Was sollten wir als Thurgauer Behörde beim Erstellen einer Webseite beachten?

Beitrag von ft

Datenschutz-Grundverordnung

Die EU-DSGVO gibt den Nutzern das Recht auf Auskunft zu personenbezogenen Daten. Was bedeutet das derzeit für die Behörden des Kantons Thurgau als Webseiten-Anbieter (Art. 13 EU-DSGVO)? Solange wir auf unserer Webseite keine Personendaten bearbeiten, besteht kein Handlungsbedarf. Andernfalls wird es nun aber kompliziert!

Die EU Datenschutz-Grundverordnung (EU-DSGVO) erlaubt die Bearbeitung von Personendaten nur unter Beachtung diverser Voraussetzungen. So verlangt die EU-DSGVO beispielsweise, dass zur Bearbeitung von Personendaten eine genügende gesetzliche Grundlage besteht oder dass die betroffene Person ihr klares Einverständnis zur Benutzung der eigenen persönlichen Daten erteilt hat [1]. Sobald also der Betreiber einer Webseite personenbezogene Daten erhebt, wird es für die Anbieter von Webseiten sehr kompliziert! Die Nutzer von Webseiten sind nach den neuen Bestimmungen (sinngemäss) wie folgt und - so will es die (komplizierte) EU-Verordnung - in einer einfachen und verständlichen Sprache zu informieren:

  1. Namen und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters [2];
  2. Gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten [3];
  3. Den Zweck, für welche welchen personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung [4];
  4. Wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  6. Gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln (...) [5].

Zusätzlich zu diesen Informationen verlangt die EU-DSGVO, dass der Betreiber der Webseite der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung stellt, die notwendig seien, um eine faire und transparente Verarbeitung zu gewährleisten:

  1. Die Dauer, während welcher die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer [6];
  2. Das Bestehen eines Rechts auf Auskunft über die bearbeiteten Personendaten sowie das Recht auf Berichtigung oder auf Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit [7];
  3. Wenn die Verarbeitung auf einer Einwilligung beruht [8], das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmässigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  4. Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  5. Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte; 6. Das Bestehen einer automatisierten Entscheidungsfindung einschliesslich Profiling gemäss Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen massgeblichen Informationen gemäss der obgenannten zweiten Aufzählung zur Verfügung.

Soweit ein Betreiber einer Webseite also den Bestimmungen der neuen EU-Datenschutz-Grundverordnung untersteht, sind die Voraussetzungen nun leider sehr kompliziert geworden. Es empfiehlt sich, (wie auf dieser Webseite!) keine Personendaten von Webseiten-Besuchern zu bearbeiten, bzw. bearbeiten zu lassen. Dann können wir uns die obigen Hinweise ersparen und leisten zudem einen guten Beitrag an den Persönlichkeitsschutz unserer Webseiten-Besucher.


[1]Art. 6 EU-DSGVO
[2]Als Verantwortlicher im Sinne der EU-DSGVO gilt der Anbieter der Webseite. Hier ist beispielsweise die Adresse der Gemeinwesens, die Telefonnummer und allenfalls auch die Mailadresse bekannt zu geben.
[3]Als Datenschutzverantwortliche sind in den Gemeinden die jeweiligen Aufsichtsstellen Datenschutz anzugeben. Diese finden sich auf dieser Webseite unter der Rubrik "2. Aufsichtsstellen". Für die übrigen dem kantonalen Datenschutzgesetz unterstehenden Betreiber kann die Adresse des kantonalen Datenschutzbeauftragten angegeben werden; zu finden auf dieser Webseite bei "5. Kontakt".
[4]Beim Zweck ist anzugeben, dass beispielsweise Cookies verwendet werden und dass es sich hierbei um Textdateien handele, welche über einen Internetbrowser auf dem Computersystem des Benutzers abgelegt und gespeichert werden. Sofern wie in einem Blog eine Kommentarfunktionen aufgeschaltet wird, ist darauf hinzuweisen, dass neben den Kommentaren auch Angaben zum Zeitpunkt der Kommentareingabe sowie zu dem von der betroffenen Person gewählten Pseudonym oder allenfalls dessen Eingabeort gespeichert und veröffentlicht werden. Zudem ist darauf hinzuweisen, dass die IP-Adresse der betroffenen Person mitprotokolliert wird. Als Grund zur Datenerhebung könnte angegeben werden, dass die Speicherung der IP-Adresse nur sicherheitshalber und für den Fall erfolgt, dass die betroffene Person durch einen abgegebenen Kommentar die Rechte Dritter verletzen könnte oder rechtswidrige Inhalte verbreiten möchte.
[5]Dabei wird verlangt, dass auf das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission hingewiesen wird, bzw. dass im Falle von Übermittlungen gemäss Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 ein Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind, angebracht wird.
[6]Bei der Dauer der Datenbearbeitung kann erwähnt werden, dass die personenbezogenen Daten nur so lange gespeichert werden, wie dies zur Erreichung des Speicherungszwecks erforderlich ist. Anschliessend werden die personenbezogenen Daten routinemässig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.
[7]Soweit personenbezogene Werbung aufgeschaltet wird, was beispielsweise durch das Amazon-Partnerprogramm (etc.) geschehen kann, sollte ein Hinweis angebracht werden, dass auf der Webseite Amazon-Komponenten integriert seien. Es sollte sinngemäss erwähnt werden, dass die Amazon-Komponenten (hier natürlich anzupassen an das jeweilige Partnerprogramm) von Amazon dazu konzipiert wurden, Kunden über Werbeanzeigen auf unterschiedliche Internetseiten der Amazon-Gruppe, insbesondere auf Amazon.co.uk, Local.Amazon.co.uk, Amazon.de, BuyVIP.com, Amazon.fr, Amazon.it und Amazon.es, BuyVIP.com gegen Zahlung einer Provision zu vermitteln. Es ist adressmässig zu erwähnen, dass "Amazon EU S.à.r.l, 5 Rue Plaetis, L-2338 Luxembourg, Luxemburg" Betreibergesellschaft dieser Komponenten ist. Ebenso ist bei Verwendung des Google-Programmes AdSense auf die Betreibergesellschaft der Google-AdSense-Komponente, die "Alphabet Inc., 1600 Amphitheatre Pkwy, Mountain View, CA 94043-1351, USA" hinzuweisen. Auf die Verwendung von Google Analytics sollte von den Behörden im Kanton Thurgau verzichtet werden, da damit zu weit gehende Datensammlungen erlaubt würden.
[8]

Artikel 6 Absatz 1 lit. a bzw. Artikel 9 Absatz 2 lit a EU-DSGVO

(Stand: 05.06.2018)