Wann dürfen Daten erhoben und gespeichert werden?
Generell gilt §3a BDSG, der Sparsamkeit bei der Erhebung von Daten vorschreibt. Sollte es dennoch nötig sein, dann muss der Erhebende sich um die Anonymisierung der Daten bemühen.
Wenn auch das nicht in ausreichender Form möglich ist, treten die Regelungen von §4 BDSG in Kraft. Dieser schreibt vor, dass personenbezogene Daten nur erhoben werden dürfen, wenn
- eine andere Rechtsvorschrift oder ein Gesetz dies verlangen (z. B. Kontodaten beim Finanzamt)
- der Betroffene auf die Freiwilligkeit der Angabe seiner Daten, auf die Identität der erhebenden Stelle und mögliche Übermittlungsempfänger hingewiesen wird.
Bei den Hinweisen zum Datenschutz ist zu beachten, dass sie nicht klein und an versteckter Stelle auf der Webseite aufgeführt sind, sondern für den Nutzer gut erkennbar positioniert werden.
Von der Verwendung eines Opt-Out-Verfahrens zur Erlangung der Einwilligung des Betroffenen in die Verarbeitung und Weitergabe seiner Daten sollte unbedingt abgesehen werden. Zum einen begibt man sich als Betreiber einer Website hiermit auf rechtlich sehr unsicheren Boden (vgl. OLG München Az. 29 U 2769/06 vom 28.08.06), zum anderen entsteht leicht ein beträchtlicher Imageschaden.
Wie dürfen Daten ausgewertet werden?
Jede Verarbeitung von Daten in automatisierter Form, darunter fallen alle EDV-gestützten Systeme, sind der zuständigen Aufsichtsbehörde zu melden. Folgende Ausnahmen entheben von der Pflicht zur Meldung:
- Neun oder weniger Mitarbeiter haben Kontakt zu den Daten, und die Daten werden nur zum eigenen Nutzen erhoben.
- Das Unternehmen engagiert einen Datenschutzbeauftragten – dieser muss ab zehn Mitarbeitern, die mit Daten in Kontakt kommen, ohnehin bestellt werden.
Diese beiden Ausnahmen gelten jedoch nicht, wenn die Daten zum Zweck der Übermittlung an Dritte gespeichert werden. Dabei macht es keinen Unterschied, ob die Daten anonymisiert oder nicht anonymisiert erhoben, gespeichert und weitergegeben werden.
