationen zur Kontodeaktivierung enthalten; in jedem Fall muss sie eine Kontakt-E-Mail Adresse einschließen);
  • den Benutzer darüber informieren, dass die gespeicherten Daten NUR für den vorher genannten Zweck verarbeitet werden;
  • den Benutzer darüber informieren, dass die gespeicherten Daten NUR in der vorher erklärten Art und Weise verarbeitet werden;
  • sofern irgendwelche Änderungen vorgenommen werden, müssen die Benutzer zum Zweck der Erteilung einer neuen Einwilligung oder eines Widerrufs benachrichtigt werden.

Es ist nicht notwendig, die Datenschutzerklärungsseite in der Anmeldung zu markieren, solange sie dem Benutzer öffentlich sichtbar in der Form von einem Link (oder gelinktem Wort) im Footer zur Verfügung steht.

Über die Datenschutzerklärung

Wie schwierig es sein könnte, ihre Datenschutzerklärung zu erstellen, hängt von der Anzahl der Kommunikationskanäle ab welche Sie mit Ihren Benutzern haben.

Ganz allgemein gesagt, muss die Datenschutzerklärungsseite folgende Elemente enthalten:

  • Eine Erklärung über die Webseite, die Eigentümer der Webseite, sowie kurze Informationen zum Inhalt der Datenschutzerklärung;
  • Den Zweck zur Speicherung und Verarbeitung der personenbezogenen Daten;
  • Eine detaillierte Erklärung zum Sammeln von Daten (welche Art von Daten, die Art und Weise der Erhebung und den Erhebungszweck);
  • Eine Erklärung zur Datenübermittlung an Dritte (welche Daten und Dritte), sofern es diese gibt;
  • Dauer der Datenspeicherung;
  • Rechte der Betroffenen, im Rahmen der DSGVO;
  • Kontaktdaten des Verantwortlichen;
  • Warnung in Bezug auf eventuelle Änderungen der Datenschutzerklärung.

Nun endlich kommen wir zu den Daten der Benutzer, die nicht von ihnen selbst eingetragen und gespeichert werden – Cookies!

Keine Cookies bevor Einwilligung!

Wenn sie zum ersten Mal eine Webseite besuchen, haben sie wahrscheinlich zuerst den Hinweis auf die Cookie-Einstellungen bemerkt, mit der Möglichkeit, diese zu erlauben oder abzulehnen.

Bis vor kurzem war ausreichend, dem Besucher nur eine Information zur Benutzung von Cookies aufzuführen. Jetzt muss der Besucher die Möglichkeit haben, Cookies zu blockieren (sodass keine Cookies nach dieser Entscheidung gespeichert werden) oder ihrer Anwendung zuzustimmen (und erst dann werden die ersten Cookies geladen).

Obwohl lediglich zwei Optionen (JA oder NEIN) IM MOMENT ausreichend ist, ist es auch zu empfehlen, verschiedene Kategorien von Cookies anzubieten. In diesem Fall kann der Benutzer auswählen, welchen Cookies er zustimmt und welchen nicht.

Es ist wichtig zu betonen, dass alle Kästchen zur Einwilligung LEER sein müssen! Der Benutzer soll die Möglichkeit haben, selbst zu markieren, was er will. Eine „Alles markieren“-Schaltfläche ist auch eine akzeptable Option.

Wie dies genau in der Praxis aussieht, zeige ich nun am Beispiel von Firefox (für alle anderen Browser kenne ich die Möglichkeiten leider nicht, da ich sie nicht benutze):

DSGVO, Cookie, Datenschutz, Webseite

DSGVO, Cookie, Datenschutz, Webseite, 2

DSGVO, Cookie, Datenschutz, Webseite, 03

Bei Klicken auf Tools > Web Developer > Storage Inspector (Extras > Web-Entwickler > Web-Speicher-Inspector) wird ein Fenster mit den gewünschten Daten geöffnet. Beachten Sie bitte den Cookie-Hinweis am oberen Rand der Seite.

Auf der linken Seite befindet sich die Cookies-Option. Wählen Sie bitte eine der verschiedenen Web-Adressen aus. Auf meinem Bild können sie den Text „No data present for selected host“ sehen, was heißt, dass es keine Cookies gibt.

Auf dem letzten Bild können sie sehen was passiert, wenn alle Kästchen markiert sind und die „Ich stimme zu“-Option ausgewählt wurde. Hier befinden sich nun viele Web-Adressen und im leeren Raum kann man zahlreiche Cookies sehen.

