Lizenzkonformität Web-Design

Datenschutz, DSGVO und Cookies

/ von Karsten Reincke | Kommentar schreiben

Datensicherheit Symbolbild

Daten­schutz sei kom­plex und müs­se von Exper­tin­nen orga­ni­siert wer­den, wird der WEB-Site-Betrei­be­rin ger­ne bedeu­tet. Was aber, wenn sie das Geld dafür nicht hat? Wenn es irgend­wie unsin­nig erscheint, mit der Kano­ne eines bezahl­ten Exper­tin­nen­teams auf einen Spat­zen­blog zu schie­ßen? Dann wird sie sich viel­leicht via Goog­le irgend­ein ger­ne genutz­tes Word­Press-Plug­in für Daten­schutz und/oder Coo­kies orga­ni­sie­ren — und hof­fen, dass alles gut geht. Oder sie wird dem genau­er nach­ge­hen. Und sich am Ende viel­leicht auch Dau­men­re­geln für das The­ma ‘Daten­schutz und DSGVO’ zusam­men­stel­len, aus und mit denen sich wenigs­tens ein gut gang­ba­rer Weg ergibt. Hier mei­ne 3.7 Faust­re­geln:

[ de | en ]

Lösung

  • I. Ver­wen­de nur die per­so­nen­be­zo­ge­nen Daten, die Du für das Funk­tio­nie­ren Dei­nes Sys­tems wirk­lich benö­tigst.
  • II. Wenn Du per­so­nen­be­zo­ge­ne Daten erhebst, dann sage den Besit­ze­rin­nen,
    • dass Du das tust,
    • zu wel­chem Zweck Du die Daten ver­wen­dest,
    • wel­che Rechts­grund­la­ge Dich dazu berech­tigt,
    • an wen Du die Daten wei­ter­gibst,
    • wie lan­ge Du sie bei Dir spei­cherst,
    • wie sie bei der erfra­gen kön­nen, wel­che Daten Du über die Zeit gespei­chert hast
    • wie sie die Daten wie­der löschen las­sen kön­nen.
  • III. Wenn Du Daten auf dem Rech­ner Dei­ner Nut­ze­rin­nen spei­cherst, die sie nicht direkt oder indi­rekt ange­for­dert haben (könn­ten), fra­ge sie vor­her um Erlaub­nis.

Hintergrund

Gehe ich danach vor — so mache ich immer wie­der glau­ben — wer­de ich mei­ne Sites so gestal­ten, dass ich die gröbs­ten Fal­len 1 und Feh­ler 2 ver­mei­de. Denn eines habe ich immer im Kopf: mit einem blo­ßen Coo­kie-Ban­ner ist es nicht getan:

  1. Als Ers­tes über­le­ge ich mir, wo mein Blog als Sys­tem per­so­nen­be­zo­ge­ne Daten erhebt. Die, die ich in und mit For­mu­la­ren expli­zit abfra­ge, fal­len mir am leich­tes­ten auf und ein. Bei denen weiß ich — ‘qua Amt’ -, wofür ich sie nut­ze und an wen ich sie wei­ter­ge­be etc.
  2. Außer­dem ist mir klar, dass auch IP-Adres­sen als per­so­nen­be­zo­ge­nen Daten gel­ten — obwohl das Inter­net ohne sie gar nicht funk­tio­nie­ren wür­de.
  3. Zudem kön­nen Word­Press, die von mir akti­vier­ten Plug­ins, Java­script-Biblio­the­ken, Goog­le-Fonts u.Ä.m. Daten erhe­ben, notie­ren und an Drit­te ver­sen­den.
  4. Schließ­lich wer­den mei­ne Kom­men­ta­to­rin­nen übli­cher­wei­se über das gän­gi­ge Grava­tar-Sys­tem wie­der­erkenn­bar gemacht.

Die­ses Gemen­ge muss ich ord­nen:

  • Regel (I) sagt mir, dass Weni­ger im Mehr ist: Je weni­ger Daten ich erfra­ge, je weni­ger Plug­ins ich ver­wen­de, des­to schlan­ker wird mein Daten­schutz­kon­zept. Also mis­te ich hier aus, z.B., in dem ich Pro­duk­tiv- und Deve­lo­psyt­sem unter­schied­lich behan­de­le.
  • Regel (II) sagt mir, dass ich die ver­blei­ben­den Daten­sets aber auch tat­säch­lich im Daten­schutz­kon­zept beschrei­ben muss. Also ermitt­le ich nach bes­tem Wis­sen und Gewis­sen, wel­che Daten mei­ne Plug­ins, Font-Requests und ande­re tech­ni­sche Kom­po­nen­ten erhe­ben, wie sie sie spei­chern und wohin sie sie wei­ter­ge­ben.
  • Regel (III) sagt mir, dass ich es ich es mir erlau­ben las­sen muss, Datei­en, will sagen: Coo­kies auf den Rech­ner mei­ner Nut­ze­rin schrei­ben zu dür­fen, sei es — wie bei tech­nisch not­wen­di­gen Coo­kies — gesetz­lich, sei es — wie bei den ande­ren — per Zustim­mung durch mei­ner Nut­ze­rin. Und um die gewährt zu bekom­men, ist es hilf­reich, Zweck und Aus­wir­kung anzu­ge­ben.

Wei­te­re Posts beschrei­ben, wie ich das kon­kret umge­setzt habe.

Und in welchem Zusammenhang …

… steht das mit unse­rer Migra­ti­on zu bootS­core? Nun, zuletzt muss die Web-Desi­gne­rin im Rah­men ihrer Anpas­sun­gen auch recht­li­che Vor­ga­ben beach­ten, sei­en es die der DSGVO, die für eine Coo­kie-Zustim­mung und deren Beach­tung oder die zur Erstel­lun­gen einer Daten­schutz­er­klä­rung. In die­sen Kon­text gehö­ren dann auch die Fra­gen nach dem Zweck eines Bild­ver­zeich­nis­ses, nach einem adäqua­ten Impres­sum oder nach einer hin­rei­chen­den Open-Source-Lizenz­er­fül­lung. Dies ins rech­te Licht zu rücken, will auch die­ser Post unter­stüt­zen.

Im Übri­gen: Män­ner sind mit­ge­meint.

  1. vgl. https://www.e‑recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html[]
  2. vgl. https://www.ihk.de/halle/recht/datenschutz/sonstige-rechtsinformationen/cookie-banner-fuenf-fehler-die-sie-vermeiden-sollten–4854218[]

Schlagworte

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

To top