Datenschutz – im Web viel mehr als nur lästige Pflicht
(von Christian Bennefeld, etracker GmbH)
Vielen Unternehmen, die Online-Kundendaten zu Marketing- und CRM-Zwecken erfassen und verarbeiten, fällt es schwer, sich im Dschungel der gesetzlichen Bestimmungen zu orientieren und sich im Dickicht der Vorschriften datenschutzkonform zu bewegen. Der Hamburger Web-Controlling und Online-Marktforschungs-Spezialist etracker hat deswegen einen praxisorientierten Leitfaden entwickelt, der E Commerce-Anbietern konkrete Handlungsempfehlungen für effektives und rechtlich einwandfreies Datenschutzmanagement auf den Weg gibt. Die folgenden 4 Tipps unterstützen Unternehmen nicht nur beim datenschutzkonformen Umgang mit Online-Kundendaten, sondern sorgen auch für ein adäquates Handling von Datenschutz-Anfragen von Nutzern.
Tipp 1: Gesetzlicher Hinweispflicht nachkommen
Unternehmen müssen ihre Kunden sowohl auf die Erhebung von personenbezogenen Daten hinweisen – dies sind Daten, die Informationen über bestimmte oder bestimmbare Personen bereitstellen – als auch über die Art der erhobenen Daten sowie Art und Umfang ihrer Verwendung. Auch über die Übermittlung an Dritte und die Datenverarbeitung außerhalb Deutschlands müssen Kunden aufgeklärt werden. Diese gesetzliche Verpflichtung zur Unterrichtung ergibt sich aus §13 Abs.1 Telemediengesetz. Zu den Pflichten zählt zudem der Hinweis auf die Speicherung und Weiterverarbeitung von IP-Adressen, denn nach großen Teilen der deutschen Rechtsprechung zählen auch diese zu den personenbezogenen Daten. Diese Ansicht vertritt auch der Düsseldorfer Kreis, die Vereinigung der obersten Aufsichtsbehörden für Datenschutz im nicht-öffentlichen Bereich, in seinem neuesten Beschluss vom 26./27. November 2009. Generell sollten Anbieter auch dann auf die Speicherung von IP-Adressen hinweisen, wenn Namen oder andere persönliche Identifikationsmerkmale nicht mit erhoben werden.
Konkrete Handlungsempfehlung:
Stellen Sie Hinweise zur Datenerhebung und -verarbeitung unter dem Stichwort „Datenschutz“ für den Nutzer sofort erkennbar und transparent auf Ihre Website. Achten Sie darauf, dass diese Hinweise verständlich formuliert und für die Kunden jederzeit abrufbar sind. Verstecken Sie die Hinweise auf keinen Fall in den AGBs oder unter falschen Überschriften. Machen Sie Ihre Kunden auch darauf aufmerksam, wenn Sie ein Web-Analyse System einsetzen, und klären Sie sie genau über den Zweck der Erhebung, den Umfang und die Verwendung der Daten auf.
Tipp 2: Bei der Speicherung und Verarbeitung von IP-Adressen vorsichtig sein
In weiten Teilen der deutschen Rechtsprechung ist es unstrittig, dass IP-Adressen zu den personenbezogenen Daten gehören und Kunden deswegen auf ihre Speicherung und Weiterverarbeitung hingewiesen werden müssen. Nach dem neuesten Beschluss des Düsseldorfer Kreises bedarf die Nutzung der IP-Adresse der ausdrücklichen Zustimmung des Betroffenen. Ein Website-Betreiber handelt bereits dann rechtswidrig, wenn er – ohne Zustimmung des Besuchers – dessen IP-Adressen nutzt, um beispielsweise herauszufinden, wo dieser lokalisiert ist oder welchen Provider und welche Zugangsbandbreite er nutzt. Rechtswidrig ist dies auch dann, wenn der Website-Betreiber die IP-Adressen nicht dauerhaft oder nur verkürzt speichert. Eine Ausnahme liegt vor, wenn die Verarbeitung ein elementarer Bestandteil des Dienstes ist – zum Beispiel um die Inanspruchnahme von Telemedien zu ermöglichen und diese abzurechnen, wie im Fall eines Internetproviders.
Konkrete Handlungsempfehlung:
Seien Sie auch dann vorsichtig bei der Verarbeitung von IP-Adressen, wenn sie diese nicht oder nur verkürzt speichern. Achten Sie bei der Auswahl eines Web Analyse Systems darauf, dass es über Konfigurationsmöglichkeiten verfügt, um die Abfrage beispielsweise von Geo- oder Provider-Informationen über die Besucher zu unterbinden.
Tipp 3: Widerrufs- und Widerspruchsrecht einräumen
Kunden besitzen grundsätzlich bei allen erfassten personenbezogenen Daten das Recht, eine erteilte Einwilligung zur Nutzung dieser Daten für Zwecke der Werbung und Marktforschung zu widerrufen. Außerdem besteht ein Widerspruchsrecht zur Bildung von Nutzungsprofilen, die unter einem Pseudonym für Marktforschungs- und Analysezwecke erstellt wurden. Möchte der Kunde von diesen Rechten Gebrauch machen und nicht länger zu den personenbezogenen bzw. pseudonymisierten Nutzungsprofildaten beitragen, muss der Website-Betreiber dies veranlassen und technisch umsetzen. Dies betrifft insbesondere auch die Löschung vorhandener personenbezogener Daten, soweit sie nicht für die Vertragsbeziehung mit dem Nutzer benötigt werden. Aus datenschutzrechtlicher Sicht ist es daher nicht ausreichend, dem Kunden bestimmte Modifizierungen seines Browsers, etwa das Blockieren von Cookies, vorzuschlagen.
Konkrete Handlungsempfehlung:
Speichern Sie personenbezogene und nicht personenbezogene Daten in separaten Datenbanken. Eine Löschung bzw. Anonymisierung von personenbezogenen Informationen ist dann unproblematisch und schnell umgesetzt. Generell gilt: Je stringenter Sie Ihre Daten organisieren, umso schneller und einfacher können Sie dem Widerspruchsrecht Ihrer Kunden entsprechen.
Damit Nutzungsdaten nicht gespeichert werden, sollten Sie zunächst das Logfile Ihres Webservers abschalten. Dort werden nämlich in der Regel IP-Adressen gespeichert, über die wiederum personenbezogene Nutzungsprofile generiert werden können. Oder Sie sollten das Logfile so umkonfigurieren, dass die IP-Adresse des Nutzers gar nicht aufgeführt wird. Viele Web-Analyse-Anbieter haben weitreichende Methoden, um einen aktiven Ausschluss eines einzelnen Besuchers aus der Datenerfassung sicherzustellen. Bei der Wahl eines Web-Controlling Anbieters sollten Sie auf eine solche Funktion unbedingt Wert legen.
Tipp 4: Datenschutz-Anfragen richtig beantworten
Nutzer haben nach §34 Bundesdatenschutzgesetz ein Auskunftsrecht über die zu ihrer Person gespeicherten Daten. Es ist deswegen sinnvoll – auch angesichts der jüngsten Skandale und der gestiegenen Sensibilität in der Bevölkerung – auf Anfragen gut vorbereitet zu sein und interne Prozesse zur Abwicklung solcher Anfragen zu etablieren.
Konkrete Handlungsempfehlung:
Legen Sie einen konkreten Ansprechpartner bei Fragen zum Thema Datenschutz fest. In Ihrem Unternehmen sollte eine zentrale Stelle, im Idealfall ein betrieblicher Datenschutzbeauftragter, über sämtliche Datenerhebungen und die weitere Verwendung der Daten informiert sein. Für die Nutzer muss auf der Website direkt ersichtlich sein, wer der richtige Ansprechpartner für ihre Fragen ist: Binden Sie deswegen entweder einen direkten E-Mail-Link in die Datenschutzerklärung ein oder stellen Sie Ihren betrieblichen Datenschutzbeauftragten namentlich vor.
Auf Anfragen sollten Sie klare und richtige Antworten geben und auf die Bedenken Ihrer Kunden eingehen – möglichst zeitnah und mit der erforderlichen Offenheit. Verweisen Sie auf Ihre Datenschutzerklärung, wenn alle Fragen darin adäquat beantwortet werden und sie gut sichtbar verfügbar ist. Sprachlosigkeit, unfreundliche und sachlich falsche Antworten oder ein Verweis auf eine Datenschutzerklärung, die keine relevanten Inhalte besitzt, wirken unseriös, unprofessionell und schaden dem Vertrauensverhältnis massiv.
Fazit:
Datenschutz als eine lästige Pflicht anzusehen, ist schon vom Grundsatz her falsch. Vielmehr liegt ein ordnungsgemäßer, transparenter und umsichtiger Umgang mit personenbezogenen Daten auch im eigenen Interesse eines Unternehmens. Denn zum einen sorgt schlechter Datenschutz für Probleme mit Aufsichtsbehörden und Mitbewerbern, zum anderen können kriminell veranlagte oder nachlässige Mitarbeiter oder Dritte dem Unternehmen enormen Schaden zufügen. Und nicht zuletzt gilt: Online-Business ist Vertrauenssache. Ein Anbieter, der intransparent oder gar rechtswidrig mit personenbezogenen Daten umgeht, ist nicht vertrauenswürdig. Transparenz und guter Datenschutz dagegen sind Verkaufsargumente und wichtige Bausteine für den Onlineerfolg – gerade angesichts der jüngsten, publik gewordenen Skandale.
Tipp 1: Gesetzlicher Hinweispflicht nachkommen
Unternehmen müssen ihre Kunden sowohl auf die Erhebung von personenbezogenen Daten hinweisen – dies sind Daten, die Informationen über bestimmte oder bestimmbare Personen bereitstellen – als auch über die Art der erhobenen Daten sowie Art und Umfang ihrer Verwendung. Auch über die Übermittlung an Dritte und die Datenverarbeitung außerhalb Deutschlands müssen Kunden aufgeklärt werden. Diese gesetzliche Verpflichtung zur Unterrichtung ergibt sich aus §13 Abs.1 Telemediengesetz. Zu den Pflichten zählt zudem der Hinweis auf die Speicherung und Weiterverarbeitung von IP-Adressen, denn nach großen Teilen der deutschen Rechtsprechung zählen auch diese zu den personenbezogenen Daten. Diese Ansicht vertritt auch der Düsseldorfer Kreis, die Vereinigung der obersten Aufsichtsbehörden für Datenschutz im nicht-öffentlichen Bereich, in seinem neuesten Beschluss vom 26./27. November 2009. Generell sollten Anbieter auch dann auf die Speicherung von IP-Adressen hinweisen, wenn Namen oder andere persönliche Identifikationsmerkmale nicht mit erhoben werden.
Konkrete Handlungsempfehlung:
Stellen Sie Hinweise zur Datenerhebung und -verarbeitung unter dem Stichwort „Datenschutz“ für den Nutzer sofort erkennbar und transparent auf Ihre Website. Achten Sie darauf, dass diese Hinweise verständlich formuliert und für die Kunden jederzeit abrufbar sind. Verstecken Sie die Hinweise auf keinen Fall in den AGBs oder unter falschen Überschriften. Machen Sie Ihre Kunden auch darauf aufmerksam, wenn Sie ein Web-Analyse System einsetzen, und klären Sie sie genau über den Zweck der Erhebung, den Umfang und die Verwendung der Daten auf.
Tipp 2: Bei der Speicherung und Verarbeitung von IP-Adressen vorsichtig sein
In weiten Teilen der deutschen Rechtsprechung ist es unstrittig, dass IP-Adressen zu den personenbezogenen Daten gehören und Kunden deswegen auf ihre Speicherung und Weiterverarbeitung hingewiesen werden müssen. Nach dem neuesten Beschluss des Düsseldorfer Kreises bedarf die Nutzung der IP-Adresse der ausdrücklichen Zustimmung des Betroffenen. Ein Website-Betreiber handelt bereits dann rechtswidrig, wenn er – ohne Zustimmung des Besuchers – dessen IP-Adressen nutzt, um beispielsweise herauszufinden, wo dieser lokalisiert ist oder welchen Provider und welche Zugangsbandbreite er nutzt. Rechtswidrig ist dies auch dann, wenn der Website-Betreiber die IP-Adressen nicht dauerhaft oder nur verkürzt speichert. Eine Ausnahme liegt vor, wenn die Verarbeitung ein elementarer Bestandteil des Dienstes ist – zum Beispiel um die Inanspruchnahme von Telemedien zu ermöglichen und diese abzurechnen, wie im Fall eines Internetproviders.
Konkrete Handlungsempfehlung:
Seien Sie auch dann vorsichtig bei der Verarbeitung von IP-Adressen, wenn sie diese nicht oder nur verkürzt speichern. Achten Sie bei der Auswahl eines Web Analyse Systems darauf, dass es über Konfigurationsmöglichkeiten verfügt, um die Abfrage beispielsweise von Geo- oder Provider-Informationen über die Besucher zu unterbinden.
Tipp 3: Widerrufs- und Widerspruchsrecht einräumen
Kunden besitzen grundsätzlich bei allen erfassten personenbezogenen Daten das Recht, eine erteilte Einwilligung zur Nutzung dieser Daten für Zwecke der Werbung und Marktforschung zu widerrufen. Außerdem besteht ein Widerspruchsrecht zur Bildung von Nutzungsprofilen, die unter einem Pseudonym für Marktforschungs- und Analysezwecke erstellt wurden. Möchte der Kunde von diesen Rechten Gebrauch machen und nicht länger zu den personenbezogenen bzw. pseudonymisierten Nutzungsprofildaten beitragen, muss der Website-Betreiber dies veranlassen und technisch umsetzen. Dies betrifft insbesondere auch die Löschung vorhandener personenbezogener Daten, soweit sie nicht für die Vertragsbeziehung mit dem Nutzer benötigt werden. Aus datenschutzrechtlicher Sicht ist es daher nicht ausreichend, dem Kunden bestimmte Modifizierungen seines Browsers, etwa das Blockieren von Cookies, vorzuschlagen.
Konkrete Handlungsempfehlung:
Speichern Sie personenbezogene und nicht personenbezogene Daten in separaten Datenbanken. Eine Löschung bzw. Anonymisierung von personenbezogenen Informationen ist dann unproblematisch und schnell umgesetzt. Generell gilt: Je stringenter Sie Ihre Daten organisieren, umso schneller und einfacher können Sie dem Widerspruchsrecht Ihrer Kunden entsprechen.
Damit Nutzungsdaten nicht gespeichert werden, sollten Sie zunächst das Logfile Ihres Webservers abschalten. Dort werden nämlich in der Regel IP-Adressen gespeichert, über die wiederum personenbezogene Nutzungsprofile generiert werden können. Oder Sie sollten das Logfile so umkonfigurieren, dass die IP-Adresse des Nutzers gar nicht aufgeführt wird. Viele Web-Analyse-Anbieter haben weitreichende Methoden, um einen aktiven Ausschluss eines einzelnen Besuchers aus der Datenerfassung sicherzustellen. Bei der Wahl eines Web-Controlling Anbieters sollten Sie auf eine solche Funktion unbedingt Wert legen.
Tipp 4: Datenschutz-Anfragen richtig beantworten
Nutzer haben nach §34 Bundesdatenschutzgesetz ein Auskunftsrecht über die zu ihrer Person gespeicherten Daten. Es ist deswegen sinnvoll – auch angesichts der jüngsten Skandale und der gestiegenen Sensibilität in der Bevölkerung – auf Anfragen gut vorbereitet zu sein und interne Prozesse zur Abwicklung solcher Anfragen zu etablieren.
Konkrete Handlungsempfehlung:
Legen Sie einen konkreten Ansprechpartner bei Fragen zum Thema Datenschutz fest. In Ihrem Unternehmen sollte eine zentrale Stelle, im Idealfall ein betrieblicher Datenschutzbeauftragter, über sämtliche Datenerhebungen und die weitere Verwendung der Daten informiert sein. Für die Nutzer muss auf der Website direkt ersichtlich sein, wer der richtige Ansprechpartner für ihre Fragen ist: Binden Sie deswegen entweder einen direkten E-Mail-Link in die Datenschutzerklärung ein oder stellen Sie Ihren betrieblichen Datenschutzbeauftragten namentlich vor.
Auf Anfragen sollten Sie klare und richtige Antworten geben und auf die Bedenken Ihrer Kunden eingehen – möglichst zeitnah und mit der erforderlichen Offenheit. Verweisen Sie auf Ihre Datenschutzerklärung, wenn alle Fragen darin adäquat beantwortet werden und sie gut sichtbar verfügbar ist. Sprachlosigkeit, unfreundliche und sachlich falsche Antworten oder ein Verweis auf eine Datenschutzerklärung, die keine relevanten Inhalte besitzt, wirken unseriös, unprofessionell und schaden dem Vertrauensverhältnis massiv.
Fazit:
Datenschutz als eine lästige Pflicht anzusehen, ist schon vom Grundsatz her falsch. Vielmehr liegt ein ordnungsgemäßer, transparenter und umsichtiger Umgang mit personenbezogenen Daten auch im eigenen Interesse eines Unternehmens. Denn zum einen sorgt schlechter Datenschutz für Probleme mit Aufsichtsbehörden und Mitbewerbern, zum anderen können kriminell veranlagte oder nachlässige Mitarbeiter oder Dritte dem Unternehmen enormen Schaden zufügen. Und nicht zuletzt gilt: Online-Business ist Vertrauenssache. Ein Anbieter, der intransparent oder gar rechtswidrig mit personenbezogenen Daten umgeht, ist nicht vertrauenswürdig. Transparenz und guter Datenschutz dagegen sind Verkaufsargumente und wichtige Bausteine für den Onlineerfolg – gerade angesichts der jüngsten, publik gewordenen Skandale.