Versions Compared

Version Old Version 33 New Version 34
Changes made by

Paul.Kowas

Paul.Kowas

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Es handelt sich bei der Einbindung des Online-Dienstes datenschutzrechtlich nicht um eine Übermittlung an einen Dritten oder eine gemeinsame Verantwortung, sondern um eine Auftragsverarbeitung des Verantwortlichen. Dass der Inhalt „woanders“ liegt/eingebunden wird, ist rechtlich unerheblich. Der Inhalt wird rechtlich so behandelt als gehöre er zur Website des/der Verantwortlichen. Im Unterschied dazu gelten Dienstleister wie YouTube, Twitter etc. nicht als Auftragsverarbeiter, sondern je nach Einschätzung als Dritte oder gemeinsame Verantwortliche, da sie die Daten nicht nur im Auftrag, sondern als Werbeplattformen eben auch zu eigenen Zwecken verarbeiten. Im Ergebnis braucht es für die Übermittlung an diese eine eigene Rechtsgrundlage. Sie „erben“ nicht wie der Auftragsverarbeiter die Rechtsgrundlage des/der Verantwortlichen. Da viel Unsicherheit herrscht, ob hierzu Rechtsgrundlagen tragen, die darauf aufbauen, dass die Einbindung „erforderlich“ ist, holen sich Webseitenbetreiber oft pauschal die Einwilligung bei den Nutzenden, indem sie etwa Zwei-Klick-Lösungen vor der Einbettung implementieren.

Gibt es ein IT-Sicherheitskonzept für den Online-Dienst?

„Eine vollständige Zurverfügungstellung des IT-Sicherheitskonzepts für die Kommunen ist im IT-Sicherheitsmanagement des ZIT-BB und auch der AKDB nicht vorgesehen. Der Grund dafür ist vor allem die Vertraulichkeit der im Informationssicherheitsmanagementsystem hinterlegten Informationen. Das gilt insbesondere vor dem – auch Praktikabilitäts- und Zweckmäßigkeitsfragen aufwerfenden – Hintergrund, dass an dem Online-Dienst zumindest mittelbar eine Reihe von IT-Systemen beteiligt sind. […].

Die vollständige Zurverfügungstellung eines IT-Sicherheitskonzepts ist datenschutzrechtlich zudem nicht erforderlich. Weder aus den Vorschriften zur Auftragsverarbeitung in Art. 28 DSGVO noch aus den Pflichten des Verantwortlichen geht die konkrete verpflichtende Form des Nachweises und der Kontrolle der technischen und organisatorischen Maßnahmen beim Verantwortlichen hervor. Nach hiesiger Auffassung genügt eine Zusammenfassung der für den Online-Dienst wesentlichen technischen und organisatorischen Maßnahmen, wie sie bereitgestellt wurde, in Verbindung mit der vertraglich bereits sichergestellten Möglichkeit weitergehender Kontrollen, etwa im Rahmen einer Einsichtnahme.“

...

Fachliche Fragen

Wie verhält es sich mit der Fiktionswirkung bei einer Online-Antragsstellung?

...