Anforderungen an die IT-Sicherheit für Websitebetreiber

Bereits im Juli 2015 wurden Betreiber von Websites durch das IT-Sicherheitsgesetz verpflichtet, ihre technische Umgebung ausreichend zu schützen. Auch die EU-Datenschutz-Grundverordnung (DSGVO) fordert allgemein, dem Stand der Technik entsprechende Sicherheitsmaßnahmen. Die Anforderungen sind jedoch sehr offen formuliert. Dieser Beitrag erklärt, welche IT-Sicherheitsmaßnahmen Websitebetreiber zu treffen haben.

Welche IT-Sicherheitsmaßnahmen sind erforderlich?

Der unbefugte Zugriff auf die Einrichtungen, mittels derer die Website betrieben wird, ist zu verhindern. Dritten darf es nicht möglich sein, den Server bzw. die IT-Systeme, auf denen die Website gehostet oder mittels derer sie administriert wird, auszulesen oder gar zu kompromittieren. Primär soll das dazu dienen, die immer stärker verbreiteten sogenannten „Drive-by-downloads“ zu verhindern, also solche Schadsoftware, die sich unbemerkt auf fremden Websites einnistet und die Rechner von Websitebesuchern infiziert.

Verhindert werden kann der unbefugte Zugriff Dritter auf Server und IT-Systeme unter anderem durch die sichere Konfiguration der eingesetzten Betriebssysteme, die Etablierung eines geeigneten Patch-Managements und den Einsatz einer Firewall, eines Virenscanners sowie von Intrusion-Detection-/Prevention-Systemen. Auch die Auswertung von Protokollen kann hilfreich sein.

Zudem verlangt das Gesetz auch den Schutz personenbezogener Daten, was durch den Einsatz von sicheren Verschlüsselungstechnologien geschehen kann. Dies umfasst neben einer verschlüsselten Datenhaltung auch den Einsatz von Transportverschlüsselungen, so dass der Weg der Daten zwischen Website und Browser des Besuchers ausreichend gesichert ist. Für Websites bedeutet dies insbesondere den Einsatz einer SSL- oder TLS-Verschlüsselung.

Ebenfalls betroffen sind aber auch entsprechende Analysetools für Websites, wie beispielsweise Google-Analytics, Piwik oder auch Wiredminds, da auch hier bis zur Anonymisierung der IP-Adressen eine Rückverfolgbarkeit einzelner Personen möglich ist. Beim Einsatz sind also ausreichend sichere Zugangspasswörter zu wählen, welche innerhalb eines angemessenen Zyklus gewechselt werden sollten.

Schließlich wird vom Gesetzgeber erwartet, dass Websitebetreiber ausreichende Sicherungen gegen Störungen durch äußere Angriffe, insbesondere DoS- oder DDoS- Attacken ergreifen. Solche Angriffe zielen darauf ab, dass die Website durch eine gezielt hervorgerufene Überlastung zusammenbricht und folglich nicht mehr erreichbar ist. Diese – zugegebenermaßen recht schwierige – Aufgabe wird die Praxis vor große Hürden stellen, da dauerhaft effektive Gegenmaßnahmen schwer zu finden sind.

Müssen alle Websitebetreiber die gleichen Sicherheitsmaßnahmen leisten?

Der Tatsache geschuldet, dass nicht alle Websitebetreiber das gleiche Maß an Sicherheit leisten können und müssen, hat der Gesetzgeber das Korrektiv der technischen Möglichkeit und wirtschaftlichen Zumutbarkeit von Sicherungsmaßnahmen geschaffen. Es ist also für jede Website individuell zu beurteilen, wie hoch die zu treffenden Sicherheitsmaßnahmen sein müssen.

