DSGVO Cookie Hinweis

DSGVO und Cookies

Die DSGVO ist eine EU-Verordnung, die die wichtigste Initiative zum Datenschutz seit 20 Jahren darstellt. Ziel ist es, “natürliche Personen bei der Verarbeitung personenbezogener Daten und beim freien Datenverkehr” zu schützen, z.B. den Nutzer der Website. Cookies werden einmalig in der 88 Seiten langen Regelung erwähnt. Diese wenigen Zeilen haben jedoch einen erheblichen Einfluss auf die Compliance von Cookies:

(30): “Natürliche Personen können mit Online-Identifikatoren [….] wie Internet-Protokolladressen, Cookie-Identifikatoren oder anderen Identifikatoren [….] verknüpft werden. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Identifikatoren und anderen Informationen, die auf den Servern empfangen werden, verwendet werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren”. Mit anderen Worten: Wenn Cookies eine Person identifizieren können, handelt es sich um personenbezogene Daten. Möchten Sie mehr über die Datenschutzrichtlinie für elektronische Kommunikation wissen, auch bekannt als das “EU-Cookie-Gesetz”?

Die Datenschutz-Grundverordnung wurde im April 2016 sowohl vom Europäischen Parlament als auch vom Europäischen Rat verabschiedet und trat am 25. Mai 2018 in Kraft.

DSGVO-Text im Volltext (DSGVO-Gesetzestext)

Aber seine Geschichte ist viel länger. Es begann als Vorschlag bereits 2012 und die Verhandlungen über den DSGVO-Text selbst begannen am 15. Dezember 2015 zwischen dem Europäischen Parlament, dem Rat und der Europäischen Kommission – auch bekannt als formelle Trilogsitzungen.

DSGVO-Text zur Einwilligung

Der Trilog bezieht sich auf eine “Diskussion zwischen drei Parteien” und ist eine in der Europäischen Union übliche Praxis, die in den EU-Verträgen beschrieben ist. Sie werden verwendet, wenn der Rat den Vorschlägen des Parlaments nicht zustimmt; in diesem Fall beginnen die Trilogverhandlungen.

DSGVO-Text zu personenbezogenen Daten

Im April 2016 wurde der DSGVO-Text vom EU-Rat angenommen, wobei Österreich als einziger Mitgliedstaat dagegen stimmte. Österreich zufolge ging der DSGVO-Text im Vergleich zur Richtlinie von 1995 nicht weit genug. Dennoch wurde es eine Woche später vom EU-Parlament mit Stichtag 25. Mai 2018 verabschiedet.

DSGVO-Text auf Steuerung und Prozessor

Die ersten 31 Seiten bilden eine Art Kontextgrundlage für die Verordnung, um die anstehenden Fragen und Begriffe aufzuklären und zu vertiefen. Die Verordnung selbst besteht aus 99 Artikeln, die in 11 Kapitel mit 57 Seiten unterteilt sind.

Der DSGVO-Text erwähnt das Wort Cookie nur einmal auf seinen 88 Seiten. Dennoch hat die DSGVO klare Konsequenzen für die Verwendung von Cookies, da diese in der Lage sind, eine Vielzahl von Daten zu sammeln, die nach der DSGVO als personenbezogene Daten definiert werden können.

Ein Grund für die DSGVO, Cookies nur einmal zu erwähnen, ist, dass die ePrivacy-Verordnung im Gange ist – ein lex speciallis für die DSGVO, d.h. eine Spezifikation und Ausarbeitung der Teile der bestehenden Verordnung, die die elektronische Kommunikation betreffen.

DSGVO-Text über Cookies

Zu den wichtigsten Passagen, die Sie lesen sollten, wenn Sie daran interessiert sind, den DSGVO-Text vollständig zu lesen, gehören –

• Artikel 1-4 über die Definitionen der in der Verordnung verwendeten Begriffe,
• Artikel 5-11 über das Ziel der Verordnung,
• Artikel 12-20 über die Rechte des Einzelnen in Bezug auf Datenschutz und Daten,
• Artikel 24-31 über die Verantwortlichkeiten des Kontrolleurs und des Verarbeiters,
• Artikel 37-39 über die Anforderung eines Datenschutzbeauftragten,
• Artikel 44-46 über die Übermittlung von Daten aus der EU,
• Artikel 82-83 über die Geldbußen und Sanktionen bei Nichteinhaltung.
• DSGVO-Text zu den Rechten der EU-BürgerInnen

Der DSGVO-Text selbst kann für eine Person, die nicht mit Rechtstexten und Gesetzen vertraut ist, etwas unzugänglich sein. Wenn Sie also lieber eine Zusammenfassung über die Anforderungen an Website-Besitzer und -Betreiber lesen möchten, schauen Sie sich unseren eigenen Blogbeitrag an, wie Sie die DSGVO-Konformität erreichen können.

Also…. Was sind Cookies?

Cookies sind kleine Dateien, die automatisch auf Ihrem Computer abgelegt werden, wenn Sie im Internet surfen. An sich sind es harmlose Textstücke, die lokal gespeichert sind und leicht eingesehen und gelöscht werden können. Cookies können jedoch einen großen Einblick in Ihre Aktivitäten und Präferenzen geben und können ohne Ihre ausdrückliche Zustimmung verwendet werden, um Sie zu identifizieren. Dies stellt aus rechtlicher Sicht einen großen Verstoß dar, und da die Datentechnologien immer ausgefeilter werden, wird Ihre Privatsphäre als Nutzer zunehmend beeinträchtigt.

Häufig stammen die Cookies nicht einmal von der von Ihnen besuchten Website, sondern von Dritten, die Sie für Marketingzwecke verfolgen. All das geschieht “hinter den Kulissen”.

DSGVO Cookie Hinweis | DSGVO Cookie-Konformität

Obwohl nicht alle Cookies so verwendet werden, dass sie die Benutzer identifizieren können, sind die meisten (und die für die Website-Besitzer nützlichsten) der DSGVO unterworfen und werden daher auch weiterhin unterliegen. Cookies für Analyse-, Werbe- und Funktionsdienste wie Umfrage- und Chat-Tools sind Beispiele für Cookies, die Benutzer identifizieren können.

Das Problem mit Cookies ist sowohl die Privatsphäre – was wird registriert? – und eine der Transparenz – wer verfolgt Sie, zu welchem Zweck, wohin gehen die Daten und wie lange bleiben sie?

Cookie-Anforderungen: Wie stellen Sie sicher, dass Ihre Website und Ihre Cookies mit der DSGVO übereinstimmen?

Als Website-Besitzer bedeutet das Ergreifen von Maßnahmen zur Einhaltung der Vorschriften, Ihre Datenverarbeitung zu durchlaufen und sicherzustellen, dass die personenbezogenen Daten gemäß den neuen Vorschriften behandelt werden. Für eine lehrreiche Einführung sollten Sie auch durch die Infografik der EU-Kommission blättern.

Die Datenschutz-Grundverordnung betrachtet z.B. einen Namen, ein Foto, eine E-Mail-Adresse, Bankverbindung, Beiträge auf Social-Networking-Websites, medizinische Informationen oder eine Computer-IP-Adresse als personenbezogene Daten. Wenn Ihre Website oder Ihr Unternehmen Daten verarbeitet, die (a) direkt personenbezogen sind oder (b) zur Identifizierung einer Person kombiniert oder herausgegriffen werden können, müssen sie überarbeitet werden, um den Anforderungen gerecht zu werden.

Ordnen Sie die sensiblen Daten in Ihrem Unternehmen zu und bewerten Sie sie, gehen Sie Ihre Sicherheitsrichtlinien durch und stellen Sie sicher, dass die Daten sicher sind. Die beiden wichtigsten Aspekte, die es zu beachten gilt, sind:

• wie Sie Kunden- und Benutzerdaten in Ihrem Unternehmen speichern und
• Die Cookies auf Ihrer Website (First-Party und Drittanbieter gleichermaßen).
• Die Anpassung Ihrer Cookie-Erklärung und Ihrer DSGVO-Cookie-Einwilligung ist ein wesentlicher Bestandteil dieses Prozesses.

DSGVO Cookie Hinweis | Was ist die DSGVO-konforme Cookie-Zustimmung?

Eine der konkretesten Anforderungen der DSGVO besteht in der Definition dessen, was eine ordnungsgemäße DSGVO-Cookie-Zustimmung darstellt, d.h. dass die Zustimmung erfolgen muss:

• Informiert: Warum, wie und wo werden die personenbezogenen Daten verwendet? Es muss für den Nutzer klar sein, wofür die Zustimmung erteilt wird, und es muss möglich sein, die verschiedenen Arten von Cookies ein- und auszuschalten.
• Durch eine positive, positive Aktion, die nicht falsch interpretiert werden kann.
• Vor der ersten Verarbeitung der personenbezogenen Daten gegeben.
• Auszahlungsfähig. Es muss für den Nutzer einfach sein, seine Meinung zu ändern und die Zustimmung zu widerrufen.
• Der Nutzer hat das Recht, vergessen zu werden. Auf Wunsch des Nutzers müssen alle seine personenbezogenen Daten ordnungsgemäß gelöscht werden.
• Alle erteilten Einwilligungen sind als Dokumentation zu dokumentieren.

Probieren Sie CookieFirst noch heute kostenlos aus.

DSGVO Cookie Hinweis | Was ist ein DSGVO-konformes Cookie-Banner?

Die oben genannten Anforderungen machen die meisten der vor der Implementierung der DSGVO verwendeten Cookie-Banner und Benachrichtigungen obsolet. So reichen beispielsweise eine stillschweigende Einwilligung und eine Einwilligung, die lediglich durch den Besuch einer Website erteilt wird, nicht aus. Hier erfahren Sie mehr darüber, was eine tolle Cookie-Meldung für DSGVO beinhaltet. Gleiches gilt für Pop-ups und Banner mit der Aufschrift “Mit der Nutzung dieser Website akzeptieren Sie Cookies”. Eine einfache ok-Taste zum Akzeptieren von Cookies ist ebenfalls nicht ausreichend.

Zum Beispiel ist dies nicht der Fall:

Beispiel für ein DSGVO-konformes Cookie-Einverständnis-Banner. Hier ist die DSGVO- und ePrivacy-konforme Mitteilung von CookieFirst, in der um Zustimmung zum Setzen von Cookies gebeten wird:

Es entspricht den Vorschriften, aufgrund folgender Punkte:

• In erster Linie, wenn auch mit bloßem Auge unsichtbar, werden alle geladenen Skripte, mit Ausnahme der unbedingt notwendigen, angehalten, bis die Zustimmung zu den Cookies erteilt wurde.
• Dieses Merkmal wird als “vorherige Zustimmung” bezeichnet und ist sowohl nach der DSGVO als auch nach der ePrivacy-Richtlinie erforderlich. Gemäß DSGVO müssen Sie die Zustimmung zum Setzen von Cookies zur Erfassung personenbezogener Daten haben, während Sie gemäß der ePrivacy-Richtlinie die Zustimmung des Benutzers benötigen, bevor Sie andere als die unbedingt erforderlichen Cookies setzen können.
• Die Informationen über die Cookies sind genau und spezifisch und werden in einer klaren und verständlichen Sprache dargestellt, alle Anforderungen der DSGVO. Wenn der Nutzer sich für die Anzeige der Details entscheidet, wird der Hinweis zu einer vollständigen Übersicht über alle aktiven Cookies und das auf der Website verwendete Online-Tracking ausgeklappt.
• Die Liste basiert auf einem monatlichen Scan aller Seiten der Website, der alle Cookies und bekannten Tracking-Technologien, die auf der Website verwendet werden, erkennt und identifiziert. Die Cookies werden mit Angabe von Herkunft, Dauer und Zweck aufgelistet.
• Die Cookies sind in vier verständliche Kategorien eingeteilt, die der Benutzer ein- oder ausschalten kann.
• Notwendige Cookies können nicht deaktiviert werden, da sie auf der Whitelist stehen und für die ordnungsgemäße Funktion der Website erforderlich sind. Cookie-Kategorien, die nicht mit personenbezogenen Daten umgehen, können vorab überprüft werden, während diejenigen, die dies tun, vom Benutzer aktiv ausgewählt werden müssen, um konform zu sein.
• Im vorliegenden Beispiel behandeln die Präferenzen und Statistik-Cookies auf der Website keine personenbezogenen Daten und können daher vorab überprüft werden. Marketing-Cookies verfolgen personenbezogene Daten und sind daher standardmäßig nicht markiert.
• Der Nutzer hat auf der Website Zugang zu seinem Einwilligungszustand und kann seine Meinung über die Einwilligung jederzeit ändern und diese widerrufen.
• Alle erteilten Einwilligungen werden als Dokumentation, dass die Einwilligung erteilt wurde, ebenfalls DSGVO-pflichtig, sicher aufbewahrt.
• Alle 12 Monate, nach dem ersten Besuch des Benutzers auf der Website, erscheint die Einwilligung erneut und fordert eine Verlängerung der Einwilligung.

Wie mache ich meine Cookie-Erklärung DSGVO-konform?

Die Datenschutz-Grundverordnung bedeutet, dass Sie Ihre Cookie-Erklärung überarbeiten müssen, um sie den Vorschriften entsprechend anzupassen.

Die DSGVO und die EU-Richtlinie zum Datenschutz im Bereich der elektronischen Kommunikation erfordern die vorherige, informierte Zustimmung Ihrer Website-Nutzer, und die DSGVO verlangt, dass Sie jede Zustimmung dokumentieren.

Gleichzeitig müssen Sie nachvollziehen können, welche Benutzerdaten Sie mit eingebetteten Diensten Dritter auf Ihrer Website teilen und wohin die Benutzerdaten weltweit gesendet werden.

Eine DSGVO- und ePrivacy-Cookie-Erklärung muss den folgenden Anforderungen entsprechen:

Transparente Cookie-Erklärung
Eine DSGVO-konforme Cookie-Erklärung muss dem Nutzer jederzeit ein klares und genaues Bild davon vermitteln, wie Cookies auf der Website verwendet werden. Es ist eine eigentliche Anforderung, dass die Cookie-Erklärung in einer klaren und verständlichen Sprache verfasst ist.

Übersicht und Verantwortlichkeit für Cookies auf Ihrer Website
Sie können einer Kontrolle unterzogen werden und sind verpflichtet, die Datenverarbeitung, die im Zusammenhang mit Ihrer Website stattfindet, vollständig zu erfassen.

Dies ist einfacher gesagt als getan, da die meisten Websites eine große Anzahl von Drittanbieter-Cookies durch ihr System fließen lassen.

Beantragung der Zustimmung durch eine positive Maßnahme
Die größte Änderung für Cookie und Online-Tracking im Hinblick auf die DSGVO besteht darin, dass die Zustimmung durch eine eindeutige positive Maßnahme erteilt werden muss.

Die EU-Bürger haben sich – wenn auch wahrscheinlich etwas verärgert – an die Banner auf allen Websites gewöhnt, die die Verwendung von Cookies angeben, manchmal verlangen, dass Sie die Schaltfläche ok ankreuzen, aber keine echte Wahl treffen.

Mit der Verordnung ist dies nicht ausreichend. Die Zustimmung muss als positive Maßnahme erteilt werden, und die Ablehnung von Cookies muss eine tatsächliche Option sein.

Jederzeitiger Widerruf der Einwilligung möglich
Der Nutzer muss die Befugnis haben, seine Einwilligung zu widerrufen.

Daher ist es wichtig, dass die Nutzer jederzeit Zugriff auf ihren aktuellen Einwilligungszustand haben und die Einstellungen ändern oder ihre Einwilligung ganz widerrufen können.

Erneuerung der Einwilligung
Die Einwilligung sollte alle 12 Monate beim ersten Besuch des Nutzers auf der Website erneuert werden.

Benutzerfreundlicher, sachlicher Dialog
Eine Herausforderung der DSGVO besteht darin, dass einerseits die Verwendung von Cookies transparent sein sollte und andererseits den Nutzern Einblicke in die Verwendung ihrer Daten gewährt werden.

Auf der anderen Seite sollte die Kommunikation jedoch klar und verständlich sein, damit der Nutzer eine echte Wahl hat.

Vorherige Zustimmung
Bei der DSGVO und der ePrivacy-Richtlinie muss die Zustimmung des Benutzers vor dem Setzen der Cookies eingeholt werden. Nach dem DSGVO benötigen Sie vorher Ihre Zustimmung zum Setzen von Cookies, die personenbezogene Daten erfassen, während die ePrivacy-Richtlinie noch weiter reicht und verlangt, dass Sie die Zustimmung zum Setzen aller außer den unbedingt erforderlichen Cookies einholen.

Zustimmungen sind als Beweismittel zu dokumentieren.
Alle Einwilligungen müssen sicher aufbewahrt werden, damit sie im Falle einer Kontrolle als Nachweis verwendet werden können.

Es gibt zahlreiche Dienste im Internet, die Vorlagen oder Generatoren für die Cookie-Erklärung Ihrer Website bereitstellen. Einfach googlen “Cookie Policy Template”, und Sie werden einige finden, aus denen Sie wählen können.

Seien Sie jedoch vorsichtig, wenn Sie denken, dass Sie eine Cookie-Erklärungenvorlage für die DSGVO-Konformität verwenden können!

DSGVO Cookie Hinweis | Cookie-Erklärung und DSGVO

Wir empfehlen, keine Vorlagen und Generatoren zu verwenden, da es eine DSGVO-Anforderung ist, dass die Informationen über die Cookies und das Tracking spezifisch und genau sein müssen.

Erstens sind alle Websites unterschiedlich, und zweitens können sich Cookies ändern, ohne dass Sie es merken, insbesondere wenn Sie sich Dritter wie eingebettete Inhalte, Anzeigen oder Analysetools bedienen.

Mit CookieFirst können Sie den Bericht über den monatlichen Scan Ihrer Website als integrierten Bestandteil Ihrer Cookie- oder Datenschutzrichtlinie veröffentlichen.

Auf diese Weise sind die Informationen, die Sie Ihren Benutzern über die auf Ihrer Website verwendeten Cookies zur Verfügung stellen, jederzeit korrekt und präzise.

Lesen Sie hier mehr über den CookieFirst-Cookie-Scanner.

Um den Anforderungen gerecht zu werden, können Sie entweder eine eigene Einwilligungserklärung auf Basis der DSGVO erstellen. Oder Sie können sich bei CookieFirst anmelden, einer vollständig DSGVO-konformen Cookie- und Online-Tracking-Lösung.

CookieFirst integriert die Cookie-Erklärung mit der Überwachung der Cookie-Aktivität auf Ihrer Website und stellt so sicher, dass die Richtlinie jederzeit aktualisiert und wahrheitsgemäß ist. Es wird ein monatlicher Bericht über die Cookies und die Datenverarbeitungsaktivitäten auf der Website erstellt, der sicherstellt, dass der Eigentümer jederzeit die Kontrolle hat. Die Einwilligung des Nutzers wird durch ein verständliches Banner eingeholt, in dem sich die Nutzer problemlos für die verschiedenen Arten von Cookies ein- und austragen können.

Die Nutzer können jederzeit auf die Einrichtung der Einwilligung zugreifen und ihre Einwilligung bearbeiten oder widerrufen. Die Einwilligung wird beim ersten Besuch des Nutzers auf der Website alle zwölf Monate automatisch verlängert. Die Kommunikation im Einwilligungsbanner ist benutzerfreundlich und sinnlos, bietet echte Transparenz und vermeidet gleichzeitig Informationsüberflutung. Die Zustimmung wird vor dem Setzen der Cookies eingeholt, mit Ausnahme der unbedingt notwendigen und damit auch rechtlichen. Alle Einwilligungen werden automatisch über eine gesicherte Verbindung gesammelt und als stark verschlüsselte Schlüssel gespeichert.

DSGVO und Arten von Tracking-Cookies

Insgesamt gibt es vier verschiedene Arten von Cookies, je nach Dauer und Herkunft.

Die DSGVO betrifft alle vier Arten, und Herkunft und Dauer der Cookies müssen angegeben werden, damit der Nutzer sie positiv und informiert akzeptieren kann.

DSGVO Cookie Hinweis | Session-Cookies
Diese Cookies sind temporär und verfallen, sobald der Benutzer die Website verlässt. Session-Cookies werden hauptsächlich von Webshops verwendet, um Artikel im Warenkorb zu halten, während der Benutzer online einkauft.

Im Allgemeinen unterliegen Cookies, wenn sie personenbezogene Daten erfassen, der DSGVO. Session-Cookies sind in der Regel von erster Hand und ermöglichen das notwendige Funktionieren der Website. Daher unterliegen sie selten der Datenschutzverordnung.

DSGVO Cookie Hinweis | Permanente Cookies
Permanente Cookies sind alle diejenigen Cookies, die nicht aus dem Browser der Benutzer gelöscht werden, sobald sie ihre Sitzung auf einer Website beenden. Ihre Dauer hängt von dem in ihnen angegebenen Verfallsdatum ab.

Laut Gesetz sollten sie mindestens alle 12 Monate gelöscht werden, aber ein Cookie kann für immer auf der Festplatte bleiben. Permanente Cookies können von der Website selbst oder von Dritten, die auf der Website betrieben werden, gesetzt werden. Welche Daten sie speichern und damit, ob sie der DSGVO unterliegen oder nicht, hängt von ihrem Zweck ab.

Ein Beispiel für permanente Cookies sind diejenigen, die Daten wie Login-Daten, Kontaktinformationen und Kontonummern enthalten, so dass die Benutzer diese nicht bei jeder Nutzung der Website eingeben müssen. Permanente Cookies können jedoch eine Vielzahl von Zwecken erfüllen. Wenn das Cookie Daten verfolgt, die nach der Definition der DSGVO als personenbezogen gelten, dann unterliegen sie der Regelung, und Sie müssen vor der Verwendung des Cookies eine entsprechende Zustimmung des Benutzers einholen.

DSGVO Cookie Hinweis | First Party Cookies
First-Party-Cookies werden von der Website selbst ausgegeben. Diese Cookies dienen oft dazu, die Website über die Daten und Präferenzen des Benutzers zu informieren.

Im Allgemeinen sind die meisten Cookies von Drittanbietern diejenigen, die personenbezogene Daten erfassen. Dies führt jedoch nicht automatisch zur Whitelist von First Party Cookies. Es hängt davon ab, welche Daten das Cookie verfolgt. Wenn die Daten – einzeln oder kombiniert – eine bestimmte Person identifizieren können, handelt es sich um personenbezogene Daten, für deren Einstellung Sie die Zustimmung Ihrer Nutzer benötigen.

DSGVO Cookie Hinweis | Cookies von Drittanbietern
Drittanbieter-Cookies sind Cookies, die von Dritten in Betrieb genommen werden. Wenn Sie Analytics verwenden, Anzeigen schalten, Inhalte eingebettet haben oder Ihre Website gehostet wird, dann haben Sie auf Ihrer Website Cookies von Drittanbietern in Betrieb.

Die Kopfschmerzen für Website-Besitzer bestehen darin, dass es schwierig sein kann, einen vollständigen und dauerhaften Überblick über Cookies von Drittanbietern zu haben, da sie sich häufig ändern. Was ist ihr Zweck, woher kommen sie, welche Daten sammeln sie und wohin werden sie in der Welt geschickt?

Als Website-Besitzer sind Sie für die Verfolgung personenbezogener Daten von Ihrer Website verantwortlich, und Sie sind verpflichtet, Ihre Benutzer darüber zu informieren und ihre Daten entsprechend ihrem Einverständniszustand zu schützen. Sie können ein Audit Ihrer Website durchführen, um sich ein Bild von den auf Ihrer Website verwendeten Cookies zu machen. Das kostenlose Audit scannt bis zu fünf Unterseiten Ihrer Website und sendet Ihnen einen Bericht über alle Cookies und Tracking auf diesen Seiten. Das Ziel von Drittanbieter-Cookies ist es oft, bestimmte Informationen zu sammeln, um verschiedene Untersuchungen über das Verhalten, die Demographie und nicht zuletzt für gezieltes Marketing etc. durchzuführen.

DSGVO Cookie Hinweis | Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-weite Gesetzgebung, die unter anderem regelt, wie Websites mit personenbezogenen Daten umgehen. Es handelt sich um die bedeutendste Initiative zum Datenschutz seit 20 Jahren und hat erhebliche Auswirkungen auf alle Unternehmen in der Welt, die Einzelpersonen aus der Europäischen Union dienen.

Um den Bürgern die Kontrolle über die Verwendung ihrer Daten zu geben und die “Grundrechte und -freiheiten natürlicher Personen” zu schützen, enthält die Verordnung strenge Anforderungen an die Verfahren zur Datenverarbeitung, Transparenz, Dokumentation und Benutzerzustimmung. Als Datenverantwortlicher muss jedes Unternehmen Aufzeichnungen über die Verarbeitung personenbezogener Daten führen und diese überwachen. Dazu gehören auch personenbezogene Daten, die innerhalb des Unternehmens, aber auch von Dritten – so genannten Datenverarbeitern – verarbeitet werden. Datenverarbeiter können alles sein, von Software-as-a-Service-Anbietern bis hin zu eingebetteten Drittanbietern, die Besucher auf der Website des Unternehmens verfolgen und profilieren. Sowohl die für die Datenverarbeitung Verantwortlichen als auch die Datenverarbeiter müssen darüber Rechenschaft ablegen können, welche Art von Daten verarbeitet werden, zu welchem Zweck die Verarbeitung erfolgt und an welche Länder und Drittanbieter die Daten übermittelt werden.

Daten dürfen nur an andere DSGVO-konforme Unternehmen oder solche in Ländern übertragen werden, die als “ausreichend” erachtet werden, es sei denn, Sie haben Ihre Zustimmung dazu erteilt. Eine Verarbeitung sensibler personenbezogener Daten ist ohne die ausdrückliche Zustimmung einer Person nicht zulässig. Für unsensible Daten reicht eine konkludente Zustimmung. In beiden Fällen muss die Einwilligung auf der Grundlage klarer und spezifischer Informationen über Datentypen und -zweck freiwillig erteilt werden – und zwar immer vor jeder Verarbeitung, auch bekannt als “vorherige” Einwilligung. Alle Zustimmungen sind als Nachweis für die erteilte Zustimmung zu vermerken.

Was ist die DSGVO-Definition von personenbezogenen Daten?

In der Datenschutz-Grundverordnung sind die zu schützenden Daten wie folgt definiert (unsere Kursivschrift):

(26): Die Grundsätze des Datenschutzes sollten für alle Informationen über eine bestimmte oder bestimmbare natürliche Person gelten.

Personenbezogene Daten, die einer Pseudonymisierung unterzogen wurden und einer natürlichen Person durch die Verwendung zusätzlicher Informationen zugeschrieben werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.

Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise wahrscheinlich sind, wie z.B. die Auslese, entweder durch den Kontrolleur oder durch eine andere Person, um die natürliche Person direkt oder indirekt zu identifizieren.

Um festzustellen, ob es hinreichend wahrscheinlich ist, dass Mittel zur Identifizierung der natürlichen Person eingesetzt werden, sollten alle objektiven Faktoren, wie die Kosten und der Zeitaufwand für die Identifizierung, unter Berücksichtigung der zum Zeitpunkt der Verarbeitung verfügbaren Technologie und der technologischen Entwicklungen berücksichtigt werden.

Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. Informationen, die sich nicht auf eine bestimmte oder bestimmbare natürliche Person beziehen, oder für personenbezogene Daten, die so anonymisiert werden, dass die betroffene Person nicht oder nicht mehr identifizierbar ist.

Diese Verordnung betrifft daher nicht die Verarbeitung solcher anonymen Informationen, auch nicht zu statistischen oder Forschungszwecken.

Was sind sensible personenbezogene Daten in der DSGVO?

Sensible personenbezogene Daten sind Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, das Sexualleben oder die sexuelle Orientierung einer Person, Gesundheitsdaten, genetische Daten und biometrische Daten. Eine IP-Adresse oder ein Name gilt als personenbezogene Daten, aber NICHT als sensible personenbezogene Daten. (siehe DSGVO Artikel 9.2 (a) und Erwägungsgründe 51 und 71 für weitere Informationen).

Liste der gemeinsamen personenbezogenen Daten gegenüber sensiblen personenbezogenen Daten

Gemeinsame personenbezogene Daten (PII):

• Name, Adresse, Telefon, E-Mail-Adresse
• Geschlecht, Alter etc.
• Bewerbung, Lebenslauf, Position
• Kaufhistorie und Kundeninformationen
• Kreditinformationen, Schulden etc.
• IP-Nummer

Empfindliche PII | DSGVO Cookie Hinweis

• Rasse und ethnischer Hintergrund (nicht Nationalität)
• Genetische und biometrische Daten
• Politische oder religiöse Überzeugung
• Gewerkschaftsbedingungen
• Gesundheit und sexuelle Beziehungen

Was bedeutet “Datenverarbeitung”?
Datenverarbeitung bedeutet, jede Art von Vorgang mit personenbezogenen Daten durchzuführen, ob automatisiert oder nicht. Beispiele für in der DSGVO genannte Datenoperationen sind: Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Abrufen, Beraten, Verwenden, Offenlegen durch Übertragen, Verbreiten oder anderweitiges Bereitstellen, Ausrichten, Kombinieren, Einschränken, Löschen oder Vernichten.

Wer ist eine “betroffene Person” in der DSGVO?
Eine betroffene Person ist die Person, deren Daten verarbeitet werden.

Was ist ein “Datenverantwortlicher” in der DSGVO?
Ein Datenverantwortlicher ist die Partei, die den Zweck und die Mittel der Datenverarbeitung bestimmt. Im Rahmen eines Unternehmens oder einer Website und seiner Kunden und Nutzer ist der Datenverantwortliche das Unternehmen oder die Website, das die Daten seiner Kunden und Nutzer verarbeitet, um seine Dienste zu optimieren oder was auch immer das Unternehmen/die Website durch die Datenverarbeitung erreichen will.

Was ist ein “Datenverarbeiter” in der DSGVO?
Ein Datenverarbeiter ist die Partei, die die Datenverarbeitung im Auftrag des für die Datenverarbeitung Verantwortlichen durchführt. Bei Websites sind Datenverarbeiter in der Regel Tools und integrierte Dritte wie z.B. Google Analytics, Hotjar, Social Media Buttons etc.

Was ist ein “Datenempfänger” im Sinne der DSGVO?
Der Empfänger ist die Partei, an die die Daten weitergegeben werden.

Wer gilt in der DSGVO als “Dritter”?
Ein Dritter ist eine andere Person als der für die Datenverarbeitung Verantwortliche oder Datenverarbeiter, der unter der direkten Aufsicht des für die Datenverarbeitung Verantwortlichen oder Verarbeiters zur Verarbeitung personenbezogener Daten berechtigt ist.

Im Rahmen einer Website sind Dritte in der Regel die anderen Cookie-Setzer als die Website selbst, und die Autorisierung entsteht dadurch, dass sie als Tools, eingebettete Inhalte oder Dienste in die Website integriert werden.

Was versteht man unter Zustimmung in der DSGVO?
Die Zustimmung der Person, deren Daten verarbeitet werden, bedeutet eine frei gegebene, informierte und unmissverständliche Angabe ihrer Wünsche, durch die sie durch Erklärung oder durch eine eindeutige positive Handlung ihre Zustimmung zur Verarbeitung der sie betreffenden personenbezogenen Daten signalisiert.

Worin besteht eine Verletzung personenbezogener Daten im Rahmen der DSGVO?
Eine Verletzung personenbezogener Daten ist eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum Zugriff auf personenbezogene Daten führt, die übertragen, gespeichert oder anderweitig verarbeitet werden.

Was bedeutet Datenübertragbarkeit in der DSGVO?
Datenübertragbarkeit ist das Recht, seine personenbezogenen Daten als Gegenleistung von einem für die Datenverarbeitung Verantwortlichen in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten und diese Daten ungehindert an einen anderen für die Datenverarbeitung Verantwortlichen zu übermitteln (siehe Artikel 20 der DSGVO).

DSGVO Cookie Hinweis | Durchsetzung und Sanktionen
Eine EU-Gesetzgebung dieser Größenordnung und Bedeutung ist das Ergebnis eines langwierigen Prozesses.

Im Januar 2012 schlug die Europäische Kommission eine umfassende Reform der Datenschutzbestimmungen von 1995 vor (95/46/EG RICHTLINIE), um Europa auf den neuesten Stand des digitalen Zeitalters zu bringen.

Am 4. Mai 2016 wurden der offizielle Wortlaut der Verordnung und der Richtlinie im EU-Amtsblatt in allen Amtssprachen veröffentlicht.

Die Verordnung wurde am 25. Mai 2018 in Kraft gesetzt.

Seitdem werden Unternehmen, die die Anforderungen nicht erfüllen oder ihre Bemühungen zur Einhaltung von Risikoauflagen dokumentieren, mit bis zu 20 Mio. € oder 4 % des globalen Jahresumsatzes des vorangegangenen Geschäftsjahres belegt, je nachdem, welcher Betrag höher ist.