Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

Datenschutz bei Internet-Communities und was Betreiber beachten sollten

18.07.2012, 11:36 Uhr | Lesezeit: 4 min
von Dr. Sebastian Kraska
Datenschutz bei Internet-Communities und was Betreiber beachten sollten

Der folgende Beitrag gibt einen Überblick der datenschutzrechtlichen Themen, die Betreiber von Communities im Internet beachten sollten. Er begleitet damit das Monatsthema „Datenschutz in Communities“ auf der IITR Facebook-Seite unter www.facebook.com/datenschutzkodex. Neben einer allgemeinen Einführung in den so genannten Grundsatz des so genannten „Verbots mit Erlaubnisvorbehalt“ beleuchtet der Beitrag vertiefend die Themen Besucheranalyse, Datenverkauf, Einsatz von Drittdienstleistern und Vorgaben bei Datenlecks.

Grundsatz des so genannten „Verbots mit Erlaubnisvorbehalt“

Das so genannte „Verbot mit Erlaubnisvorbehalt“ beschreibt im Datenschutzrecht den in § 4 Abs. 1 Bundesdatenschutzgesetz („BDSG“) festgeschriebenen zentralen Grundsatz, wonach die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig sind, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Kurz gesagt: wenn beispielsweise ein Unternehmen irgendetwas mit personenbezogenen Daten „machen“ möchte ist dies nicht gestattet, es sei denn a) es liegt eine gesetzliche Anordnung oder b) eine gesetzliche Gestattung hierzu vor oder c) der Betroffene hat in die Datenverarbeitung zuvor eingewilligt.

Das Verständnis dieses Grundsatzes ist für Community-Betreiber von zentraler Bedetung: jeder Umgang mit personenbezogenen Daten ist in der beschriebenen Art und Weise datenschutzrechtlich reguliert.

Seitanmerkung: Dieser Grundsatz wird vor allem von vielen[Internet-Unternehmen als nicht mehr zeitgemäß und für eine moderne Informationsgesellschaft als unpassend empfunden. Das Argument dahinter: wenn eine Gesellschaft auf dem Grundsatz des „Teilens“ von Informationen aufbaut, stelle dies letztlich eine (untaugliche) Regulierung eines Gesellschaftsmodells dar.

Banner Unlimited Paket

Besucheranalyse: „Infektion“ anonymer Daten durch personenbezogene Anmeldung

Aufbauend auf den Ausführungen zum so genannten „Verbot mit Erlaubnisvorbehalt“ versucht die Praxis im Bereich Webanalyse daher, anonymisierte Web-Analyse-Tools zu entwickeln (so z.B. bei Google Analytics und den Anpassungen bzgl. des Facebook-Like-Buttons, um so den datenschutzrechtlichen Einschränkungen weitestmöglich zu entgehen.

Zu beachten ist aber: erhebt ein Webseitenbetreiber im Rahmen der Webanalyse (an sich anonyme) Daten und kombiniert diese später mit personenbezogenen Daten, die man z.B. im Rahmen der Community-Anmeldung erhalten hat, „infiziert“ man damit seine ehemals anonymen Datenbestände und ist insoweit datenschutzrechtlich im oben beschriebenen Umfang reguliert.

Ein Beispiel: ein Community-Betreiber erhebt für die Webanalyse in eigenen Server-Logdateien anonymisierte Daten über das Besucherverhalten (z.B. gekürzte IP-Adresse). Meldet sich nun ein Nutzer in der Community unter Preisgabe seiner E-Mail-Adresse an und werden diese Daten nicht sauber von den anderen Datenbeständen über das allgemeine Besucherverhalten getrennt, „infiziert“ er damit den gesamten Datenbestand und unterwirft ihn damit den Regelungen des Datenschutzrechts.

Benutzerspezifische Werbung und Analyse von Verhaltensprofilen

Auch hier gilt das „Verbot mit Erlaubnisvorbehalt“, welches vereinfacht zusammengefasst folgende Auswirkung zeitigt: möchte ein Unternehmen benutzerspezifische Werbung einsetzen und Verhaltensprofile analysieren, muss es hier (je nach genauem Umfang im Detail) den Benutzer entweder vorher um Einwilligung bitten oder vorher transparent und verständlich über die Art der benutzerbezogenen Datenauswertung informieren.

„Anonymität“ in Communities

Für Betreiber von Communities im Internet ebenfalls beachtlich ist § 13 Abs. 6 TMG, der besagt: „Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.“
Dieser Grundsatz wird in der Praxis häufig nicht beachtet. Gerade der Trend zur personenbezogenen Werbung bei Facebook und Google läuft dieser Grundregel zuwider und wird daher häufiger von deutschen Wettbewerbern als Standortnachteil kritisiert.

Verkauf von Daten zulässig?

Auch dies letztlich ein Ausfluss oben benannten Prinzips: das Verkaufen (sprich „Übermitteln“ und damit „Verarbeiten“) von Daten ist nur zulässig, wenn a) gesetzlich angeordnet, b) gesetzlich zulässig oder c) per Einwilligung gestattet. In der Praxis sind in der Regel keine gesetzlichen Anordnungen/Erlaubnistatbestände einschlägig, weshalb zumeist nur die Einwilligung als mögliche Grundlage verbleibt. Hierbei gilt zu beachten: die Einwilligung muss auf einer vollständigen und klaren Information des Betroffenen beruhen, vor Verarbeitungsbeginn erteilt werden und eine aktive Willenshandlung darstellen (keine „vorangehakten“ Häkchen etc.

Datenschutzkonformer Einsatz von Drittdienstleistern

Ein haftungsrechtlich wichtiges Thema (gerade für Community Betreiber in Deutschland) ist zudem die so genannte „Auftragsdatenverarbeitungsvereinbarung“ nach § 11 BDSG. Danach muss in Fällen der weisungsgebundenen Datenverarbeitung durch einen Dritten (externes Hosting; externer Newsletterversand; externe Webanalyse; Wartung der eigenen IT durch externes Unternehmen etc.) dieser Dritte vom datenauslagernden Unternehmen in einem eigenen (relativ umfangreichen) „Datenschutz-Vertrag“ gebunden werden. Bei Nichtvorlage dieser Verträge drohen Bußgelder der Datenschutz-Aufsichtsbehörden und im hierdurch begründeten Schadensfall Ersatzansprüche der Betroffenen.

Was passiert bei einem Datenleck?

Ein weiteres wichtiges Thema sind so genannte „Data Breach Notifications“ (Selbstanzeigepflichten im Datenverlustfall) in vor allem § 42a BDSG und § 15a TMG (vgl. hierzu auch unsere Checkliste ). Vereinfacht zusammengefasst besagen diese Vorschriften: gehen insbesondere Konto- oder Kreditkartendaten oder Bestands- oder Nutzungsdaten verloren, werden von einem Dritten gehackt oder ist ein solches Datenverlustszenario nicht auszuschließen, müssen die Betroffenen sowie die Datenschutz-Aufsichtsbehörde unverzüglich informiert werden, um empfindliche Bußgelder, Schadenersatzansprüche und im Einzelfall sogar strafrechtliche Sanktionen zu vermeiden.

Fazit

Community-Betreiber haben eine Reihe von datenschutzrechtlichen Vorgaben zu beachten. Neben eher formalen Vorgaben zur Vermeidung von Haftung und Bußgeldern enthalten die Regelungen zudem eine Antwort auf die Frage „wer auf welche Daten zu welchem Zweck“ zugreifen darf. Unternehmen sollten die Regelungen daher auch unter strategischen Gesichtspunkten interpretieren und in ihre Produktgestaltung einfließen lassen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© beermedia - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Fotographische Kundentestimonials im Internet: Rechtliche Voraussetzungen + Muster-Einwilligungserklärung
(23.04.2020, 12:02 Uhr)
Fotographische Kundentestimonials im Internet: Rechtliche Voraussetzungen + Muster-Einwilligungserklärung
Interview mit Dr. Kraska vom IITR Datenschutz: „Mit mehr Kontrollen ist im Datenschutz bald zu rechnen“
(01.08.2019, 09:54 Uhr)
Interview mit Dr. Kraska vom IITR Datenschutz: „Mit mehr Kontrollen ist im Datenschutz bald zu rechnen“
Datenschutz: Auswirkungen der EU-Datenschutzgrundverordnung
(27.01.2016, 09:16 Uhr)
Datenschutz: Auswirkungen der EU-Datenschutzgrundverordnung
Wer weiß was über mich? Das Recht auf Selbstauskunft
(23.01.2014, 07:24 Uhr)
Wer weiß was über mich? Das Recht auf Selbstauskunft
Datenschutz-Vereinbarung mit Steuerberatern
(10.12.2013, 15:43 Uhr)
Datenschutz-Vereinbarung mit Steuerberatern
Datenschutz-Informationspflichten bei Datenpannen nach § 42a BDSG („Data Breach Notifications“)
(03.01.2013, 12:28 Uhr)
Datenschutz-Informationspflichten bei Datenpannen nach § 42a BDSG („Data Breach Notifications“)
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei