Telephon: 040 .355 030 - 0 · E-Mail: info@raeblume.de
  
 
 
News:  
 

Anforderungen an die Datenschutzbestimmungen

„Privacy Policy“ privater Internetanbieter – Die Datenschutzrichtlinie 95/46/EG und ihre Umsetzung durch das BDSG

I. Einleitung

Die Nutzung des Internets steigt in Deutschland sowohl in qualitativer wie in quantitativer Hinsicht stetig, der Verbraucher nimmt das gestiegene Waren- und Dienstleistungs- und Informationsangebot in immer größerem Umfang an.

Dabei kommt es regelmäßig zur Übertragung personenbezogener Daten vom Verbraucher/Kunden an die Betreiber der Internetseiten, sei es im Rahmen von Bestellformularen, Newsletter- Angeboten, Preisausschreiben- und Gewinnspielen oder in Foren- und Communities, u. v. m.

Ein Großteil der Unternehmen und Betreiber nutzt diese Angaben in sach- und themenbezogenen Datenbanken. Regelmäßig kommt es auch zu einer Übertragung von Kundenprofilen und Datensätzen an andere Unternehmen und Anbieter. Dass mit dieser Nutzung und Übertragung von personenbezogenen Daten eine Vielzahl von rechtlichen Problemen verbunden ist, liegt auf der Hand.

Zur Regelung des Umgangs mit personenbezogenen Daten formulieren die Unternehmen regelmäßig so genannte Datenschutzbestimmungen (oder „privacy policy“).

Derartige Regelungen unterliegen unterschiedlichen verbraucherschützenden Normen.

Auf europarechtlicher Ebene ist zur Regelung dieses Themenkomplexes bereits 1995 eine Richtlinie zur Umsetzung in den einzelnen Mitgliedstaaten erlassen worden. Im Folgenden wird ein Überblick über die Zielvorgaben und Regelungen dieser Richtlinie und ihre Umsetzung in deutsches Recht gegeben werden.

Hierbei wird sich zeigen, dass eine Vielzahl von Datenschutzbestimmungen der einzelnen Internetseiten-Betreiber die gesetzlichen Vorgaben nur in eingeschränktem Umfang erfüllen.

II. Vereinbarkeit der privaten Datenschutzbestimmungen mit der Datenschutzrichtlinie und dem Bundesdatenschutzgesetzes

Ausgangspunkt ist die EG- Richtlinie 95/46/EG vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie, DS-RiL).

1. Vorgaben auf EU-Ebene und Umsetzung in den Mitgliedstaaten

Die Datenschutzrichtlinie statuiert ein hohes Schutzniveau zugunsten der Betroffenen. Diese haben u. a. ein Recht auf

– Information vor der Datenerhebung,

– auf Auskunft über die Zweckbestimmung und mögliche Empfänger der verwendeten Daten (Art. 10, 6 DS-RiL) und

– auf Berichtigung, Löschung oder Sperrung der Daten (Art. 12, 6 DS-RiL).

Ursprünglich sah die Richtlinie eine Umsetzung der Vorgaben in den Mitgliedstaaten innerhalb eines Zeitraums von drei Jahren vor. Zusätzlich sollte eine Karenzzeit von bis zu drei weiteren Jahren nach Inkrafttreten der nationalgesetzlichen Bestimmungen zulässig sein (Art. 32 DS-RiL).

Mittlerweile ist eine Umsetzung der Datenschutzrichtlinie in den Mitgliedstaaten erfolgt, auf bundesdeutscher Ebene im Bundesdatenschutzgesetz (BDSG) mit Wirkung zum 01.01.2002.

Entsprechende Regelungen finden sich für angrenzende Bereiche in den Richtlinien 97/66/EG vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation bzw. 2002/58/EG vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation).

Diese Regelungen verdeutlichen, dass der europäische Gesetzgeber ein starkes Gewicht auf den Schutz von Privatpersonen vor unberechtigter Verwendung von personenbezogenen Daten legt. Diese grundsätzliche Zielsetzung gilt es bei der Auslegung von Datenschutzbestimmungen privater Anbieter zu berücksichtigen.

2. Zielsetzung der Richtlinie 95/46/EG und des BDSG

Ziel der EG-Richtlinie wie des BDSG ist es, den Einzelnen davor zu schützen dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Dies gilt für das

– Erheben,

– Nutzen oder

– Verarbeiten

personenbezogener Daten durch öffentlich- rechtliche Träger wie durch Privatunternehmen gleichermaßen.

Der Verarbeitungsbegriff der Datenschutzrichtlinie ist weit gefasst. Danach fällt unter die Verarbeitung von personenbezogenen Daten das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten personenbezogener Daten (Art. 2 DS-RiL, § 3 IV BDSG).

Die Gesetze stellen einen Grundsatz der Datenvermeidung und Datensparsamkeit (Übermaßverbot) auf, dem zufolge so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen sind. Zur Erreichung dieses Zwecks sollen die verantwortlichen Unternehmen, die mit personenbezogenen Daten umgehen, insbesondere von den Möglichkeiten der Anonymisierung und Pseudonymisierung von Daten Gebrauch machen, soweit dies möglich und verhältnismäßig ist (Art. 6 DS-RiL, § 3a BDSG).

Zur Sanktion einer Verletzung dieser Persönlichkeitsrechte ist eine Schadensersatzpflicht der verantwortlichen Stelle formuliert, die dem Betroffenen durch die Verwendung der Daten einen Schaden zufügt. Zusätzlich sieht die Umsetzung im BDSG Bußgeld- und Strafvorschriften für Zuwiderhandlungen gegen die Pflichten der verantwortlichen Stellen/Unternehmen vor (Art. 23 DS-RiL, § 7 f. BDSG).

3. Pflichten der Daten verarbeitenden Stellen

Die EG-Richtlinie und die Gesetze der Mitgliedstaaten statuieren zu Lasten der verantwortlichen Unternehmen eine umfangreiche Pflicht zur Information der Betroffenen auf. Insbesondere sind bei der Erhebung personenbezogener Daten die Zwecke der Datenverarbeitung/-verarbeitung/-nutzung konkret festzulegen. Hierüber ist der Betroffene zu informieren. Werden personenbezogene Daten ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der erhebenden Stelle zu benachrichtigen. Der Betroffene ist über das Bestehen von Auskunfts-, Berichtigungs- und Widerspruchsrechten zu informieren (Art. 7, 10–12 DS-RiL).

Die für die Datenerhebung/-verarbeitung/-nutzung verantwortlichen Stellen haben unter Berücksichtigung des Standes der Technik die technische Sicherheit für die Verwendung der personenbezogenen Daten zu gewährleisten, insbesondere wenn sie zur Verarbeitung in ein Netzwerk übertragen werden (Art. 17 DS-RiL).

4. Anforderungen an die Datenverarbeitung

Eine Datenerhebung/-nutzung/-verarbeitung nur zulässig, wenn sie nach Einwilligung des Betroffenen erfolgt oder auf gesetzlicher Anordnung beruht (Art. 7 DS-RiL, §§ 4, 4a BDSG). Hierzu ist der Betroffene zuvor über den Zweck der Erhebung, Verarbeitung oder Nutzung und die Folgen einer Verweigerung der Einwilligung zu unterrichten.

Einem besonderen Schutz unterliegen personenbezogene Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben (Art. 8 DS-RiL).

Ein besonderes Problem stellt die Übermittlung personenbezogener Daten ins Ausland dar (vgl. Art. 25 f. DS-RiL, § 4b BDSG). Eine solche Übermittlung hat zu unterbleiben, soweit sie in Länder außerhalb der Mitgliedstaaten der EU bzw. Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWR) erfolgen sollen und in diesen Drittstaaten kein angemessenes Schutzniveau gewährleistet ist. Gleiches gilt, wenn der Betroffene aus anderen Gründen ein schutzwürdiges Interesse an einem Ausschluss der Übermittlung hat.

5. Rechte der Betroffenen

Wie bereits eingangs dargestellt, haben die von der Datenerhebung Betroffenen umfangreiche Informations-, Auskunfts-, Widerspruchs-, Berichtigungs- und Löschungsansprüche.

So ergibt sich aus der Datenschutzrichtlinie ein Informationsrecht der Betroffenen über die Identität des für die Verarbeitung Verantwortlichen, die zur Person gespeicherten Daten und die Herkunft dieser Daten, den Zweck der Speicherung sowie die Empfänger, an die die Daten weitergegeben werden, sofern diesbezüglich keine Interessen an der Wahrung von Geschäftsgeheimnissen überwiegen (Art. 10, 11 DS-RiL, Begründung Nr. 41 DS-RiL). Hieran schließt sich ein entsprechendes Auskunftsrecht an (Art. 12 DS-RiL).

Zudem besteht ein Anspruch auf Berichtigung, Löschung und Sperrung von Daten, wenn diese unrichtig sind, in unzulässiger Weise erhoben oder gespeichert wurden oder der Betroffene der Verwendung wirksam widersprochen hat (Art. 12 DS-RiL).

