Datenschutzrechtliche Aspekte der Implementierung eines Onlineshops an der Universität Oldenburg

Inhalt

Abkürzungen

1 Online- Shopping an der Universität Oldenburg

2 Datenschutz- unentbehrlich beim Interneteinkauf
2.1 Untersuchungsgegenstand Datenschutz
2.2 Potenzielle Gefahren mangelhaften Datenschutzes
2.3 Akzeptanzfaktor Datenschutz

3 Rechtliche Einordnungen
3.1 Ebenen des Kommunikationsprozesses
3.2 Rechtliche Einordnung der Homepage
3.3 Rechtliche Einordnung der Merchandisingstelle
3.4 Rechtliche Einordnung des Surfers

4 Anwendbares Datenschutzrecht
4.1 Niedersächsisches Datenschutzgesetz
4.2 „Grundgesetz“ des Datenschutzes- das BDSG
4.3 Bereichsspezifische Regelung durch das TDDSG
4.4 Koexistenz von TDDSG und BDSG beim Interneteinkauf

5 Datenschutz beim Interneteinkauf
5.1 Datenschutzrechtliche Grundprinzipien
5.1.1 Verbot mit Erlaubnisvorbehalt
5.1.2 Grundsatz der Datenvermeidung und Systemdatenschutz
5.1.3 Zweckbindungsgrundsatz
5.1.4 Grundsatz der Direkterhebung
5.1.5 Erforderlichkeitsgrundsatz
5.2 Technisch- organisatorischer Datenschutz
5.2.1 Maßnahmen nach § 9 BDSG
5.2.2 Jederzeitiger Verbindungsabbruch
5.2.3 Möglichkeit zur unverzüglichen Löschung und Sperrung
5.2.4 Geschützte Inanspruchnahme von Diensten
5.2.5 Schutz von Pseudonymen
5.3 Materielle Datenschutzvorschriften
5.3.1 Erhebung, Verarbeitung und Nutzung von Daten
5.3.1.1 Inhaltsdaten
5.3.1.2 Bestandsdaten
5.3.1.3 Nutzungsdaten
5.3.2 Datenschutzrechtliche Unterrichtung
5.3.2.1 Erfordernisse nach BDSG
5.3.2.2 Erfordernisse nach TDDSG
5.3.3 Einwilligung
5.3.3.1 Wirksamkeitsvoraussetzungen nach BDSG
5.3.3.2 Wirksamkeitsvoraussetzungen nach TDDSG
5.3.3.3 Kopplungsverbot
5.3.4 Anonyme und pseudonyme Nutzung
5.3.5 Anbieterkennzeichnung
5.4 Verwendung von Daten für Werbezwecke
5.4.1 Inhaltsdaten
5.4.2 Bestands- und Nutzungsdaten
5.4.3 Persönlichkeitsprofile und Datenschutz
5.4.4 E- mail- Werbung
5.5 Rechte der Betroffenen
5.5.1 Auskunftsrechte
5.5.1.1 Auskunftsrecht nach BDSG
5.5.1.2 Auskunftsrecht nach TDDSG
5.5.2 Berichtigung, Löschung und Sperrung
5.5.3 Widerspruchsrecht
5.6 Sanktionierung von Datenschutzverstößen

6 Datenverarbeitung außer Haus
6.1 Auftragsdatenverarbeitung und Funktionsübertragung
6.2 Auftragsdatenverarbeitung
6.2.1 Auftragsvergabe
6.2.2 Pflichten des Auftraggebers
6.2.3 Pflichten des Auftragnehmers

7 Datenschutzkontrolle
7.1 Bestellung eines Datenschutzbeauftragten
7.1.1 Betrieblicher Datenschutzbeauftragter
7.1.2 Behördlicher Datenschutzbeauftragter
7.2 Meldepflicht und Vorabkontrolle
7.2.1 Meldepflicht
7.2.2 Vorabkontrolle
7.2.3 Verfahrensbeschreibung
7.3 Landesbeauftragter für Datenschutz

8 Fazit

Anhang 1: Erläuterungen zur verantwortlichen Stelle und zum

Prototypen des Onlineshops

Anhang 2: Technische und organisatorische Maßnahmen nach § 9 BDSG

Anhang 3: Verfahrensbeschreibung nach § 8 NDSG

Literatur

Web- Quellen

1 Onlineshopping an der Universität Oldenburg

Die Universität Oldenburg vertreibt durch eine organisatorisch selbstständige Stelle ein breit gefächertes Sortiment an Merchandisingartikeln. Sie hat sich zum Ziel gesetzt, das Medium Internet für den Vertrieb ihrer Merchandisingkollektion als zusätzlichen Absatzkanal zu nutzen. Aus gegebenem Anlass hat nun eine Arbeitsgruppe des Projektes „Neustrukturierung des Merchandising- Bereichs der Universität Oldenburg“ den Prototypen eines Onlineshops entwickelt.^[1]

Bei Interneteinkäufen werden, anders als bei klassischen, anonymen Ladenkäufen, personenbezogene Daten des Kunden erhoben, verarbeitet und genutzt.^[2] Die datenverarbeitende Stelle, d.h. die Merchandisingstelle der Universität, hat dabei datenschutzrechtliche Vorschriften einzuhalten.

Vorliegende Arbeit beschäftigt sich mit den datenschutzrechtlichen Aspekten, die bei der Implementierung eines Onlineshops an der Universität zu berücksichtigen sind. Dabei beschränken sich die folgenden Ausführungen auf das Rechts- verhältnis zwischen der Merchandisingstelle und ihren Kunden.

Zunächst werden in Kapitel 2 einige grundsätzliche Überlegungen zum Thema Datenschutz angestellt. Es folgen in Abschnitt 3 eine Abgrenzung der Ebenen des Kommunikationsprozesses im Internet sowie die rechtliche Einordnung der Merchandisingstelle, der Homepage und des Kunden bzw. Surfers. Dies ist notwendig, um aus der Fülle bestehender Datenschutzregelungen die auf diesen Sachverhalt zutreffenden und anwendbaren herauszufiltern. Abschnitt 4 befasst sich anschließend eingehend mit den anwendbaren Rechtsvorschriften und dem Verhältnis dieser zueinander. Kapitel 5 bildet nunmehr das Herzstück dieser Ausarbeitung. Es behandelt die datenschutzrechtlichen Aspekte beim Internet- einkauf. Des Weiteren wird in Kapitel 6 der rechtliche Rahmen für eine Datenverarbeitung außer Haus abgesteckt, denn es wird in Erwägung gezogen, diese durch einen externen Dienstleister durchführen zu lassen. Im Anschluss daran befasst sich Punkt 7 mit datenschutzrechtlichen Verfahren und Kontroll- maßnahmen. Abschließend werden in Kapitel 8 die im Laufe dieser Arbeit gewonnenen Erkenntnisse zusammenfassend kritisch reflektiert.

2 Datenschutz- unentbehrlich beim Interneteinkauf

Die Merchandisingstelle kann auf die Erhebung bestimmter Daten nicht verzichten, um die über das Internet abgeschlossenen Kaufverträge abwickeln zu können. Des weiteren ist sie, wie jedes andere moderne Unternehmen auch, auf die Verwendung von Kundendaten angewiesen, um Unternehmensführung und Marketing effizienter zu gestalten. Allerdings kann dieses Informationsbedürfnis, zumindest auf legale Weise, nicht ohne weiteres vollständig befriedigt werden: Datenschutzrechtliche Bestimmungen setzen zum Schutz des Individuums allzu großer Informationsgier enge Schranken.

Die folgenden Ausführungen sollen einen Überblick über die Gefahren unzureichenden Datenschutzes vermitteln, wobei zunächst der Begriff „Datenschutz“ definiert wird. Die Einhaltung datenschutzrechtlicher Vorschriften sollte jedoch nicht nur als gesetzlich auferlegter Zwang, sondern auch als Wachstumsmotor für den E- Commerce begriffen werden. Einige Argumente, die für diese Sichtweise sprechen, stellt der letzte Abschnitt von Punkt 2 vor.

2.1 Untersuchungsgegenstand Datenschutz

Datenschutz befasst sich mit dem Schutz der Persönlichkeit des einzelnen Bürgers bzw. dessen Privatsphäre. Diese Schutzfunktion lässt sich aus § 1 Abs. 1 des Bundesdatenschutzgesetzes ableiten: Regelungszweck des BDSG ist demnach „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“

Eine Ausformung des allgemeinen Persönlichkeitsrechtes ist das Recht auf informationelle Selbstbestimmung. Dies hat das Bundesverfassungsgericht in seinem Volkszählungsurteil von 1983 festgestellt: „ Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“^[3] Dabei spielt die Sensibilität der Daten keine Rolle. Denn durch die Möglichkeiten der modernen Datenverarbeitung, so das Bundesverfassungsgericht, bestünde die Möglichkeit, durch Verknüpfung von auf den ersten Blick „harmlosen Daten“ eine aussagekräftige Abbildung der einzelnen Person entstehen zu lassen. Dazu führt es wörtlich aus: „ Dadurch kann ein für sich gesehen belangloses Datum einen neuen Stellenwert bekommen; insoweit gibt es unter den Bedingungen der automatisierten Datenverarbeitung kein "belangloses" Datum mehr.“^[4] Datenschutz hat in der Bundesrepublik Deutschland seitdem Verfassungsrang und durchzieht folglich alle Lebensbereiche.

2.2 Potenzielle Gefahren mangelhaften Datenschutzes

Aus Sicht des Kunden hat sich gerade im Internet, das bei Web- Geschäften die Kommunikationsgrundlage zwischen Anbieter und Kunde bildet, die Gefährdungslage verschärft: Marketingexperten etwa sind an Informationen über das Konsumverhalten und Nachfragepräferenzen ihrer Kunden interessiert und sammeln diese Daten systematisch.

Eine internetspezifische Form des Datensammelns sind beispielsweise Cookies. Darunter versteht man kleine Datenansammlungen, die durch das Internet versendet und mithilfe eines Web- Browsers in einer Datei, etwa auf dem Rechner des Nutzers, platziert werden.^[5] So kann dessen Surfprofil, beispielsweise beim Betreten eines Onlineshops, registriert werden. Muss sich der Nutzer im Rahmen einer Warenbestellung identifizieren, so ist kann sein Surfverhalten seiner Person zugeordnet werden. Der Diensteanbieter hat nun die Möglichkeit, ein differenziertes Konsum- und Interessenprofil des Nutzers anzulegen, um diesem z.B. gezielte Werbung zukommen zu lassen.^[6] Der Kunde kann auf diese Weise leicht in seinem Kaufverhalten manipuliert werden. Zudem ist im Internet aufgrund vernetzter Strukturen der Datenfluss schwierig zu kontrollieren. Der Kunde kann nicht fortlaufend überwachen, was mit seinen Daten geschieht und wer wann zu welchem Zweck über seine Daten verfügt oder ob sie gar an Dritte weitergeleitet werden. Befürchtet wird die Verletzung der Privat- und Intimsphäre. Außerdem bestehen Ängste vor Datenmissbrauch und daraus resultierender Diskriminierung.^[7]

Doch nicht nur für den Kunden, sondern auch für Unternehmen kann nicht- datenschutzkonformes Verhalten zur Gefahr werden: Datenschutz ist vielmals ein Thema, das stiefmütterlich behandelt wird.^[8] Neben bewusst missbräuchlichem Verhalten können auch nachlässiger Umgang mit Kundendaten oder schlicht Unkenntnis von datenschutzrechtlichen Bestimmungen Auslöser von Daten- schutzverstößen sein. Konsequenterweise werden Kunden die Preisgabe ihrer Daten verweigern, wenn damit nicht sorgsam oder in unlauterer Weise umgegangen wird. Dies wird noch das harmloseste Mittel sein, mit dem sie sich zur Wehr setzen werden. Es bestehen zudem zahlreiche Möglichkeiten, auf dem Rechtsweg Kompensation zu erlangen. Für das angeprangerte Unternehmen kann dies sehr unangenehm und teuer werden.

Ferner können Verstöße gegen den Datenschutz für Unternehmen auch auf andere Weise zur Fallgrube werden: Entstehen dem Unternehmen dadurch Vorteile, kommt eine gleichzeitige Verletzung des Wettbewerbsrechts in Betracht.^[9] Wettbewerber können dann gegen ihre Konkurrenten klagen.

2.3 Akzeptanzfaktor Datenschutz

Haupthindernis für die weitere Entwicklung des E- Commerce und verantwortlich für die Zurückhaltung bei Interneteinkäufen ist der Argwohn der Verbraucher gegenüber Geschäften im Internet. Das ergab eine Studie der Hamburger Unternehmensberatung Mummert + Partner. Auch fühlten sich die Verbraucher unzureichend über ihre Rechte im Netz informiert. Beim Thema „Datenschutz“ bestünden große Informationsdefizite. Die Berater kommen zu dem Ergebnis, dass Transparenz beim Datenschutz die wichtigste Voraussetzung ist, um das Vertrauen der Kunden zu erlangen und die Akzeptanz von Interneteinkäufen zu erhöhen.^[10] Gestützt werden kann diese These durch das Ergebnis einer von den Datenschutzbeauftragten des Bundes und der Länder durchgeführten bundes- weiten Meinungsumfrage zum Thema Datenschutz aus dem Jahr 2004: 75% der Befragten sprachen sich für die Notwendigkeit eines hohen Datenschutzniveaus aus.^[11]

Eine andere Untersuchung kam jedoch zu dem Ergebnis, dass 80 % der Verbraucher bereit seien, persönliche Daten freizugeben, wenn sie dafür personalisierten Service erhielten. „ Bequemes Einkaufen und Surfen im Netz stechen die Sorgen um den Schutz sensibler Daten aus", so Wilhelm Alms, Vorstandsvorsitzender von Mummert + Partner.^[12]

Eine Gegenüberstellung der Studien lässt ein ambivalentes Kundenbild erkennen: Einerseits will der Verbraucher Bequemlichkeit beim Interneteinkauf, andererseits ist ihm Sicherheit ein wichtiges Anliegen. Kundenorientierte Datenschutz- konzepte wären somit ein möglicher Weg, die Zurückhaltung bei Internet- einkäufen zu lösen.

An der Universität Oldenburg soll eben dieser Weg eines kundenorientierten Datenschutzes beschritten werden, denn Mängel bei der Einhaltung datenschutz- rechtlicher Vorschriften sind nicht nur rechtlich problematisch, sondern auch aus betriebswirtschaftlicher Sicht kontraproduktiv.^[13] Es soll ein rechtlich einwand- freies Onlineangebot präsentiert werden, das der Kunde vertrauensvoll nutzen kann. Dies wird ausschlaggebend für den Erfolg des neuen Onlineangebotes sein.^[14]

3 Rechtliche Einordnungen

Personenbezogene Daten bedürfen in einer immer stärker von Information und Kommunikation geprägten Gesellschaft des besonderen Schutzes. Dieser soll durch eine ganze Reihe datenschutzrechtlicher Schutzvorschriften gewährleistet werden. Um die auf den oben geschilderten Sachverhalt anwendbaren Vorschriften zu bestimmen, ist zunächst eine Abgrenzung der Ebenen des Kommunikationsprozesses vorzunehmen. Anschließend wird die rechtliche Einordnung der Homepage vorgenommen. Des Weiteren wird die Frage zu klären sein, welche rechtliche Stellung die Merchandisingstelle einnimmt. Abschließend erfolgt die rechtliche Einordnung des Kunden bzw. Surfers.

3.1 Ebenen des Kommunikationsprozesses

Grundlegend für eine Abgrenzung der Ebenen des Kommunikationsprozesses ist die Trennung von Netz und Dienst. Es existiert nach Schaar, ehemals stellvertretender Hamburgischer Datenschutzbeauftragter und heute Bundes- beauftragter für den Datenschutz, ein von den Datenschutzaufsichtsbehörden anerkanntes Schichtenmodell, welches den Kommunikationsprozess in drei Ebenen einteilt, wobei die Grenzen fließend sind. Die unterste Ebene ist die für den Datentransport notwendige Telekommunikationsebene. Sie umfasst alle Telekommunikationsdienste, welche die technische Basis für das Internet bilden, d.h. die das Netz bereitstellen. Datenschutzrechtliche Grundlagen sind hierfür das Telekommunikationsgesetz und die Telekommunikationsdatenschutzverordnung.

Von der „Netzebene“ abzugrenzen sind die Ebenen der „Dienste“. Über der Telekommunikationsebene liegt die Interaktionsebene zwischen Nutzer und Diensteanbieter. Zu unterscheiden ist auf dieser Stufe zwischen Telediensten und Mediendiensten. Datenschutzrechtliche Vorschriften sind hier das Teledienste- datenschutzgesetz bzw. der Mediendienstestaatsvertrag.

Ganz oben angesiedelt ist die Inhaltsebene. Deren Inhalt ist das bestehende Vertragsverhältnis zwischen Kunde und Anbieter, zu dessen Begründung der Tele- oder Mediendienst genutzt wurde. So sind diejenigen Phasen des Bestell- vorgangs bei einem Versandhandel, die außerhalb des Internets erbracht werden, rechtlich dort angesiedelt. Anwendbares „Offline-Recht“ sind hier in erster Linie das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze.^[15]

Das Hauptaugenmerk dieser Abhandlung liegt auf der Beziehung zwischen dem Kunden und der Merchandisingstelle. Somit beschränken sich die folgenden Ausführungen auf die beiden oberen Ebenen des Schichtenmodells, d.h. die Interaktions- und die Inhaltsebene.

3.2 Rechtliche Einordnung der Homepage

Eine Homepage kann entweder den Telediensten oder Mediendiensten zugeordnet werden. Maßgeblich ist dabei ausschließlich, wie die Homepage inhaltlich ausge-staltet und welcher Art deren Zweck und Nutzung ist.^[16]

Im Gegensatz zum Teledienst steht beim Mediendienst gemäß § 2 MDStV die redaktionelle Gestaltung zur Meinungsbildung im Vordergrund. Laut § 2 Abs. 2 Nr. 2 TDG hingegen darf bei Telediensten die redaktionelle Gestaltung zur Meinungsbildung für die Allgemeinheit gerade nicht vorrangig sein. Nach der Legaldefinition des § 2 Abs. 1 TDG sind Teledienste „alle elektronischen Informations- und Kommunikationsdienste, die für eine individuelle Nutzung von kombinierbaren Daten wie Zeichen, Bilder und Töne bestimmt sind und denen eine Übermittlung mittels Telekommunikation zugrunde liegt.“ Das Gesetz konkretisiert zudem in Abs. 2, welche Dienste insbesondere als Teledienste gelten und erleichtert dadurch eine Zuordnung. § 2 Abs. 2 Nr. 5 TDG rechnet „Angebote von Waren und Dienstleistungen in elektronisch abrufbaren Datenbanken mit interaktivem Zugriff und unmittelbarer Bestellmöglichkeit“ den Telediensten zu.^[17]

Der Onlineshop der universitären Merchandisingstelle ist eine Homepage, auf welcher der Kunde sich über die aktuelle Produktpalette informieren, d.h. in einem virtuellen Katalog blättern und anschließend eine Online- Bestellung der gewünschten Waren vornehmen kann. Die Informationssuche und der Abschluss eines Kaufvertrages sind individuelle Handlungen. Damit ist besagter Onlineshop ein Angebot im Bereich der Individualkommunikation. Die Homepage ist folglich den Telediensten zuzuordnen.

