IT-Compliance und Datenschutz im Internet
Jüngst in die Kritik sind die Verwendung von Statistik- und Analyseprogrammen wie "Google Analytics" oder "Phorm" geraten
Datenschutzrechtlich problematisch ist, dass IP-Adressen rechtlich als personenbezogene Daten zu qualifizieren sind
Von Markus Thomas Gronau, Rechtsanwalt, Praetoria Rechtsanwälte
(10.06.09) - Datenschutzvorschriften müssen auch im Internet beachtet und eingehalten werden. Die Handhabung erweist sich in der Praxis als schwieriger als die Klarheit des Gebots. Das Internet eröffnet nicht nur eine große Möglichkeit zur betrieblichen Außendarstellung, als Verkaufsplattform und als Informationsquelle, sondern ermöglicht gleichzeitig noch die Rückmeldung wie das eigene Onlineangebot von Benutzern angenommen wird. Diese Informationsverschaffung gerät jedoch leicht auf Kollisionskurs zum Datenschutzrecht. Im Brennpunkt dieses Textes steht der legitime Wunsch von Firmen das Nutzerverhalten ihrer Kunden auf ihrer Webpräsenz für ihr Marketing auszuwerten gegen den unverzichtbaren strengen Schutz des Datenschutzrechts. Sie erfahren, was Sie beachten müssen, um sich datenschutzrechtlich korrekt zu Verhalten.
Das Datenschutzrecht in Deutschland
Die maßgebliche gesetzliche Regelung zum Datenschutz bilden das Bundesdatenschutzgesetz (BDSG) sowie die Datenschutzgesetze der Länder. Gemäß § 1 Abs 1 BDSG ist es das Ziel des Datenschutzes, den Menschen vor der Gefährdung durch die nachteiligen Folgen einer Datenverarbeitung zu schützen. Insbesondere soll der Einzelne davor geschützt werden, " dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird" (§ 1 Abs 1 BDSG).
Das Persönlichkeitsrecht hat Verfassungsrang. Denn es wird aus den Grundrechten der Verfassung abgeleitet. In Artikel 1 Abs. 1 des Grundgesetzes (GG) ist verbürgt, dass die "Würde des Menschen [...] unantastbar (sei). Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt." Darüber hinaus garantiert Artikel 2 Abs. 1 GG: "Jeder hat das Recht auf freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt." Insofern sind diese Verfassungsartikel ebenfalls die Grundlage des Datenschutzes.
Eine weitere Säule des Datenschutzes stellt die Entscheidung des Bundesverfassungsgericht als Hüterin der Verfassung im sog. Volkszählungsurteil vom 15. Dezember 1983 (1 BvR 209, 269, 362, 420, 440, 484/83; BVerfGE 65, 1) dar. Damit hat die Rechtsprechung das Recht auf informationelle Selbstbestimmung als Ausfluss des allgemeinen Persönlichkeitsrechts der Menschenwürde etabliert. Im ersten Leitsatz Satz 2 heißt es explizit: "Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen."
Europäische Tragweite
Übergeordnet wurde 1995 auf europäischer Ebene die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr erlassen. Die Richtlinie setzt Mindeststandards für den Datenschutz fest. Da die Richtlinie nicht unmittelbar nationales Recht ist, müssen die Mitgliedstaaten der Europäischen Union die Regelung in nationale Gesetze umsetzen. Deutschland ist dieser Umsetzungspflicht erst 2001 verspätet durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze und aus Sicht der Kommission in Bezug auf die Unabhängigkeit der Datenschutzaufsicht von staatlicher Einflussnahme unzureichend nachgekommen (ec.europa.eu/justice_home/fsj/privacy/index_de.htm). Folglich ist davon auszugehen, dass sich der Datenschutz in Deutschland eher noch verschärfen wird.
Aktuell kritisiert die EU-Kommission den mangelhaften Datenschutz in Großbritannien. Die europäischen Datenschutzrichtlinien seien nicht angemessen umgesetzt worden. Es droht eine Klage vor dem Europäischen Gerichtshof. Ausgangspunkt waren Beschwerden britischer Internetnutzer bei der Kommission gegen die Praxis des Werbeunternehmens "Phorm" mit gleichnamiger Software. Das Programm zeichnet auf, was Internetnutzer machen: ihre Suchanfragen zum Beispiel oder welche Webseiten sie besuchen. Die mit dem Werbeunternehmen zusammenarbeitenden Firmen wollen bei den Betroffenen so gezielter werben. Die Vorgehensweise wurde ohne Erlaubnis der Internetnutzer zusammen mit der British Telecom durchgeführt (de.euronews.net/2009/04/14/eu-hat-bedenken-wegen-datenschutz).
