LimeTV: Datenschutz und die Cookie-Regelung
Datenschutz ist für Website-Betreiber ein wichtiges Thema. Gilt es doch moderne, meist kostenlose Social-Media-Funktionen für die Website-Nutzer, praktische Analysesoftware und andere Webtools mit sehr restriktiven Datenschutz-Vorschriften zu verheiraten.
Verboten ist alles, wofür es keine ausdrückliche Zustimmung gibt
Das bedeutet: Cookies, die nicht für einen ausdrücklich von Nutzern gewünschten Dienst erforderlich sind, unterliegen der Zustimmungspflicht in Kenntnis der Sachlage. Erst danach dürfen sie gesetzt oder ausgelesen werden („Opt-In“). Dies schützt die Privatsphäre von Website-Nutzern. Und auch wenn Umgangssprachlich von der „Cookie-Regelung“ gesprochen wird: Die gesetzlichen Vorschriften sind technologie-neutral. Dieselben Informations- und Zustimmungspflichten gelten bei Verwendung eines digitalen Fingerabdrucks oder anderer Technologien, die eine eindeutige Userzuordnung erlauben. Dieser Schutz personenbezogener Daten in elektronischer Kommunikation wird durch die europäische „Cookie-Richtlinie“ (2009/ 136/EG) geregelt. Die Umsetzung in Österreich erfolgte in § 93 Abs 6 TKG.
Wenn man nun weiß, dass alle Social Media Plugins und beliebte Dienste wie Google Analytics oder Google Maps im Hintergrund ohne Rückfrage „alles“ mitloggen und die Daten auch noch an Server außerhalb Europas schicken, steht man vor einem Dilemma. Dr. Johannes Öhlböck, Rechtsanwalt in Wien, beantwortet einige Fragen im LimeTV-Interview:
httpv://www.youtube.com/watch?v=buAmRKfRef0&list=PLSYGy_kch_WWbAy46qg5aLgxEbYxHD1aq&index=3
Hier können Sie sich das Video direkt auf YouTube ansehen.
Anstrengen statt resignieren
Nichts zu tun ist jedenfalls keine Lösung. Auch wenn es schwierig ist und vielleicht in manchen Fällen keine 100%-Rechtskonformität hergestellt werden kann, lohnen sich Anstrengungen in die richtige Richtung.
Worüber muss ich informieren?
Seit 2011 müssen österreichische Website-Betreiber Benutzer darüber informieren, welche personenbezogenen Daten für welche Zwecke ermittelt und verarbeitet werden. Und wie lange sie gespeichert bleiben. Erst basierend auf diesem Wissen kann von Nutzern die Einwilligung zur Datenverwendung eingeholt werden.
Wie kann die Einwilligung erfolgen?
Reichte bisher ein Eintrag im Impressum, legte die Artikel-29-Datenschutzgruppe der EU in einer Stellungnahme fest, wann der Einsatz von Cookies zulässig ist:
- User müssen vorab im Detail informiert werden.
- Vor dem Einsatz von Cookies muss eine Zustimmung vorliegen.
- Die Zustimmung muss freiwillig (dh ohne Zweifel) und durch aktive Handlung erteilt werden (nicht-widersprechen reicht nicht!).
Auf einer Website könnte dies beispielsweise so umgesetzt werden:
- Pop-Up Fenster.
- Statischer Hinweis im Kopfbereich der Website, der Nutzer um Einwilligung zum Setzen eigener Cookies ersucht.
- Splash-Screen, der beim Aufrufen der Website erklärt welche Cookies bei Einwilligung des Nutzers von welchen Parteien gesetzt werden.
Gibt es Sanktionen?
Na klar :-) Bei Nichtbeachtung droht eine Verwaltungsstrafe bis zu EUR 37.000. Dazu kommen die Kosten allfälliger Unterlassungsklagen von Mitbewerbern auf Basis des Bundesgesetzes gegen den unlauteren Wettbewerb (UWG).
Praxistipps
Social Media Plugins:
Da die von den Plattformbetreibern wie Facebook, Twitter oder Google+ zur Verfügung gestellten Share-/Like-Plugins zumeist schon vor einem allfälligen Klick Userdaten übertragen, empfiehlt sich der Einsatz der sogenannten 2-Klick-Lösung. Dabei werdend die Plugins erst nach dem ersten Klick geladen. User, die nicht geklickt haben, werden nicht getrackt.
Google Analytics:
- Anonymisierung: Google Analytics darf nur mit verkürzten IP-Adressen verwendet werden. Dazu bietet Google die Funktion anonymizeIP(), die jeder Webmaster eigenständig in seinem Google Analytics Code verankern muss. Siehe Google-Support oder Fragen Sie das LimeSoda-Team :-)
- Löschung alter Daten: Die bisherigen, nicht-anonymisierten Google-Analytics-Daten müssen gelöscht werden. Traurig aber wahr.
- Datenschutzerklärung: Auf der Website muss die Datenschutzerklärung lt. Nutzungsbedingungen von Google Analytics eingefügt werden (zB im Impressum). Dabei soll auch auf das Browser-Add-On zur Deaktivierung von Google Analytics von Google verwiesen werden.
- Vertrag: Für Website-Betreiber aus Deutschland existiert eine Mustervertrag zur Auftragsdatenverarbeitung, der mit Google geschlossen werden muss. Der Vertrag umfasst auch die „Anlage 1 – Regelungen zur Auftragsdatenverarbeitung“ und die „Anlage 2 – Technische und organisatorische Maßnahmen“. Dieser Vertrag muss schriftlich abgeschlossen werden und mittels rückfrankiertem Umschlags per Post an Google gesendet werden. Das gegengezeichnete Exemplar wird dann per Post von Google an den Webseitenbetreiber zurück gesendet. Für Österreich wurde so etwas bisher nicht ausgehandelt.
Zustimmung für das Setzen von Cookies einholen:
Anbieter eines „Dienstes der Informationsgesellschaft“ – im Sinne des E-Commerce-Gesetztes sind das auch Unternehmenswebsites – müssen die ausdrückliche Zustimmung der Betroffenen einzuholen. Also muss ein Hinweis mit Möglichkeit der Zustimmung eingeblendet werden. Erfolgt keine Einwilligung, müssen die entsprechenden Dienste deaktiviert werden.
Registrierung beim Datenverarbeitungsregister:
Liegt eine meldepflichtige Datenanwendung vor (hier geht es immer um personenbezogene Daten, sollte diese beim Datenverarbeitungsregister registriert werden.
Rechtlichen Beistand zuziehen:
Für rechtssichere Beratung ziehen Sie einen auf Datenschutz und Internetanwendungen spezialisierten Rechtsbeistand zu.
Weiterführende Links:
- ARGE-Daten Studie „Datenschutzkonformer Einsatz von Facebook LikeIt, Google Analytics & Co“
- Datenschutz-Informationen von Google-Analytics
- Österreichische Datenschutzbehörde