- Startseite
- Datenschutz
Datenschutz
Die Spur der Nutzer
Schon beim bloßen Surfen im Internet hinterlassen die Nutzer Datenspuren, die leicht verfolgt werden können, beispielsweise durch den Internet-Provider, Anzeigendienste oder Seitenbetreiber. Diese Spuren können technisch ausgewertet werden, um so genannte Nutzerprofile zu erstellen, die Auskunft über den Nutzer und dessen Surfgewohnheiten und -vorlieben geben.
Aber oft geben Nutzer auch selbst aktiv Informationen preis: Beim Einkauf im Internet oder bei der Anmeldung für Online-Spiele und Webmail-Dienste fragen Anbieter eine Reihe persönlicher Daten ab. Einige Informationen sind für die Abwicklung des Vertrages erforderlich: Ohne Lieferadresse kommt der bestellte Pullover bestimmt nicht beim Käufer an.
Andere Angaben sind aber fast immer unnötig: Hobbys, Einkommen und im Haushalt wohnende Personen haben mit der Vertragsabwicklung nichts zu tun. Manche Anbieter fragen trotzdem danach. Es gibt Angebote, die geradezu davon leben, dass die Nutzer persönliche Informationen preisgeben, Fotos einstellen, Ereignisse kommentieren und diskutieren: Bei Sozialen Netzwerken ist der Austausch von persönlichen Informationen Sinn und Zweck der Mitgliedschaft.
Fakt ist: All diese Informationen werden gesammelt. Aber: Wozu eigentlich? Welche Daten dürfen erhoben werden und was passiert mit ihnen? Welche Auswirkungen kann die Preisgabe von Daten für den Nutzer haben? Wie weit reicht also der Online-Datenschutz in Deutschland?
Allgemeine Information - Was sind meine Rechte?
Nicht so freigiebig!
Die eigenen Daten landen nicht von allein im World Wide Web, der Nutzer gibt sie irgendwann in den Computer ein. Bevor der Verbraucher also fragt „Was geschieht mit meinen persönlichen Informationen da draußen?“, geht es zunächst um den eigenen Umgang mit persönlichen Informationen. Der Grundsatz lautet: So wenig Daten wie möglich preisgeben. Sind die Daten erst einmal in der Welt, beginnt nämlich auch deren Eigenleben.
Sie können so gut wie nicht mehr aus dem Internet entfernt werden, da sie über verschiedene Dienste kopiert und archiviert werden. Doch möchte der Verbraucher an der digitalen Welt teilnehmen, online einkaufen oder bei einem Sozialen Netzwerk mitmachen, muss er über kurz oder lang Angaben zu seiner Person machen.
Nicht in alles einwilligen!
Dabei gilt:
Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist nur dann zulässig, wenn sie durch das Datenschutzrecht oder durch eine andere Rechtsvorschrift wie Landesdatenschutzgesetze oder das Telekommunikationsgesetz erlaubt ist oder eine Einwilligung des Betroffenen vorliegt. Die Einwilligung ist nur wirksam, wenn sie auf einer freien Entscheidung beruht und vorab über den Zweck der Erhebung, Verarbeitung und Nutzung informiert wurde. Das Datenschutzrecht sieht vor, dass Daten grundsätzlich nur im Rahmen des Zwecks, für den sie erhoben wurden, gespeichert und genutzt werden dürfen (so genannter Grundsatz der Zweckbindung). Schließt ein Nutzer im Internet einen Kaufvertrag, so darf der Verkäufer die Lieferadresse zum Beispiel an das Transportunternehmen weitergeben. Das Datenschutzrecht hält sich auch an den Grundsatz der Datensparsamkeit: Es sollen keine unnötigen Informationen erhoben werden.
Welche Daten sind geschützt?
Es gibt zwei relevante Gesetze, die den Datenschutz im Internet regeln. Sowohl das Bundesdatenschutzgesetz (BDSG) als auch das Telemediengesetz (TMG) befassen sich mit dem Schutz personenbezogener Daten.
Das sind letztlich alle Informationen zu persönlichen oder sachlichen Verhältnissen einer Person wie Name, Anschrift und Geburtsdatum, Größe, Haar- und Augenfarbe, Beruf, private Aktivitäten und Beziehungen, also Hobbys, Freundschaften, familiäre Verhältnisse und vieles mehr. Der Begriff ist außerordentlich weit gefasst: Letztlich sind alle Informationen, die etwas über eine bestimmte oder bestimmbare Person aussagen, geschützt. Das meint nicht nur Angaben in Schriftform, sondern auch beispielsweise Bild- und Tonaufnahmen einer Person.
Datenschutzrechtlich noch stärker geschützt sind besondere Arten personenbezogener Daten, nämlich Angaben über die Herkunft, die politische Meinung, religiöse und philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Ob zu den personenbezogenen Daten auch die sogenannte IP-Adresse gehört, eine Adresse, die der Computer automatisch beim Verbinden mit dem Internet erhält, ist in Fachkreisen noch umstritten. Es spricht jedoch einiges dafür.
Was darf der Anbieter fragen?
Das richtet sich danach, welchen digitalen Dienst der Nutzer in Anspruch nimmt und zu welchem Zweck. Bei der Nutzung von Telemediendiensten finden sich spezialgesetzliche Vorschriften im Telemediengesetz (TMG).
Bei Telemedien handelt es sich beispielsweise um Online-Angebote von Waren/Dienstleistungen mit unmittelbarer Bestellmöglichkeit (zum Beispiel Angebote von Verkehrs-, Wetter-, Umwelt- oder Börsendaten, News- groups, Chatrooms, elektronische Presse, Fernseh-/ Radiotext, Teleshopping, Soziale Netzwerke, Online-Spiel-Portale), Online-Dienste, die Instrumente zur Datensuche, zum Zugang zu Daten oder zur Datenabfrage bereitstellen (z. B. Internet-Suchmaschinen) und die kommerzielle Verbreitung von Informationen über Waren-/Dienstleistungsangebote mit elektronischer Post (z. B. Werbe-Mails).
Die Erhebung und Verwendung beziehungsweise die Verarbeitung personenbezogener Daten unterliegen dem allgemeinen datenschutzrechtlichen Grundsatz der Zweckbindung. Das heißt, dass Daten grundsätzlich nur im Rahmen des Zwecks, für den sie erhoben wurden, gespeichert und genutzt werden dürfen.
Bei Kaufverträgen etwa werden unterschiedliche Angaben verlangt, je nachdem, was verkauft worden ist, wer sich am Vertrag beteiligt und wie die Zahlung erfolgen soll. So darf beispielsweise der Betreiber eines Online-Shops die Daten abfragen, die für den Vertragsschluss und die Abwicklung des Vertrages notwendig sind. Das sind grundsätzlich Name und (Liefer-)Adresse, gegebenenfalls die Kontoverbindung.
Der Zweckbindungsgrundsatz findet sich in einigen Datenschutzvorschriften als spezielle Regelung wieder: So darf der Anbieter von Telemedien gemäß § 14 TMG die Bestandsdaten (wie die Grunddaten des Vertragsverhältnisses, also zum Beispiel Name, Anschrift und Rufnummer) nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung des Vertragsverhältnisses erforderlich sind. Die Nutzungsdaten (wie Beginn, Dauer und Umfang der Nutzung) darf der Anbieter nach § 15 TMG nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahmen von Telemedien zu ermöglichen und abzurechnen.
Wie darf der Anbieter die Daten nutzen? Nutzung im Rahmen des Erhebungszwecks
Die Betreiber von Internetseiten müssen darüber aufklären, was mit den erhobenen Daten geschieht. Um den Vertragszweck zu erfüllen, dürfen die Daten grundsätzlich genutzt werden.
Beim Beispiel mit dem bestellten Pullover muss der Verkäufer wissen, mit wem er den Vertrag schließt und an wen er liefern soll. Diese Daten darf er weitergeben, wenn es um die Erfüllung des Vertrages geht. Er darf zum Beispiel ein Unternehmen mit der Lieferung des Pullovers beauftragen und die Adresse in diesem Rahmen weitergeben.
Nutzung zu Werbezwecken
Ein Anbieter darf ohne Einwilligung des Nutzers (das BDSG spricht hier vom „Betroffenen“) die von ihm erhobenen Daten auch für Zwecke der Werbung für eigene Leistungen nutzen, solange unter anderem nicht das schutzwürdige Interesse des Betroffenen entgegensteht und dieser nicht widerspricht. Doch auch eine Datenübermittlung an Dritte für Werbezwecke durch den Anbieter ohne Einwilligung des Nutzers ist in den Fällen der listenmäßig zusammengefassten Daten zulässig.
Zu den listenmäßig zusammengefassten Daten gehören Name, Titel, akademischer Grad, Anschrift, Geburtsjahr, Berufs-/Branchenbezeichnung, Zugehörigkeit einer bestimmten Personengruppe. Das sogenannte Listenprivileg erlaubt es einem Unternehmen, ganze Listen personenbezogener Daten beliebig an Dritte Unternehmen zu verkaufen und einen weiteren Datenpunkt wie Schnäppchenjäger, Öko oder BMW-Fahrer hinzuzufügen.
Allerdings muss für den Betroffenen die Datenherkunft und der Datenempfänger klar erkennbar sein. Das dient dem Ziel, etwaige Rechtsansprüche wie das datenschutzrechtliche Widerspruchsrecht oder Auskunfts- und Löschungsansprüche des Betroffenen besser und gezielter geltend zu machen.
Die Nutzung der Daten zu Werbezwecken im Bereich der Telemediendienste gestaltet sich wie folgt: Soweit der Anbieter die Daten nicht zur Bereitstellung des Telemediendienstes, sondern zu Werbezwecken nutzen will, bedarf es auch hier einer Erlaubnisnorm oder einer Einwilligung durch den Nutzer (§ 12 Abs. 2 TMG). Dies gilt sowohl für die Bestandsdaten, als auch grundsätzlich für die Nutzungsdaten. Für die Verwendung der Nutzungsdaten für Zwecke der Werbung, der Marktforschung und zur bedarfsgerechten Gestaltung der Telemedien ergibt sich allerdings die Besonderheit, dass der Anbieter bei Verwendung von Pseudonymen Nutzungsprofile erstellen darf, soweit der Nutzer dem nicht widerspricht. Auf das Widerspruchsrecht hat der Anbieter den Nutzer hinzuweisen. (§ 15 Abs.3 TMG).
Nutzung für die Markt- und Meinungsforschung
Hinter Umfragen von Markt- und Meinungsforschungsinstituten stecken nicht immer wissenschaftliche Interessen.
Vielmehr dienen diese oft auch dem Sammeln von Informationen, um diese an Dritte zu verkaufen. Zulässig sind die Umfragen unter den engen Voraussetzungen des § 30a BDSG und für Telemedien nach § 15 Abs.3 TMG.
Welche Rechte hat der Verbraucher?
Jeder Betroffene hat das Recht auf Auskunft, Benachrichtigung, Löschung, Einwilligung und Widerspruch, wenn es um die Verwendung seiner persönlichen Daten geht. Außerdem dürfen die Daten grundsätzlich nur für den Zweck verwendet werden, für den sie erhoben wurden.
Die Rechtsansprüche der Betroffenen richten sich hierbei – mangels spezieller Regelungen im TMG – nach dem BDSG, unabhängig von einer etwaigen Nutzung eines Telemediendienstes. In der Praxis lassen sich diese Rechte nicht immer leicht umsetzen. Wenn Daten zu Unrecht erhoben oder weitergegeben werden, erfährt der Betroffene meist nichts davon und kann seine Rechte daher nicht einfordern. Trotzdem ist es gut und wichtig, seine Rechte zu kennen. Denn fallen dem Betroffenen eben doch einmal Unregelmäßigkeiten im Umgang mit den eigenen Daten auf, kann er sich zur Wehr setzen.
Recht auf Benachrichtigung (§ 33 BDSG)
Das Recht auf Benachrichtigung spielt dann eine Rolle, wenn Daten erstmals gespeichert werden, ohne dass der Betroffene davon weiß.
In einem solchen Fall muss ihn die verantwortliche Stelle, also der Anbieter, grundsätzlich darüber benachrichtigen, dass die Daten gespeichert wurden. Tut er das nicht, kann diese Ordnungswidrigkeit mit einem Bußgeld geahndet werden.
Recht auf Auskunft (§ 34 BDSG, § 13 Abs.7 TMG)
Der Betroffene hat das Recht, vom Anbieter zu erfahren, welche Informationen über ihn gespeichert werden und gegebenenfalls woher diese stammen. Er kann Auskunft darüber verlangen, an wen seine Daten weitergegeben wurden.
So kann der Betroffene beispielsweise den Weg seiner Daten nachvollziehen, wenn der Anbieter sie über das so genannte Listenprivileg weitergegeben hat. Außerdem hat der Betroffene ein Recht darauf zu erfahren, zu welchem Zweck der Anbieter seine Daten gespeichert hat. Der Betroffene kann sowohl schriftlich als auch mündlich, also zum Beispiel per Telefon, Auskunft verlangen. Auf Verlangen ist dem Betroffenen die Auskunft in Textform zu erteilen (§ 34 Abs.6 BDSG) oder – beim Auskunftsersuchen nach dem TMG - in elektronischer Form (§ 15 Abs. 7 TMG)
Recht auf Löschung (§35 BDSG)
Grundsätzlich muss der Anbieter ohnehin die personenbezogenen Daten löschen, sobald er sie nicht mehr braucht, um den Zweck der Erhebung und Speicherung zu erfüllen.
Das bedeutet, dass der Anbieter die Daten löschen muss, wenn sie für die Abwicklung des Vertrages nicht mehr benötigt werden. Das Gleiche gilt sinngemäß bei der Teilnahme an Online-Spielen oder Sozialen Netzwerken – wer nicht mehr mitmachen möchte, hat einen Anspruch auf sofortige Löschung der persönlichen Daten. Muss der Anbieter konkret damit rechnen, dass er die Daten etwa im Fall von Schadensersatzansprüchen oder zur Abrechnung noch braucht, darf er sie zu diesem Zweck noch behalten. Die Daten müssen dann aber gesperrt werden. Das heißt, sie dürfen nur noch eingeschränkt genutzt werden.
Einwilligung
Die Erhebung, Nutzung und Verarbeitung beziehungsweise die Verwendung von personenbezogenen Daten ist nur zulässig, wenn sie durch das Datenschutzrecht oder eine andere Rechtsvorschrift erlaubt sind oder eine Einwilligung des Betroffenen vorliegt.
Die Einwilligung ist nur wirksam, wenn sie auf einer freien und bewussten Entscheidung beruht und vorab über den Zweck der Erhebung, Verarbeitung und Nutzung informiert wurde.
In der Praxis versuchen einige Unternehmen, ihren Kunden eine Einwilligung unterzuschieben. Verbraucher sollten daher darauf achten, ob in den Allgemeinen Geschäftsbedingungen oder einem anderen Vertrag derartige Einwilligungsklauseln stehen und diese gegebenenfalls streichen.
Widerspruch
Der Nutzer kann einer Verarbeitung oder Nutzung seiner Daten zu Werbezwecken oder der Markt- und Meinungsforschung widersprechen (siehe auch § 28 Abs. 4 BDSG).
Wenn der Nutzer keine Werbung erhalten möchte, kann er sich auch in die „Robinson-Liste“ eintragen lassen. Diese Liste wurde vom Deutschen Direktmarketing Verband eingerichtet. Wer in ihr notiert ist, erhält zumindest von den Unternehmen keine Werbung, die an diesem Verfahren teilnehmen. Insofern ist diese Liste auch nur beschränkt nützlich, um sich vor unliebsamer Werbung zu schützen. Eintragen kann sich der Nutzer über die Website www.ddv-robinsonliste.de.
In besonderen Einzelfällen kann der Nutzer komplett der Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten widersprechen. Der Widerspruch hat aber nur Erfolg, wenn „das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung und Nutzung überwiegt (§ 35 Absatz 5 Satz 1 BDSG)“. Das ist zum Beispiel der Fall, wenn die Datenverarbeitung den Nutzer in Gefahr bringen würde (Personen mit Sperrvermerk im Melderegister, gefährdete Politiker oder Diplomaten).
Welche Auswirkungen kann die Preisgabe der Daten sonst noch haben?
Datenschutz spielt nicht nur im Verhältnis zwischen dem Anbieter des digitalen Dienstes und dem Nutzer eine Rolle. Gibt der Nutzer Daten ein, kann das in vielerlei Hinsicht weitreichende Folgen haben.
Werbung und Adressdatenhandel
Zahlreiche Anbieter behalten sich in ihren Allgemeinen Geschäftsbedingungen vor, dem Nutzer Werbung für eigene Produkte schicken zu dürfen oder die Daten an Drittunternehmen weiter zu geben. Webmaildienste informieren über spezielle Angebote, Online-Shops über Rabattaktionen.
Darüber hinaus darf der Anbieter nach dem so genannten Listenprivileg Adressdaten und einen weiteren Datenpunkt – zum Beispiel „kauft Babykleidung“ – an andere Unternehmen verkaufen oder vermieten. Das bedeutet, dass der Nutzer zum Beispiel an ihn adressierte Katalogwerbung von einem ihm fremden Unternehmen im Briefkasten finden kann.
Datenklau und Datenmissbrauch
Manchmal gelangen Datensammlungen an schwarze Schafe: So konnte der Verbraucherzentrale Bundesverband über einen Mittelsmann an sechs Millionen illegale Datensätze gelangen, davon vier Millionen mit Kontonummern.
Kundendaten werden gestohlen oder an unseriöse Unternehmen verkauft. Unrechtmäßige Kontoabbuchungen können die Folge sein. In so einem Fall sollte der Nutzer der Abbuchung schnellstmöglich widersprechen. Zahlungsausgänge sollte er anhand seiner Kontoauszüge regelmäßig kontrollieren.
Background Checks
Diese "Hintergrundüberprüfungen" durch potenzielle Arbeitgeber können sich in einem Bewerbungsverfahren sehr negativ auswirken, wenn der Bewerber im Internet tiefe Einblicke gewährt – etwa mit Fotos von durchzechten Nächten, freizügigen Angaben zu Hobbys und Vorlieben und durch den Austausch in Internetforen.
Potenzielle Arbeitgeber suchen im Rahmen so genannter Background Checks zunehmend nach Informationen jenseits des Lebenslaufs und bedienen sich dabei des Internets – kaum ein Bewerber, der hier nicht die eine oder andere Spur hinterlassen hat. Die Recherche bezieht sich dabei auf Informationen, die der Eignung für das Arbeitsverhältnis aus der Sicht des Unternehmens entgegen stehen. Vor allem auf die Seiten der Sozialen Netzwerke wird dabei regelmäßig zugegriffen. Diese Art der Informationsbeschaffung hat in den vergangenen Jahren zugenommen, so dass der Nutzer mit persönlichen Angaben auf Sozialen Netzwerken oder in Foren vorsichtig umgehen sollte.
Identitätsdiebstahl
Diesen gibt es in unterschiedlichen Formen: Bei Sozialen Netzwerken etwa kann der Identitätsdieb die persönlichen Daten einer anderen Person nutzen und unter deren Namen einen Account eröffnen. Um das Ganze realistisch zu gestalten, lädt er vielleicht noch ein Foto hoch, dass er von einer anderen Website kopiert hat, und die Seite schaut täuschend echt aus.
Der Identitätsdieb kann nun Kontakte aufnehmen, Nachrichten verschicken, andere beleidigen und beschimpfen – alles unter fremdem Namen. Erhält der Nutzer hiervon Kenntnis, sollte er den Netzwerkbetreiber umgehend zur Löschung des fraglichen Accounts auffordern und gegebenenfalls Strafanzeige erstatten.
Eine weitere Variante kann durch sorglos gewählte oder gehackte Passwörter auftreten: Hier werden vorhandene Profile übernommen und gegebenenfalls gespeicherte Profildaten wie Kreditkartendaten mit hoher Wahrscheinlichkeit missbraucht oder echte Freunde unter dem eigenen Namen um Geld oder anderweitige Hilfe gebeten. Dies wird umso glaubwürdiger, je mehr Daten dem Nutzer zur Verfügung stehen. Auch deshalb muss gelten: Sorgsam im Umgang mit den eigenen Daten sein!
Phishing
Phishing ist die hinterhältige Art, Passwörter, Kontonummern und andere sensible Daten beim Internetnutzer abzufischen. Die Täter verschicken E-Mails, die in Aussehen und Inhalt denen von Unternehmen und Banken gleichen.
Dabei spekulieren sie darauf, dass der Empfänger der E-Mail auch tatsächlich Kunde dieser Firmen ist und auf die E-Mail reagiert. Mit den Phishing-E-Mails wird auf Probleme mit dem Konto oder andere dringende Angelegenheiten hingewiesen, der Empfänger solle nun auf den Link in der E-Mail klicken. Dahinter steckt allein ein Zweck: Der Nutzer soll durch Klicken auf die betrügerische Website gelangen und dort Benutzernamen, Kontodaten und Passwörter eingeben. Sicherheitssoftware wie etwa ein Antivirenprogramm kann vor Phishing-E-Mails schützen, Verbraucher sollten stets genau hinschauen, ob die angegebene Adresse tatsächlich die der Internetseite ist, die sie aufrufen wollten. Ein @-Zeichen in der aufgerufenen Adresse ist ein fast sicheres Zeichen, dass es sich um einen Phishing-Versuch handelt.
Betroffene Rubriken
Rechtslage und Urteile
Checklisten und Materialien
Musterschreiben Datenlöschung (BDSG)
Ratgeber Datenschutz
