Seit 01.09.2009 ist die heiß diskutierte BDSG-Novelle II vom 10. Juli 2009 in Kraft. Bereits im am 12. Juni 2009 hat der Bundesrat die BDSG-Novelle I verabschiedet. Dabei ging es um die Zulässigkeit von Scoring sowie die Datenübermittlung an Auskunfteien. Mit dem zweiten Teil der Novelle wurde u.a. der Arbeitnehmerdatenschutz sowie die Zulässigkeit der personalisierten Werbung neu geregelt. Was den Arbeitnehmerdatenschutz angeht, wurde § 32 nicht „dateibezogene” Informationen erweitert. Er ist auf alle Formen der Speicherung oder Übermittlung anzuwenden, somit auch auf handschriftliche Aufzeichnungen wie Schriftstücke oder Personalakten. Die Nutzung der Daten zur Aufdeckung von Straftaten wurde eingeschränkt. Ein bloße Vermutung, dass der Beschäftigte eine Straftat begangen hat reicht nicht mehr aus. Es müssen Anhaltspunkt bestehen, die dokumentiert werden müssen. Massenscreenings sind somit, jedenfalls theoretisch, nicht mehr möglich.

Personalisierte Werbung ist nach § 28 Abs. 3 und 3a BDSG nur noch zulässig, wenn der Betroffene der Datennutzung zum Zwecke der Werbung zugestimmt hat (Opt-in-Prinzip). Aber: Keine Regel ohne Ausnahme. Die Nutzung der Daten für personalisierte Werbung ist auch dann zulässig, wenn eigene Angebote gegenüber Kunden oder Personen, deren Daten aus öffentlich zugänglichen Quellen entnommen werden, beworben werden. Das gleiche gilt für Geschäftswerbung und für die Spenden-Werbung. Werbung für fremde Angebote (Beipackwerbung usw.) ist ebenfalls zulässig, sofern der Absender deutlich erkennbar ist.

Gestärkt wurden auch die rechte des betrieblichen Datenschutzbeauftragten. Dieser ist vor einer Kündigung geschützt. Nur in schwerwiegenden Fällen kann ihm gekündigt werden. Ziel ist es, gewissenhaft arbeitende Datenschutzbeauftragte vor Benachteiligungen zu schützen. Fortbildungsmaßnahmen des Datenschutzbeauftragten müssen vom Arbeitgeber ermöglicht und bezahlt werden.

Ob die Novelle das gewünschte Ergebnis bringt, wird sich in der Praxis zeigen. Insbesondere die Neuregelung der personalisierte Werbung ist recht komplex und für Laien kaum verständlich ausgefallen.

Betreff: Datenschutzauskunft

Sehr geehrte Damen und Herren,

ich musste feststellen, dass Sie Daten zu meiner Person speichern. Sie sind gem. § 34 BDSG verpflichtet über die zu meiner Person gespeicherten Daten Auskunft zu erteilen.

Entsprechend des § 34 BDSG ersuche ich um Beantwortung folgender Fragen:

1. Welche personenbezogenen Daten über mich werden von Ihrem Unternehmen
gespeichert? Hierbei bitte ich Sie um Auskunft über die gespeicherten
Daten selbst, und nicht über die Art von Daten, die Sie gespeichert haben.

2. Sind diese Daten nicht von mir selbst mitgeteilt: Woher und zu
welchem Zeitpunkt hat Ihr Unternehmen diese Daten bezogen?

3. An welche Empfänger wurden oder werden diese Daten durch Ihr
Unternehmen weiter gegeben?

4. Zu welchen Zwecken speichert Ihr Unternehmen diese Daten?

Ich bitte Sie, die Auskunft innerhalb einer Frist von zwei Wochen ab erhalt dieses Schreibens zu erteilen. Sollten Sie eine Fristverlängerung benötigen, bitte ich um eine entsprechende Zwischennachricht.

Bitte bestätigen Sie mir kurz den Eingang dieser Nachricht und senden
Sie mir die Beauskunftung postalisch zu.

Mit freundlichen Grüßen

Beitreiber eines privaten Webangebots unterliegen nicht den Anforderungen und Pflichten des BDSG. Privat heißt i.d.R, dass die Seite nur für familiäre Tätigkeiten oder Hobbys gedacht ist. Anders sieht es aus, wenn Tools wie Google Analytics genutzt werden. Laut den Nutzungsbedingungen, ist der Webmaster verpflichtet, einen Datenschutzhinweis zu platzieren. Denn nach Ansicht einiger Gerichte sind IP-Adressen personenbezogene Daten, die dem Schutz des BDSG unterliegen.

Laut Google Analytics muss der Webmaster den Datenschutzhinweis prominent platzieren, damit der Nutzer „genügend aufmerksam gemacht“ wird. Ein Beispieltext wird von Google ebenfalls angeboten:

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“) Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglicht. Die durch den Cookie erzeugten Informationen über Ihre Benutzung diese Website (einschließlich Ihrer IP-Adresse) wird an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten der Google in Verbindung bringen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website voll umfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden.“
Quelle: GOOGLE ANALYTICS BEDINGUNGEN

Kurz gesagt: Der Datenschutzhinweis muss gut sichtbar auf der Seite platziert werden. Entweder man übernimmt den Text Wort für Wort oder nutzt eine Alternative, jedoch mit gleichwertigen Inhalt. Wer das nicht macht, verstößt gegen die Nutzungsbedingungen von Google Analytics.

Alexander Dix, der Berliner Datenschutzbeauftragte, hat ein Bußgeld in Höhe von 2000€ (2×1000€) gegen die Betreiber des Professoren-Bewertungsportals Meinprof.de erlassen. Auf meinprof.de können Studenten online ihre Professoren bewerten. Dazu steht eine List bereit, auf der alle Professoren gelistet sind. Dies sei jedoch unzulässig, meint der Berliner Datenschutzbeauftragte. Nach § 33 Abs. 1 BDSG (BDSG: Bundesdatenschutzgesetz) müssen die Professoren über die Speicherung sowie die Bewertung informiert werden. Des Weiteren muss Meinprof.de sicherstellen, dass die Daten nur von Studenten mit einen „berechtigten Interesse“ abgerufen werden können. Ein „berechtigtes Interesse“ liege z.B. dann vor, wenn die Stundenten den Vortrag der Dozenten besucht haben.

Ganz anders sah es das LG Berlin vor einem Jahr. Das Gericht hat entschieden, dass die Veröffentlichung zulässig sei, weil die Daten aus „öffentlich zugänglicher Quelle“ nach § 28 Abs. Nr.3 BDSG stammen. Die Betreiber haben angekündigt sich zu wehren, notfalls auch vor Gericht.

Eine Opt-out-Regelung in den Allgemeine Geschäftsbedingung betreffend der Einwilligung in Werbung und Marktforschung, stellt keine unangemessene Benachteiligung der Verbraucher im Sinne des § 307 Abs. 1 BGB dar. Der Verbraucher hat nämlich die Möglichkeit seine Einwilligung durch nicht Ankreuzen zu verweigern. Dies entspreche den inhaltlichen Anforderungen im Sinne des § 4a Abs. 1 BDSG, so das Gericht. Urteil des LG München I, Az.:29 U 2769/06