Webseiten-Compliance

Durch Webseiten und -applikationen werden personenbezogene Daten automatisiert verarbeitet. Dazu zählen laut einer EuGH-Entscheidung (EuGH-Urteil Rechtssache C‑582/14) auch IP-Adressen (sowohl statische als auch dynamische), wodurch der sachliche Anwendungsbereich der EU-Datenschutzgrundverordnung (DSGVO, Verordnung (EU) 2016/679) für sämtliche Datenverarbeitungen eröffnet ist (Art. 2 Abs 1. DSGVO), die über die jeweiligen Benutzeroberflächen dieser Online-Anwendungen angeboten werden oder auch im Hintergrund automatisiert stattfinden. Dementsprechend sind sämtliche Anforderungen aus der DSGVO (Zweckbindung, Datenminimierung, gültige Rechtsgrundlage, Informationspflichten, Betroffenenrechte, Datensicherheitsmaßnahmen, etc.) auch im Web-Bereich zu beachten.

Die sog. E-Privacy-Richtlinie (oder auch Cookie-Richtlinie, Richtlinie 2009/136/EG) regelt verbindliche Mindestvorgaben für den Datenschutz in der elektronischen Kommunikation und wurde in Österreich im Telekommunikationsgesetz 2021 (TKG 2021) umgesetzt. Art. 5 Abs. 3 der Cookie-Richtlinie normiert dabei die „Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ dahingehend, dass dies „nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen […] seine Einwilligung gegeben hat“. Davon ausgenommen sind lediglich die Zwecke zur „Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz“ oder „wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“. Seit der Novellierung findet sich die nationale Umsetzung im § 165 Abs. 3 TKG 2021 (ehemals § 96 TKG 2003), auch wenn darin „personenbezogene Daten“ anstelle von „Informationen“ genannt sind. In einem Verfahren der deutschen Verbraucherzentrale gegen Planet49 GmbH (EuGH-Urteil Rechtssache C‑673/17) hat sich auch der EuGH mit dem Einsatz von Cookies auf Web-Anwendungen beschäftigt und klargestellt, dass nicht unbedingt notwendige Cookies unabhängig davon, ob die verarbeiteten Daten als personenbezogen einzustufen sind oder nicht, nur nach einer rechtsgültigen Einwilligung (Opt-In) gesetzt werden dürfen.

Nach der EuGH-Entscheidung „Schrems II“ zum EU-US Privacy Shield (EuGH-Urteil Rechtssache C-311/18) bestand für die USA kein Angemessenheitsbeschluss (Art. 45 DSGVO) mehr und diese waren somit als „unsicheres Drittland“ zu klassifizieren. Damit kamen für eine Übermittlung von personenbezogenen Daten an US-Dienstleister (z.B. Google, Meta / Facebook, Cloudflare, etc.) resultierend aus Kapitel V der DSGVO weitere Anforderungen (Abschluss der Standarddatenschutzklauseln und zusätzliche rechtliche, organisatorische oder technische Maßnahmen nach Durchführung eines sog. „Transfer Impact Assessment“) hinzu.

Am 10. Juli 2023 hat die Europäische Kommission den neuen Angemessenheitsbeschluss (Data Privacy Framework) für die USA erlassen. Auf Basis dieses Angemessenheitsbeschlusses dürfen Datenexporte von der EU in die USA nun wieder ohne zusätzliche Maßnahmen stattfinden, sofern der Datenimporteur (empfangende Stelle in den USA) in der Liste zertifizierter Unternehmen des US-Handelsministeriums angeführt ist. Diese Zertifizierung ist bei Datenexporten in die USA im Rahmen des Datenschutzmanagementsystems in regelmäßigen Abständen zu prüfen.

Aktuell ist somit wieder eine deutliche Vereinfachung der Nutzung von US-Dienstleistern gegeben. Allerdings hat noyb bereits angekündigt, sich mit dieser „Privacy Shield Kopie“ nicht zufrieden zu geben. Womöglich wird in wenigen Jahren also der nächste Angemessenheitsbeschluss durch den EuGH aufgehoben, wodurch wieder praktisch über Nacht die Nutzung der alternativen Mechanismen im Kapitel V DSGVO für eine Übermittlung personenbezogener Daten in die USA notwendig werden könnten.

Mit der Impressumspflicht für Webseiten befassen sich in Österreich gleich mehrere Gesetze mit unterschiedlichen Anwendungsbereichen. Die Bestimmungen im Unternehmensgesetzbuch (§ 14 UGB) gelten nur für ins Firmenbuch eingetragene Unternehmen während jene in der Gewerbeordnung (§ 63 GewO) für nicht im Firmenbuch eingetragene Gewerbetreibende gilt. Die Regelungen aus dem Mediengesetz (§ 25 MedienG) sind abhängig vom veröffentlichten Inhalt und das E-Commerce-Gesetz (§ 5 ECG) gilt für alle kommerziellen Webseiten. Sämtliche Bestimmungen gelten für jegliche Form von elektronischen Inhalten, unabhängig davon, ob es sich um eine Webseite oder ein Profil bei einem Social Media Anbieter (z.B. Facebook, Instagram, Xing, LinkedIn, Twitter, etc.) handelt.