Es könnte so einfach sein: Blitzschnell lassen sich Dienste von Dritten auf der eigenen Webseite (oder der des Kunden) einbinden – seien es Social Media Buttons oder YouTube Videos. Wäre da nicht das Problem mit dem Datenschutz. Neuestes Sorgenkind: Die Web 2.0 Plattform SlideShare. Wie sich herausgestellt hat, erstellt die Community zum Austausch von Präsentationen, Dokumenten, Videos, Webinaren & Co. auch Nutzerprofile – und das hinter dem Rücken von Webseiten-Betreibern und Usern. Unter Datenschutzgesichtspunkten in Deutschland ist der Einsatz damit rechtswidrig – und wer gegen die Vorgaben verstößt, macht sich angreifbar. Auch wettbewerbsrechtlich, wie ein Urteil des LG Frankfurt zur Einbindung von Trackingtools zeigt.
Welche Risiken der Einsatz von SlideShare auf Webseiten birgt und wie sich die Anwendung unter bestimmten Voraussetzungen vielleicht doch datenschutzkonform einsetzen lässt – darum geht es diese Woche auf meinem Blog. Und natürlich um das Urteil aus Frankfurt: Analyse Tools können wettbewerbsrechtlich abgemahnt werden, wenn sie datenschutzwidrig eingesetzt werden.
Das Problem mit Diensten Dritter und personenbezogenen Daten
Es ist ein altes Problem, das für neue Diskussionen sorgt: Die Einbindung von Diensten Dritter oder der Einsatz von Tracking-Tools auf Internetseiten bedeutet immer auch, dass die IP-Adressen der User an den Betreiber übermittelt werden.
Datenschutzrechtlich befindet man sich hier auf mehr als dünnem Eis: Kann eine Person über die IP-Adresse identifiziert werden, handelt es sich um ein personenbezogenes Datum. Eine Speicherung würde in das Grundrecht auf informelle Selbstbestimmung eingreifen und ist damit ein Verstoß gegen Datenschutzgesetze = rechtswidrig.
Übrigens: Ob und wann es sich bei IP-Adressen um personenbezogene Daten handelt, was das mit dynamisch und statisch zu tun hat und warum sich in diesem Punkt auch die Gerichte nicht einig sind, zeigt der Beitrag Viel Lärm um nichts: Urteil zur Speicherung von IP-Adressen bringt keine Erkenntnis für Betreiber von Webseiten.
Wer Tracking-Tools in der Praxis datenschutzkonform einsetzen möchte, dem bleibt deshalb nur übrig, sich die ausdrückliche Einwilligung des Nutzers zu holen.
Eine andere Lösung: Über eine Funktion muss die IP-Adresse so anonymisiert (verkürzt) werden, dass ein Personenbezug nicht mehr möglich ist. Zudem müssen die User per Datenschutzerklärung aufgeklärt und auf Widerspruchsmöglichkeiten (Opt-Out-Funktion) hingewiesen werden. Der Webseitenbetreiber muss eine Vereinbarung zur Auftragsdatenverarbeitung abschließen.
SlideShare: Tracking von Nutzungsdaten zu Werbezwecken
Und genau das ist das Problem bei SlideShare – immerhin einer der weltweit größten Communities mit mehr als 58 Millionen Besuchern pro Monat: Versteckt, ohne Wissen von Webseitenbetreibern und Einwilligung der User, wird im Hintergrund automatisch das Tracking Tool Google Analytics geladen. Und zwar ohne die Anonymisierungsoption für die IP-Adresse oder die anderen Voraussetzungen für einen datenschutzkonformen Einsatz.
Und das ist noch nicht Alles: Gleichzeitig wird auch der Dienst „ScorecardResearch“ des US-amerikanischen Marktforschungsunternehmens ComScore ausgeführt. Er erfasst nicht nur die IP-Adresse, sondern sorgt dafür, dass auf dem Rechner des Users ein Cookie platziert wird. Und das übermittelt die erhobenen Daten zu Werbezecken fleißig an die Kunden des Marktforschers, wie CNBC, die Wall Street, New York Times und große Internetdienstleister.
Alles hinter dem Rücken der Nutzer und dem Betreiber, der SlideShare auf der Seite eingebunden hat.
Urteil LG Frankfurt: Datenschutzverstöße wettbewerbsrechtlich abmahnfähig
Das Perfide: Zumindest Unwissenheit spielt spätestens dann keine Rolle mehr, wenn der Datenschutzverstoß rechtliche Konsequenzen hat. Denn auch, wenn die Tracking-Tools automatisiert ablaufen, kann der Seitenbetreiber persönlich haftbar gemacht werden.
Und dass Datenschutzverstöße ein Abmahngrund sind, kommt in der Praxis immer häufiger vor. Sie können sogar Wettbewerbsverstöße darstellen. Das zeigt das Urteil des LG Frankfurt (Urteil vom 18.02.2014; Az. 3-10 O 86-12) zum Thema: In ihrer Entscheidung stellten die Richter fest, dass ein datenschutzwidriger Einsatz des Statistik- und Analysetools Piwik auch wettbewerbsrechtlich relevant ist.
Übrigens: Mehr Hintergrundwissen zum Urteil liefert Rechtsanwalt Carsten Ulbricht in seinem Beitrag LG Frankfurt: Einbindung von Trackingtools (hier Piwik) ohne ausreichende Datenschutzerklärung und Widerspruchsbelehrung abmahnfähig . Darin gibt er auch Tipps, wie Webseiten-Betreiber die datenschutzrechtlichen Vorgaben konform umsetzen können. (Denn: Für eine wirksame Datenschutzerklärung reicht es NICHT aus, diese lediglich hinter der Rubrik „Kontakt“ zu hinterlegen).
SlideShare datenschutzkonform einsetzen?
Apropos datenschutzkonformer Einsatz: Ist der in puncto SlideShare überhaupt möglich? Diese Frage haben sich nach der Diskussion über die versteckt in der Anwendung ausgeführten Tools nicht nur einige Experten gestellt – sondern kommen auch mit Lösungsvorschlägen um die Ecke:
Webworker Viktor Dite stellt auf seinem MIZINE-Blog ein entsprechendes Tool bereit, mit dem vor der Nutzung von SlideShare auf die Datenübertragung hingewiesen und die Einwilligung des Users eingeholt werden kann – ähnlich der 2-Klick-Lösung für Social Media Buttons.
Rechtsanwältin Viola Lachenmann liefert einen Mustertext zur Datenerhebung über SlideShare der beim Einsatz der Anwendung in die Datenschutzerklärung mit aufgenommen werden MUSS.
Inwieweit damit alle Vorgaben erfüllt sind, kann ich rechtlich aber nicht beurteilen.
Trotzdem, wer SlideShare eingebettet hat: Jetzt schnell reagieren und datenschutzrechtliche Stolperfallen (soweit es eben geht) ausmerzen!
Weiterführende Informationen
- Urteil OLG Hamburg: Mangelhafte Datenschutzerklärungen können wettbewerbsrechtlich abgemahnt – und die Internet-Agentur zur Kasse gebeten werden
- 1.200 Euro Kostenforderung: Einsatz von Google Analytics als teure Abmahnfalle
- Kostenloses Whitepaper: So können Web-Analyse-Tools datenschutzkonform eingesetzt werden
- Google Analytics: Legal ist nicht gleich rechtssicher. Nutzungsvoraussetzungen und das SEO-Dilemma