Im Bundesdatenschutzgesetz ergeben sich diese Rechte aus §§ 19, 34 (Auskunft), 20, 35 (Berichtigung, Löschung, Sperrung).

Die Schutzregelungen des BDSG stellen zwingendes Recht dar, das nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden darf (§ 6 BDSG). Dieses Umgehungsverbot gilt auch für die Datenschutzbestimmungen der Betreiber von Internet-Seiten.

6. Ausnahmen oder Einschränkungen

Unproblematisch sind allein allgemein zugängliche Daten. Insoweit besteht das hohe Schutzniveau der EG-Richtlinie nicht (§§ 28 I, 29 I BDSG).

Die Übermittlung oder Nutzung erhobener Daten ist außerhalb des bei der Datenerhebung angegebenen Zwecks zulässig für Zwecke der Werbung sowie der Markt- und Meinungsforschung, wenn es sich um listenmäßige oder zusammengefasste Daten über Angehörige einer Personengruppe handelt und sich die verwendeten Daten auf Einzelangaben beschränken, wie etwa die Berufszugehörigkeit, akademische Grade, das Alter oder die Anschrift. Widerspricht der Betroffene einer Nutzung oder Übermittlung seiner Daten für Zwecke der Werbung oder Markt- und Meinungsforschung, so ist eine Verwendung der Daten zu diesen Zwecken unzulässig (Art. 13, 14 DS-RiL, § 28 III, IV BDSG).

Alle Ausnahmen bzw. Einschränkungen stehen unter dem Vorbehalt, dass der Betroffene kein schutzwürdiges Interesse an dem Ausbleiben der Nutzung oder Übermittlung seiner personenbezogenen Daten hat.

7. Beispiele für problematische Klauseln in Datenschutzbestimmungen

Die Datenschutzbestimmungen der Waren-, Dienstleistungs- und Informationsanbieter können in unterschiedlicher Hinsicht im Widerspruch zu den soeben dargestellten Anforderungen stehen.

Eine stichprobenartig durchgeführte Untersuchung einzelner, zufällig ausgewählter Datenschutzbestimmungen hat gezeigt, dass kaum ein Klauselwerk frei von Beanstandungen ist. Im Folgenden sollen einzelne, wiederholt aufgetretene Problembereiche skizziert werden. Einen Anspruch auf Vollständigkeit hat die nachfolgende Aufzählung nicht.

a) Einbeziehung und Änderung von Datenschutzbestimmungen

Problematisch sind Regelungen, in denen eine konkludente Annahme durch den Nutzer von Diensten/Angeboten unterstellt und eine Zustimmung zu Änderungen der Datenschutzbestimmung fingiert wird.

Gemessen an dem hohen Schutzniveau der Datenschutzrichtlinie und den auf ihr beruhenden Gesetzen der Mitgliedstaaten dürfte die bloße Bereitstellung einer Datenschutzbestimmung bzw. ihrer Änderungen auf den Seiten des Internetanbieters nicht ausreichen, um der Informationspflicht der Unternehmen zu entsprechen. Der Datenschutzrichtlinie zufolge wird den betroffenen Personen garantiert, vom für die Verarbeitung Verantwortlichen die erforderlichen Informationen zu erhalten (vgl. Art. 10, 12 DS-RiL).

Diese Formulierung ist so zu verstehen, dass die verantwortliche Stelle eine aktive Übermittlung der Informationen schuldet (etwa per E-Mail-Verteiler), die bei der bloßen Bereitstellung des Textes auf der Homepage des Anbieters nicht gewährleistet ist.

Zudem setzt die erforderliche Einwilligung der Betroffenen in die Datenverarbeitung deren tatsächliche Kenntnisnahme vom Umfang und dem Zweck der Datenerhebung/-verarbeitung/-nutzung voraus.

Dieses Annahmen ergeben sich bereits unter Zugrundelegung der Regelungen über Allgemeine Geschäftsbedingungen nach §§ 305 ff. BGB, die für die Datenschutzbestimmungen privater Anbieter in gleicher Weise anwendbar sind.

Zu berücksichtigen ist in diesem Zusammenhang auch, dass eine rechtsgeschäftliche Absenkung des Schutzniveaus aufgrund des zwingenden Normcharakters der Datenschutzrichtlinie und des BDSG ohnehin nicht möglich ist.

b) Regelungen zur Ausübung des Widerrufsrechts

Der Anbieter muss Möglichkeiten schaffen, die gewährleisten, dass der User sein Widerrufsrecht ausüben oder Änderungen seiner personenbezogenen Daten vornehmen kann. Die untersuchten Kontaktangaben der Internetseiten-Betreiber haben diese Anforderung in unterschiedlicher Weise erfüllt.

Unproblematisch ist das Setzen von Links, die eine Änderung, Berichtigung oder Löschung der Daten ermöglichen. Darüber hinaus ist aber die Angabe weiterer Kontaktdaten erforderlich (Telefon, Fax, Postanschrift), um einen umfassenden Schutz des Verbrauchers zu ermöglichen. In dem Vorenthalten derartiger Angaben kann bei enger Auslegung der Datenschutzrichtlinie eine Beeinträchtigung des Betroffenen im Hinblick auf sein Widerrufsrecht und das Recht zur Änderung seiner Datenangaben gesehen werden. Das hohe Schutzniveau der Richtlinie sowie die grundsätzlich verbraucherschutzfreundliche Auslegung europarechtlicher Vorschriften legt ein entsprechendes Verständnis nahe.

c) Cookies

Die Verwendung von Cookies, die bei dem Besuch der Internetseiten auf dem Rechner des Users gespeichert werden und eine schnellere Kontaktaufnahme beim nächsten Besuch ermöglichen sollen, darüber hinaus aber auch selbsttätig Informationen über den User und dessen Hardware an den Verwender senden, ist absoluter Standard.

Nach den Vorgaben der Datenschutzrichtlinie ist der Betroffene darüber zu informieren, wenn diese oder eine ähnliche automatisierte Technik zum Einsatz kommt. Die Datenschutzbestimmungen der Internetanbieter enthalten nur zum Teil entsprechende Klauseln. Zudem sind die darin enthaltenen Angaben zum Teil nur unvollständig.

So beschränken sich die Ausführungen oftmals darauf, dass Cookies als Tool genutzt werden, um Informationen über die Interessen und Gewohnheiten von Usern zu sammeln, die zur interessengerechten Versorgung der Betroffen mit Informationen über Produkte und Dienste genutzt würden. Angaben darüber, dass Cookies eigenständig Kontakt zu den Seiten des Verwenders aufnehmen können, um automatisiert Daten wie die IP-Adresse des Users, das verwendete Betriebssystem etc. abzufragen fehlen dagegen in vielen Fällen.

Hierdurch wird dem Betroffenen faktisch erschwert, von seinem Recht, ein entsprechendes Abgreifen von Daten (was unter den Begriff der Verarbeitung im Sinne der Datenschutzrichtlinie fällt) zu verhindern, Gebrauch zu machen.

Immerhin wird von einigen Anbietern der Kunde darüber in Kenntnis gesetzt, dass er das Akzeptieren von Cookies durch entsprechende Geräteeinstellungen unterbinden kann.

d) Sicherheitstechnologie

Nach den Vorgaben der Richtlinie und der Gesetze der Mitliedstaaten trifft die Verwender von personenbezogenen Daten die Pflicht, durch den Einsatz von entsprechender Sicherheitstechnologie einen Missbrauch der Daten zu vermeiden.

Bei verbraucherfreundlicher Auslegung der Richtlinie gehört die Information über die verwendete Sicherheitstechnologie zu den Angaben, die der Verwender gegenüber dem Betroffenen im Hinblick auf die Verarbeitung der Daten schuldet. Insoweit ist auf den umfassenden Verarbeitungsbegriff der Datenschutzrichtlinie hinzuweisen.

III. Fazit

Eine Vielzahl der untersuchten Datenschutzbestimmungen ist lückenhaft und erfüllt die Anforderungen der Datenschutzrichtlinie und des BDSG nicht. Auch der Umstand, dass die Anbieter einiger Branchen weitgehend übereinstimmende Regelungen getroffen haben, führt zu keinem anderen Ergebnis.

Eine Konformität unter den Datenschutzbestimmungen der Internetseiten-Betreiber sagt nichts über die Vereinbarkeit mit den gesetzlichen Rahmenbedingungen auf EU-Ebene und auf Ebene der Mitgliedstaaten aus und heilt keinesfalls Verstöße gegen die Datenschutzrichtlinie.

Die Beurteilung von Datenschutzbestimmungen von Unternehmen durch die Gerichte ist derzeit nicht sicher abzuschätzen. Grundsätzlich ist jedoch davon auszugehen, dass eine verbraucherschutzfreundliche Auslegung der Datenschutzrichtlinie und der entsprechenden Umsetzungsgesetze in den Mitgliedstaaten erfolgen wird.

Hamburg, im Mai 2005

Rechtsanwalt Volkmar Blume und

Stationsreferendar Christian Tinnefeld

 
 
   
 
  © 2017 · [c]lever media®