Datenschutz im Internet – Gesetzliche Vorschriften – Teil 1

Datenschutz im Internet - Gesetzliche Vorschriften Der Grund für viele Abmahnungen sind Verletzungen gegen die
gesetzlichen Vorschriften zum Datenschutz im Internet. Auf diese
Datenschutz-Grundsätze sollten Sie achten.

Das "Recht auf informationelle Selbstbestimmung"
und der daraus abgeleitete Datenschutz haben seit der grundlegenden
"Volkszählungs-Entscheidung" des Bundesverfassungsgerichts
im Jahre 1983 im deutschen und auch im europäischen Recht eine
immer wichtigere Rolle erlangt. So gilt in Deutschland neben dem
Bundesdatenschutzgesetz (BDSG) ergänzend das speziell auf die
Datenschutzerfordernisse des Internets zugeschnittene Teledienstedatenschutzgesetz
(TDDSG). Beide legen Website-Inhabern und eCommerce-Anbietern zahlreiche
Pflichten auf, die dem Schutz der Daten v.a. der Internetnutzer
dienen sollen.

Außerdem ist zu berücksichtigen, dass sich – nach einer
Marktumfrage – immerhin 84 % der Deutschen beim "Surfen"
um den Schutz ihrer persönlichen Daten sorgen. Im Internet
auftretende Unternehmen sollten deshalb den Datenschutz unbedingt
beachten, um das Vertrauen ihrer Kunden zu gewinnen. Der
verantwortungsvolle Umfang mit den Daten ist hierbei unumgänglich.

Das Internet ermöglicht es wie kein anderes Medium, das Verhalten
seiner Nutzer
aufzuzeichnen und auszuwerten. Da sich die Internetnutzung
auf rein elektronischer Basis vollzieht, ist es möglich festzustellen,
welche Website ein Nutzer besucht, wie lange er sich dort aufhält,
welche einzelnen Webpages er konkret betrachtet und eventuell welche
Dateien oder sonstige Inhalte der User auf seinem eigenen Computer
speichert ("Download").

Auf diese Weise lassen sich komplexe Nutzerprofile erstellen: "Momentprofile"
über einzelne Nutzungen, aber auch "Langzeitprofile"
über einen bestimmten Zeitraum zur Analyse des gesamten Nutzungsverhaltens
einer bestimmten Person im Internet. Daraus können wiederum
detaillierte Rückschlüsse
auf Konsumverhalten, Interessen
und Aktivitäten dieses Nutzers gezogen werden. Diese ermöglichen
es dann z.B., auf den konkreten Nutzer spezifisch zugeschnittene
Banner-Werbung auf einer Website, die der User abruft, einzublenden.

Von den Regelungen des BDSG und TDDSG werden die Erhebung, Verarbeitung
und Speicherung von personenbezogenen Daten erfasst. Darunter
sind Einzelangaben über persönliche oder sachliche Verhältnisse
einer bestimmten oder bestimmbaren natürlichen Person (dem
sogenannten "Betroffenen") umfasst. Zu solchen personenbezogenen
Daten zählen z.B. der Name, die Anschrift, das
Geburtsdatum, aber auch die E-Mail-Adresse und sogar
IP-Adressen. Letztere verweisen direkt auf einen Nutzer,
wenn sie "statisch" vergeben wurden und daher einer bestimmten
Person (bzw. deren Internet-Anschluss) fest zugeordnet sind. Dies
gilt aber auch bei dynamischen IP-Adressen, bei denen ebenfalls
eine Individualisierung möglich ist, da diese Adressen trotz
jeweils neuerlicher Zuteilung für jede weitere Verbindung aus
einem relativ schmalen Gesamtspektrum eines einem Provider zur Verfügung
gestellten IP-Adressraums zugeteilt werden, so dass insbesondere
bei regionalen Anbietern eine Identifizierung leicht möglich
sein kann. Daher unterliegen auch sogenannte "Logfiles",
die auf den Servern von Internet-Anbietern jeden einzelnen Zugriff
und/oder Verbindung des Nutzers speichern, grundsätzlich den
datenschutzrechtlichen Vorschriften.

Die von BDSG und TDDSG aufgestellten Pflichten treffen nach §
2 Satz 2 Nr. 1 TDDSG "jeden" Diensteanbieter im Internet.
Das bedeutet, dass diese Pflichten auch für Access-Provider
gelten, da auch bei diesen Daten über die IP-Adresse eines
Nutzers und die von ihm angewählten IP-Adressen zumindest zwischengespeichert
werden.

Für alle datenverarbeitenden und/oder -speichernden Stellen,
also auch für Internet-Anbieter, gilt der in § 3a BDSG
normierte "Grundsatz des Systemdatenschutzes". Das Gesetz
hält diese Stellen an, durch die konkrete Gestaltung der Strukturen
ihrer Systeme, in denen eine Datenverarbeitung vorgenommen wird,
einer unzulässigen Datenverwendung vorzubeugen und so die Selbstbestimmung
der Nutzer
sicherzustellen. Schlagworte in diesem Bereich sind
Datenvermeidung, Dateneinsparung und Abschottung von Verarbeitungsbereichen
nach dem sog. "Trennungsgebot".

Das TDDSG konkretisiert die Anforderungen an die Umsetzung dieser
vorgenannten Grundsätze in § 4 Abs. 4 und Abs. 6:

a) § 4 Abs. 6 TDDSG verpflichtet den Diensteanbieter, dem Nutzer
im Rahmen des technisch Möglichen und Zumutbaren die anonyme
oder pseudonyme Inanspruchnahme
seiner Dienste zu ermöglichen.
Dadurch soll die Möglichkeit einer Zuordnung eines bestimmten
"Surf-Verhaltens" zu einer konkreten natürlichen
Person verhindert oder zumindest wesentlich erschwert werden. Daher
ist eine zwingende Personalisierung, also Angaben persönlicher
Daten, für die Erbringung des jeweiligen Internet Angebots
unzulässig, soweit dies nicht zwingend erforderlich ist. Auch
die Verwendung der IP-Nummer des Nutzers als Pseudonym ist wegen
der Möglichkeit der Zuordnung zum einzelnen Nutzer nicht erlaubt.