3.3 Rechtliche Einordnung der Merchandisingstelle

Hochschulen sind Körperschaften öffentlichen Rechts, die der Aufsicht eines Landes unterstehen und somit den öffentlichen Stellen des Landes zuzurechnen.^[18] Fraglich ist allerdings, wie ein von der Universität betriebener Handelsbetrieb für Merchandisingartikel rechtlich einzuordnen ist. Es könnte sich um ein öffentliches Wettbewerbsunternehmen^[19] gemäß § 2 Abs. 3 S. 1 Nr. 1 NDSG handeln.

Um als solches qualifiziert zu werden, müssen zunächst nach Püttner folgende Kriterien erfüllt sein:^[20] Zuerst muss eine produzierende, verteilende oder Dienst leistende Tätigkeit in einem Wirtschaftszweig, wie etwa Industrie, Handel, Verkehr etc. zur Befriedigung materieller Lebensbedürfnisse vorliegen. Die Merchandisingstelle der Universität betreibt einen Versandhandel mit Merchandisingartikeln bzw. verkauft diese direkt in ihrem Ladenlokal. Verkauft werden alltägliche Gebrauchsgegenstände wie Bleistifte, Tassen, T- Shirts und dergleichen mehr. Die Befriedigung materieller Lebensbedürfnisse ist somit ebenfalls gegeben.

Ferner muss das öffentliche Unternehmen durch eine wirtschaftliche Arbeits- methode und Rechnungsführung sowie durch die Teilnahme am geschäftlichen Verkehr gekennzeichnet sein. Während in der öffentlichen Verwaltung den Prinzipien des Rechtsstaates, der Gerechtigkeit und Gemeinnützigkeit gefolgt wird, ist die Arbeitsweise im Wirtschaftsunternehmen von Kostengesichtspunkten und Ertragsrechnungen geprägt.^[21] Der Verkauf von Merchandisingartikeln an der Universität ist kommerziell und dient nicht zu Verwaltungszwecken. Zielsetzung der Merchandisingstelle ist die Erzielung von Gewinnen und steigenden Umsätzen. Somit kann ihr eine wirtschaftliche Arbeitsweise unterstellt werden. Der Begriff „geschäftlicher Verkehr“ umfasst jede Tätigkeit, die der Förderung eines beliebigen Geschäftszwecks dient. Rein private und rein hoheitliche Handlungen fallen nicht darunter.^[22] Der Verkauf der Merchandisingartikel erfolgt mit der Absicht, Studierende emotional stärker an ihre Ausbildungsstätte zu binden und dient der Werbung für die Universität. Er ist also weder rein privat noch fällt er unter die hoheitlichen Aufgaben einer Universität. Somit nimmt die Merchandisingstelle am geschäftlichen Verkehr teil.

Des Weiteren muss das öffentliche Unternehmen faktisch eigenständig gegenüber der öffentlichen Verwaltung sein. Diese faktische Selbstständigkeit verlangt eine Abgrenzung der wirtschaftlichen Tätigkeit von der übrigen Verwaltung.^[23] Die Merchandisingstelle ist organisatorisch selbstständig und hat einen gewissen eigenen Handlungsspielraum, etwa bezüglich der Konzeptionierung der Produkt- palette sowie der Auswahl von Lieferanten. Die wirtschaftliche Tätigkeit der Merchandisingstelle ist somit nicht in die übrige Verwaltung eingegliedert.

Schließlich ist für das Vorliegen eines öffentlichen Unternehmens die Inhaber- schaft der öffentlichen Hand und deren Eigentum an der Unternehmenssubstanz ein wichtiges Kriterium.^[24] Die Merchandisingstelle ist in den Räumlichkeiten der Universität untergebracht. Auch befindet sich die von ihr benutzte Büro- einrichtung, wie etwa die EDV- Anlage, Schreibtische, Regale etc. im Eigentum der Universität. Somit kann auch eine Inhaberschaft der öffentlichen Hand bejaht werden. Zusammenfassend ist die Merchandisingstelle der Universität Oldenburg als öffentliches Unternehmen zu bezeichnen.

Um als öffentliches Wettbewerbsunternehmen nach § 2 Abs. 3 S. 1 Nr. 1 NDSG zu gelten, muss sich das öffentliche Unternehmen auch in einer Wettbewerbs-situation mit privaten Unternehmen befinden.^[25] Dies ist der Fall, wenn es Leistungen anbietet, die auch von Privaten am Markt erbracht werden.^[26] Die Merchandisingstelle verkauft u.a. Schreibartikel und Textilien. Sie befindet sich somit, wenn auch in begrenztem Maße, im Wettbewerb mit Schreibwaren- händlern und Bekleidungshäusern. Damit ist ein wettbewerbliches Verhalten zu bejahen.

Ferner muss die wirtschaftliche Tätigkeit für das Unternehmen bestimmend sein, d.h. es darf sich nicht um ein bloßes fiskalisches Hilfsgeschäft der öffentlichen Verwaltung handeln.^[27] Die Merchandisingstelle betätigt sich wirtschaftlich selbst- ständig und verfolgt einen eigenständigen, auf Dauerhaftigkeit angelegten Geschäftszweck. Es handelt sich also nicht um eine bloße Begleiterscheinung der sonstigen Verwaltungstätigkeit der Universität. Die Merchandisingstelle ist somit als öffentliches Wettbewerbsunternehmen i.S.d. § 2 Abs. 3 S. 1 Nr. 1 NDSG zu betrachten.^[28]

Des Weiteren ist in der Terminologie des TDG und TDDSG derjenige, der einen Teledienst zur Nutzung bereithält Diensteanbieter. Nach § 3 S. 1 Nr. 1 TDG bzw. § 2 Nr. 1 TDDSG ist Diensteanbieter „jede natürliche oder juristische Person, die eigene oder fremde Teledienste zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt.“ Wie bereits festgestellt, handelt es sich bei einem Onlineshop um einen Teledienst. Da die Merchandisingstelle diesen verwaltet und für dessen Inhalte verantwortlich ist, hält sie ihn zur Nutzung bereit.^[29] Folglich ist sie auch Diensteanbieter i.S.d. TDG und TDDSG.

3.4 Rechtliche Einordnung des Surfers

Der Surfer ist, ganz allgemein gesprochen, die Einzelperson, die ein Angebot im Internet nutzt. In der Terminologie des TDDSG wird der Surfer als Nutzer bezeichnet. Nutzer ist laut § 2 Nr. 2 TDDSG „jede natürliche Person, die Teledienste in Anspruch nimmt, insbesondere um Informationen zu erlangen oder zugänglich zu machen.“ Der Nutzerbegriff ist weit gefasst, was dem Nutzer einen umfangreichen Schutz gewährt.^[30]

Wird der Internetsurfer durch den Umgang mit seinen personenbezogenen Daten, die in den Regelungsbereich des BDSG fallen, in seinem Persönlichkeitsrecht verletzt, so ist er in diesem Fall als Betroffener i.S.d. BDSG anzusehen.^[31] Gemäß § 3 Abs. 1 BDSG ist Betroffener jede „bestimmte oder bestimmbare natürliche Person.“ Es muss sich also um eine natürliche Person handeln. Dies dürfte bei einem Kunden, der online einen Merchandisingartikel bestellt, regelmäßig gegeben sein.

4 Anwendbares Datenschutzrecht

Die vorangehende Untersuchung hat das Vorliegen eines Teledienstes, betrieben durch ein öffentliches Wettbewerbsunternehmen, zum Ergebnis. Im Folgenden wird behandelt, welche Konsequenzen dies für die Wahl der anzuwendenden Datenschutzvorschriften hat. In Frage kommen neben dem BDSG und dem NDSG die bereichsspezifischen Regelungen des Teledienstedatenschutzgesetzes, welches beim Umgang mit personenbezogenen Daten die datenschutzrechtliche Grundlage bei Telediensten bildet.

4.1 Niedersächsisches Datenschutzgesetz

Der Anwendungsbereich des NDSG wird in § 2 NDSG bestimmt. Er erstreckt sich u.a. gemäß § 2 Abs. 1 S. 1 Nr. 3 NDSG auf die Verarbeitung personen- bezogener Daten durch öffentliche Stellen der unter Landesaufsicht stehenden Körperschaften öffentlichen Rechts. Wie gezeigt, ist die Universität eine Körper- schaft öffentlichen Rechts und die von ihr betriebene, personenbezogene Daten verarbeitende Merchandisingstelle ein öffentliches Wettbewerbsunternehmen nach § 2 Abs. 3 S. 1 Nr. 1 NDSG. Die Merchandisingstelle ist somit eine öffentliche Stelle i.S.d. NDSG. Infolgedessen kommt das NDSG grundsätzlich zur Anwendung.

