Abmahnung wegen Datenschutzerklärung: Wieso, weshalb, warum? Und was kann man dagegen tun?

Geschrieben von K. Kopp am . Gepostet in Digital.

Wer eine nicht lediglich private Website betreibt, der hat ein ordentliches Impressum vorzuhalten, das hat sich dankenswerterweise mittlerweile herumgesprochen. Man weiß schon ganz gern, mit wem man es zu tun, das gilt außerhalb des Internets, viel mehr noch aber im virtuellen Raum. Über all diejenigen, die mit fehlenden oder fehlerhaften Impressen den einen oder anderen Euro durch Abmahnungen verdient haben, kann man denken, wie es einem gefällt, aber richtige Impressumsmufel gibt es sicher auch dank vieltausendfacher Abmahnungen immer weniger, und wenn, dann am ehesten noch auf Facebook-Seiten vieler kleiner und mittelständischer Firmen. Da ist noch Potential für jemanden, der für fairen Wettbewerbs sorgen möchte.

Einen ziemlichen Schritt hinter der allgemeinen Erkenntnis, dass ohne ein Impressum meistens nichts geht, hinkt bei Seitenbetreibern aller Branchen das Bewusstsein her, dass im Ergebnis dasselbe für eine Datenschutzerklärung gilt.

Die Rechtsslage ist hierbei zunächst so einfach wie im Detail verworren: Derjenige, der personenbezogene Daten erhebt, verwendet, speichert oder nutz, bedarf hierzu eines gesetzlichen Grundes oder einer Einwilligung und muss den Betroffenen unterrichten. Dass der Name oder die Anschrift einer Person zu solchen Daten zählt, dürfte klar sein, aber was ist mit der IP-Adresse? Die wird schließlich auch gespeichert, sobald das Gerät die Seite ansteuert. Wie ist die Rechtslage?

Ob es sich bei IP-Adressen ohne weiteres um personenbezogene Daten handelt, ist unter Juristen durchaus umstritten. Die Antwort des EuGH auf eine Vorlagefrage des BGH zur datenschutzrechtlichen Relevanz von IP-Adressen steht noch aus. Es spricht zwar einiges dafür, sie als solche zu betrachten, aber auch wenn dies nicht der Fall sein sollte oder erst dann, wenn die IP-Adresse mit anderen Daten verknüpft werden kann, können sich höchstens solche Betreiber von Websites ohne Datenschutzerklärung einigermaßen zurücklehnen, die dem Nutzer ausschließlich Inhalte ohne Möglichkeit zur Interaktion anbieten. Newsletter, Kontaktformular, Kommentarfunktion oder eine andere Möglichkeit, sich auf der Seite zu registrieren, scheiden damit aus, der Betrieb eines Shops sowieso.

Alle anderen Betreiber von Websites haben datenschutzrechtliche Pflichten bei dem Betrieb einer Website zu beachten und benötigen eine Datenschutzerklärung. Ansonsten drohten in der Vergangenheit eher in der Theorie als in der Praxis Geldbußen durch Aufsichtsbehörden für den Datenschutz und zudem Abmahnungen, einstweilige Verfügungen oder Unterlassungs- und Schadensersatzklagen von Mitbewerbern, Verbraucherschutzverbänden und Wettbewerbsvereinen. Doch die bisher eher abstrakte Gefahr scheint sich nun zu konkretisieren: In letzter Zeit häufen sich jedoch Anfragen von Seitenbetreibern, die wegen fehlender oder fehlerhafter Datenschutzerklärung abgemahnt wurden.

Das liegt daran, dass die Rechtsprechung bisher mehrheitlich nicht davon ausgegangen ist, dass es sich bei den datenschutzrechtlichen Vorschriften, gegen die eine fehlende oder fehlerhafte Datenschutzerklärung verstößt, um sog. Marktverhaltensregeln handelt. Rechtsfolge: Keine Marktverhaltensregel, kein Verstoß, so zB OLG München (Urteil vom 12.01.2012, Az.: 29 U 3926/11) und KG Berlin (Beschluss vom 29.04.2011, Az.: 5 W 88/11). Das Bundesdatenschutzgesetz (BDSG), so die beiden Gerichte, diene ausschließlich dem Schutz der Persönlichkeitsrechte der Nutzer, nicht jedoch dem Schutz des Wettbewerbs.

Nachdem aber das LG Berlin nunmehr trotz Kenntnis der abweichenden Rechtsprechung seines Instanzgerichts in einem aktuellen Beschluss (vom 12.02.2015, Az.: 16 O 504/14) entschied, dass ein Diensteanbieter, der auf seiner Webseite Nutzern über ein bereitgestelltes Webformular erlaubt, Kontakt mit ihm aufzunehmen und keine Datenschutzerklärung bereithält, wettbewerbswidrig handelt, sieht die Sache aber anders aus. Das LG Berlin orientiert sich mit seiner Entscheidung am OLG Hamburg, das ebenfalls die Ansicht vertritt, den Betrieb von Webseiten ohne Datenschutzerklärung nicht nur als ordnungswidrig sondern auch wettbewerbswidrig zu bezeichnen (OLG Hamburg Urteil vom 27.6.2013, Az.: 3 U 26/12) sowie den OLG Karlsruhe und Stuttgart, die in Datenschutzverstößen gleichzeitig Wettbewerbsverstöße sehen (OLG Karlsruhe, Urteil vom 09.05.2012, Az.: 6 U 38/11; OLG Stuttgart, Urteil vom 22. Februar 2007, Az.: 2 U 132/06) und dem LG Frankfurt (Urteil vom 08.02.2014, Az.: 3-10 O 86/12). Damit werden es immer mehr Gericht, die dafür in Betracht kommen, als fliegender Gerichtsstand angerufen zu werden, und damit steigt auch die Zahl der Abmahnungen in Datenschutzfällen.<

