Das Datenschutzgutachten im Wortlaut

 

Auszüge aus der Studie

„Datenschutzrechtliche Bewertung des Verfahrens zur Erstellung einer Nutzungsstatistik deutscher Internetangebote“

erstellt im Auftrag der Arbeitsgemeinschaft Online-Forschung (AGOF) e.V. durch Dr. Stefan Drewes, Rechtsanwalt der Kanzlei Siegert & Kollegen, Freiburg/Breisgau


…zur OnSite-Befragung und personenbezogenen Daten

…zur Benutzung der E-Mail-Adresse im Rahmen der Erfassung von Multi-Client- Usern

Zur OnSite-Befragung und personenbezogenen Daten

„Zunächst ist zu prüfen, ob das Marktforschungsinstitut aus den zur Verfügung stehenden Daten einen Personenbezug herstellen kann.

Der von der INFOnline übermittelte IDENT erlaubt keinen Rückschluss auf die Identität des Betroffenen. Der IDENT besteht aus einer von der INFOnline vergebenen Zahlenkombination, die eine eindeutige Identifikation eines Rechners, nicht aber der dazugehörigen Person erlaubt. Somit erlaubt der IDENT keine Rückschlüsse auf eine bestimmte Person.

Dennoch könnte das Marktforschungsinstitut aus der IP-Adresse Rückschlüsse auf die Identität des Betroffenen ziehen. Entsprechend den obigen Ausführungen zum Personenbezug der IP-Adresse ist auf das dem Marktforschungsinstitut zur Verfügung stehende legal erlangbare Wissen abzustellen. Regelmäßig wird in den Fällen ein Personenbezug angenommen, wenn der User während der Interaktion mit einem Diensteanbieter seine Identität zu erkennen gibt. Identifiziert sich der User nicht selbst, ist es für den Dritten regelmäßig ausgeschlossen, dass er anderweitig die IP-Adresse einer bestimmten Person zuordnen kann. Sonstige Diensteanbieter, die möglicherweise aufgrund einer Vorkenntnis die IP-Adresse einer bestimmbaren Person zuordnen könnten, sind gesetzlich daran gehindert, diese Daten dem Befragungsinstitut zur Verfügung zu stellen (vgl. § 6 Abs. 1 TDDSG (§ 19 Abs. 2 MDStV).

Im Rahmen der Beurteilung des Messverfahrens der INFOnline wurde dargelegt, dass dynamische IP-Adressen regelmäßig für Dritte kein personenbeziehbares Datum darstellen. Dagegen ermögliche die Technik des Internet, in bestimmten Konstellationen eine statische IP-Adresse einer bestimmten Person zuzuordnen. Aufgrund der einem Unternehmen legal zur Verfügung stehenden technischen Möglichkeiten kann eine statische IP-Adresse in Ausnahmefällen einer bestimmbaren Person zugeordnet werden.

Um die Personenbeziehbarkeit von Daten auszuschließen wird von der INFOnline in der Box ein HASH-Verfahren eingesetzt. Durch dieses technische Verfahren wird die Anonymität der IP-Adresse sichergestellt. Es liegt eine durch technische Sicherungsvorkehrungen vermittelte anonyme Kommunikation vor.

Ein ähnliches Verfahren verwendet das beauftragte Messinstitut für die Auslieferung des Fragebogens: Die IP-Adresse gelangt von der INFOnline in die Box des Befragungsinstituts. Von dort wird der Fragebogen mit Hilfe der E-Mail Adresse dem User zugespielt. Nach der Auslieferung des Fragebogens wird die IP-Adresse in der Box gelöscht. Daher besteht für das beauftragte Marktforschungsinstitut keine Möglichkeit, anhand des ihr legal zugänglichen Wissens die IP-Adresse einer bestimmten Person zuzuordnen. Auch in diesem Fall liegt eine anonymisierte Kommunikation zwischen der Box und dem Rechner eines Users vor.

Zwar könnte die Auslieferung des Fragebogens auch von der INFOnline selbst durchgeführt werden. In diesem Fall würde ebenfalls keine Nutzung von personenbeziehbaren Daten durch die INFOnline vorliegen. Ergänzend zu der technischen Erhebung der Seitenzugriffe müsste anhand eines Request-Befehls, der mit der IP-Adresse an den Rechner des Users verschickt wird, sichergestellt werden, dass das Befragungsinstitut den ausgefüllten Fragebogen des Users erhält. Die von der technischen Datenerhebung durch die INFOnline getrennte Auslieferung des Fragebogens durch das Befragungsinstitut soll eine weitere Sicherung der Anonymität der Daten bewirken. Letztlich kann die Auslieferung des Fragebogens durch ein weiteres Institut, dass ebenfalls technische Vorkehrungen zur Sicherstellung der Anonymität der IP-Adresse trifft, nicht anders beurteilt werden als die Auslieferung durch die INFOnline selbst.

Die Fragen, die an den User gerichtet werden, sind so ausgewählt, dass er seine Identität nicht offenbaren muss. Daher besteht aufgrund der Auslieferung des Fragebogens keine Möglichkeit, die Identität des Users aufzudecken. Sonstige Möglichkeiten, die Identität des Inhabers einer IP-Adresse herauszufinden, bestehen für das Marktforschungsinstitut nicht. Daher stellt die IP-Adresse in diesem Stadium für das Befragungsinstitut ein anonymes Datum dar.

Hieraus folgt, dass die Überlassung der IP-Adresse an das Marktforschungsinstitut durch die INFOnline keine Erhebung personenbezogener Daten darstellt und keiner Rechtsgrundlage bedarf. Auch die Zuspielung des Fragebogens an den User stellt keine Verwendung personenbezogener Daten dar und steht ebenfalls nicht unter dem Gesetzesvorbehalt des § 4 Abs. 1 BDSG).

Die Antworten der User werden intern mit dem IDENT aber ohne IP-Adresse gespeichert. Folglich sind die Daten für das Befragungsinstitut anonym und können ohne weitere Rechtsgrundlage ENMID zur weiteren Aufbereitung überlassen werden. Weiterhin bedarf es für eine Zusammenführung der gespeicherten soziodemographischen Daten mit den anonymen Messdaten der INFOnline keiner Rechtsgrundlage.“
top

Zur Benutzung der E-Mail-Adresse im Rahmen der Erfassung von Multi-Client Usern

„Zunächst stellt sich die Frage, ob die E-Mail Adresse ein personenbezogenes Datum darstellt. Hierzu wird die Ansicht vertreten, dass eine E-Mail Adresse mit hinreichender Wahrscheinlichkeit eine Bestimmbarkeit der Identität eines Users ermögliche. Manche Autoren sehen die E-Mail Adresse als ein Beispielsfall der Bestandsdaten an.

Andere Autoren vertreten die Ansicht, dass E-Mail Adressen nicht regelmäßig Rückschlüsse auf bestimmte Personen ermöglichen. Aber es bestehe für jedermann die Möglichkeit, im Internet nach Informationen zu suchen, die Rückschlüsse auf die Identität des Betroffenen ermöglichen. Eine weitere Quelle zur Identifikation sind die News-Archive im Internet, die sich automatisch auf Beiträge unter einer E-mail Adresse durchsuchen lassen. Auch diese Möglichkeit könne dazu führen, dass die Identität des Inhabers einer E-Mail Adresse aufgedeckt werden könne.

Viele User haben sich bei Diensteanbietern für die private Nutzung des Internet eine E-Mail Adresse besorgt und dort einen Namen ausgewählt. Häufig ist dieser Name entweder ein Phantasienahme (MickeyMouse@t-online.de) oder so allgemein gehalten, dass außer dem Provider und den Personen, denen sich der Inhaber offenbart, kein Personenbezug herstellbar ist (Bsp.: Meyer5@web.de).

Da die Erstellung von personenbezogenen umfassenden Nutzungsprofilen einen beachtlichen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt, sind die Eingriffsschranken nicht zu hoch anzusetzen. Für die Zuordnung gerade von beruflichen Internet-Adressen ist ein gewisser Aufwand zur Bestimmung der Identität erforderlich, der aber zu bewältigen ist. Gerade die im beruflichen Kontext verwendeten E-Mail Adressen enthalten regelmäßig Hinweise auf das Unternehmen, bei dem der Betroffene angestellt ist. Auf der Homepage des entsprechenden Unternehmens finden sich häufig weitergehende Informationen zu der jeweiligen Person. Somit kann gerade bei einer beruflichen Nutzung die E-Mail Adresse einer bestimmten natürlichen Person zugeordnet werden und ist daher regelmäßig personenbeziehbar. Da gerade die berufliche Nutzung des Internet mit der Privaten zusammengeführt werden soll und hierzu die vom Unternehmen vergebene E-Mail Adresse abgefragt wird, dürfte häufig ein Personenbezug herstellbar sein. Daher wird im Folgenden unterstellt, dass angesichts der Vielzahl der Fälle die E-Mail Adresse personenbeziehbar ist.

Rechtsgrundlage für die Erhebung der E-Mail Adresse:

Für die Erhebung der E-Mail Adresse zur Zusendung des Fragebogens bedarf es somit einer Rechtsgrundlage. Da das Marktforschungsinstitut keine vertraglichen Beziehungen zu den einzelnen Usern unterhält, kann nur auf die Einwilligung der Betroffenen als Rechtsgrundlage zurückgegriffen werden.

Um die einschlägige Rechtsgrundlage für die Einwilligung zu bestimmen, muss zunächst geklärt werden, ob die Tätigkeit des Marktforschungsinstituts als Teledienst anzusehen ist. In diesem Fall sind die Vorgaben des TDDSG zur elektronischen Einwilligung anwendbar und nicht die allgemeinen Vorgaben in § 4a BDSG.

Die Befragung der einzelnen User könnte dem Regelbeispiel des § 2 Abs. 2 Nr. 1 TDG zugeordnet werden. Danach sind insbesondere Angebote im Bereich der Individualkommunikation als Teledienst anzusehen. Der Fragebogen zur Erhebung der (zunächst) anonymen soziodemographischen Daten wird mittels E-Mail unter Einsatz der Telekommunikation verschickt und kann vom User ausgefüllt und zurückgeschickt werden. Eine individuelle Nutzung dieses Diensteangebotes ist mit Hilfe der Telekommunikation möglich.

Die Situation ist der Integration von Werbeanzeigen in einer Homepage vergleichbar, die ebenfalls als Teledienste angesehen werden. Der Anbieter einer Homepage sieht von vornherein bestimmte Plätze vor, an denen eine Werbeanzeige erscheinen soll. Gerade bei größeren Internet-Angeboten wird die Anzeige von einem entsprechenden Werbe-Server („Ad-Server“) ausgeliefert. Der Kunde kann entscheiden, ob er auf die Anzeige zugreifen will oder nicht. Die Auslieferung des Pop-up Fragebogens verläuft ähnlich. Der wesentliche Unterschied besteht darin, dass der Fragebogen nicht in die Webseite integriert wird, sondern ergänzend zu der Homepage eingeblendet wird. Auch in diesem Fall kann der Kunde entscheiden, ob er den Fragebogen beantworten will oder ihn einfach löscht. Somit kann auch die Online-Befragung durch das Marktforschungsinstitut als Teledienst angesehen werden. Die Vorgaben des TDDSG sind auf diese Tätigkeit anwendbar.

Für die Einwilligung zur Nutzung der E-Mail Adresse zur Übermittlung eines weiteren Fragebogens muss das Marktforschungsinstitut die Anforderungen an die elektronische Einwilligung nach § 4 Abs.2 TDDSG berücksichtigen, wonach

  • die Einwilligung nur durch eine eindeutige und bewusste Handlung erfolgen kann,
  • die Einwilligung protokolliert wird und
  • der Inhalt der Einwilligung jederzeit vom Nutzer abgerufen werden kann.
Außerdem hat der Diensteanbieter den Nutzer darauf hinzuweisen, dass er seine Einwilligung jederzeit widerrufen kann. Befolgt das Marktforschungsinstitut diese Vorgaben, kann der Nutzer wirksam in die Zusendung des Fragebogens an seinen weiteren E-Mail Account einwilligen.

Weiterhin muss die Einwilligungserklärung so transparent gestaltet werden, dass der Nutzer die Reichweite seiner Entscheidung überschauen kann. Zur Information des Users vor Abgabe seiner Einwilligung muss dargelegt werden, in welche Datenverarbeitung er einwilligt. Daher stellt sich die Frage, ob das gesamte Messverfahren von Beginn der Datenerhebung durch die INFOnline an betroffen ist oder nur die vorübergehende Speicherung der E-Mail Adresse durch das Marktforschungsinstitut zur Zusendung des weiteren Fragebogens.

Im Falle der Erhebung der E-Mail Adresse könnte das unter dem IDENT gespeicherte Profil einem bestimmten User, dessen Identität anhand der E-Mail Adresse bestimmbar ist, zugeordnet werden. Spätestens mit Übermittlung der Ergebnisse der Befragung zur weiteren Auswertung an EMNID könnte mittels der E-Mail Adresse das gesamte Profil einem User zugeordnet werden. Weitere Konsequenz wäre auch, dass mit dem Setzen der Cookie –ID durch die INFOnline bereits das Erheben personenbeziehbarer Daten vorbereitet wird. Das bisher anonyme Nutzungsprofil würde sich nunmehr zu einem pseudonymen Nutzungsprofil wandeln.

Doch die E-Mail Adresse wird nur für die Zusendung des Fragebogens benötigt und verwendet. Daher wird auch die Einwilligung des Nutzers auf diese Verwendungsform seiner E-Mail Adresse beschränkt. Hieraus folgt, dass das Marktforschungsinstitut verpflichtet ist, die Email-Adresse nach Versendung des Fragebogens zu löschen. Eine Übermittlung der E-Mail Adresse an Dritte ist von der Einwilligung nicht umfasst, so dass die anonymen Profile sich nicht in personenbeziehbare Profile umwandeln lassen. Trotz der Erhebung der E-Mail Adressen sind die von der INFOnline erstellten Profile weiterhin anonym.“
top

Navigation

 

Presseinformationen

14.05.2012

AGOF facts & figures: Neuer Titel für die AGOF Branchenberichte mehr

22.03.2012

internet facts 2011-12 zeigt: Onliner achten auf Preis und Qualität mehr

15.03.2012

Planungsstandard für den mobilen Werbemarkt final etabliert: AGOF veröffentlicht mobile facts 2011 mehr

 
 
 

internet facts die monatlich erscheinende Markt-Media-Studie der AGOF mehr

TOP transparente Online-Mediaplanung mit dem AGOF Auswertungs- und Planungsprogramm mehr

AGOF Akademie praxisorientierte Seminare rund um Online-Mediaplanung und -Vermarktung mehr

 
 
 
Bundesverband Digitale Wirtschaft

Fördermitglied der AGOF
 
 

zurück

  • Die neuen AGOF Sonderauswertungen sind verfügbar: Parfum & Kosmetik, FMCG, Finanzen und Gesundheit:

  • AGOF facts & figures: Neuer Titel für die AGOF Branchenberichte:

Wussten Sie schon?

  • 51,40 Mio. Deutschsprachige über 14 Jahre in Deutschland sind Online
  • 85 Prozent von ihnen länger als 3 Jahre
  • 96,5 Prozent informieren sich online über Produkte

weitere Informationen ansehen

Infoletter

Hier bleiben Sie auf dem Laufenden.

Hier können Sie sich für unseren kostenlosen E-Mail-Infoletter anmelden.
mehr