Website DSGVO-konform machen und richtig mit Cookies umgehen

webby555

Neues Mitglied
Hi Leute,

ich habe meine erste eigene Website erstellt. Die Funktionalität sitzt schonmal. Bin also frischling und lerne Websiten machen nebenher. Irgendwie habe ich allerdings Probleme oder stelle mich etwas blöd an und finde nichts richtiges an Informationen zu cookie handling und wie ich meine Seite DSGVO konform mache.

Kurz etwas zu meiner Seite damit es etwas verständlicher ist:
- verwendetes Framework ist React
- verwende MUI components
- Backend ist ein mix aus Firebase (Dateien speichern und allgemeine Daten speichern; User registrierung per Mail und Passwort) und aus MySQL

Zu Cookie-Consent:
So wie ich das Verstanden habe ist Cookie-Consent etwas das drauf sein muss (wegen der Natur meiner Seite).
Allerdings lese ich nach und Stelle fest das man ohne Cookie-Consent (logischerweise) keine cookies setzen darf, was aber bei Firebase unmöglich ist (denke ich) und somit die ganze Seite nicht funktionieren würde. Außerdem weiß ich ehrlich gesagt nicht wie ich cookies handlen soll im allgemeinen. Ich setze die Cookies ja nicht selbst und irgendwie kommt mir das ganze sehr Fremd vor. Man muss aber auch sagen, es ist schwer sich neben dem Job noch alles im Kopf zu behalten und richtig zu machen. Könnt ihr mir das mal besser erklären ?

Zu DSGVO:
Ist natürlich wieder wegen der Natur meiner Seite eine Notwendigkeit. Ich sehe gratis Generatoren. Taugen die was ? Und was mach ich dann eigentlich mit dem generierten Text ?

Zum Impressum:
Ich bin ja keine Firma, muss sowas rein, und wenn ja, was genau ? Hab mich umgeschaut und es kommen verschiedene Sachen beisammen.

Allgemein:
Fehlt mir noch etwas das ich beachten muss? Bin eh knapp bei Kasse. Kann mir legitim keine Abmahnung leisten. Hilfe wäre echt toll.
Außerdem weiß ich nicht ganz wie man mit Cookies umgeht. Hab das Entwickeln gelernt aber mit dem Bereich kenne ich mich Null aus.


Vielen Dank im Vorraus! Ich saß echt lange dran, wäre blöd wenns hieran scheitert.
 
Hallo @webby555,

erstmal herzlich willkommen im Forum!
An den Themen Datenschutz und Cookies sollte es nicht scheitern, da mach dir mal nicht allzu viele Sorgen.

Ich versuche mich mal aus meiner persönlichen Sicht an einer Antwort. Im Zweifelsfall gilt natürlich immer: Ich bin kein Anwalt und kann dir daher nur meine Meinung, weniger den tatsächlichen rechtlichen Stand darlegen.

Vielleicht macht es auch Sinn, dass du uns noch etwas mehr zu deiner Website erzählst und insbesondere dazu, was für Cookies genau genutzt werden.

Im Prinzip gilt aber aus meiner Sicht Folgendes:

Impressum:

Brauchst du eigentlich immer, außer deine Website richtet sich ausschließlich an Freunde oder Verwandte, wobei dies dann i.d.R. auch technisch auf diesen Kreis beschränkt sein sollte. Sprich: Passwortschutz der gesamten Seite oder zumindest kein Indexing bei Google und Co, sodass in der Theorie nur Leute, die die Domain kennen, Zugriff haben.

Da das bei dir aber wahrscheinlich nicht der Fall ist und die Website schon von jedem genutzt werden soll, bleibt dir trotz der Tatsache, dass du kein Unternehmen bist, nichts anderes übrig, als ein Impressum einzurichten.

Datenschutzerklärung:

Eine Datenschutzerklärung brauchst du mittlerweile eigentlich auch immer. Sobald irgendwie Daten gesammelt werden (meist schon automatisch durch Hoster), kommst du da auch nicht drum herum.

Zum Glück gibt es, wie schon von dir angedeutet, mitunter kostenlose Vorlagen/Generatoren, die du nutzen kannst. Dies bietet sich für den Anfang auf jeden Fall an und dürfte i.d.R. ausreichen.
Ich kann bspw. den Generator von e-recht24.de empfehlen, sowohl für Impressum als auch DSGVO-konforme Datenschutzerklärung.
Selbst viele Firmen nutzen den ohne größere Probleme.

Den generierten Text kopierst du dir dann im Wesentlichen, trägst deine persönlichen Daten ein, änderst vielleicht noch eins, zwei Dinge und erstellst auf deiner Website anschließend zwei separate Seiten, die von überall direkt verlinkt und zugänglich sind, und fügst den Text dort ein. Einmal Impressum und einmal Datenschutzerklärung.

Damit hast du dann schon mal deine wichtigsten Informationspflichten erfüllt.

Cookies:

Cookies sind schon eher ein schwierigeres Thema.
Mittlerweile hat sich nach langem Hin und Her mehr oder weniger durchgesetzt, dass Cookies hauptsächlich in zwei Kategorien unterteilt werden und je nachdem, man entsprechend vorgehen muss:

1. First-Party Cookies (selbst von deiner Website gesetzt), die rein der Funktion der Website dienen, sind ohne weiteres Zutun erlaubt. Sicherheitshalber kann man hier noch einen Hinweis einblenden, aber eigentlich ist dieser meine ich nicht erforderlich.
Beispiele: Login-Funktion, Warenkorb-Funktion, etc.

2. Third-Party Cookies (von fremden Diensten gesetzt), die weitere Funktionen ermöglichen und bei personalisierter Werbung sowie von Tracking- und Analysediensten gesetzt werden oder auch First-Party Cookies zu Trackingzwecken.
Hier ist eigentlich immer zwangsläufig eine explizite Einwilligung und damit der sogenannte Cookie Consent Banner erforderlich.
Wichtig dabei: Der Banner muss dem Nutzer tatsächlich erlauben, die Cookies abzulehnen, sodass keinerlei Daten gespeichert/verarbeitet werden, abgesehen von Cookies aus Nr. 1.
Zudem darf vor der Einwilligung keine Speicherung erfolgen.

Praktischerweise muss man sich diese Cookie Banner nicht selbst zusammen bauen und dann im Code (meist JavaScript) dafür sorgen, dass externe Dienste erst gar nicht geladen/aufgerufen werden. Auch da gibt es vorgefertigte Lösungen, die zumindest teilweise kostenlos erhältlich sind.
Eine Open Source Lösung, die ich vor kurzem entdeckt habe, wäre z.B. klaro.
Es gibt aber auch sehr viele, bekanntere Alternativen, die meist auf den Websites der einschlägigen Anwaltskanzleien aufgelistet werden.

In der Regel ist das einfach ein JavaScript-Code, den man einbindet. Fun Fact: Der Cookie Banner setzt selbst ein Cookie, um die Wahl der Nutzers zu berücksichtigen. Das fällt aber unter technisch notwendig und ist natürlich erlaubt.

Firebase:

Aufgrund deiner Nutzung von Firebase wird es aber nun noch etwas komplizierter.
Hier wäre erstens wichtig herauszufinden, welche Daten/Cookies genau gespeichert werden.
Wenn Firebase Cookies setzt, gilt hierfür natürlich das, was ich oben bereits unter Nr. 2 erklärt habe, schließlich handelt es sich um einen externen Dienst.
Die meisten Cookie Consent Tools lassen sich denke ich auf beliebige Dienste anwenden, sodass das kein Problem darstellen sollte.

Was eher (zumindest theoretisch) ein Problem ist, ist die Tatsache, dass Firebase natürlich als Google-Cloud-Angebot die Daten ggf. in die USA transferiert und dort speichert.
Aktuell ist die Rechtslage da leider aufgrund eines EuGH-Urteils nach wie vor sehr unsicher (Stichwort: Privacy Shield).
Teilweise wird behauptet, man dürfte gar keine Daten mehr in die USA senden, andere sagen, dies sollte nur eingeschränkt und ggf. mit zusätzlichen Maßnahmen und einer Verschlüsselung der Daten erfolgen und weitere sehen das relativ unproblematisch und verlassen sich auf die sogenannten Standardvertragsklauseln, die man zusätzlich mit Google (dem Auftragsverarbeiter der Daten), abschließen kann, um separat zum sogenannten Privacy Shield Abkommen, was für ungültig erklärt wurde, eine weitere Sicherheit und Regelungen zu haben, die den Datenaustausch auf eine rechtlich hoffentlich sichere Basis stellen.

Was davon jetzt richtig ist, kann dir selbst ein Anwalt im Zweifelsfall wahrscheinlich kaum erklären. Ist alles ziemlich unsicher und unzufriedenstellend, solange die EU keinen neuen Datenschutzrahmen zum Datenaustausch mit den USA verabschiedet hat.
Im Zweifel sollte man also auf Nummer sicher gehen und keine US-Dienste nutzen.

Da das aber häufig etwas realitätsfremd ist und insbesondere kleinere Unternehmen oder Privatpersonen wohl eher selten deswegen angeklagt werden, sollte man sich damit aber auch nicht verrückt machen lassen.
In der Praxis wird es bei einer kleinen Website kaum jemanden interessieren.
Ein gewisses Risiko geht man aber damit ein, wenn man bspw. nur auf die Standardvertragsklauseln setzt.

Für dich bedeutet das alles:

1. Informiere dich etwas zu dem Thema und schaue vor allen Dingen, was Firebase dazu sagt/an Infos und rechtlichen Vereinbarungen bereitstellt.

Wenn du dich dazu entscheidest, trotzdem Firebase zu nutzen:

2. Schließe die entsprechenden Datenschutzvereinbarungen mit Firebase ab und wichtig ist auf jeden Fall auch ein Vertrag über die Auftragsverarbeitung der Daten deiner User. Den muss man im Übrigen mit jedem Hoster usw. abschließen, der die Daten deiner Anwendung irgendwie verarbeitet.

3. Überlege dir ggf., wie du die Daten bei Firebase vielleicht möglichst begrenzen oder besser absichern kannst, um diese eventuell vor einem Zugriff in den USA zu schützen.

4. Füge einen Text für Firebase deiner Datenschutzerklärung bei. Entweder findest du hierzu Vorlagen oder du erstellst deinen eigenen, indem du bestehende Abschnitte von anderen Diensten umschreibst. (Das gilt übrigens für alle externen Dienste.)

5. Mach dir keinen allzu großen Kopf und hoffe, dass alles gut geht. :D


Weitere Themen:

Weitere Themen, die relevant für dich sein könnten bzw. die ich nochmal hervorheben möchte:

1. Für alle externen Dienste/Dienstleister brauchst du immer einen Vertrag zur Auftragsverarbeitung der Daten. Das gilt für Hoster, Cloud-Dienste, Analytics-Dienste, usw.
Diesen kannst du meist mit wenigen Klicks bei den Diensten direkt abschließen.

2. Verzeichnis der Verarbeitungstätigkeiten. Nach der DSGVO müssen insbesondere Unternehmen, aber auch Privatpersonen, die Daten regelmäßig und systematisch verarbeiten (was das auch immer im Einzelfall genau heißt, ein Verzeichnis über alle Verarbeitungstätigkeiten von Nutzerdaten pflegen, das im Zweifel dem Nachweis gegenüber den Behörden dient. Dort wird ähnlich wie in der Datenschutzerklärung praktisch alles aufgelistet zusammen mit Rechtsgrundlagen und sonstigen Erwägungen und Begründungen.

Auch hierzu finden sich paar Vorlagen, allerdings ist mir bis heute nicht ganz klar, wer dieses Verzeichnis tatsächlich erstellen muss.
Wahrscheinlich zielt die DSGVO hier hauptsächlich auf Unternehmen ab, sodass Privatpersonen das nicht brauchen.
Im Zweifelsfall schadet es aber auch nicht, eine solche Übersicht zu haben und regelmäßig zu aktualisieren, falls man was an den Datenverarbeitungspraktiken ändert.
Für dich also wahrscheinlich eher optional, außer es handelt sich um eine relativ große, professionelle Anwendung/Website.



Fazit / TL;DR:

Puh, das war jetzt ziemlich viel, sorry für die Wall of Text. Lass dich davon bitte nicht abschrecken. Das meiste ist, wie gesagt, relativ gut machbar und durch Generatoren/Vorlagen online schnell erledigt.

Manche Dinge sind, insbesondere beim Zusammenspiel mit externen Diensten, etwas komplizierter und erfordern mehr Recherche.
Letztendlich sollte aber, aus meiner Sicht, auch immer die Verhältnismäßigkeit gelten.
Solange du kein Unternehmen bist oder eine App mit tausenden Nutzern betreibst, ist die Wahrscheinlichkeit, dass du wirklich mal Probleme mit den Behörden bekommst, eher gering.
Das offensichtliche, wie Datenschutzerklärung und Impressum, ist ein Must-have. Das Thema Cookies sollte man möglichst auch beachten. Alles andere ist als Privatperson eher die Kür und wird wahrscheinlich nur beanstandet, wenn es jemand drauf anlegt.

Abgemahnt werden kann man übrigens, soweit ich weiß, sowieso nur von Mitbewerbern. Das "Problem" sind die Datenschutzbehörden, die dich bestrafen dürfen, wenn diese Mängel feststellen bzw. ein User sich über dich beschwert.

Wie dem auch sei: Ich hoffe, ich konnte dir etwas helfen und hab dich nicht total überfordert. :D
Ich stehe für weitere Fragen und eine genauere Diskussion deines Falls und der technischen Umsetzung natürlich zur Verfügung, wobei ich natürlich keine Rechtsberatung geben kann.

Viele Grüße
JR Cologne
 
Zuletzt bearbeitet:
Ok zuerst mal Danke für die ausführlichen Angaben.
Du glaubst nicht wie sehr sowas hilft.

Ich gehe mal alles Schritt für Schritt durch damit es übersichtlich bleibt.

Stell dir meine Seite vor wie ein ebay kleinanzeigen klon (das ist es nicht, aber so kann ich es von der Funktionalität her Beschreiben)

Zu meiner Seite:

  • User kann sich registrieren (per mail und passwort funktion -> geboten von Firebase)
  • User kann sich Anmelden
  • User kann Anzeigen erstellen (Per formular mit text und bildern) und geben einen Preis an
  • User kann seine eigenen Anzeigen bearbeiten und Löschen
  • User können mit anderen usern chatten
  • User können sich Anzeigen merken
  • User können Anzeigen suchen und die Suche auch Filtern (Firebase bietet keine komplexen queries, deshalb noch eine MySQL DB angehangen im Hintergrund -> Diese wird über einen Node.js express Server kommuniziert)
  • So wie ich das in den cookies sehe, werden _ga... cookies gesetzt (schon vor der Anmeldung). Ich nehme stark an es handelt sich um Google Analytics.

Impressum:
  • Habe ich verstanden. Impressum muss rein. Muss man als nicht Firma denn dann seine eigene private Adresse online stellen ? Kommt mir vor als würde man sich selbst doxxen lol.

Datenschutzerklärung
  • Ich nehme mal an der muss man Zustimmen bei der Registrierung?

Cookies:

(kuke ich richtig nach cookies?
Firefox -> Web-Speicher -> Cookies)
  • First party cookies:
    • Selber cookies gesetzt habe ich nicht, da ich React benutze wird für alles "States" verwendet

  • Third party cookies:
    • Von Firebase gesetzt
    • Meines erachtens nach nur ein paar (zwei Stück) _ga cookies wie ich das sehe
    • Keine Login cookies da sobald ich auch JWT verwendet wird bei Firebase


Ich nehme mal an ich muss die Möglichkeit bieten _ga Cookies zu disablen.

PROBLEM: Ich sehe keine Möglichkeit dazu. Es werden bei Firebase möglichkeiten angezeigt um Analytics für Mobile Anwendungen zu disablen, aber ich finde nichts zu Websiten (also für Js).

1. Informiere dich etwas zu dem Thema und schaue vor allen Dingen, was Firebase dazu sagt/an Infos und rechtlichen Vereinbarungen bereitstellt.

Wenn du dich dazu entscheidest, trotzdem Firebase zu nutzen:

2. Schließe die entsprechenden Datenschutzvereinbarungen mit Firebase ab und wichtig ist auf jeden Fall auch ein Vertrag über die Auftragsverarbeitung der Daten deiner User. Den muss man im Übrigen mit jedem Hoster usw. abschließen, der die Daten deiner Anwendung irgendwie verarbeitet.

3. Überlege dir ggf., wie du die Daten bei Firebase vielleicht möglichst begrenzen oder besser absichern kannst, um diese eventuell vor einem Zugriff in den USA zu schützen.

4. Füge einen Text für Firebase deiner Datenschutzerklärung bei. Entweder findest du hierzu Vorlagen oder du erstellst deinen eigenen, indem du bestehende Abschnitte von anderen Diensten umschreibst. (Das gilt übrigens für alle externen Dienste.)

Ich verstehe ehrlich gesagt diese Schritte nicht so ganz:
  • Wie schließe ich die Datenschutzvereinbarungen mit Firebase ab und den Auftragsverarbeitungsteil mit Usern verstehe ich auch nicht so ganz.
  • Zu drittens -> Die komplette arbeitet mit Firebase, somit ist die Begrenzung leider nicht möglich
  • Den vierten Punkt habe ich schon gehört. Würde das einfach bedeuten:
    • Meine Seite ist ebay ähnlich
      • Ich gehe auf ebay
      • Kopiere die Datenschutzerklärung
      • Passe sie an mich an ?

1. Für alle externen Dienste/Dienstleister brauchst du immer einen Vertrag zur Auftragsverarbeitung der Daten. Das gilt für Hoster, Cloud-Dienste, Analytics-Dienste, usw.
Diesen kannst du meist mit wenigen Klicks bei den Diensten direkt abschließen.
Ich verstehe wieder nicht ganz was damit gemeint ist.

2. Verzeichnis der Verarbeitungstätigkeiten. Nach der DSGVO müssen insbesondere Unternehmen, aber auch Privatpersonen, die Daten regelmäßig und systematisch verarbeiten (was das auch immer im Einzelfall genau heißt, ein Verzeichnis über alle Verarbeitungstätigkeiten von Nutzerdaten pflegen, das im Zweifel dem Nachweis gegenüber den Behörden dient. Dort wird ähnlich wie in der Datenschutzerklärung praktisch alles aufgelistet zusammen mit Rechtsgrundlagen und sonstigen Erwägungen und Begründungen.
Ist das nicht schon in der Datenschutzerklärung drinnen oder versteh ich was wieder nicht?
Heisst das ich MUSS userdaten Bereit haben für Behörden?

Auch hierzu finden sich paar Vorlagen, allerdings ist mir bis heute nicht ganz klar, wer dieses Verzeichnis tatsächlich erstellen muss.
Wahrscheinlich zielt die DSGVO hier hauptsächlich auf Unternehmen ab, sodass Privatpersonen das nicht brauchen.
Im Zweifelsfall schadet es aber auch nicht, eine solche Übersicht zu haben und regelmäßig zu aktualisieren, falls man was an den Datenverarbeitungspraktiken ändert.
Für dich also wahrscheinlich eher optional, außer es handelt sich um eine relativ große, professionelle Anwendung/Website.
Was für eine Übersicht denn?


Ich bitte um Geduld mir mir lol.
Ich habe das self taught, nicht Betrieblich etc.
Manche Dinge brauchen etwas länger in so Fällen da vieles sehr Neu ist.

Nichts desto trotz, bedanke ich mich bei dir und hoffe das ich dich nicht abschrecke mit den Fragen.

Gruß,
Webby
 
Ich bitte um Geduld mir mir lol.
Ich habe das self taught, nicht Betrieblich etc.
Manche Dinge brauchen etwas länger in so Fällen da vieles sehr Neu ist.

Nichts desto trotz, bedanke ich mich bei dir und hoffe das ich dich nicht abschrecke mit den Fragen.
Kein Problem. Am Anfang kommen einem die rechtlichen Themen auch wie ein endloser Dschungel vor. :D

User können Anzeigen suchen und die Suche auch Filtern (Firebase bietet keine komplexen queries, deshalb noch eine MySQL DB angehangen im Hintergrund -> Diese wird über einen Node.js express Server kommuniziert)
Ok, interessant. Möchte mich eigentlich nicht großartig einmischen, aber bedeutet das, dass du die DBs praktisch doppelt befüllst oder ist Firebase rein für die Userdaten und MySQL für die Anzeigen?

So wie ich das in den cookies sehe, werden _ga... cookies gesetzt (schon vor der Anmeldung). Ich nehme stark an es handelt sich um Google Analytics.
Ok, ja, _ga steht für Google Analytics. Sind die Analytics dann direkt in Firebase ersichtlich oder fließen die ins "klassische" Google Analytics? Wahrscheinlich irgendwie auf eine obskure Weise direkt integriert.

Habe ich verstanden. Impressum muss rein. Muss man als nicht Firma denn dann seine eigene private Adresse online stellen ? Kommt mir vor als würde man sich selbst doxxen lol.
Ja, leider schon. Um die Angabe deiner Adresse samt E-Mail und Telefon kommst du leider nicht herum.

Ich nehme mal an der muss man Zustimmen bei der Registrierung?
In der Regel muss man den Nutzungsbedingungen einer Website bei der Registrierung zustimmen.
Nutzungsbedingungen sind bei einer Website wie deiner übrigens auch zu empfehlen. Hier gibt es aber leider deutlich weniger gute Vorlagen. Da muss man sich entweder was selbst aus den Fingern saugen oder einen Anwalt beauftragen.

Die Zustimmung zu der Datenschutzerklärung bei der Registrierung abzufragen, macht allerdings wenig Sinn. Eine Datenschutzerklärung ist ohne Zustimmung "gültig", da es sich nur um reine Informationen handelt.
Wenn du deine Datenverarbeitung tatsächlich komplett auf eine Einwilligung als Rechtsgrundlage stellen möchtest, müsstest du im Zweifelsfall nämlich für jeden einzelnen Dienst oder jede Verarbeitungstätigkeit separat die Einwilligung bei der Registrierung einholen. Das macht wenig Sinn und ich bin mir unsicher, ob das überhaupt zulässig wäre, da man die User nicht zur Zustimmung zwingen darf.

(kuke ich richtig nach cookies?
Firefox -> Web-Speicher -> Cookies)
Ja, dürfe passen. Es gibt auch Tools, die das analysieren können, aber so geht es am schnellsten.

Third party cookies:
  • Von Firebase gesetzt
  • Meines erachtens nach nur ein paar (zwei Stück) _ga cookies wie ich das sehe
  • Keine Login cookies da sobald ich auch JWT verwendet wird bei Firebase
Gut. Login Cookies oder sonstige Technologien, die Daten über den angemeldeten Nutzer speichern, wären ohnehin nicht weiter schlimm, da schlicht und ergreifend erforderlich.
Das grundsätzliche Problem des Datentransfers ins unsichere Drittländer (USA) bleibt aber natürlich bestehen und ist problematisch.

Ich nehme mal an ich muss die Möglichkeit bieten _ga Cookies zu disablen.

PROBLEM: Ich sehe keine Möglichkeit dazu. Es werden bei Firebase möglichkeiten angezeigt um Analytics für Mobile Anwendungen zu disablen, aber ich finde nichts zu Websiten (also für Js).
Du musst nicht nur die Möglichkeit anbieten, Google Analytics zu aktivieren. Google Analytics sollte von vorne herein gar nicht gesetzt werden und erst aktiviert werden, wenn der User seine Einwilligung gibt.

