Datenschutz und Rechtliches – Kurzfassung
Letztes Update:
21. September 2023
Entwurf – Inhalt noch in Arbeit
Symbolbild
Wie hilft dieses Element den Nutzern?
Datenschutz und Security sind komplexe Thematiken, welche als Qualitätsanforderung bei der Umsetzung jeglicher digitalen Plattform berücksichtigt werden muss.
Im Folgenden werden die wichtigsten für digitale Plattformen umzusetzenden Themen kurz umrissen. Dies soll eine Hilfestellung für alle mit Konzeption, Umsetzung und Betreuung digitaler Plattformen betrauten Personen darstellen. Details im Zusammenhang mit konkreten Umsetzungen sind mit Jurist:innen bzw. Datenschutzbeauftragten zu klären.
Obligatorische Inhalte
Zwingend abzubildende Informationen auf digitalen Plattformen:
Impressum:
Informationen über Medieninhaber und Verantwortlichkeiten gegenüber der betreffenden Plattform.
Datenschutz:
Bei der Erhebung personenbezogener Daten müssen die betroffenen Personen über die Erhebung und die Verwendung der Daten informiert werden. Dies betrifft bereits den Zugriff auf die Plattformen, da auch IP-Adressen zu den personenbezogenen Daten zählen. Andere Beispiele wären Formulare, Buchungsstrecken, etc…
Cookie-Erklärung:
Informationen über alle im Zusammenhang mit personenbezogenen Daten im Einsatz befindlichen Technologien, zum rechtmäßigen Umgang, zum Schutz und zur Geheimhaltung und Datensicherheit von personenbezogenen Daten. Diese Technologien können beispielsweise Cookies, Pixel-Tracker, Local Storage, aber auch vergleichbare Technologien sein, welche mit personenbezogenen Daten agieren, diese auslesen, speichern, tracken, oder mit denen diese Daten ausgewertet werden können.
Cookie-Einwilligung:
Nutzer müssen vor dem Setzen der ersten nicht technisch notwendigen Cookies frei entscheiden können, ausgewählte oder alle Cookies zu akzeptieren oder abzulehnen. Ohne Zustimmung dürfen keine Cookies gesetzt werden. Vor einer Einwilligung bzw. wenn keine Einwilligung erfolgt, dürfen Funktionalitäten, welche Cookies benötigen, nicht angezeigt werden. Stattdessen erfolgt ein Hinweis, dass für die Verwendung der entsprechenden Funktionalität eine Zustimmung zu Cookies nötig ist.
Den Nutzern muss es möglich sein, Impressum und Cookie-Erklärung bzw. Datenschutzerklärung zu erreichen, auch OHNE vorher eine Entscheidung über Cookies zu treffen.
Es muss den Nutzern möglich sein, eine Einwilligung zu den Cookies jederzeit rasch und einfach widerrufen zu können.
Umgang mit personenbezogenen Daten
Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht. Das betrifft u.a. auch die IP-Adresse.
Werden personenbezogene Daten, welche über eine Vertragserfüllung hinausgehen ausgelesen, getrackt, analysiert oder weitergeleitet bzw. anderwertig verarbeitet, muss eine entsprechende Einwilligung vom Nutzer vorliegen.
Dies betrifft zum Beispiel Cookies und ähnliche Technologien aber auch Anmeldungen zu Newslettern, Registrierungen und sonstige Formulare bei welchen Daten übertragen werden. Bei Buchungen, in deren Rahmen ein Vertrag eingegangen wird, kann eine konkrete Einwilligung des Nutzers gegebenenfalls entfallen. Es reicht zumeist die Information zum Datenschutz.
Jeder Verantwortliche für die Erhebung von personenbezogenen Daten – z.B. bei einer Newsletter-Anmeldung – muss gewährleisten, dass die Daten unter angemessener Sicherheit verarbeitet werden. Auch muss der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust und unabsichtlicher Zerstörung bzw. Schädigung der Daten gewährleistet sein.
Datentransfer an Drittstaaten
Auf Websites dürfen keine Daten an Drittländer gesendet werden außer es liegt eine Einwilligung des Nutzers vor oder ein entsprechendes Vertragsverhältnis. Dies betrifft auch schon das erstmalige Laden der Website. Drittländer meint jene Staaten, deren Datenschutzniveau von der EU nicht als gleichwertig anerkannt worden ist.
Datentransfer an Dienstleister
Kommen externe Dienstleister in Kontakt mit personenbezogenen Daten der Nutzer, muss mit ihnen gemäß DSGVO ein Auftragsverarbeitungsvertrag abgeschlossen werden. Dieser regelt den Umgang und die Verarbeitung der personenbezogenen Daten, welche im Rahmen der beauftragten Leistungen verarbeitet werden. Diese Verarbeitung erfolgt auch wenn diese nicht genannter Teil eines Vertrages/Auftrages ist.
IT-Sicherheit
IT-Sicherheit bzw. der Schutz sensibler Informationen ist von großer Wichtigkeit und als qualitative Anforderung ein essentieller Bestandteil jeglicher Umsetzung, vor allem auch von digitalen Plattformen.
Der Begriff „Informationen“ umfasst auch alle Daten und Informationen, die von Kund:innen für Buchungen/Reservierungen/Anfragen etc. zur Verfügung gestellt werden.
Vorrangiges Ziel der IT-Sicherheit ist es, Informationen angemessen, wirksam und durchgängig vor Bedrohungen zu schützen und ihre Schutzziele aufrecht zu erhalten. Dies umfasst die Verarbeitung und Speicherung aller Informationen, die in elektronischer oder gedruckter Form vorliegen können.
Zur Wahrung der IT-Sicherheit dienen die folgenden Schutzziele:
· Verfügbarkeit (availability): Verfügbarkeit bedeutet, dass Informationen und deren automatisierter Transport, Verarbeitung und Speicherung immer dann verfügbar sein müssen, wenn ein:e autorisierte:r Benutzer:in sie bearbeiten bzw. in Anspruch nehmen will. „Verfügbar“ heißt in diesem Zusammenhang auch, dass der Zugriff auf Informationen, Funktionen und Betriebsmittel in einer akzeptablen Zeit zu gewährleisten ist.
· Integrität (integrity): Integrität bedeutet Schutz vor Modifikation von Informationen durch nicht berechtigte Personen und stellt die Richtigkeit, Konsistenz und Vollständigkeit von Informationen dar.
· Vertraulichkeit (confidentiality): Vertraulichkeit bedeutet Schutz vor Offenlegung von Informationen ohne Erlaubnis der:s Eigentümerin:s
Für Details zu Grundsätzen, Zielen, Rollen und Verantwortlichkeiten siehe Richtlinie No. 2020/K-12-00-V1 IT-Sicherheit
Für Details zur sicheren Programmierung und Konfiguration von Webanwendungen siehe Sicherheitsrichtlinie No. 2023/xxxx Webanwendungen & Webservices Programmierung & Server-Konfiguration
Weitere Details sind mit Jurist:innen bzw. Datenschutzbeauftragten zu klären.