- +49 681 94005430
- kanzlei@dury.de
- Montag - Freitag 08:00 - 17:00
Datenschutzerklärung für Behörden - Rechtliche Probleme beim Betrieb von Internetseiten von Körperschaften des öffentlichen Rechts
Behörden und sonstige Körperschaften und Anstalten des öffentlichen Rechts (KdöR), also auch kommunale Eigenbetriebe, Krankenkassen oder Gebietskörperschaften wie Städte und Gemeinden betreiben - ebenso wie privatrechtliche Unternehmen und Organisationen - mittlerweile selbstverständlich Internetseiten, leisten hierdurch Öffentlichkeitsarbeit und bieten bürgernahe Leistungen an.
Dabei müssen jedoch strengere Vorgaben und kompliziertere datenschutzrechtliche Regelungen beachtet werden, als es bei privatrechtlichen Unternehmen der Fall ist.
Insbesondere gelten für KdöR von der DSGVO und dem BDSG abweichende Rechtsgrundlagen für die Datenverarbeitung, nämlich die des Landesdatenschutzrechts. Für christliche-religiöse Organisationen ist ggf. kirchliches Datenschutzrecht einschlägig.
Viele online verfügbare Legal-Tech-Services versagen daher bei der Erstellung passender Rechtstexte.
Im Folgenden geben wir Ihnen einen Überblick über die rechtlichen Fallstricke und Probleme beim Betrieb von Internetseiten durch Behörden und andere KdöR. Der Betrieb von Internetseiten durch Pfarrgemeinden, Bistümer und sonstige Organisationen bleibt einem gesonderten Blog-Beitrag vorbehalten.
Impressum und Datenschutzerklärungen von juristischen Personen des öffentlichen Rechts
Betreiber einer Internetseite stehen grundsätzlich vor der Frage, welche Rechtstexte sie ihren Nutzern zur Verfügung stellen müssen und wie diese auszugestalten sind.
Für jeden Seitenbetreiber, der eine Webseite geschäftsmäßig, d.h. zum Anbieten von Dienstleistungen betreibt, besteht die Impressumspflicht des § 5 TMG. Es ist dabei unerheblich, ob die angebotene Dienstleistung entgeltlich oder unentgeltlich erbracht wird. Zudem haben Betreiber einer Webseite regelmäßig eine Datenschutzerklärung aufzunehmen, da Internetseiten immer personenbezogene Daten ihrer Nutzer erheben und verarbeiten (Art. 13, 14 DSGVO). Die Datenschutzerklärung dient dazu, die Besucher der Webseite über die Art, den Umfang, sowie über die Zwecke der Erhebung und Verwendung ihrer Daten zu informieren.
Bei juristischen Personen des öffentlichen Rechts sind beim Betrieb einer Webseite einige rechtliche Besonderheiten zu beachten.
Wie sind also Impressum und Datenschutzerklärung auszugestalten, wenn es sich bei dem Seitenbetreiber insbesondere um eine Anstalt des öffentlichen Rechts, Körperschaft des öffentlichen Rechts, Öffentlich-rechtlicher Zweckverband, Gebietskörperschaft, landesunmittelbare Anstalt, kommunale Anstalt, Universität, etc. handelt?
Das Impressum
Welche Pflichtangaben muss ein Impressum enthalten?
§ 5 TMG regelt, welche Pflichtangaben im Impressum zu erfüllen sind, damit der Verantwortliche seinen gesetzlich vorgeschriebenen Informationspflichten nachkommt. § 5 TMG unterscheidet nicht zwischen privaten Rechtsträgern und öffentlich-rechtlichen Seitenbetreibern.
Daher müssen auch KdöR als Seitenbetreiber i.S.d. § 5 TMG folgende Pflichtangaben in ihre Anbieterkennzeichnung (Impressum) aufnehmen:
- Das Impressum muss den vollständigen Namen des Anbieters (d.h. Bezeichnung und Rechtsform der juristischen Person des öffentlichen Rechts) enthalten.
