von Christian Bennefeld
Gesetzlich geregelt wird diese Thematik zum Einen im Bundesdatenschutzgesetz (BDSG), das grundlegende Vorgaben zum Umgang mit personenbezogenen Daten macht. Zum Anderen enthält das Telemediengesetz (TMG) spezielle Regelungen für die Erhebung und Verarbeitung von Daten über Telemedien, also auch auf Websites. Die Auslegung dieser Gesetze ist Ländersache und obliegt den Datenschutzbeauftragten der einzelnen Bundesländer. Bisher herrschte bei der Auslegung der Datenschutzgesetze im Bereich des Web-Controllings Uneinheitlichkeit, da die einzelnen Landesdatenschutzbehörden die Gesetzesvorgaben unterschiedlich interpretierten. Das ist nun vorbei.
Datenschutzrechtliche Anforderungen
Nach dem Beschluss des Düsseldorfer Kreises müssen Website-Betreiber bei der Web-Analyse nun folgende datenschutzrechtliche Anforderungen erfüllen:
• Ausschließlich pseudonyme Nutzungsprofile erstellen: Nutzungsprofile von Website-Besuchern dürfen nur unter einem Pseudonym erstellt werden. IP-Adressen sind ausdrücklich keine Pseudonyme.
• Der Hinweispflicht nachkommen: Website-Betreiber müssen die Besucher auf die Erstellung von Nutzungsprofilen sowie über Zweck und Umfang der Datenspeicherung hinweisen.
• Ein Widerspruchsrecht einräumen: Besucher müssen der Erstellung von Nutzungsprofilen widersprechen können. Der Widerspruch muss vom Site-Betreiber wirksam umgesetzt werden.
• Eine strikte Datentrennung einhalten: Pseudonyme und personenbezogene Daten müssen stets getrennt gespeichert werden und dürfen nicht zusammengeführt werden.
• Keine Verarbeitung von IP-Adressen: Die vollständige IP-Adresse darf ohne bewusste, eindeutige Einwilligung des Betroffenen nicht verarbeitet werden. Bereits die Geo-Lokalisierung ist beispielsweise eine illegale Verarbeitung.
• Vorsicht bei IP-Adressen: Bei der vollständigen IP-Adresse handelt es sich um ein personenbezogenes Datum. Ohne Einwilligung des Inhabers darf sie deswegen nicht erhoben oder verwendet werden.
Erwartete Folgen von Verstößen
Der Beschluss des Düsseldorfer Kreises ist zwar rechtlich nicht bindend, aber die Aufsichtsbehörden werden das Gesetz künftig entsprechend ihrem gemeinsamen Beschluss auslegen. Website-Betreibern drohen daher bei Nichtbeachtung der Anforderungen rechtliche Schritte der Aufsichtsbehörden. Dabei können Bußgelder von bis zu 50 000 Euro verhängt und Verbotsverfügungen ausgesprochen werden. Sollte es soweit kommen, steht es jedem betroffenen Unternehmen frei, die Rechtmäßigkeit von einem Gericht prüfen zu lassen. Es ist allerdings wenig wahrscheinlich, dass ein Gericht von dem Beschluss einer so wichtigen und auch sachkompetenten Vereinigung wie dem Düsseldorfer Kreis abweichen wird.
Fakt ist: Website-Betreiber sind gut beraten, die Anforderungen der obersten Aufsichtsbehörden vollständig umzusetzen, wenn sie etwaige Strafen und die damit verbundenen Kosten und Aufwände vermeiden möchten. Alleine der umfangreiche Schriftverkehr eines Prüfungsverfahrens, der schwerlich ohne qualifizierte Hilfe zu bewältigen ist, verursacht oft erhebliche Kosten. Obwohl die Datenschutzbehörden kaum in der Lage sein werden, alle Verstöße zu verfolgen, ist zu erwarten, dass sie zumindest Exempel statuieren. Website-Betreiber sollten die neuen Datenschutzanforderungen bei der Web-Analyse aber auch aus einem ganz anderen Grund ernst nehmen: Datenschutzkonformität und Transparenz sind Verkaufsargumente und wichtige Bausteine für den Online-Erfolg.
Über den Autor:
Christian Bennefeld ist Geschäftsführer (CEO) der Etracker GmbH und verantwortet das gesamte operative Geschäft, den Vertrieb sowie die Unternehmensstrategie.