Hallo
@webby555,
erstmal herzlich willkommen im Forum!
An den Themen Datenschutz und Cookies sollte es nicht scheitern, da mach dir mal nicht allzu viele Sorgen.
Ich versuche mich mal aus meiner persönlichen Sicht an einer Antwort. Im Zweifelsfall gilt natürlich immer: Ich bin kein Anwalt und kann dir daher nur meine Meinung, weniger den tatsächlichen rechtlichen Stand darlegen.
Vielleicht macht es auch Sinn, dass du uns noch etwas mehr zu deiner Website erzählst und insbesondere dazu, was für Cookies genau genutzt werden.
Im Prinzip gilt aber aus meiner Sicht Folgendes:
Impressum:
Brauchst du eigentlich immer, außer deine Website richtet sich ausschließlich an Freunde oder Verwandte, wobei dies dann i.d.R. auch technisch auf diesen Kreis beschränkt sein sollte. Sprich: Passwortschutz der gesamten Seite oder zumindest kein Indexing bei Google und Co, sodass in der Theorie nur Leute, die die Domain kennen, Zugriff haben.
Da das bei dir aber wahrscheinlich nicht der Fall ist und die Website schon von jedem genutzt werden soll, bleibt dir trotz der Tatsache, dass du kein Unternehmen bist, nichts anderes übrig, als ein Impressum einzurichten.
Datenschutzerklärung:
Eine Datenschutzerklärung brauchst du mittlerweile eigentlich auch immer. Sobald irgendwie Daten gesammelt werden (meist schon automatisch durch Hoster), kommst du da auch nicht drum herum.
Zum Glück gibt es, wie schon von dir angedeutet, mitunter kostenlose Vorlagen/Generatoren, die du nutzen kannst. Dies bietet sich für den Anfang auf jeden Fall an und dürfte i.d.R. ausreichen.
Ich kann bspw. den Generator von e-recht24.de empfehlen, sowohl für Impressum als auch DSGVO-konforme Datenschutzerklärung.
Selbst viele Firmen nutzen den ohne größere Probleme.
Den generierten Text kopierst du dir dann im Wesentlichen, trägst deine persönlichen Daten ein, änderst vielleicht noch eins, zwei Dinge und erstellst auf deiner Website anschließend zwei separate Seiten, die von überall direkt verlinkt und zugänglich sind, und fügst den Text dort ein. Einmal Impressum und einmal Datenschutzerklärung.
Damit hast du dann schon mal deine wichtigsten Informationspflichten erfüllt.
Cookies:
Cookies sind schon eher ein schwierigeres Thema.
Mittlerweile hat sich nach langem Hin und Her mehr oder weniger durchgesetzt, dass Cookies hauptsächlich in zwei Kategorien unterteilt werden und je nachdem, man entsprechend vorgehen muss:
1. First-Party Cookies (selbst von deiner Website gesetzt), die rein der Funktion der Website dienen, sind ohne weiteres Zutun erlaubt. Sicherheitshalber kann man hier noch einen Hinweis einblenden, aber eigentlich ist dieser meine ich nicht erforderlich.
Beispiele: Login-Funktion, Warenkorb-Funktion, etc.
2. Third-Party Cookies (von fremden Diensten gesetzt), die weitere Funktionen ermöglichen und bei personalisierter Werbung sowie von Tracking- und Analysediensten gesetzt werden oder auch First-Party Cookies zu Trackingzwecken.
Hier ist eigentlich immer zwangsläufig eine explizite Einwilligung und damit der sogenannte Cookie Consent Banner erforderlich.
Wichtig dabei: Der Banner muss dem Nutzer tatsächlich erlauben, die Cookies abzulehnen, sodass keinerlei Daten gespeichert/verarbeitet werden, abgesehen von Cookies aus Nr. 1.
Zudem darf vor der Einwilligung keine Speicherung erfolgen.
