Webseiten und Datenschutz - ein paar grundsätzliche Infos

[Jokai olvaso]

Nach meiner Anregung in diesem Thread den Datenschutzhinweis der besprochen Seite zu überarbeiten, habe ich mich (nicht zuletzt wegen der Anmerkung von Thomas) dazu entschlossen, hier mal ein paar Informationen über die datenschutzfreundliche Gestaltung von Webseiten, bzw. die Pflichten des Seiteninhabers zusammen zu stellen.

Dies stellt ausdrücklich keine Rechtsberatung dar, sondern fasst nur allgemein erhältliche Informationen zusammen!

Kurz zu meiner Person: ich bin geprüfter, fachkundiger Datenschutzbeauftragter (DSB) nach dem Ulmer Modell. Darüber hinaus bin ich als Dozent in der DSB-Ausbildung der Ulmer Akademie für Datenschutz udis gGmbH tätig, allerdings im Bereich IT-Sicherheit (bezogen auf den Datenschutz).
Die Links im vorherigen Absatz sollen keine Werbung darstellen, sondern dienen lediglich des besseren Verständnisses.
Ja, die Udis-Webseite ist recht veraltet und nicht wirklich standardskonform, darauf habe ich aber keinen Einfluss.

Was gibt es nun also zu beachten?

Ganz prinzipiell sind für den Bereich "Webseite" drei Gesetze wichtig. Zum Einen das Bundesdatenschutzgesetz (BDSG) und zusätzlich - abhängig von der jeweiligen Webseite - der Mediendienste Staatsvertrag (MeDStV) bzw. das Teledienstedatenschutzgesetz (TDDSG), allerdings unterschieden sich MeDStV und TDDSG im Bezug auf den Datenschutz nicht gravierend (soweit es hier von belang ist - daher werde ich im folgenden keine Unterscheidung machen, im konkreten Einzelfall sollte man natürlich die entsprechenden Gesetzestexte zu rate ziehen).

Da sich der Text doch länger wurde, als ursprünglich gedacht, habe ich unten nochmals eine Art Zusammenfassung angehängt, wo das Wichtigste nochmals kompakt dargestellt wird.

Ganz generell möchte ich zwei Arten von Webseiten unterscheiden.

• Seiten ohne Login bzw. individuelle Besucher-Sessions
• Seiten mit Login, bzw. mit der Erhebung von Kunden- oder Besucherdaten

Zu 1. zähle ich alle Seiten, die ohne userspezifische Cookies arbeiten und sonst keinerlei Daten durch aktives Zutun des Benutzer erheben. Hier sind die meisten Vorgaben des Datenschutzes automatisch erfüllt - einfach weil keine Daten anfallen bzw. gespeichert werden.

Als Betreiber der Webseite muß bedacht werden, dass TDDSG und MedStV eine Speicherung von personenbezogenen Daten nur insofern zulässig sofern sie zu Abrechnungszwecken erforderlich ist TDDSG §6 (1) bzw. MedStV §19 (2). Das Problem hierbei ist, dass eine IP-Adresse durchaus ein personenbezogenes Datum sein kann. Solange keine weiteren Daten des Besuchers erhoben werden sind dynamisch vergebene IP-Adresse zwar als ausreichend pseudonymisiert anzusehen, nicht aber statische IP-Adressen. Aus diesem Grund ist eine Mitloggen der Besucher (wie's ja auf fast jeder Seite stattfindet) und anschließende Auswertung der Logs per Webalizer und Co nicht ganz unproblematisch.

Anders sieht es bei der 2. Kategorie aus. Hier ist man als Betreiber auf jeden Fall gezwungen gewisse Anforderungen des Datenschutzes zu berücksichtigen, desweiteren haben die Nutzer der Webseite als Betroffene (im Sinne des Datenschutzes) gewisse Rechte, die es zu beachten gilt. Dies sollte man auch schon bei der Gestaltung einer solchen Webseite bedenken, um dem Auftraggeber später die Arbeit zu erleichtern.

Der Einsatz von Cookies mit eindeutig identifizierenden IDs sollte genau überlegt werden, Session IDs sind dagegen unproblematisch, da diese ja am Ende einer Surfsitzung wieder gelöscht werden. Folgt man hier allerdings wieder ganz streng dem Wortlaut des TDDSG bzw. MedStV müßte man eigentlich eine Seite mit einer Datenschutzerklärung vorschalten, um den Besucher VOR dem Betreten der Seite (und setzen von Cookies) darüber zu informieren, dass sein Surfverhalten auf der Seite verfolgt wird. Eine solche Protokollierung ist nur dann erlaubt, wenn es zu Abrechnungszwecken dient, was wohl bei den meisten Seiten keine Rolle spielt. Auch ist es nicht erlaubt präventiv Daten zu speichern, um einen etwaigen Mißbrauch zu verhindern. Dies ist erst bei "zu dokumentierenden tatsächlich [vorliegenden] Anhaltspunkten" erlaubt.

Pseudonymisierung

Aber jetzt mal zu den wirklich wichtigen Punkten. Bietet man Angebote auf der Seite an, die einen Login erfordern, so ist die Nutzung selbiger Angebote auch in pseudonymer Form ermöglichen - so weit zumutbar. Nun ist es zwar möglich, z.B. Foren in anonymer Form zu nutzen, jedoch (und dies ist ja eigentlich entscheidend) ist dem Forenbetreiber immer noch ein personenbezogenes Datum bekannt: die E-Mail-Adresse. Zwar ist eine E-Mail-Adresse zur Anmeldung nötig, jedoch ist es nicht nötig, diese auf Seiten des Betreibers zu speichern, so könnte beispielsweise - ähnlich wie bei Passwörtern üblich, einfach eine Hash der E-Mail-Adresse zu hinterlegen. So sind Doppelanmeldungen unter einer E-Mail-Adresse ausgeschlossen, und gleichzeitig gewährleistet, dass der Zugriff in pseudonymisierter Form erfolgen kann (mal abgesehen vom Problem der IP-Adressen). Großer Nachteil ist natürlich der "Komfort-Verlust" für den Anwender, da eine einfache Passwort-Wiederherstellung durch Zusenden des Passwort per E-Mail nicht mehr möglich ist. Allerdings widerspricht so eine Methodik ohnehin jedem Sicherheitsgedanken.

Erhebung von personenbezogenen Daten

Webseiten, die weitere personenbezogene Daten erheben, wie z.B. Shop-Systeme, unterliegen hierbei einer strikten Zweckbindung. Sprich: die Daten dürfen nur solange gespeichert werden, solange sie für den erhobenen Zweck benötigt werden (also z.B. bis der Kunde die Lieferung vollständig bezahlt und erhalten hat), danach müssen diese gelöscht werden, es sei denn der Kunde hat einer weiteren Speicherung explizit zugestimmt (dies implizit vom Kunden zu verlangen ist nicht zulässig). Gleiches gilt für die Zweckbindung. Die erhobenen Daten dürfen nur für den eigentlichen Zweck, für den sie erhoben wurde (bei einem Shop also typischerweise zur Abrechnung und Zulieferung) genutzt werden. Andere Zwecke, wie Zusenden eines Newsletters erfordern wiederum die explizite Zustimmung des Kunden. Eine Übermittlung an Dritte (z.B. Werbepartner) ist ebenfalls nur nach Einwilligung des Kunden möglich.
Eine explizite Zustimmung zum Empfang eines Newsletter könnte beispielsweise eingeholt werden, indem man bei der Anmeldung eine entsprechende, zusätzliche, Option zum anklicken gibt. Wichtig hierbei ist, dass diese Option nicht vergewählt sein darf!

Rechte des Betroffenen

Gleichzeitig steht dem Betroffenen (der Person, der die Daten gehören) ein Auskunftsrecht zu, dies ist ein unabdingbares Recht, dass der Betroffene auch nicht durch Einwilligung abtreten kann. Macht ein Betroffener Gebrauch von seinem Auskunftsrecht, so muß der Betreiber (gemäß §34 (1) BDSG) Auskunft über alle zur Person gespeicherten Daten erteilen, Empfänger der Daten (wichtig bei Übermittlung an Dritte!), sowie dem Zweck der Speicherung (kritisch, da wie oben beschrieben eine Speicherung nur zweckgebunden und zeitnah erlaubt ist). Dies Auskunft hat unentgeltlich zu erfolgen, und ist an keine besondere Form gebunden (d.h. will jemand stressen fordert er eine schriftliche Auskunft per Brief an, und muß diese dann auch erhalten).
Darüberhinaus hat der Betroffene das Recht auf Berichtigung, Löschung und Sperrung seiner personenbezogenen Daten. Berichtigung dürft allgemein klar sein. Sind falsche Daten gespeichert, müssen diese natürlich korrigiert werden. Desweiteren hat der Kunde das Recht auf Löschung. Werden Daten noch gespeichert, obwohl sie nicht mehr für den Zweck zu dem sie gespeichert wurden erforderlich sind, so müssen diese gelöscht werden. Das Gleiche gilt wenn der Betroffene seine Einwilligung zurückzieht (dies kann ein Betroffener jederzeit machen!). Ist eine Löschung keine Garantie, dass die schutzwürdigen Interessen des Betroffenen geschützt werden können, kann anstelle einer Löschung eine Sperrung treten. Dies ist z.B. der Fall wenn jemand der Zusendung eines Newsletters an seine E-Mail-Adresse widerspricht. Will man als Betreiber auf Nummer sicher gehen, ist die Adresse in der eigenen Datenbank als gesperrt zu hinterlegen. Würde sie gelöscht, könnte es wiederum zu einer Zusendung kommen (wenn z.B. ein Dritter die Adresse einträgt). Also sollte ein vernünftiges System eine entsprechende Option zur Sperrung von Kundendaten beinhalten.

Motivation / Konsequenzen

Dies wären in etwa die wichtigsten Belange, die man bedenken sollte. Nun wird sich sicher der Eine oder Andere fragen, was man davon hat, sich entsprechend der Datenschutzgesetzgebung zu verhalten. Nun, es steht dem Betroffenen zu, die Aufsichtsbehörden einzuschalten, wenn er den Eindruck hat, dass mit seinen personenbezogenen Daten nicht richtig umgegangen wurde. Daraufhin kann die Aufsichtsbehörde eine Kontrolle der eingesetzten Verfahren anordnen, und eine entsprechende Änderung der Vorgehensweise anordnen. In schwerwiegenden Fällen kann auch ein Bußgeld verhängt werden (§43, §44 BDSG). Dies kommt aber in der Praxis nur in Ausnahmefällen vor. Im Hinblick auf Kontrollen sind die nördlichen Bundesländer (ganz besonders Schleswig-Holstein) auch um einiges aktiver als z.B. Bayern oder Baden Württemberg, einfach weil hier die personelle Ausstattung deutlich schlechter ist.

Hinzukommt noch, dass das Bewußtsein für Datenschutz in Deutschland (wo 90% der Leute eine Kundenkarte haben...) absolut unterentwickelt ist. Wirklich befürchten muß man also eigentlich nichts.

Allerdings hat der Datenschutz (im Gegensatz zur CSS-Konformität...) Grundrechtscharakter. In der zukünftigen EU-Verfassung ist Datenschutz ein fest verankerter Bestandteil der Verfassung. Daher sollte man - meiner Meinung nach - zumindest ein paar Grundüberlegungen beim Erstellen einer Webseite berücksichtigen.

Zusammenfassung:

• es gilt das Gebot der Datensparsamkeit und Datenvermeidung
• der Nutzer muß über die Speicherung von personenbezogenen Daten und die Art der Daten vorab informiert werden
• Anmeldepflichtige Dienste müssen - wenn technisch machbar - auch pseudonymisiert nutzbar sein
• die Einwilligung des Nutzers muß explizit eingeholt werden, und der Nutzer ist zu informieren, welche Konsequenzen eine Verweigerung hat
• bei der Planung einer Webseite mit Anmeldediensten sollten die Rechte des Betroffenen (auf Auskunft, Berichtigung, Löschung und Sperrung) berücksichtigt werden

Handelt es sich um ein größeres Projekt kann ich nur empfehlen einen Rechtsanwalt oder qualifizierten Datenschutzbeauftragen hinzu zu ziehen. Der DSB, sofern er über eine vernünftige Ausbildung verfügt, hat normalerweise den Vorteil, dass er sich auch mit den Tücken der Technik auskennt (und tendenziell günstiger als ein Rechtsanwalt ist). Dennoch lohnt sich so etwas natürlich nur bei wirklich großen Projekten mit entsprechendem Budget (und zu erwartender großer Nutzerschicht).

Der momentanen Datenschutzgesetzgebung als Webseite-Betreiber vollständig gerecht zu werden, ist sicherlich nicht einfach, dennoch sollte man sich wenigstens bemühen und nicht Seiten wie eBay (Details) oder Amazon zum Vorbild nehmen.

V0.15 [25/01/05]

Rückfragen, Ergänzungen, Schreib-, Tipp-, Grammatik- und sonstige Fehler bitte an mich herantragen.

[Thomas]

wow, das ist 'ne Menge Input

aber:

ich stelle mir dann ernsthaft die Frage, warum soll ich diese sicherlich sinnvollen und richtigen Vorschriften beachten und mir ggf. Kunden z.B. in meinem Shop vergraulen, in dem ich sie mit Datenschutzbestimmungen volllabere?

Tut kein anderer Shop, kein Mitbewerber ... interessiert anscheinend einfach kaum jemanden, auch die Justiz nicht, sonst würde sie ja tätig werden
(Verstoß ist wahrscheinlich ein Offizialdelikt, insofern sollte die Justiz selbstständig tätig werden, wenn sie von Verstößen mitbekommt)

Das Volk/der Kunde/der Fußballfan interessiert sich doch nun mal gar nicht für Datenschutz

klicken, kaufen, glücklich sein ...

wenn ich mir so die Eintrittskarten zur Fußball-WM in Deutschland(!!!) unter diesem Gesichtspunkt anschaue ... ich bin mir sicher, dass die trotzdem verkauft werden wie blöde ...

ein paar Links aus der ersten Seite Google-Treffer dazu:

www.netzeitung.de/sport/wm2006/322007.html
www.golem.de/0501/35795.html
http://sport.rtl.de/sportartikel/fus...507_552248.php

habe in der taz die Tage einen ausführlichen Artikel dazu gelesen, da wird einem übel hinsichtlich datenschutz ... und ich soll/muss die user meiner Sites über meine Logfiles informieren???
darüber erfahre ich gerade mal OS/Browser/Auflösung/Farbtiefe u.ä. "höchst brisante, persönliche" Details der user ... und die sind sich in aller Regel sowieso darüber im Klaren, dass diese Daten geloggt werden (können)



bitte nicht falsch verstehen: ich finde Datenschutzbestimmungen wichtig!!!

aber irgendwie will ich nicht einer der ganz wenigen im Netz sein, der diese auch zu 100% beachtet

[Jokai olvaso]

Zitat:

Zitat von Thomas

wow, das ist 'ne Menge Input

aber:

ich stelle mir dann ernsthaft die Frage, warum soll ich diese sicherlich sinnvollen und richtigen Vorschriften beachten und mir ggf. Kunden z.B. in meinem Shop vergraulen, in dem ich sie mit Datenschutzbestimmungen volllabere?

Tut kein anderer Shop, kein Mitbewerber ... interessiert anscheinend einfach kaum jemanden, auch die Justiz nicht, sonst würde sie ja tätig werden
(Verstoß ist wahrscheinlich ein Offizialdelikt, insofern sollte die Justiz selbstständig tätig werden, wenn sie von Verstößen mitbekommt)

Ähhm, jein. Eigentlich wollte ich zum Ausdruck bringen, dass - streng der Gesetzgebung folgend - man diese ganzen Aspekte berücksichtigen müsste. Dass dies in der Praxis eher die Ausnahme ist, ist mir auch genauso bewußt. Zum Beispiel auch die Logfiles. Für sich alleine genommen absolut unproblematisch, und da wird Dir auch keine Aufsichtsbehörde einen Strick draus drehen. Einen Hinweis an geeigneter Stelle kann natürlich trotzdem nicht schaden (würde ich persönlich auch nichts als Wettbewerbsnachteil sehen, ganz im Gegenteil, ich würde das eher positiv aufnehmen, aber ich bin auch sensibilisiert).

Nur kann daraus (wie bei eBay - die außerhalb der dt. Gesetzgebung agieren) ein Problem werden, wenn sämtliche Kundenaktivitäten geloggt werden.

Ich erachte es für wichtiger bestimmte Vorkehrungen zu treffen, WENN man Kundendaten erhebt und nutzt. Denn hier könnte schon eher mal eine Anfrage kommen, und darauf sollte man dann eben - wie oben ausgeführt - reagieren können.
Der Abschnitt "Motivation/Konsequenzen" sollte auch darauf hin deuten, dass eine Nichteinhaltung wohl kaum ernsthafte Konsequenzen zu Folge hat.

Ein Beispiel:
Wenn man z.B. einen Webshop betreibt, sollte man sich überlegen, was passieren würde, wenn wirklich mal ein Kunde ein entsprechendes Auskunftsbegehren stellt. Ist man in der Lage eine solche Auskunft in angemessener Zeit vollständig zu beantworten, oder würde dies eher Probleme aufwerfen? Entspricht die Nutzung der Daten den gesetzlichen Vorgaben?

Und wie Du auch anhand der WM-Tickets gezeigt hast, ist es eben in Deutschland sehr schlecht um das Bewußtsein für den Datenschutz bestellt, was natürlich insofern von Vorteil ist, dass man eben NICHT mit Konsequenzen rechnen muß, da es den Leuten einfach egal ist (aber eben nicht allen).

In der Praxis ist es übrigens so, dass die Aufsichtsbehörden praktisch nur auf Anruf durch Betroffene tätig werden (es gibt zwar auch Kontrollen, die durch die Aufsichtsbehörden initiiert werden, aber diese betreffen dann Bereiche mit sensibleren Daten, nicht gerade Webseitenbetreiber).

Zitat:

Zitat von Thomas

bitte nicht falsch verstehen: ich finde Datenschutzbestimmungen wichtig!!!

aber irgendwie will ich nicht einer der ganz wenigen im Netzt sein, der diese auch zu 100% beachtet

Naja, sicherlich nicht zu 100%, aber wenn man den Datenschutzgedanken ein bißchen im Hintergrund behält, ist das schon mal der Sache dienlich.

Letzten Endes kann man sich auch freuen, dass Deutschland die Gesetzgebung hat, die es hat, und nicht so wie z.B. in Frankreich, wo jede Verarbeitung von personenbezogenen Dateien im Voraus der entsprechenden Aufsichtsbehörde gemeldet werden und dann von dieser genehmigt werden muß, bevor man das entsprechende Verfahren einsetzen darf.

[Robert]

auf jeden Fall ein interessanter Artikel ...
Hab es mal in Business Allgemein gestellt und werde das "sticky" machen ...

Wichtig ist ja vor allem, das jemand das Thema mal ausgearbeitet hat.

Dafür danke
Gruß
Robert

[Jokai olvaso]

Gerne, ich hab' auch schon viel vom TP profitiert, und wollte mal auf diesem Weg etwas zurückgeben.

Und wie gesagt: falls etwas unklar sein sollte, oder jemand Fragen dazu hat - einfach melden.

[Thomas]

Zitat:

Zitat von Jokai olvaso

Desweiteren hat der Kunde das Recht auf Löschung. Werden Daten noch gespeichert, obwohl sie nicht mehr für den Zweck zu dem sie gespeichert wurden erforderlich sind, so müssen diese gelöscht werden.

Nachfrage: Das Finanzamt schreibt mir eine 10-jährige Aufbewahrungspflicht für alle umsatzrelevanten Unterlagen vor.

Alle Rechnungen werden also schön ordentlich abgeheftet, da sind natürlich auch Kundendaten drauf (Name, Anschrift, bestellte Ware und ggf. sogar Bankverbindung)

Müsste ich die im Falle einer Aufforderung zur Löschung von Daten dann etwa schwärzen???

Auch zur Überprüfung eventueller Garantieansprüche des Kunden (sic!) muss ich bestimmte Daten über einen entsprechenden Zeitraum aufbewahren, teilweise bis zu 6 Jahren ...

da widersprechen sich Datenschutz- und Finanzbehördenvorschriften irgendwie

[wildmieze]

hmm .. vielleicht fällt das ja unter den "zweck, zu dem sie gespeichert werden" *g*

[Jokai olvaso]

Das BDSG hat Lückenbüßerfunktion, d.h. andere Gesetzesvorschriften verdrängen das BDSG. Wenn Du aufgrund eines anderen Gesetzes oder einer Verordnung verpflichtet bist, die Daten aufzubewahren, dann mußt Du diese natürlich aufbewahren. Zudem sieht das BDSG in solchen Fällen (z.B. auch bei Krankenakten, die ja 30 Jahre aufbewahrt werden müssen) ja die Sperrung von Daten vor.

In gewisser Weise fällt dies natürlich auch unter den Zweck der Speicherung (gerade bei Garantiefragen), wie Wildmieze schon sagt.

Nachtrag:
Theoretisch könnte natürlich ein Kunde darauf bestehen, dass seine Daten gelöscht werden, wenn diese nur zum Zwecke von Garantieerfüllung gespeichert sind und nicht aufgrund einer entsprechenden Gesetzesvorschrift. Allerdings muß er dann auch damit leben, dass im Zweifelsfalle keine Garantie mehr geleistet werden kann (obwohl das doch normalweise auch über die Rechnung, die der Kunde hat, gehen müßte, oder?).

[Boris]

Mal was anderes zu dem Thema - ein Server selbst sammelt ja unentwegt Daten der Surfer (Browser, IP, Datum etc.) und speichert sie in Logdateien. So gesehen müsste man also zum Datenschutz immer etwas auf eine Website schreiben, völlig egal, ob es nun eine simple HTML Seite oder ein Shop ist. Oder nicht?

[Jokai olvaso]

Hmm, ich hätte schwören können, ich hab' hierzu schon mal was geschrieben, naja besser spät als nie.

Um mich selbst zu zitieren:

Zitat:

Solange keine weiteren Daten des Besuchers erhoben werden sind dynamisch vergebene IP-Adresse zwar als ausreichend pseudonymisiert anzusehen, nicht aber statische IP-Adressen. Aus diesem Grund ist eine Mitloggen der Besucher (wie's ja auf fast jeder Seite stattfindet) und anschließende Auswertung der Logs per Webalizer und Co nicht ganz unproblematisch.

Diese Position ist nicht ganz unstrittig, je nachdem welchen Kommentar zum BDSG heranzieht findet man beide Meinungen (IP-Adresse ist personenbezogen / IP-Adresse ist nicht personenbezogen).

Statische Adressen sind natürlich eher als personenbezogen anzusehen als Dynamische, aber eine eindeutige Rechtssprechung zu dem Thema gibt es bislang meines Wissens nicht (vgl. auch Lehrer online, ganz unten auf der Seite).

Was heißt das jetzt letztendlich für den Betreiber einer Webseite? Ein Hinweis auf die Speicherung der IPs sollte erfolgen (zudem dies ja in einem gewissen Maße auch technisch notwendig ist => Antwort an den Browser schicken), wenn man sich auf diversen kommerziellen Seiten (nicht eB*y oder Ama*on) umschaut, findet man da auch Beispiele für entsprechende Hinweise in den Informationen zum Datenschutz.

[Adromir]

Ich habe mal zwei Fragen, vieleicht kannst du sie mir beantworten:

1. Wie muss eine Einwilligung gestaltet sein, wenn jemand einwilligen "soll", daß seine Daten an dritte weitergegeben werden (zu Marktforschungs- und Werbezwecke).

2. Darf man Daten einer Person xy ohne deren Einwilligung veröffentlichen und zwar in einem negativen Kontext?
Es kam nämlich mal in einem Forum das Problem auf, daß ein User durch eine verweigerte Warenannahme (und weigerung der Zahlung der Rücksendekosten, obwohl Warenwert die Versandeigenen Betragsgrenze für eine kostenlose Rücksendung überstieg) auf der Homepage des Shops auf einer schwarzen Liste auftrat, in der sein Name und Adresse veröffentlicht wurden. Die Seite wurde mit folgendem Satz übertitelt "Diese Personen haben in vorsätzlicher und betrügerischer Absicht ihre Zahlungen verweigert. Wir raten von einem Geschäft mit diesen Personen ab".

[Jokai olvaso]

1. Handelt es sich bei den Daten um listenmäßig zusammengefaßte Daten gemäß §28(3)3 BDSG ist eine Weitergabe erlaubt, wenn sie sich auf die dort angegebenen Daten beschränkt. Wenn mehr Daten weitergegeben werden sollen, ist eine Einwilligung des Betroffenen erforderlich.

Du musst angeben, was mit den Daten geschehen soll (was soll weitergeleitet werden, zu welchem Zweck, wer ist der Empfänger). Die Einwilligung des Nutzer darf nicht stillschweigend erfolgen d.h. er muß aktiv etwas machen, um seine Einwilligung zu geben - z.B. ein Häkchen anklicken, dabei muß auch klar sein, wozu diese Einwilligung dient, und sie sollte nicht mit anderen Einwilligungen (z.B. Empfang eines Newsletters verbunden) sein.

So eine Einwilligung (auch die oben angesprochene Form der Weitergabe) kann dann aber auch wieder widerrufen werden.

2. Meiner Meinung nach ist das nicht zulässig.

[zerwas]

Wie sieht es denn aus wenn die Vereinbarung mit einer negativen Frage formuliert wird? Also wenn Sie nicht wollen, das die Daten für Marketing usw. verwendet werden tragen Sie ein Häkchen ein.
Da die meisten den text wahrscheinlich nur überfliegen, werden die Daten dann verwendet. Was dann doch aber nicht legal wäre oder?

[Adromir]

Also meine Frage zielte ja auf z.B. Emailadress- Listen die zu Emailwerbezwecken verkauft werden. Ich stelle mir spontan mal vor, meine Addy gelänge über eine solche Einwilligung in die Hände von 100 000 Unternehmern/ Webseitenbetreibern, wovon mir jeder einmal im Monat eine Email schickt. Das wäre im Schnitt ein Mailaufkommen von über 3000 Mails pro Tag.. Und es fällt mir schwer zu glauben, daß das Möglich ist. Denn die wenigsten, die dort einwilligen können wirklich abschätzen, was da auf sie zu kommen kann...

[Jokai olvaso]

Zerwas: Ja, die Einwilligung muß aktiv erfolgen, der Betroffene muß etwas machen um seine Einwilligung zu dokumentieren - daher ist eine Einwilligung durch Unterlassen nicht ausreichend.

Adromir: Ich hab' ja oben den entsprechenden Paragraphen zitiert. Die Weitergabe von E-Mail-Adressen ist dadurch nicht abgedeckt. Wenn die weitergegeben werden soll, ist dazu die Einwilligung des Betroffenen nötig und dann (nach Einwilligung) sind die Daten ohnehin erstmal "Freiwild" (etwas überspizt ausgedrückt).