Inwiefern sich das im Einzelnen umsetzen lässt, hängt stark von dem verwendeten Dienst und der Implementierung ab.

Ich würde dir empfehlen, einfach alles, was du nicht unbedingt brauchst, bei Firebase zu deaktivieren. Wenn dann immer noch Google Analytics aktiviert ist und/oder du Google Analytics nutzen möchtest, müsstest du einen Weg finden, eine Einwilligung einzuholen bzw. anfangs Google Analytics zu blocken, bis der User zustimmt.

Wie das geht, kommt, wie gesagt, auf die konkrete Einbindung an. Ich vermute mal, du hast irgendein JS-SDK o.ä. eingebunden, das dies lädt.

Wie schließe ich die Datenschutzvereinbarungen mit Firebase ab und den Auftragsverarbeitungsteil mit Usern verstehe ich auch nicht so ganz.
Dazu musst du dich mal etwas bei Firebase durch die Menüs klicken. Dort wird es irgendwo für europäische Kunden sicher die Möglichkeit geben, verschiedene Datenschutzvereinbarungen wie die Standardvertragsklauseln abzuschließen.

Auftragsverarbeitung steht dafür, dass ein externer Dienstleister (Firebase) in deinem Auftrag die Daten deiner Kunden/User verarbeitet.
Du musst daher mit deinem Dienstleister einen Vertrag über diese Auftragsverarbeitung abschließen, damit die Verantwortlichkeiten und Regelungen zur Datenverarbeitung mit diesem Dienstleister geklärt sind.

Ich habe flott mal Google bedient und bin auf folgende Zusammenfassung von Firebase zum Thema Datenschutz gestoßen. Da wird manches schon mal erklärt: https://firebase.google.com/support/privacy?hl=de

Den vierten Punkt habe ich schon gehört. Würde das einfach bedeuten:
  • Meine Seite ist ebay ähnlich
    • Ich gehe auf ebay
    • Kopiere die Datenschutzerklärung
    • Passe sie an mich an ?
Du kannst natürlich nicht einfach Texte aus fremden Datenschutzerklärungen klauen.

Ich meinte damit, dass in deiner selbst generierten Datenschutzerklärung dann sicher der eine oder andere Textabschnitt zu externen Diensten drin stehen wird. Diesen Abschnitt kannst du dann nehmen und für Firebase kopieren und anpassen, falls du nicht direkt was passendes für Firebase selbst findest.

Ich verstehe wieder nicht ganz was damit gemeint ist.
Die Auftragsverarbeitung habe ich ja oben nochmal erklärt. Im Zweifel einfach mal googlen, was das ist und wann man das braucht.

Ist das nicht schon in der Datenschutzerklärung drinnen oder versteh ich was wieder nicht?
Heisst das ich MUSS userdaten Bereit haben für Behörden?
Ja und nein.
In der Datenschutzerklärung informierst du deine Nutzer über die verarbeitenden Daten und welche Dienste usw. du nutzt.

Userdaten musst du selbstverständlich nicht für Behörden bereit halten. Stattdessen kann es sein, dass eine Aufsichtsbehörde für den Datenschutz mal bei dir anklopft und wissen will, welche Daten du denn so verarbeitest, wie das geschieht, wie du die Daten absicherst und auf welche Rechtsgrundlage das Ganze geschieht, etc.
Für diesen Fall erstellt man ein Verzeichnis der Verarbeitungstätigkeiten, indem du ähnlich wie in der Datenschutzerklärung alles (tabellarisch) auflistest und niederschreibst.

Dort werden übrigens keine konkreten Daten deiner User, sondern lediglich Kategorien bzw. Arten von Daten angegeben. Also z.B. Kontaktdaten wie Adressen, Telefonnummern, E-Mail-Adressen, usw., nicht E-Mail xyz von User xyz.

Im Falle des Falles schadet es auf jeden Fall nicht, sowas zu haben. Ob es in deinem Fall verpflichtend ist, kann ich dir allerdings selbst nicht wirklich beantworten.

Was für eine Übersicht denn?
Mit Übersicht meine ich das besagte Verzeichnis der Verarbeitungstätigkeiten.
Das war in dem Sinne gemeint, dass man sich durch die Erstellung des Verzeichnisses auch einfach selbst eine ganz gute Übersicht schaffen kann, welche Daten man genau verarbeitet.


Zum Abschluss nochmal zu Firebase:

Firebase scheint definitiv ein größeres Problem darzustellen. Abgesehen von Google Analytics, das sich hoffentlich entweder deaktivieren oder zumindest bei Einwilligung einbinden lässt, haben wir das Problem, das Firebase ein US-Dienst ist und wahrscheinlich auch wenig Möglichkeiten bietet, die Datenverarbeitung zu beschränken, da deine App grundlegend darauf aufbaut.

Wenn du dir mal die verlinkte Seite von Firebase durchliest, wirst du allein schon feststellen, dass Firebase Auth, was du ja denke ich mal für deine Authentifizierung und Speicherung der Userdaten nutzt, grundsätzlich nur in den USA angelegt ist und damit zwangsläufig alle Userdaten dort liegen.

Da ein Verzicht auf Firebase wohl keine Option mehr ist, könntest du zumindest überlegen, bei der Registrierung auf die Nutzung von Firebase und die Datenübertragung in die USA hinzuweisen bzw. sogar eine Einwilligung dazu einzuholen.
Da kommen wir allerdings in ein Feld, wo ich mich selbst nicht mehr auskenne, schließlich stellt sich die Frage, ob eine Einwilligung dann die grundsätzliche Problematik der Datenübertragung aushebelt oder nicht. Zudem ist unklar, ob eine derartige Einwilligung in der Form überhaupt erlaubt ist.

Besser wäre es aber wahrscheinlich, als einfach nur in der Datenschutzerklärung darauf hinzuweisen. Ein schwieriges Thema, auf das ich selbst keine wirkliche Antwort weiß, ohne mich damit näher befasst zu haben...

Andererseits kann man sich auch einfach darauf verlassen, dass die Datenübertragung durch das Abschließen der Standardvertragsklauseln rechtens ist und daher das alles kein großes Problem darstellt. Ein gewisses Risiko bleibt dann aber definitiv, wobei es anfangs die Wenigsten interessieren dürfte und du damit wahrscheinlich durchkommen dürftest.


Nachtrag:

Habe einen Artikel gefunden, der erläutert, dass mit einer speziellen Einwilligung eine Datenübertragung in die USA abgesichert werden könnte:

Das Problem, dass du damit effektiv alle User zu dieser Einwilligung zwingst und sie damit nicht wirklich frei getroffen werden kann, bleibt aber.
 
Zuletzt bearbeitet:
Kein Problem. Am Anfang kommen einem die rechtlichen Themen auch wie ein endloser Dschungel vor. :D
So ich bedanke mich herzlichst für die Informationen. Du glaubst nicht wie demotivierend es war als es so wirkte als könnt ich das in die Tonne werfen.

Ich werde jetzt erstmal die folgenden Tage mich etwas informieren und dann umsetzen was ich schon sicherlich umsetzen kann. Angefangen mit dem Impressum. Ist halt immer alles umständlicher neben dem Job.

Danach würde ich mich wenn du das in Ordnung findest bei dir melden, entweder um dir zu sagen ob ich erfolgreich war mit allem, oder das ich nicht alles gerafft habe.

Sollte aber denke ich gehen soweit!
 
Das ist eine gute Idee. Learning by Doing hilft immer und insbesondere die ersten Schritte rund um Impressum und Datenschutzerklärung sollten ja schon mal relativ gut umsetzbar sein. :)

Kannst dich dann im Anschluss oder bei Fragen gern hier zurückmelden.
 
Zurück
Oben Unten