Über die Möglichkeit einer anonymen oder pseudonymen Nutzung
hat der Diensteanbieter den Nutzer zu informieren.

b) § 4 Abs. 4 TDDSG wiederum verpflichtet den Diensteanbieter,
technische und organisatorische Vorkehrungen zu treffen, die den
Datenschutz zu Gunsten des Nutzers gewährleisten sollen. So
müssen Daten über die Nutzung unmittelbar nach deren Beendigung
gelöscht werden, wobei bei der Pflicht zur Einhaltung
von Aufbewahrungsfristen eine Sperrung der Daten ausreicht. In dieser
Norm auch angesprochen ist das schon genannte Trennungsgebot,
wonach sichergestellt werden muss, dass die personenbezogenen Daten
über die Inanspruchnahme verschiedener Teledienste durch einen
Nutzer getrennt verarbeitet werden. Werden Nutzerprofile unter Verwendung
von Pseudonymen erstellt, so dürfen diese Daten nicht mit denen
über die dahinterstehende Person und auch nicht mit für
Abrechnungszwecke benötigten Daten zusammengeführt werden.

Der Nutzer eines Internetdienstes ist gemäß § 4
Abs. 1 TDDSG zu Beginn des Nutzungsvorgangs umfassend über
die Verarbeitung seiner bei der Nutzung anfallenden Bestands- und
Nutzungsdaten zu unterrichten. Dazu gehören auch Hinweise
auf die dem Nutzer zustehende Widerspruchsrechte wie z.B.
das Recht zum Widerruf erteilter Einwilligungen in eine Datenverarbeitung.

Die Unterrichtung muss dabei schon beim ersten Aufruf einer
Website erfolgen, da die Erhebung personenbezogener Daten grundsätzlich
dann beginnt, wenn der Nutzer ein Internet-Angebot aufruft, denn
dabei wird auf Grund der Besonderheiten des dem Internet zu Grunde
liegenden TCP/IP-Protokolls die IP-Adresse des vom Nutzer verwendeten
Rechners und weitere technische Angaben automatisch an den Server
des Website-Anbieters weitergeleitet.

Diese Unterrichtung muss vollständig und verständlich
sein. Das bedeutet, dass sie auf dem Bildschirm des Nutzers so angezeigt
werden muss, dass dieser sie quasi "automatisch" auch
ohne konkrete Suche zur Kenntnis nimmt. Das bedeutet, dass diese
Informationen

– in ausreichender Schriftgröße,
– im oberen, üblicherweise sichtbaren Bereich der Homepage,
– in hinreichend auffälliger Gestaltung (z.B. in Farbe oder
in Fettdruck)

erfolgen müssen. Die Unterrichtung muss außerdem ausführlich
und auch verständlich sein.

Nicht ausreichend zur Erfüllung dieser Forderungen ist ein
allgemeiner Hinweis auf die Nutzungsbedingungen einer Website oder
die Allgemeinen Geschäftsbedingungen (AGB) ihres Anbieters,
ein pauschaler Hinweis, dass dem Datenschutz Rechnung getragen würde,
oder dass die Daten nur innerhalb eines Unternehmens oder einer
Firmengruppe verwendet würden, sowie eine Information, die
erst nach erfolgter Datenerhebung bzw. während der Datenübertragung
erfolgt. Ausreichend kann ein ausdrücklicher und ausführlich
beschrifteter Link
auf die Unterrichtung einer anderen Seite
sein.

Die Anforderungen an die Unterrichtung müssen also sowohl vom
Link als auch von der eigentlichen Unterrichtung auf der Seite,
auf die weiter verwiesen wird, erfüllt sein. Zu beachten ist,
dass Pop-up-Fenster oder ähnliche Funktionen, die mit Java-Script,
Active-X, VB-Script oder ähnlichen erstellt wurden, diese Vorgaben
nicht immer erfüllen können, da der Nutzer beispielsweise
auf deren Aktivierung verzichtet haben könnte.

Der Inhalt der Unterrichtung muss für den Nutzer jederzeit
abrufbar sein. Diese Unterrichtung auf der Website hat auch für
Nutzer ohne besondere Vorkenntnisse leicht auffindbar zu sein. Dazu
kann der Anbieter die Tatsache und den Inhalt einer konkreten Unterrichtung
in einer Protokolldatei auf seinem Server speichern und mit einer
individuellen Abrufmöglichkeit für den Nutzer versehen,
möglich wäre aber auch eine Speicherung in einer Datei
auf dem Rechner des Nutzers. Zu beachten ist allerdings, dass jeweils
die Unterrichtung in der bei Aufruf der Website konkreten Form abgespeichert
wird. Eine Überschreibung durch eine neuere Formulierung der
Unterrichtung darf nicht erfolgen.

Bei Fragen zu diesem Thema wenden Sie sich bitte an:
WANNEMACHER & PARTNER GbR
Rechtsanwälte Steuerberater
Baierbrunner Straße 25, 81379 München
Telefon: 089 / 74 82 23 – 0
Telefax: 0 89 / 74 82 23 – 995
web: www.wannemacher-partner.de
Rechtsanwältin Dr. Barbara Pirner
Rechtsanwalt Maximilian Damm

This entry was posted in Projektpflege, Recht. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *