Das neue Datenschutzrecht für Websitebetreiber
Gute Seiten, schlechte Seiten
Die Datenschutz-Grundverordnung stellt Unternehmen vor große Herausforderungen. Bis Mai 2018 müssen auch Websitebetreiber ihr Angebot an das neue Recht angepasst haben.
Das Thema Compliance hat in den vergangenen Jahren in Unternehmen an Bedeutung gewonnen. Dabei rückt neben den typischen Rechtsgebieten der Compliance wie Kartell-, Arbeits- und Steuerrecht auch immer mehr der Datenschutz in den Fokus. Daran dürften nicht zuletzt die verschärften Sanktionsmöglichkeiten der bereits in Kraft getretenen und ab dem 25. Mai 2018 unmittelbar anzuwendenden Datenschutz-Grundverordnung (DSGVO) schuld sein. Bei Bußgeldern in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes gilt nämlich: Es ist lohnender, die Regeln zu befolgen, als sie zu missachten.
Für die allgemeine Regelkonformität unerlässlich ist daher die Anpassung der Website an die neuen Datenschutzbestimmungen. Dabei sollte man auch die aktuellen Entwicklungen rund um die kommende E-Privacy-Verordnung im Blick behalten, deren Entwurf im Oktober 2017 vom EU-Parlament bereits verabschiedet wurde. Die darin enthaltenen Regeln werden das neue Datenschutzrecht vordergründig im Bereich der elektronischen Kommunikation ergänzen und so auch für Websitebetreiber äußerst relevant sein. Eigentlich sollte diese Verordnung zeitgleich mit der DSGVO in Kraft treten. Da die Trilog-Verhandlungen zwischen EU-Kommission, -Parlament und -Rat jedoch noch bevorstehen, wird dieser ambitionierte Zeitplan kaum umsetzbar sein.
Egal ob einfache Informationsseite, Onlineshop oder Internetforum – ohne Verarbeitung personenbezogener Daten, also Informationen jeglicher Art, die sich auf eine zumindest theoretisch identifizierbare Person beziehen, lässt sich keine dieser Seiten betreiben. Auch wer sich bislang in Bezug auf Datenvermeidung und Datensparsamkeit allergrößte Mühe gegeben hat, wird um die Anwendung der DSGVO nicht herumkommen. Der Bundesgerichtshof (BGH) hatte im Mai 2017 entschieden, dass es sich selbst bei dynamischen IP-Adressen um personenbezogene Daten handelt.
Schon Webseitenaufruf datenschutzrelevant
Diese Rechtsposition wird sich auch durch die DSGVO nicht ändern, denn deren Erwägungsgrund 30 stellt klar, dass IP-Adressen als „Online-Kennungen“ und damit als personenbezogene Daten zu betrachten sind. Da selbst bei einem reinen Lesezugriff auf eine Homepage automatisch die IP-Adresse übermittelt wird, fällt allein deswegen das Bereitstellen einer Webseite in den Geltungsbereich der DSGVO. Ausgenommen hiervon sind Webangebote, die ausschließlich familiären oder persönlichen Zwecken dienen, zum Beispiel ein Archiv von Bildern der eigenen Katzen für Freunde und Verwandte. Die Betreiber aller übrigen Websites müssen sich an die Vorgaben der DSGVO halten.
An den Datenschutz sollte man bereits bei der Auswahl des Webhosting-Anbieters denken. Denn es stellt sich die Frage, auf welcher Rechtsgrundlage man als Betreiber einer Website überhaupt personenbezogene Daten auf den Servern eines anderen Unternehmens speichern darf. Mangels einer Einwilligung der Nutzer wird daher regelmäßig die Vereinbarung einer sogenannten Auftragsverarbeitung (vormals Auftagsdatenverarbeitung) nach Art. 28 ff. DSGVO notwendig sein. Hierbei erfolgt das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch den Auftragsverarbeiter (Webhoster) gemäß den Weisungen des für die Verarbeitung Verantwortlichen (Websitebetreiber). Dadurch ist der Webhoster nicht mehr als außenstehender Dritter anzusehen, sondern wird in den Verantwortungsbereich des Websitebetreibers integriert.
Im Vergleich zur aktuellen Rechtslage nach Bundesdatenschutzgesetz (BDSG) bezieht die DSGVO den Auftragsverarbeiter weitaus stärker in die Einhaltung datenschutzrechtlicher Vorschriften ein. Auch die Haftung wurde verschärft. Zukünftig haften unter Umständen Websitebetreiber und Webhoster gegenüber den Betroffenen gemeinsam für Schäden, das heißt: Obwohl der Endkunde kein Vertragsverhältnis mit dem Webhoster hat, kann er diesen für Datenschutzverstöße belangen.