Datenschutz bei Internet-Communities
Der folgende Beitrag gibt einen Überblick der datenschutzrechtlichen Themen, die Betreiber von Communities im Internet beachten sollten. Neben einer allgemeinen Einführung beleuchtet der Beitrag vertiefend die Themen Besucheranalyse, Datenverkauf, Einsatz von Drittdienstleistern und Vorgaben bei Datenlecks.
Grundsatz des so genannten “Verbots mit Erlaubnisvorbehalt”
Das so genannte “Verbot mit Erlaubnisvorbehalt” beschreibt im Datenschutzrecht den in § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) festgeschriebenen zentralen Grundsatz, wonach die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig sind, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
Kurz gesagt: wenn beispielsweise ein Unternehmen irgendetwas mit personenbezogenen Daten “machen” möchte ist dies nicht gestattet, es sei denn a) es liegt eine gesetzliche Anordnung oder b) eine gesetzliche Gestattung hierzu vor oder c) der Betroffene hat in die Datenverarbeitung zuvor eingewilligt.
Das Verständnis dieses Grundsatzes ist für Community-Betreiber von zentraler Bedeutung: Jeder Umgang mit personenbezogenen Daten ist in der beschriebenen Art und Weise datenschutzrechtlich reguliert.
Seitanmerkung: Dieser Grundsatz wird vor allem von vielen Internet-Unternehmen als nicht mehr zeitgemäß und für eine moderne Informationsgesellschaft als unpassend empfunden. Das Argument dahinter: wenn eine Gesellschaft auf dem Grundsatz des “Teilens” von Informationen aufbaut, stelle dies letztlich eine (untaugliche) Regulierung eines Gesellschaftsmodells dar.
Besucheranalyse: “Infektion” anonymer Daten durch personenbezogene Anmeldung
Aufbauend auf den Ausführungen zum so genannten “Verbot mit Erlaubnisvorbehalt” versucht die Praxis im Bereich Webanalyse daher, anonymisierte Web-Analyse-Tools zu entwickeln (so z.B. bei Google Analytics und den Anpassungen bezüglich des Facebook-Like-Buttons), um so den datenschutzrechtlichen Einschränkungen weitestmöglich zu entgehen.
Zu beachten ist aber: erhebt ein Webseitenbetreiber im Rahmen der Webanalyse (an sich anonyme) Daten und kombiniert diese später mit personenbezogenen Daten, die man zum Beispiel im Rahmen der Community-Anmeldung erhalten hat, “infiziert” man damit seine ehemals anonymen Datenbestände und ist insoweit datenschutzrechtlich im oben beschriebenen Umfang reguliert.
Ein Beispiel: Ein Community-Betreiber erhebt für die Webanalyse in eigenen Server-Logdateien anonymisierte Daten über das Besucherverhalten (z.B. gekürzte IP-Adresse). Meldet sich nun ein Nutzer in der Community unter Preisgabe seiner E-Mail-Adresse an und werden diese Daten nicht sauber von den anderen Datenbeständen über das allgemeine Besucherverhalten getrennt, “infiziert” er damit den gesamten Datenbestand und unterwirft ihn damit den Regelungen des Datenschutzrechts.
Benutzerspezifische Werbung und Analyse von Verhaltensprofilen
Auch hier gilt das “Verbot mit Erlaubnisvorbehalt”, welches vereinfacht zusammengefasst, folgende Auswirkung zeitigt: Möchte ein Unternehmen benutzerspezifische Werbung einsetzen und Verhaltensprofile analysieren, muss es hier (je nach genauem Umfang im Detail) den Benutzer entweder vorher um Einwilligung bitten oder vorher transparent und verständlich über die Art der benutzerbezogenen Datenauswertung informieren.
“Anonymität” in Communities
Für Betreiber von Communities im Internet ebenfalls beachtlich ist § 13 Abs. 6 TMG, der besagt: “Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.”
Dieser Grundsatz wird in der Praxis häufig nicht beachtet. Gerade der Trend zur personenbezogenen Werbung bei Facebook und Google läuft dieser Grundregel zuwider und wird daher häufiger von deutschen Wettbewerbern als Standortnachteil kritisiert.
Verkauf von Daten zulässig?
Auch dies letztlich ein Ausfluss oben benannten Prinzips: Das Verkaufen (sprich “Übermitteln” und damit “Verarbeiten”) von Daten ist nur zulässig, wenn a) gesetzlich angeordnet, b) gesetzlich zulässig oder c) per Einwilligung gestattet. In der Praxis sind in der Regel keine gesetzlichen Anordnungen/Erlaubnistatbestände einschlägig, weshalb zumeist nur die Einwilligung als mögliche Grundlage verbleibt. Hierbei gilt zu beachten: Die Einwilligung muss auf einer vollständigen und klaren Information des Betroffenen beruhen, vor Verarbeitungsbeginn erteilt werden und eine aktive Willenshandlung darstellen (keine “vorangehakten” Häkchen etc.; vgl. vertiefende Ausführungen zum Thema Einwilligung).
Datenschutzkonformer Einsatz von Drittdienstleistern
Ein haftungsrechtlich wichtiges Thema (gerade für Community-Betreiber in Deutschland) ist zudem die so genannte “Auftragsdatenverarbeitungsvereinbarung” nach § 11 BDSG. Danach muss in Fällen der weisungsgebundenen Datenverarbeitung durch einen Dritten (externes Hosting; externer Newsletterversand; externe Webanalyse; Wartung der eigenen IT durch externes Unternehmen etc.) dieser Dritte vom datenauslagernden Unternehmen in einem eigenen (relativ umfangreichen) “Datenschutz-Vertrag” gebunden werden. Bei Nichtvorlage dieser Verträge drohen Bußgelder der Datenschutz-Aufsichtsbehörden und im hierdurch begründeten Schadensfall Ersatzansprüche der Betroffenen.
Was passiert bei einem Datenleck?
Ein weiteres wichtiges Thema sind so genannte “Data Breach Notifications” (Selbstanzeigepflichten im Datenverlustfall) in vor allem § 42a BDSG und § 15a TMG. Vereinfacht zusammengefasst besagen diese Vorschriften: gehen insbesondere Konto- oder Kreditkartendaten oder Bestands- oder Nutzungsdaten verloren, werden von einem Dritten gehackt oder ist ein solches Datenverlustszenario nicht auszuschließen, müssen die Betroffenen sowie die Datenschutz-Aufsichtsbehörde unverzüglich informiert werden, um empfindliche Bußgelder, Schadenersatzansprüche und im Einzelfall sogar strafrechtliche Sanktionen zu vermeiden.
Fazit
Community-Betreiber haben eine Reihe von datenschutzrechtlichen Vorgaben zu beachten. Neben eher formalen Vorgaben zur Vermeidung von Haftung und Bußgeldern enthalten die Regelungen zudem eine Antwort auf die Frage “wer auf welche Daten zu welchem Zweck” zugreifen darf. Unternehmen sollten die Regelungen daher auch unter strategischen Gesichtspunkten interpretieren und in ihre Produktgestaltung einfließen lassen.