Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
kayamo
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
placeforvegans.de
plentymarkets
Praktiker.de
Prestashop
PriceMinister.com
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B + B2C)
Verkauf über individuelle Kommunikation (B2B)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
von Dr. Sebastian Kraska

Datenschutz bei Internet-Communities und was Betreiber beachten sollten

News vom 18.07.2012, 11:36 Uhr | Keine Kommentare

Der folgende Beitrag gibt einen Überblick der datenschutzrechtlichen Themen, die Betreiber von Communities im Internet beachten sollten. Er begleitet damit das Monatsthema „Datenschutz in Communities“ auf der IITR Facebook-Seite unter www.facebook.com/datenschutzkodex. Neben einer allgemeinen Einführung in den so genannten Grundsatz des so genannten „Verbots mit Erlaubnisvorbehalt“ beleuchtet der Beitrag vertiefend die Themen Besucheranalyse, Datenverkauf, Einsatz von Drittdienstleistern und Vorgaben bei Datenlecks.

Grundsatz des so genannten „Verbots mit Erlaubnisvorbehalt“

Das so genannte „Verbot mit Erlaubnisvorbehalt“ beschreibt im Datenschutzrecht den in § 4 Abs. 1 Bundesdatenschutzgesetz („BDSG“) festgeschriebenen zentralen Grundsatz, wonach die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig sind, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Kurz gesagt: wenn beispielsweise ein Unternehmen irgendetwas mit personenbezogenen Daten „machen“ möchte ist dies nicht gestattet, es sei denn a) es liegt eine gesetzliche Anordnung oder b) eine gesetzliche Gestattung hierzu vor oder c) der Betroffene hat in die Datenverarbeitung zuvor eingewilligt.

Das Verständnis dieses Grundsatzes ist für Community-Betreiber von zentraler Bedetung: jeder Umgang mit personenbezogenen Daten ist in der beschriebenen Art und Weise datenschutzrechtlich reguliert.

Seitanmerkung: Dieser Grundsatz wird vor allem von vielen Internet-Unternehmen als nicht mehr zeitgemäß und für eine moderne Informationsgesellschaft als unpassend empfunden. Das Argument dahinter: wenn eine Gesellschaft auf dem Grundsatz des „Teilens“ von Informationen aufbaut, stelle dies letztlich eine (untaugliche) Regulierung eines Gesellschaftsmodells dar.

1

Besucheranalyse: „Infektion“ anonymer Daten durch personenbezogene Anmeldung

Aufbauend auf den Ausführungen zum so genannten „Verbot mit Erlaubnisvorbehalt“ versucht die Praxis im Bereich Webanalyse daher, anonymisierte Web-Analyse-Tools zu entwickeln (so z.B. bei Google Analytics und den Anpassungen bzgl. des Facebook-Like-Buttons ), um so den datenschutzrechtlichen Einschränkungen weitestmöglich zu entgehen.

Zu beachten ist aber: erhebt ein Webseitenbetreiber im Rahmen der Webanalyse (an sich anonyme) Daten und kombiniert diese später mit personenbezogenen Daten, die man z.B. im Rahmen der Community-Anmeldung erhalten hat, „infiziert“ man damit seine ehemals anonymen Datenbestände und ist insoweit datenschutzrechtlich im oben beschriebenen Umfang reguliert.

Ein Beispiel: ein Community-Betreiber erhebt für die Webanalyse in eigenen Server-Logdateien anonymisierte Daten über das Besucherverhalten (z.B. gekürzte IP-Adresse). Meldet sich nun ein Nutzer in der Community unter Preisgabe seiner E-Mail-Adresse an und werden diese Daten nicht sauber von den anderen Datenbeständen über das allgemeine Besucherverhalten getrennt, „infiziert“ er damit den gesamten Datenbestand und unterwirft ihn damit den Regelungen des Datenschutzrechts.

