Webseiten-Compliance

Durch Webseiten und -applikationen werden personenbezogene Daten automatisiert verarbeitet. Dazu zählen laut einer EuGH-Entscheidung (EuGH-Urteil Rechtssache C‑582/14) auch IP-Adressen (sowohl statische als auch dynamische), wodurch der sachliche Anwendungsbereich der EU-Datenschutzgrundverordnung (DSGVO, Verordnung (EU) 2016/679) für sämtliche Datenverarbeitungen eröffnet ist (Art. 2 Abs 1. DSGVO), die über die jeweiligen Benutzeroberflächen dieser Online-Anwendungen angeboten werden oder auch im Hintergrund automatisiert stattfinden. Dementsprechend sind sämtliche Anforderungen aus der DSGVO (Zweckbindung, Datenminimierung, gültige Rechtsgrundlage, Informationspflichten, Betroffenenrechte, Datensicherheitsmaßnahmen, etc.) auch im Web-Bereich zu beachten.

Die sog. E-Privacy-Richtlinie (oder auch Cookie-Richtlinie, Richtlinie 2009/136/EG) regelt verbindliche Mindestvorgaben für den Datenschutz in der elektronischen Kommunikation und wurde in Österreich im Telekommunikationsgesetz 2021 (TKG 2021) umgesetzt. Art. 5 Abs. 3 der Cookie-Richtlinie normiert dabei die „Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ dahingehend, dass dies „nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen […] seine Einwilligung gegeben hat“. Davon ausgenommen sind lediglich die Zwecke zur „Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz“ oder „wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“. Seit der Novellierung findet sich die nationale Umsetzung im § 165 Abs. 3 TKG 2021 (ehemals § 96 TKG 2003), auch wenn darin „personenbezogene Daten“ anstelle von „Informationen“ genannt sind. In einem Verfahren der deutschen Verbraucherzentrale gegen Planet49 GmbH (EuGH-Urteil Rechtssache C‑673/17) hat sich auch der EuGH mit dem Einsatz von Cookies auf Web-Anwendungen beschäftigt und klargestellt, dass nicht unbedingt notwendige Cookies unabhängig davon, ob die verarbeiteten Daten als personenbezogen einzustufen sind oder nicht, nur nach einer rechtsgültigen Einwilligung (Opt-In) gesetzt werden dürfen.

Nach der EuGH-Entscheidung „Schrems II“ zum EU-US Privacy Shield (EuGH-Urteil Rechtssache C-311/18) besteht für die USA nun kein Angemessenheitsbeschluss (Art. 45 DSGVO) mehr und diese sind somit als „unsicheres Drittland“ zu klassifizieren. Damit kommen für eine Übermittlung von personenbezogenen Daten an US-Dienstleister (z.B. Google, Meta / Facebook, Cloudflare, etc.) resultierend aus Kapitel V der DSGVO nun noch weitere Anforderungen hinzu. Deshalb sind Datenübermittlungen an US-Dienstleister stattdessen auf die neuen Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO iVm Beschluss 2021/914/EU der Europäischen Kommission) in Verbindung mit einer individuellen Einzelfall-Bewertung der Rechtslage im jeweiligen Drittland im Rahmen eines sog. „Transfer Impact Assessment“ zu stützen, sofern für die personenbezogenen Daten ein Schutzniveau hergestellt werden kann, das dem in der EU entspricht. Kann kein solch entsprechendes Schutzniveau hergestellt werden, sind zusätzliche Maßnahmen zu implementieren, um dieses zu erreichen. Aufgrund der aktuell gültigen US-Sicherheitsgesetze muss bei US-Dienstleistern in der Regel davon ausgegangen werden, dass solche zusätzlichen und vor allem individuell wirksamen Maßnahmen (z.B. Verschlüsselung, bei der dem US-Dienstleister der Schlüssel nicht zur Verfügung steht) getroffen werden müssen, um auf Basis der Standarddatenschutzklauseln einen rechtsgültigen Datenexport in die USA implementieren zu können. Das wird in der Praxis nur selten möglich sein, wodurch es als Rechtsgrundlage für die Übermittlung in die USA als letzte Möglichkeit in Ausnahmesituationen die ausdrückliche Einwilligung (Art. 49 Abs. 1 lit. a DSGVO) auf Basis einer informierten (inkl. der Aufklärung über die Risiken für die personenbezogenen Daten im unsicheren Drittland), freiwilligen und ausschließlich für einen konkreten Fall gefällte Entscheidung des Nutzers gibt. Da es sich dabei aber explizit um eine Ausnahmeregelung handelt und Nutzer mittlerweile immer öfter Einwilligungen in nicht notwendige Verarbeitungen auf Webseiten verweigern, sollten US-Dienstleister mittelfristig entfernt und bei Bedarf durch EU-Dienstleister ersetzt werden. Gerichte und Aufsichtsbehörden greifen auch immer öfter gegen die Nutzung von US-Dienstleistern in ihren jeweiligen Verfahren durch, so z.B. die Österreichische Datenschutzbehörde bzgl. des Einsatzes von Google Analytics auf Webseiten (DSB-Bescheid D155.027 GA) oder das Landgericht München zur Einbindung von Google Fonts (Landgericht München Az. 3 O 17493/20), weswegen dem Kläger auch Schadenersatz zugesprochen wurde.

Mit der Impressumspflicht für Webseiten befassen sich in Österreich gleich mehrere Gesetze mit unterschiedlichen Anwendungsbereichen. Die Bestimmungen im Unternehmensgesetzbuch (§ 14 UGB) gelten nur für ins Firmenbuch eingetragene Unternehmen während jene in der Gewerbeordnung (§ 63 GewO) für nicht im Firmenbuch eingetragene Gewerbetreibende gilt. Die Regelungen aus dem Mediengesetz (§ 25 MedienG) sind abhängig vom veröffentlichten Inhalt und das E-Commerce-Gesetz (§ 5 ECG) gilt für alle kommerziellen Webseiten. Sämtliche Bestimmungen gelten für jegliche Form von elektronischen Inhalten, unabhängig davon, ob es sich um eine Webseite oder ein Profil bei einem Social Media Anbieter (z.B. Facebook, Instagram, Xing, LinkedIn, Twitter, etc.) handelt.