Da das Land Niedersachsen über ein eigenes Datenschutzgesetz verfügt, unter- liegen öffentliche Stellen des Landes zunächst einmal den Regelungen des NDSG, denn das BDSG gilt für öffentliche Stellen der Länder gemäß § 1 Abs. 2 Nr. 2 BDSG nur, „soweit der Datenschutz nicht durch Landesgesetz geregelt ist [...].“ Allerdings erfahren öffentliche Wettbewerbsunternehmen eine Sonder- behandlung: Für sie gelten laut § 2 Abs. 3 S. 1 NDSG abweichend von Abs. 1 nur die §§ 8, 19 und die Regelungen des vierten Abschnitts des NDSG. Ansonsten gelten für öffentliche Wettbewerbsunternehmen die materiellen Regelungen des BDSG: § 2 Abs. 3 S. 2 NDSG verweist bei Vorliegen eines öffentlichen Wett-bewerbsunternehmens wieder auf das BDSG zurück. Demnach finden für öffentliche Wettbewerbsunternehmen „im Übrigen die für nicht öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes [...] Anwendung.“ Bis auf die Vorschriften zur Datenschutzkontrolle und Verfahrensbeschreibung sind sie somit von der Geltung des NDSG ausgenommen.

Öffentliche Wettbewerbsunternehmen befinden sich, wie oben dargestellt, im Wettbewerb mit privaten Unternehmen. Vor diesem Hintergrund gesteht ihnen der niedersächsische Gesetzgeber weitestgehend eine Behandlung nach BDSG zu, da die Datenschutzvorschriften im öffentlichen Bereich strenger formuliert sind als im nicht- öffentlichen. Mithilfe dieser Regelung sollen Wettbewerbsnachteile für öffentliche Wettbewerbsunternehmen vermieden werden.^[32]

[...]

---

^[1] Ausführlichere Erläuterungen zur verantwortlichen Stelle und zum Onlineshop siehe Anhang 1.

^[2] Zum einen fallen Daten an, die beim Kunden direkt, etwa beim Ausfüllen eines elektronischen Bestellformulars, erfragt werden. Dies sind beispielsweise Name und Anschrift. Daneben bietet die Internet- Technologie die Möglichkeit, meist vom Kunden unbemerkt, Daten über sein Surfverhalten zu erheben. Siehe hierzu eingehend Wolters, Einkauf via Internet: Verbraucherschutz durch Datenschutz, DuD 1999, S. 277 ff.

^[3] BverfG, Urt. v. 15. 12. 1983, Az. I BvR 209/83 u.a., NJW 1984, S. 419.

^[4] BverfG, Urt. v. 15. 12. 1983, NJW 1984, S. 422.

^[5] Wichert, Web- Cookies- Mythos und Wirklichkeit, DuD 1998, S. 273.

^[6] Wurster, Persönlichkeitsverletzungen im Internet, JurPC Web-Dok. 249/2001, Abs. 20, online im Internet. Siehe auch Woitke, Web-Bugs- Nur lästiges Ungeziefer oder datenschutzrechtliche Bedrohung?, MMR 2003, S. 313.

^[7] Ausführlich hierzu Buxel, Die sieben Kernprobleme des Online- Profiling aus Nutzerperspektive, DuD 2001, S. 581.

^[8] Dies ist das niederschmetternde Ergebnis eines Gutachtens über die datenschutzrechtlichen Anforderungen und deren Umsetzung bei Kundenbindungssystemen des unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein. Ein Auszug des Gutachtens „Kundenbindungssysteme und Datenschutz“ ist in RDV 2004, S. 40 ff. abgedruckt.

^[9] Voraussetzung ist allerdings ein Verstoß gegen eine wertbezogene Ordnungsvorschrift, die dem Schutz des Wettbewerbes dient. Handelt es sich nicht um eine solche, dann muss der Gesetzesverstoß bewusst und planmäßig erfolgt sein. Vgl. beispielsweise die Entscheidungen des LG München I, Urt. v. 23. Juli 2003, Az: 1 HK O 1755/03 und des LG Essen 4, Urt. v. 04.06.2003, Az: 44 O 18/03. § 4 Abs. 1 TDDSG verpflichtet den Diensteanbieter zur Abgabe einer Datenschutzerklärung. In der Rechtsprechung wurde § 4 Abs. 1 TDDSG als eine wertneutrale Ordnungsvorschrift eingestuft, die nicht dem Schutz des Wettbewerbs dient: „Bei Verletzung dieser Vorschrift besteht ein Unterlassungsanspruch gemäß § 1 UWG nur dann, wenn der Telediensteanbieter sich bewusst und planmäßig über das Gesetz hinweggesetzt hat, um sich einen sachlich nicht gerechtfertigten Vorsprung gegenüber gesetzestreuen Mitbewerbern zu verschaffen.“

^[10] Mummert + Partner, Angst vor dem Web, online im Internet. Vgl. auch BT- Drs. 13/7936, S. 4.

^[11] Details zur Umfrage bei Schrader, Meinungsumfrage zum Datenschutz 2004, DuD 2004, S.200.

^[12] Mummert + Partner, Sofa- Mentalität: Ist Service wichtiger als Datenschutz?, online im Internet.

^[13] Siehe auch Büllesbach, Datenschutzrechtliche Bewertung der Nutzung von Kundendaten, in: Taeger/Wiebe (Hrsg.), Informatik- Wirtschaft- Recht, 2004, S. 176. Er versteht Datenschutz als Kundenschutz.

^[14] Ähnlich auch eine Beurteilung durch den Arbeitskreis „Datenschutz- Audit Multimedia", Prinzipien und Leitlinien zum Datenschutz bei Multimedia- Diensten, DuD 1999, S. 285. Das Misstrauen von Kunden im Hinblick auf die Gewährleistung der Privatsphäre behindere die stärkere Nutzung multimedialer Dienste.

^[15] Schaar, Neues Datenschutzrecht für das Internet, RDV 2002, S. 5 ff; ders., Datenschutz im Internet, 2002, Rn. 246 ff. Vgl. auch Gola/Klug, Grundzüge des Datenschutzrechts, 2003, S. 59.

^[16] BT- Drs. 14/1191, S. 6; IuKDG- Komm./ Tettenborn, § 2 TDG Rn. 54. Siehe auch Roßnagel, Datenschutz in Tele- und Mediendiensten, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, Rn. 33 und Schaefer, Die Kennzeichnungspflicht der Tele- und Mediendienste im Internet, DuD 2003, S. 350.

^[17] Ausführlich zur Abgrenzung siehe auch Schaar, RDV 2002, S. 7; Schaar/Möller, Orientierungshilfe Tele- und Mediendienste, RDV 2002, S. 39.

^[18] Gola/Schomerus, BDSG, § 2 Rn. 18.

^[19] Der Begriff des öffentlichen Unternehmens bzw. Wettbewerbsunternehmens ist gesetzlich nicht definiert.

^[20] Püttner, Die öffentlichen Unternehmen, 1985, S. 35. Ähnlich Katz, Kommunale Wirtschaft, 2004, S. 22 ff.

^[21] Püttner, 1985, S. 28.

^[22] Kapp, Zulässigkeit und Grenzen unternehmerischer Betätigung der öffentlichen Hand, in: Fabry/Augsten (Hrsg.), Handbuch Unternehmen der öffentlichen Hand, 2002, Rn. 41 ff.

^[23] Püttner, 1985, S. 34.

^[24] Püttner, 1985, S. 35.

^[25] Der Landesbeauftragte für den Datenschutz Niedersachsen, Erläuterungen zur Anwendung des neuen NDSG, 2001, S. 33.

^[26] Weichert, in: Kilian/Heussen (Hrsg.), Computerrechtshandbuch, 2004, Kap. 132 Rn. 9.

^[27] Der Landesbeauftragte für den Datenschutz Niedersachsen, 2001, S. 33.

^[28] Es wird diskutiert, die Merchandisingstelle in Zukunft in eine BGB- Gesellschaft zu überführen. Dies ist nach dem Grundsatz der Formenwahlfreiheit möglich. (Siehe Fabry, Organisationsformen öffentlicher Unternehmen, in: Fabry/Augsten (Hrsg.), Handbuch Unternehmen der öffentlichen Hand, 2002, Rn. 17). Erfolgt deren Gründung unter Beteiligung privater Partner, so ist die Merchandisingstelle rechtlich anders zu beurteilen. Eine BGB- Gesellschaft ist eine privatrechtliche Organisationsform. Die Merchandisingstelle wäre als Konsequenz daraus gänzlich dem privaten Bereich gemäß § 2 Abs. 4 BDSG zuzurechnen. (Gola/Schomerus, BDSG, § 2 Rn. 19 ff. Vgl. auch Wedde, Verantwortliche Stellen, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, Rn. 33).

^[29] Nach Roßnagel, in: Roßnagel, 2003, Rn. 47 ist die Bereithaltung des Dienstes in einem eigenen Speicher gemeint. Vgl. auch BT- Drs. 13/7385, S. 20.

^[30] BT- Drs. 13/7385, S. 22. Siehe auch Fröhle, Web Advertising, Nutzerprofile und Teledienstedatenschutz, 2003, S. 141; Gola/Müthlein, TDG/TDDSG, Kommentierung für die Praxis, 2000, S. 205.

^[31] Gola/Klug, 2003, S. 191.

^[32] Der Landesbeauftragte für den Datenschutz, 2001, S. 33. Bei der Gründung einer BGB- Gesellschaft mit privaten Partnern ist zu beachten, dass das NDSG gemäß § 2 Abs. 1 S. 1 Nr. 3 NDSG nur für „die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen der sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts und deren Vereinigungen“ gilt. Das NDSG verlangt hier eine Vereinigung von mehreren öffentlichen Trägern. Dies wird deutlich durch die Formulierung „deren“ Vereinigungen. Eine Vereinigung mit einem privaten Partner hat somit zur Folge, dass das NDSG überhaupt keine Anwendung mehr findet.