Hauptseminar Datenschutz


WS 2000/2001

Prof. Dr. J.L. Keedy, Dr. Gisela Menger

Abt. Rechnerstrukturen

Universität Ulm





Thema

Datenschutz für KundInnen im Internet


Autor: Christian Thiel


Inhaltsverzeichnis

1 Einleitung
2 Rechtsnormen
2.1 Welche Daten werden geschützt?
2.2 Erhebung und Verwendung von Daten
2.3 Beispiel: Datenschutzrechtliche Betrachtung von Cookies
2.4 rechtliche Lage in der EU
3 Schutzmöglichkeiten
3.1 Rechtliche Möglichkeiten
3.1.1 Kontrolle über eigene personenbezogene Daten
3.1.2 Wirksamkeit der Datenschutzvorschriften
3.2 Siegel und Vertrauen
3.3 Technische Schutzmöglichkeiten
3.3.1 P3P: Standard für Datenschutz-Erklärungen
3.3.2 (anonyme) elektronische Zahlungsvorgänge
3.3.3 SSL - Verschlüsselung
3.3.4 Browser-Einstellungen
3.3.5 Spam - unerwünschte Email
3.3.6 Web-Anonymizer
3.3.7 Pseudonyme
4 Schlußbemerkungen
Begriffe/Abkürzungen
Quellen
Anhang

1 Einleitung

„Warum brauche ich eigentlich Datenschutz? Ich habe nichts zu verbergen, und was ich im Netz mache, kann jeder sehen!“ Solchen Argumenten begegnet man auch heute noch immer wieder, weshalb es angebracht ist, kurz auf die Datenschutz-Risiken des Internet einzugehen.

Beim Surfen im Internet und beim Online-Shopping gibt man bewusst (selten auch unbemerkt) Informationen über sich preis[Wo1]. Diese können die Seitenanbieter dann untereinander austauschen und verknüpfen (Stichwort Data Warehouses). Durch den langen Zeithorizont und die Verknüpfung aller erreichbaren Daten gewinnen bis dato unwichtige Fakten eine neue Bedeutung im umfassenden Kontext. Die Person ist fast vollständig erfasst. Dieses „fast“ ist auch ein Risiko, da eben nicht alle Aspekte der Person bekannt sind. Und nach dem Prinzip „wer einmal lügt“ werden unvorteilhafte Einträge fast nicht mehr loszuwerden sein. „Dabei dürfte eine Stigmatisierung nicht nur auf finanzielle Bereiche des Lebens beschränkt bleiben.“[Mö] Dabei ist es schon ärgerlich genug, wenn der Händler oder die Versicherung einen Vertrag verweigert, da die Datenbank als Risiko „hoch“ ausgibt1. Ein witzig gemeintes Horrorszenario findet sich im Anhang.

Die wirtschaftlichen Implikationen von Internet-Datenschutz dürfen auch nicht unterschätzt werden. Viele Bürger fühlen sich unsicher, was mit ihren im Internet preisgegebenen Daten geschieht. Das heißt, dass „Anwendungen wie E-Commerce [...] nur dann eine gesamtgesellschaftliche Akzeptanz finden, wenn es sie stets als "Doppelpack" mit E-Privacy, dem Datenschutz im Internet, gibt“ [KLDSH]. Insofern ist Datenschutz ein „bedeutender Wettbewerbsfaktor“[GS], wie auch langsam die USA erkennen2.

In den folgenden Kapiteln wird erst einmal eine Übersicht über die gesetzlichen Regelungen zum Datenschutz bezüglich des sehr speziellen Bereichs des Online-Shoppings gegeben, mit kurzer Betrachtung der Lage bezüglich der EU-Gesetzgebung. Dann wird gezeigt, inwieweit der Kunde selbst seine Daten schützen kann, einerseits durch rechtliche Maßnahmen, andererseits durch eine Auswahl an technischen Vorkehrungen.

Diese Arbeit reizt das Thema nicht in der ganzen Tiefe aus, Entwicklungen wie die Infomediaries3 zum Beispiel werden nicht behandelt, aber sie gibt einen Überblick.

2 Rechtsnormen

2.1 Welche Daten werden geschützt?

Die Betrachtung der Rechtsnormen wird sich größtenteils auf Deutschland beschränken. Eine Berücksichtigung des grenzüberschreitenden Geschäftsverkehrs würde den Rahmen sprengen und wahrscheinlich nur „offene Regelungsflanken“[AGV] aufdecken. Im Rahmen des Kapitels über das EU-Recht wird die Thematik allenfalls etwas angetippt.

Entsprechend der Themenstellung („Kund/Innen“) kann man davon ausgehen, dass Privatpersonen mit nicht-öffentlichen deutschen Stellen (im Folgenden Anbieter, Unternehmen...) interagieren, und dass zwischen ihnen ein Vertragsverhältnis besteht. Das bedeutet, hier ist das Bundesdatenschutzgesetz maßgebend4. Es definiert „personenbezogene Daten“ als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ (§3 Abs. 1, BDSG).

Im Kontext des Einkaufens im Internet sind hier das Teledienstedatenschutzgesetz und der Mediendienstestaatsvertrag relevant5, da die jeweiligen spezielleren Regelungen dieser Regelungswerke denen des BDSG vorgehen (§1 Abs. 4 BDSG); das TDDSG zum Beispiel erstreckt sich ausdrücklich auf „Angebote von Waren und Dienstleistungen in elektronisch abrufbaren Datenbanken mit interaktivem Zugriff und unmittelbarer Bestellmöglichkeit.“ (§2 Abs.2 Nummer 5, TDG). Welches der beiden Spezialgesetze auf einen bestimmten Fall anzuwenden ist, kann nicht einfach festgestellt werden, da die Geltungsbereiche sehr allgemein formuliert sind und die Trennung über einen Beispielkatalog (§2 Abs. 2 TDG/Med-StV) versucht wird. Glücklicherweise ist eine Unterscheidung wenig relevant, da die beiden Gesetze „überwiegend gleichlautende Datenschutzregelungen“[JBi] haben.

Im weiteren ist davon auszugehen, dass alle Daten, die der Geschäftsmann den Kunden betreffend erhält, „personenbezogen Daten im Sinne des Datenschutzrechtes sind“[Wo1], da sie eindeutig der natürlichen Person des Kunden zugeordnet werden können. Ohne eine solche Zuordnung wäre schließlich das Vertragsverhältnis überhaupt nicht zustande gekommen, die Ware könnte nicht geliefert werden. Auch bei elektronischer Leistung (zum Beispiel Kauf und anschließender Download eines Programmpaketes) wird heutzutage fast immer die Kundenanschrift erfasst. Die Verwendung einer, von dem Kunden gewählten, Loginname/Passwort-Kombination zur Interaktion mit dem Geschäftsmann ändert nichts, schließlich können alle folgenden Aktionen eindeutig zugeordnet werden.

Die erhobenen Informationen werden in Bestands-, Nutzungs- und Abrechnungsdaten eingeteilt und unterliegen unterschiedlichen gesetzlichen Regelungen innerhalb des TDDSG, wie wir im Folgenden sehen werden.

2.2 Erhebung und Verwendung von Daten

Das TDDSG regelt in „§3 "Grundsätze" für die Verarbeitung personenbezogener Daten, die nicht nur unverbindlichen programmatischen Charakter haben, sondern unmittelbare Rechte und Pflichten begründen.“[Bä] Die Daten dürfen „nur erhoben, verarbeitet und genutzt werden, soweit dieses Gesetz oder eine andere Rechtsvorschrift es erlaubt oder der Nutzer eingewilligt hat.“ (Absatz 1). Es ist also ausdrücklich ein Erlaubnisvorbehalt vorhanden. Die Daten dürfen nur nach Maßgabe dieses Gesetzes verwendet werden, es sei denn der Nutzer hat in eine weitere Verarbeitung oder Erhebung eingewilligt.

Allerdings kann diese Einwilligung „auch elektronisch erklärt werden“ (§3 Abs. 7 TDDSG), es muss aber sichergestellt sein, dass der Kunde weiß, was er unterschreibt, dies nicht irgendwie nebenbei geschieht, sondern bewusst, und dass das Dokument danach nicht mehr verändert wird. Ausserdem muss „der Inhalt der Einwilligung jederzeit vom Nutzer abgerufen“ werden können. Die Einwilligung kann vom Kunden mit Wirkung auf die Zukunft jederzeit widerrufen werden; darauf ist vorher hinzuweisen (§3 Abs. 6, TDDSG). Der Landesdatenschutzbeauftragte von Schleswig-Holstein, Dr. Helmut Bäumler, hält diese Voraussetzungen für sachgerecht[Bä]. Die Bedingungen werden im Allgemeinen dann erfüllt sein, wenn die Unterschrift dem Signaturgesetz genügt.

Das bedeutet meiner Ansicht nach, dass die heutige Praxis, dem Kunden die AGB des Diensteanbieters in einem HTML-Dokument anzuzeigen und auf den „akzeptieren“-Knopf klicken zu lassen, nicht als Einwilligung im Sinne des TDDSG anzusehen ist! Es ist insbesondere in keiner Weise sichergestellt, dass die Erklärung nicht „unerkennbar verändert werden kann“, „ihr Urheber erkannt werden kann“ und „der Inhalt der Einwilligung jederzeit vom Nutzer abgerufen werden kann“ (§3 Abs. 7, Nummern 2,3,5, TDDSG).

Die Erhebung der Daten darf auch nicht vom Nutzer unbemerkt geschehen. Absatz 5 legt fest, dass der Nutzer „vor der Erhebung über Art, Umfang, Ort und Zwecke der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu unterrichten“ ist. Der Kunde soll so einen Überblick erhalten, was mit seinen Daten geschieht.

Absatz 2 formuliert den Grundsatz, dass der Diensteanbieter die Erbringung des Teledienstes (zum Beispiel das Ansehen der Webseiten, Bestellung) „nicht von einer Einwilligung des Nutzers in eine Verarbeitung oder Nutzung seiner Daten für andere Zwecke“ als den Vertragsgegenstand abhängig machen darf. Es muss dem Kunden also beispielsweise eine Wahl gegeben werden, ob er „Informationen zu weiteren interessanten Produkten aus unserem Hause“ erhalten will.

Ein wichtiges in §3 festgeschriebenes Prinzip ist, dass die erhobene Daten für andere Zwecke nur verwendet werden dürfen, „soweit dieses Gesetz oder eine andere Rechtsvorschrift es erlaubt oder der Nutzer eingewilligt hat“ (Abs. 2). Das heißt, die Daten unterliegen einer strengen Zweckbindung, die nachfolgend erläutert wird.

So darf der Diensteanbieter „personenbezogene Daten eines Nutzers erheben, verarbeiten und nutzen, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses mit ihm über die Nutzung von Telediensten erforderlich sind“ (§5 Abs. 1, TDDSG). Diese Daten sind die Bestandsdaten des TDDSG und umfassen meist Name, Anschrift, und wahrscheinlich die Kontoverbindung zu Zahlungszwecken. Es fallen eigentlich alle Angaben über persönliche Verhältnisse, die der Kunde gemacht hat, in diese Kategorie. Prinzipiell ist es untersagt (§5 Abs. 2, TDDSG), diese Daten für Zwecke der Werbung (Adresshandel) oder Beratung zu verwenden. Auch Marktforschung ist verboten. Selbst eine „bedarfsgerechten Gestaltung“ des Angebotes, wie es viele Webseiten betreiben (bis hin zu Versuchen mit individueller Preisgestaltung bei Amazon.com[WNBi]) ist nicht grundsätzlich erlaubt. Allerdings kann der Benutzer auch hier zu allem seine Einwilligung geben, die aber wieder den strengen Kriterien genügen muss.

Laut §6 TDDSG werden „personenbezogene Daten über die Inanspruchnahme von Telediensten“ in zwei Kategorien eingeteilt: Nutzungsdaten sind solche, die erforderlich sind „um dem Nutzer die Inanspruchnahme von Telediensten zu ermöglichen“. Abrechnungsdaten sind jene, die nötig sind, um „die Nutzung von Telediensten abzurechnen“. Erstere sind zum Beispiel die angeforderten Web-Seiten innerhalb meines Angebotes, letztere geben vielleicht die Verweildauer innerhalb eines bestimmten kostenpflichtigen Bereichs an6.

Nutzungsdaten sind frühestmöglich zu löschen, spätestens aber beim Ende der Nutzung. Logdateien, welche die abgerufenen Seiten mit der IP-Adresse der anfordernden Person speichern, sind also unter Umständen unzulässig, je nachdem ob man diese Kennung als personenbezogenes Datum betrachtet7.

Abrechnungsdaten sind zu löschen, „sobald sie für Zwecke der Abrechnung nicht mehr erforderlich sind“. Wünscht der Nutzer einen Einzelnachweis, so sind die Daten spätestens 80 Tage nach dessen Versendung zu löschen (sofern der Kunde nicht innerhalb dieser Frist die Forderung bestreitet). Die Daten dürfen vom Diensteanbieter an einen Dritten übermittelt werden, wenn mit diesem ein „Vertrag über die Abrechnung des Entgelts geschlossen“ wurde. Grundsätzlich aber ist „Die Übermittlung von Nutzungs- oder Abrechnungsdaten an andere Diensteanbieter oder Dritte“ unzulässig (§6 Abs. 3, TDDSG).

„Nutzungsprofile sind nur bei Verwendung von Pseudonymen zulässig“ (§4 Abs. 4, TDDSG). Dabei sind Nutzerprofile Sammlungen von Nutzdaten bezüglich einer Person. „Derartige Profile liegen bereits vor, wenn mehr als ein Datum einer bestimmten Person zugeordnet werden kann.“[JBi] Es darf also der Online-Buchhändler nicht speichern, über welche Bücher/Sachgebiete der Kunde sich auf seiner Seite informieren wollte, es sei denn, er benutzt Pseudonyme. Hierbei werden die Nutzdaten einem Decknamen oder zufällig erfundenen Namen zugeordnet; das Signaturgesetz sieht sogar elektronische Unterschriften vor, bei welchen im zugeordneten Zertifikat (der Bescheinigung der Echtheit der Unterschrift/deren Zuordnung) lediglich „ein dem Signaturschlüssel-Inhaber zugeordnetes unverwechselbares Pseudonym“ (§7 Abs. 1 SiG) verwendet wird. Dieses steht in keiner direkt erkennbaren Verbindung mit einer bestimmten Person, sondern kann dieser nur über eine Referenzliste zugeordnet werden. Das Abgleichen ist aber unzulässig, „Unter einem Pseudonym erfaßte Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.“ (§4 Abs. 4 Satz 2, TDDSG); „Nur wenn der Besteller seine Vertragspflichten nicht erfüllt, hat der Leistende einen Anspruch, dessen Identität [...] zu erfahren.“[GS]

Wie schon erwähnt gilt grundsätzlich, dass die Daten nur insoweit verwendet werden dürfen, als der Nutzer darin eingewilligt hat, zum Beispiel mit Akzeptanz der AGB, oder soweit das TDDSG eine Verwendung erlaubt. Insbesondere ist also auch der Vertragszweck bindend. Über ihn hinausgehende Verwendungen müssen explizit erlaubt worden sein.

Einige Vorschriften wollen sicherstellen, dass das TDDSG nicht unterlaufen werden kann: Wird der Nutzer zu einem anderen Telediensteanbieter weitergeleitet (läuft der Online-Shop beispielsweise bei einem Mall-Betreiber), so ist er darüber zu informieren (§4 Abs. 3, TDDSG). Es könnte ja sein, dass dieser neue Anbieter für ihn ungünstige Datenschutz-Vertragsbedingungen hat.

Auch muss seitens des Anbieters sichergestellt werden, dass „der Nutzer Teledienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann“(§4 Abs. 2 Nummer 3, TDDSG), daher die Kommunikation nicht abgehört und die Daten nicht unkontrolliert und unbemerkt verwendet werden können.

Grundsätzlich gilt auch, dass der Diensteanbieter „dem Nutzer die Inanspruchnahme von Telediensten und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen“ hat, allerdings nur „soweit dies technisch möglich und zumutbar ist“ (§4 Abs. 1, TDDSG). Letzteres ist faktisch eine gravierende Einschränkung, da Anbieter sich heute darauf berufen, dass eine technische Umsetzung nicht möglich ist. Inwieweit das stimmt, werden wir später im Kontext der Zahlungssysteme kurz betrachten.

Das TDDSG unterscheidet im Bezug auf Daten zwischen Erheben, Verarbeiten und Nutzen. Definiert sind diese Begriffe in §5 Abs. 5 BDSG. Erheben ist allgemein das Beschaffen der Daten. Mit Verarbeiten werden die (ebenfalls definierten) Fälle des Speicherns, Veränderns, Übermittelns, Sperrens und Löschens abgedeckt. Das Nutzen hat eine Art Auffangfunktion, als es jede „Verwendung“ der Daten erfasst, die kein Verarbeiten darstellt.

Inwieweit eine Einordnung von Vorgängen in die genannten Kategorien Probleme machen kann, zeigt sich am folgenden Beispiel.

2.3 Beispiel: Datenschutzrechtliche Betrachtung von Cookies

Um zu zeigen, dass die Einordnung eines Sachverhaltes in den legalen Rahmen des TDDSG leider nicht trivial ist, wird jetzt der Versuch unternommen, die Verwendung von Cookies näher einzuschätzen.

Cookies sind kleine Dateien, die auf dem Rechner des Nutzers gespeichert werden. Das geschieht durch JavaScript-Befehle in der betrachteten Internet-Seite oder durch einen Befehl des Anbieter-Rechners (Servers) an den Browser des Kunden. In den „Keksen“ werden dann Name/Wert - Paare gespeichert, außerdem ein Verfallsdatum und die Domain(s) (z.B. geocities.com), zu welcher der Cookie gehört und an welche er vom Browser geschickt werden soll, sobald eine Internetseite innerhalb dieser Domain aufgerufen wird.

Die Gefahr dieser Technologie liegt darin, dass in dem Cookie eine weltweit eindeutige Identifikationsnummer gespeichert werden kann. Jedesmal, wenn der Besucher zu einer Seite zurückkommt, erkennt ihn diese und kann alle Daten, welche er bei diesem Besuch preisgibt, seinem wachsenden Profil hinzufügen. Brisanz erhält das Verfahren dadurch, dass zum Beispiel Firmen, die Werbebanner auf sehr vielen Internetseiten einblenden8, einen Nutzer über diese hinweg beobachten können (weitere Informationen als die der betrachtete Seite bekommen sie nur in Zusammenarbeit mit den Anbietern der betrachteten Seiten, gegenüber welchen der Nutzer eventuell persönliche Daten preisgibt).

Der Inhalt der Cookies ist nicht grundsätzlich personenbezogen, die Webseite, die Informationen im Cookie speichert (zum Beispiel ein bevorzugtes Seitenlayout) kennt den Benutzer ja meist nicht. In unserem Fall des Einkaufens muss jedoch der Seite gegenüber die Identität preisgegeben werden, die im Cookie enthaltenen Daten sind also personenbezogen.

Eine Unterrichtung des Nutzers im Zusammenhang mit Cookies ist in zwei Situationen verpflichtend:

Erstens, bevor personenbezogene Cookiedaten an den Server des Anbieters gesendet werden. Denn dieses Senden ist als Erheben im Sinne des BDSG zu verstehen (siehe später), wofür §3 Abs. 5 TDDSG fordert, dass “der Nutzer [...] vor der Erhebung über Art, Umfang, Ort und Zwecke der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu unterrichten“ ist. Damit soll gewährleistet werden, dass der Nutzer einen Überblick über die Verwendung und Verbreitung seiner Daten behält.

Zweitens, auch wenn der Cookie keine personenbezogenen Daten erhält, ist der Benutzer vor dessen setzen zu unterrichten, da dieser Vorgang angesehen werden kann als ein automatisiertes Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten vorbereitet (vgl. §3 Abs. 5 Satz 2, TDDSG). Aus der Gesetzesbegründung gehe hervor, dass „nicht nur das Setzen, sondern auch jedes weitere Beschreiben eines Cookies“[JBi] dem Nutzer mitgeteilt werden muss.

Die Unterrichtung muss in ihrer Form „verständlich, umfassend und hinreichend auffällig sein“. Sie muss so in die Web-Seite integriert werden, dass der Nutzer sie beim normalen Surfen wahrnimmt, also nicht irgendwo unten auf einem Teil der Seite, den er nur durch Blättern erreicht. Ein Hervorhebung wäre wünschenswert. Allgemeine Aussagen wie „wir verwenden Cookies“ oder ein Verweis auf die AGB reichen ebenfalls nicht aus, genausowenig wie die automatisch vom Browser des Nutzers (so dieser entsprechend konfiguriert ist) generierte Warnmeldung [PSc].

In verschiedenen Situationen muss vom Benutzer sogar die Einwilligung eingeholt werden. Zum einen, wenn der Cookie personenbezogene Daten enthält. Denn das Setzen des Kekses ist als „Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung“ anzusehen, damit als Speichern, was wieder eine Unterkategorie des Verarbeitens darstellt (§3 Abs. 5, TDDSG)9. Ausserdem kann das Übermitteln der Daten an den Dienstleister als Erheben angesehen werden, da dieser mit dem Setzen die Übermittlung veranlasst hat, auch wenn diese dann automatisch vom Browser des Benutzers ausgelöst wird. Letztendlich, falls das Vorliegen von Speichern oder Erheben verneint werden sollten, ist das Übersenden als Nutzen im Sinne des BDSG (§3 Abs. 6, „Nutzen ist jede Verwendung personenbezogener Daten“) anzusehen. Es greift also auf jeden Fall §3 Abs. 1 TDDSG, der für die Erhebung, Verarbeitung oder Nutzung eine Erlaubnis des Nutzers voraussetzt.

Peter Schaar geht in [PSc] sogar davon aus, dass die Einwilligung des Nutzers sogar bei nicht-personenbezogenen Daten erforderlich ist, diese dabei aber durch ein „Opt-Out“ realisiert werden könne, wobei der Nutzer aktiv beim Dienstleister gegen die Verwendung der Daten Einspruch erhebt; natürlich sollte der Kunde dementsprechend informiert werden.

Die Einwilligung des Nutzers kann auch elektronisch erteilt werden, die genauen Vorschriften sind oben ausgeführt.

Interessant ist, dass der Diensteanbieter „die Erbringung von Telediensten nicht von einer Einwilligung des Nutzers in eine Verarbeitung oder Nutzung seiner Daten für andere Zwecke abhängig machen“ darf (§3 Abs. 3, TDDSG). Da personenbezogene Daten zur Durchführung des Teledienstes meines Erachtens nicht notwendig sind (erst für die Lieferung –> Trennung möglich), bedeutet dies: Ein Diensteanbieter/Verkäufer darf „einem Nutzer den Zugang zu einem Tele- oder Mediendienst also nicht deshalb verweigern, weil dieser das Setzen, Beschreiben oder Senden einer Cookie-Datei nicht akzeptiert“[JBi], beispielsweise durch deaktivieren der Funktion im Browser!

Ob Cookies überhaupt Personenbezug erhalten dürfen, ist strittig10.

2.4 rechtliche Lage in der EU

EU-weit ist die „Richtlinie 95/46/EG des Europaeischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natuerlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“[ER] relevant. Sie muss laut Artikel 32 „binnen drei Jahren nach ihrer Annahme“ in nationales Recht umgesetzt werden. Dies ist in Deutschland (und anderen Ländern) nicht geschehen. Die Europäische Kommission hat im Januar 2000 deshalb sogar beschlossen, Deutschland vor dem Europäischen Gerichtshof zu verklagen[EN2]. Sie wies ausserdem darauf hin, dass Personen die durch die Nichtumsetzung der Richtlinie Schaden erlitten haben, in „bestimmten Fällen vor nationalen Gerichten auf Schadenersatz klagen“ können[EN1]. Die Bundesregierung hat inzwischen ein „Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze“ initiiert, das die Richtlinie umsetzen soll und in erster Lesung an die Ausschüsse überwiesen wurde (federführend: Innenausschuss)11.

Unter Umständen könnten die Regelungen der Richtlinie in Deutschland bereits heute Geltung haben. „Denn nach dem Urteil des BGH vom 5.12.1998 kann der Inhalt einer EG-Richtlinie im Rahmen der Generalklausel des § 1 UWG im Wege der richtlinienkonformen Auslegung bereits berücksichtigt werden, auch wenn die Umsetzungsfrist noch nicht abgelaufen ist.“[Ve]

Im Folgenden werden kurz einige Regelungen der Richtlinie erwähnt, die sich von denen des TDDSG unterscheiden oder sonst für das Thema von Interesse sind. Die Aufzählung orientiert sich an der Abfolge der Bestimmungen in der Richtlinie.

Artikel 2 definiert den Begriff „personenbezogene Daten“, der, wie im BDSG, sich auch auf „bestimmbare“ natürliche Personen erstreckt; diese Bestimmbarkeit aber ist hier genau definiert: Als „bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind“. Diese Definition geht weit über die des BDSG hinaus12.

Den Begriff „Nutzen“ des BDSG gibt es in der Richtlinie nicht, dafür ist der des „Verarbeitens“ weiter gefasst. Im Gegensatz dazu ist die „Einwilligung der betroffenen Person jede Willensbeurkundung“, ohne die strengen Anforderungen des §5 Abs. 7 TDDSG an die elektronische Einwilligung.

Die EU-weiten Vereinheitlichungsbestrebungen betreffend das Datenschutz-Recht werden leider von Artikel 4 wieder unterlaufen: Er fordert, dass Niederlassungen in EU-Ländern die „im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhalten“. Allerdings gelten auch für Anbieter außerhalb der EU, die innerhalb lediglich Daten verarbeiten lassen, die strengeren Bestimmungen der Richtlinie beziehungsweise des einzelstaatlichen Rechts (Abs. 1 Buchstabe c).

In Artikel 6 wird der auch im TDDSG enthaltene Grundsatz festgeschrieben, dass erhobene Daten nur entsprechend der ursprünglichen Zweckbedingung verarbeitet werden dürfen, also ein Speichern der Daten zum Zwecke des DataMining im ursprünglichen Vertrag erlaubt werden muss. Leider gibt es hier ein Schlupfloch, das verschiedene Auslegungen zulässt: Die Verarbeitung darf darüber hinaus erfolgen, falls sie zur Wahrung des „berechtigten Interesses“ des für die Verarbeitung Verantwortlichen steht; Wie weit oder eng diese Regelung zu lesen ist, werden im Einzelfall die Gerichte entscheiden müssen.

Sehr fortschrittlich ist das Verbot in Artikel 8, das ganze Kategorien persönlicher Daten von der Verarbeitung ausnimmt: Die „Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben“ ist verboten, es sei denn, eine Einwilligung liegt vor. Für Krankenhäuser gibt es auch Ausnahmen.

Das Auskunftsrecht aus Artikel 12 geht teilweise weiter als das des TDDSG. Es muss auf Anfrage Auskunft über die Zweckbestimmung der Verarbeitung gegeben werden, sowie über die (Kategorien der) Empfänger der Daten. Allerdings ist diese Auskunft nicht zwangsweise auch elektronisch zu erteilen, und über die verarbeiteten Daten muss nicht detailliert Auskunft gegeben werden.

Wie in Deutschland auch (§4 Abs. 2 Nummer 3, TDDSG) hat der Anbieter durch geeignete organisatorische Massnahmen“ sicherzustellen, dass die übertragenen personenbezogenen Daten nicht von Dritten abgehört werden können (vgl. Artikel 17, Abs. 1).

Artikel 18 sieht die Einrichtung einer Kontrollstelle vor, welcher vorab jede „automatisiert Verarbeitung“ gemeldet werden muss. Wie so oft wird diese Regelung aber aufgeweicht, es ist alternativ auch die Bestellung eines Datenschutzbeauftragten für die Firma zulässig (deutsche Regelung). Auch das BDSG sieht in §32 für Stellen, die geschäftsmäßig personenbezogene Daten verarbeiten, eine Meldepflicht vor, allerdings mit Monats-Frist, ausserdem sind die im Register gespeicherten Angaben bei weitem nicht so detailliert wie in der EU-Richtlinie vorgesehen.

Eine Übermittlung in Drittländer (ausserhalb der EU) ist laut Artikel 25 zulässig, wenn dort ein „angemessenes Schutzniveau gewährleistet“ ist. Dies ist bisher für Ungarn und die Schweiz der Fall, in Amerika nur, falls sich die Firma an die Regeln der sogenannten „Save Harbor“-Vereinbarung halten. Nächste Kandidaten könnten Kanada, Japan oder Australien sein[EN3]. In andere Länder können personenbezogene Daten nur übermittelt werden, wenn die Einwilligung dazu gegeben wurde oder zum Beispiel die Übermittlung zur Erfüllung des Vertrages zwischen Kunde und Anbieter notwendig ist. Die Regelung wird in der Praxis durch geeignete Klauseln in den AGB unwirksam werden.

Schließlich gibt es eine sogenannte „Gruppe“, welche unter anderem aus Vertretern der Mitgliedstaaten besteht (Artikel 29), die der Kommission über die Umsetzung der Richtlinie in einzelstaatliche Vorschriften berichtet und auch, falls sich zwischen „der Praxis der Mitgliedsstaaten Unterschiede ergeben“ (Artikel 30). Die Gruppe hat nur beratende Funktion und kann Empfehlungen abgeben, darüber hinaus gehende Befugnisse sind keine vorhanden.

Insgesamt beinhaltet die Richtlinie einige neue, begrüssenswerte Ansätze, jedoch machen die reichlich vorhandenen Ausnahmen und Auslegungsspielräume Kopfschmerzen. Man kann hoffen, dass der deutsche Gesetzgeber seinen Interpretationsspielraum dahingehend ausnutzt, die Regelungen zumindest hier restriktiver und kundenfreundlicher zu machen.

3 Schutzmöglichkeiten

3.1 Rechtliche Möglichkeiten

3.1.1 Kontrolle über eigene personenbezogene Daten

Um natürlichen Personen die Kontrolle über sie betreffende personenbezogene Daten zu ermöglichen (Schlagwort informationelle Selbstbestimmung), gibt es einige Bestimmungen.

Als erstes ist das Auskunftsrecht von Bedeutung. Laut §7 TDDSG hat der Nutzer von Telediensten jederzeit das Recht, die zu seiner Person gespeicherten Daten einzusehen. Hierfür darf auch kein Entgelt erhoben werden. Die Auskunft ist auf Verlangen des Nutzers auch auf elektronischem Wege zu erteilen, zum Beispiel über ein Email-Formular. Selbst nur „kurzfristig“ gespeicherte Daten, die im BDSG vom Auskunftsrecht ausgenommen sind (§33 Abs. 2 Nummer 5 BDSG, Ausnahme falls „die Daten in einer Datei gespeichert werden, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht wird“), werden vom TDDSG eingeschlossen. Insgesamt sind die Regelungen des TDDSG „günstiger als die Auskunftsvorschriften der allgemeinen Datenschutzgesetze“[Bä].

Ein Problem ergibt sich allerdings bei der elektronischen Auskunft. „Denn natürlich soll nicht eine Person einfach Auskunft über personenbezogene Daten einer anderen Person [...] erhalten können“[GS]. Ein Auskunftsbegehren kann also leider nicht einfach in einem Web-Formular geäussert werden, da hier die Person am Bildschirm leider nicht eindeutig festgestellt werden kann. Es wären aber sehr gut eine Authentisierung im Rahmen einer digitalen Signatur, zum Beispiel über PGP oder sogar signaturgesetz-konforme Verfahren, denk- und machbar13.

Der Kunde kann also immer vom Anbieter verlangen, über ihn gespeicherte Daten einzusehen. Damit hat er die Möglichkeit, Verstöße oder Unrichtigkeiten zu finden. Entdeckt er solche, stehen ihm weitere Möglichkeiten offen.

Das TDDSG enthält diesbezüglich keine Regelungen, also sind die Vorschriften des BDSG anzuwenden. (Das TDDSG ist nur ein Spezialgesetz, dessen Regelungen Vorrang hätten.) Relevant ist §35, der für nicht-öffentliche Stellen, also auch Privatunternehmen, gilt. Er sagt, dass unrichtige personenbezogene Daten grundsätzlich berichtigt werden müssen. Sofern die Richtigkeit von Daten vom Betroffenen bestritten wird, „und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt“, sind die Daten zu sperren und dürfen dann nur noch in Ausnahmefällen (beispielsweise zu Beweiszwecken) verwendet werden. Unter Umständen sind personenbezogene Daten sogar zu löschen, etwa weil ihre Speicherung unzulässig ist, weil zum Beispiel nicht im Vertrag vorgesehen, oder weil es sich um Angaben über „gesundheitliche Verhältnisse, strafbare Handlungen, Ordnungswidrigkeiten sowie religiöse oder politische Anschauungen handelt“, deren Richtigkeit von der speichernden Stelle nicht bewiesen werden kann. Anstatt des Löschens ist eine Sperrung vorzunehmen, falls Aufbewahrungsfristen vorhanden sind oder das Löschen „wegen der besonderen Art der Speicherung“, zum Beispiel auf CDs, nicht oder nur schwer möglich ist.

Von einer Löschung, Berichtigung oder Sperrung müssen alle Stellen benachrichtigt werden, an welche regelmäßig Daten weitergegeben werden. Eine Sondervorschrift gilt insgesamt für Daten, die aus „allgemein zugänglichen Quellen entnommen“ wurden.

„Wer meint, durch den Umgang mit seinen Daten seitens einer nicht-öffentlichen Stelle in seinen Rechten verletzt zu sein, kann sich an die Aufsichtsbehörde des jeweiligen Landes wenden.“([BfD1], Grundlage §38 BDSG). Diese14 hat weitgehende Kontrollrechte, kann aber leider nur Anordnungen „zur Beseitigung festgestellter technischer oder organisatorischer Mängel“ treffen. Natürlich steht jedem auch der Klageweg offen.

