Zum Inhalt springen
Der Guide für ein smartes Leben.
Profil
VG Wort Pixel
Online-Recht

Datenschutzrecht für Webseitenbetreiber

Bis vor wenigen Jahren fristete das Datenschutzrecht noch ein recht unbeachtetes Mauerblümchendasein. Inzwischen hat es sich zur Pflichtlektüre für Betreiber von Websites entwickelt.

Autor: Rechtsanwalt Michael Rohrlich • 23.4.2014 • ca. 5:05 Min

Datenschutz auf Webseiten
Datenschutz auf Webseiten
© Jürgen Fälchle - Fotolia.com

Geht es um Datenschutz, schafft es die Rechtswissenschaft kaum, mit den regelmäßigen Veränderungen und Entwicklungen Schritt zu halten. In einem derart dynamischen Umfeld bildet die derzeit bestehende Gesetzgebung kaum noch eine ausreichende Grundlage für die Bewertung der techn...

Geht es um Datenschutz, schafft es die Rechtswissenschaft kaum, mit den regelmäßigen Veränderungen und Entwicklungen Schritt zu halten. In einem derart dynamischen Umfeld bildet die derzeit bestehende Gesetzgebung kaum noch eine ausreichende Grundlage für die Bewertung der technischen Möglichkeiten des modernen Alltags.

Smartphone, Cloud Computing, Home Office - allesamt Begriffe, die sich so nicht im Bundesdatenschutzgesetz (BDSG) finden.Und dennoch müssen Juristen und Datenschutzbeauftragte anhand der existierenden Gesetze und der Rechtsprechung tagtäglich Lösungen finden.

Autor: Michael Rohrlich - Rechtanwalt
Der Autor Michael Rohrlich ist Rechtsanwalt und unter anderem auf das Recht der neuen Medien spezialisiert.
© Michael Rohrlich

Dabei gilt es den Spagat zu schaffen zwischen möglichst hohem Datenschutzniveau und praktikabler Umsetzung für effiziente Arbeitsabläufe. Insbesondere beim Betrieb von Internetseiten stellt dies die Datenschutzbeauftragten mit schöner Regelmäßigkeit vor neue Herausforderungen.

Analysesoftware

Ein gutes Beispiel dafür ist der Einsatz von bestimmter Software zur Analyse der Besucherdaten einer Website. Zu den populärsten Vertretern zählen Google Analytics oder Adobe Analytics (Omniture).

Um das Problem beim Einsatz solcher Tools zu illustrieren, muss ein wenig weiter ausgeholt werden. ausgeholt werden. Dazu muss man nämlich erst verstehen, dass sich das Datenschutzrecht um den Schutz personenbezogener Daten dreht.

Es geht damit im Kern "nur" um die Daten natürlicher und nicht um die juristischer Personen - also Unternehmen. Der Mensch, dessen persönliche Daten erfasst werden, wird als "Betroffener" bezeichnet. § 3 Abs. 1 BDSG besagt Folgendes:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

§ 3 Abs. 1 BDSG

Zu den personenbezogenen Daten zählen also unter anderen:

  • persönliche Daten (Name, Anschrift, Kontaktdaten ...)
  • Finanzdaten (Bankverbindung, Gehaltsabrechnung ...)
  • biometrische Daten(Fingerabdruck, DNA ...)
  • Fotos (Darstellung einer Person)
  • IP-Adresse (nach herrschender Meinung)

Darüber hinaus gibt es auch personenbezogene Daten besonderer Art, die § 3 Abs. 9 BDSG wie folgt definiert:

Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

§ 3 Abs. 9 BDSG

Die Erhebung beziehungsweise Verarbeitung personenbezogener Daten ist grundsätzlich unzulässig, es sei denn, es existiert eine gesetzliche Ausnahmevorschrift oder der Betroffene hat vorab zugestimmt.

Anleitung zum Einsatz von Analysesoftware

  • Anonymisierung: die Software bzw. der Server muss so angepasst werden, dass dieIP-Adressen nicht vollständig erfasst und gespeichert werden (bei Google über die"anonymizeIp"-Funktion)
  • Cookies: beim Einsatz von Cookies ist deren Laufzeit auf max. 24 Monate zu begrenzen
  • Datenschutzerklärung: die eigene Datenschutzerklärung muss einen Hinweis auf den Einsatz der Analysesoftware enthalten
  • Widerspruchsrecht: ebenfalls muss der Hinweis auf ein Widerspruchsrecht der Betroffenen bzw. auf die technischen Möglichkeiten zur Deaktivierung der Analysesoftware erfolgen (für Google gibt es ein entsprechendes Browser-Addon unter https://tools.google.com/dlpage/gaoptout?hl=de)
  • Altdaten: sofern bislang Analysedaten nicht nach der oben beschriebenen Methodeerhoben wurde, müssen diese vollständig gelöscht und im Zweifel ein neues Kontobei Google oder Adobe angelegt werden.

Im Zusammenhang mit Analysesoftware ist wichtig zu wissen, dass auch IP-Adressen zum Begriff der personenbezogenen Daten gezählt werden. Das bedeutet, dass vor deren Erhebung stets eine Einwilligung des betroffenen Website-Besuchers notwendig ist.

Dies wiederum ist jedoch kaum sinnvoll umzusetzen.Daher ist der Einsatz von Analysesoftware ohne eine Modifikation dahingehend, dass IPAdressen jedenfalls nicht mehr vollständig erfasst werden, inzwischen tabu.

Im Info- Kasten rechts findet sich eine Anleitung zum rechtskonformen Einsatz der Analysesoftware von Google, Adobe und Co.

Bring Your Own Device (BYOD)

Immer stärker geht der Trend dahin, dass Mitarbeiter kein Diensthandy gestellt bekommen, sondern im Beruf ihr eigenes nutzen. Dabei kommt es nicht selten zur Vermischung von privaten und beruflichen Daten.

Zudem existiert noch lange nicht bei allen Unternehmen ein korrektes Mobile Device Management. In § 9 BDSG sind die technisch-organisatorischen Maßnahmen geregelt, die generell auch in Bezug auf Mobiltelefone zu beachten sind. Im Falle von BYOD sind hier unter anderem zu nennen:

  • Zutrittskontrolle: Es ist gegebenenfalls schon am Werkstor zu prüfen, ob Fremde mit Handy eingelassen werden dürfen oder sie dieses am Eingang abgeben müssen. In Einzelfällen kann auch eine Beschränkung auf die Erlaubnis von Handys ohne Kamera ausreichend sein.
  • Zugangskontrolle: Es ist sicherzustellen, dass Fremde keinen Zugang zum Mitarbeiterhandy haben.
  • Zugriffskontrolle: Es sind unterschiedliche Berechtigungen für den Zugriff auf das Handy einzurichten und zu verwalten, unter anderem für die Rechte zur Installation von Apps.
  • Weitergabekontrolle: Hierunter fallen insbesondere Möglichkeiten zur Fernwartung des Geräts sowie zur Belehrung der Mitarbeiter über die Risiken der Nutzung von Cloud-Diensten.
  • Eingabekontrolle: Es muss sich auch nachträglich prüfen lassen, von wem in welcher Weise auf personenbezogene Daten zugegriffen wurde und ob diese gegebenenfalls verändert wurden.

Unter dem Strich sollte, unabhängig vom Betriebssystem, folgende Checkliste beachtet werden:

  • WLAN: Die WLAN-Funktion sollte nur aktiviert werden, wenn sie tatsächlich auch benötigt wird. Zudem ist sicherzustellen, dass die Zugangspunkte verschlüsselt sind. Öffentliche, unverschlüsselte Drahtlosnetzwerke sind also zu meiden.
  • GPS: Soweit die Funktion nicht benötigt wird, zum Beispiel für die Erfassung der Daten eines Fahrtenbuches oder Ähnliches, sollte sie deaktiviert werden.
  • Cloud: Unsichere Cloud-Dienste, insbesondere solche mit Serverstandorten außerhalb der EU oder in unbekannten Ländern, wie unter anderem Apple iCloud oder Dropbox, sollten für personenbezogene Daten generell nicht genutzt werden.
  • Browser: Im Handy-Browser sind nach Möglichkeit der Verlauf, der Browser- Cache und sonstige nutzungsabhängige Daten regelmäßig zu löschen.
  • Google-Konto: Besteht ein Konto bei Anbietern wie etwa Google, die mehrere Dienste bereitstellen (im Falle von Google etwa Maps, Search, Earth, Docs und so weiter), so sollte ein Einloggen nur dann erfolgen, wenn das Konto genutzt werden soll. Anschließend hat ein Ausloggen zu erfolgen.
  • Tracking: Jegliche Tracking-Funktionen des Geräte- beziehungsweise Betriebssystemherstellers, von Werbekunden oder sonstigen Dritten, sind nach Möglichkeit zu deaktivieren.

Die aufgeführten Punkte sind weder als wertend noch abschließend zu verstehen. Es handelt sich dabei um die in der Praxis wichtigsten Aspekte beim Umgang mit Mobiltelefonen, die sowohl privat als auch beruflich genutzt werden.

Ideal im datenschutzrechtlichen Sinne wäre etwa die Nutzung eines veralteten oder nicht weiter unterstützten Betriebssystems, wie etwa Symbian von Nokia, oder die Verwendung von alten Handys ohne Smartphone- Funktion.

Nächste passende Artikel
Reparatur-Stokfoto
Rechtsprechung Recht auf Reparatur: EU verständigt sich auf neues Gesetz
Watch Dogs 2 im Test
GTA-Alternative Watch Dogs 2 im Test: Keine Open-World-Offenbarung
Telekom-Logo
Cebit 2016 Open Telekom Cloud: Cloud-Dienst nach deutschem Datenschutzrecht
Tipps zum Domainkauf
Online-Recht Darauf sollten Sie beim Domainkauf achten
Social Media und das Recht
Unternehmensführung Social Media und das Recht
Webseiten vor Abmahnungen sichern: Wir haben die wichtigsten Tipps.
Internet Recht So sichern Sie Ihre Domain vor Abmahnungen
Recht am eigenen Bild - Einwilligung einholen
Leitfaden Bildnisrecht Recht am eigenen Bild: Einwilligung einholen - so geht's
Online-Urheberrecht: Unser Ratgeber bietet Tipps für das Cloud-Recht.
Online-Recht in der Cloud Wie sieht das Urheberrecht in der Wolke aus?
Mehr zum Thema
Ransomware Zerolocker
Cybercrime als Geschäftsmodell Hacks, Spam & Cyber-Attacken auf Bestellung
Apple Pay, Mobile Payment
IT-Recht: Datenschutz Mobile Payment - Das Handy als Geldbörse
Abmahnungen - Staatsanwaltschaft ermittelt
Online-Recht Gesetz gegen Abmahn-Abzocke
Webseiten vor Abmahnungen sichern: Wir haben die wichtigsten Tipps.
Internet Recht So sichern Sie Ihre Domain vor Abmahnungen
Weiter zur Startseite