Bundesarbeitsgericht: betrieblicher Datenschutzbeauftragter kann nicht einfach abbestellt werden

, ,

 

Wann muss ein betrieblicher Datenschutzbeauftragter bestellt werden?

Die automatisierte Datenverarbeitung ist in der Wirtschaft des digitalen Zeitalters nicht hinweg zu denken. Ob Kundendaten, die Verwaltung des Mitarbeiterstammes oder die Verarbeitung personenbezogener Daten im Auftrag: durch EDV wird die strukturierte und erfolgreiche Umsetzung der Geschäftsprozesse oft erst möglich.

Dabei gilt es aber auch, die rechtlichen Rahmenbedingungen zu berücksichtigen. Sind 10 oder mehr Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst, ist ein betrieblicher Datenschutzbeauftragter zu bestellen. Dies bestimmt § 4f des Bundesdatenschutzgesetzes (BDSG). Auch bei weniger als 10 mit der automatisierten Datenverarbeitung beschäftigten Personen kann die Bestellung eines betrieblichen Datenschutzbeauftragten notwendig werden. Das gilt insbesondere dann, wenn eine automatisierte Auftragsdatenverarbeitung erfolgen soll und das Unternehmen dieses Verfahren nicht der zuständigen Aufsichtsbehörde melden will (§ 4 d Abs. 1 BDSG). Ein Datenschutzbeauftragter ist auch dann zu bestellen, wenn ein Verfahren mit besonders schwerwiegenden Risiken für die Rechte der Betroffenen verbunden ist und daher vor seiner Einführung auf die datenschutzrechtliche Zulässigkeit geprüft werden muss (so genannte Vorabkontrolle, geregelt in § 4 d Abs. 5 und 6 BDSG). Der Vorabkontrolle soll nach Einschätzung der Aufsichtsbehörden insbesondere die Einführung einer Videoüberwachung unterliegen.

Zuverlässigkeit und Fachkenntnis notwendig

Der betriebliche Datenschutzbeauftragte hat die Aufgabe, die Einhaltung der datenschutzrechtlichen Bestimmungen im Unternehmen zu prüfen und zu fördern und insbesondere auch die Geschäftsführung in diesem Bereich zu beraten. Dafür muss der Datenschutzbeauftragte insbesondere über die erforderliche Fachkenntnis und Zuverlässigkeit verfügen. Zum betrieblichen Datenschutzbeauftragten kann ein Mitarbeiter bestellt werden, der über die notwendigen Voraussetzungen verfügt. Ein Unternehmen kann jedoch auch einen externen Datenschutzbeauftragten bestellen.

Konflikte oft vorprogrammiert

Naturgemäß stehen die Anforderungen des Datenschutzes mitunter im Widerstreit zu den vorhandenen Vorstellungen über die Gestaltung der Geschäftsprozesse. Insbesondere wenn datenschutzrechtliche Vorgaben die Änderung vorhandener Geschäftsprozesse oder einen Mehraufwand bei der Gestaltung künftiger Geschäftsprozesse erfordern, führt dies nicht selten zu Konflikten.

Dass bei solchen Konflikten nicht einfach durch die Abberufung des betrieblichen Datenschutzbeauftragten Abhilfe geschaffen werden kann, stellte das Bundesarbeitsgericht (BAG) in einer jüngst ergangenen Entscheidung (Urteil vomv. 23.3.2011 -10 AZR 562/09) klar:

Bundesarbeitsgericht: Austausch des Datenschutzbeauftragten nicht möglich

Das BAG hat entschieden, dass eine Abberufung des Datenschutzbeauftragten nur aus wichtigem Grund möglich ist, wenn eine Fortsetzung des Rechtsverhältnisses für den Arbeitgeber unzumutbar ist. Im konkreten Fall war die klagende betriebliche Datenschutzbeauftragte auch Mitglied im Betriebsrat einer der beiden Beklagten. Die Beklagten wollten nunmehr einen externen betrieblichen Datenschutzbeauftragten bestellen. Dazu musste natürlich die Bestellung der bisherigen Datenschutzbeauftragten widerrufen werden. Zur Begründung führten die Beklagten insbesondere an, dass die Datenschutzbeauftragte wegen ihrer Mitgliedschaft im Betriebsrat unzuverlässig sei.

Das Bundesarbeitsgericht vereitelte den Plan der Geschäftsführung. Es erklärte den Widerruf der Bestellung der Mitarbeiterin zur Datenschutzbeauftragten für unwirksam.

Unabhängigkeit ist zu wahren

Zur Begründung führte das Gericht aus, dass der betriebliche Datenschutzbeauftragte seine Aufgabe unabhängig und insbesondere auch frei von den Weisungen der Geschäftsführung auszuüben habe. Daher könne er auch nicht einfach abberufen werden. Die Unabhängigkeit des Datenschutzbeauftragten wäre natürlich nicht mehr gegeben, wenn ein missliebiger betrieblicher Datenschutzbeauftragter einfach abgerufen und durch einen anderen ersetzt werden könnte. Daher war es auch der Beklagten verwehrt, einfach einen neuen externen Datenschutzbeauftragten zu bestellen, der an die Stelle der bisherigen betrieblichen Datenschutzbeauftragten treten sollte.

Betriebsrat nicht unzuverlässig

Daran änderte nach der Einschätzung des Gerichts auch die Mitgliedschaft der Datenschutzbeauftragten im Betriebsrat nichts. Dieser Umstand mache die Datenschutzbeauftragte keineswegs unzuverlässig.

Urteil nicht überraschend

Die Einschätzung des Gerichts bestätigt eine Selbstverständlichkeit: nach dem Leitbild des Bundesdatenschutzgesetzes hat der Datenschutzbeauftragte eine neutrale Kontrollfunktion auszuüben. Er hat der Umsetzung der datenschutzrechtlichen Vorgaben zu dienen. Wenn dies von der Geschäftsführung beispielsweise dann nicht erwünscht ist, wenn datenschutzrechtliche bedenkliche Verfahren (man erinnere sich an die aktuellen Rechtsfragen zum Einsatz von google-analytics) auf dem Prüfstand stehen, soll der Datenschutzbeauftragte nicht den möglicherweise nur finanziellen Interessen der Geschäftsführung zu weichen haben.

Das gerichtliche Vorbringen der Beklagten, nach welchem  die Mitgliedschaft der Datenschutzbeauftragten im Betriebsrat ihre Unzuverlässigkeit begründen sollte, grenzt nach der persönlichen Einschätzung des Verfassers an Naivität. Wer die arbeitsrechtliche Rechtsprechung in diesem Bereich kennt, kann diesem Argument keine allzu große Aussicht auf Erfolg beimessen.

Bestellung des Datenschutzbeauftragten: frühzeitig die richtige Lösung finden

Bei der Bestellung des betrieblichen Datenschutzbeauftragten werden oftmals bereits am Anfang Fehler gemacht, die sich später schwer korrigieren lassen. Vielfach wird beispielsweise wegen der vermeintlichen Nähe zum Thema ein Mitarbeiter aus dem technischen Bereich zum betrieblichen Datenschutzbeauftragten bestellt. Natürlich erfordert die rechtliche Beurteilung von technischen Sachverhalten auch ein Grundverständnis der technischen Hintergründe. Jedoch sind die nationalen und europäischen gesetzlichen Regelungen teilweise derart komplex, dass eine tief greifende Befassung, ständige Fortbildung und insbesondere auch juristische Kenntnisse notwendig sind.

Rechtskenntnisse unumgänglich

Nicht zu trennen: IT und Datenschutzrecht

Die Bestellung eines externen Datenschutzbeauftragten bietet hier große Vorteile: der externe Datenschutzbeauftragte kann sich weitaus mehr mit den rechtlichen Rahmenbedingungen befassen, als dies ein eigentlich mit anderen Aufgaben betrauter Mitarbeiter tun kann.

Darüber hinaus verfügt ein externer Datenschutzbeauftragter oftmals über die Möglichkeit zu Vergleichen mit der Situation in anderen Unternehmen. Hierbei können vielfach sachgerechte und praxisorientierte Lösungen schneller gefunden werden.

Ein betrieblicher Datenschutzbeauftragter sollte nicht als „Feind“ angesehen werden. Vielmehr soll er verlässlicher und kompetenter Ansprechpartner sein und auch die Geschäftsleitung vor Risiken warnen und bewahren.

Oft vorteilhaft: externer Datenschutzbeauftragter

BBS bietet für Sie umfangreiche Kompetenz im Bereich des Datenschutzes. Wir kennen nicht nur die rechtlichen Rahmenbedingungen, sondern auch betriebliche und betriebswirtschaftliche Anforderungen an praxisgerechte Lösungen. Wir bieten Ihnen die Bestellung eines externen betrieblichen Datenschutzbeauftragten, der Sicherheit bei der Umsetzung datenschutzrechtlicher Vorgaben schafft und gleichzeitig Ihre geschäftlichen Notwendigkeiten berücksichtigt. Mit Kreativität, Sachverstand und enger Zusammenarbeit lassen sich auch vermeintlich widerstreitende Interessen oftmals unter einen Hut bringen. Datenschutz und Datensicherheit sind in der digitalen Welt keine lästigen Formalitäten. Es gilt nicht nur Bußgelder, Strafen und Auseinandersetzungen mit den Aufsichtsbehörden zu vermeiden. Datenschutzpannen sind auch geschäftsschädigend. Wer sich im Bereich des Datenschutzes auf ein professionelles Management und einen guten Berater verlassen kann, kann sich auch besser auf seinen geschäftlichen Erfolg konzentrieren. Gemeinsam mit Ihnen finden wir die passenden Lösungen für Ihr Unternehmen – sprechen Sie uns an!

Auf Knopfdruck Ärger? Der Facebook-Button und das Datenschutzrecht

, , ,

Viele Fragen, wenig belastbare Antworten

Bisher sah man in dem sog. „Facebook-Button“ vor allem eine Chance für Betreiber von Internetseiten, auf ihre Inhalte (und auch auf ihre Waren und Dienstleistungen) aufmerksam zu machen. „Spread the word“ – die Kunden sollten Angebote und Inhalte über ihr soziales Netzwerk bei Facebook publik machen.

Doch mit der Verwendung und Nutzung des Buttons stellen sich eine Reihe rechtlicher Fragen. Zum einen die Frage, ob durch den Button Datenschutzrechte derjenigen verletzt werden, die ihn anklicken und zum anderen, wer im Falle des Vorliegens einer Datenschutzrechtsverletzung die Verantwortung hierfür trägt. Hinzu kommt die Frage, ob die Nutzung des Buttons vielleicht sogar wettbewerbswidrig ist. All diese Fragen stellen sich aktuell dringlicher denn je, seit vor Kurzem bekannt geworden ist, dass der erste Verwender eines Facebook-Buttons von einem Konkurrenten wegen der Bereitstellung der Funktion abgemahnt wurde.

Eine Vielzahl von Veröffentlichungen im Internet befasst sich mit dieser heiß diskutierten Frage. Leider lässt der Großteil der Beiträge das datenschutzrechtliche Fundament vermissen. Wir wollen mit diesem Beitrag für Sie ein wenig Licht in Dunkle bringen.

Was ist der Facebook-Button?

Die Betätigung des Buttons ermöglicht es dem Webseiten-Besucher, seine Facebook-Freunde auf eben diese Seite oder einen bestimmten auf dieser Seite enthaltenen Inhalt hinzuweisen. Das geschieht durch das Anklicken des Buttons, wodurch die Information „gefällt mir“ dem Profil des Klickenden zugeordnet und dementsprechend im Facebook-Profil veröffentlicht wird. Der Facebook-Button wird dabei rein technisch gesehen nicht vom dem jeweiligen Internetseitenbetreiber, sondern von Facebook selbst bereitgestellt. Der Button wird als Inlineframe („iframe“) in die HTML-Seite eingebunden, der eigentliche Code liegt also auf dem Server von Facebook. Dort findet auch die Verarbeitung der mittels des Frames erhobenen Daten statt.

Datenschutzrechtliche Probleme

Um die Frage, ob die Verwendung des Facebook-Buttons gegen geltendes Datenschutzrecht verstößt, beantworten zu können, ist zunächst einmal zu klären, welche Daten des Webseiten-Besuchers von wem und an wen übermittelt werden.

Hierin liegt allerdings schon eines der größten Probleme der rechtlichen Analyse, da dies derzeit noch nicht vollständig bekannt ist und auch das Unternehmen Facebook selbst bislang in dieser Angelegenheit wenig zur Aufklärung beiträgt. Hier also der Versuch, anhand der gegenwärtig bekannten Informationen aufzuzeigen, welche Daten möglicherweise verarbeitet werden:

Diesbezüglich ist zu unterscheiden zwischen einem bereits bei Facebook eingeloggten und einem nicht eingeloggten Facebook-Nutzer bzw. einem Internetnutzer, der gar nicht über einen Facebook-Account verfügt. Bei dem nicht-eingeloggten Facebook-Nutzer beziehungsweise einem Internetnutzer ohne Facebook-Account wird durch das Facebook-Widget als programmtechnische Grundlage des Buttons nach der überwiegenden Zahl der dazu verbreiteten Informationen im Wesentlichen „nur“ die IP-Adresse erhoben. Dieser Vorgang stellt sowohl eine Datenerhebung durch Facebook als auch eine Datenübermittlung durch den jeweiligen Website-Betreiber dar.

Der Tatbestand der Übermittlung von Daten kann nicht nur dadurch erfüllt werden, dass die verantwortliche Stelle personenbezogene Daten an den Dritten weitergibt, sondern auch dadurch, dass der Dritte dazu bereitgestellte Daten einsieht oder abruft (Gola/Schomerus , Kommentar zum Bundesdatenschutzgesetz, 10. Auflage 2010, § 3 Randnummer 32).

Ob eine Betätigung des Facebook-Buttons für nicht eingeloggte Nutzer oder gar Nutzer ohne Facebook-Account überhaupt sinnvoll ist, muss eingedenk der Tatsache, dass die „Gefällt-mir“ Funktion nur bei einem eingeloggten Facebook-Nutzer ausgeführt werden kann, hier mangels Informationen von Facebook unbeantwortet bleiben. Wichtig in datenschutzrechtlicher Hinsicht ist einzig die Tatsache, dass das Anklicken des Buttons durch diese beiden Nutzertypen eine Datenerhebung respektive eine Datenübermittlung beinhaltet.

Für den eingeloggten Facebook-Nutzer gilt das soeben Gesagte entsprechend, allerdings mit der Besonderheit, dass der Datenübertragungsvorgang bereits dann beginnt, wenn dieser eine Webseite aufsucht, die einen „Gefällt-mir“-Button enthält. Bereits dann und ohne das Zutun des Nutzers erfolgt eine Übermittlung von Nutzerdaten durch den Browser an Facebook. Es ist davon auszugehen, dass sich die Tätigkeit des Internetseitenbetreibers bei der Button-Nutzung durch einen eingeloggten Facebook-Nutzer wie bei den anderen beiden Nutzertypen auf die Übermittlung der IP-Adresse beschränkt und keine Übermittlung weiterer Nutzerdaten an Facebook erfolgt. Diese Annahme fußt auf der Überlegung, dass ein Website-Betreiber wohl zumeist gar nicht über mehr Informationen zur Facebook-Mitgliedschaft der Besucher seiner Internetseite verfügt. Die Zuordnung des Facebook-Nutzeraccounts wird nach diesseitiger Einschätzung über einen auf dem Rechner des Nutzers vorhandenen „Cookie“ erfolgen, der im Rahmen der Datenzuordnung abgefragt wird.

Einwilligung erforderlich?

Und nun zur entscheidenden Frage der rechtlichen Zulässigkeit dieser Datenverarbeitungsvorgänge: Im Anwendungsbereich des Telemediengesetzes (TMG) sind Internetseitenbetreiber als Betreiber von Telemediendiensten anzusehen. Diese dürfen personenbezogene Daten nur erheben und verarbeiten, soweit dies zur Erbringung des Dienstes notwendig ist. Im Übrigen ist eine Datenverarbeitung nur mit Einwilligung des Betroffenen zulässig (§ 12 TMG).

Eine Ausnahme besteht im Bereich pseudonymisierter Daten, wenn diese zur Optimierung und bedarfsgerechten Gestaltung des Internetangebots verwendet werden (§ 15 Abs. 3 TMG). Diese Ausnahme kommt allerdings hier bereits deshalb nicht zum Tragen, weil die Daten ja nicht vom Betreiber der Website, sondern von Facebook erhoben und verarbeitet werden.

Mit Beschluss vom  26./27. November 2009 haben die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, der sog. Düsseldorfer Kreis, beschlossen, „dass bei Erstellung von Nutzungsprofilen durch Webseiten-Betreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind”. Mit diesem Beschluss wurde für die Praxis bestätigt, dass die Aufsichtsbehörden IP-Adressen als ein personenbezogenes Datum ansehen (wer näheres zu diesem Streit und zu weiteren Fragen des Datenschutzes erfahren möchte, dem sei der Artikel „Wichtig für Shopbetreiber: Datenschützer bricht Verhandlungen über Google Analytics ab“ auf dieser Website ans Herz gelegt). Die Ansicht der Aufsichtsbehörden zugrunde gelegt, stellt also schon die Übermittlung der IP-Adresse einen datenschutzrechtlich relevanten Vorgang dar.

Dass die Weitergabe der IP-Adresse des Nutzers an Facebook seitens des jeweiligen Internetseitenbetreibers nicht im Sinne von § 15 TMG zur Erbringung des Telemediendienstes notwendig bzw. erforderlich ist, liegt auf der Hand. Vom bei Facebook eingeloggten Nutzer muss keine IP-Adresse bei Aufruf der Website übermittelt werden. Vom nicht eingeloggten Nutzer bzw. vom Nutzer ohne Facebook-Account muss ebenfalls keine IP-Adresse an Facebook übermittelt werden, wenn dieser den Button anklickt. Von daher stellt sich die Frage, ob der jeweilige Nutzer in die Datenübermittlung eingewilligt hat. Eine wirksame Einwilligung muss klar, eindeutig und jederzeit widerruflich sein sowie abgespeichert werden. Diese Anforderungen sind gesetzlich vorgeschrieben, und zwar in § 13 Absatz 2 TMG.

Eine solche Einwilligung könnte hinsichtlich der Facebook-Nutzer zum einen darin zu sehen sein, dass diese im Rahmen ihrer Registrierung bei Facebook bereits die Einwilligung in die Erhebung bzw. Übermittlung von Daten auch durch andere Seiten erteilt haben. Die in diesem Zusammenhang einzig in Betracht kommende Passage in der Datenschutzerklärung von Facebook unter dem Punkt „Informationen die wir erhalten“ ist jedoch, unabhängig von der Frage, ob diese Einwilligung den oben genannten Kriterien gerecht wird, in inhaltlicher Sicht reichlich nebulös. Dies hat zur Folge, dass es schlicht nicht möglich ist, rechtlich zuverlässig und verbindlich zu beurteilen, ob die Daten, welche bei der Betätigung des Facebook-Buttons verarbeitet werden, von dieser „Einwilligung“ erfasst sind oder nicht. Für diejenigen Webseiten-Besucher, die nicht bei Facebook registriert ist, gilt diese etwaige Einwilligung jedoch mangels Zustimmung zu den Facebook-Bedingungen für ohnehin nicht.

Zum anderen könnte eine Einwilligung aller Nutzergruppen in die Datenübermittlung in dem Anklicken des Facebook-Buttons selbst zu sehen sein. Hiergegen spricht jedoch wiederum der bereits oben beschriebene gesetzlich vorgesehene Umfang der Einwilligung, der durch bloßes Anklicken des Buttons nicht gewährleistet wird.

Zusammenfassend lässt sich sagen, dass das Vorliegen einer Datenschutzrechtsverletzung durch die Datenübermittlung seitens des jeweiligen Internetseitenbetreibers wahrscheinlicher ist als die Gesetzeskonformität.

Wer ist verantwortlich?

Es stellt sich sodann die Frage, ob bzw. in welchem Umfang der jeweilige Internetseitenbetreiber für diese wahrscheinliche Datenschutzrechtsverletzung verantwortlich ist. Im Hinblick auf die Verwendung des Facebook-Buttons liegt kein Fall einer sogenannten „Auftragsdatenverarbeitung“ im Sinne von § 11 BDSG vor. Darunter versteht man die Verarbeitung personenbezogener Daten durch einen Dritten für eine datenschutzrechtlich verantwortliche Stelle. Eine Auftragsdatenverarbeitung setzt jedoch voraus, dass ein solches Auftragsverhältnis vorliegt. Facebook verarbeitet jedoch keine personenbezogenen Daten im Auftrag der Betreiber der Internetseiten, in welche der Facebook-Button eingebunden ist. Die Übermittlung der IP-Adresse, die Zuordnung der „gefällt mir“-Information und sämtliche etwaig weiter damit verbundenen Datenverarbeitungsvorgänge finden nicht auf Weisung des Webseitenbetreibers statt (und können von diesem auch nicht kontrolliert werden).

Der Betreiber der Webseite könnte jedoch als so genannter „Störer“ für eine rechtswidrige Datenverarbeitung verantwortlich sein. Störer ist, wer gegen zumutbare Prüfungspflichten verstößt und damit eine Rechtsverletzung fördert oder ermöglicht. Juristisch lässt sich durchaus argumentieren, dass durch die Einbindung des iframes ein wesentlicher Beitrag zu einer Rechtsverletzung geleistet wird. Beurteilt man die Übermittlung der IP-Adresse an Facebook als rechtswidrige Datenverarbeitung, käme eine Störerhaftung zumindest grundsätzlich in Betracht. Ob durch die Einbindung zumutbare Prüfungspflichten verletzt werden, ist bislang nicht gerichtlich entschieden. Zu Gunsten der Websitebetreiber lässt sich ausführen, dass die datenschutzrechtliche Beurteilung reichlich kompliziert und mangels ausreichender bekannter Fakten auch in tatsächlicher Hinsicht nicht vollständig geklärt werden kann. Die höchstrichterliche Rechtsprechung zum Wettbewerbsrecht ist allerdings in derartigen Konstellationen keineswegs „zimperlich“ und erlegt den Marktteilnehmern hohe Sorgfaltsanforderungen auf. Nach der Rechtsprechung des Bundesgerichtshofs handelt beispielsweise ein Marktteilnehmer fahrlässig, wenn er sich trotz rechtlicher Zweifel an der Zulässigkeit für eine bestimmte Handlung entscheidet (BGH, Urteil vom 06.05.1999 – I ZR 199 / 96 – „Tele-Info-CD“). Das Risiko, dass sich ein Handeln als rechtswidrig erweist, soll der Handelnde tragen.

Risiken minimieren – Lösungsansätze

Die Tatsache, dass die Rechtslage bzgl. der Frage einer etwaigen Datenschutzrechtsverletzung nicht eindeutig ist und insoweit nur Prognosen abgegeben werden können, führt dazu, dass diejenigen Internetseitenbetreiber, die das rechtliche Risiko einer Rechtsverletzung ausschließen bzw. minimieren wollen, handeln sollten. Insbesondere sind dabei die folgenden Maßnahmen denkbar:

  • Verzicht auf die Einbindung des Facebook-Buttons;
  • Bevor auf den Button geklickt wird, muss der Nutzer einen Hinweis „wegklicken“. In dem Hinweis wird darüber informiert, dass Daten an Facebook übermittelt werden;
  • Die Webseite enthält einen datenschutzrechtlichen Hinweis, der unmittelbar dem Button zugeordnet wird und welcher Klarheit über die mit dem Button verbundene Datenverarbeitung schafft. Das könnte beispielsweise auch in der ohnehin aufgrund § 13 Abs. 1 TMG erforderlichen Datenschutzerklärung der Internetseite stattfinden.

Die zuletzt aufgeführte Maßnahme sollte in jedem Fall ergriffen werden, da ein solcher Hinweis nach § 13 Abs. 1 TMG für den jeweiligen Internetseitenbetreiber sogar Pflicht sein dürfte. Denn nach dem Wortlaut der genannten Vorschrift hat der Anbieter den Nutzer stets über „Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten“ in allgemein verständlicher Form zu unterrichten.

Absolute Rechtssicherheit kann nach diesseitigen Dafürhalten nur durch das einstweilige Entfernen des Facebook-Buttons erzielt werden. Schließlich würde die Implementierung der oben genannten Hinweise nichts an der Datenübermittlung ändern. Wenn diese bereits stattfindet, bevor irgendein Hinweis wahrgenommen werden kann (also bereits beim Aufruf der Internetseite, in welche der Button integriert ist), kann der Hinweis seine Funktion nicht erfüllen. Nach dem datenschutzrechtlichen Leitbild soll der Nutzer gerade selbst entscheiden können ob und in welcher Form seine personenbezogenen Daten verarbeitet werden. Ist das Kind erst in den Brunnen gefallen, hilft auch ein noch so detaillierte Hinweis nicht weiter. Überdies kann hinsichtlich der IP-Adresse auch durch einen Hinweis keine Einwilligung eingeholt werden, die den formellen Erfordernissen des § 13 Abs. 2 TMG entspricht. Das Aufrufen einer Internetseite kann nicht als eindeutige Zustimmungserklärung zur Datenverarbeitung gewertet werden.

Wettbewerbsrechtliche Probleme

Wettbewerbswidrig wird ein Verstoß gegen Datenschutzvorschriften nur dann, wenn die Datenschutzvorschriften so genannte Marktverhaltensregeln darstellen. Da die Vorschriften zum Datenschutz aber vorrangig dem Persönlichkeitsschutz der Betroffenen dienen und nicht dazu, für ein lauteres Verhalten am Markt zu sorgen, dürfte dies eher die Ausnahmekonstellation sein, wenngleich darauf hinzuweisen ist, dass der BGH in dieser Frage noch keine Entscheidung zu treffen hatte.

Fazit: kein „like“ zur Rechtsklarheit

Klar ist nur, dass vieles unklar ist. Die Frage, ob die Verwendung und Betätigung des Facebook-Buttons gegen datenschutzrechtliche und/oder wettbewerbsrechtliche Bestimmungen verstößt, lässt sich auf Grund der undurchsichtigen Sach- und Rechtslage derzeit schlichtweg nicht abschließend beurteilen. Wer nicht auf eigene Kosten an der Rechtsfortbildung teilhaben möchte (also eine Abmahnung, einstweilige Verfügung oder ein sonstiges Gerichtsverfahren oder zumindest denkbare Schritte der Aufsichtsbehörde riskieren möchte), kann nur durch den Verzicht auf die Funktion sicher gehen. Auch allen anderen Anbietern empfiehlt sich in jedem Fall eine genaue Beobachtung des Fortgangs der Entwicklung. Es bleibt zu hoffen, dass Facebook durch eine rechtlich zweifelsfreie Ausgestaltung der Funktion den Sorgen der Website-Betreiber Rechnung trägt.

Ein abschließendes Wort für viele von Zweifeln gebeutelte Internetseitenbetreiber: die deutschen Regelungen zum Datenschutz beruhen großteils auf den Vorgaben europäischer Richtlinien. Wenngleich die deutschen Aufsichtsbehörden manches strenger sehen als deren Kollegen im europäischen Ausland, sind viele Grundregeln des Datenschutzrechts in Europa gleich. Hiermit kollidieren oftmals die weniger strengen Anforderungen des außereuropäischen Auslands. Da das Herz der Entwicklung des Internets und seiner Technologien aber genau in diesem weniger strikten Umfeld schlägt, stellt sich vielfach ein grundlegendes Problem: Technologien sind weit verbreitet und werden von vielen genutzt, entsprechen aber nicht den hiesigen Rechtsvorschriften. Dieses Dilemma lässt sich nur durch Umsicht und oftmals Kreativität lösen. Der Hinweis darauf, dass eine bestimmte Technologie von vielen anderen Wettbewerbern genutzt wird, hilft demjenigen nicht, der rechtlich zur Verantwortung gezogen wird. Es bleibt die Hoffnung, dass ein sinnvolles und allen Interessen gerecht werdendes Schutzniveau im Zuge der technischen und rechtlichen Entwicklung gefunden werden kann.

Update 

Das Kammergericht (Oberlandesgericht) Berlin hat zwischenzeitlich einen weiteren Beitrag zum Diskussionsstand geleistet:

Mit Beschluss vom 29.04.2011 (Aktenzeichen: 5 W 88/11) befand das Kammergericht, dass die Verwendung des Facebook-Buttons nicht als Wettbewerbsverstoß anzusehen ist,  jedoch sehr wohl möglicherweise als Verstoß gegen das Datenschutzrecht. das Gericht stellte fest, dass die Antragsgegnerin (die auf ihrer Internetseite die „Taufe“ von Sternen nach dem Wunsch der Kunden anbietet) zumindest auf die eine Bindung des Facebook-Buttons und die damit verbundene Datenübermittlung hätte hinweisen müssen. Das unterbleiben eines solchen Hinweises sei jedoch im konkreten Fall kein Wettbewerbsverstoß, da die verletzte Rechtsnorm (§ 13 Abs. 1 Telemediengesetz) nicht dem Schutz des Wettbewerbs, sondern nur den Schutz der individuellen Interessen der Besucher der Internetseite bedient.

Weitere Aktualisierung: Die vorstehend zitierte Einschätzung des Kammergerichts Berlin dürfte mittlerweile erheblichen Zweifeln unterliegen. Die meisten Gerichte haben sich mittlerweile der Leitlinie angeschlossen, dass Verstöße gegen das Datenschutzrecht gleichzeitig auch als Wettbewerbsverstöße anzusehen sind. Dies hat beispielsweise das Landgericht Köln ausdrücklich so für die datenschutzwidrige Verwendung von E-Mail-Adressen entschieden (LG Köln, Urteil vom 29.08.201331 O 225/13). Und auch das Kammergericht hat in einer jüngeren Entscheidung ausdrücklich bestätigt, dass datenschutzrechtliche Vorschriften als sogenannte Marktverhaltensregelungen auch in den Anwendungsbereich des Wettbewerbsrechts fallen können (KG, Urteil vom 24.01.20145 U 42/12).

Dies sieht offensichtlich aufgrund neuester Presseberichte (http://www.spiegel.de/netzwelt/web/facebook-klagen-gegen-gefaellt-mir-buttons-a-1034967.html) auch die Verbraucherzentrale Nordrhein-Westfalen so, welche wegen der vorgenannten problematischen Einbindung des Facebook-Like-Buttons offensichtlich gegenwärtig mit Abmahnungen und gerichtlichen Verfahren gegen Datenschutzverletzungen vorgeht. Dies überschneidet sich gleichzeitig mit einem Vorhaben des Gesetzgebers, den Datenschutz ausdrücklich in die Domäne der Verbraucherschutz- und Wettbewerbsverbände aufzunehmen.

Es ist durchaus denkbar, dass sich andere Oberlandesgerichte nicht der Einschätzung des Kammergerichts anschließen. Auch ist keinesfalls Entwarnung in datenschutzrechtlicher Hinsicht zu geben. Das Kammergericht stellte klar, dass die Einbindung des Facebook-Buttons einen entsprechenden datenschutzrechtlichen Hinweis erfordert. Selbst wenn wettbewerbsrechtliche Ansprüche ausscheiden, können Besucher der Internetseite im eigenen Namen Ansprüche erheben, wenn die datenschutzrechtlichen Anforderungen nicht eingehalten werden. Darüber hinaus sind Schritte der Aufsichtsbehörden möglich. Nicht zuletzt gebietet es aber die Professionalität eines Anbieters, derart grundlegende gesetzliche Vorgaben einzuhalten.

BBS ist Partner und rechtlicher Begleiter großer und kleiner Online-Anbieter. Für Ihre datenschutzrechtlichen Fragen haben wir praxisgerechte Lösungen paratund sind für Sie rechtlich am Puls der Zeit. Was können wir für Sie tun?

Google-Analytics: Aufsichtsbehörde wird tätig

, ,

Aufsichtsbehörde schreibt Unternehmen wegen google-analytics an

Erst vor kurzem berichteten wir über neues zum Datenschutz im Bereich des Webtracking (Analyse des Nutzerverhaltens auf Internetseiten). Gegenstand unserer Meldung war der Abbruch der Gespräche über den Tracking-Dienst Google-Analytics. Der hamburgische Datenschutzbeauftragte Johannes Caspar wollte die Gespräche mit dem amerikanischen Internetdienstanbieter nicht mehr weiterführen. Seine Begründung: Google gebe sich nicht ausreichend Mühe, um die deutschen Rechtsvorschriften zum Datenschutz einzuhalten: „Was Google anbietet, reicht nicht“ (Johannes Caspar in einem Interview mit der Frankfurter Allgemeinen Zeitung).

Die rechtliche Problematik von Tracking-Diensten war den Behörden schon geraume Zeit bekannt. Weit verbreitete Web-Analyse-Lösungen entsprechen nicht den deutschen Rechtsvorschriften, weil personenbezogene Daten ohne die hierfür erforderliche Rechtsgrundlage erhoben und verarbeitet werden und weil die hier geltenden besonderen Bestimmungen nicht eingehalten werden.

Trotz intensiver Berichterstattung und obwohl Datenschutzexperten schon seit langem auf dieses Problem hingewiesen haben, tat sich bei den betroffenen Unternehmen bislang wenig. Möglicherweise war die Möglichkeit der kostenlosen Nutzung nicht den inländischen Rechtsvorschriften entsprechender Dienste doch zu verlockend.

400 Websites untersucht

Dies scheint sich nun zu ändern: der rheinland-pfälzische Landesbeauftragte für Datenschutz (und damit Aufsichtsbehörde für den Bereich der Telemedien im Bundesland Rheinland-Pfalz) hat 25 der 100 größten Unternehmen in Rheinland-Pfalz angeschrieben und zu einer Stellungnahme über die Nutzung von Google-Analytics aufgefordert.

Nach Einschätzung der Aufsichtsbehörde verstoßen Nutzer dieses Tracking-Dienstes gegen geltende Rechtsvorschriften:

Bei beinahe 60 % der 400 von der Aufsichtsbehörde untersuchten Internetseiten, bei denen Google Analytics zum Einsatz kommt, fehlte bereits die für die Datenerhebung notwendige Einwilligung.

Verstoß gegen Vorschriften zur Auftragsdatenverarbeitung

Die der Nutzung von Google-Analytics zu Grunde liegende Vereinbarung gewähre den Anwendern des Tracking-Dienstes außerdem nicht die nach deutschem Recht erforderlichen Kontrollrechte und entspreche daher nicht den gesetzlichen Anforderungen an eine Auftragsdatenverarbeitung.

Dies zeige „wieder einmal, dass Internet-Angebote in weiten Teilen ohne die nötige Sensibilität für den Datenschutz und die Rechte der Nutzer betrieben werden. Es kann nicht sein, dass sich Anbieter von Webseiten mit Verweis auf Dienstleister wie Google aus ihrer datenschutzrechtlichen Verantwortung stehlen!“ (So die Verlautbarung in der Pressemitteilung der Datenschutzaufsichtsbehörde)

Dringender der Handlungsbedarf

Die nunmehr erfolgten ersten Schritte der Aufsichtsbehörde waren vorhersehbar. Die Einschätzung des Landesdatenschutzbeauftragten Rheinland-Pfalz und die Begründung seines Einschreitens entsprechen der von uns bereits vor Wochen veröffentlichten Einschätzung: qualifiziert man IP-Adressen als personenbezogene Daten, müssen die Vorschriften des Bundesdatenschutzgesetzes und des Telemediengesetzes eingehalten werden. Bei einer solchen Auftragsdatenverarbeitung (der Trackingdienst-Anbieter verarbeitet Daten für den Websitebetreiber) ist der Auftraggeber für die Einhaltung der gesetzlichen Vorschriften verantwortlich. Er muss daher die Möglichkeit haben, die Auftragsdatenverarbeitung effektiv zu kontrollieren und zu steuern. Darüber hinaus müssen die gesetzlichen Sondervorschriften für solche Datenverarbeitungen eingehalten werden (§11 BDSG).

Betreiber von Internetseiten tun gut daran, ihren Dienst umgehend auf die Einhaltung der inländischen Datenschutzvorschriften zu überprüfen und etwaige Lücken zu schließen. Eine rechtliche Auseinandersetzung mit den Aufsichtsbehörden kostet nicht nur Zeit und Nerven. Am Ende kann eine Untersagungsverfügung oder ein Ordnungsgeld stehen.

Die (meist durchaus überschaubaren) Kosten einer rechtskonformen Lösung können hierbei kein Argument für die Auswahl rechtlich unsicherer Dienste sein. Es geht nicht „nur“ um die Einhaltung von Gesetzen, sondern um das wertvollste, was ein E-Commerce-Anbieter zu verlieren hat: das Vertrauen seiner Nutzer und seinen guten Ruf.

Auch BBS nutzt daher keine Analysedienste, die intransparente Datenübermittlungen ins Ausland erfordern. Die Einhaltung geltender Rechtsvorschriften ist für uns eine Selbstverständlichkeit. Wir sind aber auch der Meinung, dass insbesondere die Internetseiten eines Rechtsanwalts einen besonders vertrauensvollen Umgang mit personenbezogenen Daten gewährleisten müssen.

Auf unseren Internetseiten kommt daher der Dienst des Hamburger Anbieters etracker zum Einsatz, der eine rechtskonforme Auswertung des Nutzungsverhaltens ermöglicht. Dies ergab auch eine Prüfung des Dienstes durch den Hamburgischen Datenschutzbeauftragten.

Sie haben Fragen zum Datenschutz? Sie möchten Ihren Internetauftritt rechtssicher gestalten? Und wir bieten praxisorientierte und kaufmännisch sinnvolle Lösungen für eine rechtssichere Gestaltung. Dabei verstehen wir nicht nur etwas von den Rechtsgrundlagen. Wir begleiten seit Jahren als Rechtsanwälte Projekte im Bereich Datenschutz und Informationstechnologie und sind daher auch mit den technischen Hintergründen vertraut. Was können wir für Sie tun?

It’s a Sony: Abmahnungen wegen PS3-Modchips: „PS3-Jailbreak“, “PS3 Break“

, , , , , ,

 

„Go Create“ – Nicht zu wörtlich nehmen sollte man den Werbeslogan von Sony aus dem Jahr 2003. Jedenfalls nicht bei der eigenmächtigen Erweiterung der technischen Möglichkeiten von Spielkonsolen des japanischen Unterhaltungselektronik-Konzerns. Die Grenzen des „kreativen“ Umgangs mit seinen Spielkonsolen sind für den Konzern jedenfalls beim Einsatz von Modchips für die beliebten Sony-Spielkonsolen sehr schnell erreicht. Dies gilt derzeit insbesondere für das aktuelle Modell „PS3“ („PlayStation 3“).

 

Modchips Sony PS3

Modchips für Sony PS3 im Online-Handel: Rechtlicher Ärger droht

 

„Modchips“

Was sind Modchips? Dies sind elektronische Zusatzbauteile, mit denen die technischen Möglichkeiten von Spielkonsolen erweitert und ergänzt werden können. Modchips ermöglichen die Nutzung von Drittanbieter-Software, beispielsweise von kostenlos im Internet erhältlichen, von Privatpersonen zur Verfügung gestellten Programmen (sog. „Homebrew“-Software), auf den Spielkonsolen. Wie ist das möglich? Bei den elektronischen Bauteilen von Spielkonsolen, der sog. „Hardware“, handelt es sich in der Regel um technische Standard-Bauteile, die sich nur wenig von der Hardware herkömmlicher Heimcomputer unterscheiden. Die tatsächliche softwaretechnische Umsetzung der grundsätzlich gegebenen technischen Möglichkeiten einer Hardware-Plattform liegt allerdings allein im Belieben desjenigen, der das Betriebssystem implementiert. Grundsätzlich mögliche Funktionen können, müssen aber nicht verfügbar gemacht werden. Durch den Einsatz von Drittanbieter-Software lassen sich den Spielkonsolen daher oftmals technische Funktionen entlocken, die auf der jeweiligen Hardware-Plattform zwar grundsätzlich technisch möglich, vom Hersteller aber nicht erwünscht und daher nicht vorgesehen sind. So war es etwa bei dem Vorgänger-Modell PS2 („PlayStation 2“) seinerzeit etwa lange nicht möglich, Audio-Dateien in dem bei Nutzern beliebten, weil Speicherplatz-sparenden mp3-Format abzuspielen. Homebrew-Software schaffte hier Abhilfe und ermöglichte genau dies, die Wiedergabe von mp3-Dateien. Voraussetzung für den Einsatz dieser kostenlos im Internet zur Verfügung gestellten Software war allerdings der vorherige Umbau des Geräts durch Einbau eines Modchips. Nebeneffekt dieser Maßnahme war es allerdings in der Regel auch, dass sich neben dem Einsatz grundsätzlich sinnvoller Homebrew-Software nun auch mit spezifischen Regionalcodes versehene, in anderen Ländern zu anderen Preisen vertriebene Original-Spiele, sowie Kopien („Sicherheitskopien“ oder „Raubkopien“) urheberrechtlich geschützter Spiele, auf der Spielkonsole wiedergeben ließ. Dies  störte die Firmenpolitik und offenbar auch die kaufkraftorientierte Vertriebs- und Absatzpolitik des Konzerns, weshalb Sony hiergegen rechtlich vorging und Importeure, Verkäufer und auch bloße Käufer solcher Modchips abmahnen ließ. Während Hersteller konkurrierender Spielkonsolen – etwa Nintendo – dies offenbar als „Kollateralschäden“ verbuchen und mehr oder weniger in verschiedenem Maße „tolerierten“, verfolgt Sony seine diesbezüglichen Ansprüche hierbei generell stets konsequent bis vor das zuständige  Gericht.

 

Rechtsprechung

Wenn eine höchstrichterliche Klärung der Zulässigkeit von Modchips bislang auch noch aussteht, so haben sich zumindest die Instanzgerichte bislang einheitlich zu der Ansicht durchgerungen, dass bereits der Vertrieb von Modchips die Urheberrechte des Unterhaltungselektronikkonzerns verletzt (Landgericht München I, Urteil vom 03.04.2008, Az. 7 O 13379/07 und Urteil vom 21.02.2008, Az. 7 O 11117/07 sowie Landgericht Hamburg, Urteil vom 27.04.2009, 310 O 191/08 und Urteil vom 14.04.2010, 308 O 261/08). Begründet wird dies in der Regel damit, dass Modchips überwiegend dem Einsatz kopierter Software dienen und damit eine erhebliche Beihilfe zur Herstellung unrechtmäßiger Kopien leisten. Ferner stützen sich die Begründungen der Gerichte auf die Vorschrift § 95a des Urheberrechtsgesetzes (UrhG), wonach „wirksame technische Maßnahmen“ zum Schutz von Urheberrechten ohne Zustimmung des Rechtsinhabers nicht umgangen werden dürfen. Modchips stellen nach den zitierten Entscheidungen unzulässige Mittel zur Umgehung solcher Kopierschutzmaßnahmen dar.

Update 07.02.2013: In einem ähnlichen Fall hat der Bundesgerichtshof nun dem Gerichtshof der Europäischen Union die Frage vorgelegt, nach welchen Regeln die Umgehung von Kopierschutzmaßnahmen für Computerspiele zu behandeln sind (Beschl. v. 07.02.2013, Az. I ZR 124/11). Gegenstand des Verfahrens ist der Vetrieb von Speicherkarten-Adpatern für die tragbare Videospielkonsole Nintendo DS. Mittels solcher Adapter können herkömmliche Speicherkarten mit der Konsole verwendet und hierauf gespeicherte Daten genutzt werden. Neben der Nutzung legaler Daten ermöglicht dies auch das Abspielen widerrechtlich hergesteller Kopien von Originalspielen. Bei Computerspielen handelt es sich im urheberrechtlichen Sinne um ein kombiniertes, komplexes Werk, dass eine Vielzahl separat geschützter Einzelwerke (Computerprogrammcode, Bilder, Musikstücke, Videofilme) beinhaltet. Das Verbot zur Umgehung von Kopierschutzmaßnahmen unterliegt bei Computerprogrammen (§ 69f Abs. 2 UrhG) jedoch anderen, engeren Voraussetzungen als beispielsweise bei Bildern oder Musikstücken (§ 95a UrhG). Die Anwendung der weiter gehenden Regelung des § 95a UrhG, welcher bereits die Umgehung von wirksamen technische Schutzmaßnahmen untersagt, ist im Bereich des Schutzes von Computerprogrammen ausdrücklich ausgeschlossen (§ 69a Ab.s 5 UrhG). Für den Schutz von Computerprogrammen sieht § 69f Abs.2 UrhG lediglich einen Vernichtungsanspruch für solche Mittel vor, die allein dazu bestimmt sind, die Beseitigung oder Umgehung technischer Programmschutzmechanismen zu erleichtern. Der Grund für die unterschiedliche Behandlung von Computerprogrammen und anderen Werkarten liegt darin, dass Nutzern von Computerprogrammen unter bestimmten Voraussetzungen unabdingbare Rechte auf Erstellung einer Sicherungskopie (§ 69 d Abs. 2 UrhG) und Dekompilierung des Programmcodes (§ 693 UrhG) zustehen. Diese Rechte gehen auf die EU-Softwarerichtlinie (91/250/EWG) zurück, und sollen nach dem Erwägungsgrund 50 der Richtlinie 2001/29/EG vom Umgehungsschutz für Kopierschutzmaßnahmen, wie er jetzt in den §§ 95a-d UrhG geregelt ist, ausdrücklich unberührt bleiben. Vor diesem Hintergrund stellt sich Frage, ob die Umgehung von Kopierschutzmaßnahmen für komplexe Werke wie Computerspiele nach den strengeren speziellen Regelungen für  Computerprogramme, oder nach den allgemeinen für sonstige Werkarten geltenden Regelungen zu behandeln sind, oder ob beide Regelungen nebeneinander anwendbar sind.

 

PS3-Mochips

Bei der grundsätzlich – getreu dem Firmenmotto – „kreativen“ Nutzergemeinde der beliebten Spielkonsolen des japanischen Unterhaltungselektronik-Konzerns war es nur eine Frage der Zeit, bis auch das technische Potential der neueste Generation PS3 erschlossen wird. Unter den Bezeichnungen „PS Jailbreak“ und „PS3 Break“ werden im Internet derzeit Modchips für die PS3 angeboten. Im Unterschied zu bisherigen Modchip-Generationen handelt es sich hierbei um technisch einfach nutzbare Erweiterungs-Chips, die als USB-Adapter auch vom technischen Laien einfach eingesteckt und genutzt werden können. Ein Einlöten oder ähnlich schwierige Maßnahmen, wie noch bei Modchips für die Vorgänger-Generationen der aktuellen Spielkonsolen-Generation erforderlich, sind nicht nötig. Mit diesem Modchip lassen sich lassen sich nach Angaben von shortnews.de Programme aller Art von jeder Person so signieren, dass sie auf der Konsole abgespielt werden können.

 

Reaktionsmöglichkeiten, Vorbeugung einer kostenpflichtigen Abmahnung

Sony geht nun auch gegen die Verbreitung der neuen Modchips (PS3 Jailbreak“, PS3 Break“) rigoros rechtlich vor. Im Fokus stehen hierbei nicht nur Händler, sondern auch Privatpersonen, die entsprechende Modchips zu rein privaten Zwecken nach Deutschland importieren. Die Zollbehörden sind bereits informiert, so dass Sendungen mit einschlägiger Produktbezeichnung oder von einschlägig bekannten Versendern aus dem – meist chinesischen – Ausland sichergestellt und Sony beziehungsweise deren Anwälte informiert werden. Folge ist eine – zumeist kostenpflichtige – Abmahnung. Um hier unkontrollierbare Kosten zu vermeiden, muss schnell reagiert werden. Die richtige Reaktion hilft, unnötige Kosten – die jedenfalls bei geringen Mengen zudem außerhalb jeglichen Verhältnisses zum Einkaufspreis stehen – zu vermeiden. In der Regel erhält der Besteller bereits vom beauftragten Versandunternehmen eine Benachrichtigung über die Inverwahrungnahme und genießt damit einen zeitlichen Vorsprung vor der sicher folgenden „offiziellen“ – in der Regel zeitgleichen – Information des Bestellers und des betroffenen Rechtsinhabers durch den Zoll. Wer hier schnell reagiert und rechtzeitig eine ausreichende Unterlassungsverpflichtungserklärung abgibt, kann die Folgen – auch die finanziellen – einer Abmahnung vermeiden. Diese folgt ansonsten nach unserer Kenntnis binnen kürzester Zeit.

 

Haben Sie Fragen zur Durchsetzung oder Abwehr urheberrechtlicher Ansprüche, dem urheber- oder patentrechtlichen Schutz von Software oder zu Produktpiraterie und Abmahnungen? Wir stehen Ihnen bei solchen Fragen gerne zur Seite. Sprechen Sie uns an!

Wichtig für Shopbetreiber: Datenschützer bricht Verhandlungen über Google Analytics ab

, ,

 

Der Hamburgische Datenschutzbeauftragte Johannes Caspar hat die nunmehr seit September 2009 stattfindenden Verhandlungen mit Google über den Webtracking-Dienst „Google Analytics“ abgebrochen. Caspar begründete den Abbruch laut einem Bericht der Frankfurter Allgemeinen Zeitung (FAZ) mit mangelndem Entgegenkommen auf der Seite von Google.

Unter Web-Tracking bzw. Web-Analytics versteht man die Analyse des Verhaltens von Benutzern auf einer Internetseite.

Der Hintergrund: IP-Adresse als personenbezogenes Datum

Die ständige Zusammenkunft der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich („Düsseldorfer Kreis“) hatte auf ihrer Sitzung am 26. und 27. November 2009 beschlossen, „dass bei Erstellung von Nutzungsprofilen durch Web-Seitenbetreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind“ (Beschluss als PDF). Diese lapidare Feststellung hat für Betreiber von Internetangeboten, insbesondere Web-Shops, in Deutschland weitreichende Folgen.

Grundlage der Einschätzung der Aufsichtsbehörden war die rechtliche Beurteilung von IP-Adressen. Es war umstritten, ob diese numerische Kennzeichnung von Netzwerkteilnehmern zu den personenbezogenen Daten zu zählen ist. Schließlich weiß in der Regel nur der jeweilige Internetprovider, welchem Kunden zu welcher Zeit eine dynamische IP-Adresse zugewiesen war. Nach Einschätzung der Vertreter der einen Meinung ist die IP-Adresse deshalb auch nicht personenbezogen, da an die Providerdaten der normale Betreiber einer Internetseite nicht herankommt.

Die Vertreter der Gegenansicht – und hierzu gehören auch die Aufsichtsbehörden – meinen, dass das Bundesdatenschutzgesetz eine andere Beurteilung erfordert: nach § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sind alle Daten personenbezogen, die Hinweis auf eine gestimmte oder bestimmbare natürliche Personen geben können. Dabei kommt es nicht darauf an, ob derjenige, der Daten erhebt, den Personenbezug selbst herstellen kann. Personenbezogen sind nach Ansicht der Aufsichtsbehörden alle Daten, die auch bei Herstellung einer Querverknüpfung mit bei Dritten gespeicherten Daten Aufschluss auf eine existierende Person geben können – hierzu gehören daher auch IP-Adressen.

Widerspruchsrecht des Nutzers

Wenn es sich bei IP-Adressen um personenbezogene Daten handelt, ist dem Betroffenen ein Widerspruchsrecht einzuräumen. Die Betroffenen müssen der Erhebung ihrer IP-Adresse zu Zwecken der Optimierung von Internetangeboten einfach widersprechen können. Der Widerspruch muss zuverlässig umgesetzt werden. Und genau hier sah der Hamburgische Datenschutzbeauftragte das Problem: für Google Analytics hatte der Anbieter zwar Browser-Plugins bereitgestellt, mit denen die Erfassung der IP-Adressen vermieden werden können sollte. Diese Plugins sind jedoch nicht für jeden Browser verfügbar und die durch das Plugin erfolgte Sperrwirkung verhältnismäßig leicht zu umgehen.

Bereits im Vorfeld wurde die von Google angebotene Web-Analytics-Lösung kritisch beurteilt. Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein stellt zu diesem Thema seit längerem umfangreiche Informationen zur Verfügung.

Seitenbetreiber ist verantwortlich

Die Analyse des Nutzerverhaltens ist für die Anpassung von Internetangeboten an die Anforderungen und Bedürfnisse der Nutzer unerlässlich. Für den Betreiber des Internetangebots lauern hier jedoch erhebliche rechtliche Gefahren. Anders als in von einigen Anbietern bereitgestellten vorformulierten Datenschutztexten angedeutet, ist nämlich keineswegs der Betreiber des Tracking-Dienstes, sondern vielmehr der Betreiber der Internetseite für die Datenerhebung und Datenverarbeitung im Rahmen des Trackings verantwortlich. Es handelt sich dabei um eine Datenverarbeitung, die der Tracking-Dienst im Auftrag des Betreibers der Internetseite durchführt. Für derartige Auftragsdatenverarbeitungen existieren detaillierte Regelungen in § 10 BDSG, die von allen inländischen Betreibern von Websites einzuhalten sind. Diese Vorschrift fordert beispielsweise, dass eine schriftliche Vereinbarung zur Datenverarbeitung vorliegt. Der Auftragnehmer darf dabei mit den personenbezogenen Daten nur das machen, was der Betreiber der Internetseite vorgibt. Die Einhaltung dieser Weisungen hat der Auftraggeber zu kontrollieren.

Rechtskonforme Alternativen verfügbar

Die Einhaltung dieser Vorgaben im Bereich des Web-Tracking ist durchaus möglich. So bietet beispielsweise der Hamburger Anbieter „etracker“ den Abschluss einer schriftlichen Vereinbarung an und stellt eine einfache Möglichkeit bereit, den Rechner (oder besser gesagt: den Internetbrowser) des Nutzers von der Datenerfassung auszuschließen. Außerdem wird eine Funktion bereitgestellt, die IP-Adressen der Nutzer nur verkürzt zu speichern. Da auch der Provider auf Basis einer derart verkürzten Adresse keine Zuordnung zu einem bestimmten Nutzer vornehmen kann, handelt es sich bei diesen Datensätzen auch nicht um personenbezogene Daten.

Profis wählen Anbieter umsichtig aus

Wie in vielen anderen Bereichen gilt auch beim Web-Tracking: nicht alles, was kostenlos oder verbreitet ist, ist auch richtig und rechtlich einwandfrei. Insbesondere im Bereich des E-Commerce müssen sensible Daten wie beispielsweise Zahlungsinformationen über das Internet übermittelt werden. Die Auswahl zuverlässiger Partner und die Beachtung der rechtlichen Vorgaben sollte dabei im Online-Business genauso selbstverständlich sein wie im Offlinebereich. Dies liegt nicht zuletzt auch im Interesse der E-Commerce-Anbieter. Denn sie haften, wenn auf ihren Internetseiten – und zwar auch durch vom Anbieter herangezogene Dritte – erhobene Daten in falsche Hände geraten oder entgegen den gesetzlichen Vorschriften verarbeitet werden. Wir raten daher zu einer sorgfältigen und professionellen Auswahl der für die Optimierung und den Betrieb des Internetangebots herangezogenen Dienstleister. Nicht alles, was umsonst ist, ist auch gut. Offene Flanken im Datenschutz sind nicht nur peinlich, sondern möglicherweise auch geschäftsschädigend.

Bei der Auswahl sollte auch ein besonderes Augenmerk auf den denkbaren Ernstfall gelegt werden. Die Rechtsfolgen der Einbeziehung von Allgemeinen Geschäftsbedingungen ausländischer Anbieter sind oftmals nur schwer absehbar. Wer beispielsweise der Einbeziehung US-amerikanischen Rechts zustimmt, kann die Rechtsfolgen der Einbeziehung dieser Normen oftmals nur schwer absehen. Darüber hinaus ist die Geltendmachung und Durchsetzung von Ansprüchen vor ausländischen Gerichten alleine aufgrund der unterschiedlichen Verfahrensvorschriften oftmals erschwert und mit möglicherweise hohen Kosten verbunden. Ein verlässlicher Ansprechpartner im Inland bietet hier taktische und kaufmännische Vorteile.

Nicht nur der gute Ruf steht auf dem Spiel

Verstöße gegen die Datenschutzvorschriften können nicht nur das Risiko von Bußgeldern und Imageschäden verursachen. Erfahrungsgemäß ist insbesondere in größeren Unternehmen die Anpassung der Geschäftsprozesse und Systeme in der Folge von Datenschutzverstößen mit wesentlichem Aufwand und damit auch wesentlichen Kosten verbunden. Eine umsichtige Planung und regelmäßige Selbstkontrolle sind daher meistens auch auf der Kostenseite günstiger als kurzfristige Ersparnisse durch die Wahl der „billigsten“ Lösung.

Sie haben Fragen zum Datenschutz und möchten Rechtsverstöße vermeiden? Wir bieten kompetente und praxiserprobte Beratung und Lösungen für E-Commerce-Anbieter. Sprechen Sie uns gerne an!

Herzlich willkommen bei BBS Rechtsanwälte Hamburg

, , , , , , , ,

Aus der bisherigen Kanzlei Kähler Kollegen

wird ab dem 1.1.2011 BBS Rechtsanwälte

Wir wünschen all unseren Mandanten, Geschäftspartnern und natürlich auch allen
anderen Besuchern unserer neuen Internetseite ein gesundes, glückliches und
erfolgreiches Jahr 2011.

Mit Wirkung zum ersten Januar 2011 hat sich die ehemalige Kanzlei Kähler Kollegen in
„BBS Bier Brehm Spahn Partnerschaft Rechtsanwälte“ kurz: BBS Rechtsanwälte) umbenannt.
Unsere neuen Telefonnummern und elektronischen  Kontaktdaten entnehmen Sie bitte diesen
Internetseiten. Unsere Postanschrift und auch unsere Bankverbindungen bleiben bestehen.
Gleiches gilt auch für die Register- und Steuernummern.

Was ändert sich an unserer Arbeit und der Art, wie wir sie für Sie leisten?
Die Antwort ist einfach: Nichts! 

Auch weiterhin stehen wir Ihnen als spezialisierter und schneller Partner bei allen
Fragen rund um das geistige Eigentum und das Wirtschaftsrecht zur Seite. 

Ob Patente, Marken, Muster, Urheberrechte, das Wettbewerbsrecht, IT- und
Datenschutzrecht; Ob Anmeldung, Durchsetzung oder Verteidigung von Schutzrechten,
die Vertretung und Beratung bei Abmahnungen oder gerichtlichen Streitigkeiten
oder die Gestaltung von AGB bzw. Verträgen: Wir sind in der bekannten Qualität gerne
für Sie da - und zwar so direkt, effizient und persönlich wie bisher.

Sie suchen Experten in Hamburg und bundesweit, insbesondere in den folgenden Bereichen
  • Unterstützung durch einen spezialisierten Rechtsanwalt bei Markenanmeldung,
    Geschmacksmusteranmeldung, Designanmeldung,Patentanmeldung, 
    Gebrauchsmusteranmeldung
  • Schnelle und kompetente Hilfe bei Abmahnung, einstweiliger Verfügung, Klage
  • Beratung bei Schutzrechtsanmeldung und Rechtsverletzung
  • Verteidigung Ihrer Schutzrechte und Urheberrechte (Fotorechte, Textrechte,
    Kunstwerke, Geschmacksmuster und Designs, Patente)
  • Beratung und Unterstützung von Arbeitnehmern und Arbeitgebern in Bezug auf
    Diensterfindungen, Arbeitnehmerpatente, Arbeitnehmererfindungsrecht
  • Vertriebsrecht und Handelsvertreterrecht
  • Gesellschaftsrecht und Genossenschaftsrecht
  • Alle weiteren Fragen rund um geistiges Eigentum und Wirtschaftsrecht
Wir freuen uns auf die Zusammenarbeit mit Ihnen!
Falls Sie Fragen oder auch Wünsche und Anregungen haben, sprechen Sie uns gerne an.
Ihr BBS-Team

Tobias Bier | Thomas Brehm | Tobias Spahn | Wilhelm Kruse