Der Beschluss der deutschen Datenschutzbeauftragten bringt viel Verunsicherung mit sich

Die Kontroverse um Facebook und die wirtschaftliche Nutzung der Plattform bleibt weiterhin spannend. Bereits im August hat der schleswig-holsteinische Datenschutzbeauftragte die Verwendung des Like-Buttons und den Betrieb von Facebook-Fanseiten für datenschutzwidrig erklärt und dessen Nutzern Bußgelder angedroht. Nunmehr haben sich alle deutschen Datenschutzbeauftragten übereinstimmend dieser Ansicht angeschlossen. Ihren Standpunkt haben sie in dem Beschluss “Datenschutz in sozialen Netzwerken“ des Düsseldorfer Kreises klar gemacht.

Damit weitet sich das bisher in Schleswig-Holstein schwelende Problem und die damit einhergehende Verunsicherung auf ganz Deutschland aus. Der folgende Beitrag soll diese Verunsicherung mindern, die häufigsten Fragen beantworten und gibt Tipps zum richtigen Verhalten.

Wer ist der Düsseldorfer Kreis?

Als Düsseldorfer Kreis wird der Zusammenschluss der Datenschutzbeauftragten der Bundesländer bezeichnet. Die Aufsicht über den Datenschutz wird nicht einheitlich durch den Bund, sondern durch die Bundesländer auf deren Gebiet ausgeübt. Wenn die Landesdatenschutzbeauftragten jedoch ein Anliegen für besonders wichtig halten und einer Meinung sind, erlassen Sie einen Beschluss, in dem sie ihre Ansichten darlegen. Der Name kommt von der Stadt “Düsseldorf”, wo sich die Datenschutzbeauftragten 1977 das erste Mal getroffen haben.

Was steht in dem Beschluss “Datenschutz in sozialen Netzwerken”?

Der Beschluss enthält mehrere Punkte die sich nicht nur an die Betreiber von sozialen Netzwerken, sondern auch an deren Verwender richten:

• Anwendung deutschen Datenschutzrechts – Auch ausländische Anbieter müssen das deutsche Datenschutzrecht beachten, wenn Sie hier Kunden ansprechen und deren Daten erheben. Sie können sich allenfalls auf die Gesetze eines anderen EU-Landes berufen, wenn sie dort eine Niederlassung haben, welche die Datenschutzverarbeitung vornimmt. Dieser Punkt nimmt Bezug auf den Streit mit Facebook. Facebook beansprucht für sich die Anwendung des irischen Datenschutzrechts, weil das Unternehmen dort eine Niederlassung hat. Nach Ansicht deutscher Datenschützer handelt es sich dort jedoch um keine Datenverarbeitungs- sondern eine Verwaltungs-, Auskunfts- und Beschwerdestelle.
• Transparenz und Einwilligung – Die sozialen Netzwerke müssen die Nutzer genau aufklären welche derer Daten zu welchen Zwecken erhoben werden. Sie sollen die Nutzer um Einwilligung vor der Verwendung derer Daten und bei neuen Funktionen fragen. Es ist nicht ausreichend standardmäßig Daten zu erheben und lediglich eine Widerspruchsmöglichkeit anzubieten. Auch hier stand Facebook Pate, als der Dienst zum Beispiel die Basisinformationen der Nutzer (Name, Profilbild) jedermann zugänglich machte, aber die Abschaltung dieser Funktion zuließ.
• Gesichtserkennung - Die Verwertung von Fotos für Gesichtserkennung und das Speichern und Verarbeiten so gewonnener biometrischer Merkmale soll nur mit Einwilligung der Nutzer erfolgen.
• Profilbildung und Datenlöschung - Es soll möglich sein, soziale Netzwerke mit Pseudonymen zu nutzen. Ebenfalls dürfen ohne Einwilligung der Nutzer keine individuellen Nutzerprofile erstellt werden. Nach der Beendigung der Mitgliedschaft sind sämtliche Mitgliederdaten zu löschen.
• Minderjährigenschutz – Die Informationen und Einwilligungen sind so auszugestalten, dass die Minderjährigen diese leicht verstehen können.
• Kontaktmöglichkeit – Nutzer müssen eine einfache Möglichkeit haben bei den Plattformanbietern eine Auskunft über deren Daten einzuholen, sie zu ändern oder zu löschen.
• Organisatorische Maßnahamen – Die Netzwerkbetreiber sollen nachweisen, dass sie die nötigen technischen und organisatorischen Vorkehrungen getroffen haben, um die Daten der Mitglieder zu schützen. Des Weiteren soll bei Sozialen Netzwerken, die außerhalb der EU betrieben werden ein inländischer Ansprechpartner bestellt werden.
• Social Plugins und Empfehlungsbuttons – Die deutschen Anbieter sind datenschutzrechtlich verantwortlich, wenn sie Plugins und Empfehlungsbuttons der sozialen Netzwerke in ihre Websites einbinden oder bei diesen Profile anlegen. Sie müssen zudem die Nutzer darüber informieren, welche Daten an die sozialen Netzwerke weiter geleitet werden. Das ist ihnen derzeit jedoch nicht möglich, da die Netzwerke nicht hinreichend über Umfang und Zweck der Datenverarbeitung aufklären.

Ist der Beschluss des Düsseldorfer Kreises bindend?

Der Beschluss der Datenschutzbeauftragten hat keine Gesetzeskraft. Es ist nur eine Interpretation des (in vielerleiweise interpretationsfähigen) Gesetzes. Sie wird zudem von vielen Stimmen in einigen Punkten angezweifelt, insbesondere was die weiter unten besprochen Verantwortung für Facebooks Datenschutzverstöße betrifft.

Jedoch haben die Datenschutzbeauftragten die Hoheitsgewalt in der Hand. Das heißt sie dürfen vor allem Bußgelder erlassen. Wer einer anderen Ansicht ist, muss diese vor Gericht durchsetzen. Damit hat die Meinung der Datenschutzbeauftragten trotz fehlender Gesetzeskraft viel Gewicht.

Was ist an den Social Plugins, Buttons und Facebookseiten rechtswidrig?

Auch wenn die Betreiber von Facebookseiten selbst keine individuellen, sondern nur zusammengefasste Nutzerstatistiken sehen, sollen sie dafür haften, dass Facebook individuelle Nutzerdaten erfasst.

Die Datenschützer bemängeln, dass Informationen über die Nutzer widerrechtlich gesammelt werden. Bei eingeloggten Netzwerkmitgliedern werden personenbezogene Profile erstellt, in denen das Verhalten und die Vorlieben der Mitglieder protokolliert werden. Bei nichteingeloggten Nutzern würden nach Meinung der Datenschützer zumindest pseudonyme Nutzungsprofile erstellt (ähnlich wie bei Trackingdiensten, wie Google Analytics). Dabei wird den Nutzern nicht die gesetzlich vorgeschriebene Möglichkeit gegeben, dieser Erfassung zu widersprechen. Ein solcher Widerspruch wäre zum Beispiel durch das Setzen eines Cookies oder per Browserplugin wie bei Google Analytics möglich. Das ist jedoch weder neben der Empfehlungsschaltflächen noch auf Facebook-Fanseiten möglich.

Bin ich für Facebooks Datenerfassung verantwortlich?

Das ist möglich. Das Gesetz lässt im § 3 Abs.7 Bundesdatenschutzgesetz viel Interpretationsspielraum bei der Bestimmung von datenschutzrechtlich verantwortlichen Personen zu. Die Datenschutzbeauftragten sehen eine klare Verantwortung, da die Nutzer über den Einsatz der Plugins entscheiden. Nach anderen Meinungen ist die Verantwortlichkeit zumindest nicht eindeutig, da die Nutzer auf die Datenverarbeitung selbst keinen Einfluss haben.

Mehr dazu finden Sie in den Beiträgen:

• (Kein) Datenschutz in sozialen Netzwerken von Thomas Stadler
• Warum der Kreuzzug des ULD gegen die Facebook-User rechtswidrig ist… von der Kanzlei STRUNK DIRKS + PARTNER
• ‘Facebook-Kampagne’ des UL, Arbeitspapier des Wissenschaftlichen Dienstes des Schleswig Holsteinischen Landtags
• Arbeitspapier zu Facebooks Like-Button bei Telemedicus

Welche Social Plugins sowie Empfehlungsschaltflächen sind betroffen und wie erkenne ich sie?

Das Problem an dem Beschluss liegt darin, dass es faktisch kaum Möglich ist zu erkennen, welche Dienste Dritter unter “Social Plugins” im Sinne des Beschlusses der Datenschutzbeauftragten fallen. Zuerst trifft das auf Einbindungen, die wie Facebooks Like-Button funktionieren. Dabei bindet der Websitebetreiber einen kurzen Code in die eigene Website ein. Beim Aufruf der Website wird der eigentliche Code des Buttons von Facebook Servern geladen und ausgeführt. Dabei werden die Daten des Nutzers erfasst. Ähnlich funktioniert der Twitterbutton oder der Google +1 Button. Auch die Social Plugins von Facebook, wie die Loginfunktion oder die Kommentare funktionieren nach demselben Prinzip.

