Neuregelungen beim Datenschutz ab 2002

Seit Januar 2002 gelten eine Anzahl von Neuregelungen beim Datenschutz, die für Betreiber von Telediensten, Mediendiensten oder einfach von Internet-Sites relevant sein können. Da die Datenschutzbeauftragten der Länder derzeit schon per Software die Konformität von Webseiten automatisch prüfen lassen, und Abmahnungen verschickt und Bußgelder verhängt werden, kann es sich lohnen, einen Überblick über die Neuregelungen zu gewinnen. Dieser kleine Beitrag faßt die wichtigsten Rechtsvorschriften zusammen. Regelungsquellen sind dabei das Bundesdatenschutzgesetz (BDSG), das Teledienstegesetz (TDG) und das Teledienste-Datenschutzgesetz (TDDSG). Zusätzlich können Spezialvorschriften zu beachten sein, denn Datenschutzregelungen gibt es auch in anderen Gesetzen. Das macht die Materie etwas spannender und abwechslungsreicher.

Nur für Zwecke der Aus- und Fortbildung. Keine Haftung bei Fehlern oder Auslassungen oder Folgeschäden infolge von Fehlern oder Auslassungen!

Inhaltsverzeichnis

1. Definitionen
2. Rechtliche Grundanforderungen an Tele- und Mediendienste
3. Anonyme Nutzung von Diensten
4. Einwilligung
5. Anonyme und pseudonyme Nutzungsmöglichkeiten
6. Auskunftsrechte
7. Hinweis auf Weiterleitung an Dritte ("externe links")

1. Definitionen

Teledienste sind elektronische Informations- und Kommunikationsdienste, die für eine individuelle Nutzung bestimmt sind, sich also an bestimmte, einzelne Nutzer richten. Mediendienste sind dagegen elektronische Verteildienste und solche, bei denen die redaktionelle Gestaltung zur Meinungsbildung im Vordergrund steht. Sie richten sich an die Allgemeinheit §2 TDG; §§1, 2 TDDSG.

2. Rechtliche Grundanforderungen an Tele- und Mediendienste

Für den Nutzer muß erkennbar sein, mit welchen natürlichen und juristischen Personen er es auf der Seite des Diensteanbieters zu tun hat (§6 TDG). Offenlegungspflichtig sind Namen und die Anschrift des Dienstes, bei juristischen Personen zusätzlich den Vertretungsberechtigten, Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit ihnen ermöglichen, einschließlich der Adresse der elektronischen Post, soweit der Teledienst im Rahmen einer Tätigkeit angeboten oder erbracht wird, die der behördlichen Zulassung bedarf, Angaben zur zuständigen Aufsichtsbehörde, das Handelsregister, Vereinsregister, Partnerschaftsregister oder Genossenschaftsregister, in das sie eingetragen sind, und die entsprechende Registernummer, soweit der Teledienst in Ausübung eines Berufs im Sinne von Artikel 1 Buchstabe d der Richtlinie 89/48/EWG des Rates vom 21. Dezember 1988 über eine allgemeine Regelung zur Anerkennung der Hochschuldiplome, die eine mindestens 3-jährige Berufsausbildung abschließen (ABl. EG Nr. L 19 S. 16), oder im Sinne von Artikel 1 Buchstabe f der Richtlinie 92/51/EWG des Rates vom 18. Juni 1992 über eine zweite allgemeine Regelung zur Anerkennung beruflicher Befähigungsnachweise in Ergänzung zur Richtlinie 89/48/EWG (ABl. EG Nr. L 209 S. 25), die zuletzt durch die Richtlinie 97/38/EG der Kommission vom 20. Juni 1997 (ABl. EG Nr. 184 S. 31) geändert worden ist, angeboten oder erbracht wird, Angaben über die Kammer, welcher die Diensteanbieter angehören, die gesetzliche Berufsbezeichnung und den Staat, in dem die Berufsbezeichnung verliehen worden ist, die Bezeichnung der berufsrechtlichen Regelungen und dazu, wie diese zugänglich sind, in Fällen, in denen sie eine Umsatzsteueridentifikationsnummer nach § 27a UStG besitzen, die Angabe dieser Nummer.

§4 Abs. 3 BDSG fordert, daß bei Erhebung personenbezogener Daten der Betroffene Kenntnis über die Identität der erhebenden und verarbeitenden erlangen muß.

Empfehlungen: Impressum auf der Homepage, Impressum auf jeder Web-Seite, Verweis (Link) auf Impressum auf jeder Web-Seite oder auf der Homepage, Hinweis zu Beginn des Dialogs bei sonstigen interaktiven Angeboten.

Nicht ausreichend sind: Nennung eines Verantwortlichen ohne Anschrift, Nennung eines Firmennamens ohne Benennung eines Vertretungsberechtigten einschließlich seiner Anschrift, Nennung eines Verantwortlichen in den AGB, Keine Nennung des Hosting Service, soweit dieser bei der Abwicklung eines Angebots in eigener Verantwortung personenbezogene Daten verarbeitet.

Der Nutzer ist weiterhin zu Beginn des Nutzungsvorgangs umfassend über die Verarbeitung seiner Bestands- und Nutzungsdaten zu unterrichten. Dazu gehören auch Hinweise auf Widerspruchsrechte z.B. aus §6 Abs. 3 TDDSG oder auf das Recht zum Widerruf erteilter Einwilligungen (§4 Abs. 3 TDDSG ). Es sollte dabei nicht als Einschränkung sondern als Marketingargument verstanden werden, den Datenschutz als Grundlage der Geschäftspolitik zu sehen, also dem Nutzer ganz am Anfang einer Nutzungsbeziehung eine klare Information darüber zukommen zu lassen, welche Daten erhoben und zu welchen Zwecken sie verwendet werden. Das stärkt dies das gegenseitige Vertrauen und nützt der Geschäftsbeziehung.

Empfehlungen: ausführliche und verständliche Unterrichtung auf der Homepage des Anbieters, ausdrücklicher Verweis (Link) auf die Unterrichtung auf einer anderen Seite. Soweit auf Datenschutz-Informationen durch einen Verweis (Link) hingewiesen wird, die an anderer Stelle gespeichert sind, gelten diese Anforderungen auch für den Verweis. Der Link muß in verständlicher Weise als Hinweis auf den Datenschutz erkennbar sein; der Gegenstand der Unterrichtung muß für den Nutzer zweifelsfrei aus der Bezeichnung des Links hervorgehen, z.B. "Information über die Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten für Zwecke der ...", Unterrichtung in einem elektronischen Erhebungsformular, ausdrücklicher Verweis (Link) auf die Unterrichtung in dem elektronischen Erhebungsformular, Unterrichtung vor dem Absenden des Formulars in einem Pop Up Fenster mit ausdrücklicher Abbruchmöglichkeit.

Nicht ausreichend sind: allgemeiner Hinweis auf Nutzungsbedingungen oder Allgemeine Geschäftsbedingungen (AGB), pauschaler Hinweis, daß dem Datenschutz Rechnung getragen wird, Hinweis, daß personenbezogene Daten verarbeitet werden, Information erst nach erfolgter Datenerhebung bzw. während der Datenübertragung, Nennung einer Firma oder Firmengruppe ohne Angabe des Staates, in dem die Datenverarbeitung stattfindet, Hinweis darauf, daß die Daten nur innerhalb eines Unternehmens oder einer Firmengruppe verwendet werden.

Der Inhalt der Unterrichtung muß für den Nutzer jederzeit abrufbar sein.

Empfehlungen: Speicherung der Tatsache und des Inhalts der Unterrichtung in einer Protokolldatei des Anbieters mit individueller Abrufmöglichkeit des Nutzers, Speicherung der Tatsache und des Inhalts der Unterrichtung in einer Datei auf dem Rechner des Nutzers, Speicherung der Unterrichtung auf dem Rechner des Anbieters (ohne personenbezogene Protokollierung der individuellen Unterrichtung).

Nicht ausreichend sind: individuelle Protokollierung der Unterrichtung beim Diensteanbieter ohne Abrufmöglichkeit des Inhalts der Unterrichtung für den Nutzer oder Abrufmöglichkeit nur für die neueste Version der Unterrichtung, wenn auch auf Grundlage einer früheren Version Daten erhoben wurden.

Cookies sind kleine, auf dem Rechner des Anwenders gespeicherte Textginformationen. Sie können entweder zur Verbindungssteuerung während einer Sitzung oder zum Wiedererkennen mehrfacher Nutzung eines Angebots durch denselben Nutzer eingesetzt werden, werden aber oft auch für Werbe- und Spionagezwecke mißbraucht.

Die Unterrichtungspflicht betrifft nur Cookies, die längerfristig - also über die jeweilige Sitzung hinaus – auf dem Rechner abgelegt werden sollen. Der Nutzer ist beim Setzen eines derartigen Cookies zu unterrichten. Die Verwendung von Cookies für Nutzungsprofile kann unter bestimmten Umständen auch unzulässig sein. Soweit Cookies dafür verwendet werden, die Registrierung des Nutzers in Nutzungsprofilen zu unterbinden, weil der Nutzer der Verwendung seiner Daten für diesen Zweck widersprochen hat, ist er auch über den Inhalt derartiger ("opt out") Cookies zu informieren.

Empfehlungen: Unterrichtung auf Homepage, ausdrücklicher Verweis (Link) auf die Unterrichtung in der Homepage, Unterrichtung auf der Seite, die Links auf Seiten mit Cookies enthält, bzw. ausdrücklicher Verweis (Link) auf eine entsprechende Unterrichtung.

Nicht ausreichend sind: Hinweis auf Konfigurationsmöglichkeiten im Browser, pauschaler Hinweis, daß Cookies verwendet werden, Unterrichtung der Nutzer erst, nachdem das Cookie gesetzt wurde.

3. Anonyme Nutzung von Diensten

Zwar darf ein Diensteanbieter nach §6 Abs. 3 TDDSG für Zwecke der Werbung, der Marktforschung oder der bedarfsgerechten Gestaltung des Dienstes Nutzerprofile unter Verwendung von Pseudonymen erstellen. Er darf dies jedoch nur dann tun, wenn der Nutzer dieser Verwendung seiner Daten nicht widersprochen hat. Auf dieses Widerspruchsrecht ist der Nutzer "zu Beginn des Nutzungsvorgangs" (§4 Abs. 1 TDDSG ) hinzuweisen. Mit der Unterrichtung ist ihm die Möglichkeit einzuräumen, dieses Widerspruchsrecht praktisch wahrzunehmen. Weiterhin muß er jederzeit die Möglichkeit haben, seinen diesbezüglichen Willen zu ändern (vgl. 4).

Empfehlungen: ausschließliche Verwendung von Nutzungsdaten, die ohnehin bei der Inanspruchnahme von Telediensten entstehen und deren Erhebung für Zwecke der Angebotsvermittlung oder der Abrechnung eines Dienstes zulässig ist, die Führung des Nutzungsprofils unter Pseudonym (Datum, das an Stelle des Namens zur Zuordnung bestimmter Informationen über einen Nutzer verwendet wird), eine Übermittlung von Nutzungsdaten an andere Diensteanbieter zum Zwecke von deren Marktforschung in anonymisierter Form, d.h. ohne jeden Personenbezug und ohne Pseudonym zulässig (§ 6 Abs. 5 Satz 4 TDDSG).

Nicht ausreichend sind: die Führung von Nutzungsprofilen, bei denen die Daten dem Betroffenen direkt zugeordnet werden, die nachträgliche Herstellung des Personenbezugs bei Nutzungsprofilen, die unter Pseudonym geführt werden, z.B. durch Auswertung von elektronischen Formularen, die der Nutzer bei einer Bestellung verwendet hat, die Verknüpfung von Nutzungsdaten mit sonstigen Angaben über den Betroffenen, z.B. aus Kundendatenbanken oder die Übermittlung von Nutzungsdaten an Dritte, insbesondere an andere Diensteanbieter unter Pseudonym oder mit direktem Personenbezug sowie die Verwendung der Nutzungsprofile für andere als die gesetzlich vorgeschriebenen Zwecke, z.B. zur Bonitätsprüfung.

4. Einwilligung

Es gilt der Grundsatz, daß personenbezogene Daten von Diensteanbietern nur zur Durchführung von Telediensten beziehungsweise Mediendiensten erhoben, verarbeitet und genutzt werden dürfen, soweit dies eine Rechtsvorschrift erlaubt oder der Nutzer eingewilligt hat (§3 Abs. 1 TDDSG).

Der Anbieter darf die Erbringung von Mediendiensten nicht von einer Einwilligung des Nutzers in eine Verarbeitung oder Nutzung seiner Daten für andere Zwecke abhängig machen (§4a Abs. 1 BDSG). Die Einwilligung des Betroffenen muß auf seiner freien Entscheidung beruhen und darf nicht erzwungen werden. Mit Einwilligung des Nutzers ist zulässig:

• Erhebung, Verarbeitung und Nutzung personenbezogener Bestandsdaten für Zwecke der Beratung, der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung und der Teledienste (§5 TDDSG),
• Aufnahme in ein Teilnehmerverzeichnis,
• Erhebung der E-Mail-Adresse für die Zusendung eines Newsletters,
• Erhebung von besonderen Interessen, um den Dienst auf die Vorlieben des Nutzers zuzuschneiden,
• Abfrage von Zugangsdaten, die für die Nutzung eines geschlossenen Dienstes erforderlich sind.

Unzulässig wären beispielsweise:

• Obligatorische Erhebung von Daten, die für die Erbringung des jeweiligen Dienstes nicht erforderlich sind (etwa des Namens und der Anschrift bei einem Newsletter, der per E-Mail zugestellt werden soll),
• Obligatorische Personalisierung des Zugangs als Voraussetzung für einen allgemein zugänglichen Tele- oder Mediendienst, soweit die Personalisierung nicht für Vermittlungs- und Abrechnungszwecke erforderlich ist,
• pauschale Einwilligung in die Nutzung der erhobenen Daten für andere Zwecke in allgemeinen Geschäftsbedingungen oder Nutzungsbedingungen.

5. Anonyme und pseudonyme Nutzungsmöglichkeiten

Anonyme und pseudonyme Nutzungsmöglichkeiten werden ausdrücklich von den Gesetzen vorgesehen (§3 Abs. 6 und 6a BDSG, §3a BDSG, §4 Abs. 6 TDDSG). Der Datenschutzgedanke kollidiert hierbei mit Störintentionen mancher User in Foren und erleichtert das Posten rechtswidriger Inhalte wie Nazi- oder Pornopostings oder Links auf solche Seiten in Foren und erfordert eine verschärfte Überwachung von Nutzerforen durch ihre Administratoren.

Empfehlungen: Angebot eines Informationsdienstes ohne Individualisierung und Personalisierung, Freie Vergabe der Kennung durch den Nutzer (als Pseudonym) ohne Abfrage von Identifikationsdaten., Verwendung von Cookies mit Identifikator/ID (als Pseudonym) zur Steuerung des Dienstes, Verwendung von Cookies mit Identifikator/ID (als Pseudonym) zur Bildung von Benutzerprofilen durch den Anbieter – in beiden Fällen muß der User erst der Verwendung der Cookies zustimmen.

Unzulässig wären beispielsweise: obligatorische Personalisierung, soweit dies nicht für die Erbringung des jeweiligen Dienstes erforderlich ist und der Dienst auch anonym oder unter Pseudonym erbracht werden kann, Verwendung von Pseudonymen, die vom Anbieter oder durch Dritte ohne weiteres den Trägern der Pseudonyme zugeordnet werden können, Verwendung der von den Nutzern verwendeten IP-Nummern als Pseudonyme (da eine Teilmenge der IP-Nummern - insbesondere bei statischer Vergabe - einzelnen Benutzern direkt zugeordnet werden kann), unzureichende Information über die Möglichkeit der anonymen Nutzung oder der Nutzung unter Pseudonym, nachträgliche Zuordnung eines Pseudonyms zu Daten über den Träger desselben ohne dessen ausdrückliche informierte Einwilligung.

6. Auskunftsrechte

Der Nutzer hat ein umfassendes Recht auf Auskunft über die Daten, die der Anbieter über ihn gespeichert hat. Dieses Recht bezieht sich nicht nur auf die zu seiner Person gespeicherten Daten, sondern darüber hinaus auch auf den logischen Aufbau einer automatisierten Datensammlung. Auskunftsrechte lassen sich durch Verträge mit dem Nutzer nicht ausschließen oder beschränken (§4 Abs. 7 TDDSG, §6 Abs. 1 BDSG, §6a Abs. 3 BDSG).

Empfehlungen: Online-Auskunft nach Authentifizierung des Nutzers durch Eingabe von Kennung und Passwort, Auskunftserteilung unter Pseudonym über die Daten, die unter diesem Pseudonym gespeichert sind, soweit eine Authentifizierung unter diesem Pseudonym möglich ist (z.B. über die Eingabe von Pseudonym und Passwort), Auskunft per E-Mail an die E-Mail-Adresse des Nutzers. Bei Auskunftserteilung über das Internet sollte eine verschlüsselte Datenübertragung möglich sein oder der User auf die Risiken unverschlüsselter Übertragung hingewiesen werden. Wenn der Nutzer dies wünscht, muß die Auskunft in schriftlicher Form erfolgen.

Unzulässig wären beispielsweise: Allgemeiner Hinweis auf Arten von Daten, die gespeichert wurden, anstatt Auskunft über die gespeicherten Merkmalsausprägungen, unvollständiger Zugriff des Nutzers auf seine Daten (Online-Zugriff nur auf eigene Abrechnungsdaten, ansonsten Verweis auf die Schriftform), Verweigerung der Auskunft über Daten, die unter Pseudonym gespeichert sind.

7. Hinweis auf Weiterleitung an Dritte ("externe Links")

Um den Nutzer vor Täuschungen zu schützen, sind Anbieter von Tele- und Mediendiensten verpflichtet, dem Nutzer die Weitervermittlung an Dritte anzuzeigen. Dies gilt auch für Werbeeinblendungen, die im Internet regelmäßig mit einer Weitervermittlung versehen sind. Werbeeinblendungen (wie auch alle anderen "kommerziellen Kommunikationen") müssen als solche zu erkennen sein. Sie müssen daher von anderen Inhalten bzw. Informationen abgehoben sein. Werbeeinblendungen müssen ihren Auftraggeber erkennen lassen, d.h. es muß der Name des Verantwortlichen spätestens mit Aufruf eines Hyperlinks identifizierbar sein (§3 TDG, §7 TDG, §4 Abs. 5 TDDSG).

Empfehlungen: Die Weitervermittlung wird innerhalb eines kleinen Erläuterungstextes gezeigt, der den Anbieter des vermittelten Angebots nennt bzw. den Hinweis, daß es sich hier um einen externen Link, also eine Weitervermittlung handelt. Sofern der Mauszeiger auf eine Weitervermittlung zeigt, öffnet sich auf dem Bildschirm ein erläuterndes Hinweisfähnchen. Idealerweise nennt es z.B. den Namen des Anbieters oder Servers, zu dem hier weitervermittelt wird. Bannerwerbung läßt sich analog der üblichen Darstellungsweise in Zeitschriften mit dem Hinweis "Anzeige" kennzeichnen. Aus der Auflistung von Ergebnissen anbietereigener Suchmaschinen muß ebenfalls ersichtlich sein, welche der angegebenen Verweise zu externen Stellen führen. In jedem Falle muß Werbung (bzw. "kommerzielle Kommunikation") als solche für den Nutzer erkennbar sein, z.B. durch Darstellung von Firmen- oder Produktlogos der Anbieter, auf die verwiesen wird.

Unzulässig wären beispielsweise: lediglich optische Hervorhebung von Links ohne eine Trennung nach "internen" und "externen" Verweisen, Verzicht auf die Nennung des Anbieters/Servers, an den weitervermittelt wird, bzw. die Nichterkennbarkeit eines Verweises, der zu einem Dritten führt, den Nutzer glauben zu machen, er werde zu einem Informationsangebot weitergeleitet, obwohl die Absicht in der Werbung für bestimmte Dienstleistungen oder Produkte besteht, optisch an andere Anbieter angelehnte Gestaltung des Angebots (z.B. im Rahmen von strategischen Allianzen), was dazu führt, daß der Nutzer anhand der Aufmachung nicht erkennen kann, daß er sich nunmehr innerhalb des Angebots eines Dritten bewegt, pauschaler Hinweis, daß das Angebot Weitervermittlungen enthält, Verzicht auf eine Kennzeichnung, sofern es sich um unterschiedliche Firmen innerhalb eines Unternehmensverbundes o.ä. handelt, Hinweis auf Weiterleitungen in den AGB.

Weiterer Hinweis zu externen Links: Mit Urteil vom 12. Mai 1998 hat das Landgericht Hamburg entschieden, daß man durch die Anbringung eines Links die Inhalte der gelinkten Seite ggf. mit zu verantworten hat. Dies kann, so das LG, nur dadurch verhindert werden, indem man sich ausdrücklich von diesen Inhalten distanziert. Es ist also ratsam, bei der Verlinkung von Seiten, über deren Inhalt man keine Kontrolle hat, sich rein vorsorglich von deren Inhalt zu distanzieren, so daß man beim Auftauchen rechtswidriger Inhalte auf solchen Seiten nicht in Haftung genommen werden kann. Das entbindet nicht von der Verpflichtung, solche Links zu beseitigen, wenn man positiv Kenntnis vom Vorhandensein rechtswidriger Inhalte erhält.