Der Datenschutz ist in der BRD grundsätzlich im Bundsdatenschutzgesetz (BDSG) geregelt. Soweit es jedoch um um personenbezogene Daten geht, die für die Durchführung eines Telemediendienstes verwendet werden, ist das speziellere Telemediengesetz (TMG) anwendbar. Kommt es infolge eines Telemediendienstes – also etwa über einen Online-Shop – zu einem Vertragsschluss, dann unterliegt die dann erfolgende Vertragsabwicklung wieder dem BDSG. Auf dieser Seite finden Sie eine Übersicht zum Datenschutz im Internet, also nach dem TMG.
Datenschutz hat einen Grundsatz: Ermächtigung oder Einwilligung
Ebenso wie das BDSG dienen die datenschutzrechtlichen Regelungen des TMG den Grundsätzen der Zweckbindung (Daten dürfen nur für konkrete Zwecke – etwa Durchführung und Abwicklung eines Vertrages – genutzt werden), des Systemdatenschutzes (dateneinsparende Organisation) und der Datenvermeidung. Die Erhebung und Verarbeitung personenbezogener Daten im Onlinebereich ist nur zulässig, soweit sie gesetzlich gestattet ist oder der Betroffene einwilligt (§ 12 TMG).
Gesetzliche Ermächtigung
Die Erlaubnistatbestände sind in § 14 (Bestandsdaten) und § 15 TMG geregelt. Bestandsdaten sind solche, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses über die Nutzung von Telemediendiensten erforderlich sind (Name, Adresse, Telefonnummer etc.). Nutzungsdaten sind solche über Merkmale zur Identifikation des Nutzers (z.B. IP-Adresse), Angaben über Beginn und Ende sowie über den Umfang der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Teledienste.
Bestandsdaten (Name, Adresse, etc.) dürfen vom Betreiber des Onlineshops nur verwendet werden, soweit dies für den Vertragsabschluss und die Abwicklung sowie Änderung des Vertrages erforderlich ist (§ 14 TMG). Eine anderweitige Nutzung – insbesondere die Weitergabe von Kundendaten an Dritte (Ausnahme Strafverfolgung) – ist im Datenschutz von der vorherigen Einwilligung des Nutzers abhängig. Bestimmte staatliche Behörden (Polizei, Staatsschutz etc.) haben darüber hinaus besondere Rechte.
Bei Nutzungsdaten ist das TMG etwas großzügiger. Diese dürfen ohne Einwilligung gespeichert werden, soweit dies wiederum für die Nutzung der Onlinedienste und ihre Abrechnung erforderlich ist (§ 15 TMG). Erlaubt ist unter obigen Voraussetzungen auch die Zusammenführung von Nutzungsdaten des Benutzers bei unterschiedlichen Telediensten (z.B. Telekom, T-Online). Zulässig ist im Datenschutz sogar die Speicherung der Nutzungsdaten zu Marktforschungszwecken oder zu Zwecken der Werbung, soweit jedenfalls ein Pseudonym des Nutzers verwendet wird. Schließlich ist auch die Weitergabe der Nutzungsdaten an Dritte (etwa Inkassounternehmen) ohne Einwilligung zulässig, wenn dies zu Zwecken der Ermittlung des Entgelts und der Abrechnung erforderlich ist.
Einwilligung
Alle anderen Nutzungsvarianten sind erlaubnispflichtig. Die Erlaubnis kann im Datenschutz auch online erfolgen, wenn auf sie ausdrücklich hingewiesen wird, eine Protokollierung stattfindet und der Nutzer den Inhalt der Einwilligung jederzeit wieder abrufen kann (§ 13 II TMG). Die Weitergabe von Daten ohne Einwilligung ist unzulässig und zugleich auch ein Verstoß gegen das Wettbewerbsrecht (OLG Stuttgart 2 U 132/06). Auf das Widerrufsrecht für die Zukunft ist hinzuweisen.
Log-Files
Nicht anwendbar ist der Datenschutz auf nicht-personenbezogene Daten in Log-Files, also Zugriffszeit, Nutzungsdauer, Auflösung oder verwendeter Browser. Ob auch die in Log-Files gespeicherten IP-Adressen der Nutzer personenbezogen sind, ist umstritten (siehe u.a. BGH III ZR 40/06, LG Berlin 23 S 3/07). Es empfiehlt sich aber, vorsorglich diese Daten unverzüglich, spätestens innerhalb von 48 Stunden zu löschen (§ 15 IV TMG) und dies dem Nutzer auch anzuzeigen (z.B. Der Webserver speichert auch Ihre IP-Adresse, mit der theoretisch im Einzelfall ein Personenbezug hergestellt werden könnte. IP-Adressen werden jedoch unverzüglich, spätestens nach 48 Stunden nach Beendigung der Nutzung gelöscht).
Hinweispflichten
Der Diensteanbieter hat nach § 13 TMG den Nutzer beim Datenschutz zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in EU-Drittstaaten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Der Inhalt der Unterrichtung muss für den Nutzer zum Zwecke des Datenschutz jederzeit abrufbar sein. Er das Recht, die zu seiner Person gespeicherten Daten unentgeltlich einzusehen (§ 13 VII TMG).
Beispiel für Hinweis (Kontaktformular): „Mit dem nachstehenden Kontaktformular können Sie Ihre Anfrage an uns richten. Ihre Daten werden über unseren Provider per eMail an uns weitergeleitet und nach Beantwortung umgehend gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Eine Nutzung zu einem anderen Zweck oder eine Datenweitergabe an Dritte findet nicht statt.“
Webcookies
Der Einsatz von Cookies ist allgemein beliebt, da der Nutzer beim nächsten Besuch nicht wieder sämtliche Daten eingeben muss. Auch der Diensteanbieter hat beim Datenschutz infolge der gesetzten Cookies die Möglichkeit, eine bessere Auswertung seiner Besucherzahlen vorzunehmen. Sobald jedoch Cookies nicht nur eine neutrale Markierungsinformation enthalten, sondern auch die Identifikation des Nutzers ermöglichen, so ist letzterer nicht nur über das Setzen des Cookies zu informieren, sondern dessen Einverständnis einzuholen.
Auskunftspflichten
Eine Pflicht zur Herausgabe der Nutzerdaten seitens des Providers besteht im Datenschutz grundsätzlich nicht; auch wenn ein Nutzer im Internet unrechtmäßig Musikdateien zum Herunterladen anbietet (OLG Frankfurt 11 U 51/04, OLG Hamburg 5 U 156/05, AG Offenburg 4 Gs 442/07).
IT-Grundrecht (Online-Durchsuchung)
Das BVerfG hat am 27.02.2008 das IT-Grundrecht geschaffen, also das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systemeürfen“, was dem Bürger das Recht gibt, grundsätzlich von Online-Durchsuchungen des Staates geschützt zu sein. Nur wenn die Gefährdung höchster Rechtsgüter im Raume steht (Leib, Leben und Freiheit der Person oder Güter der Allgemeinheit, deren Bedrohung die Grundlagen des Staates oder der Existenz der Menschen berühren) besteht unter Anwendung des Verhältnismäßigkeitsgrundsatzes die Möglichkeiten der Ermittlungsbehörden (bzw. Verfassungsschutz) zur Online-Durchsuchung, allerdings erst nach Erwirken eines richterlichen Beschlusses (BVerfG 1 BvR 370/07 und 1 BvR 595/07).