Drucken

Erhebung von Benutzerdaten zur Profilerstellung

Internet-Unternehmen wollen Daten Ihrer Nutzer zu unterschiedlichen Zwecken erheben und speichern. Aus Sicht des Unternehmens sollen in der Regel so viele Daten, wie möglich, erfasst werden, um möglichst genaue Rückschlüsse auf den Nutzer ziehen zu können. Doch, was ist rechtlich zulässig?

Die Erhebung, Speicherung und Verarbeitung von Daten ist nur im Rahmen der gesetzlichen Vorschriften gestattet, wenn diese dies ausdrücklich erlauben oder der Nutzer ausdrücklich zugestimmt hat. Wesentlich sind dabei einschlägige Vorschriften des Bundesdatenschutzgesetzes (BDSG) und die §§ 11 - 15a des Telemediengesetzes (TMG).

1. Ausdrückliche Zustimmung

Die ausdrückliche Zustimmung des Nutzers zur Erstellung eines nicht-anonymisierten Nutzerprofils berechtigt den Unternehmer zur weitreichenden Auswertung, Speicherung und Erhebung personenbezogener Daten. In der Regel versuchen Unternehmen dies über Allgemeine Geschäftsbedingungen (AGB) zu erreichen. Das Verstecken einer solchen weitreichenden Genehmigung in den AGB wird jedoch regelmäßig von der Rechtssprechung als unzulässig beurteilt. Die ausdrückliche Zustimmung des Nutzers ist erforderlich, die der Nutzer im Regelfall nur mit Gegenleistung erbringen wird.

2. Gesetzliche Erlaubnis

Das Gesetz kennt drei Arten von Daten:

- anonyme Daten

- pseudonymisierte Daten

- Klardaten

Anonyme Daten sind nicht individuell einem Nutzer zuzuordnen. Überwiegend findet man diese Daten im Rahmen vom Tracking bei Bewegungsprofilen, wo z. B. in anonymisierter Form Bildschirmauflösungen, Länderherkunft oder Betriebssystem bzw. Seitenaufrufe gespeichert werden. Es erfolgt keine Speicherung von IP-Adressen oder eine Zuordnung zu einem angemeldeten Nutzer z. B. per Login oder Session-ID.

Pseudonymisierte Daten haben bestimmte Merkmale, um den Datensatz eindeutig zu identifizieren. Ohne die Kenntnis des "Schlüssels" zu diesem Datensatz sind die Daten jedoch nicht einem Nutzer zuzuordnen. Ein solcher Schlüssel kann z. B. eine Kundennummer sein oder eine beliebige Zeichenfolge. Die eigentlichen Daten, die zur Identifizierung führen würden, werden mit einem solchen Schlüssel ersetzt. Nur die erhebene Stelle kann derartige Daten einer Person zuordnen.

Klardaten sind eindeutige Datensätze, die einer Person zweifelsfrei zugeordnet werden können. Nach dem Gesetz sind solche Daten personenbezogene Daten, die Auskunft über die "persönlichen oder sachlichen" Verhältniss einer "natürlichen" Person geben. Dabei kommt es nicht darauf an, ob diese Daten bestimmt oder bestimmbar sind nach dem § 3 Abs. 1 BDSG.

Es sind also nicht nur Wohnort oder das Geburtsdatum personenbezogene Daten, sondern auch eine Zuordnung zu einem bestimmten oder bestimmbaren sachlichen Verhältnis, wie ein Eigentumsverhältnis an einer Immobilie. Es ist ausreichend, wenn die Person herleitbar ist, eine sofortige eindeutige Bestimmung der Person muss nicht gegeben sein.

Es ist strittig, ob z. B. die IP-Adresse zu derartigen personenbezogenen Daten, die also bestimmbar wären, gehört. Die Rechtssprechung hat hier bisher keine eindeutige Tendenz erkennen lassen. Dennoch haben alle bekannten Tracking-Systeme, z. B. Google Analytics oder Piwik, heute die Möglichkeit, die IP aus den zu speichernden Daten zu entfernen, so dass strittige Daten nicht im Rahmen des Trackings erhoben werden.

Wann dürfen Sie welche Daten als Website-Betreiber speichern?

Anonyme Daten dürfen Sie immer erheben und speichern. Piwik und andere Trackingtools speichern derartige Daten und Website-Betreiber nutzen diese regelmässig, um Ihre Angebot zu verbessern oder den Erfolg des Internet-Angebots zu messen.

Was Sie jedoch nicht machen dürfen, ist, aus einem Klardaten-Datensatz anonyme Daten erstellen.

Pseudonymisierte Daten dürfen Sie im Rahmen des § 15 Abs. 3 TMG nutzen. Nach dem Gesetz dürfen Sie diese Daten zu "Zwecken der Werbung", "der Marktforschung" und zur "bedarfsgerechten Gestaltung" des Internet-Angebots nutzen.

Sie dürfen derartige Daten jedoch nur speichern, wenn der Nutzer dem nicht widersprochen hat. D. h., der Website-Betreiber muss den Nutzer zwangsläufig über die Erhebung und Speicherung dieser Daten informieren und dem Nutzer ein Widerspruchsrecht einräumen. Das Zusammenführen dieser Daten mit Klardaten ist nicht erlaubt.

Klardaten sind ohne ausdrückliche Einwilligung des Nutzers nicht zu erheben und auch nicht zu speichern. In der Regel erfolgt die Zustimmung im Rahmen von Abrechnungszwecken mit Zustimmung des Nutzers. Der Unternehmer darf dann diese Daten jedoch nur dafür nutzen und nicht zu Zwecken der Werbung.

Was können Sie als Internet-Unternehmer tun?

Lassen Sie sich von unseren Datenschutzbeauftragten beraten. Es sind Spezialisten im Umgang mit Shopsystemen wie xt:Commerce, Veyton, Magento, Shopware oder Content Management Systemen wie Joomla!, typo3 oder Wordpress. Lassen Sie im Rahmen eines Audits Ihre Webformulare und Ihren Bestellablauf prüfen und fragen Sie uns konkret zu Ihren Marketingmassnahmen und Datenspeicherungen. Wir haben Antworten.

 

 

Nehmen Sie Kontakt mit uns auf.

Gerne beantworten wir Ihre Fragen. Wie können wir Ihnen weiterhelfen?

Bitte geben Sie zur Sicherheit diesen Code ein. Der Code dient der Spambekämpfung und erleichtert uns die Arbeit. Herzlichen Dank!

Weitere Services

  • Bestellung Datenschutzsiegel
  • Antrag Bestellung Datenschutzbeauftragter
  • Zur Schlichtungsstelle Datenschutz
  • Kontakt & Impressum