Datenschutz im Internet - Gesetzliche Vorschriften Der Grund für viele Abmahnungen sind Verletzungen gegen die gesetzlichen Vorschriften zum Datenschutz im Internet. Auf diese Datenschutz-Grundsätze sollten Sie achten.

Das "Recht auf informationelle Selbstbestimmung" und der daraus abgeleitete Datenschutz haben seit der grundlegenden "Volkszählungs-Entscheidung" des Bundesverfassungsgerichts im Jahre 1983 im deutschen und auch im europäischen Recht eine immer wichtigere Rolle erlangt. So gilt in Deutschland neben dem Bundesdatenschutzgesetz (BDSG) ergänzend das speziell auf die Datenschutzerfordernisse des Internets zugeschnittene Teledienstedatenschutzgesetz (TDDSG). Beide legen Website-Inhabern und eCommerce-Anbietern zahlreiche Pflichten auf, die dem Schutz der Daten v.a. der Internetnutzer dienen sollen.

Außerdem ist zu berücksichtigen, dass sich - nach einer Marktumfrage - immerhin 84 % der Deutschen beim "Surfen" um den Schutz ihrer persönlichen Daten sorgen. Im Internet auftretende Unternehmen sollten deshalb den Datenschutz unbedingt beachten, um das Vertrauen ihrer Kunden zu gewinnen. Der verantwortungsvolle Umfang mit den Daten ist hierbei unumgänglich.

Das Internet ermöglicht es wie kein anderes Medium, das Verhalten seiner Nutzer aufzuzeichnen und auszuwerten. Da sich die Internetnutzung auf rein elektronischer Basis vollzieht, ist es möglich festzustellen, welche Website ein Nutzer besucht, wie lange er sich dort aufhält, welche einzelnen Webpages er konkret betrachtet und eventuell welche Dateien oder sonstige Inhalte der User auf seinem eigenen Computer speichert ("Download").

Auf diese Weise lassen sich komplexe Nutzerprofile erstellen: "Momentprofile" über einzelne Nutzungen, aber auch "Langzeitprofile" über einen bestimmten Zeitraum zur Analyse des gesamten Nutzungsverhaltens einer bestimmten Person im Internet. Daraus können wiederum detaillierte Rückschlüsse auf Konsumverhalten, Interessen und Aktivitäten dieses Nutzers gezogen werden. Diese ermöglichen es dann z.B., auf den konkreten Nutzer spezifisch zugeschnittene Banner-Werbung auf einer Website, die der User abruft, einzublenden.

Von den Regelungen des BDSG und TDDSG werden die Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten erfasst. Darunter sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (dem sogenannten "Betroffenen") umfasst. Zu solchen personenbezogenen Daten zählen z.B. der Name, die Anschrift, das Geburtsdatum, aber auch die E-Mail-Adresse und sogar IP-Adressen. Letztere verweisen direkt auf einen Nutzer, wenn sie "statisch" vergeben wurden und daher einer bestimmten Person (bzw. deren Internet-Anschluss) fest zugeordnet sind. Dies gilt aber auch bei dynamischen IP-Adressen, bei denen ebenfalls eine Individualisierung möglich ist, da diese Adressen trotz jeweils neuerlicher Zuteilung für jede weitere Verbindung aus einem relativ schmalen Gesamtspektrum eines einem Provider zur Verfügung gestellten IP-Adressraums zugeteilt werden, so dass insbesondere bei regionalen Anbietern eine Identifizierung leicht möglich sein kann. Daher unterliegen auch sogenannte "Logfiles", die auf den Servern von Internet-Anbietern jeden einzelnen Zugriff und/oder Verbindung des Nutzers speichern, grundsätzlich den datenschutzrechtlichen Vorschriften.

Die von BDSG und TDDSG aufgestellten Pflichten treffen nach § 2 Satz 2 Nr. 1 TDDSG "jeden" Diensteanbieter im Internet. Das bedeutet, dass diese Pflichten auch für Access-Provider gelten, da auch bei diesen Daten über die IP-Adresse eines Nutzers und die von ihm angewählten IP-Adressen zumindest zwischengespeichert werden.

Für alle datenverarbeitenden und/oder -speichernden Stellen, also auch für Internet-Anbieter, gilt der in § 3a BDSG normierte "Grundsatz des Systemdatenschutzes". Das Gesetz hält diese Stellen an, durch die konkrete Gestaltung der Strukturen ihrer Systeme, in denen eine Datenverarbeitung vorgenommen wird, einer unzulässigen Datenverwendung vorzubeugen und so die Selbstbestimmung der Nutzer sicherzustellen. Schlagworte in diesem Bereich sind Datenvermeidung, Dateneinsparung und Abschottung von Verarbeitungsbereichen nach dem sog. "Trennungsgebot".

Das TDDSG konkretisiert die Anforderungen an die Umsetzung dieser vorgenannten Grundsätze in § 4 Abs. 4 und Abs. 6:

a) § 4 Abs. 6 TDDSG verpflichtet den Diensteanbieter, dem Nutzer im Rahmen des technisch Möglichen und Zumutbaren die anonyme oder pseudonyme Inanspruchnahme seiner Dienste zu ermöglichen. Dadurch soll die Möglichkeit einer Zuordnung eines bestimmten "Surf-Verhaltens" zu einer konkreten natürlichen Person verhindert oder zumindest wesentlich erschwert werden. Daher ist eine zwingende Personalisierung, also Angaben persönlicher Daten, für die Erbringung des jeweiligen Internet Angebots unzulässig, soweit dies nicht zwingend erforderlich ist. Auch die Verwendung der IP-Nummer des Nutzers als Pseudonym ist wegen der Möglichkeit der Zuordnung zum einzelnen Nutzer nicht erlaubt.