Bürgerrechte – Häufige Verletzungen
Im Falle der Verletzung des Datenschutzes stehen den Betroffenen umfangreiche Rechte zu. Dazu zählen insbesondere, das Recht auf Auskunft, das Recht auf Benachrichtigung, Berichtigung, Sperrung oder Löschung, das Widerspruchsrecht, das Recht auf Anrufung des Bundesbeauftragten für Datenschutz und die Informationsfreiheit sowie anderer Kontrolleninstitutionen und nicht zuletzt das Recht auf Schadensersatz.
Diese Bürgerrechte werden oftmals verletzt. Grundsätzlich ist gemäß § 28 Abs. 1 BDSG das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig,wenn es der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses dient,es erforderlich istund das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung nicht überwiegt,oder wenn die Daten allgemein zugänglich sind und das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung nicht überwiegt.Der Zweck der Datenverarbeitung ist vorab festzulegen. (Detaillierte Einschränkungen und Erweiterungen würden die beabsichtigte Darstellung überspannen, ergeben sich aber unmittelbar aus dem Gesetz.)
Zu den häufigsten Missachtungsfällen des Datenschutzrechts zählen im Einzelnen:
1. Missachtung der Hinweispflicht auf Widerspruchsrecht (§ 28 Abs. 4 S. 2 BDSG)
Peinlich zu beachten ist, dass der Betroffene insbesondere bei der Datenverarbeitung zum Zweck der Werbung oder der Markt- oder Meinungsforschung ein Widerspruchsrecht hat, über das er vor der Verarbeitung aufzuklären ist. Gleichzeitig ist mitzuteilen wer und zu welchen Zweck Daten verarbeitet werden. Zur Ausübung des Widerspruchsrechts sind die Identität und die Kontaktdaten des Verarbeitenden offen zu legen Widerspricht der Betroffene, ist eine Nutzung oder Übermittlung für diese Zwecke unzulässig.
2. Missachtung der Widersprüche gegen Werbung (§ 28 Abs. 4 S. 1 BDSG)
Soweit personenbezogene Daten des Betroffenen genutzt werden, die bei Dritten gespeichert sind, ist sicherzustellen, dass der Betroffene Kenntnis über die Herkunft und die Nutzung der Daten erhalten kann. Auch diesbezüglich ist das Aufklärungs- und Widerspruchsrecht einzuhalten (s.o.).
3. Ignorieren von Auskunftsersuchen und/ oder unzureichende Auskünfte (§ 34 BDSG)
Der Betroffene hat gemäß § 34 BDSG ein Auskunftsrecht über die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden, und den Zweck der Speicherung.
Dazu soll der Betroffene die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen. Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung bzw. Auskunftserteilung gespeichert, kann der Betroffene über Herkunft und Empfänger nur Auskunft verlangen, sofern nicht das Interesse an der Wahrung des Geschäftsgeheimnisses überwiegt. In diesem Fall ist Auskunft über Herkunft und Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind.
Die Auskunft muss schriftlich erteilt werden, soweit nicht wegen der besonderen Umstände eine andere Form der Auskunftserteilung angemessen ist. Eine Pflicht zur Auskunftserteilung besteht nicht, wenn der Betroffene nach § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7 nicht zu benachrichtigen ist.
Die Auskunft ist unentgeltlich. Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, kann jedoch ein Entgelt verlangt werden, wenn der Betroffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann. Das Entgelt darf über die durch die Auskunftserteilung entstandenen direkt zurechenbaren Kosten nicht hinausgehen. Ein Entgelt kann in den Fällen nicht verlangt werden, in denen besondere Umstände die Annahme rechtfertigen, dass Daten unrichtig oder unzulässig gespeichert werden, oder in denen die Auskunft ergibt, dass die Daten zu berichtigen oder unter der Voraussetzung des § 35 Abs. 2 Satz 2 Nr. 1 zu löschen sind.
Ist die Auskunftserteilung nicht unentgeltlich, ist dem Betroffenen die Möglichkeit zu geben, sich im Rahmen seines Auskunftsanspruchs persönlich Kenntnis über die ihn betreffenden Daten und Angaben zu verschaffen. Er ist hierauf in geeigneter Weise hinzuweisen.
4. Nichtbeachtung der Abwägungsklausel (§ 28 Abs. 1 S. 1 Nr. 2 BDSG)
Die Datenverarbeitung ist verboten, wenn sie zur Wahrung berechtigter Interessen des Verarbeitenden nicht erforderlich ist und/ oder das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.
5. Verweigerung der Kooperation mit Aufsichtsbehörden (§ 38 BDSG)
Die Einhaltung der Vorschriften über den Datenschutz wird von Aufsichtsbehörden der Länder für den nicht-öffentlichen Bereich nach § 38 Bundesdatenschutzgesetz (BDSG) überwacht. Stellt die Aufsichtsbehörde einen Verstoß fest, so ist sie befugt, die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten. Die der Kontrolle unterliegenden Stellen haben der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. Die Aufsichtsbehörde kann anordnen, dass Maßnahmen zur Beseitigung festgestellter technischer oder organisatorischer Mängel getroffen werden.
Analyse- und Statistikprogramme
Jüngst in die Kritik sind die Verwendung von Statistik- und Analyseprogrammen wie "Google Analytics" oder "Phorm" geraten. Neben den bezeichneten gibt es viele andere Programme, die vergleichbar arbeiten, indem sie das Suchverhalten von
Internetnutzern samt IP-Adresse aufzeichnen, die Anfragen und welche Web-Seiten besucht werden speichern.
Datenschutzrechtlich problematisch daran ist, dass IP-Adressen rechtlich als personenbezogene Daten zu qualifizieren sind. Denn durch die Zusammenführung der personenbezogenen Daten mit Hilfe Dritter ist es ohne großen Aufwand in den meisten Fällen möglich, Internetnutzer aufgrund ihrer IP-Adresse zu identifizieren.
Die Aufzeichnung und Bearbeitung stellt dementsprechend einen Verstoß gegen das Datenschutzrecht dar. Dies hat 2007 auch die Rechtsprechung bemängelt. Das Amtsgericht Berlin-Mitte urteilte, dass die Verwendung von Internet-Statistik-Tools wie Google Analytics als datenschutzrechtlich problematisch angesehen werden (Urteil vom 27.03.2007, Az.: 5 C 314/06). Das LG Berlin hat das Urteil im Wesentlichen bestätigt (Urteil vom 06.09.2007, Az.: 23 S 3/07).
Sanktionen
Üblicherweise wird eine Datenschutzrechtsverletzung von den betroffenen Personen gegenüber den Aufsichtsbehörden angezeigt. Die Aufsichtsbehörde ist gehalten diesen Vorwürfen nachzugehen und gegebenenfalls Ermittlungen anzustellen. Verdichten sich die Hinweise zu einem konkreten Verdacht wird die Aufsichtsbehörde beim betroffenen Unternehmen zunächst ihr Recht auf Auskunftserteilung geltend machen. Je nach Kooperationsbereitschaft und Verdachtskonsistenz kann sich die Aufsichtsbehörde für den Datenschutz genötigt sehen, das Unternehmen zwecks Durchführung einer Prüfung ohne Ankündigung aufzusuchen.
Neben einer materiell rechtlichen Kontrolle, d.h. ob personenbezogene Daten zulässigerweise verarbeitet werden, kommen folgende Bereiche für eine Prüfung in Betracht:Fachkunde des betrieblichen DatenschutzbeauftragtenAufgabenwahrnehmung – InteressenkollisionVerfahrensverzeichnis nach § 4 g Abs. 2 BDSGVerpflichtung der Mitarbeiter nach § 5 BDSGMeldepflicht nach § 4 d BDSGAuftragsdatenverarbeitung nach § 11 BDSGTechnische und organisatorische Maßnahmen nach § 9 BDSG
Erhärtet sich der Verdacht kann die Behörde die Beseitigung festgestellter technischer oder organisatorischer Mängel verlangen. Es können gewerberechtliche Sanktionen veranlasst werden. Darüber hinaus kann ein Ordnungswidrigkeitenverfahren bis hin zum Strafverfahren eingeleitet werden. Ordnungswidrigkeiten können mit einer Geldbuße bis zu zweihundertfünfzigtausend Euro geahndet werden, § 43 BDSG. Straftaten können mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden, § 44 BDSG.
Fazit:
Momentan verhält sich nur derjenige streng rechtskonform, der bei der Erhebung und Analyse ohne die Aufzeichnung von IP-Adressen auskommt, wenn er ohne lange Hinweise auskommen will. Wir raten daher vornehmlich dazu, ein Statistik- und Analyseprogramm zu verwenden, das keine IP-Adressen verarbeitet.
Andernfalls muss an hervorstechender Stelle des Internetauftritts unmissverständlich auf die Datenverarbeitung einerseits und die Regelungen zum Datenschutz und die diesbezüglichen Rechte andererseits hingewiesen werden.
Google Analytics selbst weist auf die Datenschutzproblematik hin und empfiehlt den folgenden Text in seinen Nutzungsbedingungen:
"Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. ('Google'). Google Analytics verwendet sog. 'Cookies', Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website (einschließlich Ihrer IP-Adresse) wird an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten von Google in Verbindung bringen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden." (www.google.com/analytics/de-DE/tos.html)
Zusätzlich ist ein genereller Hinweis auf den Datenschutz, die Verarbeitung, den etwaigen Zweck, die gesetzlichen Rechte der Betroffenen, insbesondere der Hinweis auf das Widerrufsrecht sowie die Einhaltung der Informationspflichten unerlässlich. (Markus Thomas Gronau: Praetoria Rechtsanwälte)
Praetoria Rechtsanwälte: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>