Lieber Kunde,

am 25. Mai 2018 kommt die neue Datenschutz-Grundverordnung, eine EU Verordnung vom Mai 2016, zur Anwendung. EU-Verordnungen werden im Gegensatz zu EU-Richtlinien direkt zum Bestandteil der nationalen Rechtsordnung und sind enstprechend zu befolgen.

In dieser Mail möchte ich Ihnen durch die DSGVO notwendig gewordeneÄnderungen in meinem Unternehmen mitteilen und Ihnen ein paar Einschätzungen zukommen lassen, welche Auswirkungen die DSGVO auf Ihre 

Webseite haben könnte.

Das Ziel der Verordnung ist, die persönlichen Daten des Bürgers zu schützen. Er soll die Möglichkeit haben, sich vor der Nutzung eines Dienstes über die Art und Dauer der Verwendung seiner persönlichen

Daten zu informieren. Er soll das "Recht auf Vergessenwerden", also auf die Löschung seiner Daten, und das Recht auf die Herausgabe seiner Daten in "maschinenlesbarer Form" haben. Weiter dürfen Unternehmen nur die persönlichen Daten speichern, die sie zur Erfüllung ihrer Dienste brauchen.

Entwickelt wurde die DSGVO um die Datensammelwut und das Gebahren im Ungang mit Benutzerdaten globaler Unternehmen wie Facebook oder Google in den Griff zu kriegen. Auch insbesondere um hier Ernst genommen zu

werden droht die EU mit Strafen von 20 Millionen Euro der 4% des Vorjahresumsatzes.

Die DSGVO betrifft natürlich nicht nur Facebook, sondern alle in der EU ansässigen Unternehmen und sorgt hier nun für eine Riesenunsicherheit. Neben den datenverarbeitenden Prozessen muss auch die Kommunikations

nach außen, z. B. über die Webseite entsprechend angepasst werden. Die EU-Verordnung kommt allerdings nicht mit konkreten technischen, sondern prozessbezogenen gesetzlichen Vorgaben daher, sodass eine Ableitung

konkreter technischer Maßnahmen viel Interpretationsspielraum bietet. Entsprechend voll ist das Internet mit eigenwilligen Interpretationen und Halb- und Unwahrheiten. Ein paar davon sind hier zusammen getragen:

Was ändert sich bei bitbricks

Wir werden unsere Datenschutzerklärung bis zum nächsten Wochenende neben den Verbraucherrechten um detaillierte Informationen zu

  • Art- und Umfang der gespeicherten Daten
  • Grund und Dauer der Speicherung
  • Art- und Weise der Speicherung

erweitern.

Da wir als Hoster direkten Zugriff auf die Daten Ihrer webbasierten Systeme (Onlineshops, Webseiten, ...) und somit auf die Daten Ihrer Kunden haben, werden wir einen AV-Vertrag ausarbeiten, der unsere Rechte und Pflichten regelt und der Umfang und Art und Weise der Datenverarbeitung dokumentiert.

Für unsere Hostingkunden ändert sich Folgendes

In unserem Loginbereich unter my.bitbricks-hosting.de wird ab dem 25.05.2018 die Möglichkeit bestehen, die dort von Ihnen gespeicherten Informationen im JSON-Format zu exportieren.

Sowohl Apache(HTTP)-Logfiles, FTP-Logfiles als auch die Webalizer-Daten  werden von uns ab dem 25.05. nur noch anonymisiert gespeichert. Dementsprechend handelt es sich nicht mehr um persönliche Daten im Sinne der DSGVO. Dies hat Auswirkungen auf die Datenschutzerklärung für Ihre Webseite.

Hinweise für Ihre Webseite

Auch wenn ab dem 25.05. keine Horde wildgewordener Staatanwälte freigelassen wird, die jeden Verstoß gegen die DSGVO schnellstens aufdecken wollen, ist es jedoch nicht unwahrscheinlich, dass abmahnwütige Anwälte die Einführung der DSGVO als neues Geschäftsmodell für sich entdecken. Dementsprechend sollte man bis zu dem Datum seine

Webseite im Hinblick auf die DSGVO geprüft haben. Ich möchte Ihnen hier ein paar unverbindliche Hinweise und persönliche Einschätzungen zu den notwendigen Änderungen geben:

Verlinkung von Kontaktformular, Datenschutz, Impressum und AGB

Die Links (A-Tags) auf diese Seiten können mit einem rel="nofollow" Atribut versehen werden. Dies ist eine Bitte an die bots der Suchmaschinen diese Seiten nicht zu inidizieren. Werden diese Seiten nicht indiziert, können diese auch nicht über die Suche gefunden werden. Eventuell ein erster Schutz gegen eine Abmahnung.

SSL-Zertifikat

Sobald an Ihre Webseite persönliche Daten übermittelt werden, also sobald Sie eine irgendwie geartete Benutzerinteraktion stattfindet, muss diese verschlüsselt stattfinden. Sie benötigen also ein SSL/TLS Zertifikat. Falls die Benutzerdaten über E-Mail weitergesendet werden, sollte Ihre Webseite hierzu einen verschlüsselten SMTP-Server (Meist Port 465) nutzen.

Ein SSL-Zertifikat ist allerdings nicht nur sinnvoll um Datenschutzkonform zu werden. Da Google per SSL ausgelieferte Seiten im Ranking bevorzugt, ist ein Zertifikat auch für Ihr SEO gut.

Erfasste Daten im Kontaktformular

Stellen Sie sicher, nur die Daten über das Kontaktformular zu erfassen, welche Sie zur Bearbeitung der Anfrage benötigen. Dies entspricht dem geforderten Prinzip der "Datensparsamkeit". Auch eine Telefon- oder Faxnummer ist nicht zwangsweise zur Beantwortung der Anfrage notwendig. Deshalb sollte sie zumindest nicht als Pflichtfeld geführt werden.

Checkbox im Kontaktformular

Die vorherrschende Meinung, auch von großen Rechtsplattformen, ist hier, dass jedes Kontaktformular eine Checkbox benötigt. Über diese lässt man sich bestätigen, dass man seiner Hinweispflicht und der Benutzer in die Verarbeitung der Daten einstimmt.

Allerdings beschreibt die DSGVO in Art. 6 die Rechtmäßigkeit, bzw Zulässigkeit der Verarbeitung in bestimmten Fällen. In Absatz 1 heißt es hierzu wenn ... "die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;" Dementsprechend ist meines Erachtens das Übermitteln eines Kontaktformulars durch Art.6 Abs 1, auch ohne

Checkbox gedeckt.

Auch gleichermaßen informativ wie amüsant hierzu der Podcast des etwas unkonventionellen Hamburger Rechtsanwalts Stephan Hansen-Oest:

Es sollte allerdings im Kontext des Formulars darauf hingewiesen werden was genau mit den eingegebenen Daten passiert, wofür (oder insbesondere wofür nicht) diese verwendet werden und wie lange diese gespeichert werden. Dies geschieht am besten über einen kurzen Satz, der auf die ausführliche Datenschutzerklärung verweißt.

Quintessenz: Die Meinungen gehen außeinander. Wir werden keine Bestätigungscheckbox unter unserem Kontaktformular einbinden.

Checkbox im Bestellabschlußformular

Hier sollte noch klarer als bei einem Kontaktformular der Art. 6, Abs greifen.

Benutzertracking

Auf Benutzertrackingdienste wie Google-Analytics oder Matomo (ehemals Piwik) muss in der Datenschutzerklärung explizit eingegangen werden. Weiter ist es notwendig eine Opt-Out-Möglichkeit bereit zu stellen. Der Benutzer muss also die Möglichkeit haben die Verwendung der Webanalyse für sich zu deaktivieren. Die Webanalyse-Tools stellen meistens einen

Code hierfür zur Verfügung der in der Datenschutzerklärung eingebunden werden kann.

