Websites und Datenschutz – Risiken vermeiden

Stuttgart | 21.02.2017 | Was zur Vermeidung rechtlicher Risiken beachtet werden sollte
Dr. Carsten Ulbricht ist als Rechtsanwalt auf Internet-Recht spezialisiert (Bild: Ulbricht)

Gastbeitrag von Dr. Carsten Ulbricht. Der auf Internet und die digitale Transformation spezialisierte Rechtsanwalt bei der Kanzlei Bartsch Rechtsanwälte (Standorte Karlsruhe und Stuttgart) widmet sich auch auf seiner Website mit den Schwerpunkten IT-Recht, Marken-, Urheber- und Wettbewerbsrecht sowie Datenschutz. Für die MFG Innovationsagentur fasst er im folgenden Beitrag aktuelle datenschutzrechtliche Anforderungen zusammen. Am 27. April referiert Carsten Ulbricht über Urheberrecht bei der MFG Akademie. 

Seit einigen Jahren informieren die Datenschutzbehörden über die datenschutzrechtlichen Anforderungen, die Websites bei Beachtung des Telemediengesetzes (TMG) beachten müssen.

Erst kürzlich hat das Landgericht Düsseldorf in seinem Urteil vom 9. März 2016 (Az. 12 O 151/15) einem Unternehmen die Einbindung des Facebook Like Button verboten. In ähnliche Richtung geht eine Entscheidung des Landgericht Hamburg (Az.  312 O 127/16). In seiner einstweiligen Verfügung vom 10. März 2016 hatte das Gericht dem Antragsgegner, den Einsatz des Internet-Analysedienstes „Google Analytics“ verboten, weil die Besucher des Internet-Angebots zu Beginn des Nutzungsvorgangs nicht über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten unterrichtet worden waren.

Die genannten Urteile zeigen, dass Webseitenbetreiber, die die datenschutzrechtlichen Vorgaben des Telemediengesetzes für ihre Präsenz nicht beachten, je nach den Umständen des Einzelfalles nicht nur von Wettbewerbern abgemahnt oder von Datenschutzbehörden mit Bußgeldern belegt, sondern eben auch vor Gericht verklagt werden können.

Webseitenbetreibern ist gerade auch im Hinblick auf die steigende Zahl an Klageverfahren im datenschutzrechtlichen Bereich zu raten, die nachfolgend zusammengefassten Anforderungen, die teilweise lange bekannt und von den Datenschutzbehörden mehrfach kommuniziert worden sind, auf der eigenen Präsenz einzuhalten.

Symbolbild (Bild: pixabay.com)

A. Telemedienrechtliche Anforderungen an Websites

1. Information über eine Datenschutzerklärung (§ 13 Abs.1 TMG)

Gemäß § 13 Abs.1 TMG hat der Betreiber einer Websites, der im Telemediengesetz stets als Diensteanbieter bezeichnet wird, den Nutzer im Rahmen einer leicht auffindbaren Datenschutzerklärung in jedem Fall über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten außerhalb des Europäischen Wirtschaftsraums in allgemein verständlicher Form zu unterrichten. Diese Voraussetzung dürfte übrigens auch für mobile Applikationen gelten (vgl. Mobile & Recht – Rechtliche Grundlagen für mobile Applikationen (Apps)).

2. Zulässigkeit der Erhebung von Bestandsdaten

§ 14 TMG regelt die Zulässigkeit der Erhebung von Bestandsdaten (z.B. Name und Adresse des Nutzers zur Abrechnung etwaiger Leistungen). Diese Daten dürfen jedenfalls dann problemlos erhoben werden, soweit dies für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich ist.

3. Zulässigkeit der Erhebung von personenbezogenen Nutzungsdaten

Websitebetreiber haben in aller Regel ein nachvollziehbares Interesse, wie die Besucher die jeweilige Präsenz nutzen.
Diesbezüglich ist § 15 TMG zu beachten, der die Zulässigkeit der Erhebung von Nutzungsdaten (z.B. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung). Diese Daten dürfen in jedem Fall erhoben werden, soweit dies für die Inanspruchnahme des Dienstes erforderlich ist.

4. Zulässigkeit pseudonymer Nutzungsprofile (z.B. Analysewerkzeuge, Retargeting)

Pseudonyme Nutzungsdaten dürfen nach § 15 Abs. 3 TMG hingegen zur Erstellung von Nutzungsprofilen für Zwecke der Werbung, der Marktforschung und zur bedarfsgerechten Gestaltung von Telemedien allerdings nur erhoben werden, wenn der Nutzer auf die Profilerhebung hingewiesen wird und nicht widerspricht.

Über diesen § 15 Abs.3 TMG können zahlreiche Analysewerkzeuge rechtskonform genutzt werden. Sofern das jeweilige Werkzeug eben keine personenbezogenen Daten erhebt, sondern eben nur pseudonyme Nutzungsprofile erstellt, muss der jeweilige Diensteanbieter eben über die Verwendung des jeweiligen Werkzeuges informieren und dem Nutzer die Möglichkeit geben, der Profilierung – in der Regel über einen Opt-Out Link – zu widersprechen.
Über diesen § 15 Abs.3 TMG kann unter Umständen auch die Verwendung von Retargeting legitimiert werden. Wenn und soweit die gewählte Retargeting Lösung die Nutzungsdaten nur pseudonym erhebt, dürfte ein entsprechender Hinweis in der Datenschutzerklärung auf die konkrete Funktionsweise des Retargeting und die jeweilige Widerspruchsmöglichkeit genügen.

5. Zulässigkeit von Cookies

Nach der sogenannten ePrivacy- oder Cookie-Richtlinie (RL 2002/58/EG in der Fassung der RL 2009/136/EG) dürfen Cookies nur auf der Grundlage einer Einwilligung des Nutzers gesetzt werden.

Diese Anforderung der Einwilligung wurde jedoch von verschiedenen Mitgliedstaaten unterschiedlich in das nationale Recht umgesetzt. Während Länder wie Frankreich, Holland oder Spanien eine aktive Einwilligung (Opt-In) für erforderlich halten, soll es etwa in Tschechien oder Bulgarien genügen, wenn der Nutzer dem Setzen von Cookies nicht widerspricht (Opt-Out). In Deutschland wurde die Richtlinie leider nicht weitergehend im TMG umgesetzt. Demgemäß hat etwa das OLG Frankfurt in seinem Urteil vom 17.12.2015 (Az.: 6 U 30/15) ein Opt-In beim Setzen von Cookies zu Werbezwecken nicht für erforderlich gehalten.

Nach deutschem Recht wird es derzeit wohl auf den Sinn und Zweck der verwendeten Cookies ankommen. Sollten diese etwa auch zur Erstellung pseudonymer Nutzungsprofile dienen, so dürfte auch insoweit § 15 Abs.3 TMG einschlägig sein, der die Unterrichtung des Nutzers über die konkrete Cookie-Verwendung und eine Widerspruchsmöglichkeit (Opt-Out) der Nutzer zwingend voraussetzt.

6. Zulässigkeit von Social Plugins

Spätestens nach dem Urteil des Landgericht Düsseldorf (Az. 12 O 151/15) sollte die Verwendung von Social Plugins überprüft werden. Diesbezüglich hatten die Datenschutzbehörden schon im Jahr 2011 festgestellt, dass Websites, die den Like Button von Facebook einbinden, damit automatisiert personenbezogene Daten jedes Websitebesuchers an Facebook weitergeben.

Wenn und soweit also die konkret eingebundenen Social Plugins IP-Adressen oder andere personenbezogene Daten erheben und an das jeweilige Soziale Netzwerk weitergeben, ist dies – zumindest nach Auffassung des Landgericht Düsseldorf – wohl rechtswidrig. Wer sicher gehen will, sollte also auf Werkzeuge wie den sogenannten Zwei-Klick-Button oder die Lösung „Shariff“ umstellen. Zusätzlich sollte ein entsprechender Hinweis in die Datenschutzerklärung aufgenommen werden.

Alternativ kann man sich über Lösungen Gedanken machen, die vor der Erhebung bzw. Weitergabe personenbezogener Daten die informierte Einwilligung des Nutzers abfragen.

B. Rechtsfolgen von Datenschutzverstößen

Das Risiko einer Inanspruchnahme wegen Datenschutzverstößen wächst aktuell auch durch das im Februar 2016 in Kraft getreten „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“. Danach sollen – zum besseren Schutz der Verbraucher – künftig neben den Datenschutzaufsichtsbehörden auch (Verbraucher)verbände und Kammern mit Hilfe des Unterlassungsklagegesetzes (UKlaG) gegen die unzulässige Erhebung, Verarbeitung oder Nutzung von sog. Verbraucherdaten durch Unternehmer vorgehen können.

Es ist davon auszugehen, dass zahlreiche Verbände diese Möglichkeit wahrnehmen werden, um auf dieser Grundlage Unterlassungsansprüche gegenüber Unternehmen geltend zu machen.

Unter bestimmten Voraussetzungen kann der Websitebetreiber bei Datenschutzverstößen auch von Wettbewerbern abgemahnt oder auf Unterlassung verklagt werden. Schließlich bleibt bei diversen Datenschutzverstößen auf der Webseite, die Möglichkeit der Datenschutzbehörden gemäß § 43 BDSG Bußgelder zu verhängen.

C. Zusammenfassung

Die oben genannten datenschutzrechtlichen Anforderungen sind von privaten und gewerblichen Websitebetreibern zu erfüllen.

Während das „Entdeckungsrisiko“ bei privaten Websites eher gering einzuschätzen ist, steigen die genannten datenschutzrechtlichen Risiken für Unternehmen nach unserer Erfahrung proportional mit der jeweiligen Unternehmensgröße. Die Relevanz des unternehmerischen Datenschutzes hat auch durch das Safe-Harbor Urteil des EuGH noch einmal erheblich zugenommen.

Gerade Unternehmen ist zur Vermeidung der genannten datenschutzrechtlichen Risiken zu raten, die eigene Webseite datenschutzkonform aufzusetzen.

In diesem Zusammenhang sollten Unternehmen und Gewerbetreibende wie folgt vorgehen:

1. Prüfung, welche Drittanbieterwerkzeuge (insbesondere Analysewerkzeuge, Social Plugins und andere Retargeting oder Trackingwerkzeuge) auf der eigenen Website verwendet werden

2. Feststellung, ob diese Werkzeuge personenbezogene oder pseudonyme Daten erheben und ob diese an den jeweiligen Anbieter weitergeleitet werden

3. Prüfung, ob die Funktionsweise des jeweiligen Werkzeuges in dem obenstehenden telemedienrechtlichen Rahmen rechtskonform aufgesetzt werden kann

4. Wenn sich das Werkzeug nicht rechtskonform einsetzen lässt, sollte geprüft werden, ob es zulässige Alternativen gibt

5. Die eingesetzten Werkzeuge sollten in der eigenen Datenschutzerklärung entsprechend § 13 TMG bzw. § 15 Abs.3 TMG erläutert und – soweit notwendig – eine Opt-Out Möglichkeit angeboten werden

Autor: Dr. Carsten Ulbricht
Mehr Infos:
 

Recht 2.0 – Internet, Social Media und Recht