Hinweise zur Verarbeitung von Nutzungsdaten durch Blogs bzw. Webseiten
Infothek/Service

Hinweise zur Verarbeitung von Nutzungsdaten durch Blogs bzw. Webseiten

(Stand: 5. Juli  2018)

1. Auftragsverarbeitung

In vielen Fällen betreiben Webseiten- und Blogbetreiberinnen und -betreiber keine eigenen Server, sondern bedienen sich eines Host-Providers, der die Webseite auf den Provider-Servern hostet. Mit dem Host-Provider muss dann ein Auftragsverarbeitungsvertrag geschlossen werden, da dieser beim Hosten der Webseite auch Nutzungsdaten der Nutzerinnen und Nutzer der Webseite bzw. des Blogs erhebt und speichert (insbesondere in sog. Server-Logfiles) und damit Verarbeitungen für die Blog-/Webseitenbetreiberinnen und -betreiber vornimmt.
Die Auftragsverarbeitung muss den Anforderungen des Art. 28 Datenschutz-Grundverordnung (DS-GVO) genügen. Was bedeutet das? Für die Auftragsverarbeitung ist wesentlich, dass der Host-Provider keine Verarbeitungen der Daten der Nutzerinnen und Nutzer der Webseite zu seinen eigenen Zwecken vornimmt, sondern sich diesbezüglich an die mit der/dem Blog-/Webseitenbetreiberin bzw. -betreiber vereinbarten Vorgaben hält. Solche Vereinbarungen werden in der Praxis regelmäßig vom Host-Provider bereitgestellt. Sofern ein Host-Vertrag Verarbeitungen von Daten der Nutzerinnen und Nutzer des Blogs / der Webseite durch den Provider ermöglicht, die etwa dazu dienen, das eigene Angebot des Providers zu optimieren, und diese Verarbeitungen über das hinausgehen, was für das Hosting des Blogs / der Webseite, erforderlich ist, kommt eine Auftragsverarbeitung nicht in Betracht. Das Gleiche gilt natürlich auch in Fällen, in denen die Host-Provider z. B. Nutzungsprofile erstellen bzw. weitergeben, etwa zum Zwecke der Werbung. Um es klar zu sagen: Die Blog-/Webseitenbetreiberinnen und -betreiber sind datenschutzrechtlich verantwortlich für die Verarbeitungen von personenbezogenen Nutzerinnen- und Nutzerdaten, die bei dem Besuch des Blogs / der Webseite anfallen. Wenn Blog-/Webseitenbetreiberinnen bzw. -betreiber den Eindruck haben, dass die vom Host-Provider vorgelegten Vereinbarungen keinerlei Interventions- bzw. Kontrollmöglichkeiten für die Webseitenbetreiberinnen und -betreiber vorsehen und ggf. noch nicht einmal transparent machen, welche personenbezogenen Daten der Host-Provider speichert, dann ist es Zeit, sich nach einem anderen Anbieter umzuschauen.

2. Verarbeitung zur Erbringung eines Dienstes der Informationsgesellschaft

Für die Frage der Rechtmäßigkeit der Verarbeitung von Daten von Nutzerinnen und Nutzern bei der Erbringung eines Dienstes der Informationsgesellschaft (z. B. Blog, Webseite) kommt es wesentlich darauf an, zu welchen Zwecken die Daten verarbeitet werden. Zur besseren Verständlichkeit unterscheiden wir die folgenden Zwecke:

A) Datenverarbeitungen, die für die Erbringung des Dienstes erforderlich sind

Für die Auslieferung des Inhalts einer Webseite, sei es durch den Blog- bzw. Webseitenbetreiber selbst oder unter Hinzuziehung weiterer Anbieter, deren Content eingebunden wird, ist es technisch notwendig, dass die IP-Adresse der Nutzerinnen und Nutzer verarbeitet wird. Darüber hinaus werden regelmäßig weitere Daten zusammen mit der IP-Adresse von den Nutzenden erhoben werden (z. B. Betriebssystemversion, die Displayauflösung des Geräts, Typ des genutzten Internetbrowsers, Zeitpunkt des Zugriffs, Referrer (woher kommt die Nutzerin/der Nutzer), Name der abgerufenen Datei etc.). Auch diese Daten können erforderlich sein, um den Inhalt der Webseite den Besucherinnen und Besuchern (besser) darstellen zu können. Bei der IP-Adresse handelt es sich grundsätzlich um ein personenbezogenes Datum (siehe dazu die Entscheidung des EuGH vom 19.10.2016, C-582/14). Für die Verarbeitung der o. g. Daten ist nach der DS-GVO folglich eine Rechtsgrundlage erforderlich (Art. 5 Abs. 1 Buchst. a), Art. 6 Abs. 1 DS-GVO).
Ist die Verarbeitung von personenbezogenen Daten erforderlich, um den Besucherinnen und Besuchern einer Webseite den Inhalt des Dienstes darstellen zu können – dies schließt mit ein, das Angebot in der vorgesehenen (äußerlichen) Form ausliefern zu können – müssen die Betreiberinnen und Betreiber nicht lange nach einer Rechtsgrundlage suchen: Art. 6 Abs. 1 Buchst. b) bzw. f) DS-GVO bieten ausreichende Möglichkeiten, die Verarbeitung von Nutzungsdaten zu diesen Zwecken abzubilden. Sofern die Bereitstellung des Webangebots für Nutzerinnen und Nutzer dabei Gegenstand eines Nutzungsvertrags (z. B. Abonnement von Content, Nutzerregistrierung) ist, kann diese Verarbeitung auf Art. 6 Abs. 1 Buchst. b) DS-GVO gestützt werden. In jedem Fall ist die Verarbeitung der IP-Adresse zur Auslieferung des „Contents“ auch auf der Grundlage einer Interessenabwägung (Art. 6 Abs. 1 Buchst. f) DS-GVO) zulässig, denn schutzwürdige Interessen stehen der Verarbeitung der für die Darstellung des Dienstes erforderlichen Daten nicht entgegen, insbesondere wenn die Nutzerinnen und Nutzer den Dienst selber angefragt haben (z. B. durch Aufruf der URL). Dies gilt ebenfalls für die weiteren Nutzungsdaten (s. o.), die im Zusammenhang mit der IP-Adresse zu personenbezogenen Daten werden. Auch kann es Fälle geben, in denen zum Zwecke der Erbringung des Dienstes die Verarbeitung weiterer Nutzungsdaten erforderlich ist, z. B. indem Cookies (häufig als "Sitzungs-Cookies" bezeichnet) gesetzt werden, um etwa die individuellen Nutzerinnen- und Nutzereinstellungen zu speichern . Sofern diese Cookies nach Beendigung des Nutzungsvorganges gelöscht werden, steht Art. 6 Abs. 1 Buchst. f) DS-GVO dem nicht entgegen.
Die hiernach genannten Verarbeitungen sind erforderlich, solange der Nutzungsvorgang andauert.

B) Vorgesehene Techniken zur Gewährleistung der Integrität der Webseite (Sicherheitsverfahren)