Hierbei ist zu bemerken, dass im Falle einer Klage des Nutzers auf Schadenersatz die Beweislast die speichernde Stelle trifft (§8 BDSG).

3.1.2 Wirksamkeit der Datenschutzvorschriften

Dem Kunden stehen also die ganzen im vorigen Kapitel erläuterten rechtlichen Möglichkeiten zur Verfügung, um sich gegen Missbrauch seiner Daten zu schützen. In §43f BDSG stehen sogar Straf- und Bußgeldvorschriften, die Strafen bis zu einem Jahr Gefängnis und Geldbußen bis zu 50.000 DM vorsehen und eine „präventive Funktion“[BfD1] wahrnehmen. Trotzdem haben „Tests von Verbraucherorganisationen [...] ergeben, dass die Schutzvorschriften des TDDSG bei vielen Telediensteangeboten nur auf dem Papier stehen“[Bä].

Da sich die Rechtswirksamkeit von Gesetzen nicht mit deren Inkrafttreten einstellt, haben die Gesetzgeber Institutionen vorgesehen, die deren Umsetzung überwachen. §8 TDDSG erklärt die Aufsichtsbehörden des §38 BDSG zuständig (siehe voriges Kapitel), ermöglicht ihnen darüber hinaus jedoch auch anlassunabhängige Überprüfungen. „Auch §18 des MD-StV verweist auf die nach den allgemeinen Datenschutzgesetzen zuständigen Kontrollbehörden, jedoch ohne diese von der Bindung an die Anlassaufsicht zu befreien“[Bä].

Im Mediendienste-Staatsvertrag sind jedoch in Absatz 2 gleich die Möglichkeiten der Kontrollbehörde zur Durchsetzung der Vorschriften geregelt, „sie kann insbesondere Angebote untersagen und deren Sperrung anordnen.“ Die Kontrollbehörde, welche die Einhaltung des TDDSG überwacht, kann, wie schon erwähnt, nach Maßgabe des §38 Abs. 5 BDSG leider nur „Maßnahmen zur Beseitigung festgestellter technischer oder organisatorischer Mängel“ treffen. Diese Mängel betreffen aber nur die allgemeine Struktur, die technisch und organisatorisch grundsätzlich in der Lage sein muss, die Vorschriften des BDSG umzusetzen15.

Ein weiterer Kritikpunkt ist die mangelhafte Ausstattung der Aufsichtsbehörden. So beschwert sich Dr. Helmut Bäumler in [Bä], dass „nicht bekannt geworden [sei], daß irgendwo mit dem Inkrafttreten des TDDSG eine sachgerechte Mittelaufstockung stattgefunden hätte“. Die Behörden könnten so rein personell überhaupt keine anlaßunabhängigen Kontrollen vornehmen oder gar forschend tätig werden; ihre eventuellen Tätigkeitsberichte werden eher mager ausfallen. Dafür spricht auch, dass nur sehr wenige der Aufsichtsbehörden eine Email-Adresse zur Kontaktaufnahme veröffentlichen, keine ein Web-Formular, das ja bestens geeignet wäre, um Beschwerden vorzubringen, welchen dann natürlich nachgegangen werden müsste.

Es ist festzustellen, dass in jedem Bundesland eine andere Institution für die Datenschutzkontrolle zuständig ist. Das ist für den Standort Deutschland nachteilig, da ausländische Unternehmen „einheitliche Rahmenbedingungen in der Bundesrepublik Deutschland [...] und einheitliche Ansprechpartner für Datenschutzkontrolle vorfinden müssen“ [EFMT]. Deshalb ist eine Koordination der einzelnen Kontrollstellen der Länder wünschenswert, und deshalb wurde dem Bundesbeauftragten für den Datenschutz in §8 Abs. 2 TDDSG eine beobachtende Funktion in Bezug auf dieses Gesetz zugewiesen.

Auf das Engagement von Einzelnen baut die Vorschrift zur Bestellung eines betrieblichen Datenschutzbeauftragten (§36 BDSG). Dieser hat die Einhaltung der relevanten Vorschriften zu überwachen. Er ist zwar vom Betrieb her zu „unterstützen“, hat aber keine Sanktionsrechte. Das heißt, er kann sich für die Einhaltung der Vorschriften stark machen, riskiert dabei aber den Unmut seiner Kollegen und Vorgesetzten, auch wenn er theoretisch „wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden“ darf.

Eine weitere Möglichkeit zu kontrollieren, ob die Datenschutz-Regelungen im Betrieb durchgesetzt sind, stellt das in §17 Med-StV vorgesehene Datenschutz-Audit dar: Ein Unternehmen lässt sich von einem unabhängigen Gutachter prüfen, und erhält dann im Anschluss ein Gütesiegel, das es veröffentlichen darf. „Die zur tatsächlichen Anwendung des Audits erforderliche gesetzliche Grundlage fehlt jedoch noch“[BCBi]. Bis diese Lücke gefüllt wird, haben sich vielleicht schon (laxere) kommerzielle Siegel durchgesetzt, die im nächsten Kapitel behandelt werden.

3.2 Siegel und Vertrauen

Das Vertrauen von Kunden in einen Onlineshop sollen Siegel bestärken. Da sich viele Konsumenten unsicher fühlen und nicht durch die ganzen AGBs wühlen wollen, sollen diese Zertifikate sicherstellen, dass gewisse Mindeststandards eingehalten werden. Die Anbieter solcher schmückender Siegel versprechen den Internet-Händlern eine höhere Akzeptanz seitens der Kunden.

Dieser Ansatz hat seine guten Seiten. Zum Beispiel wird bei den Siegel-Anbietern eine Wissensbasis über die aktuellen gesetzlichen Bestimmungen in Deutschland aufgebaut, das dann an die Internet-Läden weitergegeben wird. Das wird auch durchaus als Marketingargument verwendet. Auch die Kunden selber werden über die Shop-Siegel auf die Problematik des Datenschutzes aufmerksam gemacht16.

Die Zertifikate müssen jedoch auch kritisch betrachtet werden. Die in den Siegel-Anforderungen festgelegten Bestimmungen sind nur sehr niedrige Mindeststandards17. Die Hauptforderung deutscher Siegel ist meinst, dass sich die Unternehmen an die gesetzlichen Bestimmungen zu halten haben!18 Beim TrustE-System (siehe Fußnote) genügt es gar, irgendeine Privacy Policy auf der Web-Seite zu haben, es „erhalten auch diejenigen Anbieter das Siegel, die offen beschreiben, dass sie fleißig Daten sammeln und auch an Dritte weitergeben“[GR]. Ein anderer wunder Punkt sind die Sanktionen, die ergriffen werden, falls Verstöße festgestellt werden. Diese beschränken sich meistens auf eine Bitte an den Seitenbetreiber, seine Praxis/Datenschutzhinweise zu ändern. Im äußersten Fall wird dann das Recht entzogen, das Siegel weiterhin auf der Seite zu führen. Weitergehende (Vertrags-)Strafen habe ich bei keinem der untersuchten Systeme (siehe Fußnoten) gefunden. TrustE hat zwar eine Liste mit abgemahnten Firmen auf seiner Webseite; für die Mahnung scheint aber der Grund zu sein, dass die Lizenzgebühren an TrustE nicht mehr gezahlt wurden, da keine sachlichen Begründungen gegeben werden. Es existiert also kein Mechanismus, um Verstöße wirkungsvoll zu ahnden. Dass diese erst ans Licht kommen, soll „hauptsächlich durch Beschwerdemöglichkeiten der Nutzer sichergestellt werden.“[GR] Ein externes Audit, dass über die Prüfung der durch den Shop-Betreiber zugesandten Unterlagen hinaus geht, ist noch nicht Standard. Beim s@fer-shopping-Siegel des TÜV ist aber ein „Audit“ vor Vergabe vorhanden, und TrustE behält sich zumindest die Option frei, im Rahmen eines Beschwerdeprozessen einen externen Gutachter zu einer firmeninternen Prüfung zuzuziehen. Ein letzter Kritikpunkt sind noch die vom Anbieter der Internetseiten für das Siegel zu entrichtenden Gebühren, die ungefähr ab 600 DM für kleine Seiten anfangen. „some labelling bodies will be under pressure from the companies they are supposed to control.“[EW]

Insgesamt sind jedoch die Siegel-Systeme, jedenfalls in ihrer heutigen Ausprägung, kritisch zu bewerten. „The main social risk would be the widespread dissemination of privacy labels throughout Europe, which could be misleading for users and data controllers. Although they may give this impression, not all labels seriously guarantee compliance with the aforementioned data protection principles.“[EW]

Als potentieller Kunde eines Internet-Ladens kann man sich auch selbst vor dem Kauf davon überzeugen, dass der Betreiber zumindest theoretisch weiss, was erlaubt ist, indem man feststellt, ob der Betreiber seinen Unterrichtungspflichten zum Datenschutz (siehe Kapitel Rechtsnormen, besonders Erhebung und Verwendung von Daten) nachkommt. Ein anderes Indiz ist das Vorhandensein einer Kontakt-Adresse. Diese ist für „geschäftsmäßigen Angebote“[BT] sowieso zwingend vorgeschrieben (§6 TDG19). Und zwar muss diese Adresse „vor Vertragsabschluß“ einsehbar sowie ladungsfähig sein, daher eine Telefon/Email-Adresse oder eine Postfachangabe genügen nicht[Wo2].

3.3 Technische Schutzmöglichkeiten

3.3.1 P3P: Standard für Datenschutz-Erklärungen

P3P, die Platform for Privacy Preferences (Plattform für Datenschutz-Vorlieben), ist die erste der sogenannten PET, Privacy Enhancing Technologies20, die in diesem Kapitel betrachtet werden sollen.

Die Platform for Privacy Preferences ist eine auf XML basierende MarkupLanguage, die es Anbietern im Internet erlaubt, ihre Datenschutzhinweise/Regelungen in maschinenlesbarer Form in ihre HTML-Internet-Seiten einzubinden. Ein einfaches Beispiel findet sich in [En]. Der Standard wird von der P3P Specification Working Group entwickelt, der auch europäische Datenschützer angehören. Die aktuelle Version 1.021 sieht vor, dass die Seitenanbieter ihre Privacy-Policies sowohl in Langform (wie bisher in den AGB) zur Verfügung stellen, als auch in P3P codiert. Die Seitenbesucher sollen dann einen Client zur Verfügung haben, bestenfalls im Browser integriert, der die Datenschutzhinweise abruft. Diese vergleicht die Software dann mit den Einstellungen, welche der Benutzer bezüglich seiner Datenschutz-Vorlieben getroffen hat. Im Falle einer Diskrepanz, wenn zum Beispiel die Website zuviel wissen will oder sich nicht an gewünschte Vorschriften hält, erfolgt eine Warnung. Der Benutzer kann sich dann überlegen, ob er diese Webseite weiter besuchen will. Die Einstellungen setzten natürlich Kenntnisse seitens des Benutzers voraus. Aus diesem Grund wird die APPEL22-Sprache entwickelt, in der Datenschutz-Vorlieben festgehalten und ausgetauscht werden können. Der Benutzer könnte sich dann die Einstellungen von vertrauenswürdigen Stellen, zum Beispiel Verbraucherorganisationen, herunterladen. Leider gibt es im Moment noch keine ausgereiften Implementierungen23 eines P3P-Clienten für den Benutzer, wenn auch einige zum Erstellen von P3P-Policies für die Webseiten-Anbieter. Eine benutzbare Client-Beta-Version stammt von der Firma YOUpowered, welche die Möglichkeit von Profilen für die Webseiten-Anbieter in den Vordergrund stellt24! Das zeigt, dass P3P einige Einschränkungen hat; der Standard musste schon gerechtfertigte Kritik einstecken [EPIC][Ca]. Es müsste sichergestellt werden, dass die Standard-Einstellungen der Benutzer-Software genügend restriktiv sind. Außerdem sollte dafür gesorgt werden, dass sich die Anbieter auch an die Datenschutzversprechen halten, die sie per P3P gegeben haben. Über die Benutzer-Wünsche endlich könnten Webseiten auf Vorlieben des Surfers schließen und ihr Web-Angebot individuell anpassen.

Insgesamt ist der Hauptvorteil von P3P, dass der Benutzer sich schnell einen Überblick über die Datenschutz-Angaben eines Anbieters machen kann, und auf die Problematik aufmerksam wird. Allerdings hilft dies alles nichts, solange keine entsprechenden Gesetze und Regelungen in Kraft sind, die nötigenfalls auch Sanktionen vorsehen, weshalb der Standard in den USA, im Gegensatz zu Europa, wohl mehr ein Feigenblatt darstellen wird. Künftige Erweiterungen des Standards, die vorsehen, dass die Benutzerdaten von der Software entsprechend den Einstellungen übermittelt werden, sind zu begrüßen, solange sie den Benutzer jedesmal informieren und über die verschickten Informationen Buch führen.

3.3.2 (anonyme) elektronische Zahlungsvorgänge

Mit der Zunahme des über das Internet getätigten Handels werden sich auch elektronische Zahlungsvorgänge, die ohne physische Komponenten (wie Bargeld) auskommen, weiter verbreiten. Das stellt eine Gefahr für die Privatsphäre der Kunden da, weil die Möglichkeit bestehen könnte, bankseitig die Zahlungen in einer grossen Datenbank zu erfassen und Einkaufs-Profile zu erstellen. Im folgenden werden einige in Deutschland gängigere Verfahren auf diesen Aspekt hin beleuchtet. Standard-Verfahren wie Lastschrift oder Kreditkartennummerübermittlung werden nicht betrachtet, genausowenig wie sogenannte Micropayment-Verfahren, die für das Übertragen von Kleinstbeträgen ausgelegt sind. Nicht berücksichtigt ist das relativ neue System NET90025, das nicht sehr datenschutz-freundlich zu sein scheint.

Die GeldKarte ist in fast allen EC-Karten in Deutschland eingebaut; sie ist ein Microchip, der aussieht wie der goldene Kontakt auf einer Telefonkarte. Der Zentrale Kreditausschuß (ZKA) des deutschen Bankwesens hat schon 1999 die Verwendung der Geldkarte für Zahlungen über das Internet zugelassen[NK]. Allerdings muss der Kunde aus Sicherheitsgründen dazu über ein Lesegerät der Klasse 4 verfügen, das eine eigene Tastatur und eine eigene Anzeige (für die Geldsummen) besitzt. Da diese Geräte bei den Kunden noch nicht verbreitet sind, hat sich diese Zahlungsart allerdings nicht durchgesetzt, erst wenige Händler bieten die Option an, mit Geldkarte zu zahlen26. Von Datenschützern wurden „Bedenken angemeldet, daß die Banken durch das Bezahlen von Kleinbeträgen einen zu tiefen Einblick in die Gewohnheiten des Kunden gewinnen könnten“[Ge], da die Banken „kartenbezogen jede einzelne Zahlungstransaktion“[DB] (Einkauf eines Kunden bei einem Händler) über sogenannte Schattenkonten verifizieren. Gegenüber dem Händler könnte man mit einer kontoungebundenen Kreditkarte anonym bleiben, allerdings sind dies weniger als 2% der ausgegebenen Karten[Ge].

Ein Verfahren mit grosser Relevanz für die Zukunft ist SET27, der Secure Electronic Transaction Standard, auf den sich MasterCard und VISA geeinigt haben, nachdem sie auf Druck der Banken von proprietären Eigenlösungen ablassen mussten. Die Entwicklung des Standards verlief offen, und große Unternehmen wie IBM haben daran mitgewirkt. Um die Weiterentwicklung und Einhaltung des Standards kümmert sich die Setco28, bei der man sich erst zertifizieren lassen muss, um seine Software mit dem SET-Zeichen schmücken zu dürfen. Vom Gesichtspunkt des Datenschutzes ist SET nicht besser zu bewerten als die Geldkarte. Die Bank könnte „kundenspezifische Profile“[HSS] erstellen. Der Händler allerdings erhält keine Zahlungsinformationen (wie Kreditkartennummer) vom Kunden, da diese verschlüsselt an die Bank übertragen werden (PublicKey - Verschlüsselung). Dummerweise sind im Standard Stellen für Erweiterungen vorgesehen, die es den Händlern durchaus erlauben würden, Kundendaten an die Bank zu übermitteln. Es bleibt abzuwarten, ob das ausgenutzt wird.[Zw]

Das Cybercash-System29 macht lediglich die Übermittlung der Kreditkartendaten sicher, die nicht der Händler, sondern nur ein Treuhänder lesen kann, der das Geld von der Kreditkartengesellschaft eintreibt. „Insofern setzt ein Datenmißbrauch ein treuwidriges Verhalten aller Beteiligten voraus. [...] Der Käufer bleibt bei Cybercash nicht anonym“[DB].

Telecash30 ist genauso wie Cybercash kein neues Geld, es werden nur die Kreditkartendaten dem Händler nicht bekannt. Die Firma bietet auch sehr viele andere Zahlungssysteme, unter anderem auf Basis von SET oder Geldkarte, an.

Erwähnenswert ist der Ansatz von E-Gold: Die Firma E-Gold Ltd. hat wertvolle Metalle eingelagert, und gibt elektronische Gutscheine auf Gewichtsanteile aus, also zum Beispiel 10 Gramm Gold oder 1 Gramm Platin. Der Wert der Gutscheine hängt also am Tagespreis des Metalls. Man kann sich das Metall oder den Tagespreis ausbezahlen lassen, oder mit den Gutscheinen einkaufen31. Leider muss jede Zahlung, auch unter Privatpersonen, über die Firma laufen[KSc], und wahrscheinlich werden alle Zahlungen aufgezeichnet, die Privacy-Policy32 jedenfalls ist äusserst dürftig.

Der Paybox-Service der paybox deutschland AG benutzt das Handy als sicheren Kanal, um Zahlungen zu bestätigen. Nach einer Bestellung bei einem Händler erhält der Kunde, der sich vorher als Paybox-Benutzer registriert hat, einen Anruf vom Computer und muss seine Geheimnummer eingeben. War diese korrekt, bekommt der Händler das OK, die Ware auszuliefern, und der Geldbetrag wird vom bekannten Konto des Kunden abgebucht. Das Verfahren schafft also auch kein neues Geld, sondern überträgt nur das Lastschriftverfahren sicherer auf das Internet. Die Paybox AG erfährt natürlich wer bei welchem Händler wieviel einkauft und könnte Profile erstellen33. Der Händler erhält die Daten des Kunden jedoch nur bei Nicht-Einlösung einer Lastschrift (falls er nicht sowieso die Waren an eine Post-Adresse ausliefern muss).

Der PayPal-Service der X.com Corporation erlaubt registrierten Benutzern (auch in Deutschland) den Austausch von Geld über das Internet, damit auch das Bezahlen bei einem Händler. Dazu hat der Benutzer X.com seine Kreditkartendaten mitzuteilen. Der Empfänger einer Zahlung bekommt eine Email, dass ihm Geld zugeschickt wurde. Da alle Zahlungen innerhalb des Firmen-Rechners ablaufen, und alle Transaktionen protokolliert werden, können genaue Profile erstellt werden. Laut der Privacy Policy34 wird „aggregated statistical information“ weitergegeben, die jedoch keine „personally identifying information“ enthält.

Das interessanteste Verfahren überhaupt ist Ecash. Es wird in Deutschland von der Deutschen Bank angeboten und beworben35, und seit Januar 2001 bietet auch Bibit Internet Payments36, eine große Firma welche europaweit sehr viele Zahlungsdienste über elektronische Medien anbietet, Ecash als Option. Gute Aussichten also, dass es sich in Deutschland weit verbreitet, vor allem da nicht wenige Händler diese Zahlungsmethode akzeptierten37. Digicash geht auf kryptographische Verfahren und Ideen [Ch] von Dr. David Chaum zurück, der später dann die Firma DigiCash gründete. Es wird das Verfahren der blinden Unterschrift [CC2] genutzt, das Chaum patentierte: Der Kunde produziert auf seinem Computer (im sogenannten mint) eine Münze. Diese wird mit einem Blendungsfaktor multipliziert und zur Bank geschickt. Diese signiert die Münze mit einer blinden Unterschrift, das heißt sie kann den signierten Text nicht lesen. Vom Konto des Kunden wird der Betrag der signierten Münze abgehoben. Die signierte Münze erhält der Kunde zurück, der den Blendungsfaktor entfernt und die immer noch von der Bank unterschriebene Münze jetzt ausgeben kann. Da die Bank nicht weiß, von welchem Kunden die von den Händlern einlaufenden Münzen stammen (Blendungsfaktor), ist das Verfahren anonym!

Damit eine Münze bei der Bank nicht doppelt eingelöst wird, führt diese eine Liste der Seriennummern der schon vorgelegten Geldstücke. Im Falle eines Verlustes der Daten (beispielsweise durch Festplattendefekt) kann der Kunde trotzdem seine noch nicht ausgegebenen Münzen zurückerhalten, da er hoffentlich den RecoveryString noch hat, der als Ausgang für alle Berechnungen dient. Allerdings ist bei Benutzung des Recoveries die Anonymität aufgehoben, die Bank weiss, von welchen Händlern die Münzen des Kunden zurückgekommen sind[CC1]. Obwohl es prinzipiell möglich wäre, das Geld auch von Kunde von Kunde weiterzugeben, ist das momentan nicht vorgesehen38, wohl um durch einen schnellen Rücklauf der Münzen Betrug durch doppeltes Ausgeben zu verhindern.

Insgesamt gilt: „The technology created by DigiCash comes closest to realizing the concept of a cash equivalent for the Internet.“[KSc]

3.3.3 SSL - Verschlüsselung

Das Secure Sockets Layer-Protokoll wurde von Netscape eingeführt und ist inzwischen der internet-weite Standard für die verschlüsselte Kommunikation zwischen Kunden-Browser (Client) und Web-Server des Anbieters. Eine Einführung findet sich in [NS]. Es ermöglicht, dass die Kommunikation zwischen dem Client und dem Server nicht durch Dritte abgehört werden kann, und garantiert die Integrität der versendeten Daten. Dazu einigen sich Client und Server (mittels PublicKey-Verfahren gesichert) auf ein Verschlüsselungsverfahren und einen Schlüssel, der dann die Kommunikation dieser Sitzung sichert. Der Kunden-Browser muss dazu natürlich den PublicKey der Internetseite haben, beziehungsweise den PublicKey einer Zertifizierungsstelle, die den zugesandten PublicKey unterschrieben hat39. Bei Netscape kann der Kunde einstellen40, welche der verschiedenen angebotenen Verschlüsselungsalgorithmen er als sicher genug erachtet, um sie bei einer SSL-Verbindung zu nutzen. Wer feststellen möchte, ob sein Browser sichere Verfahren unterstützt, kann dies bei Fortify.net41 tun. Ist eine Verbindung verschlüsselt, geht bei Netscape unten das Vorhängeschloss zu, und beim IE taucht rechts unten ein Vorhängeschloss auf42.