Dier Code der „Gefällt-mir“ Schaltfläche wird bei Aufruf einer Website ohne Zutun des Websitebetreibers von Facebook geliefert. Dabei erhebt Facebook Nutzer-Daten.

Rein theoretisch kann aber bereits ein von einem fremden Server eingebundenes Bild oder Video dazu führen, dass ein Nutzerprofil erfasst wird. Denn mit jedem Aufruf des Bildes oder Videos im Browser eines Website-Besuchers, wird dessen IP-Adresse dem fremden Server mitgeteilt. Ist zum Beispiel jemand bei Youtube eingeloggt und ruft eine Website auf, in der ein Youtube-Video eingebunden ist, erfährt Youtube seine IP-Adresse (diese sehen die Datenschutzbeauftragten als ein personenbezogenes Datum an). Theoretisch könnte Youtube so die Bewegungen der Mitglieder im Netz verfolgen. Ebenso geht das mit eingebundenen Bildern von fremden Servern. Jedoch scheinen die Datenschützer nicht auf diese Einbindung von Inhalten zu beziehen. Zudem wird diese als erforderlich für den Betrieb einer Website und damit als gesetzlich nach § 15 Abs.1 Telemediengesetz erlaubt, angesehen. Hierzu sehr lesenswert:

• Der Facebook-Like-Button oder: das Datenschutzproblem seit 20 Jahren (PrivacyImg) von Henning Tillmann
• Ist das Einbinden fremdgehosteter Bilder auf der eigenen Website datenschutzkonform? JA! bei Datenschutzbeauftragter.info

Auch Facebooks Social Plugins wie die Kommentarbox oder der Login-Schaltfläche, werden von den Datenschutzbeauftragten als rechtswidrig angesehen.

Schützt mich die “2-Klick-Lösung”?

Bei der „Zwei-Klick“-Lösung wird die „Gefällt mir“-Schaltfläche nicht sofort beim Aufruf der Website geladen. Stattdessen werden die Besucher zuvor über die Datenübermittlung an Facebook informiert und können frei entscheiden, ob die Empfehlungsschaltfläche geladen werden soll.

Die "2-Klick-Lösung" schützt nach Ansicht der Datenschützer zwar nicht vor Rechtsverstößen, mindert aber das Risiko für sie belangt zu werden.

Diese (für Besucher) leicht umständliche Lösung bietet in jedem Fall mehr Sicherheit, da Daten der Besucher nicht automatisch erfasst werden. Jedoch ist werden die Besucher nur über die Datenübermittlung an Facebook informiert. Sie werden jedoch nicht informiert, zu genau welchen Zwecken und in welchem Umfang die Daten übermittel werden. Dies liegt darin, dass die Verwender der “2 Klick”-Lösung schlichtweg die Details der Datenverarbeitung nicht kennen. Die Datenschutzbeauftragten sagen dazu:

Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen.

Jedoch denke ich, falls die Datenschutzbeauftragten sich gegen Websites richten sollten, werden sie die mit der “2 Klick”-Lösung als Letztes wählen. Denn sie sind schon vom Gesetz wegen verpflichtet zuerst die “größeren Gefahrenherde” zu beseitigen. Die “2 Klick”-Lösung mindert daher das Risiko erheblich.

Die “2 Klick”-Lösung gibt es bei

• heise.de,
• als WordPress-Plugin,
• als Wordpress-Plugin von Peter Pfeufer,
• als Contao-Erweiterung,
• für Joomla und
• für Drupal

Muss ich meine Datenschutzerklärung ergänzen?

Ja, wenn Sie Empfehlungsschaltflächen und Social Plugins einsetzen, müssen Sie darauf in Ihrer Datenschutzerklärung hinweisen. Dies schützt Sie zwar nicht vor einem Datenschutzverstoß, falls Sie nach Ansicht der Datenschutzbeauftragten für Datenschutzverstöße von Facebook & Co verantwortlich sind. Jedoch würden Sie ohne gar keinen Hinweis auf die Datenschutzerhebung durch Facebook einen zusätzlichen Verstoß begehen. Also senken die Hinweise Ihr Risiko. Sie finden hierzu unsere Datenschutzmuster in Deutsch und Englisch für

• Googles +1 Empfehlungsschaltfläche und
• Facebooks Like-Button.

Wie kann ich es vermeiden mit meiner Facebook-Fanseite Rechtsverstöße zu begehen?

Derzeit gar nicht. Mit den “Insights” genannten Statistiken erhebt Facebook Daten der Seitenbesucher, ohne ihnen die gesetzlich vorgeschriebene Widerspruchsmöglichkeit zu bieten. Da Sie diese statistische Erfassung nicht abschalten können, können Sie den Forderungen der Datenschützer nicht genügen.

Ist mit Bußgeldern zu rechnen?

Nicht sofort. Die Datenschutzbeauftragten möchten primär gar nicht gegen die Nutzer vorgehen. Sie möchten viel mehr erreichen, dass die Betreiber sozialer Netzwerke sich deren Forderungen fügen. Weil sie gegen die im Ausland sitzenden Anbieter nicht vorgehen können, wenden sich die Datenschutzbeauftragten an die Nutzer. Diese Taktik wurde schon vor zwei Jahren durch den Hamburger Datenschutzbeauftragten erfolgreich gegen Google im Zusammenhang mit dem Dienst Analytics angewendet.

Ebenso wie in Schleswig Holstein, ist daher zuerst nur mit Hinweisen und Beanstandungen zu rechnen, bevor ein Bußgeld erlassen wird. Kommt man den Forderungen der Datenschutzbeauftragten nach, passiert von dieser Seite nichts weiter. Finanzielle Folgen können jedoch zum Beispiel durch den Verlust einer mühsam aufgebauten Facebook-Fanseite entstehen. Da jedoch auf der anderen Seite die einzige Lösung wäre sie sofort abzuschalten, kann man genauso gut abwarten, ob sich die Datenschutzbehörde meldet.

Ist mit Abmahnungen zu rechnen?

Ausgehend von den bisherigen Entscheidungen der Gerichte ist mit Abmahnungen nicht zu rechnen. Diese besagen, dass Datenschutzverstöße einen Wettbewerber nicht zur Abmahnung berechtigen. Der Datenschutz dient danach alleine dem Schutz von Individuen und nicht dem Schutz eines lauteren Wettbewerbs. Dazu lesenswert:

Kann man für Datenschutzverstöße abgemahnt werden? im Shopbetreiber-Blog.

Wollen die deutschen Datenschutzbeauftragten Social Media verbieten?

Auch wenn das von vielen behauptet wird, gehe es den Datenschutzbeauftragten nicht darum Social Media zu verbieten. Vielmehr sitzen die Datenschutzbeauftragten selbst in einer Zwickmühle. Sie sind dazu angehalten die Datenschutzgesetze zu wahren. Diese sind jedoch nicht für die heutige technische Entwicklung nicht angepasst und auch von den Gerichten gibt es kaum Leitlinien. Entsprechend ihrem Auftrag legen die Datenschutzbeauftragten sie streng aus.

Des Weiteren können sie gegen ausländische Anbieter ohnehin nicht vorgehen. Der bloße Wink mit dem Zeigefinger würde sie unglaubwürdig machen und letztendlich zu zahnlosen Tigern degradieren. Das wiederum würde dem Datenschutzniveau auf Dauer nicht zuträglich sein. Das heißt sie müssen Präsenz zeigen und Drohungen aussprechen. Diese sind jedoch vor allen Dingen an die ausländischen Anbieter gerichtet, die den deutschen Markt verlieren könnten, wenn die deutschen Nutzer ihre Angebote nicht verwenden dürfen. Auf der anderen Seite laufen die Datenschutzbeauftragten aufgrund dieser “Erpressung” Gefahr auch von den Nutzern nicht akzeptiert zu werden und so letztendlich für diejenigen zu kämpfen, die es gar nicht wollen.

Wird sich die Lage zuspitzen oder entspannen?

Die Frage kann derzeit nicht beantwortet und könnte genauso gewürfelt werden. Man kann sich das ganze wie einen Showdown in Westernmanier vorstellen. Wenn die Datenschutzbeauftragten jetzt nachlassen, werden ihnen Facebook & Co nicht entgegen kommen. Facebook will wiederum nicht als erster nachgeben, weil sie sich im Recht sehen und gerade das Sammeln und Teilen von Nutzerdaten deren Geschäftsmodell ausmacht. Hier kann man nur hoffen, dass beide Parteien aufeinander einen Schritt zugehen und Facebook zum Beispiel offen legt welche Daten es erhebt und Widerspruchsmöglichkeiten gegen die Datenerfassung anbietet.

