… wird geladen

zurück zur News-Übersicht

01.August 2018

Datenschutzkonformer Einsatz von Tools und Plug-Ins auf Websites öffentlicher Stellen in Hessen

Aus den Bereichen: DatenschutzDatenschutzgrundverordnungDigitalisierung

Auswirkungen des neuen hessischen Datenschutzrechts auf den Betrieb von Websites durch öffentliche Stellen in Hessen

Anfang Mai verabschiedete der Hessische Landtag das „Hessische Gesetz zu Anpassung des Hessischen Datenschutzrechts an die Verordnung (EU) Nr. 2016/679 (DSGVO) und zur Umsetzung der Richtlinie (EU) Nr. 2016/680 und zur Informationsfreiheit“ (Im Folgenden nur: „HDSIG“).

Was bedeutet das?

Zum besseren Verständnis erläutere ich zunächst, in welchem Verhältnis die vorgenannten Bestimmungen zur DSGVO stehen. Als Europäische Verordnung ist die DSGVO in Deutschland unmittelbar anwendbares Recht. Die DSGVO enthält an diversen Stellen Öffnungsklauseln, welche die nationalen Gesetzgeber nutzen können, um nationale Besonderheiten durch ergänzende Gesetze abzubilden. In Deutschland wurde dafür das Bundesdatenschutzgesetz „renoviert“ und in neuer Fassung verabschiedet. Da Deutschland föderalistisch organisiert ist, gibt es neben Bundesgesetzen in bestimmten Bereichen auch Gesetze der (Bundes-)Länder. So auch im Datenschutz.

Richtig! Daraus entsteht ein beachtlicher Regelungswust. Aber keine Sorge. Aufgrund der Kompetenzverteilung in der Gesetzgebung sind die Gesetze des Bundes und der Länder im Bereich Datenschutz nur ergänzend und nicht abweichend zur DSGVO zu verstehen. Mit anderen Worten: Regelt der Bundes- oder Landesgesetzgeber etwas, für das die DSGVO keine Öffnungsklausel vorsieht, oder das von dem Regelungsgedanken der DSGVO abweicht, stehen die Chancen gut, dass man in einem langwierigen und kostspieligen Rechtsstreit klären lassen kann, ob die streitige Regelung aufgrund eines Verstoßes gegen europäisches Recht anders ausgelegt werden muss oder erst gar nicht anwendbar ist.

Da das nicht jedermanns Sache und das Internet aktuell das Marketinginstrument überhaupt ist, taucht in unserer Beratungspraxis derzeit häufig das Verlangen nach einer datenschutzkonformen Gestaltung von Onlinepräsenzen auf. Je nach Komplexität der untersuchten Konstellation kann dies zu einer echten Mammutaufgabe werden. Am Beispiel der Website: Je mehr Funktionalitäten und Tools eine Website bietet / nutzt, desto mehr Fragezeichen muss man derzeit hinter ihre Datenschutzkonformität setzen. Um es vorweg zu nehmen: Alle in diesem Bereich tätigen Kollegen orakeln derzeit fleißig nach bestem Wissen und Gewissen. In vielen Sachverhalten sind die Rechtsfragen allerdings so komplex oder vom Einzelfall geprägt, dass Rechtssicherheit vermutlich erst durch die fortlaufende Rechtsprechung (insbesondere des europäischen Gerichtshofes) erreicht werden wird.

Online Marketing Instrumente auch für öffentliche Stellen?!

An dieser Stelle wird es für öffentliche Stellen besonders spannend. Denn Sie unterliegen neben der DSGVO den (ggfs. zusätzlichen) Voraussetzungen des HDSIG. Um den Umfang der hier möglichen Ausarbeitung nicht zu überschreiten, möchte ich mich an dieser Stelle auf zwei Themenbereiche konzentrieren.

Viele Websites greifen aktuell auf diverse Plug-Ins, und Analysetools zurück (Google Analytics, PIWIK, Social-Media Plug-Ins, div. WordPress Plug-Ins). Diese Tools und Plug-Ins bewirken häufig, dass Daten der Websitebesucher wie IP-Adressen und Logfiles erfasst und an externe Unternehmen übermittelt werden. Diese übermittelten Daten beinhalten teilweise auch personenbezogene Daten der Seitenbesucher.

Berechtigungsgrund für den Einsatz von Drittanbietertools?

Den Einsatz vorgenannter Tools und Plug-Ins stützen Unternehmen der Privatwirtschaft derzeit regelmäßig auf den durch die DSGVO neu eingeführten „Berechtigungsgrund“ des berechtigten Interesses (für die Interessierten: Art. 6 Abs. 1 Satz 1 lit f) DSGVO). Für öffentliche Stellen ist die Datenverarbeitung aufgrund eines berechtigten Interesses regelmäßig nicht zulässig, da die Personen, deren Daten durch öffentliche Stellen verarbeitet werden, zu der öffentlichen Stelle meist in einem „spezifisch staatlichen Verhältnis“ stehen. Dieses ist regelmäßig von einem Über- / Unterordnungsverhältnis zwischen Bürger und Staat geprägt und der Gesetzgeber möchte dem Staat in diesen Fällen eher „restriktive“ Befugnisse einräumen. Hinzu kommt, dass § 3 Abs. 1 HDSIG vorsieht, dass die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle zulässig ist, wenn sie zur Erfüllung der in der Zuständigkeit liegenden Aufgabe (…) oder in Ausübung öffentlicher Gewalt (…) vorgenommen wird. Ob das Übermitteln von IP-Adressen und Logfiles an Drittanbieter zur Erfüllung einer öffentlichen Aufgabe erforderlich ist, kann man im Einzelfall sicherlich nicht immer guten Gewissens bejahen. Ich halte § 3 des HDSIG allerdings nicht für eine Einschränkung der Berechtigungsgründe der DSGVO, denn eine solche Lesart würde dem zu Eingangs erläuterten Vorrang des europäischen Rechts entgegenstehen. Ich lese § 3 HDSIG vielmehr als „Konkretisierung“ eines bestimmten Berechtigungsgrundes der DSGVO (wer nachlesen will: Art. 6 Abs. 1 Satz 1 lit e) DSGVO).

Ich erachte es deshalb für derzeit gut vertretbar, den Einsatz von Drittanbietertools auf Websites auch als öffentliche Stelle auf ein berechtigtes Interesse zu stützen (sofern ein solches vorliegt), da die Besucher einer öffentlichen Website zu der öffentlichen Stelle nicht in einem „spezifisch staatlichen Verhältnis“ stehen. Kann sich die öffentliche Stelle beim Einsatz des Tools sogar auf ihre öffentliche Aufgabenwahrnehmung berufen, sollte dies allerdings weiterhin den vorrangigen Berechtigungsgrund darstellen.

Und was ist mit der Auftragsverarbeitung?

Das HDSIG löst eine weitere in diesem Zusammenhang häufig auftretende Problematik zu Gunsten der öffentlichen Stellen. Bei dem Einsatz von Drittanbietertools handelt es sich häufig um Auftragsverarbeitungssituationen im Sinne des Art. 28 DSGVO, denn die öffentliche Stelle als Betreiber der Website bedient sich eines externen „Auftragsverarbeiters“ (Drittanbieter) zur Verarbeitung der erfassten Daten von Websitebesuchern. Nach alter Rechtslage (damals noch: „Auftragsdatenverarbeitung“) war diese Situation für öffentliche Stellen regelmäßig äußerst kritisch zu beurteilen, da der Einsatz von Auftrags(daten)verarbeitern nach dem „alten“ hessischen Datenschutzrecht nur unter sehr engen Voraussetzungen möglich war.

Dies dürfte durch das neue HDSIG nunmehr etwas gelockert worden sein, denn dort wurde auf die entsprechende Vorschrift verzichtet, die nach altem Landesrecht Auftrags(daten)verarbeitungssituationen strengen Voraussetzungen unterwarf. Aufgrund dessen dürfte die bisherige Pflicht öffentlicher Stellen, beim Einsatz von Auftragsverarbeitern sicherzustellen, dass sich diese zur Einhaltung der   Bestimmungen des hessischen Landesrechts vertraglich verpflichten und sich der Kontrolle des Hessischen Datenschutzbeauftragten unterwerfen, entfallen sein. An dieser Voraussetzung scheiterte nach alter Rechtslage regelmäßig der rechtskonforme Einsatz von Drittanbietertools (wie Google Analytics), da die zumeist in den USA ansässigen Drittanbieter sich weigerten, den vorgenannten Voraussetzungen zu unterwerfen.

Das neue HDSIG kann also einen ersten Schritt in Richtung technischer Fortschritt bedeuten. Es bleibt zu hoffen, dass die Auslegung des Rechts durch die Aufsichtsbehörden und zur Entscheidung berufenen Gerichte diesen Weg fortan unterstützt.

Gleichwohl bleibt natürlich folgendes Fazit: Öffentliche Stellen sind derzeit gut beraten, ihre Datenübermittlungen an externe Partner genau zu untersuchen. Handelt es sich um ein Auftragsverarbeitungsverhältnis, empfehlen wir, einen Auftragsverarbeitungsvertrag zu schließen, der die Rechte und Pflichten beider Parteien abschließend regelt.

Sollten Sie Rückfragen oder Beratungsbedarf haben, sprechen Sie uns gerne an.

Jonas Puchelt
Rechtsanwalt

Schloss mit abstrakten Linien und Punkten