Fragen und Antworten (F&A)

 

Welche Datenschutz-Gesetze bzw. Richtlinien werden mit fccDataPrivacy unterstützt?

fccDataPrivacy bezieht sich hauptsächlich auf die EU-DSGVO unterstützt aber auch andere internationale Datenschutz-Gesetze und Richtlinien. Und weitere werden folgen.

Der California Consumer Privacy Act (CCPA) ist ein Bundesstaatsgesetz, das die Rechte auf Privatsphäre und den Verbraucherschutz für Einwohner Kaliforniens in den Vereinigten Staaten verbessern soll. Das Gesetz wurde von der kalifornischen Legislative verabschiedet und am 28. Juni 2018 von Jerry Brown, Gouverneur von Kalifornien, unterzeichnet, um Teil 4 der Abteilung 3 des kalifornischen Zivilgesetzbuches zu ändern. Es ist seit dem 01.01.2020 rechtsgültig Kraft.

Quelle und weiterführende Informationen: WIKIPEDIA.

Die Datenschutz-Grundverordnung (DSGVO oder DS-GVO ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Datenverarbeiter, sowohl private wie öffentliche, EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Zusammen mit der so genannten JI-Richtlinie für den Datenschutz in den Bereichen Polizei und Justiz bildet die DSGVO seit dem 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der Europäischen Union.

Quelle und weiterführende Informationen: WIKIPEDIA.

Die Datenschutzrichtlinie für elektronische Kommunikation (auch: ePrivacy-Richtlinie) ist eine 2002 erlassene Richtlinie der Europäischen Gemeinschaft, die verbindliche Mindestvorgaben für den Datenschutz in der Telekommunikation setzt. Die Richtlinie wurde 2009 novelliert und wird seitdem vor allem als Cookie-Richtlinie bezeichnet. Durch eine der Änderungen in der Novelle wird beispielsweise die eine Einwilligung der Nutzer für einige Arten von Cookies auf Webseiten gefordert. Dadurch soll gewährleistet werden, „dass Daten- und Medienkonzerne nicht länger ohne Zustimmung der Nutzer aufzeichnen, was diese im Internet suchen, lesen oder kaufen“.

Die ePrivacy-Richtlinie ist nicht zu verwechseln mit der ePrivacy-Verordnung (ePrivVO), welche die ePrivacy-Richtlinie zwar ablösen sollte, allerdings im europäischen Gesetzgebungsverfahren Ende 2019 vorerst scheiterte, da sich die Mitgliedstaaten nicht auf einen gemeinsamen Text verständigen konnten.

Die Richtlinie und die nationalen Umsetzungen gelten auch nach Inkrafttreten der Datenschutz-Grundverordnung (Art. 95 DS-GVO). Sie sollen durch eine Verordnung abgelöst werden.

Quelle und weiterführende Informationen: WIKIPEDIA.

 

Datenschutz und Cookie-Richtlinie

Das Gesetz verpflichtet jede Webseite/App, die personenbezogene Daten sammelt, dazu, relevante Daten über spezielle Datenschutz- und Cookie-Mitteilungen an die Nutzer weiterzugeben.

Die Datenschutzrichtlinien müssen bestimmte grundlegende Elemente enthalten, die spezifisch für Ihre speziellen Verarbeitungsaktivitäten sind, einschließlich:

  • die Kontaktdaten des für die Datenverarbeitung Verantwortlichen
  • welche personenbezogenen Daten verarbeitet werden
  • die Zwecke und Methoden der Verarbeitung
  • die Rechtsgrundlagen der Verarbeitung (z.B. Zustimmung)
  • die Drittparteien, die ebenfalls auf die Daten zugreifen können - dazu gehören auch Tools von Drittanbietern (z.B. Google Analytics)
  • Einzelheiten über die Übermittlung von Daten außerhalb der Europäischen Union (sofern zutreffend)
  • die Rechte des Benutzers
  • Beschreibung des Benachrichtigungsprozesses bei Änderungen oder Aktualisierungen der Datenschutzerklärung
  • das Datum des Inkrafttretens der Datenschutzerklärung.

Die Cookie-Richtlinie beschreibt ausdrücklich die verschiedenen Arten von Cookies, die über die Website installiert werden, alle Dritten, auf die sich diese Cookies beziehen - einschließlich eines Links zu den jeweiligen Dokumenten und Opt-out-Formularen - und die Zwecke der Verarbeitung.


Es ist nicht möglich, generische Dokumente zu verwenden, da Ihre Richtlinie die spezifische Datenverarbeitung Ihrer Webseite/App im Detail beschreiben muss und auch die besonderen Details der von Ihnen speziell verwendeten Technologien von Drittanbietern (z.B. Facebook Like Buttons oder Google Maps) enthalten muss.


Es ist sehr schwierig bei einer Webseite, keine Daten zu verarbeiten. Ein einfaches Kontaktformular oder ein Traffic-Analyse-System wie Google Analytics genügt, um die Verpflichtung zur Erstellung und Anzeige einer Datenschutz- und Cookie-Richtlinie auszulösen.

Hier gilt es zu beachten, dass es noch viele Organisationen gibt, die keine Webseite betreiben oder ihre Buchhaltung oder Mitgliederverwaltung manuell auf Papier oder mit einer Tabellenkalkulation erledigen. Auch für sie gilt: sie verarbeiten persönliche Daten von natürlichen Personen und unterliegen damit der DSGVO.


Cookies sind kleine Dateien, die verwendet werden, um bestimmte Informationen zu speichern oder zu verfolgen, während ein Benutzer eine Webseite besucht. 

Bezogen auf den Datenschutz wird zwischen Session Cookies und Tracking Cookies unterschieden. Session Cookies sind heute für das reibungslose Funktionieren einer Webseite unerlässlich während Tracking Cookies das Verhalten von Usern analysiert (z.B. Google Analytics). Tracking Cookies brauchen die Einwilligung der User (Cookie Banner).

Neben der Bereitstellung einer leicht zugänglichen und genauen Cookie-Richtlinie ist es zur Anpassung einer Webseite an das Cookie-Gesetz auch notwendig, ein informatives Cookie-Banner anzuzeigen, das beim ersten Besuch eines jeden Nutzers auf eine detaillierte Cookie-Richtlinie verweist und dem Nutzer die Möglichkeit gibt, die Installation von Cookies abzulehnen oder der Installation zuzustimmen. Die meisten Arten von Cookies, einschließlich derjenigen, die von Tools wie Social Sharing-Buttons ausgegeben werden, sollten erst freigegeben werden, wenn der Benutzer eine gültige Zustimmung erteilt hat.

Darüber hinaus können viele Drittanbieter-Netzwerke die Werbeerreichbarkeit einschränken, wenn Sie kein Cookie-Managementsystem haben das den Branchenstandards entspricht - was Ihre Möglichkeiten zur Generierung von Werbeeinnahmen beeinträchtigen könnte.

 

Einwilligung

Wenn Ihr Benutzer personenbezogene Daten direkt auf der Webseite/App z.B. durch Ausfüllen eines Kontaktformulars, einer Serviceanmeldung oder eines Newsletter-Abonnements eingeben muss, ist es notwendig, eine frei erteilte, spezifische und informierte Einwilligung einzuholen. Es ist auch notwendig, eindeutige Aufzeichnungen zu führen, mit denen Sie nachweisen können, dass eine gültige Zustimmung eingeholt wurde.


Sie müssen für jeden bestimmten Verarbeitungszweck eine Einwilligung einholen - zum Beispiel eine Einwilligung zum Versand von Newslettern und eine weitere Einwilligung zum Versand von Werbematerial im Auftrag Dritter. Die Zustimmung kann durch die Einrichtung eines oder mehrerer Kontrollkästchen angefordert werden, die nicht vorgewählt, nicht obligatorisch oder erzwungen (freiwillig angegeben) sind und von entsprechenden Offenlegungen begleitet werden, die dem Nutzer deutlich machen, wie seine Daten verwendet werden.