Höchste Zeit also, als Seitenbetreiber das Thema Datenschutzerklärung genauso ernst zu nehmen wie das Thema Impressum. Sonst dauert es womöglich nicht lange, bis jemand auf den Plan tritt und von Ihnen zum Schutz des fairen Wettbewerbs fordert, es künftig zu unterlassen, keine oder eine fehlerhafte Datenschutzerklärung anzubieten. Und die Abmahnungskosten zu bezahlen, natürlich. Aber das ist nur fair, schließlich haben Sie eine Marktverhaltensregel verletzt, und das macht man nicht, oder?

Was alles muss nun also eine Datenschutzerklärung enthalten, um dem Gesetz zu genügen?

Das ist gar nicht so kompliziert:

Eine Datenschutzerklärung muss über Art, Umfang und Zweck der Datenerhebung und Verarbeitung und über die Rechte des Nutzers informieren. Der Nutzer ist einmalig zu Beginn eines Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU in allgemein verständlicher Form zu unterrichten. Der Inhalt der Unterrichtung muss also die konkreten Erhebungs- und Verarbeitungsvorgänge der gesamten Bandbreite von Funktionen der Website abbilden und sie muss für den Nutzer jederzeit abrufbar sein. Darüber hinaus muss die Datenschutzerklärung Nutzer über das Rechte auf Auskunft, Berichtigung, Löschung oder Sperrung sowie Widerrufs- und Widerspruchsrechte, wenn ausdrücklich datenschutzrechtliche Einwilligung erteilt wurde, informieren.

Setzt die Webseite Cookies, gilt es folgendes zu beachten: Der Einsatz von Cookies ist gemäß E-Privacy-Richtlinie (RL 2009/136/EG über den Schutz personenbezogener Daten in der elektronischen Kommunikation) nur zulässig, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, seine Einwilligung zur Speicherung der Cookies auf seinem Computer gegeben hat. Etliche Seitenbetreiber haben reagiert und plazieren neuerdings meist ganz oben im Kopf der Seite ein Infobanner, das darauf hinweist, dass Cookies eingesetzt werden und wie der Nutzer das verhindern kann. Wenn der Nutzer dann weiterhin in den Browser-Einstellungen Cookies zulässt, kann mit guten Gründen die Auffassung vertreten werden, der Nutzer habe stillschweigend seine Einwilligung zum Einsatz der Cookies erteilt. Nach herrschender Meinung unter Juristen ist es nämlich nicht erforderlich, eine ausdrückliche Einwilligung zum Einsatz von Cookies durch Opt-in einzuholen, ausreichend sei eine Opt-out-Einwilligung. Mit ebenso guten Gründen und Verweis auf die verworrene Rechtslage raten einige Kollegen sogar, hier nicht in Hysterie zu verfallen, zwar in der Datenschutzerklärung natürlich einen Hinweis auf Cookies und das was mit den Daten passiert, die sie generieren, zu geben, im Übrigen aber auf Infobanner zu verzichten.

Analyse-Tools wie Google Analytics oder Piwik dürfen eingesetzt werden die ermittelten IP-Adressen anonymisiert werden. Hinzu kommt, dass nach Auffassung der Aufsichtsbehörden für den Datenschutz der Einsatz von Google Analytics oder Piwik einen Fall der Auftragsdatenverarbeitung vorliegt, der nach den Vorschriften des BDSG einen schriftlichen Vertrag zwischen dem Seitenbetreiber und dem des Analyse-Tools zwingend vorsieht. Wer also alles richtig machen will, lädt den von Datenschutzbehörden und Google ausgearbeiteten Vertrag zur Auftragsdatenverarbeitung herunter und geht einen solchen mit Google ein.

Und schließlich: Social-Media-Plugins (Facebook, Google+, Twitter) sind problematisch. Datenschutzbehörden sehen den Einsatz solcher Plugins sozialer Netzwerke ohne den Einsatz einer Aktivierungsfunktion für den Nutzer als rechtswidrig an, weil sie ungekürzte IP-Adressen an den Anbieter des Plugins übertragen und das Nutzerverhalten analysieren. Solange die Rechtslage ungeklärt ist, kann die Empfehlung nur sein, auf der Einsatz von Facebooks „Like-Button“ und ähnlichen Funktionen zu verzichten.

So, jetzt wissen Sie, warum das Thema Datenschutzerklärung eines ist, das bei denjenigen, die es angeht, noch keinen angemessenen Grad der Aufmerksamkeit eingenommen hat, das Recht sich aber mittlerweile so weit fortgebildet hat, dass es hierzu höchste Eisenbahn wird. Sie wissen außerdem, worüber eine Datenschutzerklärung informieren muss und was im Zusammenhang mit Drittanbietern zu beachten ist. Was nun? Jetzt brauchen Sie nur noch den Text einer Datenschutzerklärung, um sie auf Ihrer Website einzubinden, und dann geben Sie keinen Anlass mehr für meistens sehr teure Abmahnungen. Aber gerne doch: Die Datenschutzerklärung gibt es kostenlos, nicht nur hier und hier

  • Facebook
  • Twitter
  • Google Plus
  • Tumblr
  • LinkedIn
  • Add to favorites
  • RSS

Tags:, , , , ,

Trackback von ihrer Webseite.