Wie soll ich mich nun verhalten?

• Abhängigkeit vermeiden – Machen Sie sich nicht von Social Media Plattformen abhängig. Wenn Sie Ihre eigene Website aufgeben und komplett z.B. zu Facebook verlagern, machen Sie sich von dem Dienst datenschutzrechtlich abhängig.
• Plan B haben - Das Abschalten Ihres Social Media Profils oder die Entfernung des Like-Buttons sollte Ihr Angebot nicht existenziell gefährden.
• “2 Klick”-Lösung einsetzen – Mit dieser Lösung sinkt das Risiko rechtlich belangt zu werden, erheblich.
• Auf Kunden und Image achten – Achten Sie darauf, was Ihre Kunden von den Datenschutzproblemen halten. Insbesondere wenn Ihnen ein makelloses Ansehen wichtig ist oder Ihre Kunden sehr sensibel auf (potentielle) Datenschutzverstöße reagieren, sollten Sie entweder die “2 Klick”-Lösung einsetzen oder auf Empfehlungsschaltflächen verzichten.
• Risiko berechnen – Überlegen Sie sich wie das Verhältnis von Risiko von Bußgeldern oder unzufriedenen Kunden beim Einsatz der Social Plugins, Empfehlungsschaltflächen und Facebookseiten im Verhältnis zu den dadurch erzielten Vorteilen aussieht. Wenn Sie zum Beispiel bereits hunderte von Stunden in eine Facebook-Fanseite investiert haben, wäre es angesichts der geringen Bußgeldrisiken wirtschaftlich unsinnig sie sofort abzuschalten.

Fazit

Was wir derzeit beim Datenschutz erleben, ist ein Politikum, entstanden aus einem Zusammenstoß der strengen deutschen Datenschutzstandpunkte und der pragmatischen US-Einstellung, die sich am Profit und Nutzerkomfort richtet.

Aber auch wenn wir dazwischen stehen, besteht kein Grund zur Panik. Erst wenn die Datenschutzbehörde anklopft, wird es kritisch. Dann muss man entscheiden, ob man ihren Forderungen Folge leistet oder es auf ein Klageverfahren ankommen lässt. Die Gefahr dafür ist derzeit jedoch (noch) gering. Jedoch sollte die Entwicklung genau beobachtet werden, um auf die aktuelle Lage reagieren zu können. Wir halten Sie auf dem Laufenden.

Wünschen Sie rechtliche Beratung zum Thema Facebook-Marketing oder haben Interesse an verständlichen Vorträgen, Workshops und Inhouse-Seminaren zum Thema Social Media & Recht? Sprechen Sie uns an, wir stehen gerne zu Ihrer Verfügung.

Weitere Informationen

• Datenschutz in sozialen Netzwerken- Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 08. Dezember 2011)
• WICHTIG: Beschluss der obersten Aufsichtsbehörden für Datenschutz – Direkte Einbindung von Social PlugIns grds. unzulässig! von Nina Diercks bei Social Media Recht
• (Kein) Datenschutz in sozialen Netzwerken von Thomas Stadler
• Zusammenschluss der deutschen Datenschutzbehörden zur (Un-)zulässigkeit des Facebook Like Buttons und anderer Social Plugins von Dr. Ulbricht bei rechtzweinull.de
• Arbeitspapier zu Facebooks Like-Button von Adrian Schneider bei Telemedicus
• Warum der Kreuzzug des ULD gegen die Facebook-User rechtswidrig ist… von der Kanzlei STRUNK DIRKS + PARTNER
• ‘Facebook-Kampagne’ des UL, Arbeitspapier des Wissenschaftlichen Dienstes des Schleswig Holsteinischen Landtags
• Facebook vs. Datenschutz – Wie sich Fanseiten-Betreiber und Like-Button-Nutzer derzeit verhalten sollten – Beitrag des Autors bei Allfacebook.de
• Umstrittener Identitäts-Cookie – Facebook rechtfertigt seine Datensammelei bei Spiegel Online

Bei der “Allfacebook Developer Conferenence” hatte ich die Ehre den Vortrag “Graph API und Datenschutz – Grenzen zulässiger Nutzung der Facebook-Mitgliederdaten” zu halten. Selten habe ich so aufmerksame Teilnehmer erlebt, die bei diesem schwierigen Thema nicht abgeschaltet haben. Ganz im Gegenteil habe ich Fragen beantworten dürfen, die mir wieder neue Einsichten und Ideen brachten. Danke sehr dafür!

Und ich überrasche natürlich gerne. Aber immer diese Vorurteile, dass man Juristen nicht verstehen kann. :)

@thsch ist gelungen! sehr informativ und leicht verständlich. nicht unbedingt erwartet. :) Danke!

5. December 2011 14:57 via webReplyRetweetFavorite

@caefer

Christian Schaefer

Gamestar, das Magazin für Computerspiele hat mich darum gebeten, mir die Lizenzbedingungen von “Origin“, der neuen Downloadplattform des Branchenriesen Electronic Arts anzuschauen:

“SPECIAL zu Battlefield 3: ANALYSE ZUR EULA VON EA ORIGIN – Der Teufel im Vertragsdetail”

Was ich da fand war erschreckend und lässt die datenschutzrechtliche Debatte rund um Facebook etwas heuchlerisch erscheinen. Während im Fall von Facebook darum gestritten wird, ob statistische Daten der Nutzer ausgewertet werden dürfen, lässt sich EA die Rechte einräumen die gesamte Hardware und Software der Nutzer zu scannen. Und erst nach Massenprotesten der Nutzer wurde eine Klausel entfernt, mit der sich EA die Nutzung dieser Daten für Marktforschungszwecke einräumen ließ.

Doch anders als im Fall Facebook scheinen sich keine Behörde und keine Verbraucherschützer zu Proteststürmen hinzureißen. Auf der anderen Seite zeigen auch die Computerspieler, zu denen ich mich zähle, dass sie sehr geduldig und zu großen Zugeständnissen im Austausch für Unterhaltung sind. Dies war auch an der vergleichsweise geringen öffentlichen Empörung zu erkennen, als der Sony-Konzern zugeben musste, dass Millionen von Nutzerdaten der Playstation-Spieler mangels ordentlicher Verschlüsselung entwendet wurden.

Google Analytics kann nun rechtssicher verwendet werden. Google ist auf die Forderungen der Datenschutzbeauftragten eingegangen und bietet nun insbesondere einen gesetzlich geforderten Vertrag über Auftragsdatenverarbeitung an.

In diesem Beitrag finden Sie eine Auflistung der Voraussetzungen der rechtssicheren Nutzung von Google Analytics, Muster der ebenfalls erforderlichen Ergänzung Ihrer Datenschutzerklärung in deutsch und englisch sowie eine Erläuterung dieser Anforderungen.

Voraussetzungen rechtssicherer Nutzung von Google-Analytics

1. Schritt: Mit Hilfe der bei Google beschriebenen IP-Masken-Methode “_anonymizeIp()” im Analytics-Code die letzten 8bit der IP-Adresse kappen.
2. Schritt: Diesen Vertrag über Auftragsdatenverarbeitung ausfüllen und mit einem frankiertem Rückumschlag an Google schicken. Details und Adresse finden Sie hinter dem Link.
3. Schritt: Aufklärung der Besucher in der Datenschutzerklärung entsprechend den unten stehenden Mustern nach Vorgabe von Google.
4. Schritt: Sie löschen alle bisher durch Google Analytics erhobenen Daten. Das geht nach Auskunft Googles nur, wenn Sie ihren bisherigen Google-Analytics-Account löschen und einen neuen anlegen.

Muster für Ihre Datenschutzerklärung

Sie dürfen die Muster gerne für Ihre Seite übernehmen. Über eine Verlinkung als Dankeschön würden wir uns freuen. Die Muster sind nach Googles Vorgabe mit bestem Wissen und Gewissen erstellt, wir können jedoch keine Haftung für sie übernehmen. Wenn es Updates gibt, werden wir darauf hinweisen. Abonnieren Sie unser Blog oder werden Fans unserer Facebook-Seite, um die Updates nicht zu verpassen.

• Linkadresse: http://spreerecht.de/datenschutz/2011-09/google-analytics-rechtssicher-nutzen-anleitung-fuer-webmaster
• Link in HTML: <a href=”http://spreerecht.de/datenschutz/2011-09/google-analytics-rechtssicher-nutzen-anleitung-fuer-webmaster“>Muster von SCHWENKE & DRAMBURG – spreerecht.de</a>

Deutsch:

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die IP-Anonymisierung ist auf dieser Website aktiv. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen.

Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de.

Englisch:

This website uses Google Analytics, a web analytics service provided by Google, Inc. (“Google”). Google Analytics uses “cookies”, which are text files placed on your computer, to help the website analyze how users use the site. The information generated by the cookie about your use of the website will be transmitted to and stored by Google on servers in the United States .

In case IP-anonymisation is activated on this website, your IP address will be truncated within the area of Member States of the European Union or other parties to the Agreement on the European Economic Area. Only in exceptional cases the whole IP address will be first transfered to a Google server in the USA and truncated there. The IP-anonymisation is active on this website.

Google will use this information on behalf of the operator of this website for the purpose of evaluating your use of the website, compiling reports on website activity for website operators and providing them other services relating to website activity and internet usage.

The IP-address, that your Browser conveys within the scope of Google Analytics, will not be associated with any other data held by Google. You may refuse the use of cookies by selecting the appropriate settings on your browser, however please note that if you do this you may not be able to use the full functionality of this website. You can also opt-out from being tracked by Google Analytics with effect for the future by downloading and installing Google Analytics Opt-out Browser Addon for your current web browser: http://tools.google.com/dlpage/gaoptout?hl=en.

Erklärung zu den einzelnen Schritten

1. Schritt – Kappung der IP-Adresse
   Datenschützer halten die IP-Adresse für ein personenbezogenes Datum, welches nur mit Einwilligung der Websitebesucher erhoben werden darf. Indem die IP-Adresse gekappt wird, ist sie nach Meinung  der Datenschützer hinreichend anonymisiert.
2. Schritt – Vertrag über Auftragsdatenverarbeitung
   Immer wenn Sie Dritten personenbezogene Daten Ihrer Nutzer überlassen, müssen Ihre Nutzer dem zugestimmt haben. Es sei denn, Sie haben mit dem Empfänger der Daten einen Vertrag über Auftragsdatenverarbeitung abgeschlossen. In diesem Fall brauchen Sie keine Einwilligung der Nutzer. In dem Vertrag erklärt Google u.a., wie die Daten Ihrer Nutzer gesichert werden und dass Sie gegenüber Google Weisungsbefugnis bezüglich dieser Daten haben. Über Einzelheiten zur Auftragsdatenverarbeitung, können Sie sich in unserem Beitrag “15 Irrtümer bei der Auftragsdatenverarbeitung” informieren.
3. Schritt – Datenschutzerklärung und Widerrufshinweis
   Zum einem müssen Nutzer über Zweck, Art und Umfang der Datenerhebung informiert werden. Darüber hinaus dürfen statistische Nutzerdaten nur dann erhoben werden, wenn sie pseudonymisiert werden und die Nutzer eine Möglichkeit haben der statistischen Erfassung zu widersprechen. Diese Möglichkeit bietet ihnen das Browser-Addon, welches Google nun für alle Browsertypen anbietet.
4. Schritt – Löschung bisheriger Daten
   Da Google Analytics nach Ansicht der Datenschützer bisher rechtswidrig war, so sind es auch die durch das Tool bisher erhobenen Daten und müssen gelöscht werden. Dieser Punkt birgt die geringste Gefahr rechtlicher Folgen in sich. Denn für Dritte ist es nicht erkennbar, ob Sie die Daten gelöscht haben oder nicht. Möchten Sie auf Nummer sicher gehen, sollten Sie der Aufforderung jedoch Folge leisten.

Fazit und Zukunftsaussichten

Nach langer Zeit scheint zur Freude der Webmaster nun Ruhe in den Streit um Google Analytics einzukehren. Die Datenschützer weisen jedoch darauf hin, dass sich die Rechtslage mit Einführung der Cookie-Richtlinie ändern kann und dies Einfluss auf die Zulässigkeit von Google Analytics haben kann. Wir halten Sie hier im Blog informiert.

Für weitere Informationen zu der Cookie Richtlinie können Sie in unserem Beitrag nachlesen: “Kommt das Cookie-Verbot? – FAQ zur deutschen Umsetzung der EU-Cookie-Richtlinie“.

Vorträge und Schulungen bereiten mir besondere Freude, weil ich mich direkt mit den Teilnehmern unterhalten kann und nirgendwo so viele Anregungen und spannende Problemstellungen erhalte. Dafür versuche ich mich mit anschaulicher und verständlicher Vermittlung des Rechts zu bedanken. Und so wie die bisherigen Reaktionen ausfielen, sind beide Seiten sehr zufrieden :)

Im Folgenden meine Termine bis Dezember, zu denen ich Sie herzlich einlade und mich über Ihre Anmeldung sehr freue.

Beim Deutschen Seminar für Tourismus Berlin werde ich nunmehr zum dritten Mal Teilnehmern aus der Tourismusbranche erklären, wie Sie rechtlich unbeschadet Social Media Marketing betreiben können.
Rechtliche Fehler im Social-Media-Marketing vermeiden
14. Oktober 2011 | Berlin
Zur Anmeldung

Anschließen bin ich in Köln beim Arbeitskreis EDV, der Schnittstelle zwischen Recht und elektronischer Datenverarbeitung und werde dort mit den Teilnehmern über die rechtlichen Konsequenzen des Lebens in den Social Media diskutieren.
Leben in sozialen Netzwerken und deren Konsequenzen
19. Oktober 2011 | Köln
Zur Anmeldung 

Ebenfalls um Social Media und Recht wird es bei Marketing on Tour in Berlin und Frankfurt gehen.
Rechtliche Fehler im Social Media Marketing vermeiden
02. November 2011 | Frankfurt
04. November 2011 | Berlin
Zur Anmeldung

Das erste Webinar zum Webtracking ist sehr erfolgreich verlaufen und daher werde ich mich dieses Themas im Acquisa-Webinar erneut mit anschaulichen Beispielen annehmen.
Google Analytics & Co: Datenschutzrechtliche Voraussetzungen und Risiken beim Website Tracking
09. November 2011 | Webinar
Zur Anmeldung

AllFacebook DevCon ist Deutschlands größte Social Media Entwickler Konferenz, bei der ich erklären werde, in welchem Umfang man die Mitgliederdaten, die Facebook an AppEntwickler heraus gibt, verwenden darf.
Graph API und Datenschutz – Grenzen zulässiger Nutzung der Facebook-Mitgliederdaten
5. Dezember 2011
Zur Anmeldung

Weitere und bisherige Veranstaltungen können Sie unserer Veranstaltungsübersicht entnehmen.

Als ich die letzte Woche aus dem Urlaub zurückkam, merkte ich wie sich das anfühlt, wenn man nicht ständig die Nachrichten rund um Facebook verfolgt. Ich las, dass Fanpages verboten und Bußgelder verhängt werden, während andere Meinungen dies für Humbug hielten; dass die Websitebetreiber für den Like-Button verantwortlich sind oder doch nicht. Insgesamt eine Debatte, die das Juristenherz erfreut, jeden anderen, der damit praktisch umgehen muss, aber verwirrt.

Daher habe ich bei Allfacebook.de, der beliebtesten deutschsprachige Ressource im Bereich Facebook Marketing & Werbung, eine Zusammenfassung der bisherigen Ereignisse geschrieben und mit einer Handlungsempfehlung versehen. Ohne Paragrafen und mit möglichst wenig juristischem Geplänkel:

Facebook vs. Datenschutz – Wie sich Fanseiten-Betreiber und Like-Button-Nutzer derzeit verhalten sollten

Wer jedoch in die Materie tiefer einsteigen möchte, dem empfehle ich die folgenden Artikel und Seiten zum Thema:

Weitere Informationen

• ULD an Webseitenbetreiber: “Facebook-Reichweitenanalyse abschalten” Pressemitteilung des Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD S-H)
• Datenschutzrechtliche Bewertung derReichweitenanalyse durch Facebook Arbeitspapier (und Gegenstand der aktuellen Gespräche) des ULD S-H
• FAQ und alle Pressemitteilungen zum Thema Facebook beim ULD S-H
• WICHTIG: Schleswig-Holsteinisches Datenschutzzentrum droht mit Bußgeldbescheiden für Verwender von Facebook Social-PlugIns und Fanpages!  von Nina Diercks im Social Media Recht Blog
• Bussgelder: Kommt das Facebook-Verbot? von Jens Ferner im Blog der Anwaltskanzlei Ferner Alsdorf
• Datenschutzbehörden (ULD) halten Facebook Plugins für datenschutzwidrig – Unterlassungsverfügungen und Bussgeld möglich von Carsten Ulbricht bei http://www.rechtzweinull.de/
• Arbeitspapier zu Facebooks Like-Button von Adrian Schneider beim Telemedicus
• Verstößt die Verwendung des „Gefällt mir“-Buttons wirklich gegen deutsches Datenschutzrecht? von Stephan Schmidt bei internet-law.de
• Öffentlichkeitsarbeit einer LandesbehördeWarum die „Facebook-Kampagne“ des ULD verfassungswidrig ist von Nico Härting
• Stellungnahme zum „Facebook“-Boykott-Aufrufvom 19. August 2011 durch dieschleswig-holsteinische Datenschutzbehörde ULD der Kanzlei Strunk Dirks & Partner
• Heise präsentiert datenschutzkonforme Lösung für Facebook-Button (?) von Jens Ferner im Blog der Anwaltskanzlei Ferner Alsdorf
• Breaking! Facebook Papier erklärt: So funktioniert der Like Button in Deutschland bei allfacebook.de
• Und Facebook bewegt sich doch! – Ein erster Blick auf die neuen Datenschutzverwendungsrichtlinien von Nina Diercks im Social Media Recht Blog
• Das rechtliche Risiko bei Facebooks Like-Button inkl. Muster für die Datenschutzerklärung hier im Blog