Jedes Mal, wenn ein Benutzer ein Formular auf Ihrer Webseite/App ausfüllt, müssen eine Reihe von Informationen gesammelt werden. Diese Informationen umfassen einen eindeutigen Benutzeridentifikationscode, den Inhalt der akzeptierten Datenschutzerklärung, eine Kopie des vom Benutzer übermittelten Formulars sowie eine Aufzeichnung des verwendeten Opt-in-Mechanismus.


Leider ist es nicht ausreichend, da einige Informationen fehlen, die notwendig sind, um die Eignung des Verfahrens zur Einholung der Einwilligung zu rekonstruieren, wie z.B. eine Kopie des vom Nutzer tatsächlich ausgefüllten Formulars und die Version der dem Nutzer zum Zeitpunkt der Einholung der Einwilligung vorliegenden Datenschutzdokumente.

 

Sicherheit der Verarbeitung

Ein Teil der DSGVO ist dem technischen Schutz persönlicher Daten natürlicher Personen gewidmet (DSGVO Art. 32: Sicherheit der Verarbeitung). Darunter fallen z.B. Schutz vor unbefugtem Zugriff, die Wahrung der Vertraulichkeit, die Verfügbarkeit der Daten und vieles mehr. Die DSGVO verlangt hier geeignete technische und organisatorische Massnahmen um diesen Schutz sicherzustellen.

Wir setzen verschiedene technische und organisatorische Massnahmen auf verschiedenen Ebenen ein, um die persönlichen Daten unserer Kunden bestmöglich zu schützen:

  • die Daten werden in ausschliesslich in Rechenzentren gespeichert, die mindestens eine ISO-27001 Zertifizierung haben
  • für die fccDataPrivacy Webseite als auch für das die fccDataPrivacy Admin Portal werden regelmässige unabhängige CyberSecurity Scans (LocateRisk) durchgeführt und eventuelle Findings werden schnellstmöglich umgesetzt
  • der Zugriff auf die Daten wird neben klaren Passwortregeln durch eine zwei-Faktor-Authentifizierung geschützt (für die Webseite als auch das Admin Portal). 

geplant Q4 / 2020:

Alle Datasets des fccDataPrivacy Admin Portals mit persönlichen Daten natürlicher Personen sind nur verschlüsselt gespeichert.

 

Unterstützt mein CMS fccDataPrivacy?

Einige CMS unterstützen nicht alle Technologien, die für den ordnungsgemäßen Betrieb von fccDataPrivacy erforderlich sind und brauchen daher zusätzlichen Implementierungsaufwand.

Das standardmässige Joomla-Formular-Tool (JForm) ist mit unserer Consent Solution (Einwilligungslösung) nicht kompatibel, da es kein benutzerdefiniertes HTML und Javascript unterstützt.
Wir empfehlen die Verwendung von Chronoform, wie es viele unserer Kunden tun. Es handelt sich um ein kostenloses Plugin, das hier heruntergeladen werden kann: https://extensions.joomla.org/extension/chronoforms/.

Um auf jeder Seite (innerhalb des <head>-Tags) den "init"-Code unserer Consent Solution hinzuzufügen, können Sie dieses nützliche Plugin für Joomla verwenden: https://extensions.joomla.org/extensions/extension/core-enhancements/coding-a-scripts-integration/headtag/.

Dann können Sie ein einfaches Formular erstellen (oder ich kann Ihnen dabei helfen) und das Formular mit einem Kurzcode in die Artikelseite einfügen (wir helfen Ihnen auch, es mit dem Skript für die Einverständniserklärung zu ändern).

 

Datenschutzvertretungen

Datenschutzrecht gilt grundsätzlich in dem im jeweils definierten Rechtsraum: für die DSGVO sind das die EU Mitgliedsländer, für das E-DSG ist es die Schweiz. Um die Durchsetzung dieser Gesetze zu ermöglichen, müssen Marktteilnehmer (Unternehmen, Vereine, Verbände) ohne Niederlassung in dem Rechtsraum, in dem sie Waren oder Dienstleistungen anbieten oder das Verhalten natürlicher Personen beobachten (z.B. Tracking Cookies), eine Datenschutz-Vertretung einrichten. Diese dient im Wesentlichen als Anlaufstelle für Betroffene und Kontaktstelle für Aufsichtsbehörden.