Datenschutz im Internet ist ein höchst sensibles Thema. Doch sind es nicht allein die Sorgen und Ängste der Nutzer, die Online-Anbieter zu einer größeren Beachtung dieses Aspekts zwingen. Vor allem die geänderten rechtlichen Rahmenbedingungen verleihen dem Thema dauerhafte Brisanz.
Das „Recht auf informationelle Selbstbestimmung“ und der daraus abgeleitete Datenschutz haben seit der grundlegenden „Volkszählungs-Entscheidung“ des Bundesverfassungsgerichts im Jahre 1983 im deutschen und auch im europäischen Recht eine immer wichtigere Rolle erlangt. So gilt in Deutschland neben dem Bundesdatenschutzgesetz (BDSG) ergänzend das speziell auf die Datenschutzerfordernisse des Internets zugeschnittene Teledienstedatenschutzgesetz (TDDSG). Beide legen Website-Inhabern und eCommerce-Anbietern zahlreiche Pflichten auf, die dem Schutz der Daten v.a. der Internetnutzer dienen sollen.
Problem elektronische Spur
Das Internet ermöglicht es wie kein anderes Medium, das Verhalten seiner Nutzer aufzuzeichnen und auszuwerten. Da sich die Internetnutzung auf rein elektronischer Basis vollzieht, ist es möglich festzustellen, welche Website ein Nutzer besucht, wie lange er sich dort aufhält, welche einzelnen Webpages er konkret betrachtet und eventuell welche Dateien oder sonstige Inhalte der User auf seinem eigenen Computer speichert („Download“).
Auf diese Weise lassen sich komplexe Nutzerprofile erstellen: „Momentprofile“ über einzelne Nutzungen, aber auch „Langzeitprofile“ über einen bestimmten Zeitraum zur Analyse des gesamten Nutzungsverhaltens einer bestimmten Person im Internet. Daraus können wiederum detaillierte Rückschlüsse auf Konsumverhalten, Interessen und Aktivitäten dieses Nutzers gezogen werden. Diese ermöglichen es dann z.B., auf den konkreten Nutzer spezifisch zugeschnittene Banner-Werbung auf einer Website, die der User abruft, einzublenden.
Umgang mit persönlichen Daten
Von den Regelungen des BDSG und TDDSG werden die Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten erfasst. Darunter sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (dem sogenannten „Betroffenen“) umfasst. Zu solchen personenbezogenen Daten zählen z.B. der Name, die Anschrift, das Geburtsdatum, aber auch die eMail-Adresse und sogar IP-Adressen. Letztere verweisen direkt auf einen Nutzer, wenn sie „statisch“ vergeben wurden und daher einer bestimmten Person (bzw. deren Internet-Anschluss) fest zugeordnet sind. Dies gilt aber auch bei dynamischen IP-Adressen, bei denen ebenfalls eine Individualisierung möglich ist, da diese Adressen trotz jeweils neuerlicher Zuteilung für jede weitere Verbindung aus einem relativ schmalen Gesamtspektrum eines einem Provider zur Verfügung gestellten IP-Adressraums zugeteilt werden, so dass insbesondere bei regionalen Anbietern eine Identifizierung leicht möglich sein kann. Daher unterliegen auch sogenannte „log-files“, die auf den Servern von Internet-Anbietern jeden einzelnen Zugriff und/oder Verbindungen des Nutzers speichern, grundsätzlich den datenschutzrechtlichen Vorschriften.
Wer ist von der gesetzlichen Regelung betroffen?
Die von BDSG und TDDSG aufgestellten Pflichten treffen nach § 2 Satz 2 Nr. 1 TDDSG „jeden“ Diensteanbieter im Internet. Das bedeutet, dass diese Pflichten auch für Access-Provider gelten, da auch bei diesen Daten über die IP-Adresse eines Nutzers und die von ihm angewählten IP-Adressen zumindest zwischengespeichert werden.
Datenverwendung ist klar geregelt
Für alle datenverarbeitenden und/oder -speichernden Stellen, also auch für Internet-Anbieter, gilt der in § 3a BDSG normierte „Grundsatz des Systemdatenschutzes“. Das Gesetz hält diese Stellen an, durch die konkrete Gestaltung der Strukturen ihrer Systeme, in denen eine Datenverarbeitung vorgenommen wird, einer unzulässigen Datenverwendung vorzubeugen und so die Selbstbestimmung der Nutzer sicherzustellen. Schlagworte in diesem Bereich sind Datenvermeidung, Dateneinsparung und Abschottung von Verarbeitungsbereichen nach dem sog. „Trennungsgebot“.
Das TDDSG konkretisiert die Anforderungen an die Umsetzung dieser vorgenannten Grundsätze in § 4 Abs. 4 und Abs. 6:
a) § 4 Abs. 6 TDDSG verpflichtet den Diensteanbieter, dem Nutzer im Rahmen des technisch Möglichen und Zumutbaren die anonyme oder pseudonyme Inanspruchnahme seiner Dienste zu ermöglichen. Dadurch soll die Möglichkeit einer Zuordnung eines bestimmten „Surf-Verhaltens“ zu einer konkreten natürlichen Person verhindert oder zumindest wesentlich erschwert werden. Daher ist eine zwingende Personalisierung, also Angaben persönlicher Daten, für die Erbringung des jeweiligen Internet Angebots unzulässig, soweit dies nicht zwingend erforderlich ist. Auch die Verwendung der IP-Nummer des Nutzers als Pseudonym ist wegen der Möglichkeit der Zuordnung zum einzelnen Nutzer nicht erlaubt.
Über die Möglichkeit einer anonymen oder pseudonymen Nutzung hat der Diensteanbieter den Nutzer zu informieren.
b) § 4 Abs. 4 TDDSG wiederum verpflichtet den Diensteanbieter, technische und organisatorische Vorkehrungen zu treffen, die den Datenschutz zu Gunsten des Nutzers gewährleisten sollen. So müssen Daten über die Nutzung unmittelbar nach deren Beendigung gelöscht werden, wobei bei der Pflicht zur Einhaltung von Aufbewahrungsfristen eine Sperrung der Daten ausreicht. In dieser Norm auch angesprochen ist das schon genannte Trennungsgebot, wonach sichergestellt werden muss, dass die personenbezogenen Daten über die Inanspruchnahme verschiedener Teledienste durch einen Nutzer getrennt verarbeitet werden. Werden Nutzerprofile unter Verwendung von Pseudonymen erstellt, so dürfen diese Daten nicht mit denen über die dahinterstehende Person und auch nicht mit für Abrechnungszwecke benötigten Daten zusammengeführt werden.
Lesen Sie weiter im 2. Teil: Informationspflichten
Über was muss wann und wie informiert werden?
Der Nutzer eines Internetdienstes ist gemäß § 4 Abs. 1 TDDSG zu Beginn des Nutzungsvorgangs umfassend über die Verarbeitung seiner bei der Nutzung anfallenden Bestands- und Nutzungsdaten zu unterrichten. Dazu gehören auch Hinweise auf die dem Nutzer zustehenden Widerspruchsrechte wie z.B. das Recht zum Widerruf erteilter Einwilligungen in eine Datenverarbeitung.
Die Unterrichtung muss dabei schon beim ersten Aufruf einer Website erfolgen, da die Erhebung personenbezogener Daten grundsätzlich dann beginnt, wenn der Nutzer ein Internet-Angebot aufruft, denn dabei werden aufgrund der Besonderheiten des dem Internet zu Grunde liegenden TCP/IP-Protokolls die IP-Adresse des vom Nutzer verwendeten Rechners und weitere technische Angaben automatisch an den Server des Website-Anbieters weitergeleitet.
Diese Unterrichtung muss vollständig und verständlich sein. Das bedeutet, dass sie auf dem Bildschirm des Nutzers so angezeigt werden muss, dass dieser sie quasi „automatisch“ auch ohne konkrete Suche zur Kenntnis nimmt. Das bedeutet, dass diese Informationen
– in ausreichender Schriftgröße,
– im oberen, üblicherweise sichtbaren Bereich der Homepage,
– in hinreichend auffälliger Gestaltung (z.B. in Farbe oder in Fettdruck)
erfolgen müssen. Die Unterrichtung muss außerdem ausführlich und auch verständlich sein.
Nicht ausreichend zur Erfüllung dieser Forderungen ist ein allgemeiner Hinweis auf die Nutzungsbedingungen einer Website oder die Allgemeinen Geschäftsbedingungen (AGB) des Anbieters, ein pauschaler Hinweis, dass dem Datenschutz Rechnung getragen würde, oder dass die Daten nur innerhalb eines Unternehmens oder einer Firmengruppe verwendet würden, sowie eine Information, die erst nach erfolgter Datenerhebung bzw. während der Datenübertragung erfolgt. Ausreichend kann ein ausdrücklicher und ausführlich beschrifteter Link auf die Unterrichtung einer anderen Seite sein.
Die Anforderungen an die Unterrichtung müssen also sowohl vom Link als auch von der eigentlichen Unterrichtung auf der Seite, auf die weiter verwiesen wird, erfüllt sein. Zu beachten ist, dass Pop-up-Fenster oder ähnliche Funktionen, die mit Java-Script, Active-X, VB-Script oder ähnlichen erstellt wurden, diese Vorgaben nicht immer erfüllen können, da der Nutzer beispielsweise auf deren Aktivierung verzichtet haben könnte.
Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein. Diese Unterrichtung auf der Website hat auch für Nutzer ohne besondere Vorkenntnisse leicht auffindbar zu sein. Dazu kann der Anbieter die Tatsache und den Inhalt einer konkreten Unterrichtung in einer Protokolldatei auf seinem Server speichern und mit einer individuellen Abrufmöglichkeit für den Nutzer versehen, möglich wäre aber auch eine Speicherung in einer Datei auf dem Rechner des Nutzers. Zu beachten ist allerdings, dass jeweils die Unterrichtung in der bei Aufruf der Website konkreten Form abgespeichert wird. Eine Überschreibung durch eine neuere Formulierung der Unterrichtung darf nicht erfolgen.
Cookies
Verwendet der Website-Anbieter zur Verbindungssteuerung während einer Sitzung oder zum Wiedererkennen mehrfacher Nutzung eines Angebots durch den selben Nutzer Cookies, so trifft ihn diesbezüglich eine Unterrichtungspflicht, wenn diese Cookies längerfristig – also über die jeweilige Sitzung hinaus – auf dem Rechner des Nutzers abgelegt werden sollen. Es handelt sich dann nämlich um ein Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht, da in einem Cookie zumindest auch die IP-Adresse des Nutzers gespeichert wird.
Der Nutzer ist daher beim Setzen eines derartigen Cookies zu unterrichten. Dies kann durch die Unterrichtung auf der Homepage des Website-Anbieters oder über einen ausdrücklichen Link auf dieser Homepage erreicht werden. Unzureichend ist jedenfalls ein nur pauschaler Hinweis auf die Verwendung von Cookies oder auf Konfigurationsmöglichkeiten des vom Nutzer verwendeten Internet-Browsers sowie eine Unterrichtung, nachdem das Cookie gesetzt wurde.
Lesen Sie weiter im 3. Teil: Datenverarbeitung
Wann ist die Erhebung und Verarbeitung von Daten erlaubt?
Die Erhebung und Verarbeitung von personenbezogenen Nutzungsdaten ist dem Diensteanbieter gemäß § 6 Abs. 1 TDDSG erlaubt, soweit dies erforderlich ist, um die Inanspruchnahme eines Internetdienstes zu ermöglichen und ggf. dessen Nutzung abzurechnen. Nach dem Ende des Nutzungsvorgangs ist eine Verarbeitung nur noch erlaubt, soweit dies für Abrechnungszwecke notwendig ist (also für sog. Abrechnungsdaten).
Auch dürfen nach § 6 Abs. 3 TDDSG mit solchen Nutzungsdaten Nutzungsprofile mit Pseudonymen zum Zwecke der Werbung oder der Marktforschung oder zur bedarfsgerechten Gestaltung eines Internetangebots erstellt werden. Allerdings hat der Nutzer diesbezüglich ein Widerspruchsrecht, über das er auch vom Internet-Anbieter informiert werden muss.
Ansonsten ist dem Website-Anbieter eine Datenerhebung, -verarbeitung oder -nutzung dann erlaubt, wenn der Nutzer darin eingewilligt hat. Diese Einwilligung darf aber nach § 3 Abs. 4 TDDSG grundsätzlich nicht zur Voraussetzung einer Nutzungsmöglichkeit eines konkreten Dienstes gemacht werden. Die Einwilligung hat also in jedem Fall auf der freien Entscheidung des Nutzers zu beruhen.
Unzulässig ist daher die obligatorische Erhebung von Daten, die für die Erbringung des jeweiligen Dienstes nicht erforderlich sind, oder die nicht für Vermittlungs- und Abrechnungszwecke erforderlich sind. Auch eine pauschale Einwilligung in die Nutzung erhobener Daten für andere Zwecke mittels einer Bestimmung in AGB oder Nutzungsbedingungen ist nicht erlaubt.
Wann erfolgt eine Einwilligung des Nutzers?
Die Einwilligung kann bei Internetdiensten elektronisch oder in Schriftform erfolgen. Dabei ist aber nach § 4 Abs. 2 TDDSG sicherzustellen, dass die Einwilligung
– nur durch eine eindeutige und bewusste Handlung des Nutzers erfolgen kann,
– protokolliert wird und
– ihr Inhalt vom Nutzer jederzeit abgerufen werden kann.
Das bedeutet, dass eine bloße Information statt einer ausdrücklichen Einwilligung, die Einräumung eines Widerspruchsrechts („opt out“) statt einer Einwilligung („opt in“) oder das Einblenden einer Einwilligungserklärung, die der Betroffene nicht ausdrücklich bestätigen muss, unzureichend sind.
Damit auch nachträglich festgestellt werden kann, ob und gegebenenfalls welche Einwilligungen erteilt wurden, sehen die gesetzlichen Vorschriften vor, dass derartige Erklärungen zu protokollieren sind und vom Nutzer jederzeit abgerufen werden können müssen. Damit ist die Möglichkeit zu einem elektronischen Abruf der Einwilligung gemeint, so dass eine Auskunft darüber nur auf schriftliche Anfrage des Nutzers, also per Post, nicht ausreichend ist.
Der Nutzer hat darüber hinaus das jederzeitige Recht, eine erteilte Einwilligung mit Wirkung für die Zukunft zu widerrufen. Sofern die Möglichkeit zur elektronischen Erteilung einer Einwilligung besteht, muss diese auch elektronisch abrufbar und auf diesem Wege widerrufbar sein. Dem genügt ein Hinweis auf ein lediglich schriftliches Widerrufsrecht einer erteilten Einwilligung nicht.
Der Nutzer hat gemäß § 4 Abs. 7 TDDSG ein umfassendes Recht auf Auskunft über Daten, die der Internet-Anbieter über ihn gespeichert hat. Dieses Auskunftsrecht lässt sich durch einen Vertrag mit dem Nutzer weder ausschließen noch beschränken. Dies kann durch eine Online-Auskunft, bei der sich der Nutzer durch Eingabe einer Kennung oder eines Passworts authentifiziert, durch eine Auskunft per eMail an die eMail-Adresse des Nutzers, oder auf Verlangen des Nutzers auch in schriftlicher Form realisiert werden. Ein nur allgemeiner Hinweis auf die Arten von Daten, die generell gespeichert werden, ist nicht ausreichend.
Lesen Sie weiter im 4. Teil: Abgrenzung des eigenen Angebots
Werbung und externe Angebote
Da über Links zahlreiche Informationsangebote des Internets auf einfache Art und Weise miteinander verknüpft werden können, kann der Nutzer oftmals nicht erkennen, wann er einen bestimmten Server bzw. den Verantwortungsbereich seines Diensteanbieters verlässt und mit einem anderen in Kontakt tritt. Dazu gehören auch die bei Internetangeboten vielfach vorhandene enge Verzahnung von Information und Werbung. Um die Nutzer hier vor einer Täuschung zu schützen, sind Internet-Anbieter verpflichtet, dem Nutzer die „Weitervermittlung“ an Dritte anzuzeigen. Im Internet geschieht eine solche Weitervermittlung gewöhnlich über „Links“. Diese Anzeigepflicht gilt auch für Werbeeinblendungen (z.B. Banner-Werbung), die im Internet regelmäßig mit einer Weitervermittlung (also einem Link) versehen sind.
Nach § 7 TDG ist daher Werbung immer also solche zu kennzeichnen, bei Banner-Werbung lässt sich dies üblicherweise mit dem Hinweis „Anzeige“ bewerkstelligen. Auch eine Kennzeichnung mittels Darstellung von Firmen- oder Produktlogos von Anbietern der beworbenen Produkte oder Dienstleistungen kann genügen. Auf jeden Fall darf der Nutzer nicht den Eindruck haben, er werde zu einem Informationsangebot weitergeleitet, wenn hinter dem dazu gehörigen Link tatsächlich die Absicht der Werbung für bestimmte Dienstleistungen oder Produkte steht.
Für Links lassen sich die Vorgaben des Gesetzes (hier § 4 Abs. 5 TDDSG) wohl nur umsetzen, wenn externe Links, also solche, die eine Weitervermittlung beinhalten, mit einem entsprechenden Erläuterungstext versehen werden, der sich auch mittels eines dynamischen Mauszeigers realisieren ließe. Nicht ausreichend ist jedenfalls die nur optische Hervorhebung von Links durch einen andersfarbigen Beschriftungstext, da darüber hinaus auch eine erkennbare Trennung nach „internen“ und „externen“ Links notwendig ist.
Unwissenheit kann teuer werden
Verstöße gegen die Vorschriften des TDDSG können nach dessen § 9 mit einer Geldbuße von bis zu € 50.000 geahndet werden.
Genauso haben Internet-Anbieter zu beachten, dass § 7 BDSG bei einem Schaden auf Grund eines Verstoßes gegen datenschutzrechtliche Pflichten dem betroffenen Nutzer einen Anspruch auf Schadensersatz gibt, wobei dem Geschädigten mit einer Beweislastumkehr geholfen wird, d.h. der Datenschutzpflichtige, also beispielsweise ein eCommerce-Anbieter, hat im Streitfalle zu beweisen, dass ihm kein Verschulden vorzuwerfen ist.
Insgesamt ist deshalb festzustellen, dass nicht nur wegen des seit Mai 2001 geltenden verschärften Datenschutzrechts, sondern auch wegen eines verbesserten Kundenvertrauens dem Aspekt des Datenschutzes mehr Aufmerksamkeit geschenkt werden sollte. Dies gilt besonders im ständig wichtiger werdenden Bereich des eCommerce. Außerdem darf letztlich nicht vernachlässigt werden, dass die entsprechenden Sanktionen (Straf- und Bußgeldvorschriften: z.B. nach BDSG bis € 250.000) im Falle von Datenschutzverstößen einem betroffenen Unternehmen großen Schaden zufügen können.