Zwei Monate später als geplant schickt sich der deutsche Gesetzgeber an, die als ”Cookie Richtlinie” bezeichnete EU-Richtlinie 2009/136/EC (Article 2 (5)) in das deutsche Recht umzusetzen. Die Änderung des Telemediengesetzes (TMG) verlangt, die Nutzer nach einer eine Einwilligung zu fragen, bevor Daten auf ihren Rechner gespeichert werden.

Tatsächlich könnte die geplante Änderung theoretisch das Ende der Cookies bedeuten. Praktisch wird sie in den meisten Fällen kaum Veränderungen, außer einer erneuten Portion Verunsicherung, mit sich bringen. Warum das so ist, erklären die folgenden Fragen & Antworten:

Was sind Cookies?

Da sich in diesem Artikel viel um Cookies dreht, verdienen sie eine kurze Einführung. Cookies sind kleine Dateien, die beim Besuch einer Webseite auf dem Computer des Nutzers abgelegt werden. In diesen Dateien speichert der Seitenbetreiber Entscheidungen oder das Verhalten des Nutzers (Details in der Wikipedia).

Es gibt Cookies,

• die nur während des Besuchs aktiv sind (so genannte Session Cookies, die sich zum Beispiel den Inhalt eines Warenkorb in einem Onlineshop merken) oder solche,
• die für einen längeren Zeitraum gespeichert werden (zum Beispiel der Loginstatus, damit der Nutzer sich beim nächsten Besuch nicht erneut einloggen muss). Ferner gibt es Cookies,
• die nur lokal auf einer Seite verwendet werden oder andere,
• die das Verhalten des Nutzers über mehrere Webseiten hinweg verfolgen (so genannte Tracking Cookies, wie sie von Werbenetzwerken oder Statistikdiensten wie Google-Analytics eingesetzt werden)

Gerade die letzteren Cookies werden von Datenschützern argwöhnisch beobachtet und waren die ursprüngliche Motivation für die Gesetzesänderungen.

Was steht in der Gesetzesänderung?

Laut Entwurf soll das Telemediengesetz (TMG) im § 13 um die folgende Passage ergänzt werden (Hervorhebungen von mir):

Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

Damit wird das Speichern und Auslesen von Daten auf Endgeräten der Nutzer nur mit Einwilligung möglich sein, es sei denn eine der beiden Ausnahmen trifft zu.

Welche “Endgeräte” sind von dieser Regelung erfasst?

Erfasst sind alle Geräte, die der Nutzer verwendet, um eine Seite aufzurufen. Das können sein:

• Computer
• Mobiltelefone,
• Spielkonsolen oder
• Fernsehgeräte mit Internetanbindung.

Welche Daten sind von der Regelung umfasst?

Der Gesetzesvorschlag beschränkt sich nicht nur auf Cookies, sondern umfasst alle Daten. Damit sind praktisch alle Informationseinheiten gemeint (zum Datumsbegriff s. Wikipedia). Zu den Daten gehören zum Beispiel:

• Cookies,
• Inhalte, die in den Browsercache geladen werden (wie dieser Blogbeitrag), unabhängig davon ob es sich dabei um Texte, Grafiken oder Code handelt,
• Speicherstände von Spielen,
• Einstellungen einer App im Mobiltelefon
• Downloads

Was bedeutet die Ausnahme “Übertragung einer Nachricht”

Mit der ersten Ausnahme wird klargestellt, dass Kommunikations-Daten, wie Emailnachrichten oder Chateingaben ohne Einwilligung gespeichert werden dürfen.

Wann ist die Speicherung “unbedingt erforderlich”?

Um die zweite Ausnahme erfüllen zu können, müssen Anbieter orakeln, wann eine Datenspeicherung

… unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

Auffallend ist, dass die Vorschrift sehr streng gefasst ist: es heißt “unbedingt erforderlich” und “ausdrücklich erwünscht”. Es wird also zu bestimmen sein, was genau die Nutzer sich ausdrücklich wünschen. Gehören dazu nur die Kernfunktionen “Einkauf im Onlineshop” oder auch die Komfortfunktionen wie die Speicherung des Warenkorbes für den nächsten Einkauf?

Ich befürchte, dass eher die Kernfunktionen maßgeblich sein werden. Zum einem werden Ausnahmen im Recht eng ausgelegt. Und zum anderen  könnte jeder Anbieter die Vorschrift sonst einfach umgehen. Er müsste dazu nur behaupten behaupten, dass die Nutzer sich all die Zusatzfunktionen wünschen. Auch die statistische Auswertung, weil sie den Shop an deren Bedürfnisse anpasst. Letztendlich werden Juristen festlegen müssen, was sich Nutzer wünschen.

Damit werden Erwägungen wie Usability, Komfort oder typische Begleiterscheinungen des Surfens eher ausscheiden. Nur wenn die Kernfunktionen eines Angebotes ohne die Datenspeicherung nicht funktionieren, wird diese Ausnahme zutreffen.

Beispiel Onlineshop:

• Speichern des Warenkorbes während des Kaufvorgangs
  Dies bleibt zulässig, da das Einkaufen sonst nicht möglich wäre. Wobei sich hier die Frage stellt, ob Cookies dazu unbedingt erforderlich sind. Denn man könnte die Daten auch in einer Session-ID speichern, die per URL übergeben wird “…/index?sid=ed04e81204b1974fe017ade99” . Diese Diskussion überlasse ich jedoch versierten Technikern.
• Speichern des Warenkorbes nach dem Schließen des Browsers
  Diese praktische Komfortfunktion (man Denke an Zeitmangel oder einen Browsercrash) wäre nicht zulässig, da der Einkauf auch ohne sie funktioniert.
• Speichern der Shopinhalte im Browsercache
  Ist zulässig, da die Shopinhalte sonst nicht betrachtet werden könnten.
• Speichern der Vorlieben des Käufers für den nächsten Besuch
  Der Einkauf funktioniert auch ohne dieses Feature, so dass dies nicht zulässig ist.
• Speichern dass der Nutzer sich eingeloggt hat
  Das ist nicht unbedingt erforderlich, denn der Nutzer kann sich erneut einloggen. Dasselbe gälte zum Beispiel für die Wahl der Sprache in einem multilingualen Shop.
• Teilnahme an einem Werbenetzwerk oder Affiliate-Diensten
  Es ist nicht erforderlich für den Einkauf dass Dritte Cookies setzen oder auslesen, um zu messen, wie sich Werbemaßnahmen auswirken.
• Aufzeichnung von Statistikdaten
  Das Setzen eines Cookies, um zum Beispiel zu merken, wie viele Besucher wieder kehren, ist für den Onlineshop nicht unbedingt erforderlich.

TechCrunch Europe formuliert seine Meinung zu der Cookie-Richtlinie sehr deutlich.

Welche Voraussetzungen werden an eine Einwilligung gestellt?

Die Einwilligung ist im § 13 Abs.2 TMG geregelt und enthält folgende Voraussetzungen:

• Vorhergehend
  Eine nachträgliche Genehmigung oder ein Hinweis nach dem Speichern der Daten reichen nicht aus.
• Freiwillig
  Das heißt insbesondere ohne Druck und Täuschung. Der Hinweis, dass das Shoppingerlebnis ohne die Nutzung von Cookies erheblich eingeschränkt wäre, könnte als Täuschung ausgelegt werden, wenn die Cookies nur der Statistik dienen.
• Informiert
  Das bedeutet, der Nutzer muss erfahren, welche Daten, wie lange und für welchen Zweck gespeichert werden.
• Bewusst
  Ein Hinweis in den AGB oder vorangehakte Kontrollboxen sind nicht ausreichend. S. dazu den Beitrag “Usability VS Datenschutz – Datenschutzrechtliche Einwilligung ohne Opt-In?“

Ferner gehört zu einer Einwilligung, dass sie protokolliert wird und für den Nutzer jederzeit abrufbar und widerrufbar ist. Diese Punkte werden nicht immer erfüllt werden können:

• Wie soll man zum Beispiel die anonyme Wahl der Sprache protokollieren?
• Muss jeder ein Opt-Out Cookie anbieten?
• Oder reicht es die Nutzer darauf zu verweisen, dass sie auf ihren Geräten sehen, was gespeichert wird und die Daten selbst löschen können?

Das Problem liegt hier darin, dass der Gesetzgeber die Einwilligung für personenbezogene Daten (Name, Emailadresse) geschaffen hat, aber die Reform des Gesetzes alle Arten von Daten, auch die anonymen, erfasst. Man wird also das Gesetz teleologisch reduzieren müssen, was ganz besonders die Nichtjuristen unter den Anbietern freuen wird. Und von diesen soll es einige geben.

Wie kann eine solche Einwilligung praktisch aussehen?

Die konkrete Ausgestaltung ist auf vielerlei Art und Weise möglich:

• Pop Ups
  Bitte für das Erlebnis hier klicken.
• Splash Seiten
  Solche Vorschaltseiten, die vor dem Betreten einer Webseite geschaltet werden, verschwanden Ende letzten Jahrtausends aus Gründen der Benutzerfreundlichkeit.
• Nutzungsbedingungen
  Zum Beispiel: “[ ] Ich bin mit den Nutzungsbedingungen und der Datennutzung einverstanden” Wichtig ist, dass die Einwilligung besonders hervorgehoben wird, zum Beispiel durch Fettschrift. Dieser Weg kommt bei Diensten in Frage, die eine vorhergehende Registrierung voraussetzen. Ferner müssten bestehende Nutzungsbedingungen  geändert und von Nutzern nachträglich bestätigt werden.
• Hinweise neben Funktionen
  Die Frage “[ ] Soll Ihr Login gespeichert werden” im Login-Formular ist eine bekannte und übliche Einwilligung. Ein solcher Hinweis könnte zum Beispiel auch neben dem Button zum Wechseln der Sprache stehen.
• Einblendungen auf der Seite
  Statt einer Vorschaltseite, kann die Speicherung des Cookies von einer Einwilligung abhängig gemacht werden, die in der Seite eingeblendet wird (s. Bild unten).

Hinweis auf die Speicherung von Cookies der britischen Datenschutzbehörde.

Gilt die Einwilligung für alle Nutzer eines Gerätes?

Gilt die Einwilligung für die Mutter, auch wenn die Tochter sie angeklickt hat? Dies wird schon aus Praktikabilitätsgründen gelten müssen. Denn der Anbieter hat keine Möglichkeit zu erkennen, wer am Gerät sitzt.

Reicht es nicht sich auf die Browsereinstellungen der Nutzer zu verlassen?

In der Begründung der EU-Richtlinie (Abschnitt 66) heißt es:

Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.

Bei dieser Formulierung handelt es sich um einen Wunsch des Gesetzgebers. Er sagt, dass ein Rückgriff auf die Browsereinstellungen für eine Einwilligung zulässig ist, wenn dies ”technisch durchführbar und wirksam” ist.

So ähnlich könnte die Einwilligung per Browser mal aussehen - Firefox 6 beta - Permissions Manager

Es mag sein, dass ein versierter Nutzer im Blick hat, wie er seinen Browser einstellen kann. Doch die Gesetze stellen auf einen durchschnittlichen Nutzer ab. Und was diesen angeht, sind die Browser noch weit davon entfernt ein wirksames Tool zur Setzung der Einwilligung zu sein. Das liegt schon daran, dass es keinen etablierten Standard hierfür gibt (so hat sich zum Beispiel P3P bisher nicht durchsetzen können).

Nichtsdestotrotz ist der Hinweis auf Einwilligung per Browsereinstellung im britischen Recht aufgenommen worden.

Was sind die Folgen bei Nichtbeachtung des Gesetzes?

Das Risiko ist bei Nichtbeachtung der Vorschriften ist derzeit eher gering:

• Bußgelder
  Datenschutzbehörden sind bei Bußgeldern sehr zurückhaltend und sprechend sie nur nach vorhergehender Ermittlung in umfangreichen oder schwerwiegenden Fällen, wie der Missachtung des Datenschutzes bei Arbeitnehmern aus.
• Klagen von betroffenen Personen
  Da die Betroffenen kein Schmerzensgeld erhalten und die unklare Gesetzeslage den Prozessausgang risikoreich gestaltet, ist von dieser Seite mit keiner Gefahr zu rechnen.
• Abmahnungen von Konkurrenten oder Wettbewerbszentralen
  Diese wären möglich, wenn die Gerichte Datenschutzverstöße als Wettbewerbsverstöße sehen würden. Doch bisher taten sie es nur in schwerwiegenden Fällen (zum Beispiel beim Verkauf von Kundendaten). Zuletzt hatten sie dementsprechend bei einer Abmahnung wegen des Like-Buttons entschieden. Dennoch wird dieser Standpunkt von vielen Juristen angezweifelt und ist im Auge zu behalten.
• Image und Zertifikate
  Wer für sich Zertifikate wie “Erfüllt Datenschutzvoraussetzungen,. TÜV XY” oder ähnliche Vertrauenssiegel in Anspruch nimmt, wird die neuen Regeln anpassen müssen, da sonst die Zertifikatsvoraussetzungen verloren gehen könnten. Und wer mit Siegeln wirbt, nachdem die Voraussetzungen weg gefallen sind, kann abgemahnt werden. Auch  Anbieter, denen das Image bei den Kunden viel Wert ist, werden die neuen Regeln implementieren müssen.

Ab wann ist das Gesetz wirksam?

Das Gesetz hat den Bundesrat schon passiert und muss nur noch vom Bundestag verabschiedet werden. Da die deutsche Version jedoch eine 1-zu-1 eine Kopie der EU-Vorgabe ist, ist dies noch dieses Jahr wahrscheinlich.

Was jedoch beachtet werden muss, ist dass die wortgleiche EU-Richtlinie bereits seit dem 26 Mai 2011 gilt. Das heißt, dass die Gerichte sie zum Beispiel bei der Auslegung von Datenschutzverstößen beachten müssten.

Fazit

Erneut hatte der Gesetzgeber gute Absichten und erneut scheitern sie an der Unfähigkeit sie wirklichkeitsnah umzusetzen. Dabei wurde durch die EU eine Richtlinie erlassen, die dem deutschen Gesetzgeber einen Spielraum ließ.

Spielraum zum Beispiel anonyme oder pseudonyme Daten aus der Regelung heraus zu nehmen. Oder der Spielraum, die Anforderungen an die Einwilligung bei solchen Daten zu minimieren. Angesichts der Tatsache, dass der Gesetzgeber sich bereits zwei Monate hinter der Frist zur Umsetzung der Richtlinie befindet, hätte man eher solche Überlegungen statt eine 1:1 Übernahme einer sehr unbestimmt formulierten Vorlage erwarten können.

Wie Kollege Stadler denke ich, dass das Gesetz weitestgehend nicht beachtet wird. Wo die Folgen gering sind, die Nachteile aber groß, ist diese Folge logisch. Das kann jedoch dazu führen, dass der Gesetzgeber oder die Gerichte die Konsequenzen steigern und zum Beispiel Abmahnungen wegen Datenschutzverstößen zulassen. Und was dann angesichts der unklaren Regeln los sein wird, wird die Last durch Abmahnungen wegen Urheberrechtsverstößen oder der Impressumspflicht in den Schatten stellen.

Titelbild von ssoosay unter CC-BY Lizenz

Weitere Informationen

• “Ende der Cookies” von Thomas Stadler bei Internet-Law
• “EU-Cookie-Richtlinie findet Weg in Gesetzentwurf” von Lars Klatte im Shopbetreiber-Blog
• “Aktuelle Gesetzgebung: Geldwäschegesetz und Cookie-Richtlinie” von Jens Ferner
• “Die Änderungsvorschläge zum TMG im Detail” von Adrian Schneider beim Telemedicus
• “EU-Privacy-Richtlinie: Rechtliche Risiken beim Setzen von Cookies” von Frank A. Koch bei haufe.de
• “Die neue „Cookie-Richtlinie“ der EU – worauf sich Unternehmen bereits heute einstellen sollten” von Sebastian Kraska und Alma Lena Fritz bei der Gründerszene
• “Leben ohne Cookies” bei VDS et all wird die Meinung vertreten, dass es auch ohne Cookies geht
• “Changes to the rules on using cookies and similartechnologies for storing information” von Information Commissioners Office, UK
• “Ausweitung der Datenschutz-Gesetze auf Daten juristischer Personen” Artikel beim Institut Für IT-Recht zur Ausweitung der Datenschutzregelungen auf nicht-personenbezogene Daten.

Das neue soziale Netzwerk Google+ (oder “Google Plus”) bringt eine eigene Schaltfläche zum Empfehlen von Netz-Inhalten mit sich. Der “+1″-Button ist das Gegenstück zum Facebooks Like-Button. Heißt es auch, dass die rechtlichen Risiken mit denen des Like-Button vergleichbar sind?

Ja, das ist der Fall. Warum, wie hoch das Risiko ist und welche Vorsichtsmaßnahmen ergriffen werden sollten, erklärt dieser Beitrag.

Kurze Zusammenfassung: Rechtliche Probleme des Like-Buttons

Wegen der vergleichbaren Rechtslage lohnt sich ein kurzer Blick auf die Probleme beim Like-Button:

• Facebooks Like-Button erhebt sehr wahrscheinlich die IP-Adresse der Websitebesucher. Auch solcher, die keine Facebookmitglieder sind.
• Die IP-Adresse wird von vielen Juristen, insbesondere von Datenschutzbehörden, als ein personenbezogenes Datum eingestuft.
• Damit ist die ungefragte Erfassung der IP-Adresse ein Datenschutzverstoß, für den der jeweilige Websitebetreiber (mit)haftet.
• Ebenfalls ein Datenschutzverstoß liegt vor, wenn auf den Like-Button nicht in der Datenschutzerklärung hingewiesen wird.
• Eine Abmahnung wegen einer fehlenden Ergänzung der Datenschutzerklärung wurde bisher in einem Gerichtsfall abgewiesen. Dieses Urteil wird von vielen Juristen für falsch gehalten.

Details zu der Like-Button-Problematik sind nachzulesen in: “Das rechtliche Risiko bei Facebooks Like-Button inkl. Muster für die Datenschutzerklärung..

Rechtslage ist beim “+1″ Button vergleichbar.

Die Datenschutzerklärungen zu Google+ wirken schlank und verständlich. Auch die Datenschutzerklärung zum “+1″-Button. Doch wie bei Facebook, sagt Google nicht, welche Daten der Button bei Nichtmitgliedern erhebt. Das heißt man muss Vermutungen anstellen.

Google hat bisher die Ansicht vertreten, dass die IP-Adresse anonym ist. Daher wird zum Beispiel bei Google-Analytics die IP-Adresse standardmäßig gespeichert und muss per Hand anonymisiert werden. Daher meine ich, dass man auch bei der “+1″-Schaltfläche davon ausgehen kann, dass die IP-Adresse miterfasst wird.

Übrigens halte ich die IP-Adresse im Fall von Google für ein personenbezogenes Datum. Der Einwand, dass man mit der IP-Adresse nur mit der Hilfe eines Richters an die dazugehörende Person gelangt, gilt im Fall von Google nicht. Wer ein solch internetumspannendes Netzwerk an datensammelnden Anwendungen betreibt (Analytics, Suche, Adsense, GoogleApps, G+, etc.), der kann mit einer IP-Adresse sehr schnell die Identität einer Person ohne einen Richter feststellen.

Die Folge ist dann, dass auch der “+1″-Button eine Datenschutzverletzung darstellt.

Wie hoch ist das Risiko?

Auch hier gilt das zum Like-Button gesagte. Das Risiko ist, zumindest wenn die Datenschutzerklärung ergänzt wird, noch gering. Zumindest Berliner Gerichte sahen in Datenschutzverstößen keine durch Wettbewerber abmahnbare Rechtsverletzung. Das ist jedoch nur eine einzige Entscheidung und viele Juristen halten sie für falsch.

Zudem kosten auch unrichtige Abmahnungen Geld. Wer sich in solchen Fällen eines Rechtsanwalts bedient, um sich gegen eine Abmahnung zu verteidigen, bleibt auch dann auf den Kosten sitzen, wenn die Abmahnung unberechtigt war. Und aus der Praxis wissen wir, dass solche Abmahnungen immer häufiger verschickt werden.

Daher empfehle ich, die Datenschutzerklärung zu ergänzen. Das heilt zwar nicht die potentielle Datenschutzverletzung durch den “+1″-Button, senkt aber erheblich das Risiko mit einer Abmahnung “belästigt” zu werden.

Muster einer Datenschutzerklärung zum “+1″-Button

Sie dürfen das Muster gerne für Ihre Website gegen einen Link auf diesen Beitrag übernehmen.

• Linkadresse: http://spreerecht.de/google-plus/2011-07/das-rechtliche-risiko-bei-googles-1-button-inkl-muster-fuer-die-datenschutzerklaerung
• Link in HTML: <a href=”http://spreerecht.de/google-plus/2011-07/das-rechtliche-risiko-bei-googles-1-button-inkl-muster-fuer-die-datenschutzerklaerung”>Muster von SCHWENKE & DRAMBURG – spreerecht.de</a>

Wenn es Updates gibt, werden wir darauf hinweisen. Abonnieren Sie unser Blog,  werden Fans unserer Facebook-Seite oder folgen der Google+ Seite von Rechtsanwalt Schwenke, um die Updates nicht zu verpassen.

Unser Internetauftritt verwendet die “+1″-Schaltfläche des sozialen Netzwerkes Google Plus, welches von der Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, United States betrieben wird (“Google”). Der Button ist an dem Zeichen “+1″ auf weißem oder farbigen Hintergrund erkennbar.

Wenn Sie eine Webseite unseres Internetauftritts aufrufen, die eine solche Schaltfläche enthält, baut Ihr Browser eine direkte Verbindung mit den Servern von Google auf. Der Inhalt der “+1″-Schaltfläche  wird von Google direkt an Ihren Browser übermittelt und von diesem in die Webseite eingebunden. Wir haben daher keinen Einfluss auf den Umfang der Daten, die Google mit der Schaltfläche erhebt. Laut Google werden ohne einen Klick auf die Schaltfälche keine personenbezogenen Daten erhoben. Nur bei eingeloggten Mitgliedern, werden solche Daten, unter anderem die IP-Adresse, erhoben und verarbeitet.

Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Google sowie Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatsphäre entnehmen Sie bitte Googles Datenschutzhinweisen zu der “+1″-Schaltfläche: http://www.google.com/intl/de/+/policy/+1button.html und der FAQ: http://bit.ly/r3Qmer.

Wenn Sie Google Plus-Mitglied sind und nicht möchten, dass Google über unseren Internetauftritt Daten über Sie sammelt und mit Ihren bei Google gespeicherten Mitgliedsdaten verknüpft, müssen Sie sich vor Ihrem Besuch unseres Internetauftritts bei Google Plus ausloggen.

Fazit

Wie Facebook beim “Like”-Button hält sich Google mit Infos zum “+1″ Button zurück. Dabei würden Informationen zum Umfang der Datenerhebung der Verunsicherung abhelfen. Wie ich aus eigener Erfahrung weiß, scheuen vor allem große Unternehmen den Like-Button einzusetzen. Nicht nur wegen der Gefahr abgemahnt zu werden, sondern wegen des möglichen Imageverlusts. Das dürfte bei Googles “+1″-Schaltfläche nicht anders werden.

Wer jedoch vor einem möglichen Imageverlust keine Angst hat und das (noch) sehr geringe Risiko einer Abmahnung eingehen möchte, der möge zu dem “+1″-Button greifen. Zumal das Risiko mit der obigen Ergänzung zur Datenschutzbelehrung erheblich gesenkt wird.

*Update September 2011*

Google hat eine FAQ zum +1 Button, inklusive Datenschutzfragen, veröffentlicht. Darin heißt es, dass Google über den Button bei jedem Besucher “einige Daten über Ihren Besuch zu Systemwartungs- und Fehlerbehebungszwecken” erhebt. Diese Daten würden “nicht nach individuellen Profilen, Nutzernamen oder URLs strukturiert” und nach zwei Wochen gelöscht. Nur bei eingeloggten Google+ Mitgliedern, werden personenbezogene Daten, wie die IP-Adresse gespeichert. Wenn es sich bei diesen “einigen Daten” tatsächlich um anonyme Daten handelt (z.B. verwendeter Browser oder Zugriffsort), wird kein Datenschutzverstoß vorliegen. Dennoch werden von eingeloggten G+Nutzern personenbezogene Daten erhoben, so dass ich weiterhin zu der obigen Datenschutzerklärung rate.

Weitere Informationen

• Der neue Hype: Google+ (Circles) ist da – was ist davon zu halten? von der Kanzlei Ferner Alsdorf
• GooglePlus – Die Nutzungs- und Datenschutzbestimmungen unter der ersten groben Lupe im Social Media Recht – Blog

Der oberste Grundsatz beim Direktmarketing besagt, dass der Empfänger mit der Werbung einverstanden sein muss. Dies gilt für direkte Kommunikationswege wie Telefon, Fax, SMS oder Email-Werbung.

