Datenschutzkonformer Einsatz von Drittdienstleistern
Ein haftungsrechtlich wichtiges Thema (gerade für Community Betreiber in Deutschland) ist zudem die so genannte "Auftragsdatenverarbeitungsvereinbarung" nach § 11 BDSG. Danach muss in Fällen der weisungsgebundenen Datenverarbeitung durch einen Dritten (externes Hosting; externer Newsletter-Versand; externe Webanalyse; Wartung der eigenen IT durch externes Unternehmen etc.) dieser Dritte vom datenauslagernden Unternehmen in einem eigenen (relativ umfangreichen) "Datenschutz-Vertrag" gebunden werden. Bei Nichtvorlage dieser Verträge drohen Bußgelder der Datenschutz-Aufsichtsbehörden und im hierdurch begründeten Schadensfall Ersatzansprüche der Betroffenen.
Was passiert bei einem Datenleck?
Ein weiteres wichtiges Thema sind sogenannte "Data Breach Notifications" (Selbstanzeigepflichten im Datenverlustfall) in vor allem § 42a BDSG und § 15a TMG. Vereinfacht zusammengefasst besagen diese Vorschriften: gehen insbesondere Konto- oder Kreditkartendaten oder Bestands- oder Nutzungsdaten verloren, werden von einem Dritten gehackt oder ist ein solches Datenverlustszenario nicht auszuschließen, müssen die Betroffenen sowie die Datenschutz-Aufsichtsbehörde unverzüglich informiert werden, um empfindliche Bußgelder, Schadenersatzansprüche und im Einzelfall sogar strafrechtliche Sanktionen zu vermeiden.
Fazit
Community-Betreiber haben eine Reihe von datenschutzrechtlichen Vorgaben zu beachten. Neben eher formalen Vorgaben zur Vermeidung von Haftung und Bußgeldern enthalten die Regelungen zudem eine Antwort auf die Frage "wer auf welche Daten zu welchem Zweck" zugreifen darf. Unternehmen sollten die Regelungen daher auch unter strategischen Gesichtspunkten interpretieren und in ihre Produktgestaltung einfließen lassen. (oe)
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt, Inhaber des Instituts für IT-Recht - IITR GmbH und externer Datenschutzbeauftragter.
Kontakt: IITR, Tel.: 089 51303920, E-Mail: email@iitr.de