Anbieter von Online-Diensten verarbeiten sehr häufig personenbezogene Daten von Nutzerinnen und Nutzern, sodass der Anwendungsbereich der DSGVO für diese Konstellation ohne Weiteres eröffnet ist. Die dabei einzuhaltenden Maßnahmen zur Sicherung des Zugangs zu den Diensten sind in Art. 32 DSGVO (Sicherheit der Verarbeitung) niedergelegt.
Für die Umsetzung in der Praxis hat der Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder (DSK) eine Orientierungshilfe veröffentlicht. Sie beschreibt die Anforderungen zur Zugangssicherung, denen Anbieter von Online-Diensten nach Ansicht der Datenschutzaufsichtsbehörden nachkommen müssen, um dem Stand der Technik zu entsprechen und einen effektiven Schutz zu gewährleisten.
Die DSK empfiehlt insbesondere, sich am IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu orientieren. Dort sind beispielsweise im Abschnitt „Identitäts- und Berechtigungsmanagement“ der Passwortgebrauch (ORP.4.A8) oder das Zurücksetzen von Passwörtern (ORP.4.A11) einschlägig geregelt. Unabhängig davon sind die Grundsätze von Data Protection by Design und Data Protection by Default (Art. 25 DSGVO) zu beachten.
Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA)
Diese Leitlinien zur Verarbeitung personenbezogener Daten im Kontext von Online-Dienstleistungen basieren auf Art. 6 Abs. 1b DSGVO. Die Leitlinien schränken den o.g. Grundsatz insoweit ein, dass es zur Beurteilung der Frage, ob eine Datenverarbeitung zur Vertragserfüllung erforderlich ist, nicht allein auf die Vereinbarungen im Vertrag ankommt. Unter Berücksichtigung der in Art. 5 DSGVO niedergelegten Datenschutzgrundsätze wie Datenminimierung, Fairness und Transparenz ist nach den Vorgaben des EDSA vielmehr eine Bewertung dahingehend vorzunehmen, ob Unternehmen die Verarbeitung von Daten der Nutzerinnen und Nutzer auf die Rechtsgrundlage „Vertragserfüllung“ stützen können.
Eine Datenverarbeitung für Zwecke der personenbezogenen Onlinewerbung kann danach grundsätzlich nicht auf die Rechtsgrundlage „Vertragserfüllung“ gestützt werden. Ob die Erforderlichkeit tatsächlich schon dann bejaht werden kann, wenn diese im Rahmen einer vertraglichen Klausel vereinbart wurde oder ob die Erforderlichkeit nicht erst dann angenommen werden kann, wenn die Verarbeitung für die Erfüllung eines Vertrages oder für die Vertragsanbahnung objektiv als erforderlich betrachtet werden muss, ist eine sehr praxisrelevante Frage.
Abzuwarten bleibt, ob die Leitlinien am Ende mehr Rechtssicherheit bringen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, begrüßte die Annahme der Leitlinien ausdrücklich.
Von Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München