Datenschutz

Im Internet sind vorrangig die spezialgesetzlich geregelten Normen des TDDSG bzw. §§ 16 ff. MDStV bzw. ab 1. 3. 2007 die §§ 11 ff. TMG einschlägig. Diese Vorschriften zielen nur auf die spezifischen, sich auf den jeweiligen elektronischen Kommunikationsvorgang beziehenden, personenbezogenen Daten des Nutzers. Das Bundesdatenschutzgesetz (BDSG) kommt subsidiär zur Anwendung. Im Grundsatz dürfen personenbezogene Daten (§ 3 I BDSG) nur erhoben, verarbeitet und genutzt werden, soweit dies gesetzlich erlaubt ist oder der Nutzer eingewilligt hat (§ 3 I TDG/§ 17 I MDStV/§ 12 I TMG). Der Personenbezug der betroffenen Daten setzt eine Individualisierbarkeit des Betroffenen voraus. Dies wird bei IP-Adressen sowie E-Mail Adressen für den Access Provider bejaht. Der Nutzer ist vor der Datenerhebung umfassend über deren Art, Zweck und Umfang zu unterrichten (§ 4 I TDDSG/§ 13 I TMG). Die Unterrichtung muss vor Beginn des Verfahrens abrufbar sein. Die Einwilligung durch den Nutzer hat grundsätzlich schriftlich zu erfolgen. Anbietern von Telemedien ist auch gestattet, diese in elektronischer Form einzuholen (§ 3 III TDG/§ 17 III MDStV/§ 13 II TMG). Wirksamkeitsvoraussetzungen einer solchen Einwilligung sind die Sicherstellung, dass sie nur durch eine eindeutige und bewusste Handlung des Nutzers erfolgen kann; dass sie protokolliert wird und ihr Inhalt für den Nutzer jederzeit abrufbar ist (§ 4 II TDG/§ 18 II MDStV/§ 13 II TMG). Die Verwendung des elektronischen Signaturverfahrens wird nicht mehr verlangt. Der Nutzer ist vor Erklärung der Einwilligung über sein jederzeitiges Widerrufsrecht zu unterrichten (§ 4 III TDDSG/§ 18 III MDStV/§ 13 II TMG). Es gelten die Grundsätze der Datenvermeidung und Datensparsamkeit. Die Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Dabei sollen die Möglichkeiten der Anonymisierung und Pseudonymisierung entsprechend genutzt werden. Eine Pflicht zu einer anonymen oder pseudonymen Inanspruchnahme und Bezahlung trifft den Anbieter nur bei technischer Möglichkeit und Zumutbarkeit. Besteht diese Möglichkeit, hat der Diensteanbieter den Nutzer hiervon zu unterrichten (§ 4 VI TDDSG/§ 18 VI MDStV/§ 13 VI TMG).

Es werden Bestands- und Nutzungsdaten unterschieden. Besondere Voraussetzungen und Restriktionen bezüglich der Erhebung, Verarbeitung und Nutzung von Bestandsdaten ohne Einwilligung des Nutzers regelt § 5 TDDSG/§ 19 I MDStV/§ 14 I TMG, diejenige von Nutzungsdaten § 6 TDDSG/§ 19 II ff. MDStV/§ 15 TMG. Das betrifft vor allem die Erstellung von Nutzungsprofilen (§ 6 III TDDSG/§ 19 IV MDStV/§ 15 III TMG) und Abrechnungen (§ 6 II TDDSG/§ 19 III MDStV/§ 15 II TMG bzw. § 6 V 1-3 TDDSG/§ 19 VI 1-3 MDStV/§ 15 V 1, 2 TMG). Zum Zwecke der Marktforschung dürfen nur anonymisierte Daten weitergegeben werden (§ 6 V 4 TDDSG/§ 19 VI 4 MDStV/§ 15 V 3 TMG). Es ist zwischen pseudonymisieren (§ 3 VI a BDSG) und anonymisieren (§ 3 VI BDSG) zu unterscheiden. Sofern der Nutzer keinen Einzelnachweis verlangt, darf die Abrechnung dementsprechende Informationen auch nicht erkennen lassen (§ 6 VI TDDSG/§ 19 VII MDStV/§ 15 VI TMG). Des Weiteren hat der Anbieter die gesetzlich fixierten Verpflichtungen zur Löschung und Sperrung (§ 4 IV Nr. 2 TDDSG/§ 18 IV Nr. 2 MDStV/§ 13 IV Nr. 2 TMG) bzw. die maximal zulässige Speicherdauer bzw. Aufbewahrungsfrist zu beachten (§ 6 VII und VIII TDDSG/§ 19 VIII und IX MDStV/§ 15 VII und VIII TMG). Die dynamisch zugeteilte IP-Adresse des Nutzers muss gelöscht werden, sobald sie für Abrechnungszwecke nicht mehr erforderlich ist (AG Darmstadt, MMR 2005, 634).