Cookiezustimmung ohne (bewusste) Datennutzung
-
Ich will auf meiner HP bewusst keine Daten sammeln – keine Anmeldung, kein Shop, keine Kommentare, älteres Standard-Theme.. – also eigentlich nichts. Für rein technische Cookies braucht man ja meines Wissens keine Zustimmung – also nehme ich an, dass ich hier keinen Aufwand treiben müsste.
Jetzt habe ich wo gesehen, dass auf einer HP informiert wurde, dass Google Fonts eingesetzt werden und Google evtl. die IP analysiert.
Gibt es ein „Kochrezept“ bzw. klare Informationen, ob bzw. wann man mit WordPress in Cookie-Zustimmungspflicht fällt oder nicht? Die Prüffunktionen auf CookieMetrix bzw. CookieServe haben keine Probleme gemeldet…
-
Das ist aber kein WordPress-Problem, sondern eher ein rechtliches Problem.
Da du uns leider keinen Link zur Webseite gepostet hast, kann man nur Vermutungen anstellen. Sollten google-Fonts von extern geladen werden, dann musst du darauf hinweisen.
Das ist keine Rechtsberatung und nur meine persönliche Meinung!
Allerdings ist es nicht zwingend erforderlich, dass man die Fonts vom google-Server lädt, die kann man auch auf seinem eigenen Webspace ablegen und somit hat man dieses Problem auch beseitigt.die Seite ist http://www.biedo.at – viel gibt es da noch nicht zu sehen.
Aber diese Font Geschichte: das heisst, dass ich mir bei jedem Theme anschauen muss, wie das im Detail aufgebaut ist und dann entsprechend reagiere ..
Die Anforderungen in Deutschland betreffen das Laden jeglicher Dateien die nicht im Hosting der Website selbst liegen. Dazu zählen neben Google Fonts auch jegliche Map-Darstellungen (Google Maps, OpenStreetMaps ..), sehr viele Captchas, Youtube- oder Vimeo-Videos und vieles mehr. Man kann das alles eigentlich mit einem Satz zusammenfassen: alles was Spaß macht, sollte man nicht machen. Und wenn doch vorher den Nutzer informieren („willst Du Spaß haben auf meiner Seite?“ 😉 ).
Deine Website ist nun jedoch in Österreich und unterliegt der dortigen Rechtssprechung. Dort gelten meines Wissens etwas andere Regeln, auch wenn diese ebenfalls wie in Deutschland auf den EU-Vorgaben basieren. Bevor Du irgendwie tätig wirst, würde ich dir empfehlen dich erstmal bei einer Rechtsberatung IN DEINEM LAND darüber zu informieren was zu tun wäre.
Habe mir eben mal aus DEUTSCHER Sicht deine Seite angeschaut und einfach durchgeklickt. Würde sie deutscher Rechtssprechung unterliegen würdest Du nach meiner Erfahrung nach (= keine Rechtsberatung) nur beim Laden der Fahrpläne vom ÖBB ein Problem haben. Das müsstest Du weglassen oder bei Consent Banner deine Nutzer darüber informieren BEVOR es geladen wird.
Dass deine Website kein SSL-Zertifikat hat, ist heutzutage übrigens auch ungünstig – auch aus SEO-Sicht, wo SSL inzwischen quasi-Pflicht ist überhaupt gefunden zu werden.
Fahrpläne: Werde versuchen, dass zu klären. Seitens ÖBB ist die Nutzung klar, die bieten das ja aktiv an. Als unbedarfter Naivling sehe ich in einer leeren Maske zwar noch nichts böses und in der Offenlegung weise ich darauf hin, aber fragen werde ich ..
SSL: Ist bestellt; auch hier mehr Aufwand als ich dachte.
Es geht bei dem Laden der externen Daten nicht darum was diese visuell darstellen. Es geht darum, dass deine Besucher durch das Laden deiner Seite auch die externen Dateien laden, wodurch bei dem externen Dienstleister (ÖBB) ein Fingerabdruck von deren personenbezogenen Daten entsteht oder entstehen kann. Genau darüber musst Du als Betreiber einer Seite, die das einbindet, deine Besucher informieren bevor die Daten geladen werden.
Mit verschiedenen WordPress-Plugins ist es möglich genau das einzurichten. Wie dabei das Vorgehen ist, hängt vom eingesetzten Plugin ab. Beispiele: https://wordpress.org/plugins/tags/cookie-consent/
Ich weiß nicht, wen Du dazu fragen willst. Die ÖBB werden dir dazu vermutlich ebenso keine Rechtsberatung geben können wie wir hier. Schau dich bei Websites in Österreich, die sich mit dem Thema DSGVO beschäftigen um, manche Anwälte stellen dazu einleitende Artikel bereit.
Als Betreiber einer *.AT Site muss man genauso alles beachten was bez. DSGVO EU-weit gilt.
Klar müssten auch extern eingebundene Google Fonts deklariert und von einer Zustimmung abhängig gemacht werden. Besser aber, wie schon erwähnt wurde: die Schriftarten am eigenen Server hosten. Denn: Nicht jedes Consent Management Plugin oder Dienst berücksichtigt Google Fonts so wie es sein sollte.
(Und ausgerechnet in Österreich hatten wir 2022 eine europaweit ziemlich bekannt gewordene Abmahnwelle.)Das gilt klar auch für die ÖBB Einbindung. Diese sollte in der Datenschutzerklärung stehen und das Laden des ÖBB Inhalts darf erst nach Zustimmung durch den Besucher erfolgen.
Beides, also alle solche Dinge kann man perfekt mit dem Plugin „Real Cookie Banner“ steuern. Es ist am Beginn etwas aufwändig, eröffnet aber alle Möglichkeiten, sobald man den Dreh raus hat.
Spezifisch für Österreich kenne ich die von „AdSimple“ gut. Deren gesamtes Wirken ist exakt auf AT ausgerichtet. Sind halt teuer, aber gut.
Unabhängig davon informiert auch unsere WKO noch sehr genau über all diese Themen.Ernüchternd 🙁
Ich werde schauen wie ich das mache. Jedenfalls danke für die ausführlichen Antworten.
@peter2 „Für rein technische Cookies braucht man ja meines Wissens keine Zustimmung“ ist korrekt.
Es gibt hier 2 Dinge zu beachten: Die RICHTLINIE 2002/58/EG (Cookie Richtlinie) und natürlich die DSGVO.
Es spricht nichts dagegen, eine Website ohne Cookie Banner zu betreiben, wenn auf dem Endgerät (Browser) nur technisch notwendige Daten gespeichert werden und diese keine personenbezogenen Daten enthalten.
https://dsb.gv.at/faq/datenschutz-cookiesDanke, das klingt jetzt einfache und meiner ersten Annahme entsprechend. Aber es widerspricht m.E. nun der Information oben, dass auch die Einbindung des ÖBB Fahrplans die Zustimmung erfordert.
Jedenfalls habe ich auch beim Datenschutzbeauftragten der ÖBB angefragt, ob der Kenntnisse und Empfehlungen hat.
Mal schauen ….
Wenn der ÖBB Fahrplan eingebunden werden darf, dann muss es dazu auch eine Datenschutzerklärung geben, sofern pbD verarbeitet werden. Ob Cookies gesetzt werden, kann jeder selbst feststellen.
Nachfragen ist in jedem Fall gut. 🙂Das widerspricht meiner Meinung nach nicht, weil die von der ÖBB eventuell dann doch Cookies setzen, welche nicht nur technisch nötig sind. Diese „ÖBB“ Cookies treten dann in deiner Site auf, wenn die ÖBB Site, deren Anwendung, Dienst („Fahrplan“) eben in deiner Seite eingebunden ist.
Dazu kommt wahrscheinlich auch noch die Sache mit der IP. Die IP’s der Besucher deiner Website, welche diesen externen Dienst aufrufen, werden im Zuge der Verbindung auch bei der ÖBB ankommen. Oder so. Das erfordert eben die Zustimmung der Einbindung/Weiterleitung.
(Das erinnert an (von Google eingebundene) Google Fonts, wo auch die IPs letztendlich beim externen Host aufschlagen)beim Datenschutzbeauftragten der ÖBB angefragt
Toll. Dafür sollte der auch da sein und das zeigt, dass es noch Betreiber gibt, welche diese Dinge echt ernst nehmen.
Das Übertragen persönlicher Daten (der Website-Benutzer) an Dritte benötigt die ausdrückliche Zustimmung ebendieser, das funktioniert also nur als ein Opt-In. Zu den persönlichen Daten gehört auch die IP-Adresse der Benutzer. Es reicht also nicht, auf Google-Fonts hinzuweisen oder/und dies nur in die Datenschutzerklärung aufzunehmen. Erst wenn der Besucher zugestimmt hat, darf die Verbindung zu den Externen hergestellt werden.
Weitere Informationen dazu inkl. Prüftools usw. findet man u. a. dort.
„Das Übertragen persönlicher Daten (der Website-Benutzer) an Dritte benötigt die ausdrückliche Zustimmung ebendieser“ ist nicht korrekt.
Die rechtmäßige Verarbeitung pbD ist gegeben wenn Artikel 6 (1) a-f gegeben sind. Einwilligung (a) ist nur einer davon. Bei lokaler Einbindung von Google Fonts benötigt man weder Zustimmung noch einen Passus in der Datenschutzerklärung, da kein nicht-notwendiges Cookie gesetzt wird und keine pbD verarbeitet werden.
„Erst wenn der Besucher zugestimmt hat, darf die Verbindung zu den Externen hergestellt werden.“ ist ebenfalls nicht korrekt. Wenn der Server so konfiguriert ist, dass keine pbD verarbeitet werden, ist weder eine Zustimmung notwendig noch ein Passus in der Datenschutzerklärung.@adsimple
Wie erklärst du dann die Abmahnwelle?Durch die Remote! eingebundenen Schriften werden Daten an Google übertragen. Das ist nicht ohne Zustimmung erlaubt.
Ich schrieb:
Das Übertragen persönlicher Daten (der Website-Benutzer) an Dritte benötigt die ausdrückliche Zustimmung ebendieser
Also: WENN Daten an Dritte übertragen werden.
Google Fonts können lokal eingebunden werden, dann übertragen sie keine Daten an Dritte und sind schon alleine durch das Vorhandensein dieser Option keine technisch notwendigen Daten. Auch wenn die Option der lokalen Einbindung nicht existieren würde, wären sie immer noch nicht „Technisch notwendig“, da es genügend Alternativen gibt (Standard-Schriftarten), sie dienen lediglich der Optik aber nicht der Technik.Nachtrag:
Du verweist auf Art. 6 DSGVO, zum Nachlesen:
https://dsgvo-gesetz.de/art-6-dsgvo/Es ist unbestritten, dass es Ausnahmen gibt. Aber die betreffen eben nicht (remote) Google Fonts und soweit ich das sehe, war genau dies die Frage im ersten Beitrag. Ich denke, es ist auch nicht nötig, wenn man im Kontext antwortet, darauf zu verweisen, dass die Antwort im Kontext geschrieben wurde.
Deine Antwort „ist nicht korrekt“ ist schlichtweg falsch. Im Kontext betrachtet sind/waren meine Aussagen absolut richtig.
- Diese Antwort wurde geändert vor 5 Tage, 18 Stunden von Angelika Reisiger.
Die Abmahnwelle war der Versuch die DSGVO auszunutzen. Ging nach hinten los, da Software (zum Scrapen) keine Rechte hat und keinen Betroffenen im Sinn der DSGVO darstellt. 😉
Die allgemeine Aussage „Das Übertragen persönlicher Daten (der Website-Benutzer) an Dritte benötigt die ausdrückliche Zustimmung ebendieser“ ist nicht korrekt und es kommt darin auch nicht Google Fonts vor. Ich habe keine Einschätzung abgegeben, sondern das Gesetz zitiert.
Außerdem geht es nicht nur um die Übertragung sondern um die Verarbeitung pbD um präzise zu sein und ich denke in diesen Fragen muss man präzise sein.
Google Fonts sollte man der Einfachheit halber lokal einbinden, was den ÖBB Fahrplan betrifft, sollte man zuerst feststellen, welche Daten durch die Einbindung verarbeitet werden.
- Das Thema „Cookiezustimmung ohne (bewusste) Datennutzung“ ist für neue Antworten geschlossen.