Fehlerhafte Einbindung von Google Analytics ist rechtswidrig !

Das Landgericht Hamburg hat bereits mehrfach entschieden, dass die fehlerhafte Einbindung von Google Analytics rechtswidrig ist.

Jeder der also Google Analytics einsetzt, muss auf seiner Website auch in der Datenschutzerklärung darauf hinweisen. Diese Verpflichtung folgt aus § 13 TMG, darauf wies das LG Hamburg  (Beschluss v. 09.08.2016 – Az.: 406 HKO 120/16) jetzt erneut hin. Google stellt hierfür spezielle Textbausteine zur Verfügung, die in die Datenschutzerklärung aufgenommen werden sollten. Anderenfalls besteht die Gefahr, dass ein Mitbewerber eine einstweilige Verfügung erwirkt, wie im Fall des LG Hamburg geschehen.

Onlinewerbung für Kinder – wo sind die Grenzen?

Viele fragen sich derzeit, was sich im Bereich der Onlinewerbung für Kinder durch die neue Datenschutzgrundverordnung (DSGVO) ändern wird. Hierzu ist es wichtig kurz zu verstehen, wie die aktuelle Situation heute in Deutschland ist. Sie ist geprägt durch Bestimmungen des Bundesdatenschutzgesetzes (BDSG) und das Telemediengesetz (TMG). Diese Vorschriften besagen kurzgefasst, dass jede Verarbeitung von personenbezogenen Daten der vorherigen Zustimmung des Betroffenen und damit bei Kindern ggf. des Erziehungsberechtigten bedarf.

Faktisch wirkt sich dieser Grundsatz jedoch im Onlinebereich nicht aus. Denn nur die Verarbeitung von personenbezogenen Daten bedarf der Einwilligung, nicht aber die Verarbeitung von anonymen Daten. Anonyme Daten liegen dann vor, wenn die dahinterstehende natürliche Person nicht mehr ohne größeren Aufwand re-identifiziert werden kann.

Nach Auffassung der Onlinebranche ist das bei den meisten Online-Identifiern, die von der Branche eingesetzt werden, also z. B. Cookie-IDs, Advertiser-IDs, IDFA, nicht der Fall. Denn man sei nur anhand der Informationen in einem Cookie oder über die IDFA nicht in der Lage, die dahinterstehende Person wirklich zu re-anonymisieren. Deshalb betrachtet die Onlinebranche solche Daten als anonyme Daten, mit der Folge, dass die klassischen Werbemaßnahmen im Onlinebereich, also z. B. Online-Behavioral-Advertising, Re-Targeting, etc. nicht der Zustimmung der betroffenen Personen bedürfen, da es nur um die Verarbeitung von anonymen Daten gehe.

Die Frage, ob daher die betroffene Person ein Kind ist und wie alt dieses Kind ist, spielt deshalb in der Praxis kaum eine Rolle. Denn selbst wenn das hinter einem Online-Identifier stehende Kind nur 5 Jahre alt wäre, wäre es doch anonym, so dass gem. § 3 BDSG die erforderliche Einwilligung nicht notwendig ist. Das gilt erst Recht für solche Maßnahmen im Onlinemarketing, bei denen überhaupt keine Online-Identifier eingesetzt werden, also das klassische Umfeld-Targeting z. B. Werden also über Online-Kampagnen nur die Umfelder von speziellen Angeboten für Kinder gebucht, kommt es von vornherein nicht zur Verarbeitung von personenbezogenen Daten, so dass die oben dargestellte Diskussion um anonyme und personenbezogene Daten ohne Bedeutung ist.

In der zukünftigen DSGVO heißt es, dass im Art. 8 nunmehr wie folgt:

Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.

Dieser Artikel, den es in ähnlicher Form schon heute im deutschen BGB gibt, besagt also, dass Onlinemarketingmaßnahmen, bei denen es zur Verarbeitung von personenbezogenen Daten eines Kindes kommt – also z. B. beim Einsatz von Cookie-IDs, IDFAs, etc. – die Zustimmung des Kindes dann rechtmäßig ist, wenn das Kind das 16. Lebensjahr bereits vollendet hat. Hat das Kind dagegen das 16. Lebensjahr noch nicht vollendet, so ist die weitere Nutzung dieser Daten nur rechtmäßig, sofern die Einwilligung durch den jeweiligen Erziehungsberechtigten erteilt wurde. Die Mitgliedsstaaten können durch Rechtsvorschriften diese Altersgrenze von 16 auf max. 13 Jahre absenken. Ob der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch macht, wird derzeit diskutiert.

Für die Onlinebranche heißt das allerdings, dass sich durch die DSGVO in Deutschland nicht viel ändert. Während in vielen anderen europäischen Ländern eine solche Regelung nicht bekannt war, galt diese Regel in Deutschland sinngemäß schon immer. Neu wird in der DSGVO nur sein, dass die DSGVO Online-Identifier zukünftig nicht mehr als anonyme Daten betrachtet, sondern wahrscheinlich als personenbezogene Daten. Das ist aber ein Problem, dass nicht nur die Werbung für Kinder betrifft, sondern die gesamte Onlinemarketingbranche.

Unternehmen, die allerdings nur Umfeld-Targeting machen, ohne also mit Cookie-IDs u. ä. Online-Identifiern zu arbeiten, können sich beruhigt zurücklehnen. Für sie ändert sich nichts, auch nichts durch die neue DSGVO. Diese Formen der Onlinewerbung bleiben weiterhin zulässig, weil es hierbei nicht zu einer Verarbeitung von personenbezogenen Daten kommt.

Welche Auswirkungen hat die neue EU-Datenschutzgrundverordnung (DSGVO) für Unternehmen der Online- und Mobilebranche?

Der Text der EU-Datenschutzgrundverordnung (EU-DSGVO)steht fest. Die inzwischen verabschiedete Fassung hat weitreichende Auswirkungen für die Onlinebranche.
Der Begriff des „personenbezogenen Datums“ wird in der zukünftigen EU-DSGVO deutlich weiter gefasst, als dies bisher der Fall war. Zukünftig werden Online-Identifier, wie z. B. Cookie-IDs, IP-Adressen und ähnliche Kennziffern als personenbezogene Daten einzustufen sein. Gleichzeitig erlaubt die neue EU-DSGVO die Verarbeitung von personenbezogenen Daten für die Erfüllung „legitimer Interessen“, zu denen auch die Interessen der Werbeindustrie gehören können. Der Anwendungsbereich ist dennoch schwer zu übersehen. Weitreichende Auskunfts- und Transparenzpflichten erschweren die Erfüllung aller gesetzlichen Vorgaben noch mehr.

Wir unterstützen daher die Unternehmen der Onlinebranche bei den wichtigsten Fragestellungen:

  1. Wir unterstützen unsere Mandanten bei der Analyse, welche Auswirkungen die Neuregelungen der EU-DSGVO auf die jeweiligen Geschäftsmodelle besitzen.
  2. Wir beraten Mandanten bei der Lösung der so ermittelten Problemstellungen.
  3. Wir halten Sie bei der Diskussion über die konkrete Umsetzung der DSGVO in Deutschland  auf dem Laufenden.
  4. Wir erstellen alle erforderlichen Dokumente für Sie, von der Datenschutzerklärung bis zum Auftragsdatenverarbeitungsvertrag.
  5. Sie benötigen ein Datenschutzgütesiegel für Ihre Kunden? Wir sind Kooperationspartner der ePrivacy GmbH, dem führenden Anbieter für Datenschutzgütesiegel in Deutschland.

Wir sind hoch spezialisiert auf die Onlinebranche. Unsere Kanzlei berät seit über 10 Jahren führende Unternehmen (Advertiser, Publisher, Agenturen, Technologieanbieter) bei der Klärung aller relevanten datenschutzrechtlichen Fragestellungen. Wir sind Mitglied im BVDW und verfügen über akkreditierte Gutachter beim ULD.

Nehmen Sie gerne mit uns Kontakt auf. Ihr Ansprechpartner:
Dr. Frank Eickmeier

Der Einsatz von Google-Analytics ohne Datenschutzhinweis ist abmahnbar – aber nicht nur das.

Das Landgericht Hamburg hat in einer Entscheidung vom 10.03.2016 im Wege einer einstweiligen Verfügung einem Webseitenbetreiber untersagt, „Google-Analytics“ einzusetzen, ohne den Besucher des Internetangebotes zu Beginn des Nutzungsvorgangs hierüber zu informieren. Nach Ansicht des Landgerichtes Hamburgs verstoße der Webseitenbetreiber gegen seine Informationspflichten gem. § 13 Abs. 1 Satz 1 TMG (Telemediengesetz).

Danach muss nämlich jeder Betreiber einer Webseite den Nutzer über Art, Umfang und Zweck der Erhebung und Verwendung von Daten unterrichten. Und das gilt auch für den Einsatz von Google-Analytics. Da die Vorschrift nach § 13 Abs. 1 TMG auch eine sog. „Marktverhaltensregelung“ nach § 3 a des Gesetzes gegen unlauteren Wettbewerb darstelle, könne ein Mitbewerber einen solchen Verstoß auch abmahnen.

Das Urteil zeigt, dass immer mehr Mitbewerber, aber auch Verbraucherschutzverbände gegen den Verstoß von datenschutzrechtlichen Bestimmungen vorgehen und Webseitenbetreibern durch einstweilige Verfügungen den Betrieb ihrer Webseite untersagen, sofern die datenschutzrechtlichen Voraussetzungen nicht gegeben sind. Umso wichtiger ist es in der Zukunft, datenschutzkonforme Datenschutzerklärungen dem Besucher einer Webseite zur Verfügung zu stellen. Denn das Urteil gilt natürlich nicht nur für den Einsatz von Google-Analytics, sondern für jedes Tool, dass ein Webseitenbetreiber einsetzt, ohne die Besucher der Webseite darüber zu informieren.

Safe Harbor II – neue Übergangsfrist

Als Reaktion auf das Urteil des europäischen Gerichtshofs vom 06.10.2015 zur Ungültigkeit des Safe Harbor-Abkommens handelte vor kurzem die Europäische Kommission gemeinsam mit der Federal Trade Commission (FTC) der USA ein neues Abkommen aus. Daraufhin haben die Datenschutzbehörden die „Schonfrist“ bis Ende April verlängert.

Der Nachfolger des Safe-Harbor-Abkommens firmiert demnach unter dem etwas  sonderbaren Namen „EU-US-Privacy Shield“. Tausende Unternehmen in Europa sollen damit auf mehr Rechtssicherheit bei transatlantischen Datentransfers hoffen.

Geplant ist demnach, dass das US-Handelsministerium Firmen, die Daten aus Europa verarbeiten, überwacht. Wer sich nicht an Standards hält, dem drohen Sanktionen bis hin zu einer Streichung von der Liste. Die US-Seite sagt demnach eine Aufsicht der eigenen Justiz- und Sicherheitsbehörden zu. Beide Partner sollen die Umsetzung der Vereinbarungen jedes Jahr gemeinsam überprüfen.

Nach der neuen Regelung sollen also kurzgefasst die USA  der EU  zusichern, die Daten angemessen zu schützen. EU-Bürger sollen in den USA klagen dürfen und ein sog. „Ombudsmann“ im US-Außenministerium soll sich um Beschwerden kümmern.

Vor diesem Hintergrund verlängerten auch die Aufsichtsbehörden die „Schonfrist“ bis Ende April 2016. Diese kritisieren aber die neue Regelung als zu unverbindlich. Es bleibt also abzuwarten, wie es im April weitergeht.