Praktischerweise muss man sich diese Cookie Banner nicht selbst zusammen bauen und dann im Code (meist JavaScript) dafür sorgen, dass externe Dienste erst gar nicht geladen/aufgerufen werden. Auch da gibt es vorgefertigte Lösungen, die zumindest teilweise kostenlos erhältlich sind.
Eine Open Source Lösung, die ich vor kurzem entdeckt habe, wäre z.B.
klaro.
Es gibt aber auch sehr viele, bekanntere Alternativen, die meist auf den Websites der einschlägigen Anwaltskanzleien aufgelistet werden.
In der Regel ist das einfach ein JavaScript-Code, den man einbindet. Fun Fact: Der Cookie Banner setzt selbst ein Cookie, um die Wahl der Nutzers zu berücksichtigen. Das fällt aber unter technisch notwendig und ist natürlich erlaubt.
Firebase:
Aufgrund deiner Nutzung von Firebase wird es aber nun noch etwas komplizierter.
Hier wäre erstens wichtig herauszufinden, welche Daten/Cookies genau gespeichert werden.
Wenn Firebase Cookies setzt, gilt hierfür natürlich das, was ich oben bereits unter Nr. 2 erklärt habe, schließlich handelt es sich um einen externen Dienst.
Die meisten Cookie Consent Tools lassen sich denke ich auf beliebige Dienste anwenden, sodass das kein Problem darstellen sollte.
Was eher (zumindest theoretisch) ein Problem ist, ist die Tatsache, dass Firebase natürlich als Google-Cloud-Angebot die Daten ggf. in die USA transferiert und dort speichert.
Aktuell ist die Rechtslage da leider aufgrund eines EuGH-Urteils nach wie vor sehr unsicher (Stichwort: Privacy Shield).
Teilweise wird behauptet, man dürfte gar keine Daten mehr in die USA senden, andere sagen, dies sollte nur eingeschränkt und ggf. mit zusätzlichen Maßnahmen und einer Verschlüsselung der Daten erfolgen und weitere sehen das relativ unproblematisch und verlassen sich auf die sogenannten Standardvertragsklauseln, die man zusätzlich mit Google (dem Auftragsverarbeiter der Daten), abschließen kann, um separat zum sogenannten Privacy Shield Abkommen, was für ungültig erklärt wurde, eine weitere Sicherheit und Regelungen zu haben, die den Datenaustausch auf eine rechtlich hoffentlich sichere Basis stellen.
Was davon jetzt richtig ist, kann dir selbst ein Anwalt im Zweifelsfall wahrscheinlich kaum erklären. Ist alles ziemlich unsicher und unzufriedenstellend, solange die EU keinen neuen Datenschutzrahmen zum Datenaustausch mit den USA verabschiedet hat.
Im Zweifel sollte man also auf Nummer sicher gehen und keine US-Dienste nutzen.
Da das aber häufig etwas realitätsfremd ist und insbesondere kleinere Unternehmen oder Privatpersonen wohl eher selten deswegen angeklagt werden, sollte man sich damit aber auch nicht verrückt machen lassen.
In der Praxis wird es bei einer kleinen Website kaum jemanden interessieren.
Ein gewisses Risiko geht man aber damit ein, wenn man bspw. nur auf die Standardvertragsklauseln setzt.
Für dich bedeutet das alles:
1. Informiere dich etwas zu dem Thema und schaue vor allen Dingen, was Firebase dazu sagt/an Infos und rechtlichen Vereinbarungen bereitstellt.
Wenn du dich dazu entscheidest, trotzdem Firebase zu nutzen:
2. Schließe die entsprechenden Datenschutzvereinbarungen mit Firebase ab und wichtig ist auf jeden Fall auch ein Vertrag über die Auftragsverarbeitung der Daten deiner User. Den muss man im Übrigen mit jedem Hoster usw. abschließen, der die Daten deiner Anwendung irgendwie verarbeitet.
3. Überlege dir ggf., wie du die Daten bei Firebase vielleicht möglichst begrenzen oder besser absichern kannst, um diese eventuell vor einem Zugriff in den USA zu schützen.
4. Füge einen Text für Firebase deiner Datenschutzerklärung bei. Entweder findest du hierzu Vorlagen oder du erstellst deinen eigenen, indem du bestehende Abschnitte von anderen Diensten umschreibst. (Das gilt übrigens für alle externen Dienste.)
5. Mach dir keinen allzu großen Kopf und hoffe, dass alles gut geht.
Weitere Themen:
Weitere Themen, die relevant für dich sein könnten bzw. die ich nochmal hervorheben möchte:
1. Für alle externen Dienste/Dienstleister brauchst du immer einen Vertrag zur Auftragsverarbeitung der Daten. Das gilt für Hoster, Cloud-Dienste, Analytics-Dienste, usw.
Diesen kannst du meist mit wenigen Klicks bei den Diensten direkt abschließen.
2. Verzeichnis der Verarbeitungstätigkeiten. Nach der DSGVO müssen insbesondere Unternehmen, aber auch Privatpersonen, die Daten regelmäßig und systematisch verarbeiten (was das auch immer im Einzelfall genau heißt, ein Verzeichnis über alle Verarbeitungstätigkeiten von Nutzerdaten pflegen, das im Zweifel dem Nachweis gegenüber den Behörden dient. Dort wird ähnlich wie in der Datenschutzerklärung praktisch alles aufgelistet zusammen mit Rechtsgrundlagen und sonstigen Erwägungen und Begründungen.
Auch hierzu finden sich paar Vorlagen, allerdings ist mir bis heute nicht ganz klar, wer dieses Verzeichnis tatsächlich erstellen muss.
Wahrscheinlich zielt die DSGVO hier hauptsächlich auf Unternehmen ab, sodass Privatpersonen das nicht brauchen.
Im Zweifelsfall schadet es aber auch nicht, eine solche Übersicht zu haben und regelmäßig zu aktualisieren, falls man was an den Datenverarbeitungspraktiken ändert.
Für dich also wahrscheinlich eher optional, außer es handelt sich um eine relativ große, professionelle Anwendung/Website.
Fazit / TL;DR:
Puh, das war jetzt ziemlich viel, sorry für die Wall of Text. Lass dich davon bitte nicht abschrecken. Das meiste ist, wie gesagt, relativ gut machbar und durch Generatoren/Vorlagen online schnell erledigt.
Manche Dinge sind, insbesondere beim Zusammenspiel mit externen Diensten, etwas komplizierter und erfordern mehr Recherche.
Letztendlich sollte aber, aus meiner Sicht, auch immer die Verhältnismäßigkeit gelten.
Solange du kein Unternehmen bist oder eine App mit tausenden Nutzern betreibst, ist die Wahrscheinlichkeit, dass du wirklich mal Probleme mit den Behörden bekommst, eher gering.
Das offensichtliche, wie Datenschutzerklärung und Impressum, ist ein Must-have. Das Thema Cookies sollte man möglichst auch beachten. Alles andere ist als Privatperson eher die Kür und wird wahrscheinlich nur beanstandet, wenn es jemand drauf anlegt.
Abgemahnt werden kann man übrigens, soweit ich weiß, sowieso nur von Mitbewerbern. Das "Problem" sind die Datenschutzbehörden, die dich bestrafen dürfen, wenn diese Mängel feststellen bzw. ein User sich über dich beschwert.
Wie dem auch sei: Ich hoffe, ich konnte dir etwas helfen und hab dich nicht total überfordert.
Ich stehe für weitere Fragen und eine genauere Diskussion deines Falls und der technischen Umsetzung natürlich zur Verfügung, wobei ich natürlich keine Rechtsberatung geben kann.
Viele Grüße
JR Cologne
