Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

10.11.2000 - 

Recht im Internet

Wenn Kundendaten in Versuchung führen

Die Geschäfte im Web laufen ohne personalisierte Angebote oft dürftig, denn nur wer über exakte Kundenprofile verfügt, kann seine Dienste individuell maßschneidern. Die Vorgaben des Datenschutzes sind aber so eng, dass oft kein Spielraum zu bleiben scheint. Dennoch kommen Profis mit den Restriktionen gut zurecht. Wer aber meint, sie ignorieren zu können, muss mit bösen Kundenreaktionen, Prozessen und Ärger mit den Datenschutzbehörden rechnen. Von Eugen Ehmann*

Der Plan schien bestechend. Eine Online-Marketing-Agentur hatte von allen Internet-Usern, die sich bei ihr einklickten, Surfprofile erstellt. Mittels Cookies war dies kein Problem. Bei seinem ersten Besuch erhielt jeder Surfer einen solchen "Keks" auf seinen Rechner. Dessen Kennung sorgte dafür, dass der User bei weiteren Besuchen für die Agentur wieder zu identifizieren war - zwar nicht namentlich, aber es war klar, dass sie es erneut mit derselben Person zu tun hatte. Nun galt es nur noch, bei jedem Visit die vom User vorher besuchten Seiten auf seinem Rechner auszulesen und mit den Daten zusammenzuführen, die bereits unter derselben Kennung vorhanden waren. Schon war ein recht aussagekräftiges Surfprofil generiert.

Das allein hätte wohl schon viele User gestört. Hochbrisant wurde es freilich, als sich die Agentur ein Marktforschungsinstitut einverleibte, das über umfangreiche Bestände von namentlich zugeordneten Konsumentendaten verfügte. Ob wirklich alle Gerüchte stimmen, die deswegen aufkamen, sei dahingestellt. Fakt ist: Es entstand der Eindruck, dass die Agentur ihre "namenlosen" Suchprofile mit den nach Namen sortierten Verbraucherdaten der Marktforscher verknüpfen wollte. Kaum hatte dies die Runde gemacht, brachen für die Agentur stürmische Zeiten an: Großkunden distanzierten sich von solchen als unfair gebrandmarkten Aktivitäten, Verbraucherverbände bliesen zum Gefecht vor Gericht, die Handelsbehörden leiteten Untersuchungen ein. Sogar die Börsennotierung des Unternehmens schwächelte. Die Süddeutsche Zeitung, sonst in Formulierungen eher zurückhaltend, begann zu höhnen: "So krümelt der Keks".

Der Fall ereignete sich erst dieses Jahr. Bei der Agentur handelt es sich um den allgemein bekannten Online-Vermarkter Doubleclick, bei dem Marktforschungsinstitut um das US-Unternehmen Abacus. Wer Datenschutz insgeheim milde belächelt und für eine Variante der "German Disease" hält, stutzt spätestens hier und fragt, ob sich nun auch die USA infiziert haben. Die Antwort ist einfach: Im Einzelnen sind die Datenschutzregeln diesseits und jenseits des Atlantik unterschiedlich. Ob es aber nun im Sprachgebrauch der Gesetze "unfair practice" oder "Verstoß gegen Treu und Glauben" heißt, unredlicher Umgang mit personenbezogenen Daten ist vom Prinzip her hier wie dort verpönt.

Datenschutz begrenzt personalisiertes Marketing

Mit dem Begriff der personenbezogenen Daten ist ein zentraler Punkt angesprochen. Datenschutz ist Persönlichkeitsschutz. Er greift daher immer nur dann, wenn die Personen, deren Daten vorliegen, bekannt sind oder identifiziert werden können. Bei anonymen oder pseudonymen Daten bleibt er außen vor. Anonym sind Daten freilich nur dann, wenn ihre Zuordnung zu einer bestimmten Person entweder schon theoretisch völlig ausgeschlossen oder zumindest faktisch (so gut wie) unmöglich ist. Die Surfprofile bei Doubleclick erfüllten diese Voraussetzungen nicht. Es zeigte sich ja, dass sie sich mit den Kundendaten bei Abacus verknüpfen und damit bestimmten Personen zuordnen ließen. Sie waren lediglich pseudonym. Darunter versteht die Neufassung des Bundesdatenschutzgesetzes (tritt voraussichtlich zum 1. April 2001 in Kraft), dass der Name und andere Identifikationsmerkmale durch ein Kennzeichen ersetzt sind, um die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Sobald pseudonyme mit anderen Daten verknüpft werden und sich dadurch wieder einer bestimmten Person zuordnen lassen, gelten auch die Datenschutzregelungen wieder in vollem Umfang.

Die Daten sind dann nämlich wieder personenbezogen. Und genau so wollten Doubleclick und Abacus ja offensichtlich vorgehen.

Wer personalisiertes Marketing betreiben will, kommt also um die Beschäftigung mit dem Datenschutz nicht herum. Dabei beginnen die Probleme schon bei Verfahrensweisen, die weithin üblich sind. So gibt es im Versandhandel außer den großen Hauptkatalogen mit oft mehr als 1000 Seiten auch zielgruppenspezifische kleinere Kataloge, etwa mit Mode hauptsächlich für Frauen von 18 bis 25 Jahren. Wie bringt man nun diese Kataloge an die richtige Frau? Eine Möglichkeit besteht darin zu warten, bis die Frau ihn anfordert. Wirksamer ist aber die aktive Ansprache potenzieller Kundinnen. Sie setzt freilich voraus, dass der Versender weiß, welcher seiner "Hauptkatalog-Kundinnen" auch zur spezifischen Zielgruppe gehört. Das Geburtsdatum der Kundin würde hier weiterhelfen, ist aber meist nicht bekannt. Also wertet man Bestellungen aus, die früher aus dem Hauptkatalog erfolgt sind. Hat etwa eine Frau Schuhe bestellt, wie sich üblicherweise Frauen um die 20 tragen, dann ist sie wahrscheinlich generell an Mode für diese Zielgruppe interessiert. Zusätzlich lässt sich oft anhand ihres Vornamens prüfen, ob sie zu dieser Altersgruppe gehört. Vornamen, die Eltern wählen, sind nämlich gewissermaßen selbst Modeartikel und kommen in bestimmten Jahrgängen stark gehäuft vor. So wird eine Tanja im Jahr 2000 kaum jemals über 30 Jahre alt sein, während eine 18-jährige Brunhilde wohl nur mit der Lupe zu finden ist, weil sie wahrscheinlich bereits die 50 überschritten haben wird.

So weit, so gut - jedenfalls für den Versandhandel. Die Frage ist nur, ob solche Auswertungen zulässig sind. Ein Blick in die Rechtsliteratur zeigt, dass hier enge Grenzen gelten. So weist Alfred Büllesbach, als Konzernbeauftragter für den Datenschutz bei der Daimler-Chrysler AG der Wirtschaft gewiss nicht fernstehend, auf Folgendes hin: Die Auswertung vorhandener Kundendaten mit dem Ziel, unterschiedliche Kundentypen zu klassifizieren und darauf ein gezieltes Marketing aufzubauen, ist nicht mehr durch die Verträge gerechtfertigt, die früher mit diesem Kunden geschlossen wurden. Solche Auswertungen sind also unzulässig. Etwas anderes gilt, wenn der Kunde gefragt wurde, ob er damit einverstanden ist und das bejaht hat.

Selbstverständlich ist dabei, dass in der Online- und Offline-Welt nach denselben Regeln gespielt wird. Schließlich geht es hier wie dort um dieselben Daten und um dieselben Kunden. Einen Datenschutzabschlag für Netzfirmen gibt es nicht.

Die Probleme kulminieren, wenn Data-Warehouse- und Data-Mining-Konzepte ins Spiel kommen. Sie stoßen bei Datenschützern auf großes Unbehagen. Einer der führenden Köpfe der Datenschutzszene, der schleswig-holsteinische Datenschutzbeauftragte Helmut Bäumler, brachte den Widerwillen auf den Punkt: "In Verbindung mit personenbezogenen Daten bedeutet das Konzept des Data Warehouse und des Data Mining geradezu die Umkehrung des Datenschutzgedankens." Diese auf den ersten Blick sehr harte Aussage wundert nicht mehr, wenn man die mit solchen Konzepten oft verbundenen Vorstellungen analysiert. Da sollen möglichst alle in einem Unternehmen vorhandenen Daten in ein "Datenlagerhaus" aufgenommen werden, von Vertriebs- und Buchhaltungsdaten bis hin zu Telefoninformationen. Allenfalls vor den Patientendaten des Betriebsarztes macht man gerade noch Halt. Soweit technisch machbar, sollen sogar die Datenbestände mehrerer Unternehmen in einen Topf kommen, also in einer einheitlichen Datenbank organisiert werden. Das Data Mining soll dann Strukturen aufdecken, von denen man noch gar nichts weiß, etwa bisher noch gar nicht vermutete Zusammenhänge zwischen Alter, Kinderzahl und der Bevorzugung bestimmter Marken.

Solche Vorstellungen kollidieren schon im Ansatz mit rechtlichen Regeln des Datenschutzes. Vor allem ist es verfehlt, unterschiedliche Datenbestände allein unter dem Gesichtspunkt der Datenorganisation zu betrachten. Ähnlich oder sogar identisch strukturierte Datenbestände unterliegen oft völlig verschiedenen Rechtsregeln. Dies wird schon am simplen Beispiel einer Namens- und Adressliste deutlich. Handelt es sich dabei um eine Patientenliste, dann unterliegt sie der strengen ärztlichen Schweigepflicht und darf prinzipiell gar nicht an andere weitergegeben oder für andere Zwecke genutzt werden. Enthält sie dagegen die Mitglieder eines bestimmten Vereins, dann darf sie jedes Vereinsmitglied erhalten, wenn das die Vereinssatzung so festlegt. Außenstehende geht die Liste nichts an. Besteht die Liste schließlich aus Kunden eines Weinhändlers, dann darf er sie durchaus an ein Marktforschungsinstitut weitergeben, um mit dessen Hilfe Kundengewohnheiten statistisch auswerten zu lassen.

Eine Betrachtung allein unter datentechnischen Gesichtspunkten ignoriert solche zwingenden rechtlichen Differenzierungen. Sie verstößt zudem gegen den allgemeinen datenschutzrechtlichen Grundsatz der Zweckbindung. Der besagt, dass ein Unternehmen Daten im Normalfall nur für den Zweck nutzen darf, für den es die Daten bekommen hat. Dieser Grundsatz hat zentrale Bedeutung. Erst im März 2000 haben die Datenschutzbeauftragten des Bundes und der Länder in einer Entschließung ausdrücklich hervorgehoben, dass er auch beim Data Mining zu beachten ist.

Wie er sich auswirkt, zeigt ein Fall, den der österreichische Oberste Gerichtshof schon vor einigen Jahren zu entscheiden hatte. Eine Bank wollte ihre Kunden zu Verträgen mit der hauseigenen Bausparkasse bewegen. Sie wertete deshalb den Giroverkehr ihrer Kunden aus und stellte fest, welche Kunden Überweisungen an andere Bausparkassen tätigten. Diese Fremdsparer wurden dann angesprochen, um sie abzuwerben. Das Gericht erklärte das für unzulässig. Sein Hauptargument: Die Bank hat die Daten von den Kunden nur erhalten, um damit die Überweisungen durchzuführen. Die Kunden haben sie ihr nicht überlassen, damit eine Auswertung für Werbemaßnahmen erfolgt. Geschieht eine solche Auswertung trotzdem, dann ändert die Bank in unzulässiger Weise den Zweck der Daten, der durch den Girovertrag vorgegeben ist.

Strenge Anforderungen an Einwilligungserklärungen

Manches Unternehmen meint, über eine Einwilligung der Kunden ließen sich alle Probleme leicht lösen. Diesen Ausgangspunkt wird jeder Datenschützer begrüßen. Aber: Die Rechtsprechung stellt an die Wirksamkeit einer Einwilligung strenge Anforderungen. Ein neues Urteil des Bundesgerichtshofs, das erst am 27. Januar 2000 erging (Aktenzeichen: IZR241/97), zeigt, wie streng die Sitten sind.