Kurzum, es läuft gut.

Die DSGVO-Pflicht für diesen Teil der Geschichte würde hier enden, es sei denn der Eigentümer der Webseite richtet eine Liste der Cookies ein, die verschiedene Listen der Besucher kreiert (nach IP Adressen). In diesem Fall gelten die oben erklärten Regeln.

Sogar wenn der Eigentümer der Webseite Google Analytics nicht benutzt (wobei wir wissen, dass dort IP Adressen analysiert werden), gibt Google keine Einsicht in diese IP Adressen, sondern nur in jene Daten, welche sich aus der Analyse ergeben. Auf diese Weise bekommt der Eigentümer der Webseite keine analysierten Daten und kann dementsprechend keinen Zutritt auf personenbezogene Daten auf Antrag des Benutzers zur Verfügung stellen (weil er keine Daten hat - ohne Daten gibt es keine Pflicht).

Nun, was soll man genau vorgehen, um Cookies wie gezeigt einzulesen?

Cookiebot Plugin Installation – Schritt für Schritt

1. Schritt: www.cookiebot.com

DSGVO, Cookie, Datensachutz, Webseite, 04

2. Schritt: Geben Sie die Adresse ihrer Webseite ein. Innerhalb einiger Stunden bekommen sie eine E-Mail mit einer Liste, die alle Cookies sowie Cookie-Kategorien enthält.

3. Schritt: Während sie darauf warten, registrieren sie sich durch Klicken auf „Try for free“.

DSGVO, Cookie, Datenschutz, Webseite, 05

DSGVO, Cookie, Datenschutz, Webseite, 06

DSGVO, Cookie, Datenschutz, Webseite, 07

 

DSGVO, Cookie, Webseite, Datenschutz, 08

DSGVO, Cookie, Webseite, Datenschutz, 09

Unter „Dialog“ setzten Sie die Hinweisformen und Einwilligungsmöglichkeiten fest. Bitte nehmen Sie zur Kenntnis, dass die Einwilligung für einige Cookies nicht erforderlich ist, aber es empfiehlt sich, mehrere Einwilligungen für mehrere Cookie-Kategorien zu ermöglichen.

Unter „Content“, schreiben Sie den Text der Hinweisformen auf. Fügen Sie unbedingt die Links zu ihrer Datenschutzerklärung- und Cookies-Seite hinzu!

Unter „Cookies“ kann man die Liste aller vom Cookiebot gefundenen Cookies und deren Kategorien sehen. Es ist wichtig sich die Cookie-Kategorien zu merken, welche wir selbst dem Code hinzugefügt haben (wie z.B. Google Analytics), weil wir diesen Code am Ende des Verfahrens ergänzen müssen.

Unter „Reports“ befinden sich alle bisherigen Berichte.

Nun installieren wir Plugin:

DSGVO, Cookie, Webseite, Datenschutz, 10

Passen wir die Einstellungen folgenderweise an:

DSGVO, Cookie, Datenschutz, Webseite, 11

DSGVO, Cookie, Webseite, Datenschutz, 12

Am Ende, falls wir den Code für Google Analytics oder Facebook Pixel hinzugefügt haben, sollten wir ihn jetzt mit type=”text/plain” data-cookieconsent=”statistics” ergänzen (bzw. statistics steht in unserem Beispiel; unter Anführungszeichen soll die Kategorie aus dem Bericht angeführt werden). Wir gehen weiter zu Appearance > Theme Editor > Theme Header (header.php) und fügen den neuen Code mit <script> ein:

DSGVO, Cookie, Webseite, Datenschutz, 13

Falls der Code, den sie früher schon ergänzt haben, etwas wie <noscript> … </noscript> am Anfang / Ende enthält, löschen Sie diesen Codeteil.

Sofern etwas nicht gut oder gar nicht funktioniert, können Sie sich direkt an mich wenden. Ich stehe Ihnen gerne und immer zur Verfügung!

Sofern alles gut läuft, dann gratuliere ich Ihnen! Sie haben gerade die Cookies auf ihrer Webseite richtig eingestellt!

Der Originaltext


Gefällt Ihnen dieser Blogpost? Wenn Sie regelmäßig die neuesten Trends im Datenschutz & IT-Sicherheit mitbekommen möchten, dann abonnieren jetzt unseren Newsletter. Hier geht es zum Anmeldeformular.