Frage geschrieben am 25.10.2009 15:16:48
Datenschutzfrage: Übermittlung von Daten an externen Service zur Spambekämpfung
Rechtsgebiet: Datenschutzrecht | Einsatz: € *** | Status: Beantwortet | Aufrufe: 1203http://www.invisionpower.com/products/spammonitor/
Durch diesen Service werden bei der Anmeldung/Registration in dem entsprechenden Forum die IP und die E-Mail Adresse an den Spam-Service (USA) gesendet um anhand der dort geführten Datenbank einen möglichen Spammer zu erkennen.
Die Daten (IP und E-Mail Adresse) werden nur dann permanent gespeichert, wenn es sich wirklich um einen Spammer handelt. Ansonsten werden die Daten wieder nicht gespeichert. Weitere Informationen gibt es unter dem oben angegebenen Herstellerlink.
Nun zu meiner Frage:
Ist es in Deutschland rechtens einen solchen Service in einem Onlineforum zu nutzen, um seine Community und auch die Mitglieder vor ungewünschtem Spam zu schützen? Und wenn ja, gibt es Voraussetzungen für die Nutzung dieses Services? Leider gibt es heute fast nur noch "menschliche" Spamanmeldungen (keine Bots) die man nicht durch (re)CAPTCHA Mechanismen austricksen kann.
Der Hersteller (IPS President) sagt, das es mit dem Europäischen / Deutschen Recht keine Probleme gibt und der Spamservice auch hier in Deutschland nutzbar ist, ohne rechtliche Probleme zu erhalten, sofern man einen Hinweis in seinen Datenschutzhinweisen hinterlässt. Ich möchte allerdings (für alle Forenbetreiber) sicherstellen, das dem wirklich so ist, und wenn nicht, nach welchen Paragraphen es verboten ist.
Hinweis:
Achtung Archiv!
Diese Antwort ist vom 25.10.2009 und möglicherweise veraltet. Stellen Sie jetzt Ihre aktuelle Frage und bekommen Sie eine rechtsverbindliche Antwort von einem Rechtsanwalt.
Achtung Archiv!
Diese Antwort ist vom 25.10.2009 und möglicherweise veraltet. Stellen Sie jetzt Ihre aktuelle Frage und bekommen Sie eine rechtsverbindliche Antwort von einem Rechtsanwalt.
Antwort geschrieben am 25.10.2009 20:22:05 
Frag-einen-Anwalt.de Antworten von diesem Anwalt als RSS-Feed abonnieren!
Rechtsanwalt Steffan Schwerin
Golmsdorfer Str. 11, 07749 Jena, Tel: 036412692037, Fax: 032121128582
Arbeitsrecht, Erbrecht, Zivilrecht, Miet und Pachtrecht, Familienrecht, Vertragsrecht, Internet und Computerrecht, Urheberrecht
Bewertungen: 493
Golmsdorfer Str. 11, 07749 Jena, Tel: 036412692037, Fax: 032121128582
Arbeitsrecht, Erbrecht, Zivilrecht, Miet und Pachtrecht, Familienrecht, Vertragsrecht, Internet und Computerrecht, Urheberrecht
Bewertungen: 493
die von Ihnen gestellte Frage beantworte ich unter Berücksichtigung des geschilderten Sachverhaltes sowie Ihres Einsatzes wie folgt:
Die Speicherung von IP-Adressen durch Webseitenbetreiber ist höchst umstritten. Für Datenschutzbehörden scheint jedoch inzwischen festzustehen, dass IP-Adressen personenbezogene Daten sind, die dem Datenschutzrecht unterliegen. Zunehmend werden daher aufsichtsrechtliche Maßnahmen eingeleitet.
Eindeutig ist die Rechtslage allerdings, wenn Webseitenbetreiber IP-Adressen mit personenbezogenen Daten zusammenführen und so den direkten Personenbezug selbst herstellen, z. B. wenn Shopbetreiber bei einer Bestellung die IP-Adresse des Kunden zusammen mit dessen Bestelldaten speichern.
Hier läge in jedem Fall ein Verstoß gegen Datenschutzbestimmungen vor, sofern nicht zuvor die ausdrückliche Einwilligung des Kunden zur Speicherung eingeholt wurde. Ein solcher Verstoß kann mit Bußgeldern geahndet werden und Unterlassungsklagen der Betroffenen nach sich ziehen.
Unklarheit herrscht hingegen in den Fällen, in denen IP-Adressen automatisch in Server Logfiles protokolliert oder von Tracking-Tools zur anonymisierten Analyse des Nutzerverhaltens gespeichert werden.
