– 147 –
Vergleichsweise wenig Aufmerksamkeit erregte ein anderer E-Mail-Dienst, der ebenfalls von einem US-amerikanischen Anbieter auf den Markt gebracht wurde:
Rampell’s Did-they-read-it. Dieser für den Absender
kostenpflichtige Dienst ermöglicht es dem Nutzer, den
Verlauf seiner gesendeten E-Mails zu verfolgen. Durch
eine Umleitung über den Server des Anbieters wird die
sog. Tracking-Funktion aktiviert, die dem Absender meldet, wann seine E-Mail gelesen wurde, wie lange, wie oft,
ob sie weitergeleitet und dann auch gelesen wurde. Diese
hinter dem Rücken des Empfängers erlangten Informationen mögen für einige Versender von E-Mails interessant
sein, nach dem Datenschutzrecht ist ein solches Verfahren
aber ohne vorherige Unterrichtung und Einwilligung des
Empfängers nicht zulässig.
Die Art. 29-Gruppe wird sich auch im nächsten Jahr weiter mit diesen und anderen E-Mail-Diensten beschäftigen.
13.10
Websites von Bundesbehörden
Die Nutzung des Internet hat sich als erfolgreiches Instrument für die Öffentlichkeitsarbeit der Bundesbehörden etabliert. Ob dabei auch die datenschutzrechtlichen
Vorgaben beachtet werden, habe ich bei den Bundesministerien nachgefragt.
Der Erfolg eines Internetdienstes – und dazu zählen die
Angebote der Bundesbehörden – hängt wesentlich vom
Vertrauen ab, das ihm seine Nutzer entgegenbringen. Offenheit, Transparenz und hinreichende Informationen seitens des Diensteanbieters können eine solche Vertrauensbasis herstellen. Aus diesem Grund habe ich zu Beginn
des Jahres 2004 mittels einer Umfrage bei den obersten
Bundesbehörden geprüft, ob die dortigen Internetangebote die wichtigsten Datenschutzstandards erfüllen.
Dabei wurden die einschlägigen Vorschriften des Bundesdatenschutzgesetzes, des Teledienstegesetzes, des Teledienstedatenschutzgesetzes sowie des Mediendienstestaatsvertrages zu Grunde gelegt. Untersucht wurden dabei
vor allem die Bereiche Anbieterkennzeichnung, Unterrichtung der Nutzer, Einwilligung der Nutzer, Auskunftsrechte der Nutzer, Nutzungsprofile unter Pseudonym,
anonyme und pseudonyme Nutzungsmöglichkeiten und
Hinweise auf Weiterleitung an Dritte („externe Links“).
Die Auswertung der Rückläufe hat ergeben, dass die Internetangebote der obersten Bundesbehörden die gesetzlichen Vorgaben überwiegend erfüllen.
Zur Abrundung meiner schon gewonnenen Erkenntnisse
habe ich mit den behördlichen Datenschutzbeauftragten
des BMBF bzw. des BMU Beratungsgespräche geführt,
in deren Verlauf deutlich wurde, dass die Vertreter der
beiden Ministerien aufgeschlossen waren und großen
Wert auf eine datenschutzgerechte Gestaltung ihrer jeweiligen Internetangebote legten. Eine ähnliche Erfahrung
machte ich auch beim BMVBW. Dort wurde auf meine
Anregung hin darauf verzichtet, bei Bürgeranfragen über
das Kontaktformular der Internetseite oder per E-Mail die
Angabe der Wohnanschrift des ratsuchenden Bürgers zu
verlangen, sofern mit der Anfrage nicht der Wunsch nach
postalischer Übersendung von Informationsmaterialien
verbunden wird.
13.11
Datenschutzprobleme bei BackupDateien
Backups sind bei der Datenverarbeitung zwingend erforderlich. Allerdings hat sich die Dauer der Speicherung
oftmals als problematisch herausgestellt.
Manch ein PC-Besitzer wird schon die Erfahrung gemacht haben, dass Daten auf seinem Rechner plötzlich
„weg“ waren. Hierfür kann es viele Ursachen geben, etwa
eine defekte Festplatte, ein Virus, eine Fehlbedienung
oder den Sohn, der noch etwas Speicherplatz für das
neueste Spiel brauchte. Wohl dem, der die Daten gesichert hatte.
Das Streben nach einer möglichst umfassenden Speicherung von Sicherheitskopien steht jedoch häufig im Widerspruch zu der datenschutzrechtlichen Vorgabe, die Daten
frühestmöglich – wenn sie zur Aufgabenerfüllung nicht
mehr erforderlich sind – zu löschen. Für bestimmte Daten
hat der Gesetzgeber eine Höchstspeicherfrist vorgegeben,
etwa für die Verkehrsdaten in der Telekommunikation.
Sie sind gem. § 96 Abs. 2 Telekommunikationsgesetz
(TKG) grundsätzlich unverzüglich nach dem Ende der
Verbindung zu löschen, wenn sie nicht für andere im Gesetz ausdrücklich genannte Zwecke benötigt werden. So
dürfen etwa gem. § 97 Abs. 3 TKG die Daten, die für Abrechnungszwecke erforderlich sind, höchstens sechs Monate gespeichert werden (vgl. Nr. 13.1.1).
Für ein Telekommunikationsunternehmen kann es den
Ruin bedeuten, etwa wenn die Verkehrsdaten verloren gehen und für einen Monat keine Rechnungen geschrieben
werden können. Deshalb wäre es fahrlässig, keine Sicherungen, d. h. sogenannte Backups, zu erstellen. Bei Beratungs- und Kontrollbesuchen habe ich jedoch häufig feststellen müssen, dass der Zeitraum, für den das Backup
aufbewahrt wird, zu lang gewählt war.
Im Idealfall wären die Daten im Backup zum selben Zeitpunkt wie die Originaldaten zu löschen. Technisch dürfte
dies aber meist unangemessen aufwendig sein. Deswegen
führt § 31 BDSG u. a. eine besondere Zweckbindung für
die Daten ein, die ausschließlich der Datensicherung dienen; eine Nutzung für andere Zwecke ist verboten. Dennoch sollte sich die Speicherdauer für Backups im angemessenen Rahmen halten und an den Löschungsfristen
und den technischen Notwendigkeiten orientieren.
Dies gilt insbesondere für Daten, die dem besonderen
Schutz des Fernmeldegeheimnisses unterliegen und weder für die Abrechnung noch für sonstige, im TKG genannte Zwecke benötigt werden. Sie sind nach Beendigung der Verbindung unverzüglich zu löschen. Auch in
anderen Bereichen, in denen die Speicherdauer rechtlich
weniger strikt geregelt ist, dürften diese alten Sicherungen häufig wenig hilfreich sein.
Da manche Schadensereignisse, etwa Softwarefehler, erst
nach Tagen bemerkt werden, wird es dennoch erforderlich sein, die Daten für einige Tage zu sichern. Auch die
BfD
20. Tätigkeitsbericht
2003–2004