Datenschutzschutzrechtliche Anforderungen an Webseiten – Die rechtlichen Einschläge kommen näher…

Seit einigen Jahren informieren die Datenschutzbehörden über die datenschutzrechtlichen Anforderungen, die Webseiten bei Beachtung des Telemediengesetzes (TMG) beachten müssen.

Was lange von vielen Unternehmen wenig Beachtung fand, gewinnt aufgrund einiger aktueller Gerichtsentscheidungen zunehmend an Relevanz.

Erst kürzlich hat das LG Düsseldorf in seinem Urteil vom 9.3.2016 (Az. 12 O 151/15) einem Unternehmen die Einbindung des Facebook Like Button verboten. Damit folgen die Düsseldorfer Richter der schon lange von den Datenschutzbehörden vertretenen Linie, dass solche Social Plugins (dort der Like Button), die die IP-Adresse jedes Webseitenbesuchers automatisiert an das jeweilige Soziale Netzwerk (dort Facebook) weitergeben, nicht verwendet werden dürfen, wenn der Besucher der Weitergabe nicht zuvor aktiv zugestimmt hat (vgl. „Düsseldorfer Kreis zur datenschutzrechtlichen Unzulässigkeit des Like Button“). Dieser Voraussetzung genügt die Verwendung einer Datenschutzerklärung auf der Webseite, die über die Verwendung des Social Plugins nur informiert, nicht.

In ähnliche Richtung geht die ebenfalls sehr aktuelle Entscheidung des LG Hamburg (Az.  312 O 127/16). In seiner einstweiligen Verfügung vom 10.03.2016 hat das Gericht dem Antragsgegner, den Einsatz des Internet-Analysedienst „Google Analytics“ verboten, weil die Besucher des Internet-Angebots zu Beginn des Nutzungsvorgangs nicht über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichtet worden waren (vgl. „Datenschutzkonforme Verwendung von Google Analytics“). Offensichtlich hat das LG Hamburg den vorliegenden Verstoß als abmahnfähigen Wettbewerbsverstoß interpretiert.

Im Jahr 2014 hatte das Landgericht Frankfurt auch schon einen Webseitenbetreiber zur Unterlassung verurteilt, weil er das eigentlich als datenschutzfreundliche Analysewerkzeug Piwik eingebunden hatte, ohne in der Datenschutzerklärung entsprechend § 15 Abs.3 TMG auf die durch das Werkzeuge vorgenommene Erhebung (pseudonymer) Nutzungsprofile hinzuweisen.

Die genannten Urteile zeigen, dass Webseitenbetreiber, die die datenschutzrechtlichen Vorgaben des Telemediengesetzes für ihre Präsenz nicht beachten, je nach den Umständen des Einzelfalles nicht nur von Wettbewerbern abgemahnt oder von Datenschutzbehörden mit Bußgeldern belegt, sondern eben auch vor Gericht verklagt werden können.

Webseitenbetreibern ist gerade auch im Hinblick auf die steigende Zahl an Klageverfahren im datenschutzrechtlichen Bereich dringend zu raten, die nachfolgend zusammengefassten datenschutzrechtlichen Anforderungen, die teilweise lange bekannt und von den Datenschutzbehörden mehrfach kommuniziert worden sind, auf der eigenen Präsenz einzuhalten.

A. Telemedienrechtliche Anforderungen an Webseiten

1. Information über eine Datenschutzerklärung (§ 13 Abs.1 TMG)

Gemäß § 13 Abs.1 TMG hat der Betreiber einer Webseite, der im Telemediengesetz stets als Diensteanbieter bezeichnet wird, den Nutzer im Rahmen einer leicht auffindbaren Datenschutzerklärung in jedem Fall über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten außerhalb des Europäischen Wirtschaftsraums in allgemein verständlicher Form zu unterrichten. Diese Voraussetzung dürfte übrigens auch für mobile Applikationen gelten (vgl. Mobile & Recht – Rechtliche Grundlagen für mobile Applikationen (Apps)).

2. Zulässigkeit der Erhebung von Bestandsdaten

§ 14 TMG regelt die Zulässigkeit der Erhebung von Bestandsdaten (z.B. Name und Adresse des Nutzers zur Abrechnung etwaiger Leistungen). Diese Daten dürfen jedenfalls dann problemlos erhoben werden, soweit dies für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich ist.

3. Zulässigkeit der Erhebung von personenbezogenen Nutzungsdaten

Webseitenbetreiber haben in aller Regel ein nachvollziehbares Interesse, wie die Besucher die jeweilige Präsenz nutzen.

Diesbezüglich ist § 15 TMG zu beachten, der die Zulässigkeit der Erhebung von Nutzungsdaten (z.B. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung). Diese Daten dürfen in jedem Fall erhoben werden, soweit dies für die Inanspruchnahme des Dienstes erforderlich ist.

4. Zulässigkeit pseudonymer Nutzungsprofile (z.B. Analysewerkzeuge, Retargeting)

Pseudonyme Nutzungsdaten dürfen nach § 15 Abs. 3 TMG hingegen zur Erstellung von Nutzungsprofilen für Zwecke der Werbung, der Marktforschung und zur bedarfsgerechten Gestaltung von Telemedien allerdings nur erhoben werden, wenn der Nutzer auf die Profilerhebung hingewiesen wird und nicht widerspricht.

