Anbieter von Online-Diensten verarbeiten sehr häufig personenbezogene Daten von Nutzerinnen und Nutzern, sodass der Anwendungsbereich der DSGVO für diese Konstellation ohne Weiteres eröffnet ist. Die dabei einzuhaltenden Maßnahmen zur Sicherung des Zugangs zu den Diensten sind in Art. 32 DSGVO (Sicherheit der Verarbeitung) niedergelegt. Für die Umsetzung in der Praxis hat der Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder (DSK) eine Orientierungshilfe veröffentlicht. Sie beschreibt die Anforderungen zur Zugangssicherung, denen Anbieter von Online-Diensten nach Ansicht der Datenschutzaufsichtsbehörden nachkommen müssen, um dem Stand der Technik zu entsprechen und einen effektiven Schutz zu gewährleisten. Die DSK empfiehlt insbesondere, sich am IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu orientieren. Dort sind beispielsweise im Abschnitt „Identitäts- und Berechtigungsmanagement“ der Passwortgebrauch (ORP.4.A8) oder das Zurücksetzen von Passwörtern (ORP.4.A11) einschlägig geregelt. Unabhängig davon sind die Grundsätze von Data-Protection-by-Design und Data-Protection-by-Default (Art. 25 DSGVO) zu beachten.

Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA)

Diese Leitlinien zur Verarbeitung personenbezogener Daten im Kontext von Online-Dienstleistungen basieren auf Art. 6 Abs. 1b DSGVO. Die Leitlinien schränken den o.g. Grundsatz insoweit ein, dass es zur Beurteilung der Frage, ob eine Datenverarbeitung zur Vertragserfüllung erforderlich ist, nicht allein auf die Vereinbarungen im Vertrag ankommt. Unter Berücksichtigung der in Art. 5 DSGVO niedergelegten Datenschutzgrundsätze wie Datenminimierung, Fairness und Transparenz ist nach den Vorgaben des EDSA vielmehr eine Bewertung dahingehend vorzunehmen, ob Unternehmen die Verarbeitung von Daten der Nutzerinnen und Nutzer auf die Rechtsgrundlage „Vertragserfüllung“ stützen können. Eine Datenverarbeitung für Zwecke der personenbezogenen Onlinewerbung kann danach grundsätzlich nicht auf die Rechtsgrundlage „Vertragserfüllung“ gestützt werden. Ob die Erforderlichkeit tatsächlich schon dann bejaht werden kann, wenn diese im Rahmen einer vertraglichen Klausel vereinbart wurde oder ob die Erforderlichkeit nicht erst dann angenommen werden kann, wenn die Verarbeitung für die Erfüllung eines Vertrages oder für die Vertragsanbahnung objektiv als erforderlich betrachtet werden muss, ist eine sehr praxisrelevante Frage.

Abzuwarten bleibt, ob die Leitlinien am Ende mehr Rechtssicherheit bringen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, begrüßte die Annahme der Leitlinien ausdrücklich.

Autor: Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Ein ungebrochener Trend und ein Dauerbrennpunkt im Bereich des Datenschutzrechtes ist das Thema Videoüberwachung. Es ist eines der wichtigsten Schwerpunkte in der Arbeit der Datenschutzbehörden und häufiger Gegenstand in datenschutzpolitischen Diskussionen. Was ist...

    read more
    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Einstellung Matomo ermöglicht das Tracking von Webseitenbesucherinnen und -besuchern mittels Cookies oder JavaScript. Auch im Hinblick auf die zunehmende Verbreitung von Schutzmechanismen in Webbrowsern ist ein Tracking per JavaScript dem Tracking durch...

    read more
    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Teil 1: Microsoft 365: Aufsichtsbehörden im Fokus – Was sagen die Datenschützer?   Dies ist der Auftakt einer Beitragsreihe zur rechtskonformen Nutzung von Anwendungen und Diensten der cloudbasierten „Produktivitätsplattform“ Microsoft 365 (Word, Excel,...

    read more