Leider gibt der Gesetzgeber den Betreibern jedoch keine Kategorien an die Hand, die zu einer solchen Beurteilung herangezogen werden können. Deshalb wird man sich im Zweifel selbst helfen müssen und Kriterien wie die Reichweite des Angebots, die Menge und Kritikalität der Daten oder auch die regelmäßige Besucherzahl bemühen müssen. Dies schafft für die Betreiber von Websites auf der einen Seite natürlich Spielräume hinsichtlich der Umsetzung, auf der anderen Seite ist damit aber stets eine gewisse Unklarheit verbunden, ob das gesetzlich zu erfüllende Maß tatsächlich eingehalten wurde.

Hinweis: Die Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 26. April 2018 zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018 dürfte auf die folgenden Aussagen keinen Einfluss haben. Das Papier behandelt die Frage der anwendbaren Rechtsgrundlagen und geht auf Folgepflichten nicht ein. Da im Ergebnis DSGVO und IT-Sicherheitsgesetz gleichförmige Pflichten aussprechen, hätte auch ein „Totalentfall“ des 4. Abschnitts des TMG keine wesentliche Auswirkung.

Dieser aktualisierte Artikel wurde zuerst am 9. Juni 2016 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Mehr Datenschutz durch neues Melderecht

Seit November 2015 gilt in Deutschland ein neues Melderecht. Neben einer bundesweiten Vereinheitlichung des Meldewesens bringt das neue Meldegesetz vor allem auch eine längst überfällige Stärkung des Datenschutzes mit sich. Die bisherige Praxis bei der Auskunftserteilung durch die Meldebehörden wurde abgeschafft. Künftig sind die Hürden für Auskünfte seitens der Meldeämter deutlich höher. In diesem Artikel stellen wir Ihnen die datenschutzrelevanten Änderungen beim Melderecht vor.

Adressweitergabe: Einwilligung statt Widerspruch

In der ehemaligen Ausformung des Meldegesetzes gestattete die Rechtslage den Meldebehörden die Erteilung von Auskünften zum Zwecke der Werbung und des Adresshandels dem Grunde nach immer, außer es wurde seitens des Bürgers ein Widerspruch gegen die Auskunftserteilung erhoben. Für den Bürger bedeutete dies, dass er stets aktiv tätig werden musste, um eine Weitergabe der eigenen Daten zu verhindern. Bedenkt man dabei, über welche Arten von Daten die Meldeämter verfügen, war diese Widerspruchslösung eher ungeeignet, um einen angemessen Schutz der Bürgerdaten zu gewährleisten.

Dieses Modell wurde nun umgekehrt, eine Weitergabe der Daten zum Zweck der Werbung und des Adresshandels ist nur noch dann zulässig, wenn der Betroffene aktiv seine Einwilligung erklärt hat. Bleibt man also untätig bzw. gibt man keine Erklärung zum Thema Datenweitergabe ab, so darf eine solche also künftig nicht mehr stattfinden. Diese Variante dürfte dem Rechtsempfinden der Bürger zum Datenschutz im Ergebnis wohl wesentlich gerechter werden.

Datennutzung: Beschränkung durch Zweckbindung

Ebenfalls haben sich die Voraussetzungen für Auskünfte zur gewerblichen Nutzung geändert. So müssen künftig solche Auskunftsanfragen stets den Zweck der Anfrage angeben. Die weitere Nutzung der Daten darf sodann ausschließlich zu dem in der Anfrage angegebenen Zweck erfolgen. Diese Neuregelung ermöglicht künftig eine effektivere Kontrolle der Einhaltung des bereits bestehenden datenschutzrechtlichen Zweckbindungsgrundsatzes.

