Betreiber von Webseiten hergehört: Wer auf seiner seiner Webseite loggt soll dem Telemediengesetzes zufolge dazu verpflichtet werden über die erfassten Daten Auskunft zu geben. Ein Privacy-Statement bzw. eine Datenschutzbelehrung gehört zwar bei größeren Webseiten auch heute schon zum guten Ton, aber wenn das Telemediengesetz in Kraft tritt, dann ist dies – so wie das Impressum – für alle Webseiten verpflichtend.
Der Wortlaut des entsprechenden Paragraphen §13 im Gesetzentwurfes:
§ 13: Pflichten des Diensteanbieters
(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.
(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass
1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
(3) Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 2 Nr. 4 hinzuweisen. Absatz 1 Satz 3 gilt entsprechend.
(4) Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. der Nutzer die Nutzung des Dienstes jederzeit beenden kann,
2. die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des Satzes 2 gesperrt werden,
3. der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,
4. die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können,
5. Daten nach § 15 Abs. 2 nur für Abrechungszwecke zusammengeführt werden können und
6. Nutzungsprofile nach § 15 Abs. 3 nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können.
An die Stelle der Löschung nach Satz 1 Nr. 2 tritt eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.
(5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.
(6) Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.
(7) Der Diensteanbieter hat dem Nutzer nach Maßgabe von § 34 des Bundesdatenschutzgesetzes auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden.
Mit anderen Worten: Logging vom Webserver aktiv? Du Datenschutzbelehrung oder du tot!
Wie das technisch aussehen soll, ist aber mal wieder nicht so ganz durchdacht. Wenn man das ganz wörtlich nimmt, dann muß ein Besucher einer Webseite ja „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form“ unterrichtet werden (Der Satz ist übrigens ganz toll. Schon mal nachgezählt über wieviele Zeilen hinweg man informiert wird, daß man etwas allgemein verständlich unterrichten soll?).
Ergo: Eigentlich müsste man jedem Besucher der Seite erst mal eine Seite anzeigen, mit der er unterrichtet wird. Unten auf der Seite müsste ein kleines Häkchen „Ich bin einverstanden“ sein und dann ein Button untendrunter mit „OK, lass mich rein“.
In der Praxis ist das natürlich nicht so umsetzbar. Aber wer gar nicht Informiert wird sicher bald einen freundlichen Anwalt in Geldnöten finden, der ihn darauf hinweist.
Und immer dran denken:
§ 1: Anwendungsbereich
(1) Dieses Gesetz gilt für alle elektronischen Informations- und Kommunikationsdienste […] (Telemedien). Dieses Gesetz gilt für alle Anbieter einschließlich der öffentlichen Stellen unabhängig davon, ob für die Nutzung ein Entgelt erhoben wird.
[Update 03.02.2007]
Eine Beispiel-Datenschutzerklärung habe ich gerade im law-blog gefunden…
[Update 19.02.2007]
Scheinbar hat sich an dem Gesetz gar nichts geändert… Also erst mal wieder Entwarnung?