Das Internet wird von Unternehmen häufig dazu genutzt, via Kontaktformularen etc. einzelne Kundendaten für zukünftige Zwecke zu speichern. Der Unternehmer sollte beachten, dass es hierzu umfangreiche datenschutzrechtliche Vorschriften gibt. Eine Übersicht der Grundsätze finden Sie hier.
Datenschutzrecht
- Transparanz Es besteht zunächst der Grundsatz im Datenschutzrecht, dass jede betroffene Person umfassend vor der Speicherung von persönlichen Daten über Art und Umfang der Datenerhebung und Verarbeitung zu informieren ist (Transparenzgebot).
- Datensparsamkeit Es dürfen nicht mehr Daten erhoben werden, als für den konkreten Zweck erforderlich.
- Enge Zweckbindung Die Daten dürfen nur für den angegebenen Zweck verwendet werden und sind nach Zweckerfüllung zu löschen.
- Kopplungsverbot Die Datenerhebung darf nur in engen Grenzen vom Zugang zum angebotenen Dienst abhängig gemacht werden.
Einwilligung
Möchte der Diensteanbieter über den zuvor angekündigten Zweck hinaus die Daten des Nutzers verwenden, so ist hierfür eine ausdrückliche Einwilligung erforderlich (§ 13 TMG). Hierbei ist sicherzustellen, dass a. die elektronische Speicherung nur durch eine eindeutige und bewusste Handlung des Nutzers erfolgen kann, b. die Einwilligung protokolliert wird und c. der Inhalt der Einwilligung jederzeit vom Nutzer abgerufen werden kann. Die Weitergabe von Daten ohne Einwilligung ist im deutschen Datenschutzrecht unzulässig und zugleich auch ein Verstoß gegen das Wettbewerbsrecht.
URTEIL: OLG Stuttgart zur Weitergabe von Kundendaten (incl. Bankverbindung) (2 U 132/06).
IP-Adresse
Fast alle Webserver speichern für statistische Zwecke die IP-Adresse ihrer Besucher. Tatsächlich handelt es sich jedoch hierbei um personenbezogene Daten, so dass eine Speicherung nur erfolgen darf, wenn die Daten zu Abrechnungszwecken notwendig sind. Jede weitere Speicherung ist im Datenschutzrecht unzulässig und kann per Abmahnung verfolgt werden.
URTEIL: LG Berlin zur Zulässigkeit einer Speicherung von IP-Adressen (23 S 3/07).
Kontaktformular
Wer ein Kontaktformular auf seine Website gestellt hat, sollte den Nutzer darauf hinweisen, was mit seinen Daten passieren wird. Es empfiehlt sich im Datenschutzrecht zumindest nachfolgende Formulierung:
- „Mit dem nachstehenden Kontaktformular können Sie Ihre Anfrage an uns richten. Ihre Daten werden über unseren Provider per eMail an uns weitergeleitet und nach Beantwortung umgehend gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Eine Nutzung zu einem anderen Zweck oder eine Datenweitergabe an Dritte findet nicht statt.“
Sollten Sie dagegen die eingegebenen Daten des Nutzers weiterverwenden oder gar weitergeben wollen, so bedarf dies eine ausdrücklich Zustimmung durch den Nutzer.
Auskunftspflicht
Eine Pflicht zur Herausgabe der Nutzerdaten seitens des Internet-Access-Providers entsteht im Datenschutzrecht auch dann nicht, wenn ein Nutzer im Internet unrechtmäßig Musikdateien zum Herunterladen anbietet.
URTEILE: OLG Frankfurt zu der Herausgabepflicht von Nutzerdaten seitens des Internet-Providers (11 U 51/04); Hanseatisches OLG zur Auskunftpflicht eines Access-Providers (5 U 156/05), AG Offenbach „Bagatellvergehen“ (4 Gs 442/07).
Cookies
Der Einsatz von Cookies ist allgemein beliebt, da der Nutzer beim nächsten Besuch nicht wieder sämtliche Daten eingeben muss. Auch der Diensteanbieter hat infolge der gesetzten Cookies die Möglichkeit, eine bessere Auswertung seiner Besucherzahlen vorzunehmen. Sobald jedoch Cookies nicht nur eine neutrale Markierungsinformation enthalten, sondern auch die Identifikation des Nutzers ermöglichen, so ist letzterer gemäß deutschem Datenschutzrecht nicht nur über das Setzen des Cookies zu informieren, sondern dessen Einverständnis einzuholen.
Daher: Sobald es beim Setzen von Cookies zu einer Erhebung oder Nutzung von personenbezogenen Daten (Name, eMail-Adresse, Kontonummer etc.) kommt, ist die elektronische Einwilligung des Nutzers erforderlich.
Auswertung
Die Auswertung von Internetwebseiten ist datenschutzrechtlich unproblematisch, soweit allgemeine Zugriffsstatistiken ermittelt werden (Anzahl, Herkunft, Dauer der Zugriffe). Sobald jedoch das konkrete Surfverhalten eines individualisierbaren Nutzers ausgewertet wird, ist dessen vorherige Einwilligung sowie eine ausdrückliche Widerrufsbelehrung erforderlich (§ 15 TMG).
Nach Vorgaben im Datenschutzrecht dürfen Verbindungsdaten die Internet-Access-Provider nur solange speichern, wie diese für die Abrechnung benötigt werden. Konsequenterweise dürfen auch nur die abrechnungsrelevanten Daten aufbewahrt werden.
URTEILE: AG Darmstadt zur Speicherung von Verbindungsdaten seitens der Provider (300 C 397/04) bzw. im Berufungsverfahren LG Darmstadt (25 S 118/2005) und in der Revision (BGH, III ZR 40/06).
Ermittlungsverfahren
Ob Beamte im Rahmen eines Vermittlungsverfahrens auch auf Daten aus E-Mails oder anderer, elektronischer Kommunikation zugreifen dürfen, ist zur Zeit noch ungeklärt. Das Bundesverfassungsgericht beschäftigt sich allerdings bereits mit der Frage. Der Bundesgerichtshof entschied zu Mindest, dass Online-Durchsuchungen von Computersystemen mit Trojanern unzulässig seien, da es nach der aktuellen Rechtslage im Datenschutzrecht keine rechtliche Gestattung für ein solches Vorgehen gibt.
URTEIL: BGH vom 31.01.2007, StB 18/06
IT-Grundrecht
Das BVerfG hat am 27.02.2008 das IT-Grundrecht geschaffen, also das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systemeürfen“, was dem Bürger das Recht gibt, grundsätzlich von Online-Durchsuchungen des Staates geschützt zu sein. Nur wenn die Gefährdung höchster Rechtsgüter im Raume steht (Leib, Leben und Freiheit der Person oder Güter der Allgemeinheit, deren Bedrohung die Grundlagen des Staates oder der Existenz der Menschen berühren) besteht unter Anwendung des Verhältnismäßigkeitsgrundsatzes auch im Datenschutzrecht die Möglichkeiten der Ermittlungsbehörden (bzw. Verfassungsschutz) zur Online-Durchsuchung, allerdings erst nach Erwirken eines richterlichen Beschlusses.
URTEILE: BVerfG zur Online-Durchsuchung (1 BvR 370/07 und 1 BvR 595/07)