- Des Weiteren muss die ladungsfähige Anschrift der Niederlassung des Webseitenbetreibers vollständig angegeben werden.
- Angaben, die eine elektronische und unmittelbare Kontaktaufnahme ermöglichen, d.h. eine E-Mail-Adresse und eine Telefonnummer sind anzugeben.
Bei juristischen Personen des öffentlichen Rechts ist besonders zu beachten, dass deren Rechtsform ausdrücklich bezeichnet (Bezeichnung als „Körperschaft bzw. Anstalt des öffentlichen Rechts“), sowie der/die Vertretungsberechtigte/n benannt werden müssen. Daran scheitern nach unserer Erfahrung fast alle Legal Tech Anbieter von Online-Rechtstexten.
Viele der Online-Anbieter stellen schon gar nicht die richtigen Rechtsformen beim Zusammenklicken des Impressums zur Auswahl und beschränken sich auf privatwirtschaftliche Seitenbetreiber.
Soweit eine Internetseite "in Ausübung eines von § 5 Abs. 1 Nr. 5 TMG erfassten, besonders reglementierten Beruf" angeboten oder erbracht wird, muss u.a. ein Hinweis auf die zuständige Kammer und die genaue Berufsbezeichnung angegeben werden. Eine solche Informationspflicht besteht beispielsweise dann, wenn den Nutzern mittels einer durch eine Körperschaft des öffentlichen Rechts betriebene Webseite Rechtsberatung angeboten wird. Dies trifft bei besonderen öffentlichen Unternehmen zu, die eine Beratungsleistung durchführen. Hier bestehen je nach Bundesland Unterschiede hinsichtlich der Rechtsgrundlagen und der erforderlichen Angaben.
Wer ist Seitenbetreiber i.S.d. § 5 TMG?
Seitenbetreiber ist die juristische Person des öffentlichen Rechts, die für den Betrieb der Internetseite verantwortlich ist. Wer dies im Einzelfall ist, muss anhand eines Bündels von Kriterien im konkreten Fall ermittelt werden.
Im Zweifel gilt für uns: Seitenbetreiber ist derjenige Rechtsträger, der Vertragspartner des Hosting-Vertrags ist, und ergänzend, derjenige, der Domaininhaber ist. Zu berücksichtigen ist auch, wer die Inhalte der Website verändern kann bzw. wer einer Werbeagentur sagen kann, was zu verändern ist.
Insbesondere wenn die obigen Merkmale auf mehrere Institutionen / Rechtsträger zutreffen, kann es in der Beratungspraxis zu Problemen bei der Ermittlung des Seitenbetreibers i.S.d. § 5 TMG kommen. Ab und zu trifft es dann denjenigen, der sich nicht schnell genug wegducken kann oder diejenige KdöR mit den Entscheidern, die am ehesten bereit sind, das mit der Stellung als Seitenbetreiber einhergehende Risiko von Abmahnungen und Bußgeldern zu tragen.
Das Nennen einer Aufsichtsbehörde
Sofern die Internetseite im Rahmen einer Tätigkeit angeboten oder erbracht wird, die einer behördlichen Zulassung bedarf, ist die zuständige Aufsichtsbehörde zu benennen. Dabei ist deren Name, sowie deren Anschrift vollständig anzugeben.
Beispiel Wirtschaftlicher Eigenbetrieb / Kommunaler Eigenbetrieb:
Bei wirtschaftlichen Eigenbetrieben / kommunalen Eigenbetrieben ist in der Regel die Aufsichtsbehörde des jeweiligen Betriebs anzugeben. Das ist die Behörde, die das öffentliche Unternehmen in der Praxis im operativen Betrieb überwacht. Dies bestimmt sich nach dem Geschäftszweck des Eigenbetriebes, der üblicherweise in der Satzung des Unternehmens definiert wird.
Dies kann bei einem gebietsübergreifenden kommunalen Eigenbetrieb z.B. das Landratsamt sein oder - bei einem kommunal beschränkt agierenden Eigenbetrieb - das Ordnungsamt einer Gemeinde.
Bei Landesbetrieben kann dies auch ein Landesministerium oder eine Landesoberbehörde sein. Ggf. bestehen weitere Zuständigkeiten für abgegrenzte Tätigkeiten. Hierbei sind auch landesrechtliche Besonderheiten zu beachten, wie z.B. die Existenz von Mittelbehörden, z.B. Bezirksregierungen oder in Rheinland-Pfalz, die SGD-Süd, die SGD-Nord, oder die Aufsichts- und Dienstleistungsdirektion (ADD) in Trier.
Bereits an diesen komplexen Zuständigkeitsfragen sieht man, dass auf Skalierbarkeit angelegte Legal Tech Services diese Einzelfälle (noch) nicht berücksichtigen können.
Weitere Informationspflichten als Seitenbetreiber
Neben denen in § 5 TMG genannten Informationspflichten können den Seitenbetreiber weitere Pflichten - ggf. aus anderen gesetzlichen Bestimmungen (beispielsweise aus dem Verbraucherstreitbeilegungsgesetz (VSBG), der Dienstleistungs-Informationspflichten-Verordnung (DL-InfoV) oder aus der europäischen Gesetzgebung wie der ODR-Verordnung) - treffen.
Dies kann insbesondere dann der Fall sein, wenn das öffentliche Unternehmen bzw. Körperschaft oder Anstalt indirekt am Wirtschaftsleben teilnimmt. Viele Museen sind beispielsweise öffentlich-rechtlich ausgestaltet, nehmen jedoch am Wirtschaftsleben teil, indem sie beispielsweise online Tickets oder Eintrittskarten verkaufen. Es gelten bezüglich der Online-Streitschlichtung dieselben Vorschriften wie für privatrechtliche Unternehmen. Der Unternehmerbegriff wird hier aus Art. 4 I b EU-Richtlinie 2013/11/EU abgeleitet und umfasst auch Unternehmen der öffentlichen Hand.
Fraglich ist dies jedoch, wenn Einrichtungen wie Touristen-Informationen oder Museen rechtlich gesehen direkt zu einer Gemeinde angehören. Hier muss im Einzelfall geprüft werden, welche Informationen ins Impressum aufgenommen werden müssen.
Die Datenschutzerklärung
Soweit es sich bei dem Seitenbetreiber um eine juristische Person des öffentlichen Rechts (z.B. Behörde oder Gemeinde) handelt, sind vorrangig die Vorschriften des jeweiligen Landesdatenschutzrechts anzuwenden. Nur ergänzend gelten die Regelungen der DSGVO und des BDSG.
In den nachfolgenden Ausführungen werden daher nur die Informationspflichten näher behandelt, bei denen es zu rechtlichen Besonderheiten kommt, bedingt dadurch, dass es sich bei dem Seitenbetreiber um eine juristische Person des öffentlichen Rechts handelt.
Das Benennen des Verantwortlichen nach Art. 13 Abs. 1 lit. a DSGVO
Als erstes muss der Verantwortliche benannt werden (Art. 13 Abs. 1 lit. a DSGVO). Der Verantwortliche ist i.S.d. Art. 4 Nr. 7 DSGVO diejenige Person oder Firma, die die Daten erhebt, verarbeitet oder speichert bzw. dies durch Dritte vornehmen lässt. Bei juristischen Personen des öffentlichen Rechts ist zudem deren Rechtsform (Bezeichnung z.B. als „Körperschaft oder Anstalt des öffentlichen Rechts“) hinzuzufügen.
Schwierigkeiten in der Abgrenzung ergeben sich insbesondere bei Internetseiten, die von mehreren Einrichtungen gemeinschaftlich betrieben werden, hier sollte ein einziger Verantwortlicher benannt werden.
Die Internetseite wird in der Regel von einem Hosting-Unternehmen gehostet und von einer Werbeagentur betreut. Diese können ggf. Daten einsehen. Es sollten diesbezüglich datenschutzrechtliche Verträge abgeschlossen werden, wie Verträge zur Auftragsdatenverarbeitung (AV-Vertrag gem. Art. 28 DSGVO) bzw. bei gemischter Verantwortlichkeit ein Vertrag zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO (= „Joint Controllership“).
Welche Verantwortlichkeit besteht, sollten die zuständigen Datenschutzbeauftragten der beteiligten KdöR, ggf. mithilfe von juristischer Unterstützung, prüfen und festlegen.
Massive Schwierigkeiten bestehen bei Mischformen von KdöR, z.B. bei Beliehenen, wie z.B. Anwaltsnotaren oder auch bei Jobcentern, die teilweise in kommunaler Trägerschaft arbeiten, teilweise aber auch im Auftrag und unter der Aufsicht der Bundesanstalt für Arbeit (BA) in Nürnberg agieren.
Rechtsgrundlagen für den Betrieb der Website finden – standardisierte Datenschutzerklärungen von privatrechtlichen Unternehmen nicht verwendbar
Juristische Personen des öffentlichen Rechts können sich der Rechtsgrundlagen für private Unternehmen - wie bereits dargestellt - also nur teilweise bedienen.
Während bei privatrechtlichen Unternehmen als Rechtsgrundlagen - abseits der Verarbeitung von sensiblen Daten - die Art. 6 Abs. 1 S. 1 lit. a, b, c, d, f DSGVO, ggf. in Verbindung mit dem Bundesdatenschutzgesetz (BDSG) als Rechtsgrundlage dienen, können sich juristische Personen des öffentlichen Rechts gemäß Art. 6 Abs. 1 S. 2 DSGVO nicht des Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse) bedienen.
Zudem können Vorschriften des Landesdatenschutzrechts sowie des SGB V und des SGB X als Rechtsgrundlage dienen (Sozialdatenschutz).
An einer anwaltlichen Beratung und Betreuung eines solchen Online-Projekts führt daher unseres Erachtens kein Weg vorbei, wenn die zu erstellende Datenschutzerklärung nicht vollkommen an der Rechtslage vorbeigehen soll. Zugleich sollten Anwälte, die entsprechende Rechtstexte für KdöR erzeugen, nicht auf die technische Analyse der jeweiligen Internetpräsenz verzichten.
Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. e DSGVO - Wann besteht eine Aufgabe im öffentlichen Interesse, die die Verarbeitung personenbezogener Daten erfordert?
Zahlreiche Datenverarbeitungsvorgänge einer Internetseite erfolgen jedoch aufgrund von berechtigtem Interesse, wie z.B. die zumindest kurzzeitige Speicherung der IP-Adressen um dem Nutzer den Aufruf der Website zu ermöglichen. Hier ist es nicht möglich als Rechtsgrundlage die Art. 6 Abs. 1 S. 1 lit. a, b, c, d DSGVO zu wählen.
Aus diesem Grund muss je nach Verarbeitungsvorgang der Website auch die Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. e DSGVO in Betracht gezogen werden. Hiernach ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Da eine Legaldefinition von „öffentliches Interesse“ in der DSGVO nicht aufzufinden ist, sollen die Europäische Union bzw. der jeweilige Mitgliedstaat, dem der Verantwortliche unterliegt, in ihren Rechtsgrundlagen selbst konkretisieren, was unter diesem Begriff im Einzelfall zu verstehen sei.
Im öffentlichen Interesse liegen in erster Linie staatliche Aufgaben zur Bereitstellung und Sicherung von existenziell notwendig erachtenden Gütern und Dienstleistungen für die Bevölkerung. Dazu gehören z.B. die Wasser-, Strom- und Gasversorgung, die soziale Sicherheit oder Gesundheitsvorsorge.