Der Knackpunkt ist jedoch, dass die SSL-Verbindung nur Dritte daran hindert, personenbezogene Daten auszuspähen. Der Webseiten-Anbieter kann mit den Daten immer noch Mißbrauch betreiben! Immer wieder im Internet zu findende Aussagen wie „Privacy secured through SSL“ sprechen also eher für die Inseriösität eines Anbieters, solange sie nicht durch eine adäquate PrivacyPolicy ergänzt werden.

3.3.4 Browser-Einstellungen

Durch sichere Einstellungen seiner Internet-Software bekommt der Kunde einen besseren Datenschutz. Bei der Installation oder Erstbenutzung einer neuen (Internet-)Software sollte man sich deshalb immer alle Einstellungsoptionen ansehen, und dann gegebenenfalls die Einstellung ändern. Ein Beschränken auf die „Sicherheitseinstellungen“ reicht nicht auf, da für den Datenschutz relevante Optionen oft (absichtlich?) auf anderen Einstellungsseiten versteckt sind. Auf exakte Vorgehensweisen, um die Software sicher zu bekommen, wird hier nicht eingegangen, da sich diese mit jeder neuen Version ändern. Hilfestellungen bekommt man bei [EVSH], in populäreren Fachzeitschriften (wie der c`t) oder auf der sehr guten Portalseite www.Sicherheit-im-Internet.de einiger Bundesministerien.

Von Wichtigkeit ist es natürlich, Cookies standardmäßig abzuschalten, damit keine Profile erstellt werden können. JavaScript wird auf gut programmierten Seiten auch nicht benötigt, und sollte nur bei Bedarf angeschaltet werden. Java braucht man nur für Spezialanwendungen wie Homebanking. Microsofts ActiveX ist unnötig, es geht alles auch mit Java. Des weiteren ist die Option zu deaktivieren, beim Dateidowload (per FTP) automatisch die Emailadresse preiszugeben. „Quality-Feedback“ oder ähnliche Funktionen sollten auch nicht verwendet werden, man weiss nie, was die Firmen über grundlegende technische Informationen hinaus noch übertragen. Auto-updates sollten aus Sicherheitsgründen auch vermieden werden. Funktionen wie „Zählen der übertragenen Seiten“ des IE, die Informationen über das Surfverhalten akkumulieren und weitergeben, sind eigentlich schon eine Frechheit. Im RealPlayer aber zum Beispiel kann nicht abgeschaltet werden, dass eine Liste sämtlicher betrachteten Dateien an die Herstellerfirma geschickt wird! Auch im Microsoft Windows Media Player wird eine Liste der abgespielten Dateien geführt, die über das Internet abgefragt werden kann[Va]. Angaben über die eigene Person in einer Internet-Software sind nicht nötig. Sollte das Programm partout darauf bestehen, muss man aufpassen, dass einem keine Tippfehler unterlaufen. Wer sogenannte „Wallets“ benutzt, die automatisch Formulare in Webseiten ausfüllen, ist selbst schuld. In neueren IEs gibt es die Möglichkeit, Internet-Seiten verschiedenen „Zonen“ zuzuordnen, für welche dann unterschiedlich restriktive Sicherheitseinstellungen gelten. Mozilla43 hat diese Funktion auch, der darauf aufbauende Netscape 6 leider nicht.

Ich persönlich vermeide es, Software von Microsoft zu verwenden, da hier meist die unsichersten Einstellungen der Standard sind, die Firma in Bezug auf Datenschutz einen schlechten Ruf hat (Beispiele in [WNJo] oder (sic!) [MS]) und sich auch nicht beeilt, technische Sicherheitslücken zu beheben, welche teilweise gravierend sind44.

3.3.5 Spam - unerwünschte Email

Spam ist das amerikanische Wort für Dosenfleisch und bezeichnet unverlangt zugesandte Email-Werbung, die im Internet immer mehr zu einem Ärgernis (beziehungsweise einem gravierenden Problem -> Verstopfung des Netzes) wird. Sofern die Mail von einem Anbieter kommt, dem man seine Adresse vorher mitgeteilt hatte, kann man sich wahrscheinlich gegen die Zusendung dieser Mail verwehren (§3 Abs. 2 TDDSG), vorausgesetzt, der Anbieter hat vom Kunden nicht die Zustimmung zur Zusendung von Werbe-Email bekommen. Dies ist allerdings unwahrscheinlich, die Formvorschriften dafür werden heute in der Praxis noch nicht beachtet (siehe Kapitel 2.2). Kommt die Mail von einem unbekannten Anbieter, gestaltet sich die Rechtslage schwierig, da dieser nicht gegen das TDDSG verstößt, man hat ihm die Daten ja nicht mitgeteilt. Die Lage in Deutschland ist nicht eindeutig: Bisher war unaufgeforderte Werbe-Email aus verschiedenen Gründen verboten[Ve], neuere Urteile [AK] schließen sich der Argumentation jedoch nicht mehr an. Die E-Commerce-Richtlinie der EU sieht vor, dass sich Verbraucher in Opt-Out-Listen (Robinson-Listen) eintragen müssen, um keine Email-Werbung mehr zu erhalten[SH].

Wer mit Spam zugeschüttet wird, wendet sich praktisch am besten an die Server-Administratoren des sendenden Rechners, um sich zu beschweren45. Im Internet herrscht, ungeachtet der Rechtslage, unter den Verantwortlichen ein Spam-feindliches Klima. Um sich davor zu schützen, dass Anbieter die ihnen überlassene Email-Adresse an andere Firmen weitergeben, gibt es ein nettes Mittel, das auch der Autor mit Erfolg einsetzt: Man verwende für jeden Anbieter, bei dem man eine Email-Adresse angeben muss, eine andere. Das geht besonders dann gut, wenn man eine eigene Domain (wie www.meinname.de) hat, da mittels der oft angebotenen „catch all email“ - Funktion alle Mails an egal@meinname.de an eine Emailadresse weitergeleitet werden. Man muss jetzt nur noch Adressen des Musters Anbieter@meinname.de herausgeben, und kann schwarzen Schafen dann ihr Vergehen sogar nachweisen!

3.3.6 Web-Anonymizer

Web-Anonymizer sind Dienste, die man benutzen kann, um im Internet zu surfen46. Sie funktionieren als Weiterleitungs-Stationen. Dabei wird die IP-Adresse des eigenen Rechners gegenüber den Internet-Händlern geheim gehalten, JavaScript oder ähnliche aktive Technologien, die weitere Auskünfte über den Surfer geben könnten, werden aus den dem Surfer übermittelten Seiten herausgefiltert. Manche Anbieter stellen sogar durch mehrere Relais-Stationen und Verschlüsselung sicher, dass selbst sie nicht (und auch kein Geheimdienst) herausfinden können, wer welche Seiten ansieht47. Allerdings tragen Anonymizer nur bedingt zum Datenschutz bei, da das Hauptproblem darin besteht, dass Firmen mit ihnen willentlich überlassenen Daten nicht im Sinne des Kunden umgehen. Einer der ersten Dienste der Art war übrigens „The Molson Canadianizer“48, über den man sich kanadisierte Webseiten ansehen konnte: man gab eine URL ein, und der Dienst zeigt diese an, wobei die Sprache dem kanadischen Akzent angepasst wurde.

3.3.7 Pseudonyme

Laut §4 Abs. 1 TDDSG hat der Diensteanbieter „dem Nutzer die Inanspruchnahme von Telediensten und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist.“ Das könnte zum Beispiel durch vorausbezahlte Wertkarten geschehen. Sofern der Diensteanbieter nicht die Einwahltelefonnummer mitprotokolliert (wozu jetzt endgültig kein Grund mehr besteht), kann nicht festgestellt werden, welcher Benutzer welche Internetseiten betrachtet hat.

Einen anderen Weg gehen Dienste wie Privada.com49 oder Freedom (Fn. 47), die es einem Nutzer erlauben, mehrere Online-Pseudonyme anzunehmen. Zum Beispiel besteht dann für jede Identität eine andere Email-Adresse, und die Umsetzung erfolgt durch den Diensteanbieter. Der Service iPrivacy.com (leider nicht in Europa verfügbar) geht noch weiter: hier kann der Kunde sogar „harte Ware“ einkaufen, die dann an ihn ausgeliefert wird. Dabei sehen angeblich weder der Händler noch der Diensteanbieter die Post-Adresse, nur die Bank und die Post (Postfach auch möglich).

David Chaum hat schon vor langer Zeit diese Pseudonyme vorgeschlagen[Ch], die sich sogar im Geschäftsverkehr (oder gegenüber dem Staat!) verwenden ließen. Das Signaturgesetz bietet in Deutschland sogar teilweise den rechtlichen Rahmen hierfür (vgl. Kapitel 2.2). Einkäufe erfolgen (wie bei iPrivacy) über einen Mittelsmann, der die wirkliche Identität aufdecken kann. Insgesamt sind Pseudonyme ein interessanter Ansatz, der es Bürgern erlauben würde, gegenüber verschiedenen Vertragspartnern/Organisationen unter verschiedenen Pseudonymen (oder Facetten ihres Lebens) aufzutreten. Mittels kryptographischer Methoden wäre es gar möglich, Eigenschaften/Ansprüche von einem Pseudonym auf ein anderes eigenes zu übertragen. Leider dürfte diese Technik auf absehbare Zeit lediglich Gegenstand akademischer Überlegungen sein, falls nicht im Rahmen des Signaturgesetzes Anwendungen wie zum Beispiel die Einkaufs-Dienste von iPrivacy auftauchen.

4 Schlußbemerkungen

Mit dem Teledienstedatenschutzgesetz hat sich die datenschutzrechtliche Landschaft wesentlich verbessert. Insbesondere der Grundsatz der Datensparsamkeit ist richtungsweisend. Es wäre schön, wenn dieser und andere Regelungen vom Bundesdatenschutzgesetz übernommen werden würden50. Leider stellen, unter anderem durch die Unterscheidung von Bestands-, Nutzungs- und Abrechnungsdaten, die Vorschriften manchmal einen Dschungel dar, der vom Kunden nur schwer überblickt werden kann. Insofern ist es wichtig, dass er bei Beschwerden einen Ansprechpartner zur Verfügung hat, und die Initiative des virtuellen Datenschutzbüros51 ist damit sehr zu begrüssen. Nur ein informierter Kunde (oder Bürger) ist in der Lage, die ihm zustehenden Rechte auch auszuüben.

Bis sich die Regelungen international verbessern und stabilisieren (insbesondere gegen das Profiling durch ausländische Webseiten-Verbünde/Konzerne wird in absehbarer Zeit nichts zu machen sein), muss sich jeder Kunde durch technische Maßnahmen selber schützen. Dass fängt damit an, den Standardeinstellungen der Internet-Software nicht zu trauen und personenbezogene Daten nur an vertrauenswürdige Seiten mit akzeptabler Datenschutzpolitik herauszugeben, und geht vielleicht sogar bis zum Verwenden von Ecash.



Abkürzungen/Begriffe

IE: Der Internet-Browser Internet-Explorer der Firma Microsoft.

IP-Adresse: Nummer, die weltweit eindeutig (für einen Zeitpunkt) im Internet einen Computer(verbund) identifiziert.

JavaScript: Skriptsprache, um Internetseiten interaktiv/dynamisch zu gestalten. Wird vom Browser des Kunden ausgeführt, falls dieser sie nicht deaktiviert hat.

Mall: Zusammenschluss von Online-Geschäften, die dann oft die gleiche Shop-Software benutzen und ein einheitliches Zahlungs-/Liefersystem.

PGP: Pretty Good Privacy, (kostenlose) Software, um elektronische Inhalte wie zum Beispiel Emails zu unterschreiben und/oder so zu verschlüsseln, dass sie nur ein bestimmter Empfänger lesen kann.

PublicKey/PrivateKey: Kryptographisches Verfahren, bei dem der Sender die Nachricht mit dem öffentlichen Schlüssel (Public Key) des Empfängers verschlüsselt; lesbar machen kann sie nur wieder der Empfänger mit seinem geheimen, privaten Schlüssel (PrivateKey).

BDSG: Bundesdatenschutzgesetz

FernAbsG: Fernabsatzgesetz

Med-StV: Staatsvertrag über Mediendienste (Mediendienste-Staatsvertrag)

SigG: Gesetz zur digitalen Signatur (Signaturgesetz)

TDDSG: Gesetz über den Datenschutz bei Telediensten (Teledienstedatenschutzgesetz)

TDG: Gesetz über die Nutzung von Telediensten (Teledienstegesetz - TDG)




Quellen

Als Übersicht über technische Gefahren und Lösungen ist [EW] geeignet.

Eine Einführung in das TDDSG findet man in [Bä].

[AGV] Arbeitsgemeinschaft der Verbraucherverbände, Internet-Einkauf mit Fallstricken, 14. Oktober 2000, http://www.agv.de/europa/polinterneteink.htm

[AK] Amtsgericht Kiel, E-Mail-Werbung, Urteil vom 30. September 1999 - 110C243/99

[Bä] Dr. Helmut Bäumler, Das TDDSG aus Sicht eines Datenschutzbeauftragten, DuD 5/1999, S. 258ff

[BCBi] Bernd-Christoph Bijok et. al., Datenschutz-Audit, Stellungnahme des Arbeitskreises „Datenschutzbeauftragte“ im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 5/1999, S. 281ff

[BfD1] Bundesbeauftragter für den Datenschutz, BfD Info 1, Bundesdatenschutzgesetz - Text und Erläuterungen, 5. Auflage April 1998

[BfD5] Bundesbeauftragter für den Datenschutz, BfD Info 5, Datenschutz und Telekommunikation, 4. Auflage Juni 2000

[BT] Dr. Johann Bizer, Daniel Trosch, Die Anbieterkennzeichnung im Internet - rechtliche Anforderungen für Tele- und Mediendienste, DuD 11/1999, S. 621ff

[Ca] Jason Catlett, Open Letter 9/13 to P3P Developers, 13. September 1999, http://www.junkbusters.com/ht/en/standards.html

[CC1] Chaos Computer Club e.V., Wie funktionert eCash by Digicash, http://www.ccc.de/Library/eCash/e_funk.html

[CC2] Chaos Computer Club e.V., Blind Signatures, http://www.ccc.de/Library/eCash/encrypt.html;

[Ch] David Chaum, Security without Identification: Card Computers to make Big Brother Obsolete, http://www.ccc.de/Library/eCash/bigbro.html; die Originalquelle bei digicash.com ist leider nicht mehr online (Informationspolitik?)

[DB] Arbeitspapier „Datenschutzfreundliche Technologien“, 18. November 1997, http://www.datenschutz-berlin.de/to/datenfr.htm

[EFMT] S. Engel-Flechsig, F.A. Maennel, A. Tettenborn, Das neue Informations- und Kommunikationsdienste-Gesetz, Neue Juristische Wochenzeitschrift, Jg 50, H. 45, November 1997, S. 2981-2992

[En] Matthias Enzmann, Introducing Privacy to the Internet User, How P3P meets the European Data Protection Directive, DuD 9/2000, S. 535ff

[EN1] Datenschutz-News der EU, Datenschutz: Kommission verklagt fünf Mitgliedstaaten, 11. Januar 2000, http://europa.eu.int/comm/internal_market/de/media/dataprot/news/2k-10.htm

[EN2] Datenschutz-Webseite der EU, Status of implementation of Directive 95/46 on the Protection of Individuals with regard to the Processing of Personal Data, http://europa.eu.int/comm/internal_market/en/media/dataprot/law/impl.htm

[EN3] Datenschutz-News der EU, Data protection: Commission adopts decisions recognising adequacy of regimes in US, Switzerland and Hungary, 27. Juli 2000, http://europa.eu.int/comm/internal_market/en/media/dataprot/news/safeharbor.htm

[EPIC] Electronic Privacy Information Center, Pretty Poor Privacy: An Assessment of P3P and Internet Privacy, Juni 2000, http://www.epic.org/Reports/prettypoorprivacy.html

[ER] Europäische Richtlinie, Richtlinie 95/46/EG des Europaeischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natuerlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, http://europa.eu.int/eur-lex/de/lif/dat/1995/de_395L0046.html

[EVSH] Europäisches Verbraucherzentrum und Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Safer Surfen! - selbst sichern!, http://www.rewi.hu berlin.de/Datenschutz/DSB/SH/material/themen/safesurf/safer/

[EW] Data Protection Working Party der EU, Working Document Privacy on the Internet, 5063/00/EN/Final WP 37, http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wp37en.pdf

[Ge] Wolfgang Gentz, Elektronische Geldbörsen in Deutschland, GeldKarte und PayCard, DuD 1/1999, S. 18ff

[GR] Rüdiger Grimm, Alexander Roßnagel, Datenschutz für das Internet in den USA, DuD 8/2000, S. 446ff

[GS] Rüdiger Grimm, Phillip Scholz, Datenschutz in Telediensten (DASIT), DuD 5/1999, S. 272ff

[HSS] Hagen Hagemann, Sonja Schaup, Markus Schneider, Sicherheit und Perspektiven elekronischer Zahlungssysteme, DuD 1/1999, S. 5ff

[JBi] Johann Bizer, Web-Cookies - datenschutzrechtlich, DuD 5/1998, S. 277ff

[KLDSH] Marit Köhntopp, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, E-Privacy: Datenschutz im Netz & vernetzter Datenschutz, DuD 7/2000, S. 384

[Kr] Stefan Krempl, Zeigt her eure Finger, Erhebliche Schwächen bei biometrischen Verfahren, c`t 4/2001, S.62f

[KSc] Karsten Schulz, Digital Cash, The Future of Digital Cash, The Future of Digital Cash, in: Banking Policy Report, Vol. 18, Nos. 15 and 16, 1999, pp. 8-13, http://www.digitalcash.de/artikel.html

[Mö] Frank Möller, Data Warehouse als Warnsignal an die Datenschutzbeauftragten, DuD 10/1998, S. 555ff

[Mö] Ulrich Möncke, Data Warehouses - eine Herausforderung für den Datenschutz?, DuD 10/1998, S. 561ff

[MS] Microsoft, Microsoft Announces New Cookie-Management Features to Help Consumers Protect Privacy Online, 20. Juli 2000, http://www.microsoft.com/presspass/features/2000/jul00/07-20cookies.asp

[NK] Bargeld lacht: Geldkarten im Internet, http://www.netkauf.de/geldkarte/, 20. Oktober 1999

[NS] Netscape, Introduction to SSL, 10. September 98 (aktuellste Fassung!), http://developer.netscape.com/docs/manuals/security/sslin/index.htm oder http://docs.iplanet.com/docs/manuals/security/sslin/index.htm

[PSc] Peter Schaar, Cookies: Unterrichtung und Einwilligung des Nutzers über die Verwendung, DuD 5/2000, S.275ff

[SH] Christiane Schulzki-Haddouti, EU-Parlament verabschiedet E-Commerce-Richtlinie, Heise News-Ticker, 4. Mai 2000, http://www.heise.de/newsticker/data/ad-04.05.00-000/

[Va] Axel Vahldiek, Bunt und mit Problemen, Der neue Windows Media Player 7 mit CD-Brenner, c`t 16/2000, S. 48f

[Ve] Thorsten Vehslage, E-Mail-Werbung, DuD 1/1999, S. 22ff

[WNBi] Craig Bicknell, Online Prices Not Created Equal, Wired News, 7. September 2000, http://www.wired.com/news/print/0,1294,38622,00.html

[WNGa] John Gartner, New Congress to Push Privacy, Wired News 7. Januar 2001, http://www.wired.com/news/print/0,1294,40965,00.html

[WNJo] Christopher Jones, Microsoft's Protective Policy, Wired News, 11. Februar 2000, http://www.wired.com/news/technology/0,1282,34262,00.html

[WNOa] Chris Oakes, Groups Keep Heat on DoubleClick, Wired News, 29. Juni 1999, http://www.wired.com/news/politics/0,1283,20485,00.html

[WNRe] Reuters, Privacy Groups Eye DoubleClick, Wired News, 1. Februar 2000, http://www.wired.com/news/print/0,1294,34037,00.html

[Wo1] Sabine Wolters, Einkaufen via Internet - Verbraucherschutz durch Datenschutz, DuD 5/1999, S. 277ff

[Wo2] Sabine Wolters, Einkauf via Internet: Anbieterkennzeichnung, DuD 11/1999, S. 633f

[Zw] Sonja Zwißler, Secure Electronic Transaction - SET (2), DuD 1/1999, S. 13ff


Anhang

Das Folgende ist eine Witz-Email, die der Autor mal so ähnlich im Internet gefunden hat.

„So könnte eine auf die individuellen Bedürfnisse des Kunden abgestimmte Webseite aussehen:

Sehr geehrter Besitzer eines PIII Ser.No: 6136-SD-18291/AB-0087, dies ist ihr 27. Besuch auf unserer Homepage. Seit ihrem letzten Besuch haben wir 12 neue Werbebanner, die wir ihnen gleich im Anschluß präsentieren möchten. Bei der Gelegenheit möchte unser Sponsor XY sie noch darauf hinweisen, daß sie bei ihm noch eine Rechnung über 249,90 offen haben, mit der Bitte um baldige Zahlung. Ausserdem noch ein Wort von unserem Werbepartner Intel: Ihr Nachbar surft seit gestern mit einem noch schnelleren PentiumIII als ihrem. Wollen sie sich das gefallen lassen?

Und nun wünschen wir ihnen viel Vergnügen mit unseren Internetseiten, speziell angepaßt für die Zielgruppe der männlichen verheirateten Arbeitnehmer mit 2-4 Kindern, einem Nettogehalt von 30.000 - 60.000 DM/Jahr und einem ambienten Interesse an Webseiten mit pornographischen Inhalten (bisexuell). Weitere Informationen zu unseren Angeboten finden sie demnächst in ihrem Briefkasten.


Fußnoten

1Das Gegenteil gibt es natürlich auch. Mitarbeiter in den T-Punkten der Telecom sehen am Bildschirm den Text „bevorzugter Kunde“ (o.s.Ä.), falls die Telefonrechnung des aktuellen Kunden, der Änderungen wünscht, über einem bestimmten Betrag liegt.

2Congressman Bobby Rush (D-IL) agreed that privacy legislation would pass during the current session because it was necessary to ensure consumer confidence and accelerate involvement in e-commerce.“ [WNGa]

3Kurz für information intermediary; siehe Definition unter http://www.fourthwavegroup.com/Publicx/1635w.htm und kurzen Überblick bei [EW].

4 §1, Abs. 2, Nummer 3 BDSG: „ Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch [...] nicht-öffentliche Stellen, soweit sie die Daten in oder aus Dateien geschäftsmäßig oder für berufliche oder gewerbliche Zwecke verarbeiten oder nutzen.“

5Sabine Wolters fand in einer Studie heraus, dass viele Internte-Anbieter ausschließlich auf das BDSG verweisen und „die daneben geltenden Regelungen des TDDSG für Waren- und Dienstleistungsgeschäfte per Internet nicht zur Kenntnis“ nehmen[Wo1].

6Die Zeit als Abrechnungsgrundlage hat sich allerdings im Internet noch nicht durchgesetzt, die Bezahlung erfolgt bezogen auf den Inhalt der angeforderten Webseiten. Allenfalls bei Sexseiten wird vereinzelt damit experimentiert.

7Dr. Johann Bizer geht in [JBi] davon aus, dass die IP-Adresse faktisch anonym ist, daher mit der IP-Adresse verknüpfte Daten keine personenbezogenen Daten im Sinne des §3 Abs. 7 BDSG darstellen. Prof Dr. Ulrich Möncke jedoch meint in [Mö]: „Ist der Datenbestand (nur) faktisch anonymisiert, so entfällt der Personenbezug nicht.“ Er verweist auf Dammann in Simitis BDSG zu §3 Rdnr 202 und 203, sowie auf Tinnefeld/Ehmann 1998 S.187, „soweit die Daten keine identifizierende Wirkung mehr entfalten, werden sie vom BDSG nicht erfaßt“.

8Die US-amerikanische Firma DoubleClick „places ads on about 11,000 Web sites“ und beabsichtigte, gewonnene Nutzungsprofile mit „ people's actual identities“ zu verschmelzen[WNRe]. Dies ist umso kritischer, als die Firma vorher Abacus Direct aufkaufte, einen Dienstleister, der Profile über 88 Millionen amerikanische Haushalte besitzt, und diese Profile mit den Online-Daten verschmolzen werden sollten[WNOa].

9Dieser Ansicht ist auch Dr. Johann Bizer in [JBi]; er verweist allerdings in Fussnote 20 auf die gegenteilige Ansicht von Engel-Flechsig, DuD 1/1997, 12; (auch: [EFMT], S. 2986)

10Dr. Johann Bizer ist in [JBi] der Ansicht, dass personenbezogene Cookies „gegen materielles Datenschutzrecht“, insbesondere §4 Abs. 4 TDDSG verstoßen. Peter Schaar spricht dagegen[PSc] nur von einer notwendigen Einwilligung, falls pseudonyme Cookie-Daten mit Personendaten zu einem „Nutzungsprofil“ zusammengefügt werden. Bizer ist aber nicht ganz konsistent, da er bei der Auflösung von Pseudonymen eine Unterrichtung des Nutzers fordert.

11Stand: 10.11.2000; Der aktuelle Stand kann im Vorgangs-Informationssystem des Bundestages/rates unter http://dip.bundestag.de abgerufen werden. Die GESTA-Sachgruppe ist Inneres. Am schnellsten informiert man sich über den Stand des Gesetzgebungsverfahrens , indem man im DIP unter „Gesetzgebungsverfahren“ nach dem Bundesrats-Dokument 461/00 sucht. Initiiert wurde das Gesetz von der Bundesregierung.

Die EU hat in [EN2] eine Übersicht über die Umsetung der Richtlinie in den verschiedenen Mitgliedsländern, die allerdings nicht immer auf dem neuesten Stand ist.

12Sie hat unter anderem Konsequenzen für die Zulässigkeit biometrischer Systeme, vgl. [Kr].

13In [BfD5] stellt der Bundesdatenschutzbeauftragte fest, dass im Rahmen des BDSG Auskünfte grundsätzlich nicht telefonisch erteilt werden, da der Anrufer „nicht sicher identifiziert werden“ kann.

14Eine Liste der zuständigen Aufsichtsbehörden findet sich in [BfD1], Anhang 4, oder im Netz, Die Aufsichtsbehörden für den Datenschutz, http://www.datenschutz-berlin.de/sonstige/behoerde/aufsicht.htm

15Detailliert ist die Struktur in der Anlage zu §9 BDSG beschrieben.

16„The possible privacy-enhancing effects of privacy labels should not, however, be underestimated, as they can help raise the awareness of Internet users about privacy.“, [EW]

17Zum Beispiel macht das TrustE-Programm (http://www.truste.com) u.a. folgende Zusicherung: „All TRUSTe licensees have agreed to acknowledge consumer privacy complaints and report back to consumers with a clear account of their findings in no later than 30 days.“

18Prüfkriterium beim System geprüfter Online-Shop (http://www.shopinfo.net/): „Der Betreiber verpflichtet sich, im Rahmen der geltenden Gesetze zu handeln. Dies sind in diesem Zusammenhang insbesondere das Teledienstedatenschutzgesetz (TDDSG), der Mediendienstestaatsvertrag und das Bundesdatenschutzgesetz (BDSG).“

Auch die TRUSTED SHOPS GmbH (https://www.trustedshops.de/) hat dies in ihren Bedingungen: „Der Online-Shop wird die Gesetze zum Datenschutz einhalten.“, erläutert jedoch wichtige Punkte noch ausführlicher.

Ebenso beim s@fer-shopping-Siegel (http://www.safer-shopping.de/) des TÜV Management Service, hier heißt es: „Anforderungen an den Datenschutz; Fokus: Gesetzliche Bestimmungen“

19Die gleiche Verpflichtung ergibt sich auch aus §2 Abs. 1 Fernabsatzgesetz, ich habe sie aber in der Literatur nicht erwähnt gefunden: „Beim Einsatz von Fernkommunikationsmitteln zur Anbahnung oder zum Abschluss von Fernabsatzverträgen müssen der geschäftliche Zweck und die Identität des Unternehmers für den Verbraucher eindeutig erkennbar sein.“

20Datenschutz-verbessernde Technologien im Gegensatz zu Datenschutz-einschränkende Technologien, Privacy Invasive Technologies, PIT

21Die aktuellste Version findet sich immer auf http://www.w3.org/TR/P3P/

22APPEL: A P3P Preferences Exchange Language

23Eine Übersicht über Implementierungen findet sich unter: http://www.w3.org/P3P/implementations

24Unter http://www.youpowered.com/ liest man als Vorteil der Händler-Version ihrer P3P-konformen Orby-Software, über die Benutzer ihre persönlichen Daten gezielt preisgeben sollen: - Refine unique marketing techniques for each customer. - Create and refine behavioral knowledge about business assets. - Discover changing behavioral patterns.

25Pressemitteilung der IN MEDIAS RES - Gesellschaft, http://www.sicherheit im internet.de/themes/themes.phtml?ttid=1&tsid=172&tdid=591&page=0

26Einige finden sich unter http://www.netkauf.de/geldkarte/geldkarte7.htm, eine wahrscheinlich vollständige Liste bei http://www.sparkasse.de/ecommerce/shop/haendler.htm

27Die SET-Zahlungsoption wird schon von vielen Shops angeboten, eine Liste findet sich ebenfalls unter http://www.sparkasse.de/ecommerce/shop/haendler.htm

28Setco: http://www.setco.org/

29Cybercash: http://www.cybercash.com, http://www.cybercash.de

30Telecash: http://www.telecash.de

31z.B. akzeptieren verschiedene Verkäufer bei Ebay.com E-Gold; für eine Auflistung einfach nach dem Stichwort e-gold suchen.

32Privacy-Policy von E-Gold: http://www.e-gold.com/unsecure/e-g-agree.htm, Abschnitt 3.7

33Profile werden von den AGB nicht ausdrücklich ausgeschlossen, es heißt nur: „Die Daten werden ausschließlich zur Erbringung der Dienstleistungen der paybox deutschland AG verwendet und nicht zu anderen Zwecken an Dritte weitergegeben.“, http://www.paybox.de/registrierung/agb.html

34X.com Privacy Policy: http://www.paypal.com/cgi-bin/webscr?cmd=p/gen/privacy-outside

35db24 ist eine Tochter der Deutschen Bank; http://www.db24.de/ecash/

36Bibit Internet Payments: http://www.bibit.com

37Die Auflistung findet sich unter: http://www.ecash.de/

38„eCashTM-Münzen, die der Kunde entgegennimmt, können nicht weiterübertragen werden, sondern müssen mittels der eCashTM-Geldbörse auf dem eCashTM-Konto eingelöst werden.“, AGB zu Ecash der Deutschen Bank 24, http://www1.db24.de/antrag/agb_bedingungen_ecashtm.html

39Bei Netscape (4.72, englisch) finden sich die PublicKeys („certificates“) der Zertifizierungsstellen unter Security-Certificates-Signers, die von Web-Seiten unter Security-Certificates-WebSites; Bei IE (5.0, deutsch) finden sich die Stammzertifizierungsstellen unter Extras-Internetoptionen-Inhalt-Zertifikate; anders als Netscape liefert Microsoft keinerlei Informationen, was mit den Einstellungen bewirkt wird, was Zertifikate überhaupt sind...

40In der aktuellen Version Netscape 6.0 nicht mehr. Aber die ist sowieso noch nicht stabil oder zu empfehlen.

41Fortify.Net SSL-Check: http://www.fortify.net/sslcheck.html

42Um zu sehen, welche Verschlüsselung mit einer Seite verwendet wird: Netscape: Security-OpenPageInfo IE: mit der Maus über das Vorhängeschloß; Ein Test des Autors mit https://www.ccc.de hat ergeben, dass der IE eine viel schwächere Verschlüsselung als Netscape verwendet!

43Der OpenSource-Browser Mozilla, auf dem Netscape 6 aufbaut: http://www.mozilla.org

44Von http://www.microsoft.com: Security Update, November 22, 2000; This update resolves the „Browser Print Template“, „File Upload via Form“, and „Frame Domain Verification“ security vulnerabilities in Internet Explorer. Under certain conditions, a malicious Web site operator can use Print Templates or Web forms to run code or view files on a visiting user's computer. (Hervorhebung vom Autor)

45Diese zu ermitteln ist technisch nicht trivial. Hilfe gibt es bei http://www.dmoz.org/Computers/Internet/Abuse/Spam/ oder http://www.brunel.ac.uk/~acsrkmb/spam.html

46z.B.: http://anonymizer.com/ oder https://www.rewebber.de/

47z.B. die Softwarebsierte Lösung Freedom® bei http://www.freedom.net/

48The Molson Canadianizer war früher unter http://www.molson.com/ zu finden.

49vgl. [EW], S.81; aktuell wird der Dienst nicht mehr für Endbenutzer angeboten.

50vgl. [Bä]: „Bei der notwendigen Novellierung des BDSG kann das TDDSG als Vorbild dienen.“

51virtuelles Datenschutzbüro: neue internationale Initiative, im Moment hauptsächlich durch deutsche Datenschutzbeauftragte getragen, zu finden unter http://www.datenschutz.de und http://www.privacyoffice.org

20