DSGVO & Cookies, Checkbox etc.

von | Mai 3, 2018 | Datenschutz, Recht | 0 Kommentare

Problem: Die DSGVO kommt und ich habe gehört, dass ich einen Cookie Hinweis, bzw. Checkboxen für jedes Formular auf meiner Webseite benötige. Einfache Antwort: Das ist Quatsch, eine Cookie Hinweis wie er in den vergangenen Jahren üblich war kann sogar schädlich sein da er ein Missverständnis provoziert.

 

 

 

HTTP Protokoll

Warum der Allgemeine Cookiehinweis Quatsch ist:

WordPress Webseiten setzen standardmässig keine Cookies beim Besuchen der Webseite. Cookies sind nur erforderlich wenn man sich einloggt, z.B. um die Seite zu pflegen oder (was nur zutreffend ist wenn diese Funktion auf der Seite angeboten wird) um Beiträge zu kommentieren. In beiden Fällen ist die Verarbeitung über §6 Art. f DSGVO gedeckt da die Verarbeitung erforderlich ist um dem Interesse des Nutzers nachzukommen. Trotzdem sollte man entsprechende Hinweise z.B. zur Kommentarfunktion in der Datenschutzerklärung aufnehmen.

Von einem Allgemeinen Cookie Hinweis hingegen, wie er bisher üblich war, ist dringend abzuraten! Die DSGVO fordert das – falls die Verarbeitung nur mit einer Einwilligung rechtmässig ist – keine Daten verarbeitet werden bis eine Zustimmung erfolgt ist und fordert die  Dokumentation dieser Zustimmung. Wer einen Cookinehinweis dahingehend formuliert suggeriert damit, oder behauptet evtl. sogar, das die Verarbeitung dieser Daten nur mit expliziter Zustimmung erlaubt wäre. Sprich: dass diese Verarbeitung nicht im Einklang mit den Interessen des Nutzers sei. Das sollte aber so gut wie nie der Fall sein – und falls doch sollten Sie sich ernsthaft Gedanken darüber machen welche Daten Sie haben möchten.

Darüber hinaus ergeben sich, aus der Zustimmung des Nutzers, auch eine Reihe von Pflichten für die Partei welche die Daten speichert. (Widerruf, Auskunft, Löschung etc.) Dieser Prozess ist komplex und geht weit über das hinaus was eine Cookie Hinweis auf der Webseite leisten kann. Im Gegenteil – er weist er sogar potentiell auf ein Fehlverhalten hin wenn tatsächlich Cookies gespeichert werden ohne vorher eine Zustimmung einzuholen.

Abgesehen von der Webseite gibt es Anbieter von Drittleistungen (u.A. Google Analytics, Facebook, Jameda) die, falls diese Dienste auf Ihrer Webseite verwendet werden, Cookies speichern und auswerten. Darauf, welche Dienste auf der Webseite eingesetzt werden, muss in der Datenschutzerklärung hingewiesen werden.

Warum benötigt mein Kontaktformular keine Checkbox:

 Auch für Kontaktformulare gilt i.d.R. die Vearbeitung von Daten via §6 Art. f DSGVO. Sprich: es ist davon auszugehen, dass es im Interesse des Nutzers liegt das seine Daten verarbeitet werden. Darüber hinaus haben viele Formulare auch noch eine Vertranbahnende Funktion oder sind gar der Vertragsabwicklung dienlich und fallen Damit zusätzlich noch unter §6 Art. b DSGVO (Verarbeitung zur Vertragsabwicklung). Daher sollte, wer mit seinen Formularen nicht gerade Daten verschickt die nicht aus dem Ausfüllprozess hervorgehen (z.B. unüblichen Abfragen durch Scripte zum Zustand des Browsers / Computer) sich keine Sorgen über die Zustimmung machen.

Auch hier (siehe Cookiehinweis) gilt: wer sich eine Zustimmung einholt suggeriert damit, oder behauptet evtl. sogar, das die Verarbeitung dieser Daten nur mit expliziter Zustimmung erlaubt wäre. Sprich: dass diese Verarbeitung nicht im Einklang mit den Interessen des Nutzers sei. Das sollte aber fast nie der Fall sein – und falls doch sollten Sie sich ernsthaft Gedanken darüber machen welche Daten erhoben und verschickt werden.

Rechtsanwalt Stephan Hansen-Oest hat dieses Thema recht umfangreich in seinem Podcast „Checkbox: Bullshit“ mit diesem Thema ausseinandergesetzt:

Braucht mein Kontaktformular jetzt eine Checkbox?

 

Wann und wie müssen Kontaktformulare verschlüsseln:

Nicht ganz so falsch ist: Jede Webseite die Kontaktformulare anbietet sollte auch über eine SSL Verschlüsselung verfügen damit die Daten auf dem Weg zum Server geschützt werden. Genau genommen ist das in der Praxis aber eher Unfung da die Verschlüsselungspflicht nur für „besonders schützenswürdige“ Daten gilt. Viel wichtiger ist die Verschlüsselung z.B. für Passwörter beim Einloggen.

Besonders schützenswürdige Daten sind dabei solche die der Vorabkontrolle (BDSG  §4d (5.1) Meldepflicht) unterliegen. Welche Daten das sind findet man wiederrum in BDSG §3 (9) „Weitere Begriffsbestimmungen“. Darunter fallen: „Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“ Natürlich können in jedem Kontaktformular solche Daten eingegeben werden, aber nur wenn sie explizit abgefragt werden sollte das Kontaktformular unter BDSG §4d fallen.

Darüber hinaus gibt es, bei all den Diskussionen über die Verschlüsselung von Kontaktformularen, eine schwerwiegende Lücke: die E-Mails oder Datenbankeinträge werden, mit extrem wenigen Ausnahmen, unverschlüsselt gespeichert/ übertragen und verstoßen allein dadurch gegen die Verschlüsselungspflicht. Wer es richtig machen will muss diese Daten also auch in den Nachrichten die via E-Mail verschickt werden verschlüsseln bzw. verschlüsselt in der Datenbank speichern.