EU-Grundverordnung: Websitebetreiber aufgepasst!

internet 08
Fachbeitrag

Dieser Beitrag gibt Websitebetreibern einen Überblick über die Auswirkungen der kommenden EU-Grundverordnung auf die Anforderungen an Website-Compliance. Zum einen bleiben viele gesetzliche Pflichten erstmal bestehen, zum anderen sollten die Datenschutzerklärungen aber auf die Vorgaben der EU-DSGVO abgestimmt werden. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Wo finden sich momentan gesetzliche Vorgaben zur Website-Compliance?

Regelungen zur Website-Compliance finden sich u.a. in den §§ 11 ff. Telemediengesetz (TMG), insbesondere in § 13 TMG, der die Pflichten des Diensteanbieters vorgibt.

I. TMG vs. EU-DSGVO

In welchem Verhältnis stehen die §§ 11 ff. TMG zur EU-DSGVO?

Da die EU-DSGVO als europäische Verordnung direkt in den Mitgliedstaaten anwendbar sein wird, geht sie als europäisches Recht den nationalen Regelungen vor, genießt dementsprechend Anwendungsvorrang.

Was fällt durch das In-Kraft-Treten der EU-Grundverordnung dann weg?

Aufgrund der Vereinheitlichung des europäischen Datenschutzrechts werden die §§ 11 ff. TMG – die aktuell noch die Pflichten des Diensteanbieters regeln – aller Voraussicht nach durch allgemeine, sich nicht explizit an Telemedien orientierende, Normen der EU-DSGVO verdrängt.

Was tritt konkret an die Stelle der TMG-Normen?

Aktuell spricht viel dafür, dass die Art. 12 bis 14 EU-DSGVO an die Stelle der §§ 11 ff. TMG treten. Allerdings sind diese sehr abstrakt gehalten und nicht ausschließlich für den Umgang mit Telemedien konzipiert worden.

Bietet die EU-DSGVO Sondertatbestände zu Themen wie Websites, Big Data, Social Media oder Cookies?

Nein, die EU-DSGVO nimmt in diesem sensiblen Bereich Rückgriff auf die abstrakten Erlaubnistatbestände der Datenschutzrichtlinie 95/46/EG. Einzelne Artikel, die sich explizit auf derartige Einzelthemen der digitalen Welt beziehen, finden sich in der EU-DSGVO grundsätzlich nicht. Die für Websitebetreiber wichtigsten allgemeinen Rechtfertigungen einer Datenverarbeitung sind nach Art. 6 I EU-DSGVO weiterhin

  • das Vorliegen einer Einwilligung des Betroffenen
  • die Notwendigkeit der Datenverarbeitung für die Durchführung eines Vertrags und
  • das legitime Interesse des Datenverarbeiters, sofern nicht die Rechte des Betroffenen überwiegen.

Was bedeutet das konkret für die Zulässigkeit von Social Media Projekten oder Websiteoptimierungssoftware?

Grundsätzlich wird das legitime Interesse des Verarbeiters unter der EU-DSGVO nicht anders bestimmt und abgewogen werden, als es unter dem Rechtsrahmen der Datenschutzrichtlinie 95/46/EG und deren nationalen Umsetzungen der Fall ist. Demzufolge bleiben die hierzu entwickelten dezidierten Abwägungsmaßstäbe und Differenzierungen der Interessen des Verarbeiters und des Betroffenen weitestgehend bestehen.

Welchen Vorteil bringt die EU-DSGVO dann im Bereich Telemedien?

Nach deutscher Rechtslage ist die Unterscheidung zwischen Inhalts-, Nutzungs- und Bestandsdaten nicht immer leicht zu treffen. Die Differenzierung ist (noch) notwendig, um das anwendbare Gesetz, TMG oder BDSG, und dessen Rechtsfolgen zu bestimmen. Diese schwierige Abgrenzung fällt in Zukunft weg, was zu einer begrüßenswerten Steigerung der Rechtssicherheit im Sektor Telemedien führen wird.

Welche Anforderungen stellt § 13 TMG aktuell an Websitebetreiber?

Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG […] in allgemein verständlicher Form zu unterrichten.

Welche Anforderungen wird Art. 12 EU-DSGVO an Websitebetreiber stellen?

Der für die Verarbeitung Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […] die sich auf die Verarbeitung personenbezogener Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Wo liegt denn der Unterschied?

Die EU-DSGVO legt vor allem mehr Wert auf eine präzise, transparente, verständliche, klare und einfache Sprache.

Gibt es Unterschiede bei Websites, die sich hauptsächlich an Kinder richten?

Ja, wenn sich die Verarbeitung an Kinder richtet, sollten aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer kindgerechten Sprache erfolgen. In Bezug auf Dienste der Informationsgesellschaft, die Kindern direkt angeboten werden, ist in der Verordnung festgelegt, dass die Person, die die elterliche Verantwortung für ein Kind trägt, der Verarbeitung der personenbezogenen Daten eines Kindes zustimmen muss.

Wo ist die Altersgrenze für die Zustimmung bei Kindern geregelt?

Nach Art. 8 EU-DSGVO legen die Mitgliedstaaten die Altersgrenze im Bereich von 13 bis 16 Jahren selbst fest.

Ist die Zustimmung desjenigen, der die elterliche Verantwortung trägt, immer notwendig?

Nein, die Zustimmung ist nicht erforderlich, wenn einem Kind Präventions- oder Beratungsdienste angeboten werden, wie z. B. bei psychischen Belastungen oder familiären Problemen des Kindes. In diesen Fällen muss keine Zustimmung eingeholt werden, das Kind kann diese Dienste grundsätzlich ohne Kenntnis desjenigen nutzen, der die elterliche Verantwortung trägt.

Wie wird das Erfordernis der Zustimmung praktisch umgesetzt werden?

Um die Umsetzung der Vorschrift zu kontrollieren ist eigentlich eine Altersverifikation im Internet notwendig. Zudem müssen Eltern, als auch Kind eindeutig identifizierbar sein. Wie so oft ist die grundsätzliche Intention der Regelung erfreulich, allerdings wird eine sinnvolle Anwendung zu enormen praktischen Problemen führen.

II. Datenschutzerklärung

Bleiben die aktuellen Vorgaben zur Datenschutzerklärung bestehen?

Ja. Insofern ist weiterhin besonderer Wert auf datenschutzkonforme Erklärungen zu

  • Facebook „Like“-Buttons oder ähnlicher Social-Plugins anderer Anbieter (Twitter, LinkedIn etc.),
  • Webformulare (Kontaktformulare, Newsletter etc.),
  • Cookies (Informationen zu Zweck, Empfänger der Daten etc.)
  • Analyse-Tools (wie Piwik oder etracker) und
  • Tageting- bzw. Audience Optimisation Tools (z. B. AddThis)

zu legen. In diesem Bereich ist – auch aufgrund einiger aktueller Gerichtsentscheidungen – weiterhin noch viel im Fluss. Festzustellen ist aber, dass die gesetzlichen (teilweise recht abstrakten) Regelungen nicht mit der technischen Entwicklung und den sich daraus ergebenden Möglichkeiten Schritt halten können. Dieses grundsätzliche Problem zwischen Recht und Technik kann auch die EU-DSGVO nicht lösen.

Welche Auswirkungen hat die EU-DSGVO auf die Datenschutzerklärung meiner Website?

Die Auswirkungen sind noch nicht abzuschätzen. Allerdings wird die Datenschutzerklärung eher länger, als kürzer werden. Insbesondere die konträren Anforderungen der präzisen und transparenten Information des Betroffenen werden mit der geforderten verständlichen, klaren und einfachen Sprache kollidieren. Um diese Pflichten in Einklang zu bringen, wird ein gewisses Fingerspitzengefühl in den Formulierungen und dem Aufbau notwendig sein.

III. Umsetzung des Rechts auf Vergessenwerden

Wie sind Unternehmen daran beteiligt?

Die Unternehmen, also auch die Websitebetreiber, sollen bei der Durchsetzung des Rechts auf Vergessenwerden helfen. Wenn sie Daten an Dritte weitergegeben oder veröffentlich haben, müssen sie die Löschungsanfrage weitergeben oder wenn sie es ohne Zustimmung des Betroffenen getan haben, sogar die Löschung für den Betroffenen durchsetzen.

Was ist Websitebetreibern nun zu raten?

Alle Websitebetreiber sollten unbedingt die weiteren Entwicklungen und Gerichtsentscheidungen zum Thema Website-Compliance verfolgen. Für die konkrete Ausgestaltung der Datenschutzerklärung ist eine kompetente Beratung nahezu unumgänglich. Ansonsten begibt man sich nur zu leicht in die Gefahr von unangenehmen Maßnahmen der Aufsichtsbehörden, Abmahnungen durch Wettbewerber oder durch Verbraucherschutzverbände.

Wir weisen darauf hin, dass eine finale Endversion der Grundverordnung bislang nicht veröffentlicht wurde und sich deshalb auch noch Änderungen an dem hier zitierten Gesetzestext ergeben können. Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.