Datenschutz im Internet ist ein höchst sensibles Thema. Doch sind es nicht allein die Sorgen und Ängste der Nutzer, die Online-Anbieter zu einer größeren Beachtung dieses Aspekts zwingen. Vor allem die geänderten rechtlichen Rahmenbedingungen verleihen dem Thema dauerhafte Brisanz.
Das „Recht auf informationelle Selbstbestimmung“ und der daraus abgeleitete Datenschutz haben seit der grundlegenden „Volkszählungs-Entscheidung“ des Bundesverfassungsgerichts im Jahre 1983 im deutschen und auch im europäischen Recht eine immer wichtigere Rolle erlangt. So gilt in Deutschland neben dem Bundesdatenschutzgesetz (BDSG) ergänzend das speziell auf die Datenschutzerfordernisse des Internets zugeschnittene Teledienstedatenschutzgesetz (TDDSG). Beide legen Website-Inhabern und eCommerce-Anbietern zahlreiche Pflichten auf, die dem Schutz der Daten v.a. der Internetnutzer dienen sollen.
Problem elektronische Spur
Das Internet ermöglicht es wie kein anderes Medium, das Verhalten seiner Nutzer aufzuzeichnen und auszuwerten. Da sich die Internetnutzung auf rein elektronischer Basis vollzieht, ist es möglich festzustellen, welche Website ein Nutzer besucht, wie lange er sich dort aufhält, welche einzelnen Webpages er konkret betrachtet und eventuell welche Dateien oder sonstige Inhalte der User auf seinem eigenen Computer speichert („Download“).
Auf diese Weise lassen sich komplexe Nutzerprofile erstellen: „Momentprofile“ über einzelne Nutzungen, aber auch „Langzeitprofile“ über einen bestimmten Zeitraum zur Analyse des gesamten Nutzungsverhaltens einer bestimmten Person im Internet. Daraus können wiederum detaillierte Rückschlüsse auf Konsumverhalten, Interessen und Aktivitäten dieses Nutzers gezogen werden. Diese ermöglichen es dann z.B., auf den konkreten Nutzer spezifisch zugeschnittene Banner-Werbung auf einer Website, die der User abruft, einzublenden.
Umgang mit persönlichen Daten
Von den Regelungen des BDSG und TDDSG werden die Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten erfasst. Darunter sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (dem sogenannten „Betroffenen“) umfasst. Zu solchen personenbezogenen Daten zählen z.B. der Name, die Anschrift, das Geburtsdatum, aber auch die eMail-Adresse und sogar IP-Adressen. Letztere verweisen direkt auf einen Nutzer, wenn sie „statisch“ vergeben wurden und daher einer bestimmten Person (bzw. deren Internet-Anschluss) fest zugeordnet sind. Dies gilt aber auch bei dynamischen IP-Adressen, bei denen ebenfalls eine Individualisierung möglich ist, da diese Adressen trotz jeweils neuerlicher Zuteilung für jede weitere Verbindung aus einem relativ schmalen Gesamtspektrum eines einem Provider zur Verfügung gestellten IP-Adressraums zugeteilt werden, so dass insbesondere bei regionalen Anbietern eine Identifizierung leicht möglich sein kann. Daher unterliegen auch sogenannte „log-files“, die auf den Servern von Internet-Anbietern jeden einzelnen Zugriff und/oder Verbindungen des Nutzers speichern, grundsätzlich den datenschutzrechtlichen Vorschriften.
Wer ist von der gesetzlichen Regelung betroffen?
Die von BDSG und TDDSG aufgestellten Pflichten treffen nach § 2 Satz 2 Nr. 1 TDDSG „jeden“ Diensteanbieter im Internet. Das bedeutet, dass diese Pflichten auch für Access-Provider gelten, da auch bei diesen Daten über die IP-Adresse eines Nutzers und die von ihm angewählten IP-Adressen zumindest zwischengespeichert werden.
Datenverwendung ist klar geregelt
Für alle datenverarbeitenden und/oder -speichernden Stellen, also auch für Internet-Anbieter, gilt der in § 3a BDSG normierte „Grundsatz des Systemdatenschutzes“. Das Gesetz hält diese Stellen an, durch die konkrete Gestaltung der Strukturen ihrer Systeme, in denen eine Datenverarbeitung vorgenommen wird, einer unzulässigen Datenverwendung vorzubeugen und so die Selbstbestimmung der Nutzer sicherzustellen. Schlagworte in diesem Bereich sind Datenvermeidung, Dateneinsparung und Abschottung von Verarbeitungsbereichen nach dem sog. „Trennungsgebot“.
Das TDDSG konkretisiert die Anforderungen an die Umsetzung dieser vorgenannten Grundsätze in § 4 Abs. 4 und Abs. 6:
a) § 4 Abs. 6 TDDSG verpflichtet den Diensteanbieter, dem Nutzer im Rahmen des technisch Möglichen und Zumutbaren die anonyme oder pseudonyme Inanspruchnahme seiner Dienste zu ermöglichen. Dadurch soll die Möglichkeit einer Zuordnung eines bestimmten „Surf-Verhaltens“ zu einer konkreten natürlichen Person verhindert oder zumindest wesentlich erschwert werden. Daher ist eine zwingende Personalisierung, also Angaben persönlicher Daten, für die Erbringung des jeweiligen Internet Angebots unzulässig, soweit dies nicht zwingend erforderlich ist. Auch die Verwendung der IP-Nummer des Nutzers als Pseudonym ist wegen der Möglichkeit der Zuordnung zum einzelnen Nutzer nicht erlaubt.
Über die Möglichkeit einer anonymen oder pseudonymen Nutzung hat der Diensteanbieter den Nutzer zu informieren.
b) § 4 Abs. 4 TDDSG wiederum verpflichtet den Diensteanbieter, technische und organisatorische Vorkehrungen zu treffen, die den Datenschutz zu Gunsten des Nutzers gewährleisten sollen. So müssen Daten über die Nutzung unmittelbar nach deren Beendigung gelöscht werden, wobei bei der Pflicht zur Einhaltung von Aufbewahrungsfristen eine Sperrung der Daten ausreicht. In dieser Norm auch angesprochen ist das schon genannte Trennungsgebot, wonach sichergestellt werden muss, dass die personenbezogenen Daten über die Inanspruchnahme verschiedener Teledienste durch einen Nutzer getrennt verarbeitet werden. Werden Nutzerprofile unter Verwendung von Pseudonymen erstellt, so dürfen diese Daten nicht mit denen über die dahinterstehende Person und auch nicht mit für Abrechnungszwecke benötigten Daten zusammengeführt werden.
Bei Fragen zu diesem Thema wenden Sie sich bitte an:
WANNEMACHER & PARTNER GbR Rechtsanwälte Steuerberater Baierbrunner Straße 25, 81379 München Telefon: 089 / 7 48 22 3 - 0 Telefax: 0 89 / 7 48 23 - 995 web: www.wannemacher-partner.de Rechtsanwältin Dr. Barbara Pirner
Teil 1 Blind Date oder die Spielregeln beim Datenschutz
