Wann kann ich Cookies ohne Einwilligung auf meiner Internetseite einbinden?

Technisch notwendige Cookies können ohne Einwilligung der Seitenbesucher auf der Seite gesetzt werden. Als Rechtsgrundlage dient hier Art. 6 Abs. 1 lit. f DS-GVO. Jedoch ist in der Datenschutzerklärung auf die Verwendung der Cookies sowie die Rechtsgrundlage, auf der die Verarbeitung personenbezogener Daten basiert, hinzuweisen.

Weitere Informationen finden sich im Beitrag "Cookies & Cookie-Banner".

Wann braucht eine Internetseite ein Cookie-Banner?

Wird die Datenverarbeitung auf eine Einwilligung als Rechtsgrundlage gestützt, dann ist eine Datenverarbeitung ohne wirksame Einwilligung rechtswidrig und kann von den Aufsichtsbehörden untersagt oder auch mit Bußgeldern geahndet werden.

Der EuGH hat in seinem Urteil vom 1. Oktober 2019 entschieden, dass eine Einwilligung der Internetnutzer in die Verarbeitung ihrer Daten z.B. durch Cookies, nur dann wirksam ist, wenn die Nutzer aktiv die Einwilligung erteilen. Der BGH hat dies bestätigt. Eine wirksame Einwilligung liegt daher nicht vor, wenn die Felder der Einwilligungserklärung z.B. in einem Cookie-Banner schon vorab angekreuzt sind oder die Einwilligung einfach wegen „Weitersurfens“ unterstellt wird. Eine „Opt-out“-Lösung, bei der die Nutzer der Verarbeitung aktiv widersprechen müssen, erfüllt die Anforderungen nicht und führt zu rechtswidrigen Verarbeitungen.

Die Orientierungshilfe der DSK für Telemediendiensteanbieter enthält detaillierte Hinweise für die Gestaltung von Cookie-Bannern und Einwilligungsmanagement-Systemen.

Brauche ich für den Einsatz von Google Analytics eine Einwilligung der Seitenbesucher?

Für den Einsatz von Cookies, die zur Bereitstellung einer Webseite oder App nicht unbedingt erforderlich sind, wäre nach Art. 5 Abs. 3 der ePrivacy-Richtlinie generell eine Einwilligung notwendig. Im Rahmen der Anwendung von Art. 6 Abs. 1 lit. f DS-GVO gemäß Orientierungshilfe der DSK für Telemediendiensteanbiete ist dies zumindest dann der Fall, wenn die Cookies einem Dritten den Zugriff auf die Cookie-Informationen erlauben, der eigene Zwecke mit der Verarbeitung der Daten verfolgt. Dies ist zum Beispiel für das weit verbreitete Werkzeug „Google Analytics“ der Fall. Google Analytics und vergleichbare Dienste, die ein webseitenübergreifendes Tracking der Nutzer ermöglichen, dürfen auf Webseiten und in Apps generell nur mit Einwilligung der Nutzer aktiviert werden.

Braucht jede Internetseite ein Impressum?

Wen die Impressumspflicht trifft, regelt vor allem § 5 Telemediengesetz (TMG). Grundsätzlich kann man sagen, dass die Pflicht für alle Anbieter einer Internetseite gilt, wenn die Plattform geschäftlichen Zwecken dient. Damit fallen ausschließlich privat genutzte Seiten, also Seiten, die nicht öffentlich zugänglich sind, nicht unter die Impressumspflicht (§ 55 Rundfunkstaatsvertrag spricht von „ausschließlich persönlichen oder familiären Zwecken“).

Wichtig: Ist auf der privat genutzten Seite Werbung geschaltet, mit der Geld verdient wird, kann dies eine Impressumspflicht begründen.

Vor allem Verkaufsplattformen wie Online-Shops und Suchmaschinen müssen ein Impressum angeben. Aber auch Accounts in sozialen Netzwerken wie Facebook und Tweitter benötigen ein Impressum, wenn das Konto auch gewerblich, beispielsweise für Stellenanzeigen, genutzt wird.

Ausführliche Information zum Inhalt des Impressums finden Sie auf der Internetseite des Bundesjustizministeriums.

Braucht jede Internetseite eine Datenschutzerklärung?

Jede Internetseite braucht eine Datenschutzerklärung. Für den Aufbau einer Internetseite ist die Kenntnis der IP-Adresse des Seitenbesuchers erforderlich. Eine IP-Adresse stellt ein personenbezogenes Datum dar, sodass jede Seite eine Datenschutzerklärung benötigt.

Was muss in einer Datenschutzerklärung enthalten sein?

Mit einer Datenschutzerklärung kommt der Internetseitenbetreiber seinen Pflichten aus Art. 13 DS-GVO nach. Daher müssen alle in Art. 13 DS-GVO geforderten Informationen in einer Datenschutzerklärung enthalten sein.

Hilfreiche Muster für Datenschutzerklärungen stellt die Forschungsstelle Recht des DFN an der Westfälischen Wilhelms-Universität Münster als Musterdatenschutzerklärung zur Verfügung.

Was muss ich beim Einbinden von Social Plugins beachten?

Problematisch bei sog. Plugins ist, dass Daten an die Betreiber der Plattformen übermittelt werden, ohne dass die aufrufende Person darüber informiert wird oder in die Übermittlung, Speicherung und Verarbeitung ihrer Daten eingewilligt hat. Ebenso entfällt die Möglichkeit, der Verarbeitung zu widersprechen. Die Dienste-Betreiber erfahren über diese Technik beispielsweise die IP-Adresse, das Betriebssystem, den verwendeten Browser, die Sprache und noch vieles mehr.

Eine Möglichkeit eine solche Datenübermittlung an die Plattformbetreiber zu unterbinden und dennoch Soziale Netzwerke in die Internetseite mit einzubauen stellt die sog. "2-Klick-Lösung dar". Ausführliche Informationen dazu finden sich im Beitrag "Webseiten Plugins von Social Media- und anderen Diensten".

Dürfen private WhatsApp Nachrichten an Dritte weitergegeben werden?

Die Weitergabe von Chatnachrichten aus geschlossenen Benutzergruppen an den Arbeitgeber greift in das Recht auf informationelle Selbstbestimmung ein. Nur in Ausnahmefällen ist eine solche Weitergabe datenschutzrechtlich gerechtfertigt. Weitere Informationen zu diesem Thema finden sich im Beitrag "Weitergabe von Chatnachrichten aus WhatsApp Gruppen an den Arbeitgeber".

Was ist bei der Veröffentlichung von Fotos zu beachten?

Grundsätzliche dürfen Fotos von Personen nur mit deren Einwilligung angefertigt und veröffentlicht werden. Für dieses Recht am eigenen Bild gelten jedoch mehrere  Ausnahmen, bei deren Vorliegen eine Veröffentlichung des Fotos auch ohne Einwilligung möglich ist.

Ausführliche FAQ zum Thema Recht am eigenen Bild finden Sie im Beitrag "Rechtliche Anforderungen beim Fotografieren unter der DS-GVO".

Wie kann ich Links zu meiner Person aus Suchmaschinenergebnissen löschen lassen?

Sollten Sie bei einer Suchmaschine einen Link bei einer Suche zu Ihrem Namen finden, den Sie als datenschutzwidrig ansehen, können Sie dafür Sorge tragen, dass der Link über die Suchmaschine nicht mehr auffindbar ist. Am Beispiel von Google können Sie mit folgenden Schritten eine Löschung erreichen:

Google hält ein Webformular bereit, über das Sie die Entfernung personenbezogener Daten beantragen können. Dort müssen Sie im Länderfeld zunächst „Deutschland“ auswählen. Danach geben Sie ihre Kontaktdaten in das Formular ein. Weiterhin müssen Sie angeben, in wessen Namen Sie handeln. Dort wählen Sie „mich selbst“ aus. Schließlich müssen Sie noch den Suchbegriff eingeben, welchen Sie verwendet haben und welcher zu den unerwünschten Suchergebnissen geführt hat. Im Freitextfeld werden Sie nun aufgefordert, für jede angegebene URL zu erläutern, warum Sie eine Löschung der angezeigten Suchergebnisse wünschen. Eine Ausfüllanleitung befindet sich über dem Freitextfeld. Google stellt auch einen Link bereit, der Ihnen dabei behilflich ist, die richtige URL, welche im nächsten Freitextfeld angegeben werden muss, aufzufinden.

Sollte Google Ihrem Antrag auf Löschung nicht entsprechen, können sich an den Hamburgischen Datenschutzbeauftragten wenden, der wegen des Sitzes von Google Deutschland in Hamburg bei Datenschutzfragen Google betreffend der richtige Ansprechpartner innerhalb Deutschlands ist.