Speicherung von IP-Adressen auf Webseiten - unzulässig ?!

Einführung und Überblick zum Datenschutz im Internet

von Rechtsanwalt Michael Terhaag

Erfreuen Sie sich auch einer immer größer werdenden Scharr an alltäglichen Werbe-E-Mails?

Wundern Sie sich auch, dass der Onlineshop Ihres Vertrauens Sie bei einem erneuten Besuch selbstständig erkennt und mit potentiellen Produkten Ihrer Wünsche begrüßt?

Umso mehr sind Sie dann wahrscheinlich erstaunt, dass diese Vorschläge tatsächlich Ihren grundsätzlichen Interessen oder zum Beispiel konkreten Musikgeschmack entsprechen. Hier darf berechtigtermaßen die Frage gestellt werden, wie die Anbieter an die hierfür erforderlichen Informationen kommen und ob Sie sich hiergegen wehren können oder überhaupt wollen.

Der Fachmann spricht von sogenannten Nutzerprofilen oder gar dem „Datamining“. Es sollte allerdings wie immer davon abgeraten werden, alle Anbieter in einen „Topf zu werfen“. Es gibt durchaus Möglichkeiten in der heutigen Informationstechnologie auf zulässige und legale Weise an solche Informationen zu kommen und diese auf lautere und verantwortungsvolle Art und Weise zu verwenden.

Der Gesetzgeber hat diese Problematik im Sinne einer europäischen Richtlinie in erster Linie in Form des Teledienstedatenschutzgesetzes geregelt (TDDSG) und im Mediendienstestaatsvertrag (MDStV) geregelt.

Die Bestimmungen sind von vier wesentlichen Prinzipien getragen.

  • Verbot mit Erlaubnisvorbehalt

    Grundsätzlich ist die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten verboten. Sie ist nur dann erlaubt, wenn entweder eine Rechtsvorschrift sie zulässt oder der Nutzer hierzu eingewilligt hat. Diese Einwilligung kann insbesondere auch auf elektronischem Wege erfolgen, wobei hier bestimmte Anforderungen zu erfüllen sind. Wichtig ist, dass der Internetanwender die jederzeitige Kontrolle über seine persönlichen Daten hat.

     

  • Anonyme Nutzung/Datenaskese

    Nach Vorstellungen des Gesetzgebers soll ein Tele- und Mediendiensteanbieter soweit dies ihm technisch möglich und zumutbar ist, seine Dienstleistungen zumindest auch anonym oder unter einem Pseudonym zu ermöglichen. Grundsätzlich wird dem Anbieter hiermit eine Art Datenaskese verordnet, wonach er letztendlich so wenig personenbezogene Daten wie überhaupt möglich, in seinen Systemen einspeisen soll. Im Rahmen der grundsätzlichen Zumutbarkeit ist auch hier dann im Einzelnen zwischen Bestandsdaten einerseits und Nutzungs- und Abrechnungsdaten andererseits zu unterscheiden, denn der Anbieter darf alle Daten, die er zwingend für seinen Auftrag und dessen Abrechnung benötigt, zunächst einmal speichern und verarbeiten..

  • Strikte Datentrennung

    Die personenbezogenen Daten sind organisatorisch streng von anderen zu trennen und eine zentrale Datenverwaltung ist laut Gesetz unzulässig, soweit dies nicht zwingend zum Beispiel für Abrechnungszwecke erforderlich ist.

  • Jederzeitige und frühstmögliche Löschung der Daten

    Aus dem Prinzip der Datenaskese ist abzuleiten, dass alle Daten so früh wie möglich wieder gelöscht werden müssen.

 

 

Unterrichtungspflichten des Diensteanbieters

Neu geregelt wurde eine Unterrichtungspflicht des Diensteanbieters, die sich darin auswirkt, dass dieser den Kunden bereits zu Beginn des Nutzungsvorgangs umfassend zu informieren hat über Art, Zweck, Umfang, Verarbeitung und Nutzung aller personenbezogenen Daten. Hierzu gehört insbesondere auch der Hinweis, sich sogenannter „Cookies“ zu bedienen.

Ein Verstoß gegen diese Unterrichtungspflichten stellt eine bußgeldbewerte Ordnungswidrigkeit dar und es ist grundsätzlich ein Bußgeld bis zu 50.000 Euro möglich. Auch wenn diesseits hier noch keine tatsächlich stattgefundenen Repressalien bekannt sind, könnten hierdurch öffentliche Kassen sicher gut gefüllt werden. Dies liegt nicht zuletzt daran, dass diese Unterrichtungspflicht bereits zu Beginn des Nutzungsvorgangs besteht und nicht allein im Rahmen zum Beispiel von AGBS oder im Nachhinein nachgereicht werden können.

Einwilligung des Nutzers

Interessant wird Thematik allerdings an der Stelle, an der sich die Telediensteanbieter die Einwilligung des Betroffenen einholen. Je nach dem, was mit den Daten geschehen soll, ändern sich auch die konkreten Voraussetzungen und Erfordernisse dieser erteilten Einwilligung des Kunden zur Erhebung, Nutzung und/oder Verarbeitung personenbezogener Daten.

In diesem Zusammenhang macht es natürlich einen himmelweiten Unterschied, ob die Daten lediglich für hausinterne Zwecke und zur Verbesserung des eigenen Angebotes oder eigener Werbung benutzt werden oder sogar vielleicht an Dritte weitergegeben werden darf.

Selbstredend sind die Anforderungen in letztem Falle deutlich höher als bei der bloßen internen Auswertung. In der Praxis dürfte der Telediensteanbieter seinem Nutzer hierfür ein „Zückerchen“ anbieten müssen, welches in Form von vergünstigten Dienstleistungen oder Zugaben für den Fall einer Einwilligung bestehen könnte.

Sollte dem Anbieter die Erlangung des Nutzers gelingen, hat dieser ein Widerrufsrecht, auf welches er gesondert hinzuweisen ist.

Ansprüche bei Verletzung des Datenschutzrechts

Auch wenn das Datenschutzrecht vordergründig präventive Wirkung hat und bereits im Vorfeld das Grundrecht eines jeden auf informelle Selbstbestimmung schützen soll, können Verletzungshandlungen durchaus unangenehme Folgen haben. Der in diesem Fall Betroffene kann bei nachweisbarer Datenschutzverletzung Auskunft, Berichtigung, Sperrung, Löschung aber auch Gegendarstellung und Schadensersatz, im Einzelfalls sogar Schmerzensgeld beanspruchen.

Rechtsanwalt Michael Terhaag