29.09.2021

ttdsg
TTDSG in Bezug auf

Cookies und Tracking Tools

 

Am 1.12.2021 tritt das neue Telekommunikations-Telemedien-Datenschutzgesetz in Kraft.

 

In diesem neuen Gesetz werden die datenschutzrechtlichen Vorschriften aus TMG und TKG zusammengeführt und an die Vorgaben der Cookie-Richtlinie angepasst. Die entsprechenden Regeln in TMG und TKG entfallen.

 

Was können Webbetreiber in Bezug auf Cookies oder vergleichbaren Informationen konkret tun?

 

Wenn Sie Cookies oder vergleichbare Informationen setzen möchten, brauchen Sie eine echte und informierte Einwilligung.

 

 

Cookie-Einwilligung per Consent-Tool

Der bisher sicherste Weg ist: Einwilligung per Consent-Tool einzuholen.

Aufbau des Consent-Tools:

  • Seitenbetreiber müssen die Einwilligung der Nutzer einholen.

          (Ausnahme: technisch zwingend notwendige Cookies)

          Vor der Zustimmung des Nutzers dürfen noch keine personenbezogene Daten übertragen werden!

  • Der Einwilligungstext bei einem Cookie-Hinweis sollte beim ersten Aufruf der Seite (Cookie Warnung) eingeblendet werden.
  • Der Nutzer muss detailliert über die Dienste informiert werden, die Cookies setzen und Daten übertragen.

Der Text sollte so konkret wie möglich darüber informieren, um welche Daten es geht, wozu diese genutzt werden und an wen diese Daten gegebenenfalls weitergegeben werden.

  • Der Nutzer muss ausdrücklich bestätigen, dass er zustimmt.
  • Der Nutzer muss die Möglichkeit haben, die erteilten Einwilligungen zu verwalten und zu widerrufen.

 

Was unbedingt vermieden werden sollte:

“Dark Patterns“ oder irreführende Designs von Cookie-Bannern, die eine Zustimmung des Nutzers manipulieren bzw. unmöglich machen, sollten unbedingt vermieden werden. Anderenfalls stellt es einen Verstoß gegen die DSGVO dar.

Erklärung:

„Dark Pattern“ – dunkle Muster – sind Tricks von Webseiten-Betreibern, um genau die Zustimmung von Cookies durch einen Klick zu erhalten, der dem Anbieter den gewünschten Datentransfer sichert, den User aber durch verwirrende Angaben und grafische Elemente hinters Licht führt. Davon gibt es zahlreiche Varianten: Mal muss man eine bestimmte Aktion ausführen, weil man sonst nicht wie gewünscht weitergeleitet wird. Anbieter von Produkten täuschen eine künstliche Verknappung vor, der man nur mit einer schnellen Entscheidung zuvorkommen kann. Oder das Webdesign ist so unübersichtlich, dass man schnell die Geduld verliert und ungewollt persönliche Daten preisgibt.

 

Reine Info per Cookie-Banner oder Info nur in der Datenschutzerklärung

Eine reine Info per Cookie-Banner beim ersten Seitenaufruf oder lediglich eine Info in der Datenschutzerklärung reichen nicht aus, wenn einwilligungspflichtige Daten erhoben werden sollen! Sie verstoßen damit gegen die Rechtsprechung des EuGH, BGH und das TTDSG, das ab dem 1.12.2021 gilt.

 

Auffassung des EuGH, der einzelnen Datenschutzbehörden und der Datenschutzkonferenz (DSK)

  • Nicht für alle Cookies benötigt man eine Einwilligung.

          Session-Cookies, Cookies für Logins oder Warenkörbe, die keine Daten weitergeben, können vom berechtigten Interesse des Webseitenbetreibers abgedeckt sein.

  • Tracking und Werbe-Cookies von Drittanbietern benötigen eine Einwilligung.

          Das sind also vor allem Cookies, die für die eigentlichen Funktionen der Webseite nicht zwingend notwendig sind und die Daten dann ggf. mit anderen Daten und Diensten verknüpfen oder teilen.

 

Tracking

Mit der BGH-Rechtsprechung, die durch das Inkrafttreten des TTDSG am 1.12. gesetzlich festgezurrt wird, wird das Einholen einer Einwilligung für Tracking ausdrücklich vorgeschrieben.

Mit sogenannte Cookie-Consent-, bzw. Consent-Management Tools ist es möglich echte Einwilligungen für Cookies und Tracking-Tools einzuholen.

 

Planung des TTDSG für die Zukunft

Nutzer sollen künftig über sog. PIMS (Personal Information Management Service) ihre Einwilligung zentral für alle besuchten Webseiten erteilen können. Für diese PIMS soll es ein Anerkennungsverfahren geben.

Um PIMS Dienste anbieten zu dürfen, muss unter anderem folgendes beachtet werden:

  • Anbieter von PIMS-Diensten müssen sich akkreditieren lassen
  • Anbieter von PIMS-Diensten dürfen kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung haben.

Durch das Einwilligungsmanagement soll den Nutzern generell mehr Kontrolle über personenbezogene Daten und den Zugriff auf Informationen gegeben werden.

 

Artikel als PDF: >> TTDSG in Bezug auf Cookies und Tracking Tools <<

18.08.2021

kontrolle 02
Neue EU-Standardvertragsklauseln
der EU-Kommission

 

Am 4. Juli 2021 hat die Europäische Kommission neue Standardvertragsklauseln erlassen. Diese müssen ab dem 27. September 2021 für neue Datentransfers eingesetzt werden.

 

Der Europäische Gerichtshof hat mit Urteil vom 16. Juli .2020, Az.: C 311/18 (Schrems-II-Urteil) die Standardvertragsklauseln für einen Datentransfer an Stellen in Drittländern zwar weiter für zulässig erklärt, aber festgestellt, dass die Vertragsklauseln allein oft nicht ausreichen, um bei einem Datentransfer an Stellen in Drittländern ein ausreichendes und den Anforderungen des Datenschutzrechts der Europäischen Union genügendes Datenschutzniveau zu gewährleisten.

Die Standardvertragsklauseln müssen deshalb in diesen Fällen durch zusätzliche Regelungen und Garantien ergänzt werden, um ein angemessenes Datenschutzniveau sicherzustellen.

 

Die Europäische Kommission hat zwei Sätze von Standardvertragsklauseln erlassen

 

  1. Datenübermittlung zwischen Verantwortliche und Auftragsverarbeiter in der EU/dem EWR

Diese Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern können als Alternative zu den bisherigen Verträgen für die Beauftragung von Auftragsverarbeitern gem. Art. 28 DSGVO innerhalb der Europäischen Union verwendet werden.

  1. Neue, überarbeitete Standardvertragsklauseln für den Drittlandtransfer

Damit wird den neuen Anforderungen der Datenschutzgrundverordnung (DSGVO) und dem „Schrems II“-Urteil des Europäischen Gerichtshofs Rechnung getragen und ein hohes Datenschutzniveau für die Bürgerinnen und Bürger sichergestellt.

Diese neuen Standardvertragsklauseln für den Drittlandtransfer traten am 27. Juni 2021 in Kraft und heben die bisherigen Standardvertragsklausen über die Datenübermittlung vom 15. Mai 2001 und über die Auftragsverarbeitung vom 5. Februar 2010 ab dem 27. September 2021 auf.

Ab dem 27. September 2021 dürfen diese Standardvertragsklauseln für neue Vertragsabschlüsse nicht mehr verwendet werden.

Für bereits bestehende Verträge nach den bisherigen Standardvertragsklauseln gilt eine Übergangsfrist bis zum 27. Dezember 2022, sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Klauseln gewährleisten, dass die Übermittlung der personenbezogenen Daten geeigneten Garantien unterliegen, das heißt soweit erforderlich, durch eventuelle Zusatzvereinbarungen geeignete Garantien geschaffen sind.

Bis 27. Dezember 2022 müssen aber auch diese Verträge durch die neuen Standardvertragsklauseln ersetzt werden.

 

Pressemitteilung der EU-Kommission:

Durchführungsbeschlüsse und Vertragstexte der EU-Kommission

 


 

Ausführlicher Artikel als PDF:  >> Neue EU-Standardvertragsklauseln <<

 

 

 

 

22.07.2021

kontrolle 02

 

Homeoffice

- Sommer 2021 -

 

Sind Arbeitgeber und Arbeitnehmer sich einig, dass ein Arbeiten im Homeoffice oder dem mobilen Arbeiten gewünscht ist, dann sind jedoch - nach wie vor - die unterschiedlichsten Gesetzgebungen (z. B. Arbeitsschutz und Datenschutz) sowie betriebliche Vereinbarungen zu berücksichtigen.

 

 

 

Das bedeutet vorab:

 

  1. Der Arbeitgeber muss erst einmal prüfen, ob Büroarbeiten oder vergleichbare Tätigkeiten in die Wohnstätten der Beschäftigten verlagert werden können. Dabei ist der Arbeitgeber gut beraten, sowohl die Prüfung als solche, als auch die Gründe für oder gegen die Ausführung der Büroarbeiten oder vergleichbaren Tätigkeiten von Zuhause aus zu dokumentieren.
  1. Eine abweichende Festlegung des vertraglichen Arbeitsortes bedarf in jedem Fall einer entsprechenden arbeitsvertraglichen Regelung zwischen Arbeitgeber und Beschäftigten oder einer Betriebsvereinbarung /betriebliche Vereinbarung.

Privater Wohnraum der Beschäftigten liegt außerhalb der Einflusssphäre des Arbeitgebers. (Grundrecht der Unverletzlichkeit der Wohnung Artikel 13 GG). Homeoffice ist kein "ausgelagertes Büro". Auch die häuslichen Verhältnisse der Beschäftigten (z.B. kein geeigneter Bildschirmarbeitsplatz, räumliche Enge) können einer Arbeit im Homeoffice entgegenstehen.

  1. Auch im Homeoffice müssen die Vorgaben der Datenschutzgrundverordnung sorgfältig eingehalten werden. Es muss sichergestellt sein, dass niemand unbefugt Zugang zu Daten hat. Das betrifft nicht nur das Einsehen von Dokumenten sondern auch das Mithören.

 

Weitere Informationen zum Homeoffice und zum mobilen Arbeiten finden Sie beim BSI “Homeoffice? – Aber sicher“ und bei dem BfDI “Telearbeiten und Mobiles Arbeiten“.

 

Ausführlicher Artikel als PDF:  >> Homeoffice - Sommer 2021 <<

 

 

 

 

08.06.2021

kontrolle 02

 

Länderübergreifende Kontrollen

durch die Datenschutzaufsichtsbehörden

 

Es dürfte kaum ein Unternehmen geben, das nicht von dem sogenannten „Schrems-II Urteil“ betroffen ist.

 

Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen.

Das Ziel der koordinierten Prüfung ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Schrems-II-Entscheidung vom 16. Juli 2020 (Rs. C-311/18).

Vielen Unternehmern ist nicht bewusst, dass sie personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten lassen. Und sei es nur, weil sie Mail-Dienste, Software, Cloud-Server oder Konferenztools großer Anbieter nutzen. Seit dem vergangenen Juli reicht das sogenannte „Privacy Shield“-Abkommen als Grundlage für den Datentransfer in die USA nicht mehr aus. Das gilt auch für die Verwendung vorformulierter Standardvertragsklauseln. Eines der wichtigsten Kriterien ist dabei, dass in den USA Behörden und Geheimdiensten der Zugriff auf Daten ermöglicht werden muss.

Fragenkatalog zeigt Problembereiche

Unternehmer können sich vorab auch den gemeinsamen Fragenkatalog zur Umsetzung des Schrems II-Urteils ansehen, zum Beispiel unter https://datenschutz-hamburg.de/pages/fragebogenaktion/

 

 

 

 

Wir verwenden ausschließlich Session-Cookies.
Diese Cookies sind technisch notwendig, da bestimmte Websitefunktionen ohne diese nicht funktionieren würden.