Dieses Einverständnis sollte im Idealfall im Rahmen einer ausdrücklichen Einwilligung des Empfängers erfolgen, wonach dieser sich einverstanden erklärt eine bestimmte Werbung zu empfangen.

Hinsichtlich der Fragen zur Einwilligung und den Grundsätzen rund um das Email-Marketing verweise ich auf den sehr griffigen Beitrag von meinem Kollegen Schwenke bei t3n.

In diesem Beitrag wird unter Punkt 8 folgender Irrtum ausgeräumt:

Irrtum: „Der Empfänger hat in den AGB dem Empfang von Werbung zugestimmt”

Klarstellung: Eine wirksame Einwilligung in E-Mail-Werbung liegt nur vor, wenn die Einwilligung gesondert von anderen Erklärungen abgegeben wird. Wenn sie dagegen nur Bestandteil anderer Erklärungen ist, ist sie ungültig. Daher ist ein Passus mit dem Werbung akzeptiert wird, sowohl in den Allgemeinen Geschäftsbedingungen (AGB) eines Onlineshops oder den Nutzungsbedingungen einer Onlinecommunity (auch sie sind AGB) unzulässig.

Dieser Fall soll in dem folgenden Beitrag aufgegriffen und beleuchtet werden. Es geht also um die Frage, ob eine Einwilligung zur direkten Werbung in den AGB in jedem Fall unzureichend ist. Zur Beantwortung dieser Frage ist zwischen Werbung per Post auf der einen Seite und Werbung per Fax, Email, SMS und Telefon auf der anderen Seite zu trennen.

Hintergrund ist eine Entscheidung des Oberlandesgerichts Hamm (Az. I-4 U 174/10), in der die Richter über die Rechtmäßigkeit der folgenden AGB-Klausel entscheiden mussten:

“Ich bin widerruflich damit einverstanden, dass der Anbieter meine Kontaktdaten (Post-, E-Mail-Adresse sowie Fax- und Rufnummer) zur Beratung und Werbung ausschließlich für eigene Zwecke nutzt und mir auf diesem Wege aktuelle Produktinformationen bzw. den Newsletter zukommen lässt. Meine Einwilligung kann ich jederzeit zurückziehen.”

Werbung per Briefpost

Soweit ein Unternehmen die Daten von Geschäftsbeziehungen seiner Kunden nutzen will, um Briefwerbung zu versenden, ist eine Einwilligung erforderlich.

Gemeinhin wird die Werbung per Post aber als geringere Belästigung im Gegensatz zu Werbung per Email oder Telefon gewertet. Daher sind hier die Hürden der Einwilligung zur Postwerbung auch geringer. Die Richter aus Hamm dazu:

Gemäß § 4 Abs. 1 BDSG sind Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift es erlaubt oder anordnet oder der Betroffene einwilligt. Nach § 4a Abs. 1 S. 1 und 4 BDSG ist die Einwilligung unter anderem nur dann wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht und wenn sie, soweit sie zusammen mit anderen Erklärungen erteilt wird, besonders hervorgehoben ist.

Damit verdeutlicht das Gericht, dass eine Einwilligung zur Postwerbung innerhalb der AGB erteilt werden kann, wenn darauf besonders hingewiesen wird und dieser Hinweis auch besonders hervorgehoben wird.

Jedoch ist vorliegend das Erfordernis der besonderen Hervorhebung gemäß § 4a Abs. 1, S. 4 BDSG nicht erfüllt. Eine solche Hervorhebung ist nicht erkennbar. Die hier in Rede stehende Klausel (GA 12) befindet sich in dem letzten Abschnitt “14. Allgemeine Informationen”. Dieser Abschnitt hat 5 Absätze, von denen der erste, der dritte und der fünfte Abschnitt in “Fettschrift” hervorgehoben sind. Die streitgegenständliche Klausel bildet aber den zweiten Abschnitt, der lediglich in normaler, kleingedruckter Schrift gehalten ist. Es ist auch nicht so, dass sich dieser zweite Absatz direkt über der Zeile für die Unterschrift des Bestellers befinden würde.

Die Einwilligung darf also nicht in den anderen Klauseln der AGB “untergehen“. Die Klausel war damit aufgrund eines Verstoßes gegen §§ 4 Abs. 1, 4 a Abs. 1, S. 1 BDSG gemäß § 307 Abs. 2 Nr. 1 i.V.m. Abs. 1BGB unwirksam.

Werbung per Fax, Telefon, Email oder SMS

Die Werbung per Telefon, Email oder vergleichbaren Kommunikationsmitteln ist nur zulässig, wenn eine ausdrückliche Einwilligung des Werbeadressaten vorliegt. Diese Einwilligung darf aber nicht mit anderen Willenserklärungen zusammen fallen und muss separat erfolgen. Das OLG Hamm:

Nach § 7 Abs. 2, Nr. 3 Var. 2 und 3 UWG stellt Werbung unter Verwendung eines Faxgerätes oder elektronischer Post eine unzumutbare Belästigung dar, sofern keine Einwilligung des Adressaten vorliegt. § 7 Abs. 2, Nr. 3 UWG verlangt, dass die Einwilligung mittels einer gesonderten Erklärung erteilt wird (“Optin”-Erklärung).

Damit ist es weder zulässig die Einwilligung in die Email-Werbung in den AGB zu verstecken. Noch wäre es rechtens diese Einwilligung zu “erzwingen” und sie beispielsweise als notwendige Voraussetzung zu einer Webshop-Bestellung zu machen.

Praxishinweis

An die Einwilligung zur direkten Werbung von Kunden sind hohe Anforderungen zu stellen. Selbst bei dem Erheben der Kundendaten zur Briefwerbung ist eine Einwilligung innerhalb der AGB nur bei einer besonderen textlichen Hervorhebung der Klausel zulässig. Die Einwilligung zur Werbung per Email und Telefon darf gar nicht in den AGB stehen.

Foto: von Kim / Apps

Wir haben uns zusammen mit WordPress-Deutschland des Akismet-Problems angenommen. Dieses Plugin liegt jeder Installation von WordPress bei und wird seit einiger Zeit datenschutzrechtlich angezweifelt. Dies wiederum wird von anderen Seiten als Panikmache bezeichnet.

Die Wahrheit liegt wie immer in der Mitte. Das Plugin ist tatsächlich datenschutzrechtlich unzulässig. Mit einer Abmahnwelle würde ich jedoch nicht rechnen, da (bisher) laut Gerichten nur Privatpersonen solche Datenschutzverstöße erfolgreich abmahnen konnten und Privatpersonen bisher eher selten zu Abmahnungen neigen. Weitere Informationen sind unter “Hinweise zum Datenschutz beim Einsatz von Akismet in Deutschland” in der FAQ von WordPress Deutschland zu finden.

Jedoch halten viele Juristen die Meinung der Gerichte für überholt und so mehren sich Abmahnungen wegen Datenschutzverstößen. Und weil auch ungerechtfertigte Abmahnungen Kosten verursachen, sollte jeder, der das Risiko vielleicht doch zahlen zu müssen vermeiden und sich gesetzeskonform verhalten will, das Plugin “Akismet Privacy Policies” nutzen.

Rechtssicher mit dem “Akismet Privacy Policies” Plugin

Dieses Plugin wurde von der Inpsyde GmbH nach unseren Vorgaben erstellt. Vor allem Unternehmen, die WordPress nutzen, sollten hiervon Gebrauch machen. Zum einem gehört der Datenschutz m.E. zu einem professionellen Auftritt dazu und zum anderen ist es noch nicht völlig ausdiskutiert, dass man keine Konkurrenten deswegen abmahnen kann. Ferner kostet auch eine unberechtigte Abmahnung Zeit und Kosten für den eigenen Rechtsanwalt, die man nicht ersetzt bekommt.

Weitere Informationen

• Akismet Privacy Policies Downloadseite des Plugins, der Akismet rechtssicher macht
• Hinweise zum Datenschutz beim Einsatz von Akismet in Deutschland in FAQ bei WordPress Deutschland
• Akismet und Datenschutz: Einwilligung per Opt-In notwendig im Blog bei Wordpress Deutschland
• Usability VS Datenschutz – Datenschutzrechtliche Einwilligung ohne Opt-In? – der Artikel, in dem ich der Frage nachging, ob eine Checkbox für Akismet notwendig ist.
• Einsatz von Akismet verstößt gegen Datenschutz bei Medien-Gerecht
• Akismet Plugin: Ist die Nutzung in Deutschland rechtmäßig? bei Sergej Müller, der die Anti-Spam-Alternative Antispam-Bee anbietet