Zeigt her Eure Fotos!
Kommentare

Das Thema Datenschutz rückt immer stärker in den Mittelpunkt des allgemeinen Interesses. Insbesondere in den sozialen Medien ist der Schutz der persönlichen Daten wichtig, da diese sozusagen Datensammelbecken sind. Die Nutzung von Facebook & Co. ist nicht kostenlos – man zahlt hier nur nicht mit Geld, sondern mit seinen Daten. Diese wiederum werden dazu eingesetzt, um in effizienter Weise Einnahmen durch Werbung zu erzielen. Und trotzdem gehen nach wie vor viele Nutzer mit ihren eigenen Daten geradezu in sozialen Medien hausieren. Da werden die Fotos der letzten Partynacht genauso leichtfertig online gestellt wie die eigenen Hobbys, das Berufsleben und z. T. auch recht brisante Details des eigenen Liebeslebens. Um Datenschutz in sozialen Medien so gut wie möglich umzusetzen, ist zunächst einmal ein gewisser Grundstock an Basiswissen nötig – und zusätzlich natürlich auch das Gespür für einen möglichst zurückhaltenden Umgang mit Informationen zur eigenen Person.

Begrifflichkeiten

Bei Lichte betrachtet dreht sich im Datenschutzrecht alles um personenbezogene Daten. Doch welche Daten fallen nun genau unter diese Kategorie? Und was gibt es noch für weitere wichtige Begriffe?

Ein Blick ins Gesetz, genauer gesagt ins Bundesdatenschutzgesetz (BDSG), hilft da weiter. In § 3 BDSG werden nämlich die wichtigsten Begriffe definiert. Aus dieser Vorschrift ergibt sich also, dass unter personenbezogenen Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“ zu verstehen sind. Darunter fallen also u. a.:

  • Persönliche Daten: Name, Anschrift, Kontaktdaten…
  • Finanzdaten: Bankverbindung, Gehaltsabrechnung…
  • biometrische Daten: Fingerabdruck, DNA…
  • Foto: erkennbare Darstellung einer Person
  • Gesundheitsdaten: Krankmeldung, Diagnose, Überweisung…
  • IP-Adresse (nach z. Zt. herrschender Meinung)

Zugleich erklärt die Norm also auch noch, wer als „Betroffener“ im Sinne des Datenschutzrechts gilt, nämlich diejenige Person, deren persönliche Daten erhoben bzw. verarbeitet werden.

Zusätzlich zu den „normalen“ personenbezogenen Daten gibt es auch noch welche, die von „besonderer Art“ sind. Dazu zählen z. B. Angaben über

  • die rassische und ethnische Herkunft
  • politische Meinungen
  • religiöse oder philosophische Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Gesundheit
  • Sexualleben

Nur solche Daten, also personenbezogene bzw. besondere personenbezogene Daten, sind Gegenstand des Datenschutzrechts. Im Unterschied dazu werden Daten von Unternehmen, wie etwa Statistiken, Bilanzen oder sonstige Geschäftsmeldungen, nicht erfasst. Diese sind unter Umständen zwar auch vor dem Verrat von Geschäftsgeheimnissen geschützt, allerdings nicht durch das Datenschutzrecht. Bereits der Begriff „personenbezogene Daten“ bzw. dessen Erläuterung, nämlich dass er sich nur auf „natürliche Personen“ bezieht, lassen ja erkennen, dass Unternehmen gerade nicht gemeint sind.

Es gibt noch weitere Begriffe, die man kennen sollte:

  • Verantwortliche Stelle: Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
  • Empfänger: Empfänger ist jede Person oder Stelle, die Daten erhält.
  • Dritter: Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.
  • Anonymisierung: Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
  • Pseudonymisierung: Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
  • Automatisierte Verarbeitung: Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.

Zwar klingt der eine oder andere Begriff bzw. dessen Erläuterung auf den ersten Blick vielleicht etwas „trocken“, aber ohne sie sind die Grundzüge des Datenschutzrechts kaum nachzuvollziehen.

Grundsätze

Neben den wichtigsten Vokabeln (s. o.) müssen auch die zentralen Grundsätze des deutschen Datenschutzrechts bekannt sein. Diese sind:

  • Grundsatz der Datensparsamkeit: Es sollen nur solche Daten verarbeitet werden, die für den konkreten Zweck unbedingt notwendig sind.
  • Grundsatz der Datenvermeidung: Auf die Verarbeitung personenbezogener Daten soll soweit wie möglich verzichtet werden bzw. personenbezogene Daten sind, soweit möglich, zu anonymisieren oder zu pseudonymisieren.
  • Grundsatz der Zweckbindung: Als Ausfluss des Verhältnismäßigkeitsgrundsatzes muss jede Erhebung bzw. Verarbeitung von personenbezogenen Daten einem bestimmten, vorher festgelegten Zweck dienen. Wird der Zweck der Datenerhebung bzw. -verarbeitung später geändert, so stellt dies einen neuen (einwilligungsbedürftigen) Eingriff dar.
  • Verbot mit Erlaubnisvorbehalt: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Besonders der letztgenannte Grundsatz ist enorm wichtig. Dieser besagt, dass die Erhebung bzw. Verarbeitung personenbezogener Daten generell nur dann erlaubt ist, wenn es ein Gesetz ausdrücklich erlaubt oder eine entsprechende Einwilligung der betroffenen Person vorliegt. Diese strikte Regelung ist eine Besonderheit des deutschen bzw. des europäischen Datenschutzrechts. In Ländern wie z. B. den USA, China, Indien, Russland oder Afrika sieht die Situation ganz anders aus. Insoweit besteht hierzulande ein vergleichsweise hohes Datenschutzniveau, was im vergleichbaren Maße auch für die anderen Mitgliedsstaaten der Europäischen Union gilt.

Gesetzlicher Rahmen

Neben dem bereits erwähnten BDSG gilt es im Bereich des Datenschutzrechts noch zahlreiche weitere Gesetze zu beachten. Dazu zählen u. a.:

  • Verschiedene Landesdatenschutzgesetze
  • Betriebsverfassungsgesetz (BetrVG)
  • Strafgesetzbuch (StGB)
  • Telemediengesetz (TMG)
  • Telekommunikationsgesetz (TKG)
  • Jugendschutzgesetz (JuSchuG)
  • EU-Datenschutzrichtlinie
  • „Safe-Harbor-Abkommen“ in den USA

In speziellen Bereichen, wie etwa auf dem medizinischen Sektor, existieren noch weitere gesetzliche Regelungen. Es wird schnell klar, dass das Thema Datenschutz sehr weitrechend ist, aber gerade in Bezug auf soziale Medien noch Nachholbedarf hat.

Spam-Mails

Mit dem nötigen Rüstzeug ausgestattet, können nun auch schon die wichtigsten Probleme in der Onlinepraxis genauer beleuchtet werden. Und da springt das Thema E-Mail-Spam geradezu ins Auge, denn diese Form der Werbung hat sich inzwischen zu einer richtigen Plage entwickelt. Es gibt wohl kaum einen Mailnutzer, der nicht jeden Tag aufs Neue die wichtigen E-Mails von den Spammails zu trennen hat. Zwar liefern moderne Spamfilter schon recht gute Arbeit ab, man kommt aber auch mit einer solchen Software nicht umhin, immer auch wieder zumindest stichprobenartig zu kontrollieren, ob nicht doch die eine oder andere E-Mail fälschlicherweise im Spamfilter gelandet bzw. ob einige Spams nicht erfasst worden sind. Es stellt sich also die Frage: Wann handelt es sich um zulässige Werbemails und wann um rechtswidrige Spammails?

Betreiber von Internetseiten dürfen grundsätzlich nur solche personenbezogenen Daten erfassen, die sie auch tatsächlich zur Erfüllung eines Vertrags benötigen. Grundvoraussetzung ist ohnehin von Gesetzes wegen immer, dass es eine gesetzliche Erlaubnisnorm oder aber eine konkrete Einwilligung des Betroffenen gibt. So dürfen Webshopbetreiber natürlich Name, Anschrift und – je nach Zahlungsmethode – Bank- oder Kreditkartendaten ihrer Kunden erfassen. Andernfalls wären sie kaum in der Lage, den eingegangenen Kaufvertrag korrekt abzuwickeln.

Die E-Mail-Adresse der Kunden gehört jedoch nicht automatisch dazu. Diese wird nur dann benötigt, wenn sich der Kunde damit und einem entsprechenden Passwort in sein Kundenkonto einloggen will. Oder aber natürlich dann, wenn er sich für den Bezug des Newsletters angemeldet hat. Der Onlinehändler darf also nur unter den bestimmten Voraussetzungen E-Mails mit werblichen Inhalten an Dritte versenden. Das mit „double opt-in“ bezeichnete Verfahren hat enge Grenzen:

  • Aktivwerden: Versender von Mailwerbung dürfen nicht von sich aus auf potenzielle Empfänger zugehen, sie müssen abwarten, bis sich ein Interessent selbst für das Newsletter-Abo o. ä. anmeldet.
  • Haken: Oft sieht man eine bereits mit einem Häkchen vorausgefüllte Checkbox, mit deren Hilfe die Zustimmung des potenziellen Werbeempfängers sozusagen vorweggenommen wird; dieser muss dann nur noch auf „OK“ klicken. Die Rechtslage verlangt jedoch, dass das betreffende Feld der Checkbox leer ist und der Interessent dieses anklicken muss, um dort sein Häkchen selbstständig zu setzen.
  • Bestätigung: Nach erfolgter Eintragung für den Newsletter etc. muss eine Bestätigungsmail verschickt werden, in welcher ein Aktivierungslink eingebunden sein muss. Der Empfänger dieser Bestätigung muss dann durch Anklicken des Aktivierungslinks seine Identität verifizieren. Dies soll verhindern, dass irgendein „Scherzbold“ fremde Mailadressen einfach so in Newsletterlisten o. ä. einträgt. Erst nach erfolgreicher Aktivierung darf der Versand des Newsletters, der Werbemails etc. erfolgen.
  • Hinweis: Jede einzelne Werbe-/Newslettermail muss den Hinweis enthalten, dass und wie sich der Empfänger wieder abmelden kann.
  • Widerspruch: Es darf kein ausdrücklicher Widerspruch des Empfängers vorliegen.
  • Zeitspanne: Einmal erteile Einwilligungen in den Erhalt von Werbemails behalten nicht unbegrenzt ihre Wirksamkeit. Zwar herrscht Uneinigkeit darüber, wie lange eine Einwilligung Bestand haben soll, aber es sollte jedenfalls nicht monate- oder gar jahrelang nach erfolgter Registrierung des Kunden für den Erhalt des Newsletters etc. mit dem Versand der Mailwerbung abgewartet werden.

Diese Voraussetzungen gelten unabhängig davon, ob es sich bei den (potenziellen) Mailempfängern um die eigenen Kunden oder um solche Besucher seiner Internetseite handelt, die sich noch in keinem vertraglichen Verhältnis zum ihm befinden. Im Hinblick auf Kunden, die bereits seine Waren bzw. Dienstleistungen in Anspruch genommen haben, gibt es allerdings eine Ausnahmeregelung, welche es erlaubt, die oben aufgeführten Voraussetzungen des „Double opt-in“-Verfahrens unberücksichtigt zu lassen. Diese Ausnahme hat wiederum folgende Rahmenbedingungen:

  • Erhalt einer E-Mail-Adresse vom Kunden im Zusammenhang mit dem Verkauf einer Ware oder einer Dienstleistung
  • Verwendung zu Direktwerbung für eigene ähnliche Waren oder Dienstleistungen
  • Hinweis auf Widerspruchsrecht

Werden diese Punkte eingehalten, dürfen auch ausnahmsweise E-Mail-Werbungen an Personen verschickt werden, die dem vorab nicht zugestimmt haben. Voraussetzung ist auch hier, dass der Empfänger dem Erhalt nicht ausdrücklich widersprochen hat. Die zentrale Frage nach der Bedeutung des Begriffs der Ähnlichkeit haben Gerichte so beantwortet, dass sich die Ähnlichkeit auf die bereits gekauften Waren beziehen und dem gleichen typischen Verwendungszweck oder Bedarf des Kunden entsprechen muss. Die Voraussetzung ist also regelmäßig dann erfüllt, wenn die Produkte austauschbar sind oder dem gleichen oder zumindest einem ähnlichen Bedarf oder Verwendungszweck dienen. Diese Regelung stellt jedoch eine Ausnahme dar und ist somit eng auszulegen.

Im Unterschied zur Werbung per Post stellt die E-Mail-Werbung vergleichsweise hohe Anforderungen an den Versender. Während man an seinem Briefkasten das berühmte Schild „Bitte keine Werbung einwerfen“ anbringen muss, um die Werbeflut zu stoppen, dürfen prinzipiell erst gar keine Werbemails an Personen verschickt werden, die nicht vorab ausdrücklich darin eingewilligt haben. Schon eine einzige unverlangt übersandte Werbemail stellt einen Rechtsverstoß dar, der kostenpflichtig abgemahnt werden kann.

Analysetools

Software zur Analyse der Besuche von Internetseiten ist äußerst praktisch und nicht zuletzt deshalb auch sehr beliebt bei Betreibern von Internetseiten. Der wohl bekannteste und auch meisten genutzte Vertreter dürfte nach wie vor Google Analytics sein. Dieses Tool ist, wie alle Dienste des Branchenriesen, kostenfrei von jedermann nutzbar und hat einen recht großen Funktionsumfang.

Allerdings besteht aus datenschutzrechtlicher Sicht, nicht nur bei Google Analytics, die Problematik, dass u. a. auch die IP-Adresse eines Nutzers als personenbezogenes Datum gilt. Dies entspricht der inzwischen überwiegenden Auffassung unter Datenschützern. Nun dürfen personenbezogene Daten ja nur nach einer konkreten Einwilligung der betroffenen Personen erhoben bzw. verarbeitet werden. Die Einholung einer solchen Einwilligung gestaltet sich im Onlinealltag jedoch äußerst schwierig, sie ist technisch kaum sinnvoll umsetzbar. Nach längerem juristischem Tauziehen hat man sich inzwischen über eine Vorgehensweise geeinigt, die es Betreibern von Internetseiten weiterhin erlaubt, Google Analytics und vergleichbare Software rechtskonform einzusetzen. Dazu müssen die folgenden Voraussetzungen erfüllt werden:

  • Modifikation: Der Quellcode des eingesetzten Analysetools muss so angepasst werden, dass die IP-Adresse der Besucher nicht komplett erhoben wird. Google Analytics gibt entsprechende Tipps zur Umsetzung auf seiner Homepage.
  • Hinweis: Ein ausdrücklicher Hinweis auf die Nutzung von Google Analytics oder anderer Tools muss in die eigene Datenschutzerklärung aufgenommen werden. Hierfür stellt Google einen Mustertext bereit.
  • Vertrag: Zusätzlich muss ein Auftrag zur Datenverarbeitung mit dem jeweiligen Softwareanbieter abgeschlossen werden. Google Analytics stellt diesen beispielsweise als PDF-Datei zum kostenfreien Download bereit.
  • Löschung: Etwaige zuvor erhobenen Datensätze, welche nicht unter den vorgenannten Voraussetzungen erhoben wurden, sind zu löschen.

Social Plug-ins

Ein weiteres, sehr beliebtes Feature auf zahlreichen Internetseiten sind die so genannten „Social plug-ins“ (siehe auch ab S. 53). Nicht wenige Datenschützer stufen diese Funktionalitäten, so praktisch sie auch sein mögen, als sehr kritisch ein. Denn hierbei kommt es, wohl auch schon ohne Anklicken eines solchen Plug-ins, zur Verknüpfung mit Nutzerprofilen und zur Erfassung von Nutzerdaten. Dadurch können theoretisch ganze Bewegungsmuster erstellt werden, auf die der einzelne Nutzer faktisch keinerlei Einfluss mehr hat.

Unter dem Strich können diese Social Plug-ins nur dann rechtmäßig in die eigene Internetseite eingebunden werden, wenn bestimmte technische Rahmenbedingungen eingehalten werden. Es hat sich die so genannte „2-Klick-Lösung“ als gleichermaßen praktikabel und rechtssicher erwiesen. Jedenfalls hat der Zusammenschluss der obersten Datenschutzaufsichtsbehörden („Düsseldorfer Kreis“) Ende 2011 beschlossen, dass jedenfalls die Einbindung von Social Plug-ins ohne eine „2-Klick-Lösung“ rechtswidrig ist. Diese Lösungsansätze basieren auf dem Prinzip, zunächst einmal nur „Platzhalter“ in Form von einzelnen Grafiken für die Plug-in-Buttons einzublenden, ohne die Social Plug-ins selbst schon zu aktivieren. Erst dann, wenn der Nutzer mit dem Mauszeiger über diese Platzhaltergrafiken fährt, erscheint eine Belehrung über die rechtlichen Folgen nach dem Anklicken der Grafiken in Form eines über der Maus eingeblendeten Hinweistextes. Klickt der Nutzer dann die Grafiken an, werden die eigentlichen Social Plug-ins und ihre Funktionen aktiviert. Mit einem weiteren Klick z. B. auf den „Like“-Button kann der Nutzer dann in seinem Facebook-Profil posten, dass ihm die jeweilige Internetseite gefällt. Zusätzlich zu diesem technischen Kniff muss ein deutlicher Hinweis in die Datenschutzerklärung der betreffenden Internetseite eingebunden werden.

Die Gefahr, die bei der Verwendung von Social Plug-ins vermutet wird, ist so beachtlich, dass einige Datenschützer, allen voran der Landesdatenschutzbeauftragte von Schleswig-Holstein, sogar ein gänzliches Verbot zumindest auf behördlichen Internetseiten fordern. Außerdem sind verstärkt Kontrollen von Homepages geplant, auf denen Social Plug-ins eingebunden sind. Werden dort Verstöße festgestellt, insbesondere eine nicht umgesetzte „2-Klick-Lösung“, können Bußgelder von immerhin bis zu 50 000 Euro verhängt werden.

 

Dieser Beitrag ist ein Auszug aus dem Buch „Social Media – Rechte und Pflichten für User„, erschienen bei entwickler.press.

Social Media - Rechte und Pflichten für User









Aufmacherbild: Abstract Multimedia Background Foto via Shutterstock / Urheberrecht: Rashevskyi Viacheslav

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -