Brand Safety als rechtliche Pflicht? Zur Störerhaftung werbender Unternehmen

Werbung auf Websites mit redaktionellem Inhalt zu schalten oder schalten zu lassen, ist mit gutem Grund einer der beliebtesten Wege, auf sich als Unternehmen aufmerksam zu machen. Man erreicht den potenziellen Kunden quasi beiläufig. Um die eigene Marke im Netz zu schützen, greifen viele Unternehmen zu so genannten Brand Safety-Maßnahmen, das heißt, dass Werbung nur in markenkonformen Umfeldern im Internet ausgespielt wird.

Doch was passiert, wenn – unter Umständen unbewusst  Werbung auf einer Internetseite geschaltet wird, die durch ihr Angebot rechtsverletzend handelt? Kann der Werbende dafür haftbar gemacht werden?

Das Landgericht Frankfurt am Main entschied in diesem Zusammenhang schon vor einigen Jahren über einen Fall, in dem ein Interessenverband gegen ein bekanntes Telekommunikationsunternehmen auf Unterlassung klagte. Dieses warb auf einer Filesharing-Website für seine DSL-Flatrates. Die Website, auf der geworben wurde, bot fast ausschließlich Raubkopien sowie jugendgefährdende Medien an.Auch nach ersten einer (kostenfreien) Abmahnung durch den Interessenverband hatte das Telekommunikationsunternehmen die Werbung nicht offline genommen.

Klar ist dabei: Wer Raubkopien oder für jedermann zugängliche jugendgefährdende Filme auf seiner Website anbietet, macht sich strafbar und begeht nach § 3a UWG selbst einen Wettbewerbsverstoß.

Doch das Landgericht urteilte, auch das nur auf der Website mit herkömmlichen Bannern werbende Unternehmen sei zumindest ab Kenntnis Störer des Wettbewerbsverstoßes, da es dem Websitebetreiber durch die Werbung zu „erheblichen Einnahmen verhelfe“ und damit schon als „mitursächlich für die Existenz des rechtswidrigen Angebots“ anzusehen sei. Er nutze den Wettbewerbsverstoß des Seitenbetreibers aus, indem es auf dessen Website Werbung schaltete.

Als Störer haftet nämlich auch derjenige auf Unterlassung, der – auch wenn er weder Täter noch Teilnehmer eines Wettbewerbsverstoßes ist – in irgendeiner Weise willentlich und kausal zur einer Rechtsverletzung beiträgt.

Für Werbetreibende heißt das Folgendes:

Zwar gilt die Störerhaftung, so wie sie das LG Frankfurt statuiert, erst ab Kenntnis. Jeder, der Online-Marketing betreibt, sollte vor dem Hintergrund dieser Rechtsprechung jedoch aktiv brand-safety-Maßnahmen vornehmen.

Vor allem aber empfiehlt es sich, als Werbetreibender Werbenetzwerke vertraglich in die Pflicht zu nehmen, keine Werbung auf Websites mit rechtsverletzenden Inhalten zu schalten, um sie im Fall eines Rechtsstreits mit einem Mitbewerber oder Verband in Regress nehmen zu können.

Rechtliche Grenzen des E-Mail-Marketings – Was ändert sich durch die DSGVO?

Wenn es um E-Mail-Marketing geht, kursiert derzeit eine Reihe von Missverständnissen: Müssen für das E-Mail-Marketing neue Einwilligungen von den Empfängern eingeholt werden – und wenn ja, in welcher Form?

E-Mail

Zunächst erforderte jede E-Mail, die als „Werbung“ eingestuft werden kann, schon vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) ein so genanntes Double-Opt-in. Das Double-Opt-in ist die ausdrückliche Zustimmung des Empfängers in zwei Schritten: Wenn ein Kunde beispielsweise einen Newsletter abonnieren möchte, erfolgt in einem ersten Schritt die Einwilligung für den Eintrag in die Abonnenten-Liste. Im zweiten Schritt wird dem Kunden eine E-Mail mit der Bitte zugesandt, die Einwilligung zu bestätigen, um Missbrauch auszuschließen.

Sodann stammt das Erfordernis des Double-Opt-ins zum Schutz vor Spam tatsächlich nicht aus dem Datenschutzrecht, sondern aus dem Wettbewerbsrecht, wie auch der Begriff der E-Mail-„Werbung“ selbst (§ 7 Abs. 2 Nr. 2 UWG). „Werbung“ ist danach jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen zu fördern.

Die gute Nachricht: Wer bisher alles richtig gemacht hat, für den ergeben sich durch die DSGVO keine Änderungen.

Zu bedenken ist jedoch immer, dass auch eine E-Mail, in der um eine Einwilligung seitens des Empfängers gebeten wird, als Werbung zu betrachten ist, womit ein Double-Opt-in erforderlich ist. Deshalb waren die zahlreichen E-Mails, die viele Unternehmen kurz vor Inkrafttreten der DSGVO mit der Bitte um Abgabe einer wirksamen Einwilligung an ihre Kunden versandt haben in vielen Fällen rechtswidriger Spam und darüber hinaus sogar unwirksam, wenn dem Kunden nur die Möglichkeit zum Opt-out gegeben wurde.

Wie geht man vor, wenn das Double Opt-in bisher fehlte?

Für die unternehmerische Praxis ergeben sich drei Möglichkeiten.

  • Wenn bislang E-Mail-Kampagnen, also die Versendung von Werbung per Mail, ohne wirksame Einwilligung, durchgeführt wurden, kann diese Praxis einfach beibehalten werden, wobei das Risiko einer Abmahnung oder eines Bußgeldes in Kauf genommen werden muss.
  • Natürlich besteht auch die Möglichkeit per E-Mail um ein Opt-in zu bitten. Allerdings birgt auch – wie oben erläutert – eine solche E-Mail das Risiko einer Abmahnung oder eines Bußgeldes, weil diese E-Mails selbst rechtswidrigen Spam darstellen.
  • Zu guter Letzt besteht die Möglichkeit, alle bestehenden Kontakte ohne wirksame Einwilligung zu löschen und neue Maßnahmen zur Einholung der Einwilligung zu planen. Allerdings muss hierbei das Kopplungsverbot als „Einwilligungskiller“ beachtet werden: Die Einwilligung zur Teilnahme an einem Gewinnspiel oder zum Download eines Whitepapers darf nicht automatisch an die Einwilligung zum Abonnement eines Newsletters gekoppelt sein. Nur diese – schmerzhafte – Variante führt zu einem wirklich rechtskonformen E-Mail-Marketing, wenn bisher kein wirksames Double-Opt-in eingeholt wurde.

IP-Adressen anonymisieren – wann, wie und warum?

Seit dem Breyer-Urteil des Europäischen Gerichtshofs gelten auch dynamisch vergebene IP-Adressen als personenbezogene Daten und fallen damit unter das Datenschutzrecht. Diese Wertung wurde auch von der Datenschutzgrundverordnung (DSGVO) übernommen, die am 25. Mai 2018 in Kraft tritt und in allen EU-Mitgliedstaaten den Begriff der personenbezogenen Daten neu definiert.

Das hat zur Folge, dass an die Verarbeitung von IP-Adressen im Wesentlichen dieselben Anforderungen gestellt werden wie zum Beispiel an das Speichern von E-Mail-Adressen. Weil IP-Adressen aber natürlich für jede Übermittlung von Webinhalten erforderlich sind, kennt das Datenschutzrecht aber auch Ausnahmen von dem Grundsatz, dass personenbezogene Daten nur nach vorheriger Zustimmung des betroffenen Nutzers verarbeitet werden dürfen.

Der Prozess der Anonymisierung bietet die Möglichkeit, IP-Adressen so zu verarbeiten, dass das Datenschutzrecht gar keine Anwendung mehr findet. Denn schutzbedürftig sind nur diejenigen Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. „Anonymisierung“ bedeutet also, die IP-Adresse so zu ändern, dass ein Rückschluss auf die Nutzeridentität nicht mehr möglich ist. Um dieses Ziel zu erreichen gibt es zwei Möglichkeiten: das Kürzen und das so genannte Hashing.

Das Kürzen von IP-Adressen (englisch: „trunkating“) erfolgt durch Entfernen des letzten Zeichenblocks einer IP-Adresse. Bei einer IPv4-Adresse würde dieser dann zum Beispiel durch eine Null oder einer andere Zahl ersetzt werden (Beispiel: aus 217.91.101.31 wird 217.91.101.0). Das „Hashing“ (deutsch: „zerhacken“) erfolgt durch die Verschlüsselung der IP-Adresse unter Verwendung eines speziellen Algorithmus. Derzeit entspricht der so genannte SHA-256-Algorithmus dem  Stand der Technik. Da die Anzahl von IP-Adressen auch nach Einführung des IPv6-Protokolls endlich ist, reicht die einfache Hashfunktion jedoch allein nicht aus, um die Anonymisierung der Daten zu gewährleisten. Deshalb ist nach dem „Hashing“ noch ein weiterer Schritt erforderlich, das sogenannte „Salting“, eine weitere Verschlüsselungstechnik. Nur so wird eine vollständige Anonymisierung erreicht.

Zusammenfassend bedeutet das: Wenn IP-Adressen zum frühestmöglichen Zeitpunkt wirksam anonymisiert werden, unterliegt deren weitere Verarbeitung nicht dem Datenschutzrecht und es sind keinerlei besondere Vorschriften zu beachten. Bevor jedoch eine solche Anonymisierung stattgefunden hat, gilt die Datenschutzgrundverordnung freilich uneingeschränkt. Eine Ausnahme vom Verbot der Verarbeitung von IP-Adressen, bei der die Verarbeitung der (vollständigen) IP-Adresse unter bestimmten Umständen zulässig sein kann, ist beispielsweise die Verhinderung von Klickbetrug.

Acht Missverständnisse über die Datenschutzgrundverordnung

Bereits 2016 wurde die EU-Datenschutzgrundverordnung (DSGVO) verabschiedet. Die Verordnung wird im Mai 2018 voll anwendbar. Für Unternehmen, die in Europa tätig sind, ist es entscheidend, ihren Geschäftsbetrieb an der neuen Regelung auszurichten. Allerdings begegnen wir regelmäßig Missverständnissen über die DSGVO. Die acht wichtigsten davon hat unser Brüsseler Kollege Edwin Jacobs, mit dem wir im Rahmen des Kanzleinetzwerks World IT Lawyers zusammen arbeiten, hier aufgeführt.

Missverständnis 1: Die DSGVO gilt nicht für kleine Unternehmen.

Obwohl einige Zugeständnisse an kleine Unternehmer und KMU gemacht wurden, gilt die DSGVO für alle Organisationen, die personenbezogene Daten verarbeiten. Die Auswirkungen der DSGVO auf Ihr Unternehmen hängen von der Art und Weise ab, wie Daten verarbeitet werden und nicht von der Anzahl der Datensätze oder der Größe der Organisation.

Missverständnis 2: Jede Firma, auf die die DSGVO anwendbar ist, muss einen Datenschutzbeauftragten einsetzen.

Ob die DSGVO auf ein Unternehmen anwendbar ist oder nicht, bedeutet nicht zwangsläufig, dass das Unternehmen einen Datenschutzbeauftragten (DSB) benennen muss. Dies gilt nur für öffentliche Institutionen, die Daten verarbeiten, Unternehmen, die personenbezogene Daten systematisch verarbeiten und Organisationen, die besonders sensible Daten (wie zum Beispiel Gesundheitsdaten) verarbeiten.

Auch wenn Ihr Unternehmen nicht in eine dieser Kategorien fällt, ist es dennoch empfehlenswert, einen DSB zu ernennen. Dies bietet zusätzliche Aufsicht und mehr Sicherheit im Fall von Streitigkeiten.

Missverständnis 3: Die Ernennung eines Datenschutzbeauftragten ist eine reine Formalität.

Die DSGVO verlangt, dass ein Datenschutzbeauftragter nachweislich Expertenwissen über Datenschutz und Datensicherheit hat. Eine einfache Ernennung einer Ihrer aktuellen Mitarbeiter als DSB reicht nicht aus. Darüber hinaus muss der ernannte DSB über die unternehmensspezifischen Datenprozesse hinreichend informiert werden.

Missverständnis 4: Unsere Firma verschlüsselt Daten, so dass wir DSGVO-konform sind.

Es ist ein Missverständnis, dass durch die bloße Verschlüsselung von Daten die DSGVO-Anforderungen erfüllt sind. Die Datenverschlüsselung sollte eher als Mindeststandard interpretiert werden und erfordert daher zusätzliche Maßnahmen. Unternehmen müssen zusätzliche Optionen zum Schutz personenbezogener Daten anbieten, wie zum Beispiel die Verwendung von zweistufigen Verifizierungen und das endgültige Löschen von Daten, die nicht mehr verwendet werden.

Missverständnis 5: Unsere Daten werden in der Cloud gespeichert, daher liegt die Verantwortung für die Datensicherheit beim Cloud-Provider und beim Security-Provider.

Die DSGVO gilt nicht nur für Unternehmen, die Daten speichern, sondern auch für Unternehmen, die diese Daten verarbeiten. Das bedeutet, dass die DSGVO auch gilt, wenn ein Unternehmen Drittanbieter für die Datenspeicherung bei der Verarbeitung von Daten einsetzt.

Missverständnis 6: Meine Firma hält das nationale Datenschutzgesetz ein, daher entsprechen wir der DSGVO.

Die DSGVO ersetzt die Datenschutzrichtlinie, die von allen Mitgliedsstaaten der Europäischen Union in nationales Recht umgesetzt wurde. Die DSGVO und die derzeitigen nationalen Datenschutzgesetze sind jedoch in vielerlei Hinsicht unterschiedlich. Es gibt zum Beispiel Unterschiede bei der Einwilligung, die Betroffene für die Verarbeitung ihrer Daten erteilen müssen oder dass der Betroffene bei einem Datenleck informiert werden muss. Es stimmt jedoch, dass die Einhaltung Ihres nationalen Datenschutzgesetzes einen einfacheren Übergang zur Erfüllung der DSGVO-Anforderungen ermöglicht.

Missverständnis 7: Meine Firma ist mit dem Privacy Shield konform, daher entsprechen wir der DSGVO.

Obwohl es viele Ähnlichkeiten zwischen den Vorschriften des Privacy Shield und den Bestimmungen der DSGVO gibt, ist es nicht wahr, dass diese beiden Systeme gleich sind. Das Privacy Shield bezieht sich nur auf eines der vielen DSGVO-Themen, nämlich internationale Datenübertragungen. Das Privacy Shield erwähnt beispielsweise keine Benutzerberechtigungen oder einen Datenschutzbeauftragten.

Missverständnis 8: Die DSGVO ist eine All-in-One-Lösung für die Datenverarbeitung in Europa.

Die DSGVO wurde als universelle Regulierung veröffentlicht, die die Gesetzgebung in Europa vereinfacht und vereinheitlicht. In der Praxis ist dies jedoch nicht der Fall. Für multinationale Konzerne ist die DSGVO nur die nächste Regulierung, die einer Reihe von bestehenden Regelungen hinzufügt wird. Zum Beispiel gibt es im Fall eines Datenlecks unterschiedliche gesetzliche Regelungen für die Meldepflicht. Darüber hinaus müssen Unternehmen die nationalen Datenschutzbestimmungen einhalten, die je nach Land variieren. Es wird noch komplizierter, wenn die DSGVO mit nationalen oder branchenspezifischen Richtlinien nicht übereinstimmt.

Ist ihr Unternehmen fit für die Datenschutzgrundverordnung? Falls Sie dazu Fragen haben, sprechen Sie uns an.

Programmatic Advertising auf Fake news-Websites gefährdet Markenauftritte im Netz

Die Nutzung von Google AdWords hat sich für viele Unternehmen zum äußerst beliebten Marketing-Instrument entwickelt. Gründe dafür sind die hohe Verbreitung, die einfache Nutzbarkeit, Googles attraktive Preispolitik und die wohl verhältnismäßige große Effektivität dieses Werbemediums. Dabei machen viele Unternehmen keinen Gebrauch von den Möglichkeiten, ihre AdWords-Anzeigen genau auszusteuern. Das führt dazu, dass AdWords-Anzeigen auf Websites erscheinen, die der Marke nachhaltig Schaden zufügen können. Besonders aktuell zeigt sich dieses Problem gerade am Beispiel der „Nachrichtenseite“ Breitbart, die durch ihre fremdenfeindlichen, sexistischen, populistischen und von einem journalistischen Wahrheitsanspruch weit entfernten Beiträge bekannt geworden ist. Breitbart setzt AdWords-Anzeigen an prominenter Stelle ein – nämlich direkt neben der Überschrift eines Beitrags.

Werbung für die deutsche Trivago-Seite auf Breitbart
Werbung für die deutsche Trivago-Seite auf Breitbart.

Die Online-Initiative „Sleeping Giants“ hat sich zum Ziel gesetzt, Unternehmen auf das Problem hinzuweisen, dass sie – in der Regel unbewusst – zur Finanzierung dieser Plattform beitragen. Denn beim Programmatic Advertising legen Werbetreibende nur fest, welcher Zielgruppe Werbung angezeigt werden soll, die konkrete Website wird von den Werbenetzwerken in der Regel selbst bestimmt. Damit Breitbart nicht zum ungewollten Nutznießer sensibler Werbeetats wird, sind aufgrund entsprechender Hinweise bereits hunderte von Unternehmen der Aufforderung gefolgt, Breitbart von ihren AdWords-Kampagnen auszunehmen. Dazu gehören so prominente Namen wie Master Card und Ferrero. Wenn Sie ebenfalls Google AdWords nutzen, sollten Sie ein entsprechendes Blacklisting ebenfalls prüfen. Wie Sie das umsetzen, wird hier erklärt.

Gleichzeitig stellen sich in diesem Zusammenhang natürlich auch rechtliche Fragen, zum Beispiel zur Zulässigkeit eines solchen Boykottaufrufs oder zur Positionierung des eigenen Unternehmens gegenüber Vorwürfen, man unterstütze populistische Positionen. Gern beraten wir Sie auch zu diesen Aspekten des