Uahh weblog
Uahh steht für alles und nichts aus der IT

Häufig machen sich Internet-Anbieter über ein so trockenes Thema wie Datenschutz keine oder zu wenig Gedanken. Aber immer, wenn personenbezogene Daten gespeichert und zur Abfrage veröffentlicht werden (auch einem geschlossenen Benutzerkreis zum Beispiel in einem Forum), muss die vorherige explizite Einwilligung der betroffenen Person vorhanden sein.

Da dies vielfach unterschätzt oder bagatellisiert wird, habe ich einmal die wesentlichen Punkte aus dem Bundesdatenschutzgesetz (BDSG) gefiltert und mit anderen Quellen in einen inhaltlichen Zusammenhang gebracht.

Die Beschreibung bei Wikipedia zu diesen Themen sind nicht ganz so trocken wie direkt u.a. im BDSG, leichter lesbar und helfen bei der inhaltlichen Klärung:

Personenbezogene DatenDaten sind personenbezogen, wenn sie eindeutig einer bestimmten Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann.
[...]
Beispiele für personenbezogene Daten:
Klaus Meier hat blaue Augen.
Erika Mustermann besitzt einen VW Golf.
[...]
Ein personenbezogenes Datum muss also nicht zwangsläufig ein körperliches Merkmal der Person sein. Es genügt ein Bezug zwischen der Person und einer Sache, einer anderen Person, einem Ereignis, einem Sachverhalt.

Somit sind alle abrufbaren Angaben wie der Name und zum Beispiel das Datum des letzten Einloggens in ein Forum eben auch personenbezogene Daten.

Der Datenschutz ist immer dann betroffen, wenn diese Daten per EDV gespeichert werden, oder im BDSG-Deutsch

§3 (2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. [...]

Das genau ist die Grenze, warum eine Veröffentlichung von persönlichen Daten in einem Printmedium (zum Beispiel bei Sportergebnissen) nicht unter das BDSG fällt.

Noch ein Auszug zum BDSG aus Wikipedia:

BundesdatenschutzgesetzEin wesentlicher Grundsatz des Gesetzes ist das so genannte Verbotsprinzip mit Erlaubnisvorbehalt. Dieses besagt, dass die Erhebung und Verarbeitung von personenbezogenen Daten im Prinzip verboten ist. Sie ist nur dann erlaubt, wenn [...] die betroffene Personen ausdrücklich (meist schriftlich) ihre Zustimmung zur Verarbeitung gegeben hat.

Und was "Verarbeitung" ist, steht wieder im BDSG:

§3 (4) Verarbeiten ist [...] 3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
a) die Daten an den Dritten weitergegeben werden oder
b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft [...]

Übersetzt gilt dies also gerade auch für im Internet veröffentlichte Daten, die Dritte einsehen können.

Zuletzt die Einwilligungsklausel im BDSG:

§ 4a Einwilligung(1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung [...] hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.

Das führt nun zu meiner ursprünglichen Aussage: zuerst muss eine explizite Einwilligung für eine Internet-Veröffentlichung von persönlichen Daten da sein. Dies könnte bei reiner Online-Datenerfassung (Neuanmeldung in einem Forum) auch im Rahmen einer durch Ankreuzen zu bestätigenden Einwilligung geschehen, muss in diesem Fall also nicht schriftlich sein.

Letztendlich soll dies ein Hinweis an alle sein, die für Dritte einsehbar personenbezogene Daten speichern, denn...

§43 (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig [...]
2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält [...]
(3) Die Ordnungswidrigkeit kann [...] in den Fällen des Absatzes 2 mit einer Geldbuße bis zu zweihunderfünfzigtausend Euro geahndet werden.

Weil auch hier schon wieder ein diskussionswürdiger Begriff genutzt wird, noch eine Erläuterung nachgeschoben:

§10 (5) [...] Allgemein zugänglich sind Daten, die jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts, nutzen kann.

Es muss die selbe Datentiefe wie im zu prüfenden Datenbestand vorhanden sein. Beispiel: die anrufbare Telefonauskunft erlaubt damit auch eine Telefonbuch-CD.

Genug der Theorie und hoffentlich immer viel Spaß im Netz mit den neuen Projekten.