Das sogenannte "Verbot mit Erlaubnisvorbehalt" beschreibt im Datenschutzrecht den in § 4 Abs. 1 Bundesdatenschutzgesetz ("BDSG") festgeschriebenen zentralen Grundsatz, wonach die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig sind, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
Kurz gesagt: Wenn beispielsweise ein Unternehmen irgendetwas mit personenbezogenen Daten "machen" möchte ist dies nicht gestattet, es sei denn a) es liegt eine gesetzliche Anordnung oder b) eine gesetzliche Gestattung hierzu vor oder c) der Betroffene hat in die Datenverarbeitung zuvor eingewilligt.
Das Verständnis dieses Grundsatzes ist für Community-Betreiber von zentraler Bedeutung: Jeder Umgang mit personenbezogenen Daten ist in der beschriebenen Art und Weise datenschutzrechtlich reguliert.
Dieser Grundsatz wird vor allem von vielen Internetunternehmen als nicht mehr zeitgemäß und für eine moderne Informationsgesellschaft als unpassend empfunden. Das Argument dahinter: wenn eine Gesellschaft auf dem Grundsatz des "Teilens" von Informationen aufbaut, stelle dies letztlich eine (untaugliche) Regulierung eines Gesellschaftsmodells dar.
Besucheranalyse: "Infektion" anonymer Daten durch personenbezogene Anmeldung
Aufbauend auf den Ausführungen zum sogenannten "Verbot mit Erlaubnisvorbehalt" versucht die Praxis im Bereich Webanalyse daher, anonymisierte Web-Analyse-Tools zu entwickeln (so z.B. bei Google Analytics und den Anpassungen bzgl. des Facebook-Like-Buttons, um so den datenschutzrechtlichen Einschränkungen weitestmöglich zu entgehen.
Zu beachten ist aber: erhebt ein Webseitenbetreiber im Rahmen der Webanalyse (an sich anonyme) Daten und kombiniert diese später mit personenbezogenen Daten, die man z.B. im Rahmen der Community-Anmeldung erhalten hat, "infiziert" man damit seine ehemals anonymen Datenbestände und ist insoweit datenschutzrechtlich im oben beschriebenen Umfang reguliert.
Ein Beispiel: ein Community-Betreiber erhebt für die Webanalyse in eigenen Server-Logdateien anonymisierte Daten über das Besucherverhalten (z.B. gekürzte IP-Adresse). Meldet sich nun ein Nutzer in der Community unter Preisgabe seiner E-Mail-Adresse an und werden diese Daten nicht sauber von den anderen Datenbeständen über das allgemeine Besucherverhalten getrennt, "infiziert" er damit den gesamten Datenbestand und unterwirft ihn damit den Regelungen des Datenschutzrechts.