In Bearbeitung EU-DSGVO, Cookie-Richtline - Umsetzung

[SaR]

Mit diesem Beitrag möchte ich eine sachliche Diskussion anstoßen, wie einerseits Website- bzw. Webshop-Betreiber, als auch JTL mit diesem Thema umgehen.

Wie die meisten hier wohl wissen werden, ist die EU-DSGVO am 24.Mai 2016 in Kraft getreten und gilt ab 25.Mai 2018. Es gibt von Usern verschiedene Ansichten dazu, welche Maßnahmen ein E-Commercler befolgen muss bzw. sollte. So geht z.B. das "Gerücht" um, dass der einzublendende Hinweis auf den Einsatz von Cookies in Deutschland nicht notwendig sei.

Um ein wenig zur Rechtssicherheit beizutragen, habe ich mich nach ein paar verbindlichen Quellen umgesehen, die helfen sollen, den rechtlichen Dschungel etwas zu lichten. Für mich persönlich ist dabei mehr die Sicht aus der österreichischen Rechtslage entscheidend (siehe DSG 2000). Da es sich jedoch um EU-Recht handelt, sind wir letztendlich aber alle davon betroffen.

EU-DSGVO - Verordnung (EU) 2016/679

• EUR-Lex: http://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX:32016R0679
• EU-Datenschutz-Grundverordnung.eu: https://www.datenschutz-grundverordnung.eu/
• Österr. Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung
• Österr. Datenschutzbehörde (Leitfaden, PDF): https://www.dsb.gv.at/documents/227...aden.pdf/93d6cb80-8d8e-433d-a492-a827e3ed81a2

Thema "Cookies"

• Google - Einholen der Zustimmung für Cookies: https://www.cookiechoices.org/
• European Commission - Cookie Consent Kit (JavaScript-based): http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm#section_5
• Wikipedia - HTTP-Cookies: https://de.wikipedia.org/wiki/HTTP-Cookie

-----------------------------------------------------------------------

Es scheint also angemessen, sich bei der Gestaltung der "Datenschutzerklärung", wenn man sich nicht ohnehin schon dafür entschieden hat, von einer einschlägig tätigen Rechtsanwaltskanzlei kostenpflichtig unter die Arme greifen zu lassen. Dies aus gleich mehreren Gründen:

1. Rechtssicherheit gegen die sicher neu entfachende Abmahngefahr
2. Welche Textkomponenten müssen wie in eine Datenschutzerklärung integriert werden - Stichworte: Google Analytics & Co, facebook-Button, twitter-Button etc.
3. Sich Klarheit darüber zu verschaffen, welche "personenbezogenen" und ggf. "sensiblen" Daten man ganz besonders beim Betrieb eines Webshops von seinen Besuchern/Kunden einsammelt und wie man diese betriebsintern weiterverarbeitet und nach geltendem Recht sogar dauerhaft speichert.
4. Google-Ranking: welche Anforderungen an einen Webshop muss man beachten, um im Ranking nicht abzurutschen

Die abschließende Frage geht natürlich an JTL und ob es geplant ist, den Shop um einen Hinweistext zu erweitern. Zu beachten ist dabei, dass sich die Texte lt. Google je nach Anzeigegerät (PC oder Smartphone) leicht unterscheiden.

 

[Rico Giesler]

Hallo @SaR
Info aus der Entwicklung:
"Du meinst, ob wir standardmäßig mal einen Cookie-Hinweis in den JTL- Shop einbauen?
Ja, das wird wohl kommen. Bis dahin ist eine Rechtsberatung eine gute Idee - zu beiden Themen.
Bzgl. Cookie-Hinweis gibt es diverse Plugins für den JTL-Shop, auch kostenlose, welche so einen Hinweis beim ersten Besuch einblenden.
Wir haben es auf dem Schirm, wird in einer künftigen Shopversion dann standardmäßig umgesetzt."

 

[holzpuppe]

Dann aber bitte optional so, dass wenn der Besucher auf der Seite bleibt und irgendeinen Link auf der Homepage klickt, der Cookie-Hinweis von alleine verschwinden. Man kann wohl annehmen, wer auf der Seite bleibt und rumklickt ist damit auch einverstanden.

Mir persönlich gehen Seiten auf den Keks die mich "zwangsbeklicken" wollen. Der Cookiehinweis ist teilweise so nerfig wie Popup-Werbung, oder Werbeeinblendung über Inhalte. Meist ist er auch noch dämlich über wichtige Buttons , Menüs oder Anmeldung gelegt, aber das ist ein Problem des Seitenbesitzers.

 

[hula1499]

Das er nervig ist, damit hast du vollkommen recht - wenn ich mich jedoch richtig erinner, MUSS er weggeklickt werden und darf nicht automatisch verschwinden.

 

[SaR]

Das er nervig ist, damit hast du vollkommen recht - wenn ich mich jedoch richtig erinner, MUSS er weggeklickt werden und darf nicht automatisch verschwinden.

Soweit ich die Regelung verstehe bzw. auslege, ist ein "Opt-In" vorgegeben, womit der Besucher explizit Cookies abnicken muss.

Differenzierungen was die Anwendung einzelner Cookies betrifft, sehe ich in der DSGVO auch noch nicht genügend herausgearbeitet. Z.B. Session-Cookies oder Cookies die zur Funktion einer Seite unbedingt erforderlich sind (Stichwort: Warenkorb) etc. Während man die Zustimmung für notwendige Cookies mit der Registrierung verbinden kann, wodurch auch nach Anmeldung des Users die leidige Abfrage wegfallen könnte, sehe ich Otto-Normalverbraucher mit den Hinweistexten und dem dahinterstehenden Datenschutzinformationsangebot, ohnedies überfordert, was einem Umsatzerlebnis durchaus abträglich sein kann.

Persönlich glaube ich, dass man dem Surfer irgendwann Funktionen wird anbieten müssen, mit denen er gezielt Cookies von Google, facebook & Co zustimmen muss. Dadurch würde er sich dann spezieller Funktionen wie Social-Media-Links und z.B. Google-Maps berauben.

 

[david]

Die Differenzierung zwischen technisch erforderlichen (Session-)Cookies und nicht erforderlichen Cookies ist unter http://www.it-recht-kanzlei.de/google-cookie-hinweis.html#abschnitt_14 etwas verständlicher aufgeführt.
Ob jetzt Opt-Out mit einmaligem Hinweis (Wegklicken oder Verschwinden ist dabei denke ich egal) oder Opt-In mit ausdrücklicher Einwilligung für die Speicherung technisch-nicht-notwendiger Cookies (Google Analytics & Co) - das kommt darauf an, ob man die Vorgaben des Telemediengesetzes oder die der Cookie-Richtlinie umsetzen möchte/muss.

Letztgenannte Opt-In-Variante ist natürlich technisch aufwändiger und wahrscheinlich eher kontraproduktiv für die Conversion-Rate.
Wenn man von vornherein offenlegt, dass man Cookies von Google, Facebook und Co für Website-übergreifendes Tracking speichern möchte, muss man auch damit leben, dass dies von vielen Besuchern abgelehnt wird und manche Besucher vielleicht sogar etwas irritiert (sie werden ja sofort damit konfrontiert).

 

[SaR]

@david - hier setze ich mit Art- 7 EU-DSGVO "Einwilligung" dagegen https://www.datenschutz-grundverordnung.eu/grundverordnung/art-7-ds-gvo/

Im Artikel 7 (1) ist klar von Freiwilligkeit die Rede, was m.M.n. den Opt-Out ausschließt, zumal die Einwilligung nachweisbar sein muss. Noch besser geht meine Einschätzung aus dem darunter befindlichen Kommentar hervor:

"Unmißverständlichkeit

• in einer (schriftlichen) Erklärung Form oder einer sonstigen aktiven, eindeutig bestätigenden Handlung, z.B. durch Anklicken eines Kästchens oder Auswahl entsprechender Einstellungen (Vorsicht: Privacy by default, Art. 25 (2) EU-DSGVO!)"

bzw.

"Update der Bestands-Opt-Ins
Ferner sind bestehende Einwilligungen bis zur Anwendbarkeit der DSGVO im Mai 2018 upzudaten, eine weitere Übergangsfrist ist nicht vogesehen. Ab diesem Datum müssen alle genutzten Einwillgungen den o.g. (strengeren) Anforderungen geügen."

Wie Du aber mit Deinem Beispiel anführst, sind Widersprüchlichkeiten in der Gesetzgebung geradezu zu befürchten, wodurch so mancher Instanzenlauf zu erwarten ist. Der Abmahnlobby wird's gefallen. Die Conversion-Rate bekommt garantiert einen gewaltigen Knick, wenn ich mir Googles Vorschläge für die Hinweistexte durchlese: https://www.cookiechoices.org/ "Welche Angaben muss mein Hinweis zum Einholen der Zustimmung enthalten?" Vom programmiertechnischen Aufwand ganz zu schweigen.

 

[david]

EU-DSGVO und ePrivacy-Verordnung (aka Cookie-Richtlinie) sind 2 verschiedene Verordnungen.
In der EU-DSGVO geht es ausschließlich um den Schutz personenbezogener Daten, nicht um Cookies.

Die ePrivacy-Verordnung regelt, wie Daten im Internet verarbeitet werden dürfen. Dazu zählt dann u.a., wann Cookies technisch erforderlich sind bzw. ob und wann man sich für technisch nicht notwendige Cookies eine Erlaubnis holen muss. Dass hier noch viel Interpretationsspielraum gegeben ist - ja, das ist mal wieder ärgerlich :/
War bei der "Buttonlösung" aber auch so und war weitaus weniger dramatisch, als es vorher beschwört wurde.

 

[Sven83]

Gibt es schon einen Plan, wann dei Funktion mit der Einblendung im JTL Shop kommt?

