Online-Recht

Datenschutzrecht für Webseitenbetreiber

Bis vor wenigen Jahren fristete das Datenschutzrecht noch ein recht unbeachtetes Mauerblümchendasein. Inzwischen hat es sich zur Pflichtlektüre für Betreiber von Websites entwickelt.

Datenschutz auf Webseiten

© Jürgen Fälchle - Fotolia.com

Datenschutz auf Webseiten

Geht es um Datenschutz, schafft es die Rechtswissenschaft kaum, mit den regelmäßigen Veränderungen und Entwicklungen Schritt zu halten. In einem derart dynamischen Umfeld bildet die derzeit bestehende Gesetzgebung kaum noch eine ausreichende Grundlage für die Bewertung der technischen Möglichkeiten des modernen Alltags.

Smartphone, Cloud Computing, Home Office - allesamt Begriffe, die sich so nicht im Bundesdatenschutzgesetz (BDSG) finden.Und dennoch müssen Juristen und Datenschutzbeauftragte anhand der existierenden Gesetze und der Rechtsprechung tagtäglich Lösungen finden.

Autor: Michael Rohrlich - Rechtanwalt

© Michael Rohrlich

Der Autor Michael Rohrlich ist Rechtsanwalt und unter anderem auf das Recht der neuen Medien spezialisiert.

Dabei gilt es den Spagat zu schaffen zwischen möglichst hohem Datenschutzniveau und praktikabler Umsetzung für effiziente Arbeitsabläufe. Insbesondere beim Betrieb von Internetseiten stellt dies die Datenschutzbeauftragten mit schöner Regelmäßigkeit vor neue Herausforderungen.

Analysesoftware

Ein gutes Beispiel dafür ist der Einsatz von bestimmter Software zur Analyse der Besucherdaten einer Website. Zu den populärsten Vertretern zählen Google Analytics oder Adobe Analytics (Omniture).

Um das Problem beim Einsatz solcher Tools zu illustrieren, muss ein wenig weiter ausgeholt werden. ausgeholt werden. Dazu muss man nämlich erst verstehen, dass sich das Datenschutzrecht um den Schutz personenbezogener Daten dreht.

Es geht damit im Kern "nur" um die Daten natürlicher und nicht um die juristischer Personen - also Unternehmen. Der Mensch, dessen persönliche Daten erfasst werden, wird als "Betroffener" bezeichnet. § 3 Abs. 1 BDSG besagt Folgendes:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

§ 3 Abs. 1 BDSG

Zu den personenbezogenen Daten zählen also unter anderen:

  • persönliche Daten (Name, Anschrift, Kontaktdaten ...)
  • Finanzdaten (Bankverbindung, Gehaltsabrechnung ...)
  • biometrische Daten(Fingerabdruck, DNA ...)
  • Fotos (Darstellung einer Person)
  • IP-Adresse (nach herrschender Meinung)

Darüber hinaus gibt es auch personenbezogene Daten besonderer Art, die § 3 Abs. 9 BDSG wie folgt definiert:

Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

§ 3 Abs. 9 BDSG

Die Erhebung beziehungsweise Verarbeitung personenbezogener Daten ist grundsätzlich unzulässig, es sei denn, es existiert eine gesetzliche Ausnahmevorschrift oder der Betroffene hat vorab zugestimmt.

Anleitung zum Einsatz von Analysesoftware

  • Anonymisierung: die Software bzw. der Server muss so angepasst werden, dass dieIP-Adressen nicht vollständig erfasst und gespeichert werden (bei Google über die"anonymizeIp"-Funktion)
  • Cookies: beim Einsatz von Cookies ist deren Laufzeit auf max. 24 Monate zu begrenzen
  • Datenschutzerklärung: die eigene Datenschutzerklärung muss einen Hinweis auf den Einsatz der Analysesoftware enthalten
  • Widerspruchsrecht: ebenfalls muss der Hinweis auf ein Widerspruchsrecht der Betroffenen bzw. auf die technischen Möglichkeiten zur Deaktivierung der Analysesoftware erfolgen (für Google gibt es ein entsprechendes Browser-Addon unter https://tools.google.com/dlpage/gaoptout?hl=de)
  • Altdaten: sofern bislang Analysedaten nicht nach der oben beschriebenen Methodeerhoben wurde, müssen diese vollständig gelöscht und im Zweifel ein neues Kontobei Google oder Adobe angelegt werden.

Im Zusammenhang mit Analysesoftware ist wichtig zu wissen, dass auch IP-Adressen zum Begriff der personenbezogenen Daten gezählt werden. Das bedeutet, dass vor deren Erhebung stets eine Einwilligung des betroffenen Website-Besuchers notwendig ist.

Dies wiederum ist jedoch kaum sinnvoll umzusetzen.Daher ist der Einsatz von Analysesoftware ohne eine Modifikation dahingehend, dass IPAdressen jedenfalls nicht mehr vollständig erfasst werden, inzwischen tabu.

Im Info- Kasten rechts findet sich eine Anleitung zum rechtskonformen Einsatz der Analysesoftware von Google, Adobe und Co.

Bring Your Own Device (BYOD)

Immer stärker geht der Trend dahin, dass Mitarbeiter kein Diensthandy gestellt bekommen, sondern im Beruf ihr eigenes nutzen. Dabei kommt es nicht selten zur Vermischung von privaten und beruflichen Daten.

Zudem existiert noch lange nicht bei allen Unternehmen ein korrektes Mobile Device Management. In § 9 BDSG sind die technisch-organisatorischen Maßnahmen geregelt, die generell auch in Bezug auf Mobiltelefone zu beachten sind. Im Falle von BYOD sind hier unter anderem zu nennen:

  • Zutrittskontrolle: Es ist gegebenenfalls schon am Werkstor zu prüfen, ob Fremde mit Handy eingelassen werden dürfen oder sie dieses am Eingang abgeben müssen. In Einzelfällen kann auch eine Beschränkung auf die Erlaubnis von Handys ohne Kamera ausreichend sein.
  • Zugangskontrolle: Es ist sicherzustellen, dass Fremde keinen Zugang zum Mitarbeiterhandy haben.
  • Zugriffskontrolle: Es sind unterschiedliche Berechtigungen für den Zugriff auf das Handy einzurichten und zu verwalten, unter anderem für die Rechte zur Installation von Apps.
  • Weitergabekontrolle: Hierunter fallen insbesondere Möglichkeiten zur Fernwartung des Geräts sowie zur Belehrung der Mitarbeiter über die Risiken der Nutzung von Cloud-Diensten.
  • Eingabekontrolle: Es muss sich auch nachträglich prüfen lassen, von wem in welcher Weise auf personenbezogene Daten zugegriffen wurde und ob diese gegebenenfalls verändert wurden.

Unter dem Strich sollte, unabhängig vom Betriebssystem, folgende Checkliste beachtet werden:

  • WLAN: Die WLAN-Funktion sollte nur aktiviert werden, wenn sie tatsächlich auch benötigt wird. Zudem ist sicherzustellen, dass die Zugangspunkte verschlüsselt sind. Öffentliche, unverschlüsselte Drahtlosnetzwerke sind also zu meiden.
  • GPS: Soweit die Funktion nicht benötigt wird, zum Beispiel für die Erfassung der Daten eines Fahrtenbuches oder Ähnliches, sollte sie deaktiviert werden.
  • Cloud: Unsichere Cloud-Dienste, insbesondere solche mit Serverstandorten außerhalb der EU oder in unbekannten Ländern, wie unter anderem Apple iCloud oder Dropbox, sollten für personenbezogene Daten generell nicht genutzt werden.
  • Browser: Im Handy-Browser sind nach Möglichkeit der Verlauf, der Browser- Cache und sonstige nutzungsabhängige Daten regelmäßig zu löschen.
  • Google-Konto: Besteht ein Konto bei Anbietern wie etwa Google, die mehrere Dienste bereitstellen (im Falle von Google etwa Maps, Search, Earth, Docs und so weiter), so sollte ein Einloggen nur dann erfolgen, wenn das Konto genutzt werden soll. Anschließend hat ein Ausloggen zu erfolgen.
  • Tracking: Jegliche Tracking-Funktionen des Geräte- beziehungsweise Betriebssystemherstellers, von Werbekunden oder sonstigen Dritten, sind nach Möglichkeit zu deaktivieren.

Die aufgeführten Punkte sind weder als wertend noch abschließend zu verstehen. Es handelt sich dabei um die in der Praxis wichtigsten Aspekte beim Umgang mit Mobiltelefonen, die sowohl privat als auch beruflich genutzt werden.

Ideal im datenschutzrechtlichen Sinne wäre etwa die Nutzung eines veralteten oder nicht weiter unterstützten Betriebssystems, wie etwa Symbian von Nokia, oder die Verwendung von alten Handys ohne Smartphone- Funktion.

Mehr zum Thema

Kein
Unternehmensrecht

Wer gemobbt wird, muss vor Gericht die entsprechenden Tatsachen darlegen und beweisen, dass er Opfer einer systematischen verletzenden Behandlung…
Wie die meisten deutschen Unternehmen kümmern sich auch Startups zu wenig um den Datenschutz. Aufklärung tut Not.
Ratgeber IT-Recht

Wie die meisten deutschen Unternehmen kümmern sich auch Startups zu wenig um den Datenschutz. Aufklärung tut Not.
Webseiten vor Abmahnungen sichern: Wir haben die wichtigsten Tipps.
Internet Recht

Eine Abmahnung vom Anwalt wegen eines Fehlers auf der eigenen Domain kann teuer werden. Wir erklären Webseiten-Betreibern das Internet-Recht.
Online-Recht: Impressum auf Webseiten
Online-Recht

Die gerichtlichen Entscheidungen der letzten Zeit zum Thema Webimpressum zeigen: Dieses Thema sollte nicht auf die leichte Schulter genommen werden.
Abmahnungen - Staatsanwaltschaft ermittelt
Online-Recht

Die Zahl der Abmahnungen in Filesharing-Fällen hat in den letzten Jahren stark zugenommen. Weil sich inzwischen eine richtige Industrie etabliert…