Rolf B: DGSVO/Kekse & Co

Beitrag lesen

Hallo Jim,

ihr müsst dokumentieren, welche Daten vom Kunden ihr speichert, und wem ihr sie zur Verfügung stellt.

Cockies? Meinst Du Hunde? (Cockerspaniel) Oder Geflügel (cock = engl. für Hahn)? Oder den Rotlichtbezirk? Oder doch vielleicht Cookies?

Wenn ihr keine Cookies setzt und ihr keine Third-Party Elemente einbindet, an denen Cookies kleben, braucht ihr auch keine Erlaubnis einzuholen.

Eine DSE (Datenschutzerklärung) braucht es natürlich trotzdem, und da steht dann unter anderem drin, dass ihr keine Daten (z.B. Cookies) im Browser speichert und keine Daten an Dritte weitergebt. Wenn ihr aus den Antragsdaten lediglich das PDF generiert und es vermailt, ohne die Daten nochmal auf dem Server zu speichern, dann solltet ihr auch das hinschreiben, das freut den Kunden. Beachte: Ein temp-Ordner mit einem Haufen vermailter PDFs ist eine Speicherung. Wenn Du schreibst "wir speichern das nicht", dann achte drauf, dass der Temp-Order auch geputzt wird.

Wenn ihr eine Session erzeugt (das passiert z.B. bei PHP Anwendungen), dann gibt's typischerweise einen Sessioncookie. Aber der ist - wenn er korrekt gemacht ist - transient und verdampft beim Schließen des Browsers, dafür muss keine Erlaubnis eingeholt werden. Informieren sollte man in der Datenschutzerklärung trotzdem, um einer Kombination aus abmahngeilem Anwalt und unwissendem Richter zuvorzukommen.

Falls ihr an alternativen Footprint-Techniken herumüberlegt (localStorage, ServiceWorker mit Cache, etc) - das ist bezüglich Dokumentation und Erlaubnisabfrage den Cookies gleichzustellen.

Vorgefertigte DSE wollen alle Eventualitäten abdecken und sind deshalb zumeist gigantisch. Als uninformierter Kleinentwickler weiß man oft gar nicht, was davon für den eigenen Anwendungszweck relevant ist und was man schadlos weglassen kann, was die Kunden dann wieder nervt, weil sie einen Roman vorfinden, den sie nicht kapieren und bei dem sie sich fragen, was das denn alles soll. Ich selbst habe schon von der Nutzung von Online-Angeboten Abstand genommen, weil die DSE ein verschwurbelter Wust war, von dem mindestens 50% offensichtlich unpassend waren. Es lohnt sich daher, die DSE kritisch zu betrachten und Dinge, die einen garantiert nicht betreffen, wegzulassen.

Empfehlungen für DSE-Vorlagen zu geben überlasse ich lieber den Kollegen hier, die kennen das besser. Ich persönlich bin der Auffassung, dass eine kurze, knackige DSE Vertrauen schafft (sofern sie auch wahr ist). Juristische Satzklauberei mag Anwälten Spaß machen, aber nicht den Kunden. Bei einer einfachen Vermieter-Seite, die nicht von den Besucherdaten profitieren will, sollte eine solche DSE möglich sein.

Beachtet aber, dass ihr vielleicht keine Werbung machen wollt, aber gerne wissen möchtet, wer euch besucht und wie oft ihr besucht werdet. Anonyme Seitenabrufzähler sind unproblematisch, aber wenn ihr sie mit Trackingmaßnahmen kombiniert oder versucht, Dienste zum Kategorisieren eurer Benutzer einzubinden (Google Analytics kann da sicherlich eine MENGE), seid ihr die Unschuld los. Dann wird die DSE deutlich komplexer, und dann werdet ihr auch um einen Genehmigungsdialog nicht herumkommen.

Beachtet auch die diversen Logs eures Webservers. Da steht standardmäßig gerne die IP des Seitenabrufers drin. Das Loggen der IP muss vom Nutzer genehmigt werden und sollte deshalb von euch unterbunden werden.

Inwieweit euer Provider eigene Logs führt, die Kundendaten enthalten, müsst ihr mit dem Provider abklären. Loggt der Provider Seitenabrufe mit der IP eurer Besucher, müsst ihr das abschalten oder anonymisieren lassen. Ich bin mir nicht sicher, wie hier die Rechtslage bei Providern ist, die sich dagegen sperren.

Rolf

--
sumpsi - posui - obstruxi