Rechtliche Zulässigkeit von Online-Benutzerprofilen – Teil 2

Martin Bahr
Martin Bahr

Dr. Bahr ist Rechtsanwalt in Hamburg und auf das Recht der Neuen Medien und den gewerblichen Rechtsschutz (Marken-, Urheber- und Wettbewerbsrecht) spezialisiert. Neben der reinen juristischen Qualifikation besitzt er ausgezeichnete Kenntnisse im Soft- und Hardware-Bereich. Unter Law-Podcasting.de betreibt er seit 2006 einen eigenen Podcast und unter Law-Vodcast.de einen Video-Vodcast.

Mehr von diesem AutorArtikel als PDF laden

Obgleich die rechtlich einwandfreie Verwendung von Online-Benutzerprofilen ein wichtiges Thema darstellt, ist die Anzahl der leicht verständlichen und nachvollziehbaren juristischen Aufsätze mehr als überschaubar. Diese Lücke will der vorliegende Artikel schließen. Er ist in zwei Teile gegliedert. Im heutigen 2. Teil geht es um die spannende Frage, was beachtet werden muss, wenn Daten zusammengeführt werden sollen.

Teil A: Unterschiedliche Arten von Daten

Im 1. Teil hatten wir drei Arten von Daten kennengelernt:

  • anonyme Daten
    = Informationen, die keiner konkreten Person mehr zugeordnet werden können
  • pseudonymisierte Daten
    = bestimmte Identifikationsmerkmale werden durch ein Pseudonym ersetzt
  • Klardaten
    = sämtliche Daten zu einer Person

Nun stellt sich die spannende Frage, unter welchen Umständen eine Zusammenführung der unterschiedlichen Daten erlaubt und wann sie verboten ist. Bei der Zusammenführung scheiden die anonymen Daten von vornherein aus, denn anonyme Daten können keiner konkreten Person mehr zugeordnet werden, sodass jeder gemeinsame Nenner für eine Zusammenführung ausgeschlossen ist. Bei den pseudonymisierten Daten hingegen ist eine Verbindung jederzeit möglich. Existiert eine Referenzliste, welcher Klarname welcher pseudonymisierten Information zugeordnet ist, können sogar – technisch unproblematisch – Klardaten und pseudonymisierte Daten zusammengeführt werden. 

Daraus ergibt sich nachfolgendes Schaubild:

 

anonyme Daten

pseudonymisierte Daten

Klardaten

 

anonyme Daten

 

 

---

 

---

 

---

 

pseudonymisierte Daten 

 

---

 

 

Zusammenführung

 gesetzlich erlaubt

 

 

nur mit Einwilligung 

 

 

 

Klardaten

 

---

 

nur mit Einwilligung  

 

 

nur mit Einwilligung 

 

Teil B: Wann ist eine Zusammenführung erlaubt?

1. Pseudonymisierte Daten + pseudonymisierte Daten:

Pseudonymisierte Daten dürfen grundsätzlich mit anderen pseudonymisierten Daten zusammengeführt werden, wenn dies zu „Zwecken der Werbung, der Marktforschung oder der bedarfsgerechten Gestaltung“ der Webseiten dient (§ 15 Abs. 3 TMG).

Dabei müssen zwei Voraussetzungen gegeben sein, die wir schon im 1. Teil ausführlich erörtert hatten:

  • Vorliegen eines Speicherungsgrundes
    = Die Speicherung pseudonymisierter Benutzerprofile ist nur für Zwecke der Werbung, der Marktforschung und der bedarfsgerechten Webseiten-Gestaltung erlaubt.
  • Kein Widerspruch
    = Der Nutzer darf der Erstellung des pseudonymisierten Benutzerprofils nicht widersprochen haben. 

Dabei ist es egal, woher diese pseudonymisierten Daten stammen und welchem ursprünglichen Zweck sie dienten.

Beispiel:
Google speichert pseudonymisierte Daten einmal zum Dienst „Google Mail“ und einmal zum Dienst „Text & Tabellen“. Zum 01.03.2012 beschließt Google, beide Dienste zusammenzulegen, und möchte nun auch die gespeicherten pseudonymisierten Daten miteinander verbinden.

Dies ist unproblematisch möglich, da § 15 Abs. 3 TMG dies ausdrücklich erlaubt. Für diese Zusammenführung existiert also eine gesetzliche Grundlage.

Was häufig in diesem Zusammenhang jedoch übersehen wird, ist der im Gesetz nicht ausdrücklich erwähnte Umstand, dass die Daten von ein und demselben Unternehmen stammen müssen. Stammen die Informationen hingegen von unterschiedlichen Anbietern, so greift die Erlaubnisnorm nicht.

Beispiel:
Das Unternehmen Google Inc. speichert pseudonymisierte Daten zu seinem Dienst „Google Mail“. Die Firma YouTube LLC speichert pseudonymisierte Daten zu ihrem bekannten Videoportal. 

Hier ist eine Zusammenführung nicht möglich, da es sich um Daten zweier unterschiedlicher Firmen handelt. Der § 15 Abs. 3 TMG erlaubt jedoch nur die Zusammenführung von Daten eines einzigen Unternehmens.

Spätestens an diesem Punkt stellt sich ohnehin die Frage, woher Google Inc. weiß, dass sein Pseudonym XY identisch mit dem Pseudonym XY der YouTube LLC ist. Hier kommen zwei Möglichkeiten in Betracht:  

Erstens: Google und YouTube legen beide zu Beginn der Nutzung fest, dass eine bestimmte Person ein bestimmtes Pseudonym erhält.

Beispiel:
Google und YouTube informieren sich gegenseitig, dass der Nutzer „Martin Bahr“ das Pseudonym XY hat. Beide Firmen führen fortan das pseudonymisierte Benutzerprofil „XY“ und können sich sicher sein, dass es sich um ein und dieselbe Person handelt.

Eine solche gegenseitige Absprache ist jedoch grundsätzlich unzulässig, denn auch wenn beide Unternehmen zu einem gemeinsamen Konzern gehören, so handelt es sich immer noch um eigenständige Unternehmen. Ohne Nutzereinwilligung darf kein Unternehmen dem anderen mitteilen, dass eine bestimmte Person Kunde bei ihm ist.

Somit bleibt nur die zweite Möglichkeit: Im Rahmen der pseudonymisierten Nutzung erfahren die Firmen, dass ein bestimmter Nutzer beide Dienste nutzt.

Beispiel:
Google erfährt im Rahmen seiner pseudonymisierten Datenspeicherung, dass sein Nutzer A den Dienst YouTube unter dem Pseudonym B nutzt.

Eine solche Information darf Google speichern, da es sich um erlaubte Nutzungsdaten handelt. Gleichwohl berechtigt dies jedoch nicht dazu, die Daten von Google und YouTube zusammenzuführen.

2. Pseudonymisierte Daten + Klardaten:

Das Gesetz verbietet ausdrücklich die Zusammenführung von pseudonymisierten Daten und Klardaten (§ 15 Abs. 3 S. 2 TMG). Dieses Verbot gilt jedoch dann nicht, wenn der Nutzer zu einem späteren Zeitpunkt einer nachträglichen Zusammenführung ausdrücklich zustimmt.

Beispiel:
Facebook speichert einmal Bestandsdaten in Form von Klardaten, also z. B. Vor- und Nachname, Straße, PLZ, Ort und Beruf („Martin Bahr, Mittelweg 41a, 20148 Hamburg, Rechtsanwalt“). Facebook legt nun einen eigenen Datensatz für seine Nutzungsdaten an. Es entfernt alle identifizierbaren Informationen und ersetzt den Namen durch das Pseudonym „00001“. Übrig bleibt somit nur noch „00001, Hamburg, Rechtsanwalt“. Dieser neue Datensatz muss getrennt von o. g. Bestandsdaten gespeichert werden und darf auch zu keinem späteren Zeitpunkt mehr den Bestandsdaten zuzuordnen sein.

Nach dreijähriger Nutzung holt sich Facebook die Einwilligung vom Nutzer, die Daten wieder zusammenzuführen. 

Für eine solche zeitlich spätere Zusammenführung ist es jedoch erforderlich, dass der einwilligende Nutzer vorab ganz genau über Umfang und Inhalt der pseudonymisierten Daten unterrichtet wird. Eine lediglich pauschale Einwilligung in „alle gespeicherten pseudonymisierten Daten“ wird nicht ausreichend sein. Vielmehr muss der Anbieter genau auflisten, um welche Art und welchen Inhalt von Informationen es sich handelt, denn nur so kann der User beurteilen, ob er der Zusammenführung zustimmen will oder nicht.

3. Klardaten + Klardaten:

Die Zusammenführung von Klardaten ist ohne ausdrückliche Einwilligung des Users nicht möglich.Das Gesetz erlaubt zwar an einigen Stellen die Speicherung von Klardaten (z. B. zu Abrechnungszwecken), jedoch nie zu Zwecken der Werbung oder Marktforschung. 

4. Ein Blick in die alltägliche Internet-Praxis:

Wie schon mehrfach betont, stellt die Rechtsprechung an Zustimmungshandlungen kaum erfüllbare Voraussetzungen. Die Konsequenz ist, dass kaum eine der derzeitigen Einwilligungserklärungen rechtskonform und wirksam ist. Für den Betreiber eines Online-Portals bedeutet dies: Hände weg von der Erstellung von Nutzerprofilen mit Klardaten. Wesentlich sinnvoller ist die Verwendung pseudonymisierter Benutzerprofile.

Die tägliche Praxis zeigt freilich ein anderes Bild: Eine Vielzahl von Betreibern setzt gleichwohl auf die (vermeintliche) Wirksamkeit ihrer Einwilligungsklauseln und speichert umfassend sämtliche Daten. Ebenso alltäglich ist es, dass pseudonymisierte Daten in rechtswidriger Weise unternehmensübergreifend zusammengeführt werden. 

Dabei erfolgt ein solches Handeln i. d. R. nicht in böser Absicht. Vielmehr sind die deutschen Datenschutz-Bestimmungen für den Online-Bereich so katastrophal rudimentär und widersprüchlich, dass selbst erfahrene Juristen sich kaum noch einen Überblick verschaffen können.