Digitale Dienste bei Bundesbehörden
Die Bundesbehörden stellen ein breites Spektrum an digitalen Diensten zur Verfügung, die oftmals der Informationsvermittlung an die Bürgerinnen und Bürger dienen. In diesem Kontext kommt dem Datenschutz eine besondere Bedeutung zu.
Digitale Dienste, wie beispielsweise Webseiten, sind ein wichtiger Bestandteil der Öffentlichkeitsarbeit. Der § 3 des Gesetzes zur Förderung der elektronischen Verwaltung (EGovG) verpflichtet Bundesbehörden deshalb Informationen über ihre Aufgaben, Anschrift, Geschäftszeiten sowie Erreichbarkeiten über öffentlich zugängliche Netze bereitzustellen. Um dieser Verpflichtung nachzukommen, setzen die Behörden insbesondere Webseiten oder Apps ein. Zudem stellen sie über Social-Media-Kanäle Information für die Bürgerinnen und Bürger bereit.
Neben der Öffentlichkeitsarbeit müssen vermehrt die Verwaltungsdienstleistungen von Bund und Ländern über Verwaltungsportale digital angeboten werden. Hierzu verpflichtet das Onlinezugangsgesetz (OZG) Bund und Länder.
Behörden haben daher nicht nur ein grundsätzliches Interesse daran, digitale Dienste zu betreiben, sondern sind teilweise sogar dazu verpflichtet. Behörden, die digitale Dienste anbieten, müssen hierbei eine Vielzahl an gesetzlichen Vorgaben beachten. Im Hinblick darauf, dass zahlreiche Bürgerinnen und Bürger auf diese Informationen durch digitale Dienste angewiesen sind, ist es von großer Bedeutung, dass sie darauf vertrauen können, dass der Datenschutz in vollem Umfang gewährleistet ist und die Privatsphäre der Nutzenden in angemessener Weise geschützt wird.
Mit dem Aufruf einer Webseite oder App wird typischerweise auf die Endeinrichtungen (wie etwa Computer, Tablets, Mobiltelefone) der nutzenden Personen zugegriffen und auf der Endeinrichtung Informationen gespeichert oder auf dort gespeicherte Informationen zugegriffen. Die Anforderungen an derartige Zugriffe regelt das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Zudem werden hierbei regelmäßig auch personenbezogene Daten, etwa in Form der IP-Adresse, verarbeitet. Bei der Ausgestaltung digitaler Dienste sind daher auch die Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) zu erfüllen.
Anforderungen des Datenschutzes
Die datenschutzrechtlichen Anforderungen an digitale Dienste umfassen grundlegende Prinzipien wie Rechtmäßigkeit, Transparenz und Zweckbindung, die sicherstellen, dass personenbezogene Daten nur auf rechtlicher Grundlage und für klar definierte, legitime Zwecke verarbeitet werden. Zudem sind Maßnahmen zur Datenminimierung, Richtigkeit, Speicherbegrenzung sowie zur Gewährleistung von Integrität und Vertraulichkeit erforderlich, um die Sicherheit der Daten zu garantieren. Auch die Integrität der Endeinrichtung zum Schutz der Privatsphäre in der elektronischen Kommunikation ist durch den Anbieter des digitalen Dienstes zu achten. Die Einhaltung dieser Vorgaben ist von zentraler Bedeutung, um das Vertrauen der Nutzer zu stärken und ihre Privatsphäre zu wahren.
Darüber hinaus müssen Behörden weitere Anforderungen erfüllen und Verpflichtungen einhalten, wie etwa die Mindeststandards für die Sicherheit der Informationstechnik des Bundes, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeitet hat. Aus diesen Standards ergibt sich unter anderem, dass die Bundesbehörden bestimmte Daten protokollieren und diese Daten über einen festgelegten Zeitraum für das BSI bereithalten müssen, um Cyberangriffe erkennen und auswerten zu können. Webseiten können zwar grundsätzlich ohne den Einsatz einwilligungsbedürftiger Trackingtechnologien gestaltet werden, gleichwohl möchten viele Webseitenbetreiberinnen und -betreiber die Aktivitäten der Nutzenden bei dem Besuch ihrer Webseiten nachverfolgen, etwa um Statistiken zur Verbesserung der Nutzbarkeit des digitalen Dienstes zu erstellen. Dies ist auch bei den öffentlichen Stellen des Bundes zu sehen. Eine Einführung zu den wichtigsten rechtlichen und technischen Grundlagen zu diesem Themenkomplex hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) im Rundschreiben Telemedien 01/2023: Tracking, Cookie, Banner bereitgestellt. Weitere Informationen sind auch auf der Themenseite zu Cookies und Trackingtechnologien sowie dem Beitrag zum Einwilligungsbanner nachzulesen.
Einbindung von Drittanbieter
Auch bei der Einbindung von Diensten eines Drittanbieters, wie beispielsweise einem Kartendienst, hat der Betreiber des digitalen Dienstes die Anforderungen an das TDDDG und die DSGVO zu erfüllen. Der Diensteanbieter entscheidet über den Inhalt und die Gestaltung der Webseite und legt somit Mittel und Zwecke der Verarbeitung fest; er ist daher datenschutzrechtlich Verantwortlicher. Erfüllt ein Dienst eines Drittanbieters die rechtlichen Anforderungen nicht, muss der Diensteanbieter auf einen alternativen Dienst umstellen oder die Datenverarbeitung soweit anpassen, dass der Drittdienst nicht auf die Endeinrichtung mehr zugreift und keine personenbezogenen Daten mehr verarbeitet, siehe auch hierzu das Rundschreiben Telemedien 01/2023: Tracking, Cookie, Banner.
Die BfDI stellt auf ihrer Webseite vielfältige Informationen zu verschiedenen Themen im Bereich der digitalen Dienste zur Verfügung, die sowohl für öffentliche Stellen des Bundes als auch für Bürgerinnen und Bürger von Relevanz sind. Insbesondere finden sich dort Ausführungen zur Nutzung sozialer Medien durch Bundesbehörden, zu Plattformen wie Facebook und TikTok, dem in der Bundesverwaltung häufig genutzten Web-Analyse-Tool Matomo sowie zu der Verwendung von Zählpixeln.
Zuständigkeit der BfDI
Der BfDI obliegt dabei die Zuständigkeit für die Aufsicht über die Einhaltung der datenschutzrechtlichen Bestimmungen der öffentlichen Stellen des Bundes. In dieser Funktion überwacht die BfDI nicht nur, sie berät auch die Bundesbehörden. Um die in ihren Zuständigkeitsbereich fallenden öffentlichen Stellen bei der Wahrung des Datenschutzes zu unterstützen, bietet die BfDI im Rahmen der ihr zur Verfügung stehenden Ressourcen den behördlichen Datenschutzbeauftragten entsprechende Beratungen und Informationsgespräche an.
Die Datenschutzbeauftragten der Bundesbehörden sind eingeladen, sich bei Fragen zu digitalen Diensten an das hierfür zuständige Referat 23 (referat23@bfdi.bund.de) der BfDI zu wenden. Das Referat 23 steht bereit, um die Datenschutzbeauftragten bei der Umsetzung der Datenschutzvorschriften zu unterstützen und somit den Datenschutz in der öffentlichen Verwaltung des Bundes zu stärken.