Eine Online-Plattform ist in erster Linie eine Technologie zur Interaktion mit Nutzern oder Nutzergruppen. Es gibt eine Reihe von Plattform-Arten (Produkte, Dienstleistungen, Informationen u.a.) und sogar Unternehmen, die ein Plattform-Geschäftsmodell nutzen.

Das Handelsblatt berichtete Ende November über einer von der Universität Göttingen durchgeführten Studie, welche vom Bundesjustizministerium in Auftrag gegeben wurde.  In der Studie stellte sich laut Justizstaatssekretär Herrn Gerd Billen heraus: „Nicht ansatzweise alle Dienste haben die DSGVO umgesetzt, und dies schon gar nicht vollständig.“ Über diese Thematik wurde auch in der Internetkonferenz der Vereinten Nationen dem Internet Governance Forum 2019 berichtet.

I. Aktuelles zur Studie

In der Studie wurden im Zeitraum von Juli bis September 2019 insgesamt 35 Online Dienste in Form von Sozialen Medien, Online Shops, Buchungsportale und Banken überprüft. Unter anderem wurde analysiert, ob Persönlichkeitsprofile erstellt wurden und wenn ja, ob der Nutzer darüber informiert wurde. Zudem wurde auch überprüft, ob besonders sensible Daten ausreichend geschützt wurden sind. Weiterhin problematisch war laut der Studie der Schutz Minderjähriger, die Datenverarbeitung zu Werbezwecken und vor allem die mangelnde Transparenz gegenüber den Betroffenen.

II. Datenschutzkonformer Umgang in Plattformen

Betreiber einer Plattform müssen nach der DS-GVO angemessene technische und organisatorische Maßnahmen nach dem Stand der Technik gemäß Art. 32 DS-GVO einhalten. Unabhängig, ob es sich um bekannte große Online-Plattformen oder die Datenaustauschplattform vom ortsansässigen Sportverein handelt, sind die datenschutzrechtlichen Grundprinzipien einzuhalten.

Die Anwendungsmöglichkeiten und Vorteile einer Datenaustauschplattform, sofern die richtigen Datensicherungsmaßnahmen getroffen wurden, sind vielschichtig. Etwaige Datenübermittlung können transparent und manipulationssicher gestaltet werden und auf verschlüsseltem Weg (End-to-End-Übertragung oder digital signiert) stattfinden. Datenübersendungen sind entsprechend nachverfolgbar und die Berechtigungen der Nutzer können eingeschränkt werden.  

Sofern eine Registrierung mit Benutzername und Passwort notwendig ist, werden hohe Anforderungen an die Speicherung der Daten gestellt (keine Speicherung im Klartext).  Des Weiteren sind die datenschutzrechtlichen Grundsätze Privacy by design und privacy by default sowie das Recht auf Datenübertragung zu beachten.

Neben den Maßnahmen zur Datensicherheit ist es gemäß Art. 12 DS-GVO auch notwendig, dass die Nutzer der Plattform ausreichend Informationen erhalten und über Ihre Rechte aufgeklärt werden. Das bedeutet zum Beispiel, dass die Nutzer Hinweise zur Datenspeicherung beim Registrierungs- und Loginvorgang erhalten müssen. Die Informationen zum Datenschutz können den Nutzern in der Datenschutzerklärung bzw. Einwilligungserklärung zugänglich gemacht werden.