Zugriffserleichterung für Sicherheitsbehörden

Daneben bringt das neue Meldegesetz auch im Bereich des staatlichen Zugriffs eine Änderung mit sich. Denn Sicherheitsbehörden und andere, noch zu bestimmende, amtliche Stellen haben künftig durch die Einrichtung eines Online-Zugangs rund um die Uhr die Möglichkeit, auf die Meldedaten zuzugreifen. Dies soll insbesondere die Strafverfolgung erleichtern und effizienter gestalten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Konzerninterner Datentransfer mittels Betriebsvereinbarung

Konzerne sind meist auf eine konzernweite IT-Infrastruktur, beispielsweise ein ERP- oder CRM-System, angewiesen. Die große Herausforderung besteht darin, einen aus Sicht des Datenschutzes rechtskonformen Einsatz zu gewährleisten, ohne dabei größeren technischen oder organisatorischen Aufwand zu erzeugen oder den Datentransfer zu beschränken. Ein geeignetes Mittel dafür kann eine Betriebsvereinbarung sein, deren Form und Inhalte hier erläutert werden.

Was schreibt der Datenschutz beim konzerninternen Datentransfer vor?

Das grundlegende Problem ist, dass das deutsche und wohl auch das sich anbahnende europäische Datenschutzrecht kein Konzernprivileg vorsehen, das einen freien Datenaustausch im Konzern ermöglichen würde. Vielmehr sind auch Datentransfers zwischen unternehmerischen Müttern und Schwestern den gleichen Regeln unterworfen, wie zwischen beliebigen fremden Unternehmen.

Daher müssen auch Konzernunternehmen mit Niederlassung(en) in Deutschland mit den Instrumenten auskommen, die das deutsche Rechtssystem zur Verfügung stellt. Dies sind als mögliche Rechtsgrundlagen

  1. die Einwilligung der Betroffenen,
  2. das Stützen auf einen gesetzlichen Erlaubnistatbestand oder
  3. der Abschluss einer Betriebsvereinbarung.

Mangels Praktikabilität kann die Einwilligung bereits im Vorfeld außer Acht gelassen werden. Auch das Stützen auf einen gesetzlichen Erlaubnistatbestand ist meist nicht empfehlenswert, da diese regelmäßig auf einer Interessenabwägung basieren, deren positiver Ausgang für jede einzelne Datenübertragung erneut festgestellt werden müsste. Daher bleibt oft allein die Betriebsvereinbarung als sinnvolle rechtliche Gestaltungsmöglichkeit.

Die Betriebsvereinbarung als Form einer Einwilligungserklärung

Die Betriebsvereinbarung stellt eine sogenannte „andere Rechtsvorschrift“ nach § 4 Abs. 1 BDSG dar und kann somit grundsätzlich eine Datenweitergabe rechtfertigen. Sie ist (nicht-juristisch) als eine Art kollektive Einwilligungserklärung aller Mitarbeiter zu sehen. Die Betriebsvereinbarung ist deshalb unter anderem auch dem Transparenzgebot, das für Einwilligungserklärungen gilt, unterworfen. Für die Betroffenen muss also aus der Betriebsvereinbarung klar hervorgehen, wer welche Daten zu welchem Zweck verarbeitet.

Behördliche Anforderungen an die Betriebsvereinbarung

Folgende Mindestanforderungen stellen die Aufsichtsbehörden an eine Betriebsvereinbarung, die als Legitimationsgrundlage für den konzernweiten Datenaustausch fungieren soll:

1. Schaffung eines konzernweiten Datenschutzkonzepts

Ein konzernweites Datenschutzkonzept soll zum einen die konkreten Zwecke festlegen, zu denen personenbezogene Daten im Konzern verarbeitet werden dürfen. Hierdurch wird der Arbeitnehmer auf organisatorischer Ebene davor geschützt, dass seine personenbezogenen Daten in nach deutschen Gesetzen rechtswidriger Art und Weise ausgewertet werden. Zum anderen sollen auch technisch-organisatorische Maßnahmen festgelegt werden, die den Schutz der Daten hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität gewährleisten sollen.

2. Transparenz bzgl. des Verarbeitungsverlaufs der Daten

Da jede Verarbeitung von personenbezogenen Daten eines Mitarbeiters im Konzern grundsätzlich einen (wenn auch gerechtfertigten) Verstoß gegen das informationelle Selbstbestimmungsrecht darstellt, muss für den Mitarbeiter zumindest erkenntlich sein, von wem, auf welche Art und zu welchem Zweck seine Daten verarbeitet werden. Eine solche Schaffung geeigneter Transparenz-Maßnahmen ist Grundvoraussetzung dafür, dass der Mitarbeiter seine Betroffenenrechte überhaupt wahrnehmen kann.

