Sonderbestimmungen im Online-Bereich
Literatur:
Johann Bizer, Datenschutz in Telekommunikation und Neuen Medien, in: Gerling (Hg.), Datenschutz und neue Medien, Göttingen 1998, S. 23; Alfred Büllesbach (Hg.), Datenschutz im Telekommunikationsrecht, Köln 1997; Bernd Holznagel u. a. (Hg.), Datenschutz und Multimedia, Münster 1998; Christian Lohse/Dietmar Janetzko, Regulationsmodelle des Datenschutzes am Beispiel von P3P, in: CR 2001, 55; Thomas Müthlein, Datenschutz bei Online-Diensten, RDV 1996, S. 224; Alexander Roßnagel/Johann Bizer, Multimediadienste und Datenschutz, Filderstadt 1995; Wolfgang Schulz, Rechtsfragen des Datenschutzes bei Online-Kommunikation, Expertise im Auftrag der Landesrundfunkanstalt NRW, Düsseldorf 1998.
In § 1 Abs. 3 BDSG ist die Subsidiarität des BDSG normiert: Soweit andere Rechtsvorschriften des Bundes den Umgang mit personenbezogenen Daten regeln, gehen diese dem BDSG vor. Landesrechtliche Datenschutzbestimmungen werden als „andere Rechtsvorschriften" im Rahmen des § 4 Abs. 1 BDSG relevant, soweit sie Erlaubnistatbestände für die Verarbeitung und Nutzung personenbezogener Daten enthalten. Zu beachten ist – abseits tk-spezifischer Tatbestände – z. B. §§ 147, 200 AO, der der Finanzverwaltung die Kompetenz gübt, im Rahmen steuerlicher Außenprüfungen direkt auf die DV-Systeme des Steuerpflichtigen Zugriff zu nehmen.
Für den Online-Bereich sind - neben einzelnen Landesgesetzen, wie z. B. dem Hamburgischen Mediengesetz - vor allem die bereichsspezifischen Datenschutzvorschriften im Telekommunikationsgesetz (TKG) sowie im Teledienstedatenschutzgesetz (TDDSG) und im Mediendienste-Staatsvertrag (MDStV) von Bedeutung.
Datenschutz im TK-Sektor: TKG und TDSV
Literatur:
Billig, Verarbeitung und Nutzung von personenbezogenen Daten für Zwecke der Werbung, Kundenberatung oder Marktforschung, in: NJW 1998, S. 1261; Peter Gola/ Thomas Müthlein, Neuer Tele-Datenschutz - bei fehlender Koordination über das Ziel hinausgeschossen?, in: RDV 1997, 193; Peter Gola, Datenschutz bei Telearbeit - Zur Anwendung von BDSG, TKG, TDDSG, in: RDV 1998, 243; Christian König/Ernst Röder, Die EG-Datenschutzrichtlinie für Telekommunikation – Verpflichtungen auch für Internetdienstleister, in: CR 2000, 668; Thomas Königshofen, Datenschutz in der Telekommunikation, in: ArchivPT 1997, 19; ders., Die Umsetzung von TKG und TDSV durch Netzbetreiber, Service-Provider und Telekommunikationsanbieter, in: RDV 1997, 97; Lanfermann, Datenschutzgesetzgebung - gesetzliche Rahmenbedingungen einer liberalen Informationsgesellschaft, in: RDV 1998, 1; Scherer, Das neue Telekommunikationsgesetz, in: NJW 1996, 2953; Helmut Schadow, Telekommunikationsdienstunternehmen-Datenschutzverordnung (TDSV), in: RDV 1997, 51; Ulrich Wuermeling/ Stefan Felixberger, Fernmeldegeheimnis und Datenschutz im Telekommunikationsgesetz, in: CR 1997, 230.
Das Telekommunikationsgesetz (TKG)836 ist der Nachfolger des früheren Fernmeldeanlagen-Gesetzes (FAG), von dem früher § 12 FAG als strafprozessuale Ermächtigungsgrundlage für Auskünfte über Telekommunikationsvorgänge in strafgerichtlichen Untersuchungen herangezogen wurde837. Die datenschutzrechtlichen Vorschriften des TKG finden sich §§ 85 ff.: § 85 TKG konkretisiert das grundrechtlich garantierte Fernmeldegeheimnis (Art. 10 GG) 838 und erstreckt sich auf den Inhalt und die näheren Umstände der Telekommunikation, „insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war" (§ 85 Abs. 1 TKG). In den sachlichen Anwendungsbereich des TKG fällt gemäß § 3 Nr. 16 TKG jeder technische Vorgang des Aussendens, Übermittelns und Empfangens von Nachrichten jeglicher Art in der Form von Zeichen, Sprache, Bildern oder Tönen mittels Telekommunikationsanlagen. Neben den klassischen TK-Anbietern (insbes. Sprachtelefonie) umfasst der Anwendungsbereich des TKG damit auch die Übermittlung von Emails und jeden sonstigen Online-Datenaustausch (insbes. per Telnet oder FTP), soweit es um den technischen Kommunikationsvorgang geht839.
§ 89 TKG regelt den Datenschutz bei der Erbringung von Telekommunikationsdiensten. Allerdings enthält diese Vorschrift lediglich eine Ermächtigungsgrundlage zum Erlass einer Rechtsverordnung „zum Schutze personenbezogener Daten der an der Telekommunikation Beteiligten, welche die Erhebung, Verarbeitung und Nutzung dieser Daten regeln”840. Eine entsprechende Telekommunikationsdatenschutzverordnung (TDSV) existierte lange Zeit nur in einer alten Fassung, die noch vor Inkrafttreten des TKG auf der Grundlage des PTRegG erlassen wurde841. Diese TDSV a.F.842 blieb jedoch hinter den Regelungsvorgaben des § 89 TKG zurück: Während die TDSV a.F. nur für das gewerbliche Angebot von Telekommunikation für die Öffentlichkeit galt, bezieht sich § 89 TKG auf alle Unternehmen, die „geschäftsmäßig Telekommunikationsdienste erbringen”. Nach der Legaldefinition des § 3 Nr. 5 TKG erfasst die Ermächtigungsgrundlage in § 89 TKG folglich auch nicht-gewerbliche, d. h. nicht auf Gewinnerzielung ausgerichtete Angebote von Telekommunikationsdiensten sowie geschlossene Benutzergruppen843. Insofern bedurfte es einer Neuregelung im Rahmen einer erweiterten Telekommunikationsdatenschutzverordnung (TDSV n.F.), die nunmehr auch für die Telekommunikation in Hochschulnetzen und firmeninternen Intranets gilt. Diese Verordnung ist am 21. Dezember 2000 in Kraft getreten.844
Ebenso wie das allgemeine Datenschutzrecht im BDSG erstreckt sich der bereichsspezifische Datenschutz des Telekommunikationsrechts auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Allerdings sind im TKG die Einzelangaben über juristische Personen, die dem Fernmeldegeheimnis unterliegen, den personenbezogenen Daten natürlicher Personen gleichgestellt (§ 89 Abs. 1 Satz 4 TKG).
§ 89 Abs. 2 TKG enthält, zur Umsetzung durch die TDSV, eine abschließende Aufzählung möglicher Erlaubnistatbestände für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Telekommunikationsbereich. So ist gemäß § 89 Abs. 2 Nr.1 TKG die Datenverarbeitung zulässig, soweit dies zu betrieblichen Abwicklung der Telekommunikationsdienstleitung erforderlich ist, nämlich für
-
die Abwicklung des Vertragverhältnisses (§ 89 Abs. 2 Nr. 1 lit. a TKG): Es ist also die Speicherung der Bestandsdaten, z. B. Name, Anschrift, Nummer des Telefonanschusses bzw. die Email-Adresse oder die statische IP-Adresse im Bereich der Online-Kommunikation zulässig, soweit dies zur Vertragsabwicklung erforderlich ist.
-
das Herstellen und Aufrechterhalten einer Telekommunikationsverbindung (§ 89 Abs. 2 Nr. 1 lit. b TKG): Dieser Erlaubnistatbestand bezieht sich auf die Telekommunikations-Verbindungsdaten845. Da das TKG auch die Email-Kommunikation erfasst, ist auch die Zwischenspeicherung von Emails in POP-Mailpostfächern bzw. in der SMTP-Spooldatei zulässig. Zwar besagt § 89 Abs. 3 TKG, dass grundsätzlich nur die näheren Umstände der Telekommunikation erhoben, verarbeitet und genutzt werden dürfen, jedoch enthält § 89 Abs. 4 TKG eine Ausnahme für die Nachrichteninhalte, deren Verarbeitung aus verarbeitungstechnischen Gründen Bestandteil des Dienstes ist. Damit ist auch die Speicherung und Verarbeitung eingehender Nachrichten bei Mailbox-Diensten, z. B. die Anrufbeantworter-/ Weiterleitungs-Funktion bei Mobiltelefonen, legitimiert.
-
Ermittlung und Nachweis der Entgelte (§ 89 Abs. 2 Nr. 1 lit. c TKG)
-
Störungsbeseitigung und Missbrauchsaufklärung (§ 89 Abs. 2 Nr. 1 lit. d und e TKG): Diese Erlaubnistatbestände sind insbesondere im Online-Bereich problematisch, da aus der gesetzlichen Regelung nicht eindeutig hervorgeht, ob und in welchem Umfang ein Online-Provider die Nutzungsdaten seiner Kunden in Log-Files aufzeichnen darf (dazu unten mehr).
Weitere Erlaubnistatbestände für die TDSV sieht § 89 Abs. 2 TKG in Nr. 2 (Verarbeitung anonymisierter Verbindungsdaten zur Bedarfsplanung) und in Nr. 3 (Einzelverbindungs-nachweis und Anschlussidentifikation bei Droh– und Belästigungsanrufen) vor. Bemerkens-wert ist allerdings, dass einige Erlaubnistatbestände des § 89 Abs. 2 im Gegensatz zum allgemeinen Anwendungsbereich des TKG auf Sprachtelefondienste zugeschnitten sind: So sieht etwa § 89 Abs. 2 Nr.3 lit b) TKG nur die Identifikation des Anschlusses bei bedrohenden oder belästigenden Anrufen vor. Die Identifikation eines Versenders von Spam-Mails durch den Provider des Absenders wird hiervon nicht unmittelbar erfasst.
Das TDDSG und der MDStV
Literatur:
Hans Peter Behrendsen, Die bereichsspezifischen Datenschutzverordnungen für TK-Dienstleistungen, in: CR 1992, 422; Ernst Ob. Brandl/Viktor Mayer-Schönberger, Datenschutz und Internet, in: Ecolex 1996, 132; Alfred Büllesbach, Datenschutz und Selbstregulierung, in: digma 2001, 88; Stefan Engel-Flechsig, Die datenschutzrechtlichen Vorschriften im neuen Informations- und Kommunikationsdienste-Gesetz, in: RDV 1997, 59; ders., Teledienstdatenschutz. Die Konzeption des Datenschutzes im Entwurf des Informations- und Kommunikationsdienstegesetzes, in: DuD 1997, 8; ders., Die datenschutzrechtlichen Vorschriften im neuen Informations- und Kommunikationsdienstegesetz, in: RDV 1997, 51; Roger A. Fischer, Datenschutz bei Mailboxen, in: CR 1995, 178; Ivo Geis, Internet und Datenschutz, NJW 1997, 288; ders., Schutz von Kundendaten im E-Commerce und elektronische Signatur, in: RDV 2000, 208; Rainer Gerling, Betrieb von WWW-Servern – Rechtliche