Datenschutzproblem auf Webseiten

Datenschutzverstöße auf vielen Webseiten

Obwohl die Datenschutzgrundverordnung (DSGVO) und das österreichische Datenschutzgesetz (DSG) seit 2018 strengere Vorschriften zur Datenverarbeitung festgelegt haben, sind viele Betreiber von Webseiten diesen Vorgaben noch immer nicht nachgekommen.

Von großem Interesse ist hierbei die Einhaltung der Informationspflichten gemäß Art. 13 DSGVO. Unter anderem muss die Person, deren Daten verarbeitet werden, aufgeklärt werden, welche Daten erfasst werden und wie diese später zu bestimmten Zwecken weiterverarbeitet werden sollen. Weiters müssen beispielsweise auch die Kontaktdaten des Verantwortlichen und die Rechte der Person mitgeteilt werden.

In der Praxis ist die Umsetzung oft problematisch. Da jedoch der europäische Gerichtshof (EuGH) vor kurzem in einer Entscheidung festgehalten hat, dass diese Information bereits erfolgen muss, noch bevor Daten erhoben werden, besteht aus meiner Sicht für Webseitenbetreiber dringender Handlungsbedarf. Viele Webseiten sind derart erstellt, dass bereits Cookies gesetzt und automatisch Daten erfasst werden, noch bevor eine Einblendung der Datenschutzinformationen erfolgt.

Sogenannte Plug-Ins (beispielsweise ein „Facebook Like-Button“), die auf der Webseite eingebaut werden, erheben bereits Daten, sobald die Webseite geöffnet wird. Hier erfolgt dann die Einblendung der Datenschutzhinweise oftmals zu spät und stellt dies einen Verstoß gegen die Datenschutzbestimmungen dar. Dafür ist (nach der letzten Entscheidung des EuGH) auch der Webseitenbetreiber verantwortlich.

Bei der rechtlichen Prüfung derartiger Webseiten muss ich häufig auch ein Problem mit mangelhaften Zustimmungserklärungen feststellen:

Fast durchgängig wird zwar eine Datenschutzinformation eingeblendet und um Zustimmung zur Verwendung von Cookies für personalisierte Werbung ersucht. Selbst bei Ablehnung wird man aber in weiterer Folge geradezu mit personalisierter Werbung überschüttet. Das zeigt, dass diese – sehr standardisiert wirkenden – Datenschutzinformationen bloß zum Schein eingeblendet werden. Auch dies stellt natürlich einen massiven Verstoß gegen die Bestimmungen der DSGVO dar.

Solche Verstöße können neben Beschwerden an die Datenschutzbehörde auch dazu führen, dass der Betroffene auf Unterlassung klagt. Möglich wäre – je nach Art und Schwere des Verstoßes – auch die Geltendmachung eines Schadenersatzes gegenüber dem Webseitenbetreiber. Die Medien berichten über zunehmende anwaltliche Abmahnschreiben, mit denen die Betroffenen den Ersatz der entstandenen Schäden einfordern. Vor der Bezahlung solcher Forderungen sollten Sie genau prüfen, ob ein solcher Anspruch auf Schadenersatz überhaupt besteht. In solchen Fällen ist eine fachkundige Rechtsauskunft anzuraten.

Weil aber Betroffene unter bestimmten Voraussetzungen nach den Bestimmungen des § 29 DSG und Art. 82 DSGVO Anspruch auf den Ersatz dieser Schäden haben können, empfehle ich den Betreibern von Webseiten die technische Umsetzung zu prüfen und sich bereits hierzu rechtlich beraten zu lassen.

11-09-2019