Im Internet lassen sich nahezu alle Bewegungen des Anwenders protokollieren, von der Verweildauer des Betrachters auf der Website des Anbieters bis hin zu Version und Typ der benutzten Browsersoftware. Das CDT (Center for Democracy and Technology, Washington, D.C.) hat auf seiner Homepage eine Demonstration eingerichtet, die illustriert, welche Datenspur der auf diese Homepage zugreifende Benutzer im Internet hinterläßt. So kann der Administrator des Webservers z.B. festhalten, wer wann welche Daten oder Seiten abgerufen hat und welche Werbebanner angeklickt wurden. Diese schon mit herkömmlicher Software zu ermittelnden individuellen Daten kommen den Unternehmen entgegen, die durch den Zwang zu einem individuelleren Marketing erheblich mehr verwertbares Datenmaterial über den einzelnen aktuellen oder potentiellen Interessenten benötigen als früher. Demgegenüber steht hierzulande das verfassungsmäßige Recht auf informationelle Selbstbestimmung des Art. 2 I GG:

Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.

Was von wem wie lange über eine Person abgespeichert wird, hängt daher in erster Linie von der aktiven Einwilligung der entsprechenden Person ab - zumeist im Gegensatz zur aktuellen Realität im Internet, in der von Unternehmen so viel wie möglich an Daten gesammelt wird, ohne die datenschutzrechtlichen Bestimmungen zu bemühen.

Diese Bestimmungen wurden bis Juli 1997 vorwiegend durch das BDSG geregelt. Aufgrund der durch Internet und Online-Dienste veränderten Anforderungen traten mit IuKDG und MDStV ab dem 1. August 1997 auch neue Regelungen zum Schutz der Nutzer bzw. ihrer Daten in Kraft. Seitdem ist das BDSG nur noch heranzuziehen, wenn diese beiden Gesetze keine speziellen Regelungen für die neuen Kommunikationsmittel enthalten, es hat somit nur noch eine "Lückenbüßer-Funktion". Bereits ein Jahr länger ist das TKG mit dazugehöriger Datenschutzverordnung in Kraft.

Das TKG gilt für Unternehmen, welche die Technik für die elektronische Kommunikation bereitstellen, somit vor allem für Provider, wogen sich der Datenschutz nach dem MDStV an diejenigen richtet, die sich an die Allgemeinheit mit Informationen wenden (z.B. Online-Zeitungen und redaktionelle Inhalte). Das TDG findet auf jene Anbieter Anwendung, die Leistungen für den einzelnen Anwender erbringen, wie z.B. Online-Banking oder Teleshopping. Durch die Adressierung der verschiedenen Gesetze kann es in der Praxis zu Überschneidungen kommen, wenn ein Unternehmen auf seiner Website neben dem Angebot seiner Produkte auch noch Informationen über seine Branche anbietet. Während das Produktangebot dem TDG unterliegt, ist für den Informationsteil der MDStV anzuwenden. Aufgrund der im wesentlichen analogen Regelungen werden hier ausschließlich die Vorschriften des TDDSG herangezogen.

Durch das Protokollieren der Abrufe von Dateien wird das Online-Verhalten eines Benutzers registriert und gespeichert. Dadurch läßt sich leicht ein Nutzerprofil erstellen. Das Datenschutzgesetz für Teledienste soll verhindern, daß solche Daten von eifrigen Marktforschern gesammelt werden. Das Gesetz untersagt z. B. die Erstellung von Nutzerprofilen.

Jede Vorschrift ist nur so gut wie ihre Kontrolle. Nach § 38 BDSG dürfen die Kontrollbehörden den Betrieb eines Anbieters auch gegen dessen Willen betreten und Einsicht in die gespeicherten Daten nehmen, wenn hinreichende Anhaltspunkte für einen datenschutzrechtlichen Verstoß vorlagen. Dies wurde mit Inkrafttreten des TDDSG entscheidend geändert: § 38 des BDSG findet mit der Maßgabe Anwendung, daß die Überprüfung auch vorgenommen werden darf, wenn keine Anhaltspunkte für eine Verletzung von Datenschutzvorschriften vorliegen. Für die Frage der praktischen Umsetzung dieser Vorschrift gibt es allerdings noch keine Hinweise. Allgemein darf nicht übersehen werden, daß die durchaus umfassenden rechtlichen Regelungen zum Datenschutz in der praktischen Ausprägung des Internet, wie es heute auch von deutschen Unternehmen genutzt wird, weitestgehend ignoriert werden.

Der gesetzliche Schutz greift immer dann, wenn einzelne Informationen mit einer natürlichen Person auf elektronischem Weg in Verbindung gebracht werden können. Solche personenbezogenen Daten definiert das BDSG in § 3 (1) BDSG:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Informationen über z.B. GmbHs sind somit nicht erfaßt, da es sich hier nicht um natürliche Personen handelt. Die Einzelangaben betreffen jede einzelne Information über eine bestimmbare Person (bspw. Alter, Geschlecht, Name, Kontonummer). Bestimmt oder bestimmbar ist eine Person, wenn sie direkt oder durch Rückschluß eindeutig identifiziert werden kann -Name, Vorname und Geburtsdatum dürften regelmäßig ausreichen. Daraus ergibt sich, daß die Erhebung von anonymen Daten unbeschränkt zulässig ist (z.B. in Form von "Klickstatistiken" bzw. Pageviews). Der Anbieter darf exakt nachhalten, wie lange ein Nutzer eine Seite betrachtet hat und welche Buttons er angeklickt hat - er darf jedoch diese Informationen nicht mit den bspw. aus einem Gewinnspiel stammenden Nutzerangaben zusammenführen, mit denen eine Identifikation des Nutzers möglich wäre - ohne sie hätte der Nutzer schließlich keine Möglichkeit, den gewonnenen Preis auch in Empfang zu nehmen.

Die Architektur der Regelung zum Umgang mit Daten, die sich auf eine bestimmte Person beziehen lassen, ist eindeutig: er ist verboten, sofern nicht eine gesetzliche Erlaubnis oder die Einwilligung des Nutzers vorliegt (s. § 4 I BDSG). Nur unter bestimmten Voraussetzungen ist der Umgang mit Kundendaten erlaubt; regelmäßig werden für die Begründung und Abwicklung eines Vertragsverhältnisses einige Daten benötigt. Für z.B. die Rechnungsstellung können daher alle relevanten personenbezogenen Daten des Kunden erhoben, verarbeitet und genutzt werden. Diese Bestandsdaten finden ihre Verarbeitungsgrenze aber in genau dem Vertragsverhältnis, aus dem sie stammen (s. § 28 I 1. BDSG). Will der Anbieter diese Daten nutzen, um seine Kunden über neue Produkte zu informieren oder Marktforschung zu betreiben, ist die ausdrückliche Einwilligung des Nutzers zwingend.

"... das Verändern personenbezogener Daten derart, daß die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können,..."

6.1 Die Online-Einwilligung.

© 1998-2002 Ulrich Werner