Schriftgröße:
Farbkontrast:

Information für Webseitenbetreiber mit Sitz in Niedersachsen

Anbieter von Telemedien, also Webseitenbetreiber, sind verantwortlich für die ihnen anvertrauten personenbezogenen Daten. Dieser Verantwortung unterliegen nicht nur gewerbliche, sondern gleichermaßen auch private Angebote. Bei der Prüfung von Verstößen gegen datenschutzrechtliche Vorschriften in Telemedien wurden in der Vergangenheit bedenkliche Defizite bei Telemedien-Anbietern bezüglich der Kenntnis der Rechte und Pflichten, die sich aus dem Umgang mit personenbezogenen Daten ergeben, festgestellt. Ebenso fehlte es regelmäßig an der Fachkunde, Telemedien im Sinne der Informationssicherheit sicher zu gestalten: So wird oft angenommen, dass eine Software „von Haus aus" nicht nur sicher, sondern auch datenschutzrechtlich unbedenklich sei, wenn sie nur häufig genug im Internet verwendet wird. Auch die Pflege und Aktualisierung der eingesetzten Software wird oft vernachlässigt. Werden externe Dienstleister mit der Verarbeitung von personenbeziehbaren Daten beauftragt, so sind zwingend vorher Verträge zur Auftragsdatenverarbeitung abzuschließen und entsprechende technisch-organisatorische Weisungen an den Dienstleister zu erlassen.

Datenschutzrechtliche Probleme bei der Verwendung von fremden Webdiensten auf der eigenen Webseite

Dass auch die Einbindung von Werbung, Reichweitenanalyse, Webdiensten oder Social-Plugins auf der eigenen Webseite datenschutzwidrig oder sogar bußgeldbewehrt sein kann, wissen die wenigsten. Dies gilt insbesondere für Webseitenbetreiber, die ohne konkrete Einwilligung des Telemedien-Nutzers dessen personenbezogene Daten wie z. B. die IP-Adresse über Dienste wie DoubleClick, Google AdSense oder den Facebook Like-It-Button in die USA übermitteln. Für den Dienst Google Analytics wurde eine datenschutzkonforme Lösung durch den Anbieter umgesetzt.

Alleine die Verwendung eines Facebook Like-It Button auf der eigenen Webseite kann folgende Verstöße beinhalten: Unzulässige Datenübermittlung in Staaten außerhalb des Europäischen Wirtschaftsraumes, Missachtung der e-Privacy Richtlinie, Verstoß gegen das Trennungsgebot gemäß § 15 Abs. 3 S. 3 TMG, Unterlassung der Informationspflichten nach § 13 Abs. 1 TMG, ungenügende technisch-organisatorische Maßnahmen gemäß § 13 Abs 4 Nr. 2, 3 und Nichtanzeige der Weiterleitung nach § 6 TMG, § 13 Abs 5 TMG.

Schutzniveau personenbezogener Daten in den USA

Insbesondere bezüglich der häufig von deutschen Webseitenbetreibern in Anspruch genommenen Dienstleistungen US-amerikanischer Unternehmen ist darauf hinzuweisen, dass in den USA keine allgemeine und unabhängige Aufsichtsbehörde für den Datenschutz existiert und es keine dem europäischen Recht vergleichbaren Betroffenenrechte gibt.

Die Selbstzertifizierung von US-Unternehmen zu Safe Harbor allein genügt in keinem Fall, um ein den EU-Standards entsprechendes Datenschutzniveau zu erreichen. Die Federal Trade Commission (FTC) schreitet nämlich nur dann ein, wenn ein Unternehmen seine selbst gesetzten Datenschutzrichtlinien nicht einhält.

Zudem unterliegen US-Unternehmen dem „Patriot Act". Sie und ihre europäischen Niederlassungen müssen es bei Terrorismusverdacht dulden, dass US-Behörden direkt, auch auf in der EU gespeicherte Daten, zugreifen können. Diese Praxis verstößt gegen europäisches Datenschutzrecht.

Gefahren

Die Pressemeldungen der jüngsten Zeit zeichnen ein klares Bild davon, in welchem Umfang personenbezogene Daten in den Fokus Krimineller geraten sind. Konto- und Kreditkartendaten machen z. B. die Datenbanken von Onlineshops für sie interessant. Aber auch der Handel mit Adressdaten blüht, die durch kriminelles Handeln oder schlicht durch Nachlässigkeit beim Umgang mit Nutzerdaten erlangt worden sind.

Sind personenbezogene Daten erst einmal im Umlauf, so gibt es für den Betroffenen meist keine Möglichkeit die Weiterverbreitung zu kontrollieren oder gar zu unterbinden.

Lösungsansätze

Es ist das Ziel des Datenschutzes, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinen Persönlichkeitsrechten beeinträchtigt wird. Es ist nicht Ziel des Datenschutzes, Werbung, Reichweitenanalyse oder Social-Plugins generell zu verbieten. Es muss Webseitenbetreibern klar sein, dass nicht alles, was technisch möglich ist, auch rechtlich zulässig ist. Hier gilt der Grundsatz der Datensparsamkeit. Nur die für die Nutzung des Telemediums unbedingt notwendigen Daten dürfen überhaupt verarbeitet werden.

Für viele Anwendungsfälle gibt es datenschutzrechtlich unbedenkliche Lösungen. Die Tatsache, dass einzelne oder gar die Mehrzahl von Anbietern sich nicht an die hier gültigen datenschutzrechtlichen Regelungen hält, entbindet den Webseitenbetreiber nicht von seiner eigenen Verantwortung. Das Beispiel von Google Analytics zeigt, dass auch Global Player bereit sind, ihre Produkte für ihre Kunden an europäische und deutsche Rechtsnormen anzupassen.

Hier ist insbesondere der verantwortliche Webseitenbetreiber gefragt und nach § 11 BDSG verpflichtet, für seine Webseite nicht den günstigsten oder bequemsten Weg zu gehen, sondern seine Dienstleister, Hoster und Provider unter besonderer Berücksichtigung der Eignung der von ihm zu treffenden technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Schützen Sie sich vor rechtlichen Konsequenzen und die personenbezogenen Daten Ihrer Nutzer vor Missbrauch.

Eine Orientierungshilfe für Anbieter von Telemedien finden Sie hier.



Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511 120-4500
Fax 0511 120-4599
E-Mail an Ansprechpartner schreiben
Vorsicht bei Social-Plugins

Übersicht