Datenschutz im Internet - was muss beachtet werden?

Der Schutz privater Daten wird im Internet bislang häufig vernachlässigt. Insbesondere viele Unternehmen, die über das World Wide Web Waren und Dienstleistungen anbieten, beachten die deutschen Rechtsvorschriften nicht.

Das Bundesdatenschutzgesetz (BDSG) und das neuere Teledienstedatenschutzgesetz (TDDSG) regeln die Erhebung und Verarbeitung nur von personenenbezogenen Daten. Das sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (sog. Betroffener), wie z. B. Name, Anschrift und Geburtsdatum, aber auch die Email-Adresse. Geschützte Daten sind auch solche, die scheinbar gar nicht personenenbezogen sind, wie z. B. IP-Nummern. Denn es ist ja möglich, dass die IP fest vergeben worden ist und daher den Weg zu einer bestimmten Person weist. Dieses Risiko sollte für Unternehmen ausreichen, um sie dem Datenschutz zu unterwerfen. Auch die sogenannten Log-Files, die auf allen Web-Servern jeden einzelnen Zugriff speichern, unterliegen daher grundsätzlich dem Datenschutz.

Personenbezogene Daten werden heute nicht nur mittels direkter Eingabe durch die Web-Surfer erhoben, sondern häufig automatisch aus den Browsern ausgelesen und dann in sog. Cookies auf den Computern der Surfer oder in Dateien auf den Web-Servern der Unternehmen gespeichert. Denn, wer im Internet surft, dessen Computer ist für Zugriffe aus dem Internet meist ebenso offen, wie umgekehrt das Internet für den Surfer.

Personenbezogene Daten dürfen nur verarbeitet werden, wenn gesetzliche Vorschriften dies ausdrücklich zulassen oder der Betroffene ausdrücklich eingewilligt hat. Gesetzliche Erlaubnisse zur Datenverarbeitung gibt es nur sehr wenige: z. B. Bestandsdaten, die zur Abwicklung von Verträgen zwischen Providern und Kunden erforderlich sind (§ 5 TDDSG); z. B. Nutzungs- und Abrechnungsdaten, die die Nutzung (Zugangskennung) oder Abrechnung (Nutzungsdauer) von Telediensten ermöglichen (§ 6 TDDSG). Nutzungsdaten müssen allerdings spätestens unmittelbar nach Ende der jeweiligen Nutzung, Abrechnungsdaten spätestens 80 Tage nach Rechnungsversand gelöscht werden.

Die meisten heute im Internet erhobenen Daten bedürfen daher schon vor ihrer ersten Verarbeitung, z. B. dem Speichern auf dem Web-Server des Anbieters, der ausdrücklichen Einwilligung durch den Betroffenen. Grundsätzlich bedarf die Einwilligung der Schriftform. Im Internet kann sie auch elektronisch erklärt werden (§ 3 TDDSG), wenn der Diensteanbieter sicherstellt, dass sie nur durch eine eindeutige und bewusste Handlung des Nutzers erfolgen kann (Klick auf einen Button), sie nicht unerkennbar verändert werden kann (schreibgeschützte Speicherung), ihr Urheber erkannt werden kann (Speicherung der Nutzerdaten zusammen mit dem Einwilligungstext), die Einwilligung protokolliert wird (Speicherung) und der Inhalt der Einwilligung jederzeit vom Nutzer abgerufen werden kann (z. B. mittels Passwort über eine personalisierte Homepage). Eine Einwilligung ist auch erforderlich, wenn es sich um Daten handelt, die aus allgemein zugänglichen Quellen (Telefonbücher) entnommen werden können, soweit sie ausschließlich kommerziell verwertet werden sollen.

Die Einwilligung ist nur wirksam, wenn der Nutzer zuvor darüber informiert wurde, dass und welche Daten zu welchem Zweck in welcher Form gespeichert und verarbeitet werden sollen. Sollen personenbezogene Daten also zur Marktforschung, zur Erstellung von Persönlichkeitsprofilen oder zur Ermittlung von Nutzergewohnheiten verwendet werden, so ist darauf ausdrücklich hinzuweisen.

Die Daten dürfen später nur im Umfang einer erteilten und nicht widerrufenen - auch auf die Möglichkeit des jederzeitigen Widerrufes ist der Nutzer vor der Speicherung hinzuweisen - Einwilligung genutzt werden. Jede darüber hinausgehende Nutzung ist verboten. Für den Fall des Verstoßes gegen Datenschutzvorschriften drohen Bußgelder bis zu 50.000,00 DM. Außerdem müssen Unternehmen, in denen mindestens 5 Mitarbeiter ständig mit der Datenverarbeitung beschäftigt sind, einen Datenschutzbeauftragten bestellen. Die Beachtung der Datenschutzvorschriften wird durch die örtliche Datenschutzaufsicht überwacht, die jederzeit und vor Ort Überprüfungen vornehmen kann, auch wenn keine konkrete Beschwerde vorliegt.