Wird die IP-Adresse über den Nutzungsvorgang hinaus zusammen mit anderen Daten (Zeitstempel, Referrer, Name der abgerufenen Datei, Zugriffsstatus, Typ des verwendeten Webbrowsers etc.) in Server-Logfiles gespeichert, bedarf es hierfür wiederum einer Rechtsgrundlage nach der DS-GVO. Sofern die Daten zum Zwecke der Sicherheit der Webseite verarbeitet werden, d. h. um Angriffe auf die Webseite zu erkennen und zu verhindern, besteht regelmäßig ein berechtigtes Interesse der Webseitenbetreiberinnen und -betreiber ohne das schutzwürdige Interessen der Nutzerinnen und Nutzer entgegenstehen. Auch hier kommt daher Art. 6 Abs. 1 Buchst. f) DS-GVO als Rechtsgrundlage in Betracht.
Zu prüfen ist in diesen Fällen allerdings regelmäßig, wie lange eine Speicherung der Daten zur Wahrung der Sicherheitsinteressen erforderlich ist. Zur Beantwortung dieser Frage kommt es wesentlich darauf an, welche konkreten Sicherheitsverfahren eingesetzt werden und welche Verarbeitungen zur Durchführung notwendig sind. In jedem Fall müssen die Protokollierung der IP-Adressen und die Auswertung mit einer zeitlich konkret auf das jeweils eingesetzte Verfahren abgestimmten Befristung erfolgen. Sofern allerdings gar keine regelmäßigen Auswertungen vorgesehen sind, bedarf es auch keiner Protokollierung der IP-Adresse. Die Betreiberinnen und Betreiber müssen die Logfiles routieren lassen, d. h. nach Ablauf der Frist sind diese automatisch zu überschreiben. Eine Protokollierung und Auswertung von IP-Adressen über einen Zeitraum von sieben Tagen hinausgehend ist regelmäßig nicht erforderlich, jedenfalls bei den uns bekannten Sicherungsverfahren.
Auch im Zusammenhang mit der Verarbeitung zu Sicherungszwecken kann es Fälle geben, in denen auch andere Nutzungsdaten verarbeitet werden, z. B. indem Cookies gesetzt werden. Sofern diese Cookies nach Beendigung des Nutzungsvorganges gelöscht werden und nur dem Zwecke der Absicherung der Seite dienen, können entsprechende Nutzungsdatenverarbeitungen grundsätzlich auch auf Art. 6 Abs. 1 Buchst. f) DS-GVO gestützt werden.
Auch personenbezogene Daten, insbesondere die verarbeiteten Nutzungsdaten, müssen abgesichert werden. Entsprechend sind die Anforderungen der Art. 24, 25, 32 DS-GVO zu beachten. Sofern Webseitenbetreiberinnen und -betreiber ihre Dienste bei einem Host-Provider als Auftragsverarbeiter hosten lassen, müssen die Provider sich auf technisch-organisatorische Maßnahmen in den Auftragsverarbeitungsvertrag verpflichten, d. h. hinreichende Garantien bieten.

C) Datenverarbeitungen zum Zwecke der Reichweitenmessung bzw. zum Zwecke der Optimierung des eigenen Dienstes

Blog- bzw. Webseitenbetreiberinnen und -betreiber haben grundsätzlich ein berechtigtes Interesse, die Reichweite des eigenen Dienstes zu messen bzw. den eigenen Dienst bedarfsgerecht zu gestalten. Sofern personenbezogene Nutzungsdaten, z.B. auch Informationen, die mit Hilfe von Cookies erhoben werden, dazu verarbeitet bzw. zweckändernd verarbeitet werden, kommt es darauf an, ob die Verarbeitung zur Wahrung dieser Interessen erforderlich sind. Zudem dürfen keine schutzwürdigen Interessen der betroffenen Nutzerinnen und Nutzer entgegenstehen (Art. 6 Abs. 1 Buchst. f) DS-GVO). Im Falle der zweckändernden Nutzung von Daten ist zu prüfen, ob der neue Verarbeitungszweck (Reichweitenmessung, Optimierung) mit dem Erhebungszweck der Daten (technische Erbringung des Dienstes) vereinbar ist (Art. 6 Abs. 4 DS-GVO).
Im Rahmen dieser Abwägung von Interessen bzw. bei den Kriterien des Art. 6 Abs. 4 DS-GVO (insbesondere Folgen der Weiterverarbeitung, Erbringung geeigneter Garantien) können insbesondere folgende Aspekte eine Rolle spielen:

- Dauer der Wiedererkennung / Aufbewahrungsdauer von Identifikatoren / Erstellen von Profilen
Im Rahmen der Wertungen ist relevant, wie lange die Möglichkeit besteht, eine Nutzerin / einen Nutzer eines Blogs / einer Webseite wiederzuerkennen und spezifisches Nutzungsverhalten zuordnen zu können. Sofern etwa detaillierte Nutzungsprofile entstehen, die das Verhalten der Nutzerinnen und Nutzer beim Besuch des Blogs bzw. der Webseite über einen langen Zeitraum wiederkehrend dokumentieren, stellt sich bereits die Frage, ob diese Profile für die Zwecke der Betreiberinnen und Betreiber zur Messung der Reichweite bzw. zur Optimierung des Angebots in dieser detaillierten Form überhaupt erforderlich sind. Darüber hinaus können diese Verarbeitungen intensive Eingriffe in Rechte der betroffenen Personen darstellen, denn die Datenschutz-Grundverordnung sieht etwa vor, dass so wenig personenbezogene Daten wie möglich verarbeitet werden (Art. 5 Buchst. c), Art. 25 Abs. 2 DS-GVO); die Nutzerinnen und Nutzer grundsätzlich also auch die Freiheit haben sollen, sich unbeobachtet auf einem Webangebot bewegen zu können. Detaillierte Nutzungsprofile werden daher häufig schon nicht erforderlich sein, um die Zwecke der Betreiberinnen und Betreiber zu erreichen bzw. schutzwürdige Interessen werden regelmäßig überwiegen. Eine Verarbeitung auf der Grundlage des Art. 6 Abs. 1 Buchst. f) DS-GVO bzw. eine Vereinbarkeit der Zwecke nach Art. 6 Abs. 4 DS-GVO kommt dann nicht in Betracht. In diesen Fällen wird als Grundlage für die Verarbeitungen regelmäßig die vorab eingeholte Einwilligung der Nutzerinnen und Nutzer erforderlich sein (Art. 6 Abs. 1 Buchst. a) DS-GVO).

- Art des Identifikators (IP-Adresse, Cookie, Device-Fingerprinting)
Auch die Art, die Nutzerinnen und Nutzer zu erkennen oder wiederzuerkennen, kann unterschiedliche Auswirkungen auf die Rechte der betroffenen Personen und insbesondere auf deren Möglichkeiten haben, gegen eine solche Wiedererkennung und Verfolgung ihres Nutzungsverhaltens zu intervenieren.
Dabei ist z. B. zu berücksichtigen, dass Nutzerinnen und Nutzer in der Regel die Möglichkeit haben, in den Browser-Einstellungen Cookies zu löschen. Beim Device-Fingerprinting ist es hingegen praktisch unmöglich, eine (Wieder-)Erkennung nutzerseitig zu verhindern.

- Detaillierungsgrad von Aufzeichnungen
Wie bereits erläutert (siehe bei „Dauer der Wiedererkennung“) kommt es im Rahmen der Prüfung der Erforderlichkeit / der Vereinbarkeit von Zwecken bzw. bei der Interessenabwägung auch darauf an, wie detailliert das Verhalten beim Besuch eines Blogs einer Webseite nachverfolgt wird (z. B. Protokollierung auf welche Dateien zugegriffen wurde, Tippverlaufsaufzeichnung, Aufzeichnung des Scrollings, Erhebung von Texten aus angefangenen Formularen, auch wenn diese nicht abgeschickt werden etc.).

- Verknüpfung von Nutzungsdaten mit Bestands- bzw. Inhaltsdaten
Je mehr Informationen über die Nutzerinnen und Nutzer gesammelt und aufgezeichnet werden, je intensiver kann der Eingriff für die betroffenen Personen sein. So kann über die Verknüpfung mit Bestandsdaten (E-Mail-Adresse, Name, Adresse) die Möglichkeit und Gefahr geschaffen werden, die Nutzerinnen und Nutzer auch auf anderem Wege (ggf. missbräuchlich) zu kontaktieren. Darüber hinaus können Inhaltsdaten von Nutzerinnen und Nutzern (etwa Daten die in Registrierungsprofile eingetragen wurden, Inhalte von Kommentaren) besonders sensitive Informationen transportieren, z. B. politische Ansichten, sexuelle Ausrichtung (bei Dating-Plattformen), die dann mit Informationen, die über die Nutzung des Webangebots entstehen, verknüpft werden. Auch hier stellt sich bereits die Frage, ob eine solche Verknüpfung überhaupt erforderlich ist, um das berechtigte Interesse an der Reichweitenmessung bzw. an der Optimierung der Webseite zu bedienen. Dies wird in vielen Fällen nicht der Fall sein, sodass eine Verarbeitung auf Grundlage des Art. 6 Abs. 1 Buchst. f) DS-GVO nicht in Betracht kommt. Wenn es hingegen für eine Besucherstatistik der Webseite auch um ein Clustering, z. B. nach Alter und Geschlecht, geht und Inhaltsdaten für diese Zwecke genutzt und sofort aggregiert werden, kann Art. 6 Abs. 1 Buchst. f) DS-GVO als Rechtsgrundlage in Betracht kommen. In anderen Fällen bedarf es wiederum der Einwilligung der Nutzerinnen und Nutzer (Art. 6 Abs. 1 Buchst. a) DS-GVO).

- Einbindung von Dienstleistern
Sofern Blog-/Webseitenbetreiberinnen bzw. -betreiber Dienstleister zur Reichweitenanalyse einsetzen bzw. Analysetools Dritter einbinden, die nicht selbst lokal betrieben werden können, kommt es darauf an, ob der Einsatz dieser Drittdienste im Wege einer Auftragsverarbeitung erfolgt. Nur wenn diese Dienstleister bzw. Anbieter der Analysetools die personenbezogenen Daten der Nutzerinnen und Nutzer ausschließlich für die Zwecke der Blog-/Webseitenbetreiberinnen bzw. -betreiber verwenden und keine eigenen Zwecke mit den Daten verfolgen, etwa keine Verknüpfung mit eigenen Daten vornehmen bzw. keine Daten von verschiedenen Auftraggebern miteinander verschneiden, kann von einer Auftragsverarbeitung ausgegangen werden. Sofern die Auftragsverarbeitungen den Anforderungen des Art. 28 DS-GVO genügt, steht einer Einbindung eines Dienstleisters für die Reichweitenmessung bzw. für die Analyse der Webseite dann nichts entgegen. Andernfalls kann eine Einbindung ggf. nur mit Einwilligung der Nutzerinnen und Nutzer erfolgen (s. u. D)).

Die Liste der hier genannten Aspekte ist keinesfalls abschließend. Auch die Spezifika der jeweils eingesetzten Verfahren sind daraufhin zu überprüfen, ob und welche Auswirkungen sie für die Nutzerinnen und Nutzer haben und ob und wie intensiv in Selbstbestimmungsrechte eingegriffen wird.
Insgesamt ist zu beachten, dass den Nutzerinnen und Nutzern im Zusammenhang mit der Verarbeitung der Nutzungsdaten für Zwecke der Reichweitenanalyse bzw. der Optimierung der Webseite ein Widerspruchsrecht (Art. 21 DS-GVO) einzuräumen ist. Wie dieses Recht ausgeübt werden kann, muss im Rahmen der Datenschutzerklärung erläutert werden. Zudem sind diese Verfahren technisch-organisatorisch so zu gestalten, dass ein Personenbezug frühestmöglich beseitigt wird bzw. Nutzungsprofile - wenn überhaupt - unter Pseudonym erstellt werden. Dies ergibt sich bereits aus den Anforderungen des Art. 5 DS-GVO und dessen technisch-organisatorischen Implementierung nach Art. 25 DS-GVO, insbesondere Art. 25 Abs. 2 (privacy by defaul und privacy by design). Darüber hinaus sind die Anforderungen aus Art. 24, 32 DS-GVO zu beachten und entsprechende technisch-organisatorische Maßnahmen zu ergreifen.

D) Datenverarbeitung zur Monetarisierung des eigenen Dienstes mithilfe von Nutzungsdaten bzw. zur Bereitstellung von Daten an Dritte zu Werbe-/Analysezwecken

Bei der Verarbeitung von Nutzungsdaten zu Finanzierungs-/Werbezwecken, insbesondere zur Vermarktung des eigenen Angebots etwa über Bannerwerbeplätze (z. B. beim Real Time Bidding) und/oder bei der Bedienung von Werbenetzwerken bzw. Analysediensten mit den Daten der eigenen Nutzerinnen und Nutzer, ist Folgendes zu beachten:

Wenn über die Webseite erhobene Nutzungsdaten durch die Blog-/Webseitenbetreiberinnen bzw. -betreiber selbst oder durch eingebundene Dritte oder als gemeinsame Verantwortliche (Art. 26 DS-GVO) dafür verwendet werden, die Nutzerinnen und Nutzer dienste- und/oder geräteübergreifend zu verfolgen, und damit die Möglichkeit geschaffen wird, Informationen zum Nutzungs- und Surfverhalten im Internet individuell zu sammeln, die Nutzerinnen und Nutzer individuell adressierbar zu machen bzw. kontextunabhängig wiedererkennen zu können, stehen schutzwürdige Interessen der Nutzerinnen und Nutzer regelmäßig entgegen. Die Folgen für die betroffenen Personen, d. h. die Möglichkeiten beim Ansurfen anderer Dienste bzw. Nutzen anderer Geräte (wieder-)erkannt zu werden, ohne dass Verarbeitungszwecke und Folgen transparent sind und ohne Möglichkeiten, bereits vor der Erhebung von Daten zu intervenieren, schränken die Freiheit, sich auch im Netz unbeobachtet zu bewegen, schwerwiegend ein. Diese Verarbeitungen entsprechen nicht den vernünftigen Erwartungen der Nutzerinnen und Nutzer, denn das Aufrufen eines Dienstes ist nicht vernünftig, wenn im Hinblick auf die Ausübung des Selbstbestimmungsrechts nur Nachteile für die Nutzerinnen und Nutzer entstehen. Vor diesem Hintergrund müssen die Nutzerinnen und Nutzer diese Vorgehensweisen auch nicht etwa als „faktische und unumstößliche Säulen des Internet-Ökosystems“ hinnehmen. In diesen Fällen kann daher auch nicht von einer Vereinbarkeit der Zwecke ausgegangen werden (Art. 6 Abs. 4 DS-GVO).
Auch wenn bei den genannten Verarbeitungen Pseudonymisierungen zum Einsatz kommen, z. B. argumentiert wird, dass die Nutzerinnen und Nutzer „nur“ über IP-Adressen, Cookie-IDs, Werbe-IDs, Unique-User-IDs oder andere Identifikatoren (wieder-)erkannt werden, handelt es sich dabei nicht um geeignete Garantien zur Absicherung der Rechte der betroffenen Personen. Denn, anders als in anderen Fällen, in denen Daten pseudonymisiert werden, um die identifizierenden Daten zu verschleiern oder zu löschen, um die betroffenen Personen nicht mehr adressieren zu können, geht es beim sog. Tracking von Nutzerinnen und Nutzern gerade darum, die einzelnen Individuen unterscheidbar und adressierbar zu machen. Die Schutzwirkung der Pseudonymisierung stellt sich hier folglich nicht in dem Maße ein, wie dies für geeignete Garantien erforderlich wäre. Darüber hinaus ist zu berücksichtigen, dass sich Nutzerinnen und Nutzer in den allermeisten Fällen früher oder später an irgendeiner Stelle im Netz registrieren und in diesen Fällen auch eine Verknüpfung mit E-Mail-Adressen bzw. Offline-Name und Offline-Adressen möglich ist. Auf Offline-Namen zur Identifikation von betroffenen Personen kommt es aber beim Personenbezug nicht an. Wenn die Nutzung des Netzes, wie bei vielen Menschen, einen großen Teil der Lebenswirklichkeit ausmacht, dann ist es relevant, ob die Nutzerinnen und Nutzer über ihre Online-Kennungen bestimmbar oder adressierbar sind.

Zu berücksichtigen ist auch, dass Werbung einer von vielen Zwecken ist, die mit dieser Art der Nutzungsdatensammlung und -auswertung möglich und beabsichtigt sein können. Letztlich werden genau die gleichen Mechanismen und Instrumente zur Nutzungsverfolgung eingesetzt, um Informationen selektiert zur Verfügung zu stellen, individuell zu bepreisen, Such- und Meinungsblasen entstehen zu lassen, Wahlverhaltensanalysen zu erstellen etc. Gerade Webseiten mit publizistischen ggf. politisch relevanten Inhalten liefern hier wertvolle Informationen über die Interessen der Nutzerinnen und Nutzer. Die datenschutzrechtlichen Verpflichtungen von Datenverarbeitern sowie die Datenschutzrechte der Nutzerinnen und Nutzer dienen also auch dazu, jedenfalls ein Mindestmaß an Interventionsmöglichkeiten zu behalten und damit einen freien Informationszugang sowie die freie Meinungsbildung im Netz zu verteidigen.

Vor diesem Hintergrund sind die o. g. Formen der Verarbeitung regelmäßig nicht von Art. 6 Abs. 1 Buchst. f) DS-GVO gedeckt. In diesen Fällen kommt eine Verarbeitung auf der Grundlage der sonstigen Tatbestände des Art. 6 Abs. 1 Buchst. b-f) DS-GVO bzw. eine Weiterverarbeitung nach Art. 6 Abs. 4 DS-GVO regelmäßig nicht in Betracht. Die Nutzerinnen und Nutzer müssen daher gem. Art. 6 Abs. 1 Buchst. a) DS-GVO vorher einwilligen. Als Schritt in die richtige Richtung bei der Implementierung einer Vorab-Einwilligung können sog. Opt-in-Tools (z. B. Schieberegler für erforderliche, funktionale und Marketing-Cookies) gewertet werden, die auch eine Umsetzung der gewählten Einstellungen technisch sicherstellen.

