22.03.2018 von

Was die DSGVO für Cookies, E-Mails & Co bedeutet

Diese Folge unserer Videoserie zur Umsetzung der DSGVO in der Praxis beleuchtet die technischen Aspekte des neuen Datenschutzregimes: Welche Regeln gelten künftig im Umgang mit IP-Adressen, Cookies, Social-Media-Plugins oder E-Mails? 

Florian Unterberger (Pressesprecher Baker McKenzie Wien) im Gespräch mit Lukas Feiler. Der Leiter des Teams für IT-Recht bei Baker McKenzie in Wien ist Autor folgender Bücher zur Datenschutz-Grundverordnung: 

 

IP-Adressen, Cookies, Social-Media-Plugins und E-Mails (Fragen 43-51)

Cookies: DSGVO bringt Bestätigung der österreichischen Rechtslage

Florian Unterberger: Herr Dr. Feiler, die Frage 45 in Ihrem neuen Buch widmet sich dem unglaublich leidigen Thema der Cookies. Ändert sich bei der Zustimmungsnotwendigkeit bei Abfragen im Webbrowser in Bezug auf die Cookies etwas mit der Datenschutz-Grundverordnung? 

Lukas Feiler: Im Kern zum Glück nicht. Die österreichische Rechtslage war bisher insofern schon relativ entgegenkommend, als dass anerkannt war, dass man im Ergebnis mit dem eigenen Webbrowser auch der Verwendung von Cookies zustimmen kann. Das heißt, dadurch, dass der Browser Cookies zulässt, ist die Verwendung von Cookies auch in Ordnung. Das wird in Zukunft auch durch die E-Privacy-Verordnung – eine neue EU-Verordnung, die gleichsam zur DSGVO hinzutritt – ganz genau so, wie es bisher schon in Österreich war, geregelt werden.

Was die DSGVO für Analyse-Tools wie Google Analytics bedeutet

Tools, die von Webseitenbetreibern ganz oft eingesetzt werden, sind Google Analytics oder andere Analyse-Tools, mit denen man versucht, den Traffic auf der Website näher zu analysieren. Sind solche Tools künftig weiter einsetzbar?

Lukas Feiler: Ja, die Verwendung von konkret Google Analytics ist weiterhin zulässig, wenn zwei Voraussetzungen erfüllt sind:

  1. In der Datenschutzmitteilung auf der Website muss über die Verwendung von Google Analytics informiert werden. Ein entsprechendes Muster finden Sie im Buch vom Kollegen Horn und mir.
  2. Es ist notwendig, ein Anonymisierungsfeature von Google Analytics zu verwenden, damit die IP-Adresse teilweise gekürzt wird und auf diese Art im Ergebnis von Google nur anonymisierte IP-Adressen verarbeitet werden.

E-Mails im Zweifel sieben Jahre aufbewahren

Kommen wir zum Thema E-Mails: Die E-Mail-Flut bringt mit sich, dass im E-Mail-Verkehr unglaublich viele Daten enthalten und gespeichert sind. Wie lange dürfen, sollen, müssen E-Mails künftig aufbewahrt werden?

Lukas Feiler: Grundsätzlich gilt nach der DSGVO: Ich darf Daten nur so lange aufbewahren, wie es der Verarbeitungszweck erfordert. Im konkreten Fall ist einer der Verarbeitungszwecke die Einhaltung der gesetzlichen Speicherpflicht für Geschäftsbriefe nach dem Unternehmensgesetzbuch, nämlich für sieben Jahre. Das heißt, sehr viele E-Mails muss ich sieben Jahre aufbewahren.

Viele andere, insbesondere interne E-Mails muss ich vielleicht nicht so lange aufbewahren. Sie werde ich aber so lange aufbewahren wollen, weil die internen E-Mails oft auch Vertragsverhandlungen mit Dritten dokumentieren, die dann in einem Rechtsstreit notwendig sein werden, um sich entsprechend zu verteidigen. Daher, im Zweifel ist eine Aufbewahrung von sieben Jahren durchaus anzuraten.

E-Mails: Herausforderung Privatnutzung

Wenn Mitarbeiter auf Urlaub sind oder das Unternehmen verlassen haben, darf ich dann auf den E-Mail-Account zugreifen unter der DSGVO?

Lukas Feiler: Das Problem, das sich an der Stelle ergibt, ist: Was, wenn eine Privatnutzung des beruflichen E-Mail-Accounts gestattet war? Wenn das der Fall ist, dann ist der Zugriff auf den E-Mail-Account in der Tat relativ problematisch, weil hier auch sensible Daten in diesem E-Mail-Account enthalten sind. Deswegen die klare Empfehlung, die Privatnutzung beruflicher E-Mail-Accounts entweder zu untersagen oder verpflichtend vorzusehen, dass private Korrespondenz als solche gekennzeichnet wird.

Kennzeichnung kann bedeuten, sie muss in einen separaten Ordner abgelegt werden?

Lukas Feiler: Oder im Outlook gibt es auch ein eigenes Feature, um E-Mails als „Privat“ zu kennzeichnen. Dann kann man auch vollautomatisch die privaten E-Mails entsprechend ausfiltern.

Weitere Fragen zu IP-Adressen, Cookies und Social-Media-Plugins bzw. E-Mails

Das waren Einblicke in die Kapitel „IP-Adressen, Cookies und Social-Media-Plugins“ bzw. „E-Mails“ aus dem Buch von Lukas Feiler und Bernhard Horn. Die weiteren Fragen dieser Kapitel lauten:

  • Sind IP-Adressen personenbezogene Daten?
  • Welche Daten dürfen wir am Webserver protokollieren?
  • Wie soll die Datenschutzmitteilung auf einer Website aussehen?
  • Ist es zulässig, auf der eigenen Website Social Media Plugins zu verwenden?
  • Dürfen eingehende und ausgehende E-Mails gespiegelt werden?

Praktische Umsetzung der DSGVO in 12 Schritten

Zur Videoserie „Die DSGVO in der Praxis“

Dieses Video ist Teil einer mehrteiligen Serie, in der Lukas Feiler praktische Tipps gibt, wie Unternehmen die Datenschutz-Grundverordnung in der Praxis umsetzen können:

Diese Videoserie beruht auf dem neuen Buch von Lukas Feiler und Bernhard Horn: „Umsetzung der DSGVO in der Praxis – Fragen, Antworten, Muster“

Einführung in die Datenschutz-Grundverordnung

Für eine grundsätzliche Einführung in das Thema Datenschutz-Grundverordnung empfehlen wir Ihnen unsere erste Videoserie zur DSGVO:

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.