Über diesen § 15 Abs.3 TMG können zahlreiche Analysewerkzeuge rechtskonform genutzt werden. Sofern das jeweilige Werkzeug eben keine personenbezogenen Daten erhebt, sondern eben nur pseudonyme Nutzungsprofile erstellt, muss der jeweilige Diensteanbieter eben über die Verwendung des jeweiligen Werkzeuges informieren und dem Nutzer die Möglichkeit geben, der Profilierung – in der Regel über einen Opt-Out Link – zu widersprechen.

Über diesen § 15 Abs.3 TMG kann unter Umständen auch die Verwendung von Retargeting legitimiert werden. Wenn und soweit die gewählte Retargeting Lösung die Nutzungsdaten nur pseudonym erhebt, dürfte ein entsprechender Hinweis in der Datenschutzerklärung auf die konkrete Funktionsweise des Retargeting und die jeweilige Widerspruchsmöglichkeit genügen.

5. Zulässigkeit von Cookies

Nach der sogenannten ePrivacy- oder Cookie-Richtlinie (RL 2002/58/EG in der Fassung der RL 2009/136/EG) dürfen Cookies nur auf der Grundlage einer Einwilligung des Nutzers gesetzt werden.

Diese Anforderung der Einwilligung wurde jedoch von verschiedenen Mitgliedstaaten unterschiedlich in das nationale Recht umgesetzt. Während Länder wie Frankreich, Holland oder Spanien eine aktive Einwilligung (Opt-In) für erforderlich halten, soll es etwa in Tschechien oder Bulgarien genügen, wenn der Nutzer dem Setzen von Cookies nicht widerspricht (Opt-Out). In Deutschland wurde die Richtlinie leider nicht weitergehend im TMG umgesetzt. Demgemäß hat etwa das OLG Frankfurt in seinem Urteil vom 17.12.2015 (Az.: 6 U 30/15) ein Opt-In beim Setzen von Cookies zu Werbezwecken nicht für erforderlich gehalten.

Die zunehmende Verwendung von Cookie-Bars ist aus Sicht darauf zurückzuführen, dass international tätige Unternehmen der unterschiedlichen Umsetzung (siehe oben) Rechnung tragen bzw. auch Google bei der Verwendung entsprechender Google Tools seit 30.09.2015 die Einbindung eines ausdrücklichen Cookie Hinweises verlangt.

Unternehmen raten wir daher, abhängig davon,

  • welche Länder mit der Webseite adressiert werden,
  • welche Cookies verwendet werden,
  • ob Google Werkzeuge verwendet werden,

zu entscheiden, ob Cookies nur in der Datenschutzerklärung erläutert werden oder eine gesonderte Cookie-Bar (Opt-In oder Opt-Out) aufgenommen wird.

Nach deutschem Recht wird es derzeiit wohl auf den Sinn und Zweck der verwendeten Cookies ankommen. Sollten diese etwa auch zur Erstellung pseudonymer Nutzungsprofile dienen, so dürfte auch insoweit § 15 Abs.3 TMG einschlägig sein, der die Unterrichtung des Nutzers über die konkrete Cookie-Verwendung und eine Widerspruchsmöglichkeit (Opt-Out) der Nutzer zwingend voraussetzt.

6. Zulässigkeit von Social Plugins

Spätestens nach dem – in der Argumentation zwar diskutablen, aber wohl bald rechtskräftigen – Urteil des LG Düsseldorf (Az. 12 O 151/15) sollte die Verwendung von Social Plugins überprüft werden. Diesbezüglich hatten die Datenschutzbehörden schon im Jahr 2011 festgestellt, dass Webseiten, die den Like Button von Facebook einbinden, damit automatisiert personenbezogene Daten jedes Webseitenbesuchers an Facebook weitergeben.  Nachdem nun also nicht nur die Datenschutzbehörden, sondern auch die ersten Gerichtsentscheidungen von der Unzulässigkeit der (einfachen) Einbindung des Liek Button ausgehen,

Wenn und soweit also die konkret eingebundenen Social Plugins IP-Adressen oder andere personenbezogene Daten erheben und an das jeweilige Soziale Netzwerk weitergeben, ist dies – zumindest nach Auffassung des LG Düsseldorf – wohl rechtswidrig.

Wer sicher gehen will, sollte also auf Werkzeuge wie den sogenannten Zwei-Klick-Button oder die Lösung „Shariff“ umstellen. Zusätzlich sollte ein entsprechender Hinweis in die Datenschutzerklärung aufgenommen werden.

Alternativ kann man sich über Lösungen Gedanken machen, die vor der Erhebung bzw. Weitergabe personenbezogener Daten die informierte Einwilligung des Nutzers abfragen.

B. Rechtsfolgen von Datenschutzverstößen

Das Risiko einer Inanspruchnahme wegen Datenschutzverstößen wächst aktuell auch durch das im Februar 2016 in Kraft getreten „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“. Danach sollen – zum besseren Schutz der Verbraucher – künftig neben den Datenschutzaufsichtsbehörden auch (Verbraucher)verbände und Kammern mit Hilfe des Unterlassungsklagegesetzes (UKlaG) gegen die unzulässige Erhebung, Verarbeitung oder Nutzung von sog. Verbraucherdaten durch Unternehmer vorgehen können.

Es ist davon auszugehen, dass zahlreiche Verbände diese Möglichkeit wahrnehmen werden, um auf dieser Grundlage Unterlassungsansprüche gegenüber Unternehmen geltend zu machen.

Unter bestimmten Voraussetzungen kann der Webseitenbetreiber bei Datenschutzverstößen auch von Wettbewerbern abgemahnt oder auf Unterlassung verklagt werden. Im Einzelfall wird es darauf ankommen, ob der jeweilige Datenschutzverstoß auch einen Wettbewerbsverstoß darstellt. Ob bzw. wann die datenschutzrechtlichen Vorschriften auch als solche Marktverhaltensregeln anzusehen sind, ist in der Rechtsprechung umstritten. Mehrfach wurde jedoch auch im Hinblick auf datenschutzrechtliche Vorschriften entschieden, dass ein hinreichender Marktbezug besteht, wenn der Rechtsbruch gezielt zu dem Zweck erfolgt ist, sich einen wettbewerbsrechtlichen Vorteil zu verschaffen, insbesondere wenn personenbezogene Daten von Verbrauchern ohne hinreichende Zustimmung zu kommerziellen Zwecken genutzt oder übermittelt worden sind (OLG Naumburg NJW 2003, 3566 (3568); OLG Stuttgart GRUR-RR 2007, 330 (331); KG GRUR-RR 2010, 34 (35)).

Schließlich bleibt bei diversen Datenschutzverstößen auf der Webseite, die Möglichkeit der Datenschutzbehörden gemäß § 43 BDSG Bussgelder zu verhängen.

C. Zusammenfassung

Die oben genannten datenschutzrechtlichen Anforderungen sind von privaten und gewerblichen Webseitenbetreibern zu erfüllen.

Während das „Entdeckungsrisiko“ bei privaten Webseiten eher gering einzuschätzen ist, steigen die genannten datenschutzrechtlichen Risiken für Unternehmen nach unserer Erfahrung proportional mit der jeweiligen Unternehmensgröße. Die Relevanz des unternehmerischen Datenschutzes hat auch durch das Safe-Harbor Urteil des EuGH noch einmal erheblich zugenommen.

Gerade Unternehmen ist zur Vermeidung der genannten datenschutzrechtlichen Risiken zu raten, die eigene Webseite datenschutzkonform aufzusetzen.

In diesem Zusammenhang sollten Unternehmen und Gewerbetreibende wie folgt vorgehen:

  1. Prüfung, welche Drittanbieterwerkzeuge (insbesondere Analysewerkzeuge, Social Plugins und andere Retargeting oder Trackingwerkzeuge) auf der eigenen Webseite verwendet werden
  2. Feststellung, ob diese Werkzeuge personenbezogene oder pseudonmye Daten erheben und ob diese an den jeweiligen Anbieter weitergeleitet werden
  3. Prüfung, ob die Funktionsweise des jeweiligen Werkzeuges in dem obenstehenden telemedienrechtlichen Rahmen rechtskonform aufgesetzt werden kann
  4. Wenn sich das Werkzeug nicht rechtskonform einsetzen lässt, sollte geprüft werden, ob es zulässige Alternativen gibt
  5. Die eingesetzten Werkzeuge sollten in der eigenen Datenschutzerklärung entsprechend § 13 TMG bzw. § 15 Abs.3 TMG erläutert und – soweit notwendig – eine Opt-Out Möglichkeit angeboten werden

Sollten Sie hierbei Unterstützung benötigen, stehen wir Ihnen mit einem standardisierten Prüfungsprozess zur rechtlichen Absicherung und Erstellung einer rechtkonformen Datenschutzerklärung gerne zur Verfügung.

Gerne stehen wir bei weitergehenden Fragen oder Interesse an einem entsprechenden Inhouse Workshop telefonisch unter +49 (0) 711 860 40 025 oder via E-Mail carsten.ulbricht@menoldbezler.de zur Verfügung.

Comments

  1. Dietmar Nadolny says:

    Ich finde Ihren Text sehr spannend. Habe ihn über Mobiltelefon gelesen und wollte nur berichten, dass ich die Social Media Buttons direkt anklicken konnte. Es fehlte die von Ihnen beschriebene Funktion.
    MfG

Trackbacks

  1. […] der EU in allgemein verständlicher Form und ihr bestehendes Widerspruchsrecht unterrichtet werden. Wie bei anderen Analysewerkzeugen auch, sollte die Ausübung des Widerspruchsrecht über ein konkretes Opt-Out ermöglicht […]

  2. […] Datenschutzrechtliche Anforderungen an eine Webseite, zusammengestellt von Carsten Ulbricht. […]

Speak Your Mind

*

Sicherheitsfrage *