Jusdata - Das Thema

September 2002:
Die rechtliche Situation in Deutschland bezüglich des Schutzes von Kundendaten im elektronischen Geschäftsverkehr

Die rechtliche Situation in Deutschland bezüglich des Schutzes von Kundendaten im elektronischen Geschäftsverkehr

Einleitung

Das Internet hat sich zu einem weltweiten elektronischen Marktplatz entwickelt. Es bietet für Firmen eine Vielzahl von Möglichkeiten, um auf das eigene Unternehmen aufmerksam zu machen bzw. Produkte oder Dienstleistungen zu bewerben. Diese Entwicklung hat gleichzeitig zu einem veränderten Umgang mit den Daten der Nutzer von Internetangeboten und deren Verwendung zu Marketingzwecken geführt. Durch traditionelle Marketingstrategien wie dem Sammeln, Verwenden und Weitergeben von Kundendaten durch Firmen können interessante Kundensegmente nicht erschlossen werden, da sie noch nicht existieren. Vielmehr muss der Kundenkontakt durch das Unternehmen erst aufgebaut werden. Dabei eröffnen die vom Nutzer im Zusammenhang mit dem elektronischen Geschäftsverkehr eingegebenen Daten eine verbesserte Möglichkeit zur Zusammenstellung von Angaben. Daneben erlauben es neue internetgestützte Techniken wie das Verwenden von Web-Cookies den Unternehmen, die Interessen und Vorlieben ihrer Kunden bei der Internetnutzung durch das Sammeln entsprechender Daten genau zu verfolgen und zu analysieren. Schließlich hinterlässt der Kunde bei jeder Internetnutzung elektronische Spuren, die protokolliert werden, woraus wiederum Rückschlüsse auf die Kaufgewohnheiten und Präferenzen der Kunden gezogen werden können. Je besser ein Unternehmen seine künftigen Kunden kennt, desto leichter ist es ihm möglich, maßgeschneiderte Produkte und Dienstleistungen anzubieten. Da das Internet wie kein zweites Medium geeignet ist, Kundendaten mit geringem Aufwand zu gewinnen und auszuwerten, ist es nicht mehr weit, dass der Traum vom "gläsernen Kunden" wahr wird. Einer solchen Tendenz wird in Deutschland durch umfangreiche datenschutzrechtliche Regelungen entgegengewirkt.

Datenschutz in Deutschland

In Deutschland hat jeder Mensch das durch Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG verfassungsrechtlich abgesicherte Recht auf informationelle Selbstbestimmung. Damit wird dem Einzelnen die Möglichkeit eröffnet, grundsätzlich selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen. In dieses Recht darf nur anhand einer gesetzlichen Grundlage eingegriffen werden, wenn ein überwiegendes Allgemeininteresse besteht, es sei denn, der Betroffene hat in die Erhebung und Verarbeitung seiner personenbezogenen Daten eingewilligt. Dieser Schutz von personenbezogenen Daten, bei denen es sich nach § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) um Einzelangaben über die persönlichen und sachlichen Verhältnisse einer bestimmten oder bestimmbaren Person, dem Betroffenen, handelt, wird durch ein dichtes Geflecht unterschiedlicher Rechtsgrundlagen gewährleistet. Sind spezielle Vorschriften für den Schutz von Daten in einem bestimmten Bereich vorhanden, ist auf diese zurückzugreifen. Zudem sind die allgemeinen Vorschriften des Bundesdatenschutzgesetzes heranzuziehen, wenn ein Spezialgesetz keine entsprechende Regelung enthält. Diese Subsidiarität des Bundesdatenschutzgesetzes ergibt sich aus § 1 Abs. 4 BDSG. Allerdings ist das deutsche Datenschutzrecht nur dann anwendbar, wenn die Datenverarbeitung in Deutschland stattfindet. Das setzt voraus, dass der Datenverarbeiter eine Niederlassung in Deutschland unterhält oder zumindest der konkrete Server in Deutschland steht. Gerade bei dem Schutz von Daten im Internet können deshalb Schutzlücken entstehen, die künftig nur durch europäische oder internationale Vorgaben zum Datenschutz geschlossen werden können.

Gesetzliche Vorgaben für den Schutz von Kundendaten im Internet

Der Schutz von Kundendaten im Internet wird durch die Vorschriften des Teledienstedatenschutzgesetzes (TDDSG) gewährleistet. Durch diese Normen soll der bestehende Konflikt zwischen dem Interesse eines Unternehmens an umfassenden Informationen über die Nutzer seiner Webseiten und Internetplattformen zu Marketingzwecken und dem Interesse des Einzelnen am Schutz seiner Privatsphäre einen angemessenen Ausgleich finden. Die speziellen Vorschriften des Teledienstedatenschutzgesetzes, die zum 1.1.2002 novelliert wurden, gehen dabei in ihrer Anwendung den Vorschriften des Bundesdatenschutzgesetzes vor.

Teledienste sind nach § 2 Abs. 1 Teledienstegesetz (TDG) elektronische Informations- und Kommunikationsdienste, die für eine individuelle Nutzung von kombinierbaren Daten wie Zeichen, Bildern oder Tönen bestimmt sind und denen eine Übermittlung mittels Telekommunikation zugrunde liegt. Vom Anwendungsbereich des Gesetzes werden individuelle Geschäfte des einzelnen Nutzers im Internet erfasst, wie elektronische Bankgeschäfte, Warenbestellungen oder automatische Fahrplanauskünfte. Handelt es sich hingegen um an die Allgemeinheit gerichtete elektronische Verteildienste und um solche Dienste, bei denen die redaktionelle Gestaltung zur Meinungsbildung im Vordergrund steht, wie Angebote von Tageszeitungen und Zeitschriften oder redaktionell bearbeitete Newsletter, sind die Vorschriften des Mediendienste-Staatsvertrags (MDStV) anzuwenden. Eine Unterscheidung zwischen einem Teledienst und einem Mediendienst ist in der Praxis insoweit unproblematisch, da das Teledienstegesetz und der Mediendienste-Staatsvertrag im Wesentlichen einen identischen Wortlaut haben. Aus diesem Grund soll in diesem Beitrag nur auf die datenschutzrechtlich relevanten Vorschriften für Teledienste eingegangen werden.

Umgang mit Kundendaten

Von hoher praktischer Bedeutung ist die Frage, wie ein Internet-Provider mit den Daten seiner Kunden umgehen darf. Es besteht die Notwendigkeit, dass ein Dienstanbieter ein Minimum persönlicher Daten seiner Kunden abfragen und speichern muss, um seine Dienste erbringen zu können. Das Gesetz differenziert deshalb zwischen Bestandsdaten und Nutzungsdaten. Bestandsdaten sind nach § 5 TDDSG Daten, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Provider und dem Nutzer zwingend erforderlich sind. Bei welchen Daten es sich um Bestandsdaten handelt, ergibt sich aus dem Zweck des jeweiligen Vertragsverhältnisses. Regelmäßig werden dazu etwa Name, Anschrift und E-Mail-Adresse des Nutzers gehören. Des weiteren darf der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben, verarbeiten und nutzen, soweit dies erforderlich ist, um diesem die Inanspruchnahme eines Teledienstes zu ermöglichen. Zu diesen sog. Nutzungsdaten nach § 6 Abs. 1 TDDSG gehören Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über den vom Nutzer in Anspruch genommenen Dienst. Nutzungsdaten dürfen nur unter den Voraussetzungen des § 6 Abs. 8 S. 1 TDDSG über das Ende des Nutzungsvorgangs hinaus und damit zu Zwecken der Rechtsverfolgung verarbeitet, genutzt und an Dritte übermittelt werden. Überdies dürfen nur Abrechnungsdaten i.S.v. § 6 Abs. 4 TDDSG, wie Zeit, Dauer und Umfang der Nutzung, über das Ende des Nutzungsvorgangs hinaus, verarbeitet werden. Sobald diese Daten jedoch für Abrechnungszwecke nicht mehr erforderlich sind, müssen sie gelöscht werden. Lässt ein E-Business-Unternehmen die Abrechnung durch Dritte vornehmen, erlaubt das Gesetz nach § 6 Abs. 5 S. 1 und 2 TDDSG eine Übermittlung der Abrechnungsdaten an Dritte. Über das Ende des Nutzungsvorgangs hinaus darf der Diensteanbieter nach § 6 Abs. 4 TDDSG Nutzungsdaten nur dann verarbeiten und nutzen, wenn dies für Abrechungszwecke gegenüber dem Nutzer erforderlich ist.

Bei der Erhebung und Verarbeitung von Kundendaten hat der Dienstanbieter außerdem die Vorschrift des § 3 a BDSG zu beachten. Nach dem dort geregelten Grundsatz der Datenvermeidung und Datensparsamkeit soll bereits durch die Gestaltung der Systemstrukturen, in denen personenbezogene Daten verarbeitet werden, einer unzulässigen Datenverwendung vorgebeugt und die Selbstbestimmung der Nutzer sichergestellt werden. Für den Anbieter eines Teledienstes bedeutet dies, dass er die Gestaltung und Auswahl von Systemen zur Datenverarbeitung an dem Ziel ausrichten soll, keine oder so wenig wie möglich personenbezogene Daten zu erheben.

Pflichten des Diensteanbieters

Durch das Teledienstedatenschutzgesetz werden dem Diensteanbieter umfangreiche Pflichten auferlegt. Zu den wichtigsten gehört die in § 4 Abs. 1 TDDSG niedergelegte Verpflichtung, den Nutzer bereits zu Beginn des Nutzungsvorgangs eines Teledienstes umfassend über Art, Umfang und Zweck der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu unterrichten. Informiert der Diensteanbieter am Anfang einer Nutzungsbeziehung darüber, welche Daten erhoben und zu welchem Zweck verarbeitet werden, führt das zu einer Stärkung des Vertrauens des Kunden in die Geschäftsbeziehung. Die Erhebung personenbezogener Daten im Rahmen von Telediensten beginnt grundsätzlich dann, wenn der Nutzer das Angebot im Internet aufruft, denn dabei werden die IP-Adresse des vom Nutzer verwendeten Rechners und weitere technische Angaben automatisch an den Anbieter weitergeleitet. Spätestens zu dem Zeitpunkt, in dem der Nutzer zur Dateneingabe aufgefordert wird oder wenn Daten mit Personenbezug beispielsweise durch Cookies von seinem Rechner abgerufen werden, muss der Anbieter seine Unterrichtungspflicht erfüllen. Ausreichend dafür wäre etwa eine ausführliche und verständliche Unterrichtung auf der Homepage des Anbieters oder ein ausdrücklicher Verweis durch einen Link auf die Unterrichtung auf einer anderen Seite. Des weiteren muss der Inhalt der Unterrichtung jederzeit für den Nutzer abrufbar sein. Die Unterrichtungspflicht nach § 4 Abs. 1 TDDSG gilt auch für Cookies, die längere Zeit auf dem Computer des Nutzers gespeichert werden. Handelt es sich hingegen um solche Cookies, die nach Beendigung der jeweiligen Internetnutzung automatisch wieder gelöscht werden, kann eine Unterrichtung unterbleiben, da in diesen Fällen ein Personenbezug nicht hergestellt werden kann.

Neben der Unterrichtungspflicht werden in § 4 Abs. 4-6 TDDSG dem Anbieter weitere Pflichten auferlegt, um einem angemessenen Schutz von personenbezogenen Daten zu erreichen.

Voraussetzungen für das Erstellen von Nutzungsprofilen

Bei Nutzungsprofilen handelt es sich um Daten, die dokumentieren, welche Internetseiten durch den einzelnen Nutzer wann aufgerufen wurden. Ein Diensteanbieter darf zwar nach § 6 Abs. 3 TDDSG für Zwecke der Werbung, der Marktforschung oder der bedarfsgerechten Gestaltung des Teledienstes Nutzungsprofile erstellen, jedoch nur unter der Verwendung von Pseudonymen. Unter Pseudonymisieren ist nach § 3 Abs. 6 a BDSG das Ersetzen des Namens und anderen Identifikationsmerkmalen durch ein Kennzeichen zu dem Zweck zu verstehen, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Eine solche Verfahrensweise ist jedoch nur dann zulässig, wenn der Nutzer einer entsprechenden Verwendung seiner Daten nicht widersprochen hat. Auf ein solches Widerspruchsrecht ist der Betroffene nach § 4 Abs. 1 TDDSG bereits "zu Beginn des Nutzungsvorganges" hinzuweisen. Jede Erstellung und Verwendung eines Nutzungsprofils, die über die gesetzliche Erlaubnis des § 6 Abs. 3 TDDSG hinausgeht, ist nur zulässig, wenn der Nutzer ausdrücklich eingewilligt hat. Wurde durch einen Anbieter ein pseudonymisiertes Nutzungsprofil erstellt, dürfen diese Daten später nicht mit Informationen über den Träger des Pseudonyms zusammengeführt werden. Wird der Vorschrift des § 6 Abs. 3 S. 3 TDDSG zuwider gehandelt, wird eine Ordnungswidrigkeit i.S.v. § 9 Abs. 1 Nr. 5 TDDSG begangen, die mit einer Geldbuße bis zu 50 000 Euro geahndet werden kann. Des weiteren gilt es zu beachten, dass nach § 4 Abs. 5 TDDSG eine Anzeigepflicht gegenüber dem Nutzer für den Fall besteht, dass eine Weiterleitung von erstellten Nutzungsprofilen an einen anderen Diensteanbieter erfolgt.

Werden Cookies für die Bildung von Nutzungsprofilen unter Pseudonymen gesetzt, sind die Nutzer beim Setzen zu informieren. Ein Cookie ist ein von einem Web-Server erzeugter Datensatz, der an einen Web-Browser gesendet wird und bei diesem in einer Cookie-Datei des lokalen Rechners abgelegt wird. Diese Daten werden zum Wiedererkennen einer mehrfachen Nutzung eines Angebots durch denselben Nutzer eingesetzt. Sind Cookies platziert, erfolgt jede künftige Abfrage automatisch. Im Hinblick auf die Zulässigkeit des Setzen von Cookies aus datenschutzrechtlicher Sicht muss - außer in den Fällen der Pseudonymisierung - geprüft werden, ob die Cookies im Einzelfall personenbezogene Daten i.S.v. § 3 Abs. 1 BDSG enthalten. Ist das System des Anbieters darauf gerichtet, durch Cookies solche Daten wie etwa Name, IP-Adresse oder E-Mail-Adresse, die unmittelbar zur Identifizierung des Nutzers herangezogen werden können, zu erfassen, liegt ein Verstoß gegen datenschutzrechtliche Bestimmungen vor.

Einwilligung des Nutzers

Es gilt für den Datenschutz im Internet der Grundsatz, dass personenbezogene Daten nur zur Durchführung von Telediensten erhoben, verarbeitet und genutzt werden dürfen, wenn eine Rechtsvorschrift dies erlaubt oder der Nutzer eingewilligt hat (§ 3 Abs. 1 TDDSG). Möchte der Anbieter personenbezogene Daten auf Grund einer Einwilligung verarbeiten, darf die Einwilligung grundsätzlich nicht zur Voraussetzung der Nutzungsmöglichkeit des Dienstes gemacht werden (§ 3 Abs. 4 TDDSG). Des weiteren ist nach § 4 a Abs. 1 BDSG eine Einwilligung nur wirksam, wenn sie auf einer freien Entscheidung des Nutzers beruht. Die Einwilligung kann elektronisch oder in Schriftform erfolgen. Zu beachten ist, dass an die elektronische Einwilligung nach § 4 Abs. 2 TDDSG besondere Anforderungen gestellt werden. Beispielsweise sieht die gesetzliche Regelung eine Protokollierung der Erklärung mit der Möglichkeit des jederzeitigen Abrufs vor, damit nachträglich festgestellt werden kann, ob und in welcher Form eine Einwilligung erteilt wurde.

Bereits zu Beginn des Nutzungsvorganges ist der Nutzer durch den Anbieter darauf hinzuweisen, dass er die erteilte Einwilligung nach § 4 Abs. 3 TDDSG jederzeit mit Wirkung für die Zukunft widerrufen kann.

Ansprüche bei der Verletzung des Datenschutzrechts

Eine Durchsetzung seines Rechts auf informationelle Selbstbestimmung setzt von Seiten des Nutzers die Kenntnis der über ihn gespeicherten Daten voraus. Diesem Ziel dient insbesondere das in § 4 Abs. 7 TDDSG besonders ausgestaltete Auskunftsrecht des Internetnutzers, welches durch die §§ 6 Abs. 1 BDSG und 6 a Abs. 3 BDSG ergänzt wird. Es handelt sich um ein umfassendes Recht auf Auskunft, das vertraglich nicht ausgeschlossen werden kann, über die Daten, die der Diensteanbieter über den Nutzer gespeichert hat. Dieses Recht korrespondiert mit der in § 4 Abs. 1 TDDSG geregelten Unterrichtungspflicht des Dienstanbieters. Ohne die durch die Unterrichtung erhaltene Kenntnis darüber, welche Nutzerdaten über den Nutzer gespeichert wurden, kann ein Auskunftsanspruch nicht ausgeübt werden.

Fazit

Durch die Vorschriften des novellierten Teledienstedatenschutzgesetzes hat sich der Datenschutz im Internet erheblich verbessert; aus Sicht des Internetnutzers insbesondere durch die strengen Vorgaben für das Erstellen von Nutzungsprofilen und durch die mit der Neufassung erheblich erweiterten Pflichten des Diensteanbieters.

Claudia Raßbach