Sieben goldene Regeln des Datenschutzes

Sieben goldene Regeln des Datenschutzes

Blogbeitrag vom

Welche Grundgedanken stehen hinter den Anforderungen, die der Datenschutz an Seitenbetreiber stellt? Sieben goldene Regeln helfen beim Verständnis und bieten Orientierung.

Illu Datenschutz

Datenschutzrecht gilt als kompliziert. In der Tat gibt es kaum ein Rechtsgebiet, das so stark in Bewegung ist wie das Datenschutzrecht. In unserer zunehmend digitalisierten Gesellschaft streiten alle Beteiligten, wie Datenschutz sich in Zukunft entwickeln soll. Datenschutz ist zu einem wichtigen politischen Konfliktfeld geworden, in den konkreten Regelungen scheint der Einfluss vieler unterschiedlicher Lobbyisten durch. Leichter zu verstehen wird das Recht dadurch leider nicht.

Dennoch kann man sich mit ein paar einfachen Grundprinzipien auch im Datenschutzrecht gut zurechtfinden. Wenn man sich die im Folgenden dargestellten „sieben goldenen Regeln“ merkt, hat man zumeist schon eine gute Grundlage. Die sieben goldenen Regeln hat zuerst der Rechtswissenschaftler Johann Bizer ausformuliert, an dem sich diese vereinfachte Darstellung orientiert. Betreiber von Kinderseiten sollten sich in Bezug auf den Datenschutz besonders vorbildlich verhalten. Sie haben zudem die Chance, auch in diesem Bereich ihren Beitrag zur Bildung von Medienkompetenz bei Kindern zu leisten. Die sieben goldenen Regeln helfen dabei.

Vorfrage: Sind die Daten personenbezogen?

Bevor es um die goldenen Regeln selbst geht, muss man sich die Frage stellen, ab wann Datenschutzrecht überhaupt relevant wird, ob dessen Regelungen also zur Anwendung kommen. Um es vorweg zu nehmen, immer dann, wenn man sich diese Frage stellt, lautet die Antwort zumeist: Ja, das kommen sie. Das Datenschutzrecht hat einen weiten Anwendungsbereich, man muss daher aufpassen, zu erkennen, wann es gilt.

Das zentrale Kriterium dafür, dass man sich an das Datenschutzrecht halten muss, ist die Frage, ob man mit „personenbezogenen Daten“ hantiert. Was unter „personenbezogen“ zu verstehen ist, definiert das Bundesdatenschutzgesetz: „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“ (Paragraf 3 Absatz 1 BDSG)

Nummer 1518 aus der Lindenallee? (c) T. HebenstreitEine solche Einzelangabe über eine bestimmte Person kann zum Beispiel sein: Hanna Musterkind wohnt in der Lindenallee 27. Wichtiger ist jedoch das Wort bestimmbar; über seine Interpretation wird unter Juristen gestritten. Wer auf der sicheren Seite sein will, muss sich die Frage stellen: Könnte man – auch wenn man sich mit anderen zusammen tut – herausbekommen, auf wen sich eine einzelne Information konkret bezieht? Etwa dann, wenn die Information lautet: Nutzer Nr. 1518 wohnt in der Lindenallee 27?

Schon Betrieb einer Webseite ausreichend

Wendet man diesen Grundsatz konsequent an, verarbeitet jeder Betreiber einer Webseite personenbezogene Daten und ist an das Datenschutzrecht gebunden. Denn um die Seite abzurufen, muss ein Nutzer technischen Kontakt mit der Seite aufnehmen. Dabei muss er oder sie auch übermitteln, an wen die Informationen der Internetseite übertragen werden sollen. Zu diesem Zweck wird beim Aufruf einer Seite die IP-Adresse des Nutzers übermittelt, eine Ziffernfolge, die seinen Anschluss identifiziert.

Der Seitenbetreiber verfügt nunmehr automatisch und unvermeidlich über die IP-Adresse. Damit verknüpft ist die Information, dass ein Nutzer mit dieser bestimmten IP-Adresse auf eine Seite seines Angebots zugreifen will. Internetanbieter - wie etwa die Telekom - kennen die Verknüpfung zwischen IP-Adresse und dem Anschlussinhaber, unter Umständen auch Onlinedienste wie Facebook oder Google, sofern man dort registriert ist. So entsteht mit jedem Seitenaufruf ein personenbeziehbares Datum, zum Beispiel die (fiktive) Einzelangabe, dass Lukas Musterkind auf www.kinderwebseite.ev zugreifen wollte.

Umgekehrt gilt: Sicher zu stellen, dass Einzelangaben anonym bleiben oder nachträglich anonymisiert werden, kann ausgesprochen schwer sein.

Die sieben goldenen Regeln im Einzelnen

Der Umgang mit personenbezogenen Daten ist natürlich nicht verboten, sonst wäre ein sozialer Austausch in der Gesellschaft nahezu unmöglich. Aber jeder muss sich dabei an bestimmte Regeln halten. Der Webseitenbetreibende ist in diesem Fall die „für die Datenverarbeitung verantwortliche Stelle“ oder, sofern man die Daten für Dritte verarbeitet, ein „Auftragsdatenverarbeiter“.

1. Rechtmäßigkeit

Werden personenbezogene Daten – etwa von einem Seitenbetreiber – verarbeitet, bedarf das nach dem Recht der Europäischen Union stets einer rechtlichen Grundlage. Hierfür gibt es viele verschiedene Möglichkeiten, manchmal auch mehrere gleichzeitig. Oft ergibt sie sich direkt aus dem Gesetz. So darf die IP-Adresse nach dem Telemediengesetz verarbeitet werden, um die Nutzung des Angebotes zu ermöglichen.

Die meisten gesetzlichen Rechtsgrundlagen gelten für Behörden. Doch auch für Kinderseitenanbieter kann sich die Rechtmäßigkeit aus gesetzlichen Bestimmungen ergeben. So dürfen nach dem Bundesdatenschutzgesetz solche Daten verarbeitet werden, die der Erfüllung eines Vertrages dienen.

Eine Kinderseite führt ein Gewinnspiel durch. Ist der Mitspielende mit der Teilnahme am Gewinnspiel einverstanden, kommt ein Vertrag zustande. Rechtsgrundlage für die Erhebung der Daten ist dann die Regelung des Bundesdatenschutzgesetzes unter Berücksichtigung dieses Vertrages. Wie das in der Praxis aussieht, zeigt etwa die Mitmach-Aktion „Frag nach!“ der Seite http://www.wasistwas.de/frag-nach.html. Werden die dort verlinkten Teilnahmebedingungen akzeptiert, wird ein Vertrag geschlossen. Logo wasistwas.de
Beispiel

Das Bundesdatenschutzgesetz gestattet die Datenverarbeitung auch dann, wenn sie den „berechtigten Interessen“ des Datenverarbeiters entspricht. Die Interessen desjenigen, dessen Daten verarbeitet werden, müssen hier mit denen des Verarbeiters abgewogen werden. Im Unterschied zum Vertrag und zur Einwilligung kann das auch ohne Mitwirkung des Betroffenen stattfinden. Das macht die Verarbeitung der Daten aber auch oft intransparent. Kinderseiten sollten daher nur im Ausnahmefall auf diese Rechtsgrundlage zurückgreifen.

Beispiel
Ein Beispiel für eine zulässige Speicherung von personenbezogenen Daten wegen eines berechtigten Interesses ist die Speicherung der IP-Adresse zum Zweck der IT-Sicherheit. Es ist weitgehend anerkannt, dass man für einen Zeitraum von sieben Tagen eine Speicherung dieser Adressen vornehmen darf, um den Datenbestand analysieren zu können, falls etwa ein Angriff auf die Seite stattfindet.

2. Einwilligung

Gibt es keine gesetzliche Grundlage für die Datenverarbeitung, kann auch die ausdrückliche Einwilligung desjenigen, dessen Daten man verarbeiten will, eine Rechtsgrundlage darstellen. Die Datenverarbeitung hat also eine rechtliche Grundlage, wenn der davon Betroffene ihr zugestimmt hat.

Die Einwilligung ist der Idee des Datenschutzrechts zufolge sogar der Normalfall der geforderten Rechtsgrundlage. In der Praxis wird allerdings oft auf das erwähnte „berechtigte Interesse“ oder die Vertragserfüllung zurückgegriffen. Die Einwilligung hat den großen Vorteil, dass sie für den Betroffenen meist die transparenteste Lösung ist.

Auf www.seitenstark.de wird ein Formular zum Versenden von Nachrichten an die teilnehmenden Kinderseiten angeboten, auf Jugend.support ein Formular, um verschiedene Beratungsstellen zu kontaktieren. Die Einwilligungserklärung kann Teil des Formulars sein (siehe Seitenstark), muss aber zusätzlich auch noch an separater Stelle (siehe Jugend.support, PDF) zum späteren Abruf angeboten werden.   Screenshot www.seitenstark.de
Beispiel

3. Zweckbindung

Hat man eine rechtliche Grundlage für die Datenverarbeitung gefunden, müssen weitere Prinzipien beachtet werden. Das Wichtigste dabei ist die Zweckbindung: Die Daten dürfen nur für den Zweck verarbeitet werden, für den man sie erhoben hat.

Eine Kinderseite führt ein Gewinnspiel durch, die Angabe der E-Mail-Adresse dient der Vertragserfüllung (wie oben beschrieben). Die E-Mail-Adresse wird verwendet, um die Gewinnerin zu informieren, dass sie gewonnen hat. Sie darf nicht für andere Zwecke verwendet werden, etwa zum Versand eines Newsletters. Dafür müssten die Teilnehmer extra einwilligen.
Beispiel

4. Erforderlichkeit

Das Gegenstück zur Zweckbindung ist die Erforderlichkeit: Die Daten dürfen nur verarbeitet werden, soweit die Verarbeitung für den jeweiligen Zweck erforderlich ist. Daher gilt auch: Sind alle Zwecke erreicht, sind die Daten zu löschen. Allerdings: Unabhängig vom Datenschutz können Aufbewahrungspflichten bestehen, zum Beispiel für das Finanzamt bei Vertragsunterlagen und Geschäftsbriefen.

Im Fall des erwähnten Gewinnspiels sind die E-Mail-Adressen aller Teilnehmenden zu löschen, wenn die Gewinnerin ermittelt und informiert wurde. Danach ist die Speicherung nicht mehr erforderlich. Unzulässig wäre beispielsweise auch, beim Gewinnspiel nach der Schulbildung der Teilnehmer zu fragen – auch das ist nicht erforderlich.

Ähnliches gilt bei den bereits erwähnten IP-Adressen: Ist ihre Speicherung nicht mehr erforderlich, sind sie zu löschen. Wer aus Gründen der IT-Sicherheit eine Speicherung von sieben Tagen vornehmen möchte, muss sie anschließend löschen – jedenfalls dann, wenn in diesen sieben Tagen kein Angriff auf die Internetseite erkannt wurde.

Beispiel

5. Transparenz

Während die ersten vier Prinzipien darstellen, wann man Daten erheben darf, was man mit ihnen tun darf, was nicht und wann man sie löschen muss, bestehen noch drei weitere, ergänzende Prinzipien. Das erste ist die Transparenz.

Dem Datenschutzrecht liegt das Grundrecht auf informationelle Selbstbestimmung zugrunde. Es besagt: Ich soll wissen können, was über mich bekannt ist. Oder, mit den Worten des Bundesverfassungsgerichts im berühmten Volkszählungsurteil von 1983: „Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung […] nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.“

Das Transparenzprinzip wirkt sich an vielen Stellen im Datenschutzrecht aus. Im Rahmen der Einwilligung muss etwa deutlich dargestellt werden, welche Daten zu welchen Zwecken erhoben werden. Aber auch nach der Erhebung haben der Betroffene Auskunftsansprüche und der Datenverarbeiter Dokumentationspflichten. So muss Betroffenen auf Anfrage Auskunft über die gespeicherten Daten erteilt werden. Wurden Einwilligungserklärungen eingeholt, muss dem Betroffenen der Text der Erklärung zugänglich gemacht werden.

Die Seite Jugend.support macht Einwilligungserklärungen für bestimmte Funktionen auf der Seite am Ende ihrer Datenschutzerklärung gesammelt zugänglich. Logo jugend.support
Beispiel

6. Datensicherheit

Datenverarbeitung findet heutzutage hauptsächlich elektronisch statt. Die klassischen Papierakten sind zwar auch vom Datenschutzrecht erfasst, spielen aber nur noch eine untergeordnete Rolle. IT-Systeme sind aufgrund ihrer Komplexität stets anfällig für Fehler, über die zum Beispiel Unbefugte an Daten gelangen können. Daher entwickeln sich seit vielen Jahren immer genauere Anforderungen, um die Fehleranfälligkeit zu kompensieren und die Sicherheit der Systeme zu erhöhen.

Gleichzeitig werden auch die Angriffe auf technische Systeme immer ausgefeilter. Es findet eine Art Wettrüsten statt. Als Kinderseitenbetreiber ist man leider auch Teil dieses Wettrüstens. Man muss daher sicherstellen, dass man sich angemessen um die Sicherheit seiner IT-Systeme kümmert. Um unbefugte Zugriffe zu verhindern, ist es unter anderem wichtig, Software stets auf dem aktuellen Stand zu halten.

Wer als Kinderseitenbetreiber ein Content-Management-System einsetzt, muss durch Updates sicherstellen, dass stets die bekannten Sicherheitslücken geschlossen sind.
Beispiel

Aber auch Maßnahmen gegen Datenverlust und Datenverfälschung sind zu ergreifen. Zunehmende Bedeutung gewinnt zudem der Gedanke, technische Systeme von vornherein datenschutzfreundlich zu gestalten. Traditionell findet das Ausdruck in der Anforderung, von vornherein möglichst wenig personenbezogene Daten zu erfassen (Datensparsamkeit und Datenvermeidung).

7. Kontrolle

Werden persönliche Daten weitergegeben, ist das für den Betroffenen stets mit einem Kontrollverlust verbunden. Denn letztlich hat er oder sie kaum eine Möglichkeit zu überprüfen, ob die datenverarbeitende Stelle sich auch an die Vorgaben hält. Um das zu kompensieren, sind im Gesetz Datenschutzbeauftragte und Aufsichtsbehörden vorgesehen.

So müssen Unternehmen oder Organisationen ab einem bestimmten Punkt einen eigenen Datenschutzbeauftragten bestellen. Das gilt bei bestimmten Arten und Intensitäten der Datenverarbeitung oder wenn mehr als neun Mitarbeiter ständig mit der Datenverarbeitung befasst sind. Der Beauftragte muss nicht selber Mitarbeiter, sondern kann auch ein externer, fachkundiger Berater sein. Aber auch wenn keine gesetzliche Pflicht besteht, kann es sinnvoll sein, regelmäßigen Kontakt zu einem Experten für den Bereich aufzubauen und zu halten.

Die Datenschutzaufsichtsbehörden haben umfangreiche Befugnisse. Sie dürfen auch ohne Anlass prüfen, ob die Datenverarbeitung rechtmäßig abläuft und Ordnungsgelder bei Verstößen verhängen. Droht eine Gefahr für die Betroffenen, können sie sogar die temporäre Schließung von Angeboten veranlassen.

In kritischen Fällen kann es sich daher empfehlen, den direkten Kontakt zur zuständigen Aufsichtsbehörde zu suchen, um Problemen im Voraus aus dem Weg zu gehen. Eine Liste aller Datenschutzbehörden in Deutschland und von Ansprechpartnern findet sich auf den Seiten des Bundesdatenschutzbeauftragten.

Dieser Text ist im Rahmen der Service-Reihe „Datenschutz auf Webseiten“ in Zusammenarbeit von Seitenstark mit iRights.law Rechtsanwälte entstanden.

 

Creative Commons Lizenzvertrag
"Sieben goldene Regeln des Datenschutzes" von Seitenstark e.V. ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.