Personenbezogene Daten

Datenschutz bei Internet-Communities

14.09.2012
Jeder Umgang mit personenbezogenen Daten ist datenschutzrechtlich reguliert. Welche Anforderungen Betreiber von Web-Communities beachten sollten, sagt Dr. Sebastian Kraska.
Wer eine Community betreibt, muss für eine ausreichende Anonymität der Nutzer sorgen.

Das sogenannte "Verbot mit Erlaubnisvorbehalt" beschreibt im Datenschutzrecht den in § 4 Abs. 1 Bundesdatenschutzgesetz ("BDSG") festgeschriebenen zentralen Grundsatz, wonach die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig sind, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Kurz gesagt: Wenn beispielsweise ein Unternehmen irgendetwas mit personenbezogenen Daten "machen" möchte ist dies nicht gestattet, es sei denn a) es liegt eine gesetzliche Anordnung oder b) eine gesetzliche Gestattung hierzu vor oder c) der Betroffene hat in die Datenverarbeitung zuvor eingewilligt.

Das Verständnis dieses Grundsatzes ist für Community-Betreiber von zentraler Bedeutung: Jeder Umgang mit personenbezogenen Daten ist in der beschriebenen Art und Weise datenschutzrechtlich reguliert.

Dieser Grundsatz wird vor allem von vielen Internetunternehmen als nicht mehr zeitgemäß und für eine moderne Informationsgesellschaft als unpassend empfunden. Das Argument dahinter: wenn eine Gesellschaft auf dem Grundsatz des "Teilens" von Informationen aufbaut, stelle dies letztlich eine (untaugliche) Regulierung eines Gesellschaftsmodells dar.

Besucheranalyse: "Infektion" anonymer Daten durch personenbezogene Anmeldung

Aufbauend auf den Ausführungen zum sogenannten "Verbot mit Erlaubnisvorbehalt" versucht die Praxis im Bereich Webanalyse daher, anonymisierte Web-Analyse-Tools zu entwickeln (so z.B. bei Google Analytics und den Anpassungen bzgl. des Facebook-Like-Buttons, um so den datenschutzrechtlichen Einschränkungen weitestmöglich zu entgehen.

Zu beachten ist aber: erhebt ein Webseitenbetreiber im Rahmen der Webanalyse (an sich anonyme) Daten und kombiniert diese später mit personenbezogenen Daten, die man z.B. im Rahmen der Community-Anmeldung erhalten hat, "infiziert" man damit seine ehemals anonymen Datenbestände und ist insoweit datenschutzrechtlich im oben beschriebenen Umfang reguliert.

Ein Beispiel: ein Community-Betreiber erhebt für die Webanalyse in eigenen Server-Logdateien anonymisierte Daten über das Besucherverhalten (z.B. gekürzte IP-Adresse). Meldet sich nun ein Nutzer in der Community unter Preisgabe seiner E-Mail-Adresse an und werden diese Daten nicht sauber von den anderen Datenbeständen über das allgemeine Besucherverhalten getrennt, "infiziert" er damit den gesamten Datenbestand und unterwirft ihn damit den Regelungen des Datenschutzrechts.

Benutzerspezifische Werbung und Analyse von Verhaltensprofilen

Auch hier gilt das "Verbot mit Erlaubnisvorbehalt", welches vereinfacht zusammengefasst folgende Auswirkung zeitigt: möchte ein Unternehmen benutzerspezifische Werbung einsetzen und Verhaltensprofile analysieren, muss es hier (je nach genauem Umfang im Detail) den Benutzer entweder vorher um Einwilligung bitten oder vorher transparent und verständlich über die Art der benutzerbezogenen Datenauswertung informieren.

"Anonymität" in Communities

Für Betreiber von Communities im Internet ebenfalls beachtlich ist § 13 Abs. 6 TMG, der besagt: "Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren."

Dieser Grundsatz wird in der Praxis häufig nicht beachtet. Gerade der Trend zur personenbezogenen Werbung bei Facebook und Google läuft dieser Grundregel zuwider und wird daher häufiger von deutschen Wettbewerbern als Standortnachteil kritisiert.

Verkauf von Daten zulässig?

Auch dies letztlich ein Ausfluss oben benannten Prinzips: das Verkaufen (sprich "Übermitteln" und damit "Verarbeiten") von Daten ist nur zulässig, wenn a) gesetzlich angeordnet, b) gesetzlich zulässig oder c) per Einwilligung gestattet. In der Praxis sind in der Regel keine gesetzlichen Anordnungen/Erlaubnistatbestände einschlägig, weshalb zumeist nur die Einwilligung als mögliche Grundlage verbleibt. Hierbei gilt zu beachten: die Einwilligung muss auf einer vollständigen und klaren Information des Betroffenen beruhen, vor Verarbeitungsbeginn erteilt werden und eine aktive Willenshandlung darstellen (keine "vorangehakten" Häkchen etc.).

Datenschutzkonformer Einsatz von Drittdienstleistern

Ein haftungsrechtlich wichtiges Thema (gerade für Community Betreiber in Deutschland) ist zudem die so genannte "Auftragsdatenverarbeitungsvereinbarung" nach § 11 BDSG. Danach muss in Fällen der weisungsgebundenen Datenverarbeitung durch einen Dritten (externes Hosting; externer Newsletter-Versand; externe Webanalyse; Wartung der eigenen IT durch externes Unternehmen etc.) dieser Dritte vom datenauslagernden Unternehmen in einem eigenen (relativ umfangreichen) "Datenschutz-Vertrag" gebunden werden. Bei Nichtvorlage dieser Verträge drohen Bußgelder der Datenschutz-Aufsichtsbehörden und im hierdurch begründeten Schadensfall Ersatzansprüche der Betroffenen.

Was passiert bei einem Datenleck?

Ein weiteres wichtiges Thema sind sogenannte "Data Breach Notifications" (Selbstanzeigepflichten im Datenverlustfall) in vor allem § 42a BDSG und § 15a TMG. Vereinfacht zusammengefasst besagen diese Vorschriften: gehen insbesondere Konto- oder Kreditkartendaten oder Bestands- oder Nutzungsdaten verloren, werden von einem Dritten gehackt oder ist ein solches Datenverlustszenario nicht auszuschließen, müssen die Betroffenen sowie die Datenschutz-Aufsichtsbehörde unverzüglich informiert werden, um empfindliche Bußgelder, Schadenersatzansprüche und im Einzelfall sogar strafrechtliche Sanktionen zu vermeiden.

Fazit

Community-Betreiber haben eine Reihe von datenschutzrechtlichen Vorgaben zu beachten. Neben eher formalen Vorgaben zur Vermeidung von Haftung und Bußgeldern enthalten die Regelungen zudem eine Antwort auf die Frage "wer auf welche Daten zu welchem Zweck" zugreifen darf. Unternehmen sollten die Regelungen daher auch unter strategischen Gesichtspunkten interpretieren und in ihre Produktgestaltung einfließen lassen. (oe)
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt, Inhaber des Instituts für IT-Recht - IITR GmbH und externer Datenschutzbeauftragter.
Kontakt: IITR, Tel.: 089 51303920, E-Mail: email@iitr.de