Zu beachten ist, dass die gesetzliche Rechtsgrundlage einer solchen Datenverarbeitung dem besonderen Gewicht des mit der Verarbeitung personenbezogener Daten verbundenen Grundrechtseingriffs angemessen Rechnung tragen muss. Das öffentliche Interesse muss folglich so gewichtig sein, dass es den Eingriff in das Grundrecht auf Datenschutz rechtfertigt.
Die Datenverarbeitung muss also - wie in Art. 6 Abs. 3 S. 2 DSGVO bestimmt - zur Wahrnehmung der Aufgabe erforderlich sein. Die Datenverarbeitung ist dann erforderlich, wenn kein milderes und gleich geeignetes Mittel ersichtlich ist, durch das der Verantwortliche die Aufgabe im öffentlichen Interesse mit gleicher Sicherheit wahrnehmen kann. Der Umfang der Datenverarbeitung muss dabei auf das absolut Notwendige begrenzt sein.
Sofern dies gegeben ist, reicht Art. 6 Abs. 1 S. 1 lit. e DSGVO als alleinige Rechtsgrundlage jedoch nicht aus. Es sollte bestenfalls der entsprechende Paragraph aus dem Landesdatenschutzgesetz und die Rechtsgrundlage für die Durchführung der Öffentlichkeitsarbeit und dem Betrieb einer Internetseite der juristischen Person des öffentlichen Rechts mit zitiert werden. Eine solche Rechtsgrundlage existiert in der Regel jedoch nicht. Es müssen dann andere Rechtsgrundlagen ermittelt werden, aufgrund denen die Gründung und der Betrieb der juristischen Person des öffentlichen Rechts zu erfolgen hat. Gegebenenfalls muss hier mangels spezialgesetzlicher Grundlagen auf die jeweilige Landesverfassung zurückgegriffen werden.
Diese spezialisierten Rechtsgrundlagen stellen jedoch ein Problem hinsichtlich der Erstellung einer Datenschutzerklärung dar. Es kann nicht auf kommerziell erhältliche Datenschutzerklärungen für privatrechtliche Unternehmen zurückgegriffen werden, da diese andere Rechtsgrundlagen enthalten.
Probleme bereitet dies auch dann, wenn Social-Media-Sites von juristischen Personen des öffentlichen Rechts betrieben werden.
Weitere mögliche Rechtsgrundlagen - Sozialdatenschutz / Co.
Weitere Rechtsgrundlagen ergeben sich aus Art. 6 Abs. I S. 1 lit. a DSGVO (Einwilligung), Art. 6 Abs. I S. 1 lit. b DSGVO (Vertragszwecke), Art. 6 Abs. I S. 1 lit. c DSGVO (rechtliche Verpflichtung), Art. 6 Abs. I S. 1 lit. d DSGVO (lebenswichtige Interessen der betroffenen Person oder einer anderen Person).
Diese Rechtsgrundlagen lassen sich nur eingeschränkt für den Betrieb von Internetseiten von juristischen Personen des öffentlichen Rechts verwenden. Öffentlich-rechtliche Institutionen stehen in der Regel in einem Subordinationsverhältnis dem Bürger bzw. Websitebesucher gegenüber, weswegen ein Vertragszweck zumeist ausscheidet.
Eine Einwilligung kann jederzeit widerrufen werden und erfordert diesbezüglich intensive praktische datenschutzrechtliche Maßnahmen zur Löschung der Daten im Falle eines Widerrufs.
Eine rechtliche Verpflichtung ist beim Betreiben einer Internetseite in der Regel nicht ersichtlich und unzutreffend.
Lebenswichtige Interessen dürften beim Betrieb einer Präsenzseite nur in Ausnahmefällen als Rechtsgrundlage dienen.
Viel eher kommen allerdings spezialgesetzliche Regelungen, z.B. diejenigen des Sozialrechts in Betracht. Welche Normen diesbzgl. im Einzelfall einschlägig sind, bedarf einer anwaltlichen Prüfung des Einzelfalls.
Verwendung von besonderen Funktionen der Website
Des Weiteren muss die Datenschutzerklärung gemäß § 13 DSGVO in Verbindung mit dem jeweiligen Landesdatenschutzgesetz Bezug zu allen besonderen Funktionen nehmen, mit denen der Nutzer personenbezogene Daten über die Website übermittelt. Das sind z.B, das Anmeldeformular zum E-Mail-Newsletter oder Kontaktformulare, Terminbuchungsformulare, Störungsmeldeformulare, etc.
Dabei ist der Nutzer unter anderem über den Zweck der Datenverarbeitung und deren Rechtsgrundlage aus Art. 6 Abs. 1 S. 1 lit. a bis lit. e DSGVO zu informieren.
Grundsätzlich kann auch hier die Rechtsgrundlage „berechtigtes Interesse“ aus Art. 6 Abs. 1 Abs. 1 lit. f DSGVO nicht verwendet werden, da der Ausnahmetatbestand aus Art. 6 Abs. 1 Abs. 2 DSGVO einschlägig ist.
Hier muss ebenfalls geprüft werden, ob Art. 6 Abs. 1 Abs. 1 lit. e Var. 1 oder 2 DSGVO i.V.m. den Vorschriften des jeweils einschlägigen Landesdatenschutzrechts als Rechtsgrundlage aufgenommen werden kann. Dies ist dann der Fall, wenn die Datenverarbeitung durch Nutzen einer besonderen Funktion der Webseite für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist.
Dieser Umstand ergibt sich daraus, dass bestimmte Vorgaben aus der DSGVO hinsichtlich der genauen Ausgestaltung der gesetzlichen Rechtsgrundlage (hier: das jeweilige Landesdatenschutzgesetz) zu beachten sind.
Art. 6 Abs. 3 S. 2 DSGVO bestimmt nämlich, dass die entsprechende Rechtsgrundlage nur dann die Datenverarbeitung erlauben darf, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt. Der Zweck der Datenverarbeitung muss also in der Rechtsgrundlage selbst festgelegt werden.
Korrekte Nennung der Rechtsgrundlagen
In vielen Datenschutzerklärungen von Behörden sind die Rechtsgrundlagen am Anfang der Datenschutzerklärung den Hinweisen, die zur Erfüllung der datenschutzrechtlichen Informationspflichten dienen, vorangestellt.
Unter der Überschrift „Rechtsgrundlagen“ werden alle denkbaren Rechtsgrundlagen aufgezählt. Dies ist jedoch nicht sachgemäß, da der Seitenbesucher nicht transparent im Sinne des Erwägungsgrundes 58 zur DSGVO unterrichtet wird. Der Seitenbesucher wird den Verarbeitungsvorgang der Rechtsgrundlage nicht mehr zuordnen können, welches ein Verstoß gegen Art. 13 Abs. 1 lit. c DSGVO darstellt. Die Rechtsgrundlage sollte also beim jeweiligen Abschnitt der Datenschutzerklärung, in dem über die jeweilige Verarbeitung bzw. Erhebung unterrichtet wird, einsehbar sein.
Unterrichtung über den Datenaustausch mit anderen Websites
Werden Plugins, Scripte und Webtracker der Internetseite verwendet, die eine Weiterleitung von personenbezogenen Daten der Webseitenbesucher an Dritte ermöglichen, trifft den Verantwortlichen (= Seitenbetreiber) eine Informationspflicht insbes. nach Art. 13 Abs. 1 DSGVO. Gem. Art. 13 Abs. 1 lit. c DSGVO hat der Verantwortliche den Betroffenen über den Zweck und die Rechtsgrundlage für die Verarbeitung seiner personenbezogenen Daten aufzuklären.
Dementsprechend muss die Datenschutzerklärung Hinweise zu allen zum Einsatz kommenden Webtools und Webtrackern enthalten, sofern deren Verwendung einen Datenaustausch mit fremden Webseiten bzw. Servern ermöglicht.
Der Einsatz von amerikanischen Webtools wie z.B. Google ist derzeit, insbesondere für Behörden bzw. Körperschaften des öffentlichen Rechts, problematisch.
Grundsätzlich kann bei Behörden die Rechtsgrundlage berechtigtes Interesse gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO nicht verwendet werden, da der Ausschlussgrund nach Art. 6 Abs. 1 S. 2 DSGVO einschlägig ist.
Angesichts dessen empfehlen wir Art. 6 Abs. 1 S. 1 lit. e Var. 1 DSGVO (Ausübung im öffentlichen Interesse) i.V.m. den Vorschriften des jeweils einschlägigen Landesdatenschutzrechts als Rechtsgrundlage zu wählen. Dennoch ist die von uns angegebene Rechtsgrundlage rechtlich problematisch.
Der Einsatz von amerikanischen Produkten ist rechtlich schwerlich zu begründen, da die öffentliche Gewalt zum Betrieb einer Website nicht zwingend Google-Produkte oder andere amerikanische Webtools benötigt.
Wir gehen davon aus, dass kein zwingendes öffentliches Interesse bezüglich der Datenverarbeitung durch amerikanische Webtools wie z.B. Google Maps besteht.
Wir empfehlen aus rechtlicher Vorsicht stattdessen auf europäische Webtools zurückzugreifen, bei denen zahlreiche datenschutzrechtliche Probleme nicht gegeben sind.
Des Weiteren besteht grundsätzlich eine gewisse Unsicherheit bei der Datenübermittlung in die USA. Es ist dabei zu beachten, dass die Datenübermittlung in ein Drittland den allgemeinen Grundsätzen des Art. 44 DSGVO unterliegt. Die Datenübertragung in Staaten außerhalb der EU ist nur dann zulässig, wenn das gewährleistete Schutzniveau für Daten von natürlichen Personen auch den europäischen Standards entspricht.
Zu der Privacy-Shield-Problematik finden Sie weitere Informationen in unserem Beitrag unter: https://www.dury.de/datenschutzrecht-blog/privacy-shield-eugh.
Findet eine Datenübermittlung in die USA statt, muss der Nutzer diesbezüglich ausdrücklich informiert werden. Sofern keine Rechtsgrundlage besteht, muss auch hierauf hingewiesen werden. Grundsätzlich müssen sich juristische Personen des öffentlichen Rechts jedoch an die gesetzlichen Bestimmungen halten. Diesbezüglich besteht also ein rechtliches Problem. Zu dieser Problematik werden wir noch einen vertiefenden Blogbeitrag verfassen.
Oft finden wir in Datenschutzerklärungen von Behörden Formulierungen vor, die eine Datenübertragung an Dritte gänzlich verneinen. Wir raten dringend von solchen Formulierungen ab, da bei einer Internetseite in der Regel Dritte immer in irgendeiner Art und Weise Daten erhalten.
Das Benennen eines Datenschutzbeauftragten
Art. 37 Abs. 1 DSGVO legt fest, dass bei Behörden oder öffentlichen Stellen, mit Ausnahme von Gerichten - soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln, zwingend ein Datenschutzbeauftragter zu benennen ist. Dabei kann aber auf die Namensnennung verzichtet werden.
Die Kontaktdaten des Datenschutzbeauftragten sollten bestenfalls in der Datenschutzerklärung veröffentlicht werden, vgl. Art. 37 Abs. 7 DSGVO.
Die Betroffenenrechte nach Art. 12 ff. DSGVO
In der Datenschutzerklärung ist jede betroffene Person zumindest über die folgenden Rechte aus Art. 15 ff. DSGVO aufzuklären: das Auskunftsrecht, das Recht auf Berichtigung, das Recht auf Vergessenwerden und das Recht auf Einschränkung der Verarbeitung.
Wenn es sich bei dem Seitenbetreiber um eine juristische Person des öffentlichen Rechts handelt, ist es möglich, dass Beschränkungen der Betroffenenrechte aus Art. 15 ff. DSGVO bestehen, die sich gegebenenfalls aus einzelnen Normen des jeweiligen Landesdatenschutzgesetzes ergeben können (z.B. § 31 bis § 35 HDSIG (Hessisches Datenschutz- und Informationsfreiheitsgesetz), § 15 bis § 18 HmbDSG (Hamburgisches Datenschutzgesetz), § 10 bis §12 LDSG Saarland (Landesdatenschutzgesetz Saarland)).
Nach Art. 21 DSGVO i.V.m. § 36 BDSG ist der Nutzer zudem über das Recht auf Widerspruch der Datenverarbeitung, sowie aus Art. 20 DSGVO über das Recht auf Datenübertragbarkeit in einzelnen Fällen aufzuklären, unter Abweichung der landesdatenschutzrechtlichen Regelungen.
Erkennbarkeit und Erreichbarkeit von Impressum und Datenschutzerklärung
Die Datenschutzerklärung und die Anbieterkennzeichnung müssen so verlinkt sein, dass sie ständig verfügbar und klar bezeichnet sind (z.B. Bezeichnung als „Impressum“ bzw. als „Datenschutzerklärung“). Zudem muss eine schnelle Erreichbarkeit gewährleistet werden, d.h. der Link muss von jeder Unterseite der Website aus mit maximal zwei Klicks erreichbar sein.
Insoweit ist die für die Privatwirtschaft entwickelte Rechtsprechung identisch auf Internetpräsenzen von KdöR übertragbar.
Fazit
Bei der Erstellung von Impressum und Datenschutzerklärung für Internetpräsenzen von juristischen Personen des öffentlichen Rechts sind zahlreiche Besonderheiten zu beachten.
Am wichtigsten ist, dass man das Landesdatenschutzrecht vorrangig beachten muss, das sich je nach Bundesland in dem die Behörde (KdöR) ihren Sitz hat, voneinander unterscheidet.
Insbesondere aufgrund rechtlicher Besonderheiten bei Rechtsgrundlagen und der Einbeziehung von Regelungen der Landesdatenschutzgesetze bestehen zahlreiche rechtliche Fallstricke.
Nach unserer Erfahrung ist es absolut zwingend, sich bei Internetseiten von Behörden und sonstigen KdöR nicht auf die Ergebnisse von Legal Tech Services zu verlassen.
Die Leistungen unseres Kooperationspartners, der Website-Check GmbH, richten sich daher auch nicht an KdöR. Derartige Projekte "verarzten" wir ausschließlich direkt bei DURY LEGAL, wobei wir uns natürlich der von uns mitentwickelten technischen Analyse-Services der Website-Check GmbH bedienen, denn diese funktionieren unabhängig davon, welcher Rechtsträger hinter einer Internetpräsenz steht.
Wenn Sie Interesse an rechtlichem Support in Bezug auf eine Datenschutzerklärung für eine Behörde oder einer Datenschutzerklärung für eine sonstige Körperschaft des öffentlichen Rechts haben, melden Sie sich einfach bei uns unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! oder nutzen Sie unser Kontaktformular. Wir erstellen gerne ein förmliches Angebot für Ihre Seite. Betreiber von gewerblichen Internetseiten können unsere Angebote auf https://rechtssichere-internetseite.de/ nutzen.
Co-Autor: Stud. jur. Martina Hajas und Rechtsanwalt Marcus Dury LL.M.
Bildquelle: wal_172619 / Pixabay / stempel-büro-buchhaltung-geschäft-5100281
