DSGVO & ePrivacy: EU-Datenschutz-Grundverordnung

DSGVO & ePVO & TTDSG

Kurz und knapp für kleinere Websites:

• Für die Session-Cookies von WordPress brauchen Sie keinen Cookie-Hinweis. Ein Absatz in Ihrer Datenschutz­erklärung reicht.
• Eine Datenschutz­erklärung kann einfach per Online-Generator erstellt werden.
• Google-Webfonts müssen lokal eingebunden werden.
• Videos können lokal eingebettet werden.
• Kontaktformulare und weitere Formulare können mit CAPTCHAs und anderen Lösungen geschützt werden, die ohne Übermittlung datenschutz­relevanter Informationen an Drittanbieter auskommen.
• GMaps und Youtube-Videos können einzeln vor dem Laden mit einer Einwilligung versehen werden.
• Werden auch Tracking-, Marketing- und weitere Tools einsetzt, ist ein Cookie-Consent-Banner für die gesamte Website in Erwägung zu ziehen (siehe unten).

Empfehlung für alle WordPress Webseiten­betreiber: Schließen Sie einen AVV-Auftrags­verarbeitungs­vertrag mit Ihrerm Provider ab. Gegebenenfalls auch mit weiteren Drittanbietern, welche persönliche Daten verarbeiten, zum Beispiel per Serverlogfiles, Webalizer, AStats etc.

Leistungen:

Gerne helfe ich Ihnen beim Erstellen Ihrer Datenschutz- und Impressum-Seiten oder füge Ihrer Website Datenschutz­texte hinzu, die per Generator oder durch Ihre Rechtsberatung erstellt wurden.

• Beratung
• Erstellung von Impressum und Datenschutz­texten per Online-Generatoren
• Einbindung von einzelnen Einwilligungs­abfragen
• Einbindung von Cookie-Consent-Bannern
• Spamschutz und Datenschutz­einverständnis für Formulare

DSGVO & ePVO & TTDSG – Etwas ausführlicher:

• Datenschutz-Grund­verordnung (DSGVO), englisch: General Data Protection Regulation (GDPR).
• Datenschutz­richtlinie für elektronische Kommunikation (ePVO/ePV: ePrivacy-Verordnung (2002/58/EG), auch „EU-Cookie-Richtlinie“).
• Tele­kommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

Datenschutz­texte, Cookie-Hinweise und anonymisierte IP-Adressen – ein kleiner Ratgeber für Ihre WordPress Websites.

Webfonts von Google oder Adobe etc.: Schriftarten sollten lokal eingebunden werden!
Hierzu das Urteil: https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2022-N-612

Es können auch ’sichere‘ Webfonts wie Arial verwendet werden, die auf fast allen Geräten vorhanden sind, sofern Ihr Design dies zulässt.
Toll wäre, wenn alle Betriebs­systeme wie Microsoft-Windows, Apple OS, Google Andorid, Linux etc. (oder alle Browser…) die Top-100 Webfonts mitliefern würden. Das würde zusätzlich auch Ressourcen, Trafik und CO₂ sparen.

Cookies

Für technisch notwendige Cookies (Session-Cookies, zum Beispiel vom WordPress-Core und für Sprachwechsel), welche nur kurz während des Besuchs der Website gesetzt werden, ist kein Cookie Banner erforderlich. Hierfür reicht ein Absatz über Verwendung und Funktionsweise in der Datenschutz­erklärung.

Für alle anderen Cookies (Tracking, Marketing, weitere Funktionen und Tools) ist eine Einwilligung nötig. Wichtig: Ohne unzulässige Nutzer­beeinflussung zum Beispiel durch ungleiche Darstellung der Ablehungsoption.
Die Einwilligung kann für die gesamte Website oder nur auf einzelnen Unterseiten implementiert werden, auf denen zum Beispiel ein Youtube-Video eingebunden ist.
Links zu Pflichtangaben wie Impressum und Datenschutz­erklärung dürfen nicht vom Cookie-Consent-Banner überdeckt werden.

Analyse-Programme und Plugins wie zum Beispiel Google Analytics und Youtube sollten datenschutz­konform lediglich anonymisierte IP-Adressen übermitteln.

Hier einige gängige Tools, die eine Einwilligung benötigen:

• Google Maps (einschließlich individuelle Google Map mit Google Maps API)
• Google ReCaptcha (läd ggf. auch Google Webfonts!)
• Google Analytics (Tracking Cookies)
• Google Conversion-Tracking
• Google Tag Manager
• Google Ads
• Google AdSense
• Google DoubleClick
• Youtube & Vimeo
• Matomo (ehemals Piwik)
• Facebook Pixel
• Facebook Conversion API
• WordPress Plugins (WP Statistics) und andere CMS
• Newsletter-Anmeldung/Versand

Anpassung Ihrer rechtlicher Texte an EU-Datenschutz-Grund­verordnung und ePrivacy:
Eine DSGVO-konforme Datenschutz­erklärung sollte individuell auf Ihr Unternehmen abgestimmt werden.

Worauf man achten sollte:

Welche Absätze in keiner Datenschutz­erklärung fehlen sollten und welche Änderungen anzuraten sind, ist abhängig von der Funktionalität auf Ihrer Website sowie von Größe und Gesellschafts­form Ihres Unternehmens. Hierbei erklären Sie möglichst einfach, wie Sie mit persönlichen Daten umgehen. Für die meisten Webseiten ohne automatisierter Daten­verarbeitung ist die Aufnahme folgender Absätze für die EU-Datenschutz-Grund­verordnung in Ihre Datenschutztexte zu empfehlen. Dazu gehören, soweit zutreffend:

• Daten­verarbeitung
• Weitergabe personen­bezogener Daten (Drittanbieter etc.)
• Sicherheit personenbezogener Daten
• Personen­bezogene Daten von Kindern und Jugendlichen
• Auskunftsrecht
• Speicherung, Speicherdauer, Speicherort
• Daten­übertragbarkeit / Anbieterwechsel
• Recht auf Löschung / Recht auf Vergessen­werden
• Widerspruchs­recht gegen die Datenverarbeitung / Widerrufsrecht
• Beschwerderecht bei einer Aufsichtsbehörde
• Cookies
• Soziale Netzwerke

Berechtigtes Interesse?

Tracking: Berechtigtes Interesse versus Nutzer­freundlichkeit – Tracking kann bei „berechtigtem Interesse“ nach Einholung einer Einwilligung eingesetzt werden. Hierbei sollte auch eine Abwägung zwischen Nutzen, Aufwand und Nutzer­freundlichkeit erfolgen, da bereits die Abfrage einer Einwilligung zum Verlassen der Webseite und somit zu einer erhöhten Absprungrate führen kann. Soll Tracking lediglich zu statistischen Zwecken eingesetzt werden, kann gegebenenfalls auf eine Auswertung der Serverlogfiles ausgewichen werden, zum Beispiel per Webalizer, AStats oder Matomo.

gMaps Hinweis: Bitte beachten, dass es urheber­rechtlich nicht erlaubt ist, Screenshots von Google Maps zum Beispiel als Vorschaubild für Google Maps einzubinden. Google hat eine entsprechende Nutzung von Google Maps untersagt.