Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Dies ist eine alte Version des Dokuments!


<font inherit/inherit;;#e74c3c;;inherit>Der folgende Text ist ein Entwurf und noch nicht als Artikel Bestandteil dieses Wiki!</font>

Webseiten

Webseiten meint für diesen Artikel vor allem solche Seiten die frei zugänglich im Internet stehen. Sie stellen eine besondere Herausforderung für den Datenschutz dar, weil sie das Aushängeschild einer Organisation darstellen. In teilweise abgeschwächter Form gelten die Aussagen in diesem Artikel natürlich auch für Seiten, die nur geschlossenen Gruppen zugänglich sind (Intranet).

Webseiten bedeuten zwangsläufig, dass Personenbezogene Daten verarbeitet werden.

IP-Adresse

Das betrifft zunächst die IP-Adressen der Nutzer der Webseite.1) Damit sind auch alle darauf aufbauenden Verarbeitungen durch Analysetools2) grundsätzlich Verarbeitungen personenbezogener Daten.

Cookies

Ein weiteres eher technisches Thema sind Cookies. Cookies sollten möglichst sparsam eingesetzt werden auch wenn sie nur dem Komfort des Webseitenbesuchers dienen und sich am Ende des Besuchs selbst löschen (Session-Cookies). Auf weitergehende Cookies (Tracking-Cookies) sollte möglichst komplett verzichtet werden.

Einbindung von Drittanbietern

Auch Angebot von Drittanbietern sollten sparsam genutzt werden: Like-Button, Zählpixel und ähnliche Gadgets3) helfen vor allem den jeweiligen Anbietern Nutzerprofile zu erstellen. Eine ungefährlichere Alternative ist es, wenn beispielsweise ein Link zu einer Facebookseite in die Webseite integriert werden soll, nur eine Graphik mit einem einfachen Hyperlink zu verwenden. Damit fließen erst dann Daten zu Facebook, wenn der Webseitenbesucher auf Link klickt (und folglich willentlich auf eine Seite von Facebook geht).

Personenbezogene Daten in den Inhalten von Webseiten

Ein weiteres typisches Thema ist, dass auf einer Webseite für die Inhalte Daten von Menschen, insbesondere Mitarbeitern, verwendet werden. Das können zum Beispiel Bilder sein oder auch Kontaktdaten, wie Telefonnummer oder Emailadresse. Auch dadurch liegt eine Verarbeitung personenbezogener Daten vor.

Rechtmäßigkeit der Verarbeitung

Besucher

Wie immer bei der Verarbeitung personenbezogener Daten ist dies nur zulässig, wenn die Rechtmäßigkeit der Verarbeitung sichergestellt ist. Für Besucher von Webseiten wird als Rechtfertigungsgrund vielfach auf die Einwilligung mit all ihren Nachteilen zurückgegriffen werden müssen (Details siehe Artikel Einwilligung). Allerdings sollten gerade öffentliche Einrichtungen bedenken, dass die Nutzung von Webseiten nicht immer freiwillig ist sondern bisweilen einem faktischen Zwang unterliegt, der teilweise wesentlich stärker ist, als dass was eher für die Privatwirtschaft unter dem Stichwort Kopplungsverbot diskutiert wird: Wenn an einer Hochschule eine Lehrveranstaltung nur sinnvoll besucht wird, wenn gleichzeitig notwendige Unterlagen für die Lehrveranstaltung nur über moodle zur Verfügung gestellt werden (Skripten, E-Learning-Bausteine, digitale Kopien aus Lehrbüchern soweit zulässig) dann ist die Einwilligung der Studierenden in die Verarbeitung personenbezogener Daten bei moodle keinesfalls mehr freiwillig und folglich unwirksam.

Inhalte von Webseiten

Auch wenn die Inhalte von Webseiten personenbezogene Daten beinhalten wird der erste Impuls häufig lauten, Einwilligung einzuholen. Gerade bei Mitarbeitern (Siehe auch Beschäftigtendatenschutz.) sind aufgrund von Art. 88 DSGVO und darauf gestützt § 26 BDSG bzw. die jeweiligen Landesdatenschutzgesetze die Hürden für eine wirksame Einwilligung außerordentlich hoch. Eine Alternative sind vergütete Model-Verträge mit der Folge, dass der Rechtfertigungsgrund nicht mehr die Einwilligung sondern die Erfüllung eines Vertrages ist. Auch die Erfüllung einer rechtlichen Verpflichtung und die Wahrnehmung einer Aufgabe kommen in Betracht. Allerdings sollte auch der Grundsatz der Datenminimierung bzw. das Erforderlichkeitsprinzip strikt beachtet werden. Dienstliche(!) Emails und Telefonnummern sowie Sprechzeiten und in der Regel auch die Namen zuständiger Mitarbeiter werden also meist erforderlich sein. Ob sich eine Mitarbeiterin in Mutterschutz/Elternzeit befindet, ist dagegen nicht erforderlich anzugeben.

1)
Der EuGH ordnet IP Adressen immer als personenbezogenes Datum ein. Vgl. heise.de:EuGH korrigiert Urteil zum Datenschutz von IP-Adressen .
2)
Vgl. in der Wikipedia Web Analytics.
3)
Vgl. in der Wikipedia Zählpixel und in der englischen Wikipedia Web beacon und Facebook like button.
Drucken/exportieren
QR-Code
QR-Code Webseiten (erstellt für aktuelle Seite)