Unser heutiger Blogartikel der Reihe „Datenschutz vs. Internet“ beschäftigt sich mit dem bekannten und dennoch immer wieder problematisch-konnotierten Thema: Die Nutzung von Drittanbieter Tools- und Plugins auf der Webseite. Welche Daten werden von Drittanbietern ausgespäht, wie werden diese verarbeitet und geschützt und inwiefern bin ich als Website-Betreiber dafür verantwortlich, was diese Tools und Plugins mit den Daten meiner User machen?
Tools, Websites und DSGVO – eine Übersicht
Weshalb nutzen wir überhaupt Plugins und Co. auf unseren Websites?
Eine simple Antwort auf diese Frage lautet: um uns den Alltag etwas zu vereinfachen! Die Nutzung von Tools- und Plugins ermöglicht u.a. eine bessere Nutzerfreundlichkeit (Usability), eine komfortablere Daten-Auswertung und ermöglicht es Nicht-Webdesignern, eine professionell-gestaltete Website zu erstellen. Und es existieren unzählige Plugins und Tools für Websites, mit mannigfaltigen Möglichkeiten. Viele dieser Dienstleistungstools beinhalten jedoch versteckte datenschutzrechtliche Fallstricke, die wir in diesem Artikel gerne zur Sprache bringen möchten. Ein besonderes Augenmerk sollte auch darauf liegen, bei wem die Verantwortlichkeit im Falle eines Datenschutzverstoßes liegt: Bei den Websitebetreibern, oder bei den Entwicklern der Tools?
Nicht alle Dienstleistungen bzw. Tools, die wir nutzen, verlangen eine konkrete Einwilligung von den Betroffenen Webseiten-Besucher. Dennoch beruht die Nutzung der Tools auf einer konkreten Rechtsgrundlage, die viele Aufgaben und Pflichten mit sich bringt. Welche das genau sind, werden wir im Folgenden näher betrachten und ziehen hierzu die Grundlagen der DSGVO zurate.
Welche DSGVO Regelungen sind bei Verwendung von Tools zu beachten?
Beginnen wir mit einer einfachen Regel: Jede Datenverarbeitung muss nach dem Prinzip der datenschutzfreundlichen Voreinstellung erfolgen. Was bedeutet das?
Schon bei der Gestaltung der Website und bei der Erstellung bzw. Entwicklung müssen die Datenschutz-Grundlagen berücksichtigt werden. Diese Grundsätze sind besser bekannt als „Privacy by Design“ & „Privacy by Default“.
Konkret entnehmen wir diese Grundsätze aus folgenden Artikeln der DSGVO:
Art. 25 Abs. 1 DSGVO
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahme“
Art. 25 Abs. 2 DSGVO
„ Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.“
Wie werden „Privacy by Design“ & „Privacy by Default“ konkret umgesetzt?
Vorweg: Sobald Sie bestimmte Hilfsmittel auf Ihrer Website einsetzen (etwa Cookies,- Tools,- Plugins und sonstige Dienstleistungen) sind Sie dafür verantwortlich, dass die Verarbeitung personenbezogener Daten sicher, rechtskonform und im Einklang mit der DSGVO erfolgt.
Hier verweisen wir auf die Grundsätze der DSGVO, insbesondere auf Art. 5 Abs. 1 Lit. f) DSGVO, der die Integrität und Vertraulichkeit voraussetzt und an die übrigen Grundsätze anknüpft wie etwa Art. 5 Abs. 1 Lit. a) DSGVO (Rechtmäßigkeit, Transparenz, Treu und Glauben) Art. 5 Abs. 1 Lit. b) DSGVO (Zweckbindung) und Art. 5 Abs. 1 Lit. c und e) DSGVO (Datenminimierung und Speicherbegrenzung).
Was bedeutet das?
Bei Nutzung von Leistungen Dritter müssen Sie als Websitebetreiber dafür Sorge tragen, dass die auf Ihrer Website eingesetzten Mittel und Tools datenschutzkonform eingesetzt werden.
Exkurs: Was ist der Unterschied zwischen den Tools, Cookies und Plugins?
Was sind Tools?
Tools sind Hilfswerkzeuge oder kleine Programme, die bestimmte Aufgabenbereiche der Website übernehmen. Dies kann zu unterschiedlichen Zwecken erfolgen, in der Regel allerdings zur automatischen und vereinfachten Bearbeitung von anstehenden Aufgaben.
Was sind Plugins?
Plugins sind Erweiterungen bestehender Programme und Hilfswerkzeuge und ergänzen diese durch weitere Funktionen. Das Ziel von Plugins ist meist die verbesserte Nutzung der jeweils eingesetzten Programme.
Viele dieser Tools,- Plugins- und Hilfswerkzeuge laufen im Hintergrund und sind für die Website-User nicht sichtbar. Dennoch erfassen die Tools oftmals personenbezogene Daten der User – in den meisten Fällen erfolgt diese Datenerfassung über das Setzen von Cookies.
Es gibt zwei Arten von Cookies, die wir datenschutzrechtlich bewerten müssen, doch zunächst widmen wir uns der Frage:
Was sind Cookies?
Grundsätzlich sind Cookies Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Ruft ein Nutzer eine Website auf, so kann ein Cookie auf dem Betriebssystem des Nutzers gespeichert werden. Dieses Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website ermöglicht.
Man unterscheidet zwischen sogenannten technisch-notwendige Cookies und technisch-nicht-notwendige Cookies.
Technisch-notwendige Cookies
Technisch-notwendige Cookies sind Cookies, die für die Bereitstellung und für die Funktionalität (deshalb auch als Funktionscookies bezeichnet) erforderlich sind. Sie sorgen dafür, dass die Darstellung der Webseite überhaupt möglich ist.
Technisch-notwendige Cookies treten in Aktion, sobald Sie zum Beispiel einen Webshop mit einer Warenkorbfunktion betreiben.
Falls der Kunde ein Produkt in den Warenkorb legt, merkt sich das System die Produkte – auch dann, wenn der Kunde die Website wieder verlässt. Sobald der Kunde zu Ihrer Website zurückkehrt oder diese erneut lädt, bleiben die Artikel im Warenkorb. Das System hat sich somit etwas gemerkt: Das sind die Ziele der Cookies.
Ähnliches passiert immer dann, wenn Ihre Kunden sich in einem Login-Bereich einloggen und danach eine andere Website aufrufen. Auch hier merkt sich der Cookie bestimmte Informationen und ergänzt diese bei einem erneuten Besuch der Website.
Beispiele für technisch-notwendige Cookies sind u. a. Session Cookies, die Warenkorbinhalte, Loginstatus oder auch Spracheinstellungen und Zähl-Cookies.
Technisch nicht-notwendige Cookies
Technisch nicht-notwendige Cookies kommen zum Einsatz, ohne für die Funktionalität der Website zwingend erforderlich zu sein. Vielmehr ergänzen diese Cookies die Funktionalität der Website.
Informationen von Personen werden gespeichert und anschließend dazu genutzt, um etwa Auswertungen vorzunehmen oder Statistiken zu erstellen. Darüber hinaus gibt es technisch-nicht-notwendige Cookies auch um bestimmte Informationen bekannt zu geben.
Hier unterscheiden wir zwischen Analyse- und Tracking-Cookies (auch Pixel genannt) und Cookies zu Marketing- und Werbezwecken. Letztere lassen eine Messung von Daten und Statistiken zu, sodass sie auch als Mess- und Statistik-Cookies bekannt sind. Meist werden diese Cookies eingesetzt, um das Verhalten von Besuchern zu erfassen und zu analysieren, um im Anschluss mithilfe des neuen Wissens bestimmte Maßnahmen zu ergreifen.
Wer hat die Cookie-Regelung erfunden?
Cookie-Pop-Ups kennen wir alle zu Genüge. Es gibt heutzutage (fast) keine Website mehr, auf der dieser nervige, aber notwendige Hinweis nicht erscheint. Bevor wir also auch die verschiedenen Begrifflichkeiten und Regelungen eingehen, wollen wir uns kurz der historischen Grundlage hinter den Cookies-Regelungen widmen.
Um eine historische Diskussion zu umgehen, verweisen wir hier auf den Europäischen Gerichtshof. Denn mit dem Urteil vom 01.10.2019 (unter dem Aktenzeichen C-673/17), hat der Europäische Gerichtshof alle Cookies, die für den Betrieb einer Website technisch nicht notwendig sind, als Einwilligungspflichtig eingestuft. Mithin hat hier eine konkrete Einzelfallprüfung zu erfolgen, die wir als technisch notwendig und technisch-nicht notwendig bewerten müssen.
Mithin ist unsere einfache Antwort (unter Umgehung historischer Bewertungen), dass der EuGH diese Anforderungen „erfunden“ hat.
Wie setzen Sie bestimmte Tools- und Plugins am besten ein?
Da sich diese Frage grundsätzlich nur bei technisch-nicht-notwendige Cookies stellt (bei technisch-notwendige Cookies greift grundsätzlich Art. 6 Abs. 1 Lit. f DSGVO, in Verbindung mit den allgemein geltenden Aufgaben und Pflichten aus Art. 12, 13, 28, 32, 35 DSGVO), gehen wir hier in der weiteren Darstellung nur auf technisch-nicht-notwendige Cookies ein.
Ein kurzes Statement zur Auflistung:
Es gibt unendlich viele Cookies. Wir haben uns dazu entschieden, einige wenige, aber häufig eingesetzte Cookies aufzunehmen und eine Empfehlung zu deren Einsatz abzugeben.
Fazit: Was lernen wir aus diesem Artikel?
Wie sie erkennen können, ergeben sich viele Grundlagen aus den Pflichten, die Sie als Websitebetreiber zu beachten haben. Sie sollten stets darauf achten, dass Sie sich ausführlich darüber informieren, welche Art von Cookies, Tools- und Plugins Sie einsetzten. Insgesamt ist jede Verarbeitungstätigkeit gem. Art. 12 Abs. 1 DSGVO entsprechend klar und unmissverständlich in einer einfachen Sprache für die Betroffenen (User) darzulegen. Diese Darlegung erfolgt in Ihrer Datenschutzerklärung.
Grundsätzlich empfehlen wir soweit möglich auf alle Cookies,- Tools,- Plugins und weitere Leistungen, vor allem von Anbietern aus Drittstaaten, zu verzichten. Besonders Dienste aus der USA sollten mit Blick auf die DSGVO-Regelungen mit größter Vorsicht genossen und genutzt werden. Generell gilt: Führen Sie nur Verarbeitungen durch, die auch wirklich erforderlich sind bzw. deren Risiko durch eine DSFA für ihre Zwecke sinnvoll und zulässig ist.
Wenn Sie Analysetools einsetzen und diese nicht laufend bzw. regelmäßig auswerten und entsprechend für ihre weitere Arbeit nutzen, sehen wir keinen wirklichen (datenschutzrechtlich losgelösten) Grund, weshalb Sie sich diesem Risiko aussetzen sollten.
Um die bei Ihnen eingesetzten Mittel konkret bewerten zu können oder überhaupt zu erfassen, ist zu empfehlen, sich mit Ihrem Datenschutzbeauftragten und ihrer IT-Administration bzw. den Verantwortlichen zusammenzusetzen, um eine Einzelfallprüfung durchzuführen.
Experten-Tipp
An dieser Stelle möchten wir darauf hinweisen, dass Ihnen jederzeit für eine kostenlose und ausführliche Erstberatung zur Verfügung stehen. Sie könne gerne einen Termin bei einem unserer Experten buchen und wir sind gerne für Sie da.
Dazu gehört natürlich auch, die von Ihnen eingesetzten
Tools- und Plugins konkret zu bewerten und Ihnen eine Handlungsempfehlung an die Hand zu geben.