Webseite – Anforderungen der Datenschutz-Grundverordnung (DSGVO)

Ab dem 25. Mai 2018 müssen die Anforderungen der Datenschutz-Grundverordnung umgesetzt sein. Somit sind auch die Webseiten und Internetauftritte entsprechend von den Betreibern an die neuen Gesetzesanforderungen anzupassen.

Aktuelle Vorschriften für Webseiten

Zurzeit sind die Vorgaben für Webseitenbetreiber in §§ 11 – 15 Telemediengesetz (TMG) festgelegt. Relevant ist hier § 12 TMG, der besagt, dass personenbezogene Daten nur dann erhoben werden dürfen, wenn das TMG oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlauben oder der Nutzer eingewilligt hat. Zudem betrachten wir die Pflichten, welchen ein Diensteanbieter unterliegt (§ 13 TMG). Demnach ist der Nutzer vor Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung von personenbezogenen Daten in allgemein verständlicher Form zu unterrichten. Hinzu kommt ggf. die Information über eine Verarbeitung der Daten außerhalb der Europäischen Union.

Das Telemediengesetz unterscheidet zwischen Bestands- und Nutzungsdaten, die jeweils unter bestimmten Voraussetzungen erhoben und verarbeitet werden dürfen (§§ 14, 15 TMG). Bestandsdaten (Name, Adresse, Kontodaten, Geburtsdatum, IP-Adresse, …) dürfen nur erhoben oder verwendet werden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses erforderlich sind. Nutzungsdaten (Identifikationsmerkmale des Nutzers, Angabe über Beginn, Ende und Umfang der Nutzung, …) hingegen können erhoben oder verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.

Es ist nicht immer einfach zu entscheiden, ob es sich bei bestimmten Daten um Bestands- oder Nutzungsdaten handelt. Daher wird diese Unterscheidung glücklicherweise in der Datenschutz-Grundverordnung nicht mehr vollzogen.

Neue Vorschriften der DSGVO ab dem 25. Mai 2018

Die EU-Datenschutz-Grundverordnung ist, wie der Name schon sagt, eine europäische Verordnung und geht somit dem nationalen „deutschen“ Recht vor. Daher löst sie das Telemediengesetz (TMG) ab. Jedoch beinhaltet die DSGVO keine expliziten Vorgaben für Telemedien und ist folglich sehr allgemein und abstrakt gehalten. Es wird voraussichtlich eine ePrivacy-Verordnung der EU geben, in der speziellere Regelungen für den Umgang mit Telemedien festgelegt werden. Bislang gibt es jedoch nur einen Entwurf dieser ePrivacy-Verordnung. Wir gehen davon aus, dass bis dahin die Anforderungen an die Webseitenbetreiber hauptsächlich von den Artikeln 12 – 14 der DSGVO bestimmt werden. Dort ist u. a. festgelegt, dass der Verantwortliche geeignete Maßnahmen zu treffen hat, um der betroffenen Person alle relevanten Informationen, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln (Art. 12 DSGVO). Der Unterschied zur heutigen Gesetzeslage ist demnach unverkennbar. Wie genau diese präzise, transparente und verständliche Form umzusetzen ist, kann jedoch vor Geltung der Datenschutz-Grundverordnung ab dem 25. Mai 2018 nicht mit Sicherheit gesagt werden. Dies werden die ersten Gerichtsurteile zeigen.

Gibt es Unterschiede bei Webseiten, die sich an Kinder richten?

Was zudem mit Sicherheit Diskussionen aufwerfen wird, sind die Informationspflichten auf Webseiten, die für Kinder „direkt“ gemacht sind. Als Kind gelten Personen, die unter 16 Jahre alt sind (Art. 8 Abs. 1 DSGVO). Hier sieht Art. 8 DSGVO vor, dass bei Angeboten von Diensten der Informationsgesellschaft, die einem Kind direkt gemacht werden, die Einwilligung durch den Träger der elterlichen Verantwortung erteilt wird, bevor die personenbezogenen Daten verarbeitet werden dürfen. Zudem muss der Verantwortliche angemessene Anstrengungen unter Berücksichtigung der verfügbaren Technik unternehmen, um sich zu vergewissern, dass die Einwilligung auch durch den Träger der elterlichen Verantwortung erteilt wurde. Dies wird in der Praxis nur schwierig und kostenintensiv umzusetzen sein. Von daher bleibt die Unklarheit bestehen, wie streng diese Anforderungen genau bewertet werden.

