Leitfaden: Rechtssichere Internetseiten & Onlineshops – DSGVO-konform
Dieser Leitfaden in seiner 8. Auflage (Stand Oktober 2021) unterstützt Unternehmen, sowie erstmalig auch Körperschaften und Anstalten des öffentlichen Rechts (KdöR, wie Behörden, Kommunale Eigenbetriebe & AdöR) darin, rechtliche Probleme bzgl. der eigenen Internetpräsenz in der Praxis zu erkennen und zu beheben. Seit der letzten Neuauflage dieses Leitfadens im Jahr 2019 gab es erhebliche Änderungen der Rechtsprechung und der Gesetzgebung. Die Neuauflage gibt Ihnen eine erste Orientierung für die Erstellung einer Anbieterkennzeichnung (Impressum), die Inhalte einer Datenschutzerklärung und die Einhaltung datenschutzrechtlicher Vorgaben, den Fernabsatz (Online-Shops und Marktplätze wie Ebay, Amazon, Instagram Shops), die Stockfoto-Nutzung (Urheberrecht), das Markenrecht, Social-Media und Videokonferenzen sowie einen Einblick über den aktuellen Stand der Rechtsprechung. Aktuelle gesetzliche Anforderungen wurden ebenfalls hinzugefügt. Checklisten und Mustertexte für Anbieterkennzeichnungen helfen konkret bei der Absicherung Ihres Internetauftritts.
Dieser Leitfaden in seiner 8. Auflage (Stand Oktober 2021) unterstützt Unternehmen, sowie erstmalig auch Körperschaften und Anstalten des öffentlichen Rechts (KdöR, wie Behörden, Kommunale Eigenbetriebe & AdöR) darin, rechtliche Probleme bzgl. der eigenen Internetpräsenz in der Praxis zu erkennen und zu beheben.
Seit der letzten Neuauflage dieses Leitfadens im Jahr 2019 gab es erhebliche Änderungen der Rechtsprechung und der Gesetzgebung. Die Neuauflage gibt Ihnen eine erste Orientierung für die Erstellung einer Anbieterkennzeichnung (Impressum), die Inhalte einer Datenschutzerklärung und die Einhaltung datenschutzrechtlicher Vorgaben, den Fernabsatz (Online-Shops und Marktplätze wie Ebay, Amazon, Instagram Shops), die Stockfoto-Nutzung (Urheberrecht), das Markenrecht, Social-Media und Videokonferenzen sowie einen Einblick über den aktuellen Stand der Rechtsprechung. Aktuelle gesetzliche Anforderungen wurden ebenfalls hinzugefügt.
Checklisten und Mustertexte für Anbieterkennzeichnungen helfen konkret bei der Absicherung Ihres Internetauftritts.
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Rechtliche Vorgaben des Datenschutzes<br />
Beispielsweise bietet Facebook bei der Verwendung des<br />
speziellen Features „Facebook bzw. Instagram Insights“ ein<br />
„Page Controller Addendum“ zur gemeinsamen Verantwortlichkeit<br />
i.S.d. Art. 26 <strong>DSGVO</strong> in den folgenden ergänzenden<br />
Nutzungsbedingungen an: https://www.facebook.com/legal/<br />
terms/page_controller_addendum.<br />
In dieser Vereinbarung werden im Wesentlichen Regelungen<br />
zu den „Insights“-Daten getroffen, die im Rahmen dieser besonderen<br />
Funktion erhoben und verarbeitet werden, um das<br />
Nutzerverhalten auf Facebook und Instagram auszuwerten.<br />
Inwieweit die mittlerweile aktualisierte Vereinbarung von Facebook<br />
als rechtssicher angesehen werden kann, kann derzeit<br />
nicht abschließend beurteilt werden, da es an Einflussmöglichkeiten<br />
des Betreibers einer Social-Media-Fanpage<br />
fehlt und einige Fragen der Konferenz der deutschen Datenschutzaufsichtsbehörden<br />
des Bundes und der Länder (DSK),<br />
die in der Stellungnahme vom 01.04.2019 zu dem EuGH-<br />
Urteil (https://www.datenschutzkonferenz-online.de/media/<br />
dskb/20190405_positionierung_facebook_fanpages.pdf)<br />
veröffentlicht wurden, auch weiterhin von Facebook ungelöst<br />
bleiben.<br />
Die Vereinbarung regelt indes, dass Facebook die primäre<br />
Verantwortung für die Erfüllung der datenschutzrechtlichen<br />
Pflichten bei der Verarbeitung von „Insights“-Daten übernimmt<br />
und informiert über die dabei verbleibende datenschutzrechtliche<br />
Verantwortung der Social-Media-Betreiber.<br />
Letztlich ist es unerlässlich, dass jeder Betreiber eine eigene<br />
Datenschutzerklärung für seine Social-Media-Webseite erstellt<br />
und verlinkt. Aus der gemeinsamen Verantwortlichkeit<br />
des Betreibers einer Social-Media-Fanpage bei Facebook<br />
folgt dessen Pflicht, die Seiten-Besucher hinreichend über die<br />
dort stattfindende eigene Datenverarbeitung gem. Art. 13 ff<br />
<strong>DSGVO</strong> und über die Vereinbarung nach Art. 26 <strong>DSGVO</strong> zur<br />
gemeinsamen Verantwortung zu informieren. Diesbezüglich<br />
sind unter anderem der Umfang und alle Zwecke der Datenverarbeitung,<br />
die jeweils zutreffende Rechtsgrundlage aus<br />
dem Katalog des Art. 6 Abs. 1 S. 1 <strong>DSGVO</strong> zu nennen, sowie<br />
der Umfang der Datenverarbeitung durch den Verantwortlichen<br />
mitzuteilen.<br />
Bei anderen Social-Media-Plattformen, die in ihren vertraglichen<br />
Vereinbarungen nach wie vor keine Lösung für diese<br />
Fragen enthalten, bleibt für den Betreiber eines Social-Media-<br />
Accounts ein gewisses Restrisiko bestehen, der den Dienst<br />
bzw. dessen besondere Funktionen nicht ausschließlich zu<br />
privaten Zwecken betreibt.<br />
Praxistipp: Dürfen<br />
Kommunen, Kommunale<br />
Eigenbetriebe und andere<br />
KdöR und AdöR Social-Media-Webseiten<br />
betreiben?<br />
Die öffentliche Hand betreibt oftmals genauso Öffentlichkeitsarbeit<br />
auf Social-Media-Webseiten wie private Unternehmen.<br />
Insbesondere ist dies von großer Wichtigkeit,<br />
wenn zahlreiche Personen erreicht werden müssen, wie<br />
z. B. bei Verkehrsverbünden, gesetzlichen Krankenkassen<br />
oder Tourismuszentralen. Bei führenden Social-Media-<br />
Webseiten (Facebook, Instagram, Youtube, etc.) besteht<br />
grundsätzlich das EU-US-Privacy-Shield-Problem, wonach<br />
es letztlich keine Rechtsgrundlage für den Transfer von<br />
personenbezogenen Daten zu den jeweiligen Plattformanbietern<br />
gibt. Derzeit lassen sich somit alleine schon wegen<br />
der Datenübertragung in die USA Social-Media-Webseiten<br />
wie z. B. Facebook oder LinkedIn nicht rechts<strong>konform</strong> von<br />
der öffentlichen Hand betreiben.<br />
Ein weiteres Problem stellt sich bei den Rechtsgrundlagen.<br />
Wenn Bürger die Social-Media-Profile von Organisationen<br />
aufrufen, die der öffentlichen Hand zuzuordnen sind, ohne<br />
ein Nutzerkonto (z. B. von Facebook-Konto) zu besitzen,<br />
besteht keine denkbare Rechtsgrundlage für die Datenverarbeitung<br />
auf der jeweiligen Social-Media-Seite des Seitenbetreibers.<br />
Schon beim einmaligen Aufruf erfolgt ungefragt<br />
ein Tracking durch die Social-Media-Seite des Seitenbetreibers,<br />
so dass diesem extensive Profildaten über seine Seitenbesucher<br />
zur Verfügung gestellt werden können.<br />
Der Einsatz von Social-Media-Seiten durch juristische Personen<br />
des öffentlichen Rechts birgt somit erhebliche datenschutzrechtliche<br />
Probleme, die sich momentan in der<br />
Praxis nicht rechts<strong>konform</strong> lösen lassen.<br />
Diese Ansicht vertritt auch der Bundesbeauftragte für den<br />
Datenschutz und die Informationsfreiheit BfDI, der die von<br />
Facebook bereitgestellte datenschutzrechtliche Vereinbarung<br />
aus dem Jahr 2019 (Facebook Addendum) für unzureichend<br />
zur Einhaltung der Anforderungen aus Art. 26<br />
<strong>DSGVO</strong> ansieht. Der BfDI rät bis Ende des Jahres 2021 zur<br />
Abschaltung der öffentlichen Facebook-Seiten des Bundes<br />
und will andernfalls von den Maßnahmen aus Art. 58 DS-<br />
GVO Gebrauch machen.<br />
RA Marcus Dury LL.M.<br />
Fachanwalt für IT-Recht<br />
27
Change language