HAUSMITTEILUNG Double-opt-in-DatenschutzVon Burkhard Schröder Heute hatte ich ein interessantes Gespräch mit einem Mitarbeiter des Berliner Beauftragten für Datenschutz und Informationsfreiheit. Eine Nutzerin dieses Forums hatte sich vor einigen Wochen beschwert, dass sie den Forums-Rundbrief bekäme, obwohl sie sich auf baader-meinhof.info gar nicht angemeldet hätte. Ich hatte erwidert, das stehe groß und deutlich über beiden Foren zu lesen: "in Kooperation mit". Die Antwort des Datenschutzbeauftragten, die Anlass zu dem heutigen Telefonat gab, sei hier auszugsweise wiedergegeben.
"(...) Aus datenschutzrechtlicher Sicht ist die Tatsache, dass die Anmeldung unter Angabe von Benutzername, E-Mail-Adresse und Passwort bei ihrem WWW-Forum www.burks.de gleichzeitig auch die Anmeldung bei den Foren www.baader-meinhof.info und www.rafifno.de [Letzteres ist kein Forum. B.S.) unter Verwendung derselben Zugangsdaten bedeutet, grundsätzlich nicht zu beanstanden, soweit dies für die Nutzer klar und eindeutig erkennbar ist.
Das hier anwendbare Teledienstedatenschutzgesetz (TDDSG) verpflichtet in § 4 Abs. 1 die Anbieter von Internet-Diensten, den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten zu unterrichten. Damit wird der Nutzer in die Lage versetzt zu entscheiden, ob er das Nutzungs- oder Vertragsverhältnis unter den konkreten Verarbeitungsbedingungen fortsetzen oder abbrechen will, das heißt ob er seine Daten preisgeben will oder nicht. Unter dem Gesichtspunkt der geforderten Transparenz kommt es entscheidend darauf an, dass der Anbieter seine Verwendungszwecke vollständig offen legt und dass die technische Darstellung eine klare und zuverlässige Wahrnehumg durch den Nutzer ermöglicht.
Diese Anforderungen sind nicht ausreichend auf Ihren Webseiten umgesetzt. Der Zusammenhang zwischen den einzelnen Foren ist nicht ohne weiteres für die Nutzer erkennbar. Es muss vielmehr bereits im Rahmen der Anmeldung ausdrücklich darauf hingewiesen werden, dass die Zugangsgdaten für verschiedene Foren verwendet und zu diesem Zweck in einer Nutzer-Datenbank gespeichert werden. Es reicht nicht aus, diese Information den Nutzern erst nach deren Anmeldung per E-Mail zukommen zulassen. Zweckmäßigerweise sollten Sie in ihrem Angebot daher eine Datenschutzerklärung auf der anmedleseite vorhalten, die den Umgang mit den personenbezogenen Daten der Nutzer so konkret wie möglich beschreibt.
Die Verwendung von E-Mail-Adressen zur Versendung eines Newsletters ist nur auf Basis einer informierten Einwilligung des Inhabers der E-Mail-Adresse zulässig. Im Gegensatz zur "Offline-Welt", in der das sog. "Opt-out-Prinzip" (Widerspruchsrecht) gegen personalisierte Briefwerbung gilt, muss der Versender in der "Online-Welt" nach dem "Opt-in-Prinzip" verfahren. Es muss also bereits vor der ersten (werblichen) Nutzung einer E-Mail-Adresse eine entsprechende Willenserklärung des getroffenen Nutzers vorliegen. Die Einwilligung kann unter den Voraussetzungen des § 4 Abs. 2 TDDSG auch elektronisch erklärt werden. Dabei muss sichergestellt sein, dass die Einwilligung nur durch eine bewusste und eindeutige Handlung des Nutzers erfolgen kann, sie protokolliert wird sowie jederzeit vom Nutzer widerrrufen werden kann.
Gesetzeskonform realisiert werden könnte eine elektronische Einwilligung etwa in der Form, dass dem Nutzer die Einwilligungserklärung in einem Bildschirmfenster - etwa im Zusammenhang mit der Anmeldung - anzeigt und er durch Anklicken eines eindeutig beschrifteten Kontrollkästchens (Klickbox) bestätigt, dass er mit dem Erhalt des Newsletters einverstanden ist. Nicht ausreichend ist es demgegenüber, wenn - wie derzeit in Ihrem Angebot praktiziert - erst mach Versenden der ersten E-Mail auf die bloße Möglichkeit des Abbestellens hingewiesen wird.
Ferner empfehlen wir das sog. "Double-opt-in"-Verfahren, bei dem an den Nutzer nach Eingabe seiner E-Mail-Adresse auf einer WWW-Seite zunächst eine Bestätigungsmail versandt wird, die vom Inhaber der Adresse nochmals zurückgeschickt werden muss, damit die Einwilligung als erteilt, der Newsletter als bestellt gilt. Diese Methode ist besonders datenschutzfreundlich, da auf diese Weise gewährleistet werden kann, dass die E-Mail-Adresse authentisch ist und nicht von einem unberechtigten Dritten missbräuchlich im WWW angegeben wurde."
Im Gespräch wurde geklärt, dass der Forums-Rundbrief, der ca. alle zwei Wochen verschickt wird, kein "Newsletter" im Sinn des Wortes ist und auch nicht "wirbt", sondern die "eingebaute" technische Möglichkeit des Admins eines Forums ist, die registrierten NutzerInnen zu informieren. Wer sich angemeldet, wird vom Admin angemailt. Das lässt sich auch nicht ausstellen. Die Registrierungs-Websiten beider Foren enthalten jetzt aber den Satz:
"Du stimmst zu, dass die im Rahmen der Registrierung erhobenen Daten in der gemeinsamen Datenbank der kooperierenden Foren auf burks.de (www.spiggel.de) und rafinfo.de (www.baader-meinhof.info) gespeichert werden und dass du ca. alle zwei Wochen einen gemeinsamen Foren-Rundbrief erhältst."
Somit ist wieder alles in Butter. Ich vermute aber, dass zahllose andere deutschsprachige Foren und Websites exakt dieses - aus der Sicht des Datenschutzes - bedenkliche Problem haben und ihr Registrierungsformular ändern müssten. | |