Eine Möglichkeit wäre z. B. die Alterslegitimation durch den Personalausweis der Webseitennutzer, sofern sich die Webseiten direkt an Kinder richten und personenbezogene Daten der Nutzer verarbeitet werden. Zu bedenken ist hier, dass auch IP-Adressen, die z. B. von Cookies gespeichert werden, zu den personenbezogenen Daten zählen. Die Legitimationsdaten bzw. die Fotos/Scans des Ausweises der Nutzer, müssen bei Übersendung von der Webseite ausreichend geschützt sein sowie von den Webseitenbetreibern sicher gespeichert und verwahrt werden. Daher sind auch hier einige Sicherheitsfaktoren zu beachten. Trotzdem hätten wir hiermit einen Ansatz zur Umsetzung der in Art. 8 DSGVO vorgeschriebenen Voraussetzungen zur Datenverarbeitung von Kinderdaten bei direkt an Kinder gerichteten Webseiten. Dieses Verfahren ließe sich auch auf jegliche andere Anwendungen, wie z. B. Apps, übertragen.

Welche Anforderungen stellt die Datenschutz-Grundverordnung? – Informationspflichten

Kurz und grob gesagt ist bei einer gewerblichen Webseite zu beachten, dass wir ein Impressum und eine Datenschutzerklärung haben, mit dessen Hilfe wir darüber informieren, wer personenbezogene Daten vom Nutzer verarbeitet, wie und warum diese Daten verarbeitet werden und um welche personenbezogene Daten es sich handelt. Außerdem ist auf einige Betroffenenrechte hinzuweisen.

Nun werden wir uns diese Informationspflichten genauer ansehen. In Artikel 13 der Datenschutz-Grundverordnung ist festgelegt, worüber ein Verantwortlicher den betroffenen Nutzer bei Erhebung der personenbezogenen Daten unterrichten muss. Hierzu gehören

  • Name und Kontaktdaten des Verantwortlichen (Verantwortlicher eines Unternehmens ist der Geschäftsführer) sowie ggf. seines Vertreters,
  • die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke sowie die Rechtsgrundlage der Verarbeitung der personenbezogenen Daten,
  • die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
  • Hinweis auf Verarbeitung aus Gründen des berechtigten Interesses (Art. 6 Abs. 1 f DSGVO), wenn dies der Fall ist,
  • die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Art. 46 oder Art. 47 oder Art. 49 Abs. 1 Unterabs. 2 DSGVO einen Verweis auf die geeigneten Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind. (Dieser Punkt wird gleich noch erläutert.)

All die Informationen sind für jede Datenverarbeitung von personenbezogenen Daten über ihre Webseite anzugeben. Daten werden z. B. verarbeitet bei Verwendung von Cookies bzw. Analysetools, in Kontaktformularen oder bei Vorhandensein von Social-Media-Icons.

Übermittlung von personenbezogenen Daten an Drittländer

Bei Übermittlung der personenbezogenen Daten an Drittländer, worunter Länder außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) fallen, besteht die Möglichkeit, dass die EU-Kommission in solchen Ländern oder Gebieten bzw. spezifischen Sektoren dieser Länder, ein angemessenes Datenschutzniveau mit Hilfe eines Angemessenheitsbeschlusses feststellt. Wird solch ein Angemessenheitsbeschluss veröffentlicht, so gilt dort, wie auch innerhalb der EU und des EWR zur Datenübermittlung einzig die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DSGVO. Bei Datenübermittlung in andere Länder gibt es weitere Möglichkeiten zur Rechtmäßigkeit der Verarbeitung und Übermittlung der personenbezogenen Daten (Art. 46, 47, 49 DSGVO), auf die wir hier nicht detailliert eingehen möchten, da sie sehr speziell sind. Es lohnt sich jedoch zu betrachten, dass in Art. 46 Abs. 2 DSGVO von erlaubter Datenübermittlung die Rede ist, sofern „geeignete Garantien“ existieren. Diese können u. a. aus von der EU-Kommission erlassenen Standarddatenschutzklauseln bestehen. Es gibt aktuell sogenannte EU-Standardvertragsklauseln, die zusätzlich zu einem Auftragsverarbeitungsvertrag geschlossen werden können und somit die Datenübermittlung an Auftragsverarbeiter in Drittländern rechtmäßig macht. Solange es nicht von der Kommission verboten wird, sollte es erlaubt sein die EU-Standardvertragsklauseln als Standarddatenschutzklauseln fort zu verwenden.