 

[david]

Wir warten ab, wie sich das Thema ePrivacy-Verordnung entwickelt (verzögert sich und tritt wohl erst Mai 2019 in Kraft).
https://www.exali.de/Info-Base/eprivacy-update

Der JTL- Shop setzt standardmäßig den technisch notwendigen Session-Cookie, der auch keine Einwilligung erfordert (Stand heute).
Ob du nun überhaupt eine Cookie-Einwilligung benötigst und wie diese ausschaut, hängt maßgeblich davon ab, welche Plugins/Templateanpassungen du installiert/vorgenommen hast, die Drittanbieter-Cookies setzen. Wie eine Einwilligung dazu aussehen könnte, hängt auch vom Zweck dieser Cookies ab.
Ein pauschaler Cookie-Hinweis a la "Unsere Website benutzt Cookies - klicken um fortzufahren", wie man es zuhauf auf Webseiten sieht, wird wohl nicht ausreichen.

 

[MichaelH]

"Wir warten ab, wie sich das Thema ePrivacy-Verordnung entwickelt (verzögert sich und tritt wohl erst Mai 2019 in Kraft)"

Danke für die Info, hier in AT wurde von der WKO gesagt, dass sich noch bis Mai einiges ändern kann, daher ist eine Verschiebung wohl mehr als sinnvoll ... !

 

[SaR]

EU-DSGVO und ePrivacy-Verordnung (aka Cookie-Richtlinie) sind 2 verschiedene Verordnungen.
In der EU-DSGVO geht es ausschließlich um den Schutz personenbezogener Daten, nicht um Cookies.
https://www.it-recht-kanzlei.de/faq-datenschutz-grundverordnung.html

Natürlich respektiere ich die Meinung einer Rechtsanwaltskanzlei. Trotzdem teile ich die Einschätzung nicht, dass es zwischen Cookies und PBD keinen DSGVO-rechtlichen Zusammenhang gibt. Warum? Bis auf die technischen Cookies, gibt es genügend andere - z.B. von Google-Maps-Diensten, eTracker, facebook-Pixel und Affiliateprogrammen - die sehr wohl zumindest Rückschlüsse auf die Person und detaillierteres Nutzungsverhalten zulassen.

Hier in AT wird es sowieso extra kompliziert, da die endgültige Einführung der DSGVO unser bestehendes DSG2000 novelliert, was wiederum durch das Datenschutz-Anpassungsgesetz 2018 geregelt wird. Nicht zu vergessen das TKG2003.
In meinem Umfeld empfehle ich deshalb, unbedingt einen zertifizierten Datenschutzbeauftragten mit der Erstellung eines Datenschutzkonzepts zu beauftragen und die getroffenen Maßnahmen für eine Datenschutzerklärung von einem Rechtsanwalt in Wort und Text gießen zu lassen. Kostet zwar - längerfristig gedacht aber sicher die billigere Lösung. Stichwort "Abmahnwelle"

Wofür ich unsere Wirtschaftskammer (WKO) loben muss, sind unzähligen Hilfestellungen die sie auch für Nichtmitglieder anbietet. Ein grandioses Beispiel für eine Datenschutzerklärung bietet mein Hoster Domainfactory schon jetzt an: https://www.df.eu/at/datenschutz/

Hier noch ein interessanter Artikel zum Thema: https://www.security-insider.de/was-online-shops-fuer-die-dsgvo-noch-tun-muessen-a-693489/

 

[MichaelH]

Über die Jahre hat es viele Änderungen und Verordnungen gegeben und bis heute finde ich Shops die dahingehend die Vorgaben und Pflichten nicht oder nicht vollständig umgesetzt haben.
Ich werde mich von diesem Termin und dem Termin im Mai auf alle Fälle nicht unter Druck setzen lassen.

Wenn wir davon ausgehen würden, dass jeder Shopbetreiber einen Fachmann + RA zur Umsetzung benötigen würde, dann wäre die Wartefrist wohl nicht nur monatelang sondern jahrelang um überhaupt einen Fachmann engagieren zu können.
Daher abwarten was die Großen machen, umschauen und dann entsprechend selber umsetzen.

 

[SaR]

@MichaelH - keine Frage. Kann man natürlich so handhaben. Insbesondere deshalb, weil die österr. Datenschutzbehörde sowieso nur gering besetzt ist und nur auf Veranlassung handelt. Das Problem wird nur sein, dass es wie seinerzeit beim Aufkommen der Impressumspflicht, eine Vielzahl von RA-Kanzleien geben wird, die mit Abmahnwellen Kohle machen wollen. Von neidigen Mitbewerbern, die jemandem eins auswischen wollen, erst gar nicht zu reden.
Abgesehen davon ist bereits ein "Datenschutz-Siegel" im Gespräch, das sich Shops bei nachgewiesener Einhaltung der DSGVO ff. verleihen lassen können. Aber auch ohne eines Siegels halte ich es für einen Ausdruck von Professionalität und Qualität, Kundenvertrauen durch entsprechende Dokumente zu gewinnen.

 

[SaR]

Möchte auf meinen Beitrag in einem anderen Thread hinweisen: https://forum.jtl-software.de/threa...der-eu-technokraten.105694/page-3#post-602400