Google-Analytics

Da die Benutzerdaten bei Google-Analytics extern (also nicht bei Ihnen auf der Webseite) verarbeitet werden, sollte mit Google ein AV-Vertrag geschlossen werden. Google hat hierzu einen Vertrag erstellt, der über den Google-Account bezogen werden kann.

Cookie-Disclaimer

Mein persönlicher Liebling. Mit der aktuell geläufigen Praxis vieler Seiten, per Overlay, bzw. Seitenüberdeckenden Bereichen auf die Nutzung von Cookies hinzuweisen wird meiner Meinung nach weit über das Ziel hinaus geschossen. Cookies sind eine technische Notwendigkeit, ohne die das Internet in seiner aktuellen Form nicht funktioniert. Ich

persönlich empfinde es als Belästigung, dass mich jede Webseite darauf hinweist, das sie Cookies verwendet. Ach ehrlich? Ja klar, Funktioniert ja auch nicht anders.

Bisher ist es so, dass es eine EU-Richtline gab, die für Cookies eine Opt-In Pflicht, also das aktive Zustimmen des Benutzers _vor_ dem Senden des Cookies vorsah. Diese Richtline ist allerdings nie in deutsches Recht umgesetzt worden, da hier das TMG griff.

Gleichzeitig mit der DSGVO sollte die ePrivacy-Richtigline in Kraft treten. Ob das TMG, welches teilweise als nationale Umsetzung für die EU-Richtline akzeptiert wurde gilt, kann man nicht so genau sagen. Zumal ja das TMG im Gegesatz zur EU-Richtline nur ein Opt-Out vorsah.

Diese ist allerdings noch im Entwurfsstadium, sodass bis zur Verabschiedung sowohl die DSVGO als auch das TMG herangezogen werden kann.

Wenn also die DSGV greift, müsste man vom Benutzer vor setzen des Cookies eine Einstimmung holen. Auch die ePrivay-Verordnung sieht dies beim setzen von Third-Party-Cookies vor. Also: Aus der Warte, reicht selbst das Opt-Out-Verfahren mit einem Cookie-Disclaimer gar nicht aus.

Aber ich denke man kann das relativieren. Cookies können in zwei Arten unterschiedene werden:

1. Session-Cookies

Ein Cookie wird auf dem Client gesetzt der nur eine ID enthält. Anhand dieser ID kann der Server den Client wiedererkennen und kann so eine Sitzung (Session) realisieren. Das ist für alle Systeme wo man sich anmeldet, Oline-Shops etc. notwendig. Diese Cookies werden nach dem schließen des Browsers wieder gelöscht.

Meines Erachtens kann diese Session-ID nicht als persönliche Daten betrachtet werden. Sie kann nur einem Benutzer zugeordnet werden, wenn dieser sich angemeldet hat - also laut Art 6. Abs 1, b) für die vertragliche Durchführung von Maßnahmen (Bestellung) notwendig. Weiter ist sie zudem nur temporär. Auch bei anonymisierten IPs im Log hat ja

der Webserver die wärend der Kommunikation die vollständige IP des Clients, sonst könnte er nicht antworten. Zumal alternativ Art 6. Abs 1 , f) ("Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich"... "die dem Verantwortlichen übertragen wurde") argumentiert werden könnte. Ohne den Cookie geht's halt nicht.

Auch der Entwurf der e-Privacy-Verordung macht übrigens einen Unterschied zwischen technisch Notwendigen und nicht notwendigen Cookies und sieht für erstere keine Zustimmungspflicht vor.

Nach meiner Meinung und insbesondere meinem Empfinden, muss für Session-Cookies kein Cookie-Disclaimer genutzt werden.

2. Langzeit-Cookies:

Diese Cookies sind über den Zeitraum der Session hinaus beim User existent und erlauben ein Wiedererkennen des Benutzers. Lustigerweise muss so ein Cookie gesetzt werden um eine Cookie-Disclaimer langfristig für eine Webseite zu deaktivieren. Hier wäre je nach dem ob man von einem "berechtigen Interesse" des Verantwortlichen ausgeht keine Zustimmung notwendig, oder wenn man das Setzen als Zustimmungspflichtig betrachtet ein Opt-In notwendig. Die Seite wird also erst angezeigt, nachdem der Benutzer der Verwendung des

Cookies zugestimmt hat.

Langzeit-Cookies werden allerdings recht selten verwendet. Notwendig ist das, wenn man z.B. den Warenkorb oder den Login automatisch wieder herstellen möchte. Wir bauen das in unsere Systeme recht selten ein. Was häufiger Vorkommt sind Third-Party-Cookies die z. B. durch Webanalyse oder eingebundene Services wie Youtube. Ich halte mich da mit einer Empfehlung zurück. Die rechtlich komplett sichere Opt-In Variante halte ich aus usability-Sicht für eine sehr krasse Holzhammermethode. Sinnvoll könnte sein für die Third-Party Cookis tatsächlich ein einpoppenden Disclaimer zu erstellen in dem auf die Datenschutzerklärung und auf den Zweck der gesetzten Cookies hingewiesen wird. Damit wäre man zumindest konform zu dem alten TMG.

Allgemein zu Cookies

Generell sollten zu Cookies, sowohl von der eigenen Webseite, als auch von sämtlichen Fremdservern in der Datenschutzerklärung detaillierte Angaben gemacht werden.Nach PHP-Einstellung werden Session-Cookies automatisch gesetzt (session.auto_start = 1 oder auch durch Systeme wie TYPO3) Dies sollte ggf. für System die keine Sessions benötigen deaktiviert werden. Da hier ja zumindest der Grund mit einem berechtigten Interesse wegfällt. Ein Grundsätzliche Anforderung der DSVGO ist es, dass der Umgang mit persönlichen Daten transparent ist und in einer verständlichen Sprache erläutert wird. Trotzdem kann es hilfreich sein von Standardvorlagen auszugehen. 

Mit dieser Mail wollten wir Ihnen unsere persönliche Einschätzung der aktuellen Situation geben. Wir können und wollen hier natürlich keine Rechtsberatung geben, aber vielleicht können Sie unsere Infos gebrauchen um Ihre Webseite für den 25.05 fit zu machen. 

Nix genaues weiß man nicht: Die neue DSGVO

  • 23.05.2018
  • Arne Reith

Lieber Kunde,

am 25. Mai 2018 kommt die neue Datenschutz-Grundverordnung, eine EU Verordnung vom Mai 2016, zur Anwendung. EU-Verordnungen werden im Gegensatz zu EU-Richtlinien direkt zum Bestandteil der nationalen Rechtsordnung und sind enstprechend zu...

Mehr...

Wir wünschen allen unseren Kunden, freien und festen Mitarbeiten ein gutes Jahr 2018!

  • 02.01.2018
  • Arne Reith
Happy new Year 2018!

Das letzte Jahr 2017 war für uns weitestgehend durch die Erweiterung von Bestandsprojekten bestimmt. So haben wir für unseren langjährigen Kunden Audite Musikproduktion einen Relaunch des sehr umfangreichen Onlineangebots unter

Mehr...

Umstellung auf Rechnungsversand per E-Mail

  • 12.02.2016
  • Arne Reith
Mail

Ab heute stellen wir unseren Rechnungsversand von bisher postalisch auf zukünftig per Email um. Von verschiedenen Kunden ist uns in der letzen Zeit schon mitgeteilt worden, dass dies von ihnen begrüßt werden würde. Wir hoffen, dass die digitalen...

Mehr...

HTTPS-Everywhere: Die Zukunft ist verschlüsselt

  • 22.01.2016
  • Arne Reith

Der Trend geht zur komplett verschlüsselten Datenübertragung von Webseiten. Viele große Unternehmen, wie Microsoft, Atlassian, Jetbrains und viele weitere liefern schon jetzt nur noch per HTTPS aus. Mit

Mehr...