Wichtig jedoch ist, dass diese Verträge nicht die Zulässigkeit der Verarbeitung im Allgemeinen erlauben. Es wird einzig ein angemessenes Datenschutzniveau hergestellt. Trotzdem muss wie bei jeder Verarbeitung von personenbezogenen Daten geprüft werden, ob die Datenverarbeitung generell zulässig ist.

Wir empfehlen Ihnen, darauf zu achten, dass möglichst alle Ihrer personenbezogenen Daten innerhalb von Deutschland oder wenigstens der EU bzw. EWR bleiben. Sobald die Daten in Drittländer übermittelt werden, wird es kompliziert und schwierig die Verarbeitung bzw. Übermittlung der Daten zu rechtfertigen. Achten Sie z. B. genau darauf, an welchen Standorten sich die Server befinden, auf denen Ihre Daten bei externen Bereitstellern gespeichert werden. Ein häufiges Problem besteht darin, dass sich diese Standorte in Drittländern (oft den USA) befinden.

Welche Anforderungen stellt die Datenschutz-Grundverordnung? – Mitteilungspflichten

Zudem ist der Verantwortliche gemäß Art. 12 Abs. 1 DSGVO dazu angewiesen, dem Nutzer die Betroffenenrechte (Art. 15 – 22 DSGVO), welche sich auf die Verarbeitung der personenbezogenen Daten beziehen, mitzuteilen. Hierzu gehören

  • Auskunftsrecht (Art. 15 DSGVO),
  • Recht auf Berichtigung (Art. 16 DSGVO),
  • Recht auf Löschung bzw. „Recht auf Vergessenwerden“ (Art. 17 DSGVO),
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Mitteilungspflicht bzgl. Berichtigung oder Löschung (Art. 19 DSGVO),
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) und
  • Widerspruchsrecht (Art. 21 DSGVO).

Fazit

All diese Informationspflichten bei der Verarbeitung von personenbezogenen Daten sowie Mitteilungspflichten der auf die Verarbeitung bezogenen Betroffenenrechte sind  gemäß DSGVO ab dem 25. Mai 2018 auf Ihrer gewerblichen Webseite anzugeben. Dies stellt die Webseitenbetreiber vor komplexe Herausforderungen. Vor allem auf die Übermittlung von personenbezogenen Daten in Drittländer sollte genauestens geachtet und diese wenn möglich vermieden werden. Für viele ist es nahezu unmöglich, diese enorme Menge an Informationen, welche zudem in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst werden müssen, ohne professionelle Hilfe datenschutzkonform zu gestalten. Die Vorgaben der Datenschutz-Grundverordnung (DSGVO) sollten jedoch nicht auf die leichte Schulter genommen werden. Bei Verstößen drohen abschreckende Bußgelder bis zu einer Höhe von 20.000.000 € oder 4 % des weltweiten Jahresumsatzes eines Unternehmens.

Benötigen Sie Hilfe bei der datenschutzkonformen Umstellung Ihrer Webseite bzw. bei Erfüllung der Anforderungen der Datenschutz-Grundverordnung?

Wir beraten Sie gern!

Rufen Sie uns an oder kontaktieren uns über das Kontaktformular, um einen ersten Kennenlern- und Beratungstermin zu vereinbaren.
Gern können Sie auch über die sozialen Netzwerke oder per E-Mail mit uns Kontakt aufnehmen.

Ihr Name

Ihre E-Mail-Adresse (Pflichtfeld)

Betreff

Ihre Nachricht

Von |2018-03-17T10:32:33+00:00März 14th, 2018|Allgemein|0 Kommentare

Hinterlassen Sie einen Kommentar