DGSVO/Kekse & Co
Jim Knodf
- dsgvo
Hallo,
ein bekannter hat mich gefragt, ob ich eine Homepage für seine Ferienwohnung basteln kann. GRundsätzlich kann ich das, aber ich frage mich, in wie fern das Thema DSGVO und Cockies hier dazwischen funkt - da kenne ich mich nämlich garnicht aus :(
Es soll eine Seite werden, in der wir lediglich ein kleines Ferienhaus zur Vermietung anbieten. Der Kunde muss bei Reservierung natürlich seine Daten eingeben, aus denen dann automatisch eine Mietvertrag im PDF-Fomrat erstellt wird und dem Kunden per Mail bzw. auch direkt über die Seite zur Verfügung gestellt wird. Entsprechend betrifft dies sicherlich die DSGVO. Gibt es hier einen Standardtest, der irgendwo zur Verfügung steht?
Wie sieht es hier mit Cockies aus? Wir werden und wollen hier zum Surfverhalten keine Daten speichern um irgendwelche Statstiken zu erstellen oder aber gezielt Werbung zu schalten. Muss man hier irgendwas machen?
Vielen Dank für Eure Einschätzung.
Besten Gruß
Jim
Hallo Jim,
ihr müsst dokumentieren, welche Daten vom Kunden ihr speichert, und wem ihr sie zur Verfügung stellt.
Cockies? Meinst Du Hunde? (Cockerspaniel) Oder Geflügel (cock = engl. für Hahn)? Oder den Rotlichtbezirk? Oder doch vielleicht Cookies?
Wenn ihr keine Cookies setzt und ihr keine Third-Party Elemente einbindet, an denen Cookies kleben, braucht ihr auch keine Erlaubnis einzuholen.
Eine DSE (Datenschutzerklärung) braucht es natürlich trotzdem, und da steht dann unter anderem drin, dass ihr keine Daten (z.B. Cookies) im Browser speichert und keine Daten an Dritte weitergebt. Wenn ihr aus den Antragsdaten lediglich das PDF generiert und es vermailt, ohne die Daten nochmal auf dem Server zu speichern, dann solltet ihr auch das hinschreiben, das freut den Kunden. Beachte: Ein temp-Ordner mit einem Haufen vermailter PDFs ist eine Speicherung. Wenn Du schreibst "wir speichern das nicht", dann achte drauf, dass der Temp-Order auch geputzt wird.
Wenn ihr eine Session erzeugt (das passiert z.B. bei PHP Anwendungen), dann gibt's typischerweise einen Sessioncookie. Aber der ist - wenn er korrekt gemacht ist - transient und verdampft beim Schließen des Browsers, dafür muss keine Erlaubnis eingeholt werden. Informieren sollte man in der Datenschutzerklärung trotzdem, um einer Kombination aus abmahngeilem Anwalt und unwissendem Richter zuvorzukommen.
Falls ihr an alternativen Footprint-Techniken herumüberlegt (localStorage, ServiceWorker mit Cache, etc) - das ist bezüglich Dokumentation und Erlaubnisabfrage den Cookies gleichzustellen.
Vorgefertigte DSE wollen alle Eventualitäten abdecken und sind deshalb zumeist gigantisch. Als uninformierter Kleinentwickler weiß man oft gar nicht, was davon für den eigenen Anwendungszweck relevant ist und was man schadlos weglassen kann, was die Kunden dann wieder nervt, weil sie einen Roman vorfinden, den sie nicht kapieren und bei dem sie sich fragen, was das denn alles soll. Ich selbst habe schon von der Nutzung von Online-Angeboten Abstand genommen, weil die DSE ein verschwurbelter Wust war, von dem mindestens 50% offensichtlich unpassend waren. Es lohnt sich daher, die DSE kritisch zu betrachten und Dinge, die einen garantiert nicht betreffen, wegzulassen.
Empfehlungen für DSE-Vorlagen zu geben überlasse ich lieber den Kollegen hier, die kennen das besser. Ich persönlich bin der Auffassung, dass eine kurze, knackige DSE Vertrauen schafft (sofern sie auch wahr ist). Juristische Satzklauberei mag Anwälten Spaß machen, aber nicht den Kunden. Bei einer einfachen Vermieter-Seite, die nicht von den Besucherdaten profitieren will, sollte eine solche DSE möglich sein.
Beachtet aber, dass ihr vielleicht keine Werbung machen wollt, aber gerne wissen möchtet, wer euch besucht und wie oft ihr besucht werdet. Anonyme Seitenabrufzähler sind unproblematisch, aber wenn ihr sie mit Trackingmaßnahmen kombiniert oder versucht, Dienste zum Kategorisieren eurer Benutzer einzubinden (Google Analytics kann da sicherlich eine MENGE), seid ihr die Unschuld los. Dann wird die DSE deutlich komplexer, und dann werdet ihr auch um einen Genehmigungsdialog nicht herumkommen.
Beachtet auch die diversen Logs eures Webservers. Da steht standardmäßig gerne die IP des Seitenabrufers drin. Das Loggen der IP muss vom Nutzer genehmigt werden und sollte deshalb von euch unterbunden werden.
Inwieweit euer Provider eigene Logs führt, die Kundendaten enthalten, müsst ihr mit dem Provider abklären. Loggt der Provider Seitenabrufe mit der IP eurer Besucher, müsst ihr das abschalten oder anonymisieren lassen. Ich bin mir nicht sicher, wie hier die Rechtslage bei Providern ist, die sich dagegen sperren.
Rolf
Hey Rolf,
herzlichen Dank für Deine ausführliche Antwort. Die hat mir schonmal einen ersten Eindruck gegeben, womit ich mich auseinanderstezen muss.
cu
n'Abend,
Es soll eine Seite werden, in der wir lediglich ein kleines Ferienhaus zur Vermietung anbieten. Der Kunde muss bei Reservierung natürlich seine Daten eingeben, aus denen dann automatisch eine Mietvertrag im PDF-Fomrat erstellt wird und dem Kunden per Mail bzw. auch direkt über die Seite zur Verfügung gestellt wird.
das hört sich sehr gefährlich an. Wie stellst du sicher, dass die Angaben, aus denen du einen Vertrag machen willst, korrekt sind?
Entsprechend betrifft dies sicherlich die DSGVO. Gibt es hier einen Standardtest, der irgendwo zur Verfügung steht?
Weiß ich nicht. Aber im Prinzip gibt s nur wenige Grundsätze, an die man sich halten muss. Dazu gehört, nicht mehr Daten zu erheben, als für die Aufgabe unbedingt erforderlich sind. Und dazu gehört auch, die Beteiligten klar und verständlich darüber zu informieren, wofür die Informationen verwendet werden und an welche weiteren Partner sie eventuell weitetgegeben werden[1]. Dafür hat man ja dann eine Datenschutzerklärung.
Wie sieht es hier mit Cockies aus?
Brauchst und verwendest du Cookies? Wenn nein - erledigt. 😀
By the way: Wieso schreiben eigentlich so viele Laien von Cockies? Porno-Prägung?
Immer eine Handbreit Wasser unterm Kiel
Martin
Beziehe in diese Überlegung auch die Vertrauenswürdigkeit deines Webhosters ein! ↩︎