3. Einbindung von Social Plug-ins

Für die Übermittlung von Daten bzw. die Bereitstellung der Nutzungsdaten an/für Dritte für deren Zwecke durch die Blog-/Webseitenbetreiberinnen und -betreiber im Zusammenhang mit Social Plug-ins, die auf der Webseite eingebunden sind, gelten die Ausführungen in 2. D) entsprechend. Wenn die Plug-ins so implementiert sind, dass personenbezogene Daten bereits beim Laden der Webseite Dritten zur Verfügung gestellt und die Daten von den Dritten zu eigenen Zwecken genutzt werden, verstößt dies gegen die DS-GVO. Diese Verarbeitungen sind regelmäßig nicht von Art. 6 Abs. 1 Buchst. f) gedeckt, sodass es einer Einwilligung bedarf. Dies bedeutet für die Webseitenbetreiberinnen und -betreiber, dass Plug-ins technisch so eingebunden werden, dass Datenübermittlungen erst erfolgen, wenn die Nutzerinnen und Nutzer auf die entsprechenden Buttons drücken und eine den Anforderungen der DS-GVO entsprechende Einwilligung erteilt haben. Dies bedeutet, dass sie ausreichend informiert werden und durch eine eindeutige Handlung (z. B. per Häkchen) zustimmen müssen.

4. Kommentarfunktion

Die Datenschutz-Grundverordnung ändert nichts am Haftungssystem der E-Commerce-Richtlinie und deren Umsetzung im Telemediengesetz (TMG) (vgl. Art. 2 Abs. 4 DS-GVO, §§ 7-10 TMG). Sofern Blogbetreiberinnen und -betreiber Kommentare von Hand freischalten, müssen keine weiteren Daten der Nutzerinnen und Nutzer erhoben werden. In diesen Fällen entscheiden die Blogbetreiberinnen bzw. -betreiber selbst, welche Kommentare veröffentlicht werden. Ähnliches gilt auch für moderierte Kommentarfunktionen.
Wenn die Blogbetreiberinnen und -betreiber sich die Beiträge hingegen nicht zu eigen machen und keine Kenntnis von diesen haben, wird es sich bei den Kommentaren regelmäßig um fremde Inhalte handeln. Nach den Grundsätzen in Art. 5 DS-GVO sollen so wenig personenbezogene Daten wie möglich verarbeitet werden und die Verantwortlichen sollen durch Voreinstellungen dafür Sorge tragen, dass nur solche personenbezogenen Daten verarbeitet werden, die für den Verarbeitungszweck, hier die Kommentarfunktion, tatsächlich erforderlich sind (Art. 25 Abs. 2 DS-GVO). Die Verantwortlichen sind daher immer gehalten zu prüfen, ob ein Dienst auch zur anonymen Nutzung bereitgestellt werden kann. Wenn allerdings berechtigte Interessen es erforderlich machen, z. B. weil Rechtspflichten bestehen, denen die Blogbetreiberinnen und -betreiber nicht anders nachkommen können, und schutzwürdige Interessen nicht entgegenstehen, dürfen personenbezogene Daten auf der Grundlage einer Interessenabwägung erhoben und verarbeitet werden. Ein solcher Fall könnte darin bestehen, dass Betreiberinnen und Betreiber von Kommentarfunktionen zur Abwendung der Störerhaftung nach der Rechtsprechung verpflichtet sind, sich im Falle einer Beschwerde ggf. mit der Person, die den Kommentar verfasst hat, auseinanderzusetzen. Es kann daher zur Wahrung berechtigter Interessen der Blogbetreiberinnen und -betreiber erforderlich sein, dass die Nutzerinnen und Nutzer eine Kontaktierungsmöglichkeit (z. B. E-Mail-Adresse) angeben. Die Protokollierung der IP-Adressen erscheint für diese Zwecke dagegen nicht geeignet und ist damit auch nicht erforderlich i. S. d. Art. 6 Abs. 1 Buchst. f) DS-GVO, da die Blogbetreiberinnen und -betreiber über die IP-Adresse keine direkte Kontaktmöglichkeit haben und die IP-Adresse auch bei den Zugangs-Providern nicht dauerhaft zuordnenbar gespeichert wird (nach unseren Informationen momentan nicht länger als eine Woche).

