Wann ist die Erhebung und Verarbeitung von Daten erlaubt?
Die Erhebung und Verarbeitung von personenbezogenen Nutzungsdaten ist dem Diensteanbieter gemäß § 6 Abs. 1 TDDSG erlaubt, soweit dies erforderlich ist, um die Inanspruchnahme eines Internetdienstes zu ermöglichen und ggf. dessen Nutzung abzurechnen. Nach dem Ende des Nutzungsvorgangs ist eine Verarbeitung nur noch erlaubt, soweit dies für Abrechnungszwecke notwendig ist (also für sog. Abrechnungsdaten).
Auch dürfen nach § 6 Abs. 3 TDDSG mit solchen Nutzungsdaten Nutzungsprofile mit Pseudonymen zum Zwecke der Werbung oder der Marktforschung oder zur bedarfsgerechten Gestaltung eines Internetangebots erstellt werden. Allerdings hat der Nutzer diesbezüglich ein Widerspruchsrecht, über das er auch vom Internet-Anbieter informiert werden muss.
Ansonsten ist dem Website-Anbieter eine Datenerhebung, -verarbeitung oder -nutzung dann erlaubt, wenn der Nutzer darin eingewilligt hat. Diese Einwilligung darf aber nach § 3 Abs. 4 TDDSG grundsätzlich nicht zur Voraussetzung einer Nutzungsmöglichkeit eines konkreten Dienstes gemacht werden. Die Einwilligung hat also in jedem Fall auf der freien Entscheidung des Nutzers zu beruhen.
Unzulässig ist daher die obligatorische Erhebung von Daten, die für die Erbringung des jeweiligen Dienstes nicht erforderlich sind, oder die nicht für Vermittlungs- und Abrechnungszwecke erforderlich sind. Auch eine pauschale Einwilligung in die Nutzung erhobener Daten für andere Zwecke mittels einer Bestimmung in AGB oder Nutzungsbedingungen ist nicht erlaubt.
Wann erfolgt eine Einwilligung des Nutzers?
Die Einwilligung kann bei Internetdiensten elektronisch oder in Schriftform erfolgen. Dabei ist aber nach § 4 Abs. 2 TDDSG sicherzustellen, dass die Einwilligung
- nur durch eine eindeutige und bewusste Handlung des Nutzers erfolgen kann, - protokolliert wird und - ihr Inhalt vom Nutzer jederzeit abgerufen werden kann.
Das bedeutet, dass eine bloße Information statt einer ausdrücklichen Einwilligung, die Einräumung eines Widerspruchsrechts („opt out“) statt einer Einwilligung („opt in“) oder das Einblenden einer Einwilligungserklärung, die der Betroffene nicht ausdrücklich bestätigen muss, unzureichend sind.
Damit auch nachträglich festgestellt werden kann, ob und gegebenenfalls welche Einwilligungen erteilt wurden, sehen die gesetzlichen Vorschriften vor, dass derartige Erklärungen zu protokollieren sind und vom Nutzer jederzeit abgerufen werden können müssen. Damit ist die Möglichkeit zu einem elektronischen Abruf der Einwilligung gemeint, so dass eine Auskunft darüber nur auf schriftliche Anfrage des Nutzers, also per Post, nicht ausreichend ist.
Der Nutzer hat darüber hinaus das jederzeitige Recht, eine erteilte Einwilligung mit Wirkung für die Zukunft zu widerrufen. Sofern die Möglichkeit zur elektronischen Erteilung einer Einwilligung besteht, muss diese auch elektronisch abrufbar und auf diesem Wege widerrufbar sein. Dem genügt ein Hinweis auf ein lediglich schriftliches Widerrufsrecht einer erteilten Einwilligung nicht.
Der Nutzer hat gemäß § 4 Abs. 7 TDDSG ein umfassendes Recht auf Auskunft über Daten, die der Internet-Anbieter über ihn gespeichert hat. Dieses Auskunftsrecht lässt sich durch einen Vertrag mit dem Nutzer weder ausschließen noch beschränken. Dies kann durch eine Online-Auskunft, bei der sich der Nutzer durch Eingabe einer Kennung oder eines Passworts authentifiziert, durch eine Auskunft per eMail an die eMail-Adresse des Nutzers, oder auf Verlangen des Nutzers auch in schriftlicher Form realisiert werden. Ein nur allgemeiner Hinweis auf die Arten von Daten, die generell gespeichert werden, ist nicht ausreichend.
Teil 3 Datenverarbeitung