Eine Bank verwendete im Antragsformular für Sparkonten folgenden Test: "Der Kontoinhaber ist mit der persönlichen und telefonischen Beratung in Geldangelegenheiten durch die Bank o einverstanden o nicht einverstanden". Ein neuer Kunde kreuzte das Kästchen "einverstanden" an. Ein Mitarbeiter der Bank rief ihn an und bat um einen Termin "wegen einer Steuerersparnissache". Bei dem Gespräch, das sie vereinbarten, bot er ihm den Abschluss einer Kapitallebensversicherung an. Das ärgerte den Kunden, und er mobilisierte einen Verbraucherschutzverein. Der klagte gegen die Klausel und bekam Recht. Die Bank darf sie künftig nicht mehr verwenden. Laut Bundesgerichtshof ist die Klausel "unangemessen", mit anderen Worten also unfair, denn sie erlaubt ein telefonisches Eindringen in die Privatsphäre. Weil die Klausel also ohnehin unwirksam ist, lässt das Gericht offen, ob die Einwilligung vom Datenschutz her gesehen überhaupt wirksam sein kann oder ob sie wegen der sehr allgemeinen Formulierung "Geldangelegenheiten" zu unscharf ist. Die Tendenz ist aber klar: Selbst dieser relativ konkrete Text taugt im Ernstfall nicht als rechtswirksame Einwilligung.

Formulierungen in der Art "Ich bin damit einverstanden, dass meine Daten in ein Data Warehouse aufgenommen und mittels Data Mining ausgewertet werden" sind deshalb erst recht völlig unbrauchbar. Der Normalbürger versteht schon die englischen Begriffe nicht. Und auf was er sich eigentlich einlässt, kann er in keiner Weise erkennen. Viele meinen, es sei in der Praxis gar nicht möglich, rechtlich wirksame Einwilligungen in Data-Mining- und Data-Warehouse-Konzepte zu formulieren. Dem Kunden müsste dazu nämlich im Einzelnen erklärt werden, wie die Konzepte funktionieren und was mit seinen Daten geschieht. Die dafür notwendigen Texte wären viel zu umfangreich. Außerdem stößt jede Erläuterung an Grenzen, weil die Konzepte ja gerade darauf setzen, Verknüpfungen herzustellen, die sich noch gar nicht vorhersehen lassen. Dann kann man sie aber auch dem Kunden noch nicht genau erläutern. Die Haltung der amtlichen Datenschutzbeauftragten zu diesem Punkt ist eindeutig: "Eine Einwilligung in unbestimmte und zeitlich unbegrenzte Zweckänderungen ist unwirksam." So heißt es in einer Entschließung der 59. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 14. und 15. März 2000.

Ein großes Problem liegt darin, dass personenbezogene Daten nur zeitlich begrenzt gespeichert werden dürfen. Die Datenschutzgesetze sind in diesem Punkt an sich flexibel. Sinngemäß oder wörtlich heißt es dort, dass Daten so lange gespeichert bleiben dürfen, wie dies erforderlich ist. Was erforderlich ist, richtet sich dabei nach dem Zweck, für den die Daten erhoben und gespeichert wurden. Angenommen, jemand bestellt in einem virtuellen Shop im Netz eine neue Winterjacke. Dann ist klar, dass seine Daten zumindest so lange gespeichert bleiben müssen, bis der Auftrag ausgeführt ist. Aber das reicht nicht. Schließlich kann er ja Reklamationen haben, dann werden die Daten auch noch benötigt. Und vielleicht kommt ja später auch noch die Betriebsprüfung des Finanzamtes, um zu kontrollieren, ob der Shop auch alle Umsätze versteuert hat. Deshalb müssen die Daten greifbar bleiben, bis die Aufbewahrungsfristen abgelaufen sind, die das Handels- und das Steuerrecht festlegen. Sie bewegen sich in der Größenordnung von fünf bis zehn Jahren. Sind diese Fristen abgelaufen, muss freilich Schluss sein. Die Daten sind zu löschen. Wenn sie in ein Data Warehouse aufgenommen wurden, ist das aber gar nicht mehr durchführbar. Wie soll man jemals noch die Daten finden, die zu löschen sind? Um das möglich zu machen, wäre eine gigantischer Suchaufwand nötig. Das Urteil der Konferenz der Datenschutzbeauftragten fällt auch in diesem Punkt knallhart aus: Sie halten die Einrichtung "permanenter Daten-Lagerhäuser" für rechtswidrig.

Fast schon könnte man den Eindruck gewinnen, als sei alles verboten, was für die Werbung von Interesse ist. Dies stimmt jedoch nicht. Wenn einige Spielregeln beachtet werden, bleibt Vieles rechtlich zulässig:

-Oberstes Ziel muss die Fairness gegenüber dem Kunden sein. Den Vorrang müssen Verfahren haben, die ohne personenbezogene Daten auskommen und mit anonymen oder pseudonymen Daten arbeiten.