3. Arbeitgeber bleibt Verantwortlicher für personenbezogene Daten

Der eigene Arbeitgeber muss umfassender Ansprechpartner des Arbeitnehmers bleiben, dessen Daten im Konzern verarbeitet werden. Diese Anforderung dient ebenso wie das Transparenzgebot der Wahrnehmung der Rechte der Mitarbeiter. Denn gäbe es den eigenen Arbeitgeber nicht als zentralen Ansprechpartner, so müssten die Mitarbeiter sich unmittelbar an das datenverarbeitende Unternehmen wenden, was oftmals mit Sprachbarrieren oder auch Problemen bei der Auffindung eines zuständigen Ansprechpartners verbunden wäre. Um dies zu verhindern, werden diese Probleme auf den eigenen Arbeitgeber abgewälzt.

Verbindlichkeit der & Zuständigkeit für die Betriebsvereinbarung

Soll eine Betriebsvereinbarung konzernweit Transfer und Verarbeitung von Daten legitimieren, ist sicherzustellen, dass dafür überhaupt die notwendigen Befugnisse der Vertragspartner vorliegen. Denn die Zuständigkeit des eigenen Betriebsrats endet an der Unternehmensgrenze. Das heißt, der Betriebsrat kann Verarbeitungen im eigenen Unternehmen regeln; es ist ihm aber nicht möglich, über die Rechte der eigenen Mitarbeiter hinsichtlich der Datenverarbeitung durch andere konzernangehörige Unternehmen zu bestimmen.

Infrage kommt deswegen nur eine Konzernbetriebsvereinbarung. Für den Abschluss einer solchen Regelung muss jedoch – sofern ein solcher existiert – der Konzernbetriebsrat herangezogen werden. Denn nur ein solches Gremium kann eine vertragliche Bindung aller konzernangehörigen Unternehmen herstellen.

Betriebsvereinbarung gilt nur für Beschäftigte

Zu guter Letzt noch der Hinweis, dass eine Betriebsvereinbarung stets nur Wirkung für Beschäftigte haben kann. Abgesehen von Konzernbetriebsvereinbarungen sind auch nur die Kollegen in einem konkreten Betrieb erfasst, für den die Betriebsvereinbarung gilt. Niemals können jedoch Rechtsverhältnisse von Bewerbern oder Dritten, externen Personen, mit einer Betriebsvereinbarung geregelt werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Anleitung: Datenschutzkonformer Einsatz von Outlook Web Access (OWA) im Unternehmen

Viele Mitarbeiter sind grundsätzlich motiviert, auch unterwegs oder von zuhause geschäftliche E-Mails zu lesen und ggf. auch zu bearbeiten. Nicht allen diesen Mitarbeitern stehen dazu geschäftliche Geräte, insbesondere „Diensthandys“ zur Verfügung. Werden aber geschäftliche Informationen auf Geräte übertragen, die sich außerhalb des Einflussbereichs des Unternehmens befinden (Stichwort: Bring Your Own Device, BYOD), wird es datenschutzrechtlich heikel. Dabei existieren technische Möglichkeiten, die eine legale Lösung ermöglichen: Zum Beispiel Outlook Web Access (OWA), dessen datenschutzkonformen Einsatz der folgende Beitrag erklärt.

Das Problem: BYOD & Datenschutz

Werden E-Mails durch Systeme abgerufen, die nicht Eigentum der verantwortlichen Stelle sind, entstehen mehrere Probleme:

  • Die Erfüllung der „Acht Gebote des Datenschutzes“ ist nicht mehr möglich. Insbesondere Zugangs- und Zugriffs-, aber auch die Eingabekontrolle sind regelmäßig nicht mehr zu gewährleisten.
  • Zudem müssen sich Unternehmer fragen, ob es sich in solchen Fällen nicht um eine „Übermittlung“ im gesetzlichen Sinne handelt, die schlicht verboten ist, solange man nicht eine passende Rechtsgrundlage dafür findet.
  • Oder das Unternehmen bewegt sich in den Bereich der „Verarbeitung im Auftrag“ wodurch die umfangreichen Pflichten nach § 11 BDSG ausgelöst werden. Besonders die eventuell notwendigen Rechte, auch zu Kontrollen beim Arbeitnehmer zuhause, lösen selten Begeisterung aus.

Lösung: Datenhoheit bleibt auf dem Unternehmensserver

Umgehen lassen sich diese Probleme, wenn das Unternehmen verhindert, dass die Daten den eigenen Herrschaftsbereich verlassen. Der Zugriff auf E-Mails per Internetbrowser kann hierzu eine Lösung darstellen.

Entscheidend ist, dass nur der flüchtige Fernzugriff auf das Mailsystem erlaubt, die dauerhafte Übertragung von Daten – insbesondere durch den Download von Anhängen – aber verhindert wird. Hierfür bietet sich OWA als flexible technische Lösung an.

Datenschutzkonformer Einsatz von OWA durch optimale Konfiguration des Exchange Servers

Exchange sieht Möglichkeiten vor, den Dateizugriff per OWA zu steuern. Hier ist es möglich, zwar den Abruf des Textes einer Mail zuzulassen, den Aufruf oder Abruf von Anhängen aber zu unterdrücken. Dies bewirkt, dass es nicht zu lokalen Kopien aufgerufener Anhänge kommen kann. Diese lokalen Kopien würden ansonsten regelmäßig entstehen, selbst wenn der Anhang nur betrachtet und nicht bearbeitet wurde.

Die notwendigen Einstellungen sind im Exchange Admin Center vorzunehmen.

  1. Im Bereich Berechtigungen finden sich die Outlook Web App-Richtlinien.
  2. In den Richtlinien lassen sich Regelungen für den Dateizugriff
  3. Der Aufruf von Dateien lässt sich künftig verhindern, indem alle Optionen abgewählt

Die folgenden Screenshots zeigen die vorzunehmenden Einstellungen in der Version Exchange 2013 (klicken Sie auf die Bilder, um Sie zu vergrößern):

[av_image src=’https://www.activemind.de/wp-content/uploads/activeMind-artikel-datenschutz-owa01.png‘ attachment=’10078′ attachment_size=’full‘ align=“ animation=’no-animation‘ link=’lightbox‘ target=“ styling=“ caption=“ font_size=“ appearance=“ av_uid=’av-3jm7la1′][/av_image]

[av_image src=’https://www.activemind.de/wp-content/uploads/activeMind-artikel-datenschutz-owa02.png‘ attachment=’10080′ attachment_size=’full‘ align=“ animation=’no-animation‘ link=’lightbox‘ target=“ styling=“ caption=“ font_size=“ appearance=“ av_uid=’av-3252uc9′][/av_image]

Auf diese Weise wird der flüchtige Zugriff auf dem Text von E-Mails und auch die Bearbeitung von Nachrichten ermöglicht, aber zugleich weitestgehend verhindert, dass „Reste“ auf dem Computer verbleiben, von dem aus der Zugriff erfolgte. Weiterführende Details, insb. für ältere Exchange Versionen, finden Sie im Technet von Microsoft.

Zusätzliche Konfiguration des verwendeten Webbrowsers für mehr Datenschutz

Um den Datenschutz abzurunden, empfiehlt es sich, auch den Browser, mit dem OWA genutzt wird, entsprechend zu konfigurieren. Hierzu sollte das Löschen der temporären Internetdateien (Browsercache) beim Ende der Sitzung vorgesehen werden.

Beispiel Internetexplorer:

[av_image src=’https://www.activemind.de/wp-content/uploads/activeMind-artikel-datenschutz-owa03.png‘ attachment=’10089′ attachment_size=’full‘ align=’center‘ animation=’no-animation‘ link=’lightbox‘ target=“ styling=“ caption=“ font_size=“ appearance=“ av_uid=’av-w7rll‘][/av_image]

Andere Browser bieten entsprechende Konfigurationsmöglichkeiten; hier das Beispiel Firefox:

[av_image src=’https://www.activemind.de/wp-content/uploads/activeMind-artikel-datenschutz-owa04.png‘ attachment=’10090′ attachment_size=’full‘ align=’center‘ animation=’no-animation‘ link=’lightbox‘ target=“ styling=“ caption=“ font_size=“ appearance=“ av_uid=’av-25w1fjt‘][/av_image]

Beim Einsatz von Verschlüsselung erfolgt standardmäßig ohnehin keine Speicherung von Inhalten; sichtbar zum Beispiel beim Internet Explorer:

[av_image src=’https://www.activemind.de/wp-content/uploads/activeMind-artikel-datenschutz-owa05.png‘ attachment=’10092′ attachment_size=’full‘ align=’center‘ animation=’no-animation‘ link=’lightbox‘ target=“ styling=“ caption=“ font_size=“ appearance=“ av_uid=’av-1gw9109′][/av_image]

Es sollte ggf. geprüft werden, ob diese Standardeinstellung besteht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Sind Cookies datenschutzkonform?

Für Onlineshops sind Cookies technisch notwendig, andere Webseitenbetreiber wollen so vor allem Informationen über Nutzerverhalten sammeln. Doch welche Cookies sind überhaupt zulässig? Wie lange können sie gültig sein? Welche Daten dürfen gespeichert werden? Und wie muss eine Einwilligung erfolgen? Leider sind die Antworten auf diese Fragen zum korrekten und datenschutzkonformen Einsatz von Cookies nicht ganz einfach, weil die Rechtslage in Deutschland derzeit nicht eindeutig ist.

Welche Cookies sind überhaupt zulässig?

Rein datenschutzrechtlich betrachtet, dürfen Cookies eingesetzt werden, solange diese entweder keinen Personenbezug aufweisen (also einen Webseitenbesucher nicht bestimmbar oder wiedererkennbar machen) oder wenn eine Rechtsgrundlage vorliegt. Letzteres kann zum einen die Notwendigkeit sein, einen (Sitzungs-)Cookie zu setzen, weil sich anders die Webseitenanfrage technisch nicht erfüllen lässt. Zum anderen kann man eine Einwilligung einholen, wenn es um Zwecke neben der korrekten Auslieferung der Webseite geht.

Das technisch erforderliche Cookie darf Bestand haben, solange es technisch notwendig ist; das letztere, solange die Einwilligung besteht. Wobei selbst hier die Situation wieder nicht ohne Haken ist, da Gerichte und Behörden zunehmend davon ausgehen, dass Einwilligungen ungültig werden, wenn sie länger ungenutzt bleiben. Nach zwei Jahren soll hier oft Schluss sein.

Was erlaubt die europäische „Cookie-Richtlinie“?

Die aktuellen Fragen zu Cookies entstammen aber oft mehr dem Bereich der ominösen „Cookie-Richtlinie“. In dieser europarechtlichen Vorgabe steht eindeutig zu lesen, dass Cookies – wiederum abgesehen von solchen, ohne die eine Webseite die vom Besucher angeforderten (!) Dinge in der jeweiligen Sitzung technisch nicht erledigen kann – nur gesetzt werden dürfen, wenn der Nutzer „auf der Grundlage von klaren und umfassenden Informationen […] seine Einwilligung gegeben hat“.