Da die IP-Adresse jedoch ebenfalls in den Logfiles des Internet Providers gespeichert wird, wäre über diesen die Ermittlung des Anschlussinhabers und damit die Zuordnung zu einer bestimmten Person möglich. Geht man nun von der objektiven Personenbeziehbarkeit aus, wären IP-Adressen aufgrund dieser Möglichkeit personenbezogene Daten und die Speicherung demnach nur nach ausdrücklicher Einwilligung zulässig.
Es besteht wohl insoweit Einigkeit, dass die IP-Adresse auch zu den personenbezogenen Daten gehört und daher nicht ohne Zustimmung des Betroffenen gespeichert werden dürfen.
Es ist weiterhin davon auszugehen, dass bei einem entsprechenden Verdacht auf Spamming ein solches Tool genutzt und die IP-Adresse zusammen mit der Emailadresse gespeichert werden können. Allerdings sind diese umgehend zu löschen, wenn sich der Verdacht nicht bestätigt.
Weiterhin sind die User der Foren bei der Anmeldung oder auch sonst auf die Verwendung des Tools und der entsprechenden Speicherung der Daten ausdrücklich hinzuweisen und deren Einverständnis einzufordern.
§ 4 BDSG lässt die Datenspeicherung insoweit zu, wenn der Betroffene zugestimmt hat. Daher ist die Einholung der Zustimmung unerlässlich. Aber auch im Fall drohender Gefahr können die Daten zumindest vorübergehend gespeichert werden. Hier stellt sich dann natürlich die Frage, inwieweit Spamming eine solche Gefahr darstellt.
Soweit hier die Daten nur vorübergehend zur Ermittlung der Spammer-Identifikation gespeichert werden, ist dies zulässig, soweit der User darauf hingewiesen worden ist und dem auch entsprechend zugestimmt hat.
Ob die Daten der Spammer dauerhaft gespeichert werden dürfen, steht auf einem anderen Blatt. Jedenfalls sollte Ihr Forum diese Daten nicht dauerhaft speichern.
Mit freundlichen Grüßen
Steffan Schwerin
Rechtsanwalt
Rechtsanwaltskanzlei Schwerin
Rechtsanwälte in Bürogemeinschaft
Golmsdorfer Str. 11
07749 Jena
Tel.: 036412692037
Fax: 032121128582
Email: info@raschwerin.de
Skype: raschwerin
Internet: www.jena-rechtsberatung.de
Nachfrage vom Fragesteller geschrieben am 25.10.2009 22:42:50
Vielen Dank für die schnelle Antwort, die für mich noch kleine Verständnisprobleme aufwerfen, man liest ja viel im Internet...
1. Macht es einen Unterschied WOHIN die Daten zur Überprüfung auf einen Spammer gesendet werden (USA, Europa, ...)?
2. Wie sollte eine eindeutige Einwilligung aussehen? Langt es, wenn bei der Registrierung in den "Forenbedingungen & Regeln", aber noch vor der Eingabe von den Daten, ein entsprechender Hinweis auftaucht? Diese "Forenbedingungen & Regeln" muss man mit einer Checkbox "Ich habe die Bedingungen und Regeln gelesen und verstanden" bestätigen und kann erst dann die Registrierung durch Eingabe der Daten beginnen.
3. Darf man jemandem die Registrierung im Forum verweigern, weil er nicht Einwilligt, das die IP & E-Mail Adresse weitergegeben werden? Wenn man jemandem dann den Zugang nicht verweigern darf wäre ein solcher Spamschutz ja unwirksam, da dann jeder Spammer einfach "Nein" anklicken würde.
Vielen Dank für die schnelle Antwort, die für mich noch kleine Verständnisprobleme aufwerfen, man liest ja viel im Internet...
1. Macht es einen Unterschied WOHIN die Daten zur Überprüfung auf einen Spammer gesendet werden (USA, Europa, ...)?
2. Wie sollte eine eindeutige Einwilligung aussehen? Langt es, wenn bei der Registrierung in den "Forenbedingungen & Regeln", aber noch vor der Eingabe von den Daten, ein entsprechender Hinweis auftaucht? Diese "Forenbedingungen & Regeln" muss man mit einer Checkbox "Ich habe die Bedingungen und Regeln gelesen und verstanden" bestätigen und kann erst dann die Registrierung durch Eingabe der Daten beginnen.
3. Darf man jemandem die Registrierung im Forum verweigern, weil er nicht Einwilligt, das die IP & E-Mail Adresse weitergegeben werden? Wenn man jemandem dann den Zugang nicht verweigern darf wäre ein solcher Spamschutz ja unwirksam, da dann jeder Spammer einfach "Nein" anklicken würde.
Antwort auf Nachfrage vom Anwalt geschrieben am 26.10.2009 08:39:34
Sehr geehrter Fragesteller,
gern beantworte ich Ihre Nachfrage wie folgt:
1. Macht es einen Unterschied WOHIN die Daten zur Überprüfung auf einen Spammer gesendet werden (USA, Europa, ...)?
Da die Foren von Deutschland aus betrieben werden, ist es insoweit unerheblich, da das deutsche BDSG und TMG anwendbar sind.
2. Wie sollte eine eindeutige Einwilligung aussehen? Langt es, wenn bei der Registrierung in den "Forenbedingungen & Regeln", aber noch vor der Eingabe von den Daten, ein entsprechender Hinweis auftaucht? Diese "Forenbedingungen & Regeln" muss man mit einer Checkbox "Ich habe die Bedingungen und Regeln gelesen und verstanden" bestätigen und kann erst dann die Registrierung durch Eingabe der Daten beginnen.
Eine genaue Formulierung zu solch einer Datenschutzerklärung ist im Rahmen der Nachfrage nicht zu erstellen. Dies wäre gesondert zu beauftragen und mit weiteren Kosten verbunden.
Es sollte auf der Internetseite eine separate Datenschutzerklärung auftauchen. Der User muss aber auch bei der Anmeldung oder Nutzung des Seite die Möglichkeit haben, die Erklärung direkt abgeben zu können.
Weiterhin muss die Zustimmung zur Datenschutzerklärung separat zu bestätigen sein.
3. Darf man jemandem die Registrierung im Forum verweigern, weil er nicht Einwilligt, das die IP & E-Mail Adresse weitergegeben werden? Wenn man jemandem dann den Zugang nicht verweigern darf wäre ein solcher Spamschutz ja unwirksam, da dann jeder Spammer einfach "Nein" anklicken würde.
Das obliegt dem Betreiber des Forums. Wenn ein potentieller User der Datenschutzerklärung nicht zustimmt, muss er nicht aufgenommen werden.
Ich hoffe, ich konnte Ihnen weiterhelfen und verbleibe
mit freundlichen Grüßen
Steffan Schwerin
Rechtsanwalt
Sehr geehrter Fragesteller,
gern beantworte ich Ihre Nachfrage wie folgt:
1. Macht es einen Unterschied WOHIN die Daten zur Überprüfung auf einen Spammer gesendet werden (USA, Europa, ...)?
Da die Foren von Deutschland aus betrieben werden, ist es insoweit unerheblich, da das deutsche BDSG und TMG anwendbar sind.
2. Wie sollte eine eindeutige Einwilligung aussehen? Langt es, wenn bei der Registrierung in den "Forenbedingungen & Regeln", aber noch vor der Eingabe von den Daten, ein entsprechender Hinweis auftaucht? Diese "Forenbedingungen & Regeln" muss man mit einer Checkbox "Ich habe die Bedingungen und Regeln gelesen und verstanden" bestätigen und kann erst dann die Registrierung durch Eingabe der Daten beginnen.
Eine genaue Formulierung zu solch einer Datenschutzerklärung ist im Rahmen der Nachfrage nicht zu erstellen. Dies wäre gesondert zu beauftragen und mit weiteren Kosten verbunden.
Es sollte auf der Internetseite eine separate Datenschutzerklärung auftauchen. Der User muss aber auch bei der Anmeldung oder Nutzung des Seite die Möglichkeit haben, die Erklärung direkt abgeben zu können.
Weiterhin muss die Zustimmung zur Datenschutzerklärung separat zu bestätigen sein.
3. Darf man jemandem die Registrierung im Forum verweigern, weil er nicht Einwilligt, das die IP & E-Mail Adresse weitergegeben werden? Wenn man jemandem dann den Zugang nicht verweigern darf wäre ein solcher Spamschutz ja unwirksam, da dann jeder Spammer einfach "Nein" anklicken würde.
Das obliegt dem Betreiber des Forums. Wenn ein potentieller User der Datenschutzerklärung nicht zustimmt, muss er nicht aufgenommen werden.
Ich hoffe, ich konnte Ihnen weiterhelfen und verbleibe
mit freundlichen Grüßen
Steffan Schwerin
Rechtsanwalt
Als Leser können Sie
oder Rechtsanwalt Schwerin direkt