-Transparenz ist wichtig. Es ist völlig indiskutabel, Cookies heimlich auf dem Rechner des Kunden abzulegen. Vielmehr muss der Kunde dies erkennen können und auch die Wahl haben, Cookies abzulehnen. Umgekehrt hat natürlich jedes Unternehmen das Recht, etwa eine Software nur dann gratis downloaden zu lassen, wenn der Kunde ein Cookie akzeptiert.

-Ganz wichtig ist, dass man dem Kunden aussagekräftige Seiten zur Privacy Policy des Unternehmens, also zu seinem Umgang mit Kundendaten, anbietet.

-Von zentraler Bedeutung ist die Zweckbindung der Daten. Der Kunde muss von Anfang an klar und deutlich erkennen können, für welche Zwecke seine Daten verwendet werden. Was er deutlich sehen kann, stört ihn nur selten. Freilich steht sich manches Unternehmen hier selbst im Weg. Es gibt keinen Grund, geheimnisvoll so zu formulieren: "Der Kunde ist damit einverstanden, dass er in Geldangelegenheiten angerufen wird." Deutlicher könnte man auch sagen: "Sie kennen uns als Bank. Wir verkaufen aber auch Versicherungen und Bausparverträge. Auch hier möchten wir mit Ihnen ins Geschäft kommen. Dürfen wir Sie deshalb einmal anrufen?"

Viele wichtige Unternehmen beachten diese Spielregeln schon lange und fahren gut damit. Ein gutes Beispiel sind etwa die Datenschutz-Info-Seiten von Daimler-Chrysler. Andere wurden erst durch Schaden klug. Dazu gehört Doubleclick, wo Datenschutz inzwischen aber einen hohen Stellenwert hat. Auch die Schufa nimmt ihn seit Prozessniederlagen in den 80er-Jahren sehr ernst. Mit inkonsequentem Verhalten der Kunden müssen dabei freilich alle leben. In der "Big-Brother-Generation" finden viele nichts dabei, vor laufender Kamera über Intimes zu plaudern, stoßen sich jedoch daran, wenn ein Unternehmen ihre Adresse für harmlose Werbebriefe verwendet. Aber auch solche Unterscheidungen sind ja letztlich eine Form "informationeller Selbstbestimmung", und die will der Datenschutz den Menschen gerade möglich machen.

*Regierungsdirektor Eugen Ehmann ist am Landratsamt Nürnberger Land als Personal- und Organisationschef tätig.

Datenschutzprogrammatik

Entschließung der 59. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 14./15. März 2000, nachzulesen unter http://www.datenschutz.de

1. Fairness und Transparenz für den Kunden

Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten. Anonyme und pseudonyme Verfahren sind datenschutzrechtlich unbedenklich.

Verfahren sind so zu gestalten, dass die Betroffenen hinreichend unterrichtet werden, damit sie jederzeit die Risiken abschätzen und ihre Rechte wahrnehmen können. Sie haben insbesondere das Recht, eine erteilte Einwilligung jederzeit zurückzuziehen.

2. Appell an Unternehmen

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder ruft die Hersteller und Anwender von "Data-Warehouse"- und "Data-Mining"-Verfahren dazu auf, solchen Programmen den Vorzug zu geben, die unter Einsatz von datenschutzfreundlichen Technologien die Speicherung personenbezogener Daten durch Anonymisierung oder Pseudonymisierung vermeiden.

3. Risiken des Data Mining

"Data Mining" bietet Werkzeuge, welche die scheinbar zusammenhanglosen Daten nach noch nicht bekannten, wissenswerten Zusammenhängen durchsuchen, Daten aufspüren, kombinieren und neue Informationen zur Verfügung stellen. Diese Entwicklung schafft neben Vorteilen neue Gefahren und Risiken für das Grundrecht auf informationelle Selbstbestimmung und für den Schutz der Privatsphäre: Persönlichkeitsprofile, automatisierte Vorhersagen von Verhaltens- und Handlungsweisen, Manipulationsmöglichkeiten und zu lange Speicherung sind befürchtete Gefahren.