Datenschutz im Internet

 

Bei der Nutzung von Diensten im Internet werden zahlreiche personenbezogene Daten erhoben, verarbeitet und genutzt. Dabei wird nahezu jede Aktivität eines Nutzers im Internet erfasst. Ein Nutzer hinterlässt so zahlreiche „Spuren“. Das ist für die Nutzer teilweise besonders heikel, da die Erhebung, Nutzung und Verarbeitung oft ohne deren Wissen erfolgt.

 

Für die Anbieter der Dienste im Internet ist eine möglichst umfangreiche Sammlung von Nutzerdaten dagegen oft sehr wertvoll, da sie anhand dieser Daten ihre Online-Angebote optimieren können, indem sie zielgereichtet an die jeweiligen Interessen der Nutzer angepasst werden können.

 

Zur Lösung dieses Zielkonflikts zwischen den Interessen der Nutzer und der Anbieter und zum notwendigen Schutz der personenbezogenen Nutzerdaten, die bei der Nutzung von Diensten im Internet anfallen, enthält das Telemediengesetz (TMG) in §§11 bis 15a spezielle Bestimmungen zum Datenschutz für den Bereich der Telemedien. Zu klären ist also zunächst, welche Dienste unter den Begriff der Telemedien und damit unter die speziellen Datenschutzbestimmungen des TMG fallen (1.), und anschließend, inwieweit eine Erhebung, Verarbeitung und Nutzung von personenbezogenen Nutzerdaten im Zusammenhang mit Telemedien zulässig ist (2.).

 

 

1. Was sind Telemedien?

 

Das TMG enthält Bestimmungen zum Schutz sogenannter Telemedien. Nach § 1 Absatz 1 TMG sind dies alle elektronischen Informations- und Kommunikationsdienste, d. h. alle denkbaren multimedialen Angebote, soweit sie nicht

 

– Telekommunikationsdienste im Sinne von § 3 Nr. 24Telekommunikationsgesetz (TKG),

 

– telekommunikationsgestützte Dienste im Sinne von § 3 Nr. 25 TKG

 

oder

 

– Rundfunk im Sinne von § 2 des Rundfunkstaatsvertrages (RStV)

 

sind.

 

 

a) Abgrenzung zu Telekommunikationsdiensten im Sinne von § 3 Nr. 24 TKG

 

Telekommunikationsdienste sind nach § 3 Nr. 24 TKG in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen. Es handelt sich im Umkehrschluss dann um Telemedien und nicht um Telekommunikation, wenn die Dienste vollständig oder hauptsächlich in dem übertragenen Inhalt und nicht in der Übertragung selbst zu sehen ist.

 

 

 

 

b) Abgrenzung zu Telekommunikationsgestützten Diensten im Sinne von § 3 Nr. 25 TKG

 

Telekommunikationsgestützte Dienste im Sinne des § 3 Nr. 25 TKG sind Dienste, die keinen räumlich und zeitlich trennbaren Leistungsfluss auslösen, sondern bei denen die Inhaltsleistung noch während der Telekommunikationsverbindung erfüllt wird. Dies betrifft in erster Linie die Telefon- und Sprachmehrwertdienste wie 0190er- oder 0900er-Rufnummern, Auskunftsdienste sowie entgeltfreie Telefondienste (0800er-Rufnummern).

 

 

c) Abgrenzung zum Rundfunk im Sinne von § 2 Absatz 1 RStV

 

Nach § 2 Absatz 1 RStV ist Rundfunk die für die Allgemeinheit und zum zeitgleichen Empfang bestimmte Veranstaltung und Verbreitung von Angeboten in Bewegtbild oder Ton entlang eines Sendeplans unter Benutzung elektromagnetischer Schwingungen. Der Begriff schließt Angebote ein, die verschlüsselt verbreitet werden oder gegen besonderes Entgelt empfangbar sind.

 

Auch Rundfunkprogramme über das Internet sind Rundfunk im Sinne dieser Definition (z. B. Live-Streaming oder Webcasting).

 

 

d) Verhältnis zu allgemeinen Datenschutzgesetzen

 

Die Regeln des TMG zum Datenschutz sind für Telemedien speziell und gehen denen des (allgemeinen) Bundesdatenschutzgesetzes (BDSG) vor, soweit das TMG besondere Bestimmungen zum Datenschutz enthält. Im Übrigen darf auf das BDSG zurückgegriffen werden, § 1 Absatz 3 Satz 1 BDSG.

 

           

e) Weitere Ausnahmen  

 

Darüber hinaus finden die Bestimmungen des TMG zum Datenschutz für Telemedien gemäß § 11 Absatz 1 TMG dann keine Anwendung auf die Erhebung oder Verwendung personenbezogener Nutzerdaten, wenn die Bereitstellung von Telemediendiensten

 

im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken

 

oder

 

innerhalb von oder zwischen nicht öffentlichen Stellen oder öffentlichen Stellen ausschließlich zur Steuerung von Arbeits- oder Geschäftsprozessen erfolgt.

 

 

f) Beispiele für Telemedien

 

Als Beispiele für Telemedien nennt der Gesetzgeber:

Online-Angebote von Waren/Dienstleistungen mit unmittelbarer Bestellmöglichkeit (z. B. Angebot von Verkehrs-, Wetter-, Umwelt- oder Börsendaten, Newsgroups, Chatrooms, elektronische Presse, Fernseh-/ Radiotext, Teleshopping)

 

Video auf Abruf, soweit es sich nicht nach Form und Inhalt um einen Fernsehdienst handelt, der zum Empfang durch die Allgemeinheit bestimmt ist und nicht auf individuellen Abruf eines Dienstleistungsempfängers erbracht wird

 

Online-Dienste, die Instrumente zur Datensuche, zum Zugang zu Daten oder zur Datenabfrage bereitstellen (z. B. Internet-Suchmaschinen)

 

Die kommerzielle Verbreitung von Informationen über Waren- oder Dienstleistungsangebote mit elektronischer Post (z. B. Werbe-Mails)

 

 

2. Zulässigkeit der Erhebung, Nutzung und Verarbeitung personenbezogener Daten im Bereich der Telemedien

 

Nach § 12 Absatz 1 TMG darf der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit das TMG oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt (a) hat. Als Erlaubnistatbestände sind insbesondere § 14 TMG für sogenannte Bestandsdaten (b) und § 15 TMG für sogenannte Nutzungsdaten (c) und Abrechnungsdaten (d) zu nennen.

 

Zu beachten ist auch das Gebot der Zweckbindung (§ 12 Absatz 2 TMG): Für andere Zwecke als die Bereitstellung von Telemedien dürfen Diensteanbieter für die Bereitstellung von Telemedien erhobene personenbezogene Daten nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

 

Darüber hinaus gilt auch noch das sogenannte Koppelungsverbot, das sich aus § 28 Absatz 3b BDSG ergibt. Danach darf die Bereitstellung von Telemedien nicht von der Einwilligung des Nutzers abhängig gemacht werden, wenn dem Nutzer ein anderer Zugang zu gleichwertigen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Das bedeutet nicht, dass der Anbieter jeden Dienst auch ohne Einwilligung zur Verfügung stellen muss. Es ist vielmehr so zu verstehen, dass die Bereitstellung von Telemedien dann nicht von einer
Einwilligung abhängig gemacht werden darf, wenn der Anbieter eine Monopolstellung innehat und der Nutzer ein vergleichbares Angebot auch nicht bei einem anderen Anbieter bekommen kann.

 

 

a) Einwilligung des Nutzers

 

Die Einwilligung muss freiwillig durch einen informierten Nutzer abgegeben werden. Sie bedarf grundsätzlich der Schriftform, sie kann gemäß § 13 Absatz 2 Nr. 1 bis 4 TMG aber unter folgenden Voraussetzungen auch elektronisch erfolgen (zum Beispiel durch Setzen eines Häkchens in dem dafür vorgesehenen Feld): Danach muss der Diensteanbieter sicherstellen, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, die Einwilligung protokolliert wird, der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und der Nutzer die Einwilligung jederzeit
mit Wirkung für die Zukunft widerrufen kann. Auf dieses jederzeitige Widerrufsrecht hat der Diensteanbieter den Nutzer vor der Einwilligung hinzuweisen (§ 13 Absatz 3 TMG). Dieser Hinweis muss für den Nutzer jederzeit abrufbar sein.

 

b) Erlaubnistatbestand für Bestandsdaten

 

Bestandsdaten sind die wesentlichen Daten, die einem Vertragsverhältnis zugrunde liegen (beispielsweise Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Zahlungsdaten, IP-Adresse usw.).

 

Die Vorschrift des § 14 Absatz 1 TMG gestattet in Bezug auf die Bestandsdaten die Erhebung oder Verwendung nicht uneingeschränkt, sondern nur soweit es erforderlich ist für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen Anbieter und Nutzer. Vertragsverhältnisse in diesem Sinn sind nur solche, die einen Telemediendienst zum Gegenstand haben zum Beispiel bei Internetauktionsplattformen, Social Networks wie Facebook, Xing oder StudiVZ, Musikdownloadportale usw.). Die Erforderlichkeit bestimmt sich jeweils am konkreten Vertragsverhältnis. Ob neben der Erforderlichkeit auch noch eine Zweckmäßigkeit vorliegen muss oder ob auch datenintensivere Dienste zulässig sind, ist umstritten. Es wohl davon auszugehen, dass ein datenintensiverer Dienst zulässig ist, wenn der Nutzer hierin einwilligt.

 

Zu beachten ist allerdings, dass diese Daten ausschließlich für die in § 14 Absatz 1 TMG genannten Zwecke verwendet werden dürfen (Gebot der Zweckbindung). Soweit die Daten für das Vertragsverhältnis nicht mehr erforderlich sind, sind sie zu löschen (§ 35 Absatz 2 BDSG).

 

In § 14 Absatz 2 BDSG ist vorgesehen, dass unter bestimmten Umständen eine Weitergabe an Dritte zulässig ist. Nach dieser Vorschrift darf der Diensteanbieter auf Anordnung der zuständigen Stellen im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder des Bundeskriminalamtes im Rahmen seiner Aufgabe zur Abwehr von Gefahren des internationalen Terrorismus oder zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist.

 

 

c) Erlaubnistatbestand für Nutzungsdaten

 

Nutzungsdaten sind alle Daten, die durch die Nutzung von Telemedien entstehen und hierzu notwendig sind. Ein Vertragsverhältnis zwischen Nutzer und Anbieter ist anders als für Bestandsdaten nicht erforderlich (es gibt aber selbstverständlich auch Daten, die sowohl Bestands- als auch Nutzungsdaten sind). In § 15 Absatz 1 Satz 2 Nr. 1 bis 3 TMG nennt der Gesetzgeber Beispiele für Nutzungsdaten: Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien. Diese beispielhafte Aufzählung ist aber nicht abschließend. Nutzungsdaten sind für den Diensteanbieter wertvoller als Bestandsdaten, da sie sämtliche „Spuren“ enthalten, die ein Nutzer während der Nutzung von Telemedien hinterlässt. So lassen sich aus Nutzungsdaten beispielsweise auch Rückschlüsse auf Gewohnheiten und Vorlieben eines Nutzers ziehen. Gleichzeitig ist aber der Eingriff in die Sphäre der Nutzer wesentlich intensiver als bei der Erhebung und Verwendung von bloßen Bestandsdaten.

 

Die Erhebung und Verwendung von einzelnen personenbezogenen Nutzungsdaten ist gemäß § 15 Absatz 1 TMG für den Diensteanbieter nur zulässig, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Fällt diese Erforderlichkeit weg, sind die Nutzungsdaten zu löschen.

 

Die Erstellung von Nutzungsprofilen ist nur eingeschränkt zulässig. Nutzungsprofile entstehen dann, wenn einzelne Nutzungsdaten zusammengeführt werden. Jede einzelne Information ist für sich genommen nicht sehr aussagekräftig. Ein Gesamt- oder zumindest Teilabbild des Nutzers entsteht erst, wenn die einzelnen Daten zusammengeführt werden, indem ein Nutzungsprofil erstellt wird. Anhand dieses Profils lässt sich ein Online-Angebot viel zielgerichteter auf einen bestimmten Nutzer zuschneiden. Die Erstellung von Nutzungsprofilen ist nach § 15 Absatz 3 TMG nur zulässig, wenn sie für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien erstellt werden, hierbei Pseudonyme verwendet werden und der Nutzer dem nicht widerspricht. Dabei ist für den Diensteanbieter allerdings zu beachten, dass er zum einen den Nutzer auf sein Widerspruchsrecht hinzuweisen hat, und zum anderen, dass die Nutzungsprofile nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden dürfen.

 

 

d) Erlaubnistatbestand für Abrechnungsdaten

 

Abrechnungsdaten sind Nutzungsdaten, die über das Ende des Nutzungsvorgangs hinaus verwendet werden dürfen, soweit sie für Abrechnungszwecke erforderlich sind. Dabei ist allerdings das Gebot der Datensparsamkeit zu beachten. Wo es möglich ist, sind die Daten
zu anonymisieren oder pseudonymisieren. Zudem bestimmt § 15 Absatz 6 TMG, dass die Abrechnung über die Inanspruchnahme von Telemedien Anbieter, Zeitpunkt, Dauer, Art, Inhalt und Häufigkeit bestimmter von einem Nutzer in Anspruch genommener Telemedien nicht erkennen lassen darf, es sei denn, der Nutzer verlangt einen Einzelnachweis. Liegen solche Einzelnachweise vor, ordnet § 15 Absatz 7 TMG an, dass die Abrechnungsdaten nach sechs Monaten nach Versendung der Rechnung gelöscht werden müssen, es sei denn, es werden innerhalb dieser Frist Einwendungen gegen die Rechnung erhoben. Für Rechnungen, die keine Einzelverbindungsnachweise enthalten, gelten die handels- und steuerrechtlichen Aufbewahrungspflichten (§ 257 HGB und §§ 140, 147 AO), die einer Löschungspflicht entgegenstehen. Bis zum Ablauf der Aufbewahrungsfristen sind die Abrechungsdaten aber zu sperren, § 15 Absatz 4 Satz 2 TMG.

 

Zu Zwecken der Rechtsverfolgung dürfen die Löschungsfristen unter den Voraussetzungen des § 15 Absatz 8 TMG überzogen werden (insbesondere in Fällen, in denen der Verdacht besteht, dass Telemediendienste in der Absicht genutzt werden, das Entgelt hierfür nicht zu entrichten).

 

An Dritte dürfen Abrechnungsdaten gemäß § 15 Absatz 5 Satz 1 TMG übermittelt werden, soweit dies zur Ermittlung des Entgelts und zur Abrechnung mit dem Nutzer erforderlich ist. Dies gilt auch, wenn der Diensteanbieter mit einem Dritten einen Vertrag über den Einzug des Entgelts geschlossen hat. Das ist insbesondere der Fall bei der Beauftragung von Inkassounternehmen.

 

 

e) Inhaltsdaten

Für Inhaltsdaten, d. h. solche, die über das bloße Nutzungsverhältnis hinausgehen, weil sie nicht zwangsläufig durch die Nutzung entstehen und für sie erforderlich sind, sondern der Erfüllung der Leistung dienen, gelten nicht die Datenschutzvorschriften des TMG, sondern die allgemeinen des BDSG („BDSG“ mit Hyperlink zu diesem Fachmodul versehen).

 

 

f) Weitere datenschutzrechtliche Anforderungen an Telemedien

 

 

fa) Unterrichtungspflicht, § 13 Absatz 1 TMG

 

Diese Vorschrift ordnet an, dass der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU und des EWR in allgemein verständlicher Form zu unterrichten hat, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Hintergrund dieser Informationspflicht ist, dass der Nutzer oft gar nicht weiß, welche Daten über ihn erhoben und verwendet werden. Er soll aber das Risiko einer Nutzung von Internet Diensten abschätzen können, bevor er diese in Anspruch nimmt. Der Inhalt der Unterrichtung muss dabei für den Nutzer jederzeit abrufbar sein.

 

In § 13 Absatz 1 Satz 2 TMG ist zudem bestimmt, dass bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, der Nutzer zu Beginn dieses Verfahrens zu unterrichten ist. Diese Regelung gilt vor allem dem Einsatz von Cookies. Der Einsatz von Cookies bereitet eine Erhebung von personenbezogenen Daten vor, die erst durch die Rückmeldung des Nutzers ausgelöst wird, nachdem bereits Textdateien auf der Festplatte des Anwenders
gespeichert worden sind.

 

 

fb) Anforderungen an einen Systemdatenschutz, § 13 Absatz 4 TMG 

 

Die Anbieter von Telemedien haben bestimmte technische und organisatorische Maßnahmen zur Sicherstellung eines umfassenden Datenschutzes zu ergreifen. Nach § 13 Absatz 4 TMG muss ein Diensteanbieter dafür Sorge tragen, dass

 

– der Nutzer die Nutzung des Dienstes jederzeit beenden kann,

 

– die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen, in denen bestimmte Aufbewahrungsfristen bestehen, gesperrt werden,

 

– der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,

 

– die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können,

 

– Nutzungsdaten eines Nutzers über die Inanspruchnahme verschiedener Telemedien nur für Abrechnungszwecke zusammengeführt werden
können und

 

– Nutzungsprofile für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien bei Verwendung von Pseudonymen nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können.

 

.

Copyright Institut für Datenschutz und -Sicherheit GmbH (IfDuS) – Lars Beitlich