Websiten abmahnsicher gestalten – Teil 27 – Datenschutzerklärung
Herausgeber / Autor(-en):
Harald Brennecke
Rechtsanwalt
Fachanwalt für Handels- und Gesellschaftsrecht
Fachanwalt für Gewerblichen Rechtsschutz
Brennecke Rechtsanwälte
Sandra Kuley
Bachelor of Laws (LL.B.)
6.2. Datenschutzerklärung
Nach dem TMG ist der Webseitenbetreiber dazu verpflichtet, eine Datenschutzerklärung vorzuhalten und diese in seiner Webseite zu integrieren. Gemäß § 13 I 1 TMG hat der Diensteanbieter den Internetnutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Die Datenschutzerklärung muss für den Internetnutzer jederzeit abrufbar sein (§ 13 I 3 TMG). Die Pflicht zum Vorhalten einer Datenschutzerklärung gilt anders als die Impressumspflicht auch für privat betriebene Webseiten. Anders als § 5 TMG, beschränkt sich § 13 TMG nicht auf geschäftsmäßig betriebene Telemedien. Hier wird der Webseitenbetreiber zwar nicht wettbewerbsrechtlich abgemahnt, ihm drohen aber Bußgelder.
Der Internetnutzer kann gemäß § 13 II TMG seine Einwilligung in die Datenschutzerklärung elektronisch erklären, wenn der Diensteanbieter sicherstellt, dass
1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Erst durch das Urteil des OLG Hamburg können fehlende oder fehlerhafte Datenschutzerklärungen aufgrund von § 13 TMG abgemahnt werden[1]. Nach Auffassung des Oberlandesgerichts ist § 13 TMG wie eben § 5 TMG (à 6.1.) eine i. S. d. § 4 Nr. 11 UWG das Marktverhalten regelnde Norm. Seitdem können zusätzlich zu den Verbrauchern und Datenschutzbehörden auch Mitbewerber gegen den Webseitenbetreiber mittels einer Abmahnung vorgehen.
Beispiel:
Der Webseitenbetreiber hat alle datenschutzrechtlich relevanten Funktionen der Webseite zu berücksichtigten, mittels derer der Internetnutzer personenbezogene Daten übermittelt[2]. Hier eingeschlossen sind beispielsweise Bestellformulare für Newsletter, sämtliche Kontaktformulare und Gästebücher.
Dem Webseitenbetreiber droht eine Abmahnung sofern eine Datenschutzerklärung (Data Policy) unvollständig ist oder gänzlich fehlt.
Verwendet ein Webseitenbetreiber ein Analysetool wie Google Analytics (6.2.2.) oder hat Social-Plug-Ins wie Facebook-Like-Buttons auf seiner Webseite eingebunden, muss er darauf ausdrücklich in seiner Datenschutzerklärung hinweisen.
Wird von dem Internetnutzer eine Webseite mit verwendeten Social-Plug-Ins aufgerufen, stellt der Internetbrowser eine direkte Verbindung mit den Servern des Dritten, wie z. B. Facebook her. Ist der Internetnutzer in dem sozialen Netzwerk angemeldet oder ein Cookie hinterlegt, kann der Internetnutzer dadurch identifiziert werden.
Problematisch ist in diesem Zusammenhang, dass der Webseitenbetreiber selbst keine Kenntnisse darüber hat, wann und welche Daten durch einen solchen Plug-In erhoben werden. Ferner muss der Webseitenbetreiber über den Einsatz von Cookies aufklären.
Cookies sind Informationen, die auf dem Computer des Internetnutzers in einer Textdatei hinterlegt sind und bei einem erneuten Besuch der Webseite ausgelesen werden[3].
Der Webseitenbetreiber sollte den Internetnutzer ebenso über die Verarbeitung seiner personenbezogenen Daten außerhalb der Europäischen Union aufklären.
6.2.1. Art der gespeicherten Daten
Gemäß § 3 I BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Anders als in anderen europäischen Staaten, wie in Luxemburg, Dänemark und Österreich sind nach dem BDSG nur natürliche Personen, also Personen, die als solche erkennbar sind, und keine juristischen Personen geschützt[4]. Damit sind vom BDSG keine anonymisierten und pseudoanonymisierten Daten erfasst. Ebensowenig sind Gruppendaten geschützt, wenn keine einzelne Person aus der Gruppe heraus ableitbar ist. Reine Bestandsdaten, die eine Aussage darüber treffen, z. B. welcher Anschluss mit welcher Adresse Rechnungsempfänger ist, sind personenbezogene Daten[5]. Problematisch ist die Beurteilung bei reinen Verkehrsdaten, die aussagen, wann und wo ein bestimmter Rechner aktiv war[6]. Die Datenschutzbehörden sehen IP-Adressen ausnahmslos als personenbezogene Daten an. Die europäische Rechtsprechung erkennt sie mehrheitlich ebenfalls als personenbezogene Daten an. Für die Speicherung von IP-Adressen muss der Webseitenbetreiber ein berechtigtes Interesse haben oder eine ausdrückliche Einwilligung des Internetnutzers vorliegen.
6.2.2. Verwendung von Google Analytics
Die Verwendung von Tracking-Tools wie Google Analytics führen regelmäßig zu Auseinandersetzungen mit den Datenschutzbehörden.
Mittels eines Tracking-Tools können die Bewegungen der Internetnutzer auf einer Webseite nachverfolgt werden[7].
Google Analytics ist ein kostenloses umfangreiches Trackingtool. Wird dieses Trackingtool auf der Webseite eingebunden, können Nutzerzahlen erfasst, die Klickpfade der Internetnutzer nachvollzogen und die Vorlieben der Internetnutzer für bestimmte Produkte oder Leistungen analysiert und interpretiert werden[8]. Ferner wird die verwendete Software der Internetnutzer wie der Browser, das Betriebssystem und Plug-Ins dargestellt. In Deutschland ist eine rechtlich zulässige Nutzung von Google Analytics an bestimmte Voraussetzungen geknüpft. Dazu muss ein schriftlicher Vertrag[9] über die die Auftragsdatenverarbeitung (ADV) vorliegen und der Funktionsumfang auf einige Punkte begrenzt sein. Der Webseitenbetreiber und Verwender des Tools muss zusätzlich den Analytics-Code mittels der Einfügung von “_gaq.push (['_gat._anonymizeIp']);” modifizieren[10]. Damit werden die IP-Adressen der Internetnutzer verkürzt dargestellt und nur anonymisiert weiterverarbeitet. Dem Benutzer der Internetseite, auf welcher das Google Analytics Tool eingebunden ist, muss die Möglichkeit gegeben werden, gegen eine Erhebung seiner Daten zu widersprechen. Dies ist durch eine Verlinkung auf ein Deaktivierungs-Add-on möglich[11]. Daneben kann eine Erhebung durch das Setzen eines Opt-Out-Cookies verhindert werden. Beide Möglichkeiten sollten nebeneinander genutzt werden. Der Vollständigkeit halber sollte im Rahmen der Datenschutzerklärung auf die jeweils gültigen Datenschutzerklärungen von Google verwiesen werden.
6.2.3 Verwendung von Cookies
In aller Regel verwendet der Webmaster einer Webseite nicht-personenbezogene Cookies, um die Nutzung der Webseite für den Benutzer zu vereinfachen. Sofern durch eine spätere Handlung des Benutzers (zum Beispiel durch ein Login) die nicht-personenbezogenen Cookies zu personenbezogene Cookies werden können, muss der Webmaster im Rahmen der Datenschutzerklärung darüber informieren, in welchem Umfang, in welcher Art und zu welchem Zweck Cookies verwendet werden, §§ 13 I, 15 TMG. Zusätzlich muss dem Benutzer eine Möglichkeit bereitgestellt werden, die Erhebung nicht-personenbezogener Daten durch Cookies zu verhindern. Wird sich an §§ 13 I, 15 III TMG orientiert, dann kommt es darauf an, ob der Benutzer der Verwendung von Cookies nicht widersprochen hat. Dazu sollte auf der Startseite der Webseite ein entsprechender Hinweis erteilt werden, sowie auf die Datenschutzerklärung verlinkt werden. Wird stattdessen die europäische Datenschutzrichtlinie (Art. 5 III der E-Privacy-Richtlinie Nr. 2009/136/EG) zu Grunde gelegt, kommt es auf eine vor Erhebung der Daten mittels Cookies erteilte Einwilligung des Benutzers an[12]. Diese ist durch ein der Startseite vorgeschaltetes Pop-Up mit der Aufforderung der aktiven Einwilligung möglich. Als dritte Variante, um das Erheben von nicht-personenbezogenen Daten durch Cookies zu verhindern, besteht ein Mittelweg zwischen der reinen Widerspruchsmöglichkeit und der aktiven Erteilung einer Einwilligung: Die sogenannte „unsaubere Opt-In-Lösung“[13]. Auf der Startseite wird darauf hingewiesen, dass mit dem Weitersurfen auf der Webseite der Benutzer seine Einwilligung in die Erhebung von Daten mittels Cookies erteilt.
Da die europäische Forderung nach einer Einwilligung gegenüber den anderen beiden Varianten am strengsten ist, ist sie – sofern man die Wirtschaftlichkeit eines vorgeschalteten Pop-Ups außer Betracht lässt – am sichersten Solange jedoch hierzu keine höchstrichterliche Entscheidung gefällt worden ist und mithin die deutsche Variante noch von einem Widerspruch ausgeht, § 15 III TMG, sollte mindestens der Mittelweg gewählt werden. Jedenfalls hat ein Hinweis auf die Verwendung von Cookies sichtbar zu erfolgen.
[1] Fußnote
[2] Fußnote
[3] Fußnote
[4] Fußnote
[5] Fußnote
[6] Fußnote
[7] Fußnote
[8] Fußnote
[9] Fußnote
[10] Fußnote
[11] Fußnote
[12] Fußnote
[13] Fußnote
Dieser Beitrag ist entnommen aus dem Buch „Websiten abmahnsicher gestalten“ von Harald Brennecke, Fachanwalt für Gewerblichen Rechtsschutz, und Sandra Kuley, Bachelor of Laws (LL.B.), erschienen mit Fußnoten im Verlag Mittelstand und Recht, 2015, www.vmur.de, ISBN 978-3-939384-42-7.
Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches
Links zu allen Beiträgen der Serie Buch - Abmahnsichere Websiten
Herausgeber / Autor(-en):
Harald Brennecke
Rechtsanwalt
Fachanwalt für Handels- und Gesellschaftsrecht
Fachanwalt für Gewerblichen Rechtsschutz
Brennecke Rechtsanwälte
Sandra Kuley
Bachelor of Laws (LL.B.)
Stand: Januar 2016
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Herausgeber / Autor(-en):
Harald Brennecke, Rechtsanwalt, Fachanwalt für Gewerblichen Rechtsschutz
Rechtsanwalt Harald Brennecke ist im Datenschutzstrafrecht als Strafverteidiger tätig.
Rechtsanwalt Brennecke hat zum Datenschutzrecht veröffentlicht:
- „17 UWG – Betriebsgeheimnisse und Verrat durch (ehemalige) Mitarbeiter“, 2015, Verlag Mittelstand und Recht, ISBN 978-3-939384-38-0
- "Einführung in das Datenschutzrecht", Kapitel im E-Business Handbuch für Entscheider, 2. Aufl., ISBN 3.540-43263-9, 2002, Springer-Verlag
Folgende Veröffentlichung von Rechtsanwalt Brennecke ist in Vorbereitung:
- Einführung in das Datenschutzstrafrecht
Rechtsanwalt Brennecke war an der IHK Karlsruhe als Dozent für Datenschutzrecht tätig. Er ist Dozent für Datenschutzrecht an der DMA Deutsche Mittelstandsakademie.
Er bietet Schulungen, Vorträge und Seminare zu den Themen:
- Schutz von Kundenadressen und Geschäftsgeheimnissen – 17 UWG in Theorie und Praxis
- Datenschutzstrafrecht
- Datenschutz in Franchisesystemen – Die unterschätzte Gefahr für Franchisesysteme
Kontaktieren Sie Rechtsanwalt Harald Brennecke unter:
Mail: brennecke@brennecke-rechtsanwaelte.de
Telefon: 0721-20396-28