Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen

DSGVO: Die Datenschutzgrundverordnung der EU und Ihre Auswirkungen im Internet

14
Die Datenschutzgrundverordnung definiert Regel für den Umfang mit personenbezogenen Daten Bildlizenz: CC0)

Die DSGVO ist eine Verordnung der Europäischen Union, die für alle Mitgliedsstaaten seit dem 25. Mai 2018 gilt. Sie regelt den Umgang mit personenbezogenen Daten.

Die DSGVO ist technologieneutral. Aufgrund der besonderen Gegebenheiten im Internet wurden zusätzliche Regelungen erlassen. Dazu gehört beispielsweise die ePrivacy Richtline. In ihrer zweiten Fassung wurde sie auch als Cookie Richtlinie bezeichnet.

Für das Internet und für Webseiten ist die DSGVO insbesondere deswegen besonders relevant, denn IP-Adressen sind personenbezogene Daten (siehe Urteile von EuGH und BGH).

Somit ist jeder Aufruf einer Webseite ein Vorgang, der unter die Zuständigkeit der DSGVO fällt. Jeder Betreiber einer Webseite hat sich der DSGVO zu unterwerfen. Viele tun dies nur ungerne oder gar nicht, wie man beispielsweise am Einsatz rechtswidriger Consent Tools feststellen kann.

Allerdings ist anzumerken, dass IP-Adressen bereits vor dem Inkrafttreten der DSGVO personenbezogene Daten waren. Das BDSG (Bundesdatenschutzgesetz) wurde einfach nur nicht konsequent angewendet. In diesem Zusammenhang seit erwähnt, dass einige Datenschutz-Aufsichtsbehörden in Deutschland nicht gerade durch übermässige Aktivitäten glänzen (Grüße aus Hessen).

Für Webseiten ergeben sich somit einige Konsequenzen, u.a.:

  • Einholen einer Einwilligung vor Durchführung bestimmter Datenverarbeitungsvorgänge
  • Erklärung der durchgeführten Datenverarbeitungsvorgänge in der Datenschutzerklärung und auf Einwilligungsabfragen
  • Nennung von Betroffenenrechten in der Datenschutzerklärung
  • Nennung einer verantwortlichen Stelle in der Datenschutzerklärung
  • Erreichbarkeit der Datenschutzerklärung von jeder Unterseite aus (mit maximal zwei Klicks)
  • Jederzeitige Kontrolle durch Datenschutz-Aufsichtsbehörden möglich
  • Bei Datenschutzverstößen drohen Bußgelder

Was bedeutet Datenverarbeitung?

Die Antwort gibt Artikel 4 DSGVO. Kurzfassung von mir: Jede Art der Datenbereitstellung gilt als Datenverarbeitung, egal, ob eine letzendliche Verarbeitung tatsächlich stattfindet. Diese Definition ist sinnvoll, weil kein Dritter folgenden Vorgang beweisen kann:

  1. Webseite W stellt einen Link (URL) auf Daten eines Nutzers durch Tracking (Erfassung der URL durch einen Tracker) an Dienstleister D bereit
  2. Dienstleister D fragt die erhaltene URL ab
  3. Dienstleister D wertet die ausgelesneen Inhalte aus

Artikel 4 DSGVO besagt unter Punkt 2:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Art. 4 DSGVO

Wer eine URL durch Tracking an Dritte weitergibt, die einen Link auf Daten eines Dritten darstellt, verarbeitet also diese Daten und verstößt wohl gegen Art. 32 DSGVO – Sicherheit der Verarbeitung, insbesondere hiergegen:

… treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um… die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen

Auszüge aus Art. 32 (1) DSGVO

Die wichtigsten Artikel der DSGVO

Bei meiner Beurteilung von Fragen zum Datenschutz auf Webseiten kommen immer wieder folgende Artikel ins Spiel:

  • Artikel 4 DSGVO: Allgemeine Begriffsbestimmungen, etwa, was personenbezogene Daten sind
  • Artikel 5 DSGVO: Grundsätze der Verarbeitung personenbezogener Daten. Insbesondere ist hier die Datenminimierung zu nennen. In der Praxis bedeutet dies ein Verbot des Einsatzes von Google Schriften, die vom Google Server geladen werden (eine Einwilligung für Schriften einzuholen macht wenig Sinn). Lösung: Schriften lokal einbinden
  • Artikel 6 DSGVO: Rechtsgrundlagen. Insbesondere wichtig: Liegt ein berechtigtes Interesse vor?
  • Artikel 7 DSGVO: Bedingungen für eine Einwilligung durch einen Nutzer
  • Artikel 12 DSGVO: Transparente, einfache und verständliche Information. Viel Erfolg beim Beschreiben der Datenverarbeitungen durch den Google-Konzern. Am besten keine Google Tools einsetzen oder eine allumfassende Beschreibung maximal möglicher Gefahren verwenden
  • Artikel 13 DSGVO: Informationspflichten. Daraus leitet sich auch die Notwendigkeit einer Datenschutzerklärung und die Erklärung der Zwecke von Cookies ab
  • Artikel 15 DSGVO Auskunftsrecht von betroffenen Personen inkl. Beschwerderechts bei einer Aufsichtsbehörde
  • Artikel 26 DSGVO: Gemeinsame Verantwortlichkeit zweier Datenverarbeiter, die zusammen arbeiten
  • Artikel 30 DSGVO: Verzeichnis von Verarbeitungstätigkeiten
  • Artikel 32 DSGVO: Sicherheit der Verarbeitung
  • Artikel 44ff DGSVO: Grundsätze der Datenübermittlung. Vor allem wichtig bei Datentransfers in die USA (Google-Tools usw.)

Ausgesuchte Themen auf Webseiten

Für Webseiten ist vor allem der Einsatz von Diensten, sogenannten Tools, ein datenschutzrechtlich relevanter Vorgang. Hierzu habe ich eine Reihe von Beiträgen verfasst und möchte vor allem folgende empfehlen:

Dieser Beitrag wird in anderen Beiträgen erwähnt

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.