5. Informationspflichten

Art. 13 DS-GVO verlangt, dass die betroffenen Personen bei der Erhebung von personenbezogenen Daten über die dort genannten Umstände informiert werden. Die Erhebung der IP-Adressen der Nutzerinnen und Nutzer sowie die Verarbeitung weiterer personenbezogener Nutzungsdaten im Zusammenhang mit der Erbringung eines Dienstes der Informationsgesellschaft lösen folglich Informationspflichten nach Art. 13 DS-GVO aus. Zunächst muss die/der Verantwortliche konkret bezeichnet werden. Art. 13 DS-GVO erfordert u. a., dass die Zwecke der Verarbeitungen und die Rechtsgrundlage konkret benannt werden. Die Blog-/Webseitenbetreiberinnen und -betreiber müssen daher über die einzelnen Zwecke, z. B. in Form der o. g. Einteilung, informieren. Werden personenbezogene Daten auf der Basis einer Interessenabwägung verarbeitet, müssen auch die berechtigten Interessen mitgeteilt werden. Sofern Daten an Dritte weitergegeben werden, sind die Empfänger jedenfalls nach Kategorie zu benennen. Darüber hinaus ist die Dauer der Speicherung zu bezeichnen. Bei Webseiten sind insbesondere die Speicherfristen der IP-Adressen auszuweisen. Sofern die Webseite Kontaktmöglichkeiten vorsieht, sind die Nutzerinnen und Nutzer darüber zu unterrichten, wie mit ihren Daten verfahren wird, sofern sie das Kontaktformular nutzen oder sich mit einer Anfrage an die Blog-/Webseitenbetreiberinnen bzw. -betreiber wenden. Darüber hinaus sind die Nutzerinnen und Nutzer über ihre Datenschutzrechte sowie ihr Beschwerderecht bei der Aufsichtsbehörde zu informieren. Auch über bestehende Widerspruchsrechte, z. B. im Falle der Reichweitenanalyse, sind die Nutzerinnen und Nutzer zu unterrichten. Sofern zweckändernde Verarbeitungen erfolgen, so z. B. im Falle der Reichweitenanalyse, sind diese gesondert auszuweisen.
Im Internet finden sich nach wie vor häufig die sog. Cookie-Banner. Wenn Cookies gesetzt werden, kommt es darauf an, welche personenbezogenen Datenverarbeitungen für welche Zwecke durchgeführt werden. Wenn die Datenverarbeitungen zur Erbringung des Dienstes der Informationsgesellschaft erforderlich sind (siehe unter 2. A) und B)) müssen die Webseitenbetreiberinnen und -betreiber darüber im Rahmen der Datenschutzerklärung informieren. Es bedarf dafür keiner Zustimmung durch die Nutzerin oder den Nutzer, sodass Cookie-Banner mit einem „OK“-Button hier fehl am Platz sind. Sie suggerieren den Nutzerinnen und Nutzern eine Zustimmungsmöglichkeit, die weder faktisch besteht noch rechtlich erforderlich ist. Sofern hingegen Cookies gesetzt werden zum Zwecke der unter 2 D) geschilderten Verarbeitungen, bedarf es einer richtigen Einwilligungsmöglichkeit der Nutzerinnen und Nutzer, die den Anforderungen des Art. 7 DS-GVO entspricht. In diesen Fällen ist ein Cookie-Banner mit einem „OK“-Banner nicht rechtskonform, da den Nutzerinnen und Nutzern keine Wahl gelassen wird, den Datenverarbeitungen zuzustimmen oder nicht. Erforderlich sind Instrumente, die die Wahl der betroffenen Personen technisch tatsächlich umsetzen (siehe Punkt 2 D).
Die Pflichten des Art. 13 DS-GVO können in Form einer Datenschutzerklärung, die auf der Webseite platziert ist, erfüllt werden. Dabei reicht es aus, dass die Datenschutzerklärung von der Homepage sowie von jeder Unterseite jederzeit abrufbar ist.

zurück zur Seite: