Cookies – EuGH Urteil

EuGH Urteil Cookies Website

Der Europäische Gerichtshof (EuGH) hat mit gestrigem Urteil eine Änderung der Cookie Nutzung beschlossen. Seit langem wurde befürchtet, dass diese Verschärfung des Internetrechts in Kraft tritt. Cookies, welche den Zweck verfolgen, das Nutzungsverhalten des Besuchers zu tracken, müssen nun aktiv vom Nutzer bewilligt werden. Für diese Zustimmung muss eine Einwilligung gemäß Art. 6 Abs. 1 lit a) EU DSGVO eingeholt werden. Die Entscheidung bedeutet aber nicht das Ende des Cookie-Banners. Das Gericht stoppt damit nur die weit verbreitete Zustimmung per vorangekreuztem Häkchen.

Cookies, welche für die technische Bereitstellung des Dienstes unabdingbar sind, betrifft diese Verfahrensweise nicht.

Was sind Cookies?

Cookies

Cookies sind kleine Scripte, die zwischen dem Endgerät des Nutzers und den Servern des Anbieters Daten austauschen. Allgemein werden mit dem Begriff meist HTTP-Cookies bezeichnet, mit deren Hilfe Websites Nutzerdaten lokal und serverseitig speichern, um einzelne Funktionen und Webanwendungen wie Onlineshops, soziale Netzwerke und Foren nutzerfreundlicher gestalten zu können.

Welche Arten von Cookies gibt es?

Ohne Cookies ist ein Surfen im Internet nicht möglich. Cookies werden benötigt um:

  • die Einstellungen
  • die Sicherheit
  • die Prozesse
  • und den Sitzungsstatus

zu gewährleisten.

Vom Urteil betroffen sind Cookies, die

  • zu Werbezwecken oder
  • zu Analysezwecken

eingesetzt werden und damit unbemerkt Einfluss auf das Verhalten den Besuchers nehmen oder dieses auswerten. Dies betrifft unter anderem:

  • Google Analytics, Google Doubleclick
  • und Matomo

sowie aktive Inhalte von

  • Google Maps, Facebook, Instagram
  • Youtube,
  • Vimeo
  • Hubspot
  • Cross-Device Tracking
  • Remarketing
  • Profiling
Google Analytics
Google-Script auf der Website eines Anbieters

Vom Urteil betroffen sind Cookies, die zu Werbezwecken oder zu Analysezwecken eingesetzt werden und damit unbemerkt Einfluss auf das Verhalten den Besuchers nehmen oder dieses auswerten.

Wie kam es zu diesem Urteil?

Der EuGH sieht das Speichern von Informationen auf Endgeräten des Nutzers als Eingriff in die Privatsphäre an, welche durch die Europäische Konvention zum Schutz von Menschenrechten und Grundfreiheiten geschützt ist. „Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt“, besagt das Urteil“. Bisher nutzten Websitebetreiber den Cookiebanner um den Besucher über die Verwendung von Cookies in Kenntnis zu setzen. Es war dem technischen Sachverstand des Nutzers überlassen, durch Veränderung der Einstellungen im Browser das Tracking zuzulassen oder zu verhindern.

Mit dem aktuellen Urteil des EuGH‘s geht die Pflicht nun auf den Websitebetreiber über. Dieser muss die Nutzer um aktive Einwilligung zur Verarbeitung des Nutzungsverhaltens auf der Website bitten. Darüber hinaus ist er verpflichtet, den Besucher, über die genutzten Tool‘s und die Verweildauer des Cookies auf dem Endgerät in Kenntnis zu setzen.

Fazit: Wie können Cookies konform verwendet werden?

Die sicherste Lösung

Die sicherste Lösung besteht unzweifelhaft darin, die Nutzer beim Aufrufen der Webseite per Pop-Up-Fenster um aktive Einwilligung zu bitten. Dies geschieht, in dem der Nutzer via Opt-In zustimmt. Hier sollte natürlich darauf geachtet werden, dass an dieser Stelle vor der Einwilligung noch kein Tracking-Cookie gesetzt wird. Die meisten Nutzer werden es als lästig empfinden, so dass Ihre Conversion-Rates unter Umständen sinken. Das Design der Website wird durch diese Einwilligung auch in der Regel nicht schöner.

E-Privacy- Verordnung gibt weitere Restriktionen

Die E-Privacy-Verordnung, welche mit in Kraft treten der EU DSGVO verabschiedet werden sollte, wird einheitliche Vorgaben für den Einsatz von Cookies und das Betreiben von Websiten beinhalten. Derzeit ist jedoch noch nicht abzusehen, wann diese endgültig beschlossen wird. So lange sind einzelne EuGH Urteile richtungsweisend.

Muss die Datenschutzerklärung geändert werden?

Ja, die bestehenden Informationen der genutzten Trackinganbieter reichen nicht mehr aus, um den Informationspflichten gemäß Art. 12 ff. DSGVO nachzukommen. Die Rechtsgrundlage zur Nutzung der betroffenen Cookies stützt sich nun auf den Art. 6 Abs. 1 lit a) EU DSGVO. Desweiteren müssen zusätzliche Angaben in der Beschreibung enthalten sein, wie z.B. die Verweildauer des Cookies auf dem Endgerät.

Um Ihre Website an die aktuellen Anforderungen anzupassen, muss der Datenschutzbeauftragte in den Prozess involviert werden. Dieser stellt fest, welche Trackingtools auf der Website aktiv sind. Mit den Anbietern muss gegebenfalls eine Auftragsverarbeitungsvereinbarung geschlossen werden. Bei Übertragung von personenbezogenen Daten in ein Drittland gelten zusätzliche Vorschriften welche die Sicherheit gewährleisten können wie:

Cookie Website Check

Bundestag beschließt Änderung der Bestellpflicht für Datenschutzbeauftragte

Bundestag beschließt Änderung der Bestellpflicht für Datenschutzbeauftragte.

Erleichterung für kleine und mittelständische Unternehmen bis 20 Mitarbeiter zu erwarten. Am 28.06.19 verabschiedete der Bundestag das zweite Datenschutzanpassungs-und Umsetzungsgesetz (2. DSAnpUG ). Damit einher gehen nun auch Änderungen des §38 BDSG (neu), welcher die Bestellpflicht des Datenschutzbeauftragten für Unternehmen beschreibt. Bis dato galt: Wenn im Unternehmen bis zu 10 Mitarbeiter mit der Bearbeitung von personenbezogenen Daten beschäftigt waren, musste ein Datenschutzbeauftragter benannt werden.

Ursprünglich war geplant, die Grenze für die Bestellpflicht eines betriebliches Datenschutzbeauftragten auf 50 Mitarbeiter anzuheben. Diese Forderung fand jedoch keine Übereinstimmung im Bundestag. Beschlossen wurde nun die Pflicht zur Bestellung ab 20 Mitarbeitern, welche Zugriff auf personenbezogene Daten haben.
Gerade für kleine und mittelständische Unternehmen war dieser Paragraph des BDSG (neu) schwierig umzusetzen. Die Herausforderung bei der internen Benennung eines Datenschutzbeauftragten bestand darin, dass es sich nicht um eine Führungsposition handeln durfte. Die Benennung eines Mitarbeiters hat jedoch zur Folge, dass dieser einen hohen Kündigungsschutz genießt ähnlich eines Betriebsrates.

Viele Unternehmen bestellten nun einen externen Datenschutzbeauftragten. Die Kosten für einen externen Datenschutzbeauftragten schwanken von 50€/ Monat bis zu 300€. Einige Rechtsanwälte decken heute auch den Datenschutz ab. In dieser Berufsgruppe sind Honorare von 200€ bis 300€/ Stunde nichts ungewöhnliches.

Ein Datenschutzbeauftragter muss neben juristischen Kenntnissen jedoch auch betriebswirtschaftlich und technisch versiert sein. Die Acronum GmbH bietet Ihnen dieses Know-how aus einer Hand. Durch betriebswirtschaftliches Expertenwissen – juristische und technische Zusatzkenntnisse halten wir uns fortlaufend auf dem neuesten Stand.

Sind kleine Unternehmen bis 20 Mitarbeitern nun komplett von allen Anforderungen der EU DSGVO befreit?

Leider nein. Die Änderungen des Gesetzes betreffen nur offene Klauseln der EUDSGVO. Die grundlegenden Anforderungen bleiben für kleine Unternehmen erhalten.

Wie können kleine und mittelständische Unternehmen nun verfahren?

Um die Kosten zu reduzieren sollten Sie sich Angebote einholen und Preise vergleichen. Für kleine Unternehmen ist es ausreichend jährlich ein Beratungsgespräch durchzuführen um Änderungsbedarf am datenschutzkonformen Umgang mit personenbezogenen Daten festzustellen.
Unsere Berater erstellen für Sie während des Gespräches einen Maßnahmenplan um die Todo’s zu priorisieren.
Wichtig ist, dass Sie den Datenschutz nicht komplett vom Tisch schieben, sondern die Verarbeitung der Daten je nach Digitalisierungsstand im Blick behalten.

Rufen Sie uns an und vereinbaren Sie ein unverbindliches Beratungsgespräch bei einer Tasse Kaffee.

Bundestag beschließt Änderung der Bestellpflicht für externe Datenschutzbeauftragte

Tel. 0351-21971182

Geschäftsgeheimnisgesetz

Seit April 2019 gilt das Geschäftsgeheimnisgesetz (Geschgeh). Der Bundestag hat das von der Bundesregierung vorgelegte Gesetz beschlossen. Ziel der Neuregelung, mit der eine EU-Richtlinie umgesetzt wird, ist der Schutz geheimer Unternehmensinformationen vor rechtswidriger Veröffentlichung, Nutzung oder Erwerb. Der Gesetzentwurf war wegen möglicher Verfolgung von Hinweisgebern, sogenannten Whistleblowern, umstritten, wurde aber im parlamentarischen Verfahren überarbeitet.

Was sind Geschäftsgeheimnisse?

Jedes Unternehmen ist einzigartig! Als Unternehmen muss man sich dem Markt anpassen, bestenfalls durch eine einzigartige Geschäftsstrategie dem sogenannten “unique selling proposition” oder einfach USP. Dieser ermöglicht es dem Unternehmen sich gegenüber dem Wettbewerb abzuheben. Es ist jedoch nicht nur der USP des Unternehmens, der als ein Geschäftsgeheimnis angesehen werden kann. Es gehören auch andere Informationen zu den Geheimnissen des Unternehmens. Seit Mai 2018 müssen aufgrund des in Kraft tretens der EU DSGVO neben den Informationen auch die personenbezogenen Daten von natürlichen Personen geschützt werden. Diese gehören damit ebenfalls in die Kategorie Geschäftsgeheimnis. Um diese zu schützen muss in vielen Fällen ein Datenschutzbeauftragter bestellt werden.

Auszug aus dem Gesetz


“Im Sinne dieses Gesetzes ist ein Geschäftsgeheimnis eine Information, die

Geheimnisschutzgesetz

a) weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und
b) Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist.”

Welche Informationen könnten nun konkret Geschäftsgeheimnisse sein?

Für Unternehmen ist die EU DSGVO bereits eine organisatorische Herausforderung. Die Umsetzung ist in vielen Firmen noch lange nicht abgeschlossen, weil weiterhin Unsicherheit bei der Interpretation, dem gesetzten Handlunsgspielraum und den personellen Ressourcen herrschen. Nun kommt auf Sie ein weiteres Gesetz zum Schutz von Informationen zu. Viele Firmen stellen sich nun Fragen wie:

Welche Informationen werden als Geschäftsgeheimnis angesehen?

und

Wie sieht der geforderte Schutz dieser Daten aus?


Eine allgemeingültige Liste von Geschäftsgeheimnissen gibt es nicht und wird es auch nicht geben. Aus unserer Erfahrung, hat sich heraus gestellt, dass die wichtigen Informationen im Unternehmen sehr wohl zumeist schon angemessen geschützt werden. Es ergeben sich aufgrund der Digitalisierung und der Schnelligkeit des Wandels von Organisationen jedoch Lücken, die es aufzuspüren gilt. Nachfolgend werden einige Fakten aufgeführt, die als Geschäftsgeheimnis betrachtet werden könnten:

  • Preisvereinbarungen mit Zulieferern
  • Verträge
  • Betriebswirtschaftliche Auswertungen
  • Passwörter
  • IT- Infrastruktur (Netzwerkplan etc.)
  • Entwicklungen
  • Kundendatenbank

zusätzlich aufgrund der EUDSGVO

  • die Personalakte
  • Bewerbungsunterlagen
  • Telefon & Verkehrsdaten der Mitarbeiter
  • Traffic der Website von Interessenten
  • CRM- Datenbank

Diese Informationen werden bei Ihnen im eigenen IT-System verarbeitet und teilweise in der Cloud. Die Anforderungen an den Schutz der Geheimnisse sind sehr unterschiedlich.

Wie müssen die Geschäftsgeheimnisse geschützt werden?

Die vertraulichen Daten müssen anhand Ihrer Einstufung / Klassifizierung angemessen geschützt werden. Dazu erstellen Sie eine Auflistung aller Assets, damit werden diese inventarisiert. Nun wird eine Risikoanalyse durchgeführt und die Gefahren auf ungewollte Veröffentlichung von Geheimnissen ermittelt. Das Kosten-Nutzen Verhältnis spielt dabei eine Rolle und verhindert unnötige Investitionen. Viele Unternehmen bedienen sich dabei einer internationalen Norm der ISO 27001:2013.

Die Herausforderung bei der Umsetzung eines solchen Projektes, liegt darin, die Firma nicht mit unnötigen Todo’s zu überfordern, gleichzeitig aber die Einhaltung der Anforderungen im Auge zu behalten.

Im Idealfall werden in einem digitalen Managementsystem die Nachweise zusammengefasst und damit Doppelungen vermieden.

Verlassen Sie sich auf einen Profi! Fordern Sie noch heute ein Angebot an!

Die Berater der Acronum GmbH Datenschutz & Digitalberatung begleiten Sie bei der Umsetzung von gesetzlichen Anforderungen der EU DSGVO als externer Datenschutzbeauftragter sowie bei der Beratung zur ISO 27001 und dem Gesetz zum Schutz von Geschäftsgeheimnissen.

Ihr Lebenswerk ist wichtig – schützen Sie es!

externer DSB

Beratung EU DSGVO

Die Stellung des externen Datenschutzbeauftragten nach Art. 37 EU DSGVO übernehmen wir ab 99€/ Monat in Lutherstadt Wittenberg und Umgebung.

Wir beraten mittelständische Unternehmen der Branchen

  • ambulante Pflegedienste
  • Sozialwerke
  • Softwareunternehmen
  • IT-Systemhäuser
  • Steuerberater
  • und weitere

Im ersten Schritt wird eine Bestandsanalyse durchgeführt. Aus dieser erstellt der externe Datenschutzbeauftragte einen Maßnahmenplan und einen Statusbericht.

Die Maßnahmen werden nun über 2 Jahre geplant und adressiert.

Wir übernehmen die Erstellung

Als externer Datenschutzbeauftragter unterstützen wir Sie bei

  • Auskunftsersuchen von Betroffenen
  • Meldung bzw. Erkennen von Vorfällen
  • Bewerten neu Software
  • Erhöhung des Schutzes Ihrer Daten

Was gehört noch zu den Aufgaben des externen Datenschutzbeauftragten

  • die Beratung und Betreuung der Geschäftsführung eines Unternehmens in (allen) Datenschutzfragen
  • die Beratung und Betreuung der Mitarbeiter und des evtl. vorhandenen Betriebsrats
  • die Schulung und schriftliche Verpflichtung der Mitarbeiter auf das Datengeheimnis
  • die Beratung, Vor-Ort-Schulung und fortlaufende Sensibilisierung zu Datensicherungsmaßnahmen
  • die Überwachung und bei Bedarf Vorabkontrolle der ordnungsgemäßen Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten
  • die Mitwirkung bei der gesetzlich vorgeschriebenen Dokumentation (Verfahrensverzeichnisse, Protokolle etc.)
  • die Unterstützung bei der datenschutzgerechten Ausgestaltung von Verträgen bei externer Auftragsdatenverarbeitung (Steuerberater, Lohn- und Gehaltsabrechnung, Werbe- und Marketingagenturen etc.)
  • als kompetenter Ansprechpartner rund um die EU DSGVO und das BDSG für das Unternehmen und seine Mitarbeiter bereitzustehen

Nehmen Sie unverbindlich Kontakt auf und lassen Sie uns sprechen:

Email: info@acronum.de

Tel: +49.351.21971182

Wir freuen uns auf Ihre Nachricht!

Auch interessant!

 

Wir sind für Sie unterwegs in Lutherstadt Wittenberg, Köthen, Gräfenhainichen, Bad Düben, Jessen (Elser), Dessau

ambulante Pflegedienste Dresden

Ambulante Pflegedienste arbeiten täglich mit sensiblen Daten Ihrer Klienten. Die Umsetzung der EU DSGVO stellt eine besondere Herausforderung für sie dar.

  • Welche Daten dürfen bei Aufnahme neuer Klienten gespeichert werden?
  • Sind unsere System ausreichend geschützt?
  • Wie sollen personenbezogene Daten übertragen werden?

Diese und viele andere Fragen müssen geklärt und als Nachweis dokumentiert werden.

Aufnahme neuer Klienten

Ein neuer Klient kommt aus dem Krankenhaus und wird vom Pflegedienst betreut. Vor Beginn der Behandlung muss dieser über die Aufnahme und Verarbeitung seiner Daten in Kenntnis gesetzt werden. (Art. 13 Abs. 1 DSGVO). Insbesondere muss der Pflegedienst den Klienten darüber aufklären:

  • Welche Daten er zu welchem Zweck
  • auf welche Art und
  • aufgrund welcher Rechtsgrundlage

verarbeitet.

Bestenfalls lässt der Pflegedienst sich die Datenschutzerklärung unterzeichnen.

Der Klientenakte muss besondere Aufmerksamkeit gewidmet werden. In dieser befinden sich die wichtigsten Daten des neuen Klienten. Zu diesen gehören unter anderen:

  • die Vitalwerte
  • der Leistungsnachweis
  • das Geburtsdatum
  • die Pflegestufe
  • der Medikamentenplan
  • der Hausarzt
  • die Angehörigen 
  • Diese Daten gehören zu den besonderen Kategorien gemäß Art. 9 EU DSGVO und unterliegen deshalb einem hören Schutzbedarf.

Der Umgang mit der Klientenakte ist kann digital in Form einer Anwendung auf dem mobilen Gerät der ambulanten Pflegekraft erfolgen und analgog in Form der traditionellen Akte.

Die Mitarbeiter der Pflegdienste sind speziell zum Umgang mit Gesundheitsdaten zu schulen.

Datenschutzbeauftragter

Ob ein interner oder externer Datenschutzbeauftragter (DSB) zu benennen ist, bestimmen nationales Recht (BDSG neu) und europäisches Recht (DSGVO) unterschiedlich.

Nach Art. 37 DSGVO ist ein DSB grundsätzlich unabhängig von der Mitarbeiterzahl zu benennen, sofern es zum Kerngeschäft des Unternehmens gehört, Gesundheitsdaten in umfangreicher Form zu verarbeiten.

Nachweis gegenüber der Behörde

Damit die Verarbeitung sicher durchgeführt wird, erstellt der externe Datenschutzbeauftragte mit Ihnen die technischen und organisatorischen Maßnahmen. Dieses Dokument dient im Datenschutzvorfall dem Nachweis gegenüber der Behörde.

Wir freuen uns auf Ihre Nachricht!

Email: info@acronum.de
Tel: +49.351.21971182

Auch interessant!

Anforderungen an eine Einwilligung

Wann benötige ich eine Einwilligung?

Eine Einwilligung wird benötigt wenn die Erhebung der personenbezogenen Daten über den Zweck hinausgeht.

Beispiel für das Einholen einer Einwilligung

Eine Mitarbeiterin wird eingestellt. Die Aufgabe der Mitarbeiterin ist es Software zu entwickeln.

Zweck: Beschäftigungsverhältnis

Nun möchte die Firma die Daten der Mitarbeiterin auf der Homepage veröffentlichen. Die Veröffentlichung beinhaltet:

  • den Vornamen und Nachnamen
  • die berufliche Telefonnummer
  • die berufliche E-Mail Adresse
  • die Filiale der Firma
  • das Foto des Mitarbeiters

Es ist davon auszugehen, dass die Rechte und Freiheiten des Mitarbeiters bei Veröffentlichung seiner beruflichen Kontaktdaten und seines Namens nicht beeinträchtigt werden.

Für die Veröffentlichung Ihres Fotos benötigt das Unternehmen die Zustimmung der Mitarbeiterin.

Warum?

Es handelt sich bei dieser Verfahrensweise um eine Abwägung. Dazu wird die übliche Wahrnehmung von Betroffenen bei Veröffentlichung des Fotos  bewertet.

Die Veröffentlichung des Fotos ist für die im Vertragsverhältnis vereinbarte Aufgabe nicht nötig. Die Darstellung des Fotos im Internet ist demnach ein zusätzlicher Zweck. Es muß in Erwägung gezogen werden, dass die Person, überrascht wäre bei Entdeckung des Fotos im Internet.

Der Einzelfall kann jedoch auch zu einem anderem Ergebnis kommen. Dies muss ausreichend begründet werden.

Fazit:

Für die Veröffentlichung des Fotos muss eine Einwilligung eingeholt werden.

Vorsicht!

Die Person hat das Recht diese Einwilligung zu widerrufen.

Das Unternehmen muß dann ab dem Zeitpunkt des Widerrufs das Foto von der Homepage entfernen.

Vorsicht Fax von der Datenschutzauskunft-Zentrale

Viele unserer Kunden informierten uns heute über den Eingang eines Faxes mit folgendem Inhalt:

Sehr geehrte Damen und Herren,

nur vollständige und aktuelle Firmeen- und Betriebsdaten gewährleisten die Einhaltung der von den Datenschutzgesetzen aufgestellten Anforderunegn. Für die rechtssichere Ausgestaltung des Datenschutzes in Ihrem Unternehmen, gemäß der Vorgaben der DS-GVO, prüfen Sie bitte die Daten zum Basisschutz und senden diese bei Annahme zwecks Bearbeitung und Vervollständigung bis zum 09.Oktober 2018 zurück.

mit freundlichen Grüßen,

DAZ Datenschutzauskunft-Zentrale

Was können Sie tun?

Bitte reagieren Sie nicht auf dieses Schreiben. Es handelt sich um ein dubioses Unternehmen.

Wenn Sie dieses Fax ausgefüllt zurücksenden, wird ein Vertrag zwischen Ihnen und der Firma geschlossen. Es ist davon auszugehen, dass auch die versprochenen Leistungen nicht eingehalten werden wie:

  • Erstellung des Verarbeitungsverzeichnis
  • Versand von Musterdokumenten

Wenn Sie Beratung zum Datenschutz benötigen können Sie sich gern an uns wenden. Wir können Ihnen eine professionelle Umsetzung der Anforderungen der EU DSGVO angepasst an Ihre Bedürfnisse sicherstellen.

Kontakt