und technische Aspekte, in: IT-Sicherheit 3/2001, 18; Globig, Klaus / Eiermann, Helmut, Datenschutz bei Internet-Angeboten, in: DuD 199, 514; Georgios Gounalakis, Der Mediendienste-Staatsvertrag der Länder, in: NJW 1997, 2993; Renate Hillebrand-Beck/Sebastian Gross, Datengewinnung im Internet, Cookies und ihre Bewertung unter Berücksichtigung der Novellierung des TDDSG, in: DuD 2001, 389; Kröger/Moos, Regelungsansätze für Multimedia-Dienste, in: ZUM 1997, 462; Frank A. Koch, Datenschutz in Datennetzen, in: Lowenheim, Ulrich u. a. (Hrsg.), Praxis des Online-Rechts, Weinheim 1998, Teil 11, S. 549; Marit Köhntopp/Kristian Köhntopp, Datenspuren im Internet, in: CR 2000, 238; Kuch, Der Staatsvertrag über Mediendienste, in: ZUM 1997, 225; Petra Löw, Datenschutz im Internet: eine strukturelle Untersuchung auf der Basis der neuen deutschen Medienordnung, Diss. Tübingen 2000; Boris-Sven Marberg, Kalter Kaffee und faule Kekse - das WWW als Gefahrenquelle für die informationelle Selbstbestimmung, in: iur-PC 1996, 457; Hans-Werner Moritz/Michael Winkler, Datenschutz und Online-Dienste, in: NJW-CoR 1997, 43; Heike Rasmussen, Datenschutz im Internet. Gesetzgeberische Maßnahmen zur Verhinderung der Erstellung ungewollter Nutzerprofile im Web – Zur Neufassung des TDDSG, in: CR 2002, 36; Roßnagel, Alexander, Datenschutz in globalen Netzen, Das TDDSG – ein wichtiger erster Schritt, in: DuD 1999, 253; Alexander Roßnagel/Johann Bizer, Multimediadienste und Datenschutz, Darmstadt 1995; Martin Schallbruch, Electronic Mail im Internet - Wie steht es mit dem Datenschutz?, in: Datenschutz-Nachrichten 5/95, 11; Jochen Schneider, Europäischer Datenschutz und E-Commerce, in: Michael Lehmann (Hg.), Electronic Business in Europa. Internationales, europäisches und deutsches Online-Recht, München 2002, 561; Hans-Hermann Schrader, Datenschutz bei Multimediadiensten, in: CR 1997, 707, Alexander Tettenborn/Stefan Engel-Flechsig/Fritjof Maennel, Das neue Informations- und Kommunikationsdienste-Gesetz, in: NJW 1997, 2981.
Das zum 1. August 1997 in Kraft getretene IuKDG (Informations- und Kommunikationsdienste-Gesetz) enthielt in Art. 2 das Teledienstedatenschutzgesetz (TDDSG). Dieses Gesetz ist inzwischen im Zuge der Umsetzung der Richtlinie zum elektronischen Geschäftsverkehr geändert worden. So gilt seit Anfang 2002 als Art 3 des Gesetzes über rechtliche Rahmenbedingungen des elektronischen Geschäftsverkehrs eine Neufassung des TDDSG.
Dieses Gesetz regelt den Schutz personenbezogener Daten bei der Nutzung von Telediensten i.S.v. § 2 TDG. Zu diesen Diensten zählen insbesondere solche der Individualkommunikation (Telebanking, Email und Datendienste). Die Frage der Abgrenzung zu den Mediendiensten, deren Datenschutzvorgaben im neu verabschiedeten Mediendienstestaatsvertrag geregelt sind, bleibt unklar, ist aber aber angesichts der Übereinstimmungen von MdSTV und TDDSG eher theoretischer Natur.
Die datenschutzrechtlichen Regelungen in BDSG, TDDSG und MDStV gehen einheitlich von den Grundsätzen der Zweckbindung, des Systemdatenschutzes und der Datenvermeidung aus. Der Systemdatenschutz soll bewirken, dass bereits die Systemstrukturen für die Verarbeitung personenbezogener Daten einer datenschutzrechtlichen Kontrolle unterliegen. Durch eine dateneinsparende Organisation der Übermittlung, der Abrechnung und Bezahlung sowie durch die technisch-organisatorische Trennung der Verarbeitungsbereiche soll die Erhebung und Verarbeitung personenbezogener Daten möglichst vermieden werden (vgl. § 4 Abs. 6 TDDSG).
Wie auch im allgemeinen Datenschutzrecht ist die Erhebung und Verarbeitung personenbezogener Daten im Online-Bereich nur zulässig, soweit sie gesetzlich gestattet ist oder der Betroffene einwilligt (§ 3 Abs. 1 TDDSG). Es gilt der Grundsatz der Zweckbindung. Der Betroffene ist über Art, Umfang, Ort und Zweck der Erhebung und Nutzung seiner Daten vor deren Erhebung zu informieren. Auch hat der Nutzer das Recht, die zu seiner Person gespeicherten Daten unentgeltlich - auch auf elektronischem Wege und auch bei kurzfristiger Speicherung der Daten - einzusehen. Die Voraussetzungen für eine wirksame elektronische Einwilligung sind in § 4 Abs. 2 TDDSG ausführlich geregelt. Die Erstellung von Nutzungsprofilen ist nur bei der Verwendung von Pseudonymen zulässig.
Bestands- und Verbindungsdaten werden unterschieden und getrennt voneinander geregelt. Die hierzu einschlägigen Regelungen in § 5 TDDSG sind im wesentlichen selbstevident und sollen hier deshalb nicht im Detail vorgestellt werden846.
Dem Diensteanbieter ist es nunmehr gestattet, Abrechnungsdaten auch für die Aufklärung der missbräuchlichen Inanspruchnahme seiner Dienste zu nutzen, wenn ihm tatsächliche Anhaltspunkte für einen entsprechenden Missbrauchsfall vorliegen (§ 6 Abs. 8 TDDSG). Gestrichen wurden einige Bestimmungen aus dem alten TDDSG, da diese in das BDSG aufgenommen worden sind. Dazu zählen insbesondere die allgemeinen Regelungen zur Datenvermeidung und Datensparsamkeit.
Für die Nutzung von nicht-personenbezogenen Daten, insbesondere Informationen zu den Clients, die ein Online-Angebot abgerufen haben, gilt das bereichsspezifische Datenschutzrecht des TDDSG/ MDStV nicht. Dies ist vor allem bei der Aufzeichnung von Nutzungsdaten in Log-Files, z. B. zur Erstellung von Nutzerprofilen und Abrufstatistiken von Bedeutung847. Personenbezogene Nutzungsdaten sind frühestmöglich, spätestens unmittelbar nach Ende der jeweiligen Nutzung zu löschen, sofern es sich nicht um Abrechnungsdaten i.S.v. § 6 Abs. 4 TDDSG handelt. Nicht-personenbezogene Daten, z. B. reine Maschinenangaben (IP-Adressen), können hingegen für Auswertungszwecke protokolliert werden, sofern kein Rückschluss auf den jeweiligen Nutzer möglich ist 848.
Im übrigen gelten die Regelungen des TDDSG bzw. des Mediendienstestaatsvertrages nur für die Verarbeitung von Nutzerdaten, d. h. der Daten derjenigen, die Teledienste oder Telekommunikationsdienstleistungen nachfragen. Die Verwendung von Daten nicht nutzender Dritter im Online-Bereich ist von den Regelwerken nicht umfasst. Insoweit gelten für Kommunen das Landesdatenschutzgesetz (z. B. Landesdatenschutzgesetz NW), für die Privatwirtschaft §§ 27 ff. BDSG.
Dostları ilə paylaş: |