Einwandfrei zulässig sind nur Sitzungscookies

Das Problem ist nur, dass Deutschland diese Richtlinie noch gar nicht in innerstaatliches Recht umgesetzt hat, obwohl die Frist hierfür schon abgelaufen ist. Die Praxis rätselt nun, was gilt. Formaljuristisch muss man hier davon ausgehen, dass nach der fehlenden Umsetzung die Richtlinie mittlerweile direkt gilt und sich Betroffene also unmittelbar auf die darin enthaltenen Regelungen berufen können. Alles was ohne Einwilligung passiert, kann also im Ernstfall kritisch sein – falls sich jemand beschwert oder gar klagt.

Wenn man hier sicher gehen will, sollte man keinerlei Cookies einsetzen, außer den besagten Sitzungscookies, ohne die das, was der Besucher machen möchte, schlicht nicht funktioniert. Beispiele wären Cookies für Anmeldung, Spracheinstellungen, Warenkorb o. ä.

Die Frage nach der zeitlichen Gültigkeit der Cookies ist mit der Bezeichnung „Sitzungscookies“ bereits ausreichend beantwortet. Endet die Sitzung, ist das Cookie nicht mehr erforderlich und die Grundlage für die Verwendung entfallen.

Bereits Cookies, die bei einem erneuten Besuch die Wiederanmeldung oder die Mitnahme von Benutzereinstellungen erleichtern sollen, werden in diesem Zusammenhang als nicht mehr zwingend angesehen. Gleiches gilt für alle Cookies, die das Nutzerverhalten verfolgen sollen, etwa für „behavioral advertising“. Ohne eine Einwilligung wird es hier also schwierig.

Worüber müssen Webseiten-Betreiber informieren?

Für alle Cookies sollte man derzeit vor dem ersten Setzen informieren über:

  • die in dem Cookie gespeicherten Informationen,
  • den Zweck der Speicherung,
  • die Speicherdauer,
  • den Verantwortlichen für die Speicherung und
  • dem Bestehen eines Widerrufsrechts hinsichtlich der erteilten Einwilligung zur Cookie-Verwendung.

Wie in § 13 Abs. 1 Satz 2 TMG angedeutet, sind diese Information in den Datenschutzhinweisen einer Webseite gut aufgehoben.

Wie ist die Einwilligung für Cookies einzuholen?

Für alle nicht zwingenden Cookies sollte man eine Einwilligung einholen. Was, je nachdem welcher Auffassung man folgt, mehr oder weniger einfach ist. Die Datenschutzbehörden gehen hier in die Richtung einer „vollwertigen“ Einwilligung, also ggf. Registrierung bzw. Anklicken eines Schalters, einer Tickbox etc.

Andere (allerdings vor allem nicht-deutsche) Stellen erlauben auch eine „konkludente“ Einwilligung im Sinne eines Hinweises wie: „Wenn Sie diese Hinweise gelesen haben und trotzdem weitersurfen, sind Sie mit der Verwendung von Cookies einverstanden.“ Mit dieser Ansicht sollte man aber hierzulande sehr vorsichtig sein.

Ebenso darf man sich nicht darauf verlassen oder zurückziehen, was Benutzer mit ihren Browsereinstellungen machen oder machen könnten. Z. B. trägt man als Webseitenbetreiber das Risiko, dass ein Popup, in dem man auf Cookies hinweisen möchte, geblockt wird und man sich dann hinsichtlich der mutmaßlichen Akzeptanz durch den Nutzer „irrt“.

Fazit: Zurückhaltung beim Einsatz von Cookies ist geboten!

Der Bereich des Cookie-Einsatzes ist leider derzeit rechtlich noch reichlich unklar. Wer völlig sicher gehen will, darf nur zwingend notwendige Sitzungscookies einsetzen, solange die jeweilige Sitzung dauert.

Alles andere wird, wegen der Zweifel die Einwilligung betreffend, oft juristisch streng betrachtet nicht einwandfrei sein. Und wenn etwas an sich schon gar nicht vorhanden sein sollte, stellt sich auch die Frage nach der Gültigkeitsdauer nicht mehr.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!