Webseiten-Compliance

Webseiten-Compliance

Unzureichend ausgestaltete Cookie-Banner, ungültige Pseudo-Einwilligungen, nicht dem Stand der Technik entsprechende Sicherheitsvorkehrungen, webseitenübergreifende Verhaltensanalyse von Nutzern und Datenübermittlungen an Dritte ohne entsprechender Rechtsgrundlage (oft in unsicheren Drittstaaten wie den USA) – z.B. an Werbetreibende.

All das sind Rechtsverletzungen mit potentiell schwerwiegenden Folgen. Webseiten-Betreiber wissen oftmals gar nicht, dass ihre Webseite eine tickende Zeitbombe darstellt, da fertige Templates bekannter Content-Management-Systeme genutzt werden oder der eingesetzten Web-Agentur schlichtweg das Fachwissen hinsichtlich Datenschutz und Sicherheit fehlt.

Sowohl einfache Webseiten als auch komplexe Applikationen im Web oder als Mobile App unterliegen vielfältigen gesetzlichen Anforderungen an die Sicherheit und den Datenschutz:

Durch Webseiten und -applikationen werden personenbezogene Daten automatisiert verarbeitet. Dazu zählen laut einer EuGH-Entscheidung (EuGH-Urteil Rechtssache C‑582/14) auch IP-Adressen (sowohl statische als auch dynamische), wodurch der sachliche Anwendungsbereich der EU-Datenschutzgrundverordnung (DSGVO, Verordnung (EU) 2016/679) für sämtliche Datenverarbeitungen eröffnet ist (Art. 2 Abs 1. DSGVO), die über die jeweiligen Benutzeroberflächen dieser Online-Anwendungen angeboten werden oder auch im Hintergrund automatisiert stattfinden. Dementsprechend sind sämtliche Anforderungen aus der DSGVO (Zweckbindung, Datenminimierung, gültige Rechtsgrundlage, Informationspflichten, Betroffenenrechte, Datensicherheitsmaßnahmen, etc.) auch im Web-Bereich zu beachten.

Die sog. E-Privacy-Richtlinie (oder auch Cookie-Richtlinie, Richtlinie 2009/136/EG) regelt verbindliche Mindestvorgaben für den Datenschutz in der elektronischen Kommunikation und wurde in Österreich im Telekommunikationsgesetz 2021 (TKG 2021) umgesetzt. Art. 5 Abs. 3 der Cookie-Richtlinie normiert dabei die „Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ dahingehend, dass dies „nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen […] seine Einwilligung gegeben hat“. Davon ausgenommen sind lediglich die Zwecke zur „Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz“ oder „wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“. Seit der Novellierung findet sich die nationale Umsetzung im § 165 Abs. 3 TKG 2021 (ehemals § 96 TKG 2003), auch wenn darin „personenbezogene Daten“ anstelle von „Informationen“ genannt sind. In einem Verfahren der deutschen Verbraucherzentrale gegen Planet49 GmbH (EuGH-Urteil Rechtssache C‑673/17) hat sich auch der EuGH mit dem Einsatz von Cookies auf Web-Anwendungen beschäftigt und klargestellt, dass nicht unbedingt notwendige Cookies unabhängig davon, ob die verarbeiteten Daten als personenbezogen einzustufen sind oder nicht, nur nach einer rechtsgültigen Einwilligung (Opt-In) gesetzt werden dürfen.

Nach der EuGH-Entscheidung „Schrems II“ zum EU-US Privacy Shield (EuGH-Urteil Rechtssache C-311/18) besteht für die USA nun kein Angemessenheitsbeschluss (Art. 45 DSGVO) mehr und diese sind somit als „unsicheres Drittland“ zu klassifizieren. Damit kommen für eine Übermittlung von personenbezogenen Daten an US-Dienstleister (z.B. Google, Meta / Facebook, Cloudflare, etc.) resultierend aus Kapitel V der DSGVO nun noch weitere Anforderungen hinzu. Deshalb sind Datenübermittlungen an US-Dienstleister stattdessen auf die neuen Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO iVm Beschluss 2021/914/EU der Europäischen Kommission) in Verbindung mit einer individuellen Einzelfall-Bewertung der Rechtslage im jeweiligen Drittland im Rahmen eines sog. „Transfer Impact Assessment“ zu stützen, sofern für die personenbezogenen Daten ein Schutzniveau hergestellt werden kann, das dem in der EU entspricht. Kann kein solch entsprechendes Schutzniveau hergestellt werden, sind zusätzliche Maßnahmen zu implementieren, um dieses zu erreichen. Aufgrund der aktuell gültigen US-Sicherheitsgesetze muss bei US-Dienstleistern in der Regel davon ausgegangen werden, dass solche zusätzlichen und vor allem individuell wirksamen Maßnahmen (z.B. Verschlüsselung, bei der dem US-Dienstleister der Schlüssel nicht zur Verfügung steht) getroffen werden müssen, um auf Basis der Standarddatenschutzklauseln einen rechtsgültigen Datenexport in die USA implementieren zu können. Das wird in der Praxis nur selten möglich sein, wodurch es als Rechtsgrundlage für die Übermittlung in die USA als letzte Möglichkeit in Ausnahmesituationen die ausdrückliche Einwilligung (Art. 49 Abs. 1 lit. a DSGVO) auf Basis einer informierten (inkl. der Aufklärung über die Risiken für die personenbezogenen Daten im unsicheren Drittland), freiwilligen und ausschließlich für einen konkreten Fall gefällte Entscheidung des Nutzers gibt. Da es sich dabei aber explizit um eine Ausnahmeregelung handelt und Nutzer mittlerweile immer öfter Einwilligungen in nicht notwendige Verarbeitungen auf Webseiten verweigern, sollten US-Dienstleister mittelfristig entfernt und bei Bedarf durch EU-Dienstleister ersetzt werden. Gerichte und Aufsichtsbehörden greifen auch immer öfter gegen die Nutzung von US-Dienstleistern in ihren jeweiligen Verfahren durch, so z.B. die Österreichische Datenschutzbehörde bzgl. des Einsatzes von Google Analytics auf Webseiten (DSB-Bescheid D155.027 GA) oder das Landgericht München zur Einbindung von Google Fonts (Landgericht München Az. 3 O 17493/20), weswegen dem Kläger auch Schadenersatz zugesprochen wurde.

Mit der Impressumspflicht für Webseiten befassen sich in Österreich gleich mehrere Gesetze mit unterschiedlichen Anwendungsbereichen. Die Bestimmungen im Unternehmensgesetzbuch (§ 14 UGB) gelten nur für ins Firmenbuch eingetragene Unternehmen während jene in der Gewerbeordnung (§ 63 GewO) für nicht im Firmenbuch eingetragene Gewerbetreibende gilt. Die Regelungen aus dem Mediengesetz (§ 25 MedienG) sind abhängig vom veröffentlichten Inhalt und das E-Commerce-Gesetz (§ 5 ECG) gilt für alle kommerziellen Webseiten. Sämtliche Bestimmungen gelten für jegliche Form von elektronischen Inhalten, unabhängig davon, ob es sich um eine Webseite oder ein Profil bei einem Social Media Anbieter (z.B. Facebook, Instagram, Xing, LinkedIn, Twitter, etc.) handelt.

Was kann ich konkret für Sie tun?

Webseiten-Compliance-Check

290,00

exkl. Ust.

  • Prüfung einer Webseite hinsichtlich der Erfüllung von Anforderungen aus der DSGVO und dem TKG
Webseiten-Compliance Training für Agenturen

480,00

exkl. Ust.

  • Vermittlung der Anforderungen an moderne Webseiten aus der DSGVO und dem TKG an Web-Entwickler, Webdesigner, etc.
tiefergehende Audits von Webanwendungen

auf Anfrage

  • detailliertere Überprüfung komplexerer Webanwendungen und webbasierter Datenverarbeitungsprozesse

Achtung!

Die Entscheidungen mehrerer Gerichte und Aufsichtsbehörden hinsichtlich Datenübermittlungen in unsichere Drittländer (z.B. USA) haben auf Webseiten (z.B. Google Fonts / Analytics, Social Media, Content Delivery Networks, etc.) enorme Auswirkungen und zeigen das Ausmaß des Risikos, dem Webseiten-Betreiber mit einer nicht rechtskonform gestalteten Seite ausgesetzt sind.

Aufhebung des EU-US Privacy Shield, Detaillierung hinsichtlich Standarddatenschutzklauseln und Transfer Impact Assessment

Richter
Europäischer GerichtshofEuGH C-311/18 „Schrems II“

Einsatz von Google Analytics auf Webseiten auf Basis von Standarddatenschutz-klauseln

Richter
Österreichische DatenschutzbehördeDSB-Bescheid D155.027 GA

Einbindung von Google Fonts führt zu Schadenersatz für den Kläger

Richter
Landgericht MünchenAz. 3 O 17493/20