Über die Möglichkeit einer anonymen oder pseudonymen Nutzung hat der Diensteanbieter den Nutzer zu informieren.

b) § 4 Abs. 4 TDDSG wiederum verpflichtet den Diensteanbieter, technische und organisatorische Vorkehrungen zu treffen, die den Datenschutz zu Gunsten des Nutzers gewährleisten sollen. So müssen Daten über die Nutzung unmittelbar nach deren Beendigung gelöscht werden, wobei bei der Pflicht zur Einhaltung von Aufbewahrungsfristen eine Sperrung der Daten ausreicht. In dieser Norm auch angesprochen ist das schon genannte Trennungsgebot, wonach sichergestellt werden muss, dass die personenbezogenen Daten über die Inanspruchnahme verschiedener Teledienste durch einen Nutzer getrennt verarbeitet werden. Werden Nutzerprofile unter Verwendung von Pseudonymen erstellt, so dürfen diese Daten nicht mit denen über die dahinterstehende Person und auch nicht mit für Abrechnungszwecke benötigten Daten zusammengeführt werden.

Der Nutzer eines Internetdienstes ist gemäß § 4 Abs. 1 TDDSG zu Beginn des Nutzungsvorgangs umfassend über die Verarbeitung seiner bei der Nutzung anfallenden Bestands- und Nutzungsdaten zu unterrichten. Dazu gehören auch Hinweise auf die dem Nutzer zustehende Widerspruchsrechte wie z.B. das Recht zum Widerruf erteilter Einwilligungen in eine Datenverarbeitung.

Die Unterrichtung muss dabei schon beim ersten Aufruf einer Website erfolgen, da die Erhebung personenbezogener Daten grundsätzlich dann beginnt, wenn der Nutzer ein Internet-Angebot aufruft, denn dabei wird auf Grund der Besonderheiten des dem Internet zu Grunde liegenden TCP/IP-Protokolls die IP-Adresse des vom Nutzer verwendeten Rechners und weitere technische Angaben automatisch an den Server des Website-Anbieters weitergeleitet.

Diese Unterrichtung muss vollständig und verständlich sein. Das bedeutet, dass sie auf dem Bildschirm des Nutzers so angezeigt werden muss, dass dieser sie quasi "automatisch" auch ohne konkrete Suche zur Kenntnis nimmt. Das bedeutet, dass diese Informationen

- in ausreichender Schriftgröße,
- im oberen, üblicherweise sichtbaren Bereich der Homepage,
- in hinreichend auffälliger Gestaltung (z.B. in Farbe oder in Fettdruck)

erfolgen müssen. Die Unterrichtung muss außerdem ausführlich und auch verständlich sein.

Nicht ausreichend zur Erfüllung dieser Forderungen ist ein allgemeiner Hinweis auf die Nutzungsbedingungen einer Website oder die Allgemeinen Geschäftsbedingungen (AGB) ihres Anbieters, ein pauschaler Hinweis, dass dem Datenschutz Rechnung getragen würde, oder dass die Daten nur innerhalb eines Unternehmens oder einer Firmengruppe verwendet würden, sowie eine Information, die erst nach erfolgter Datenerhebung bzw. während der Datenübertragung erfolgt. Ausreichend kann ein ausdrücklicher und ausführlich beschrifteter Link auf die Unterrichtung einer anderen Seite sein.

Die Anforderungen an die Unterrichtung müssen also sowohl vom Link als auch von der eigentlichen Unterrichtung auf der Seite, auf die weiter verwiesen wird, erfüllt sein. Zu beachten ist, dass Pop-up-Fenster oder ähnliche Funktionen, die mit Java-Script, Active-X, VB-Script oder ähnlichen erstellt wurden, diese Vorgaben nicht immer erfüllen können, da der Nutzer beispielsweise auf deren Aktivierung verzichtet haben könnte.

Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein. Diese Unterrichtung auf der Website hat auch für Nutzer ohne besondere Vorkenntnisse leicht auffindbar zu sein. Dazu kann der Anbieter die Tatsache und den Inhalt einer konkreten Unterrichtung in einer Protokolldatei auf seinem Server speichern und mit einer individuellen Abrufmöglichkeit für den Nutzer versehen, möglich wäre aber auch eine Speicherung in einer Datei auf dem Rechner des Nutzers. Zu beachten ist allerdings, dass jeweils die Unterrichtung in der bei Aufruf der Website konkreten Form abgespeichert wird. Eine Überschreibung durch eine neuere Formulierung der Unterrichtung darf nicht erfolgen.
Bei Fragen zu diesem Thema wenden Sie sich bitte an:
WANNEMACHER & PARTNER GbR
Rechtsanwälte Steuerberater
Baierbrunner Straße 25, 81379 München
Telefon: 089 / 74 82 23 - 0
Telefax: 0 89 / 74 82 23 - 995
web: www.wannemacher-partner.de
Rechtsanwältin Dr. Barbara Pirner
Rechtsanwalt Maximilian Damm

Bookmark setzen... These icons link to social bookmarking sites where readers can share and discover new web pages.
  • Print
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Mixx
  • Bloglines
  • MisterWong
  • MySpace
  • Reddit
  • SEOigg
  • Technorati
  • TwitThis
  • Y!GG
  • Google Bookmarks

Weiterführende Links: