EU-Datenschutz-Grundverordnung: Neue Pflichten für Website-Betreiber
Dienstag, 13. März 2018

EU-Datenschutz-Grundverordnung: Neue Pflichten für Website-Betreiber

Im ersten Teil unserer Serie zur EU-Datenschutz-Grundverordnung (EU-DS-GVO) sind wir auf allgemeine Anforderungen eingegangen, die für alle Unternehmen zu beachten sind. In diesem Beitrag möchten wir besonders auf die Änderungen eingehen, die sich für Website-Betreiber ergeben.

Datenverarbeitung im Auftrag

Beim Betrieb einer Website fallen typischerweise vielfältige personenbezogene Daten an. Dies fängt mit Einträgen in Gästebüchern oder Kontaktformularen an und hört mit der IP-Adresse, die zwangsläufig bei jedem einzelnen Seitenaufruf übermittelt wird und den Besucher eindeutig identifizieren kann, noch lange nicht auf. Wenn der Betrieb der Website an einen Dienstleister ausgelagert wird, muss daher sichergestellt sein, dass hierfür die Einwilligung der Besucher vorliegt oder aber eine andere Rechtsgrundlage für die Datenverarbeitung mit dem Dienstleister geschaffen wird.

Die Einwilligung von jedem einzelnen Besucher separat einzuholen ist sicherlich äußerst mühsam und daher realistischerweise nur kaum durchführbar. Als praktikablere Lösung bietet sich daher an, die Dienstleister im Rahmen einer sogenannten Auftragsverarbeitung nach Artikel 28 DS-GVO zu regeln. In Artikel 28 DS-GVO ist geregelt, dass der Dienstleister „…hinreichend Garantien dafür bieten [muss], dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und [der] Schutz der Rechte der betroffenen Person gewährleistet [wird]“. Die Auftragsverarbeitung stellt somit sicher, dass der externe Dienstleister rechtlich nicht mehr als außenstehender Dritter gilt, sondern im Einflussbereich und nach Maßgabe des Website-Betreibers handelt.

Dabei stellt sich die Frage, in welchem Maße der Webhoster auf etwaige personenbezogene Daten des Website-Betreibers bzw. seiner Besucher zugreifen kann. Während bei reinem Housing (der Website-Betreiber mietet lediglich Server beim Hoster an) davon auszugehen ist, dass keine Auftragsverarbeitung benötigt wird, kann bei allen anderen Spielarten (Cloud-Hosting, virtuelle Server, Webhosting, …) davon ausgegangen werden, dass eine Erklärung zur Auftragsverarbeitung benötigt wird.

Musterverträge zur Auftragsverarbeitung gemäß EU-DSGVO finden sich bereits an zahlreichen Stellen im Netz. Wir empfehlen die Nutzung der Mustererklärung zur Auftragsverarbeitung, die von der Gesellschaft für Datenschutz und Datensicherheit e.V. hier (PDF-Format) bzw. hier (Word-Format) zur Verfügung gestellt werden.

Während dieses Beispiel in erster Linie auf die Frage des Webhostings abzielt, ist die Frage nach der Verarbeitung von personenbezogenen Daten auch bei allen anderen externen Dienstleistern zu stellen und betrifft somit beispielsweise auch die EU-DSGVO-konforme Nutzung von Google Analytics, auf die wir in einem späteren Beitrag eingehen werden.

Informationspflichten (Datenschutzerklärung)

Bereits jetzt ist die Bereitstellung einer Datenschutzerklärung (alternativ oft „Privacy Policy“ genannt) für Websitebetreiber nach §13 Telemediengesetz (TMG) verpflichtend. Im Rahmen dieser Erklärung sind Websitebesucher darüber aufzuklären, auf welche Weise personenbezogene Daten vom Seitenbetreiber verwendet werden. Artikel 13 der EU-DSGVO erweitert diese Informationspflichten für Seitenbetreiber nun erheblich. Wir wollen daher im Folgenden einige der neuen Informationspflichten aufgreifen und genauer darauf eingehen.

Rechtsgrundlage der Verarbeitung

Eine zentrale Erweiterung findet sich in Artikel 6 der DSGVO. Demnach muss in der Datenschutzerklärung die Rechtsgrundlage für die Verarbeitung genannt werden. Mögliche Verarbeitungsgrundlagen hierfür werden bereits in Art. 6 genannt; mögliche Grundlagen zur Verarbeitung von personenbezogenen Daten können daher sein:

  • Die betroffene Person hat ihre Einwilligung gegeben.
  • Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.
  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betreffenden Person zu schützen.
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Seitenbetreibers oder eines Dritten erforderlich.

Im letzten Fall ist zusätzlich auch das berechtigte Interesse des Seitenbetreibers konkret zu benennen, welches beispielsweise die Betriebssicherheit der Website betreffen kann.

Einwilligung

Sofern der Website-Betreiber die Datenverarbeitung auf eine Einwilligung des Betroffenen stützt (der erste Fall im oberen Absatz), so muss er diesen auch darauf hinweisen, dass diese Einwilligung jederzeit widerrufen werden kann. Diese Belehrung muss so gestaltet sein, dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht verändert wird.

Der Hinweis auf die Einwilligung sollte dabei alle Daten beinhalten, die vom Betreiber erfasst werden. Dies beinhaltet somit neben den reinen Logfiles, in denen typischerweise die IP-Adressen der Besucher erfasst werden, auch weitere Funktionen der Website wie beispielsweise Kommentarfunktionen, Newsletteranmeldungen, die Erstellung von Benutzeraccounts oder auch die Verwendung von Analysetools wie Google Analytics oder Piwik/Matomo. Insbesondere betrifft dies nach Artikel 92 DSGVO auch eine mögliche Nutzung von Profiling-Tools, mit denen Einzelfallentscheidungen automatisiert erfolgen. In diesem Fall müssen Besucher darauf gesondert hingewiesen werden.

Informationen zum Widerspruchsrecht müssen innerhalb der Datenschutzerklärung zusätzlich optisch hervorgehoben werden, beispielsweise durch Fettdruck. Grundsätzlich müssen alle Informationen in der Datenschutzerklärung „leicht zugänglich, verständlich und in klarer und einfacher Sprache“ abgefasst sein und „gegebenenfalls zusätzlich visuelle Elemente“ enthalten.

Speicherdauer

Die Datenschutzerklärung muss angeben, wie lange die personenbezogenen Daten des Betroffenen vom Seitenbetreiber vorgehalten werden.

Sichere Datenübermittlung

Künftig muss sichergestellt sein, dass alle Übermittlungen von personenbezogenen Daten – beispielsweise bei Nutzung eines Kontaktformulars, bei der Registrierung oder beim späteren Login – verschlüsselt erfolgen. Wenngleich diese Anforderung bereits früher bestand (bspw. aus dem IT-Sicherheitsgesetz, das auch für Website-Betreiber gilt), möchten wir an dieser Stelle explizit auf die Nutzung von SSL-Zertifikaten für alle Website-Inhalte hinweisen. Nachdem dies auch von Google für das Ranking der Website berücksichtigt wird, stellt eine fehlende SSL-Verschlüsselung (die am vorangestellten „https://“ in der Adressleiste erkannt werden kann) auch einen gravierenden Wettbewerbsnachteil für Ihre Website dar, der auch mehr und mehr von den Webbrowsern negativ dargestellt wird, der daher unbedingt integraler Bestandteil Ihrer SEO-Kampagne sein sollte!

Gleichzeitig dürfen Website-Betreiber auch nur diejenigen Daten (als Pflichtangaben) anfordern, die für die jeweilige Aufgabe zwingend erforderlich sind. In diesem Zuge sind Pflichtfelder auch als solche kenntlich zu machen, so dass der Nutzer selbst entscheiden kann, ob er zusätzliche Informationen übermitteln möchte, die nicht zwingend für die Ausführung des aktuellen Vorgangs erforderlich sind.

Das Einverständnis des Benutzers ist insbesondere auch vor dem Versand von Newslettern erforderlich. Diese Einverständniserklärung sollte konkret darlegen, welche personenbezogenen Daten durch wen und zu welchem Zweck erhoben und verarbeitet werden. Um eine erfolgte Einverständniserklärung auch später nachvollziehen und nachweisen zu können, empfiehlt sich die Nutzung von Double-Opt-In-Verfahren.

Prozesse

Bereits jetzt haben Website-Besucher aus dem BDSG resultierende Ansprüche auf bspw. Auskunft oder Löschung. Durch die DSGVO erhalten Website-Nutzer zusätzlich zu den bereits im BDSG geregelten Ansprüchen weitere Rechte. Dies betrifft beispielsweise das in Artikel 17 DSGVO beschriebene „Recht auf Vergessenwerden“. Betreiber von Websites müssen in diesem Fall nicht nur eigene Daten löschen sondern auch Dritte darüber informieren, dass die betreffenden Daten oder Kopien davon zu entfernen sind. Website-Betreiber sollten sich somit gut auf derartige Anfragen vorbereiten. Denn die DSGVO verpflichtet Datenverarbeiter, solche Anfragen "unverzüglich" zu beantworten, laut EU-Kommission grundsätzlich "spätestens innerhalb eines Monats nach Eingang des Antrags".

Ein weiterer neuer Anspruch für Website-Besucher ist das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO). Darin wird betroffenen Personen das Recht eingeräumt, die sie betreffenden personenbezogenen Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ zu erhalten, um damit den Anbieterwechsel zu erleichtern. Website-Betreiber müssen daher sicherstellen, dass sie auf derartige Anfragen vorbereitet sind und dies entweder durch entsprechende Download-Werkzeuge realisieren oder die Daten auf CD bereitstellen.

Verwendung von Cookies

Cookies werden von der DSGVO auch künftig als personenbezogene Daten eingestuft werden: durch einen Cookie kann ein vom Besucher hinterlassenes Identifikationsmerkmal wie bspw. seine IP-Adresse diesem Nutzer zugeordnet werden, wie auch Erwägungsgrund 30 der DSGVO beschreibt:

(30) Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

Cookies fallen somit ausdrücklich in den Geltungsbereich der DSGVO, wodurch grundsätzlich das Verbot mit Erlaubnisvorbehalt gilt. Es muss somit eine explizite Einwilligung des Website-Besuchers vorliegen, der sich mit der Nutzung von Cookies einverstanden erklärt – die bereits bislang praktizierte Praxis der Cookie-Hinweise.

Ein alternativer Ansatz zur Cookie-Nutzung kann auch aus den berechtigten Interessen des Seitenbetreibers (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) abgeleitet werden. Hierbei ist jedoch jeweils im Einzelfall abzuwägen, wie das Interesse des Website-Betreibers zu bewerten ist.

Vor dem Hintergrund der eigentlich für 2018 geplanten e-Privacy-Verordnung stehen hierzu jedoch weitere wichtige Änderungen an. Nach aktueller Schätzung wird diese jedoch erst 2019 kommen. Da zum aktuellen Zeitpunkt der finale Inhalt noch nicht feststeht, raten wir allen Website-Betreibern, nicht auf etwaige Änderungen durch die e-Privacy-Verordnung zu warten, sondern bereits jetzt zu handeln.

Social Media-Buttons

Die sozialen Netzwerke erfahren nach wie vor einen ungebremsten Zulauf. Dies wird zum Teil auch durch die Einbindung in eigene Webseiten befeuert (z.B. Facebook-„Like“- oder „Gefällt mir“-Button). Gleichzeitig führen diese Buttons jedoch zu einem weder vom Besucher noch vom Seitenbetreiber kontrollierbaren Datenfluss mit dem Betreiber des sozialen Netzwerks (bspw. der IP-Adresse des Besuchers). Nicht zuletzt durch das Landgericht Düsseldorf (Urteil vom 09.03.2016, AZ 12 O 151/15) haben Seitenbetreiber, die Social Buttons innerhalb ihrer Website nutzen möchten, daher bereits jetzt eine Aufklärungs- und Einwilligungspflicht gegenüber ihren Besuchern.

Mit Blick auf die Einwilligungsgründe, die die DSGVO vorsieht (siehe hierzu Absatz „Rechtsgrundlage der Verarbeitung“) weiter oben in diesem Text bleibt als Konsequenz nur das Einverständnis des Nutzers, bevor die Datenerhebung zum Einsatz kommen kann und somit das Social Plugin aktiv werden darf. Zu beachten ist, dass der Besucher vor dem Einsatz informiert werden muss, in was er genau einwilligt und wer diese Daten erhebt, speichert und nutzt und aus welchem Grund dies erfolgt. Ferner ist der Besucher über die Widerspruchsmöglichkeit aufzuklären.

Website-Betreiber ist daher zu raten, spätestens jetzt auf den Einsatz von Behelfsmöglichkeiten wie Shariff-Buttons oder 2-Klick-Lösungen umzusteigen.

Fazit

In diesem Beitrag wurden nur die direkt nach außen wirksamen Anforderungen der EU-DSGVO betrachtet, die für Betreiber von Websites zu berücksichtigen sind. Gleichzeitig gibt es noch zahlreiche andere Anforderungen wie bspw. das Verzeichnis an Verarbeitungstätigkeiten, die intern zu berücksichtigen sind und auf die wir in späteren Beiträgen eingehen werden.

Wir raten aufgrund der Komplexität des Themas allen Website-Betreibern, sich möglichst zeitnah mit der Thematik EU-DSGVO auseinanderzusetzen, um etwaige Sanktionen zu verhindern.

Aktuell herrscht in Unternehmen große Unsicherheit, wie die Anforderungen der EU-DSGVO konkret in der eigenen Organisation umzusetzen sind und welche dieser Anforderungen tatsächlich für das eigene Unternehmen relevant sind. Wir als Sysgrade unterstützen Sie gerne bei der Vorbereitung und Umsetzung der Anforderungen der EU-DSGVO und freuen uns auf Ihre Kontaktaufnahme. Gerne unterstützen wir Sie dabei auch bei der Suche nach und Beantragung von etwaigen Fördermöglichkeiten, wie beispielsweise dem Digitalbonus.Bayern.

Dr. Oliver Gmelch

Ihr Ansprechpartner:
Dr. Oliver Gmelch - Informationssicherheit und IT-Security

Kontaktaufnahme »

Weiterführende Informationen

Weitere Beiträge in dieser Kategorie:
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok