CMS

[Name CMS]

header-monitoring
service_google

[Name CMS]

[Name CMS] ist ein Content Management System (CMS), umgangssprachlich auch Homepage-Baukasten genannt. Ein CMS wird verwendet, um ohne große Programmierkenntnisse, Websites zu erstellen.

Sitz: [Stadt, Region, Land]
Kategorie:
CMS
Rechtsgrundlage: Einwilligung erforderlich via Constent Management Platform (CMP)
Inhalt des Beitrags

    Was ist [Name CMS]?

    [Name CMS] ist ein CMS mit welchem du schnell und leicht eine professionelle Website erstellen kannst. Programmierkenntnisse wären zwar von Vorteil, sind aber überhaupt nicht notwendig, um eine gute Website zu erstellen. [Name CMS] ist einer der [populärsten und ältesten] CMS auf dem Markt und bietet daher viele Plugins und Add-Ons mit denen die Funktionen erweitert werden können.

    Warum wird [Name CMS] verwendet?

    Generell werden CMS, wie bereits erwähnt, dazu verwendet, Websites ohne große Programmierkenntnisse zu erstellen. Dadurch wird Zeit und Geld gespart, ohne zwingend auf ein professionelles Erscheinungsbild verzichten zu müssen. Die vielen Funktionen die dir [Name CMS] bietet können durch zahlreiche Plugins und Add-Ons erweitert werden. Die Implementierung der Erweiterungen ist ebenso einfach wie die Bedienung des CMS selbst.

    Die erstellte Website kannst du auf deinem eigenen Server oder auf den Servern eines Dienstleisters hosten. Es schließen sich aber Datenschutz relevante Fragen an, die sich nicht nur auf den Serverstandort beziehen, sondern auch auf [Name CMS] selbst, aber vor allem auf die eingesetzten Plugins und Add-Ons von dritten.

    Welche Daten werden verarbeitet?

    Wie gesagt, gibt es verschiedene Dinge, die beachtet werden müssen, wenn du deine Website mit einem CMS erstellt hast.

    1. Serverstandort

    Der Server auf dem deine Website zu finden ist kann von dir selbst betrieben werden. Dadurch hättest du die beste Kontrolle über die Daten, da du direkt dafür verantwortlich bist, wie die Technischen und Organisatorischen Maßnahmen (TOM) umgesetzt werden. Dies erfordert jedoch einiges an Aufwand der nicht zu unterschätzen ist. Daher kann der Aufwand für die Verwendung eines eigenen Servers unangemessen hoch ausfallen.

    Die Alternative wäre, die Website auf den Servern eines Dienstleisters bereitzustellen. In diesem Fall würde der Dienstleister die TOM ausführen, aber auch hier bist du für die Umsetzung und Einhaltung dieser verantwortlich. In jedem Fall muss ein Auftragsverarbeitungsvertrag (AVV) mit dem Dienstleister geschlossen werden, der die TOM beinhaltet, aber auch den Umgang mit personenbezogenen Daten regelt, die der Dienstleister evtl. erhält.

    Beachte dabei bitte, dass der Server nicht in einem unsicheren Drittstaat liegen darf. Ein solcher unsicherer Drittstaat sind z.B. die USA.

    2. Analyse und Tracking

    Einige CMS haben eingebaute Analysetools mit welchen sich die Interaktionen der Nutzer verfolgen und auswerten lassen. Das wird für dich vielleicht erstmal ein Vorteil sein, aber hier verhält es sich genau wie mit Analysetools dritter, du musst darauf achten welche Daten gesammelt werden und wer Zugriff auf diese Daten erhält. Werden personenbezogene Daten verarbeitet oder wird der einzelne User getrackt, dann muss vorher eine Einwilligung eingeholt werden.

    [Ohne Tracking: WordPress]

    [Tracking: Squarespace, Wix]

    3. Plugins und Add-Ons

    Vor allem solltest du darauf achten, dass die ganzen Drittanbieter die sich am Ende auf deiner Website befinden, korrekt eingebaut wurden. Du wirst für jeden einzelnen Dienst prüfen müssen, ob personenbezogene Daten verarbeitet werden, ob Tracking in irgendeiner Form eingesetzt wird, bzw. ob Cookies gesetzt werden, ob es eine Rechtsgrundlage für die Verarbeitung gibt und einiges mehr. Am Ende kann da eine ganz schön lange Liste an Diensten zusammen kommen und vielleicht denkst du dir, dass das eine Menge Arbeit ist und das stimmt auch, aber genau dafür gibt es die Cookiepedia. Wir haben uns die Mühe gemacht und über 150 Dienste auf ihren datenschutzkonformen Einsatz geprüft, damit du nur noch checken musst, was du beachten musst, damit ein Dienst bedenkenlos eingesetzt werden kann.

    ***Platzhalter CTA***

     

     

     

    Rechtliche Grundlage für die Verarbeitung

    Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

    Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

    Wann besteht eine Einwilligungspflicht?

    Personenbezogene Daten

    Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens einer der Buchstaben des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

    1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
    2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

    Cookies

    Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, wenn Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

    Dabei sollte man wissen, dass damit nicht nur die bekannten, kleinen Textdateien und Pixel zählen, sondern alle Technologien, die es ermöglichen, einen Nutzer, einen Benutzeragenten oder Gerät herauszufinden, zu verknüpfen oder herzuleiten.

    Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

    Die Anforderungen an die Einwilligungsfreiheit

    Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:

    1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV)
    2. Kein Einsatz von Cookies oder ähnlichen Techniken zur Profilbildung
    3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa
    4. Der Auftragsverarbeiter nutzt die gewonnenen Daten nicht für eigene Zwecke
    5. Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an
    6. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung
    7. IP-Anonymisierung („Privacy by Default“)
    8. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser
    9. Nachweis der erfolgten Punkte 1-8 durch den Website-Betreiber
    referenzen-icon

    IP-Adresse

    Beachte dass die IP-Adresse generell ein personenbezogenes Datum darstellt.

    Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

    dsb-icon

    Server-Standort

    Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

    firmensitz

    Firmensitz

    Bei amerikanischen Unternehmen oder deren Töchter ist zusätzlich der Fakt, dass es sich um ein amerikanisches Unternehmen handelt zu berücksichtigen. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig.

    Warum ist meine Website von [Name Dienst] Einwilligungspflichtig?

    Wahrscheinlich ist nicht deine Website an sich Einwilligungspflichtig, denn du kannst dich auf dein berechtigtes Interesse berufen. Jedoch sind sehr wahrscheinlich die Dienste, die du verwendest einwilligungspflichtig.

    Du musst prüfen, an welcher Stelle, die Daten deiner Nutzer verarbeitet werden, ob es sich dabei um personenbezogene Daten handelt und wer darauf Zugriff hat. In der Regel wird es immer mindestens einen Dienst geben, der personenbezogene Daten verarbeitet. Wenn das der Fall ist brauchst du eine Rechtsgrundlage, auf die du dich bei der Verarbeitung berufen kannst. Vergiss nicht, auch das TTDSG zu berücksichtigen, denn selbst wenn keine personenbezogenen Daten verarbeitet werden, könnte es sein das auf das Endgerät zugegriffen wird.

    Die Frage die sich also stellt ist, kannst du deine Dienste ohne Einwilligung ausspielen, oder musst du die Einwilligung deiner Nutzer einholen. Dazu musst du die oben aufgeführten 9 Punkte prüfen und wenn alle Punkte erfüllt sind, ist eine Einwilligung nicht notwendig. Wenn du keine Lust hast, den Dienst selbst zu überprüfen, schaue einfach in die Cookiepedia. Solltest du den Dienst nicht in der Cookiepedia finden, informiere uns gerne und wir werden den Dienst aufnehmen.

    • [Falls es noch Besonderheiten gibt können diese auch aufgeführt werden]

    Damit liegen Verstöße gegen die oben genannten Punkte [Punkte aufzählen] vor. Eine Einwilligungsfreiheit kann nicht begründet werden.*Es müssen nicht alle Punkte ganz genau geprüft werden. In der Regel findet man 2-3 Punkte die nicht erfüllt sind direkt. Die kann man dann aufzählen, denn es müssen alle Punkte erfüllt sein. Deswegen der DISCLAIMER.*

    DISCLAIMER: Dies heißt nicht, dass die nicht genannten Punkte erfüllt sind.

    *Hier muss nicht unbedingt etwas folgen, aber es kann das Fazit etwas angeteasert werden. Z.b. "Es braucht eine Einwilligung, das sollte bei diesem Dienst aber kein Problem sein."*

    Fazit zur datenschutzkonformen Nutzung von [Name CMS]

    Wir können also festhalten, dass es nicht das CMS ist, welches problematisch ist, sondern die Dienste welche du integrierst. Aber wenn du so vorgehst wie wir es oben beschrieben haben, solltest du keine Probleme bekommen.

    [Falls US Dienst kann erwähnt werden das die Verwendung eine Grauzone darstellt. In jedem Fall sollte eine Einwilligung eingeholt werden.][Über nicht US-Alternativen Gedanken machen.]

    [Wenn der Dienst sich mühe beim Datenschutz gibt kann das auch erwähnt werden]

    [Falls es Kritik am Dienst gibt, kann darauf eingegangen was zu tun ist um die Kritik zu beseitigen]

    [Wenn es einen Weg gibt den Dienst auszuspielen ohne Einwilligung sollte das auch hier aufgenommen werden. Z.b. durch SST]

     

     

    service_google

    Du hast Fragen?

    Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unseren Produkten oder generell zu allen Datenschutz-Themen:

    Rufen Sie uns an