Grundlagen für Entwickler und Betreiber: Datenschutz auf Websites
Seit der Entstehung des Web vor 19 Jahren hat sich im Bereich Datenschutz eine Menge getan. In den Anfangszeiten der Entwicklung wurde zunächst viel Wert auf die technische Ausgestaltung und weniger auf die Sicherheit der Systeme gelegt. Damals konnte wohl noch kaum jemand abschätzen, welche Gefährdung für den Datenschutz einmal durch die Vernetzung verschiedener Systeme entstehen würde. Die meisten Benutzer des Netzes haben allerdings bis heute nicht erkannt, dass ihre eigenen Daten schützenswert sind. So wird in der Öffentlichkeit zwar vermehrt die zunehmende Überwachung der persönlichen Daten durch staatliche Institutionen diskutiert, selten wird dabei allerdings Kritik am kommerziellen Missbrauch der Daten durch Unternehmen laut.
Dieser Artikel zum Thema Datenschutz zeigt auf, welche gesetzlichen Regelungen zum Schutz der personenbezogenen Daten existieren, welche Konsequenzen sie für den Einsatz von Content Management Systemen haben und welche Lösungsansätze es für datenschutzkonformes Arbeiten gibt. Der Artikel gibt Entwicklern und Nutzern einen Einblick in die rechtliche Welt des Datenschutzes; aufgrund der Vielzahl an Regularien ist die Darstellung allerdings keinesfalls vollständig. Detailliertere Informationen zum Thema Datenschutz gibt es in der Literatur [1] oder durch einen auf Datenschutz spezialisierten Juristen.
Für Nutzer und Entwickler von Content Management Systemen spielen besonders das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG) eine wichtige Rolle, in diesem Artikel wird aber ausschließlich auf die Regularien des BDGS eingegangen.
Welche Daten gelten als „personenbezogen“?
Nach dem Bundesdatenschutzgesetz, § 3 Abs. 1 sind „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ durch das Gesetz geschützt. Von hinten beginnend fällt der Wortlaut „natürliche Personen“ auf; juristische Personen (GmbHs, AGs etc.) sind also vom Schutz durch das Gesetz ausgenommen. Diese Regelung gilt allerdings nicht in allen Ländern, in Österreich sind beispielsweise auch juristische Personen vom Datenschutzgesetz erfasst. Unter „persönliche Verhältnisse“ fallen Angaben, die Informationen über die betroffene Person selbst enthalten. Dazu gehören beispielsweise Name, Anschrift, Geburtsdatum, Konfession, Beruf und Aussehen, aber auch Werturteile, Fingerabdrücke, Röntgenbilder, Fotografien und Angaben auf Fahrtenschreibern. Dagegen beziehen sich die „sachlichen Verhältnisse“ auf Grundstücksbesitz, vertragliche Beziehungen zu Dritten sowie Inhalte von Telefongesprächen mit Dritten. Folglich fallen so ziemlich alle Daten von natürlichen Personen unter das BDSG, die im geschäftlichen Umfeld eine Rolle spielen.
Wann dürfen Daten erhoben und gespeichert werden?
Generell gilt §3a BDSG, der Sparsamkeit bei der Erhebung von Daten vorschreibt. Sollte es dennoch nötig sein, dann muss der Erhebende sich um die Anonymisierung der Daten bemühen.
Wenn auch das nicht in ausreichender Form möglich ist, treten die Regelungen von §4 BDSG in Kraft. Dieser schreibt vor, dass personenbezogene Daten nur erhoben werden dürfen, wenn
- eine andere Rechtsvorschrift oder ein Gesetz dies verlangen (z. B. Kontodaten beim Finanzamt)
- der Betroffene auf die Freiwilligkeit der Angabe seiner Daten, auf die Identität der erhebenden Stelle und mögliche Übermittlungsempfänger hingewiesen wird.
Bei den Hinweisen zum Datenschutz ist zu beachten, dass sie nicht klein und an versteckter Stelle auf der Webseite aufgeführt sind, sondern für den Nutzer gut erkennbar positioniert werden.
Von der Verwendung eines Opt-Out-Verfahrens zur Erlangung der Einwilligung des Betroffenen in die Verarbeitung und Weitergabe seiner Daten sollte unbedingt abgesehen werden. Zum einen begibt man sich als Betreiber einer Website hiermit auf rechtlich sehr unsicheren Boden (vgl. OLG München Az. 29 U 2769/06 vom 28.08.06), zum anderen entsteht leicht ein beträchtlicher Imageschaden.
Wie dürfen Daten ausgewertet werden?
Jede Verarbeitung von Daten in automatisierter Form, darunter fallen alle EDV-gestützten Systeme, sind der zuständigen Aufsichtsbehörde zu melden. Folgende Ausnahmen entheben von der Pflicht zur Meldung:
- Neun oder weniger Mitarbeiter haben Kontakt zu den Daten, und die Daten werden nur zum eigenen Nutzen erhoben.
- Das Unternehmen engagiert einen Datenschutzbeauftragten – dieser muss ab zehn Mitarbeitern, die mit Daten in Kontakt kommen, ohnehin bestellt werden.
Diese beiden Ausnahmen gelten jedoch nicht, wenn die Daten zum Zweck der Übermittlung an Dritte gespeichert werden. Dabei macht es keinen Unterschied, ob die Daten anonymisiert oder nicht anonymisiert erhoben, gespeichert und weitergegeben werden.
Auch wenn ein Unternehmen unter die erste Ausnahme fällt, kann das Engagement eines Datenschutzbeauftragten dazu beitragen, Probleme mit schützenswerten Kundendaten zu vermeiden. Datenschutzdienstleister bieten einen individuell angepassten Service, sodass keine eigenen Mitarbeiter fortgebildet und freigestellt werden müssen. Zudem sind die Kosten bei kleinen Unternehmen für die Dienstleistung nicht sehr hoch. Als Unternehmer sollte man jedoch darauf achten, dass sich der Datenschutzdienstleister im Bereich von CMS gut auskennt.
Wann müssen Daten gelöscht werden?
In §6 BDSG wird dem Betroffenen das unabdingbare Recht zugesprochen, jederzeit die sofortige Löschung seiner Daten zu verlangen. Das speichernde Unternehmen muss dieser Aufforderung dann unverzüglich nachkommen. Sollten die Daten des Betroffenen an mehreren Orten gespeichert sein, beispielsweise in mehreren Geschäftsstellen, so reicht es aus, wenn sich der Betroffene an eine Stelle wendet. Diese hat dafür Sorge zu tragen, dass die Daten auch an allen anderen Stellen gelöscht werden.
Ein besonderer Fall tritt hier bei vielen Content Management Systemen auf, die Nutzerdaten bei einer Abmeldung nicht aus der Datenbank löschen, sondern ein Sperrflag setzen. Eine Sperrung der Daten statt einer Löschung ist nur zulässig, wenn gesetzlich oder vertraglich eine längere Aufbewahrungsfrist geregelt ist oder eine Löschung nur mit unverhältnismäßig hohem Aufwand verbunden wäre. Da das Löschen eines Datenbankeintrags allerdings einen sehr geringen Aufwand darstellt, ist das Setzen eines Sperrflags nicht zulässig. Soll dennoch sichergestellt werden, dass sich beispielsweise ein gelöschter Benutzer nicht erneut anmelden kann, so bietet sich die Verschlüsselung der E-Mail-Adresse mittels MD5 an. Mit Hilfe des gespeicherten MD5-Werts kann durch Vergleich eine Wiederanmeldung verhindert werden.
Der §6 BDSG regelt darüber hinaus, dass jeder Betroffene das Recht hat, Auskunft über seine Daten zu bekommen und Änderungen vornehmen zu lassen. Auch diese Rechte lassen sich nicht einschränken.
Schutz der Daten
Durch §9 BDSG und die dazugehörigen Anlagen legt der Gesetzgeber fest, dass die gesammelten Daten gut zu schützen sind. Er gebietet eine Kontrolle des Zutritts, des Zugangs, des Zugriffs, der Weitergabe, der Eingabe, des Auftrags und der Verfügbarkeit. Zudem muss gewährleistet werden, dass für verschiedene Zwecke erhobene Daten strikt voneinander getrennt gespeichert werden.
Auf die einzelnen Kontrollen soll an dieser Stelle nicht weiter eingegangen werden. Zusammenfassend kann man sagen, dass der Erheber von Daten verpflichtet ist, ausreichend in IT-Sicherheit zu investieren und sich über die aktuellen Richtlinien im Umgang mit sensiblen Daten zu informieren.
Häufiges Problem: Logging von Nutzerdaten
In den meisten Fällen sind die Betreiber von CMS an genauen Übersichten über ihre Besucher- und Zugriffsdaten interessiert. Dafür gibt es zahlreiche Softwarelösungen, die auch bei der Visualisierung der Daten helfen. Diese Datenerhebung ist allerdings nicht immer gesetzeskonform, da die meisten Analysetools die IP-Adresse der Besucher speichern.
In der aktuellen Rechtsprechung gilt eine IP-Adresse als persönliches Identifikationsmerkmal und fällt somit unter das Datenschutzgesetz. Im Falle des Apache-Logs ist das Problem relativ einfach zu lösen, indem per Skript die letzten beiden Bytes der IP-Adresse auf Null gesetzt werden. [2] Problematischer wird es mit Diensten wie Google Analytics. Diese Dienste gestatten zum einen nicht das Anonymisieren von IP-Adressen und übermitteln zum anderen die auf der Kundenhomepage erhobenen Daten an einen Server von Google. Die Übertragung entspricht somit einer nicht zulässigen Übermittlung an Dritte. Google nimmt sich zudem das Recht heraus, die durch Analytics gesammelten Daten auszuwerten und zu analysieren.
Gesteigert wird die Datenschutzproblematik nochmals, wenn der Besucher einer Seite gleichzeitig noch bei Google-Mail angemeldet ist und die Google-Toolbar installiert hat. Google hat so die Möglichkeit, den nun nicht mehr besonders anonymen Nutzer beim Surfen verfolgen zu können.
An dieser Stelle müssen gewerbliche Seitenbetreiber besonders aufpassen, um für diese Vorgänge nicht abgemahnt zu werden. Bis die Rechtslage in Deutschland eindeutig geklärt ist, sollte deshalb möglichst auf den Einsatz von Google Analytics verzichtet werden. Wenn auf den Einsatz von Analytics nicht verzichtet werden kann, so muss der Kunde beim Besuch der Seite vorab seine Zustimmung zur Datenerhebung geben.
Voraussetzungen für Datenschutzbeauftragte
Die Einstellung eines Datenschutzbeauftragten ist hilfreich und wird nach § 4f BDSG sogar zur Pflicht, wenn mehr als neun Personen Kontakt mit den Daten haben. Der bestellte Datenschutzbeauftragte muss allerdings folgende Voraussetzungen erfüllen:
- Er darf nicht zur Geschäftsleitung und nur in begründeten Ausnahmefällen zur IT-Leitung oder Personalleitung gehören.
- Er muss die entsprechenden Fachkenntnisse in Rechtskunde, Betriebswirtschaft und IT mitbringen.
- Er muss vertrauenswürdig sein.
Nach dem Gesetz kann das Unternehmen entweder selber einen Mitarbeiter ausbilden oder einen externen Dienstleister als Datenschützer einstellen. Durch die Ernennung eines externen Datenschutzbeauftragten ergeben sich einige Vorteile für das Unternehmen: So sind die Kosten für die Bereitstellung und Beratungsdienstleistungen vertraglich festgelegt, der besondere Kündigungsschutz für Datenschutzbeauftragte entfällt, es muss kein Mitarbeiter von seiner eigentlichen Arbeit abgezogen werden, und das Unternehmen kann von der Erfahrung des Dienstleisters profitieren.
Auch wenn das Thema im Internet oft vernachlässigt wird: Der Schutz der persönlichen Daten ist ein Grundrecht unserer Gesellschaft und sollte dementsprechend geachtet werden.