Benutzerspezifische Werbung und Analyse von Verhaltensprofilen

Auch hier gilt das „Verbot mit Erlaubnisvorbehalt“, welches vereinfacht zusammengefasst folgende Auswirkung zeitigt: möchte ein Unternehmen benutzerspezifische Werbung einsetzen und Verhaltensprofile analysieren, muss es hier (je nach genauem Umfang im Detail) den Benutzer entweder vorher um Einwilligung bitten oder vorher transparent und verständlich über die Art der benutzerbezogenen Datenauswertung informieren.

„Anonymität“ in Communities

Für Betreiber von Communities im Internet ebenfalls beachtlich ist § 13 Abs. 6 TMG, der besagt: „Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.“
Dieser Grundsatz wird in der Praxis häufig nicht beachtet. Gerade der Trend zur personenbezogenen Werbung bei Facebook und Google läuft dieser Grundregel zuwider und wird daher häufiger von deutschen Wettbewerbern als Standortnachteil kritisiert.

Verkauf von Daten zulässig?

Auch dies letztlich ein Ausfluss oben benannten Prinzips: das Verkaufen (sprich „Übermitteln“ und damit „Verarbeiten“) von Daten ist nur zulässig, wenn a) gesetzlich angeordnet, b) gesetzlich zulässig oder c) per Einwilligung gestattet. In der Praxis sind in der Regel keine gesetzlichen Anordnungen/Erlaubnistatbestände einschlägig, weshalb zumeist nur die Einwilligung als mögliche Grundlage verbleibt. Hierbei gilt zu beachten: die Einwilligung muss auf einer vollständigen und klaren Information des Betroffenen beruhen, vor Verarbeitungsbeginn erteilt werden und eine aktive Willenshandlung darstellen (keine „vorangehakten“ Häkchen etc.; vgl. vertiefende Ausführungen zum Thema Einwilligung ).

Datenschutzkonformer Einsatz von Drittdienstleistern

Ein haftungsrechtlich wichtiges Thema (gerade für Community Betreiber in Deutschland) ist zudem die so genannte „Auftragsdatenverarbeitungsvereinbarung“ nach § 11 BDSG. Danach muss in Fällen der weisungsgebundenen Datenverarbeitung durch einen Dritten (externes Hosting; externer Newsletterversand; externe Webanalyse; Wartung der eigenen IT durch externes Unternehmen etc.) dieser Dritte vom datenauslagernden Unternehmen in einem eigenen (relativ umfangreichen) „Datenschutz-Vertrag“ gebunden werden. Bei Nichtvorlage dieser Verträge drohen Bußgelder der Datenschutz-Aufsichtsbehörden und im hierdurch begründeten Schadensfall Ersatzansprüche der Betroffenen.

Was passiert bei einem Datenleck?

Ein weiteres wichtiges Thema sind so genannte „Data Breach Notifications“ (Selbstanzeigepflichten im Datenverlustfall) in vor allem § 42a BDSG und § 15a TMG (vgl. hierzu auch unsere Checkliste ). Vereinfacht zusammengefasst besagen diese Vorschriften: gehen insbesondere Konto- oder Kreditkartendaten oder Bestands- oder Nutzungsdaten verloren, werden von einem Dritten gehackt oder ist ein solches Datenverlustszenario nicht auszuschließen, müssen die Betroffenen sowie die Datenschutz-Aufsichtsbehörde unverzüglich informiert werden, um empfindliche Bußgelder, Schadenersatzansprüche und im Einzelfall sogar strafrechtliche Sanktionen zu vermeiden.

Fazit

Community-Betreiber haben eine Reihe von datenschutzrechtlichen Vorgaben zu beachten. Neben eher formalen Vorgaben zur Vermeidung von Haftung und Bußgeldern enthalten die Regelungen zudem eine Antwort auf die Frage „wer auf welche Daten zu welchem Zweck“ zugreifen darf. Unternehmen sollten die Regelungen daher auch unter strategischen Gesichtspunkten interpretieren und in ihre Produktgestaltung einfließen lassen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© beermedia - Fotolia.com
Autor:
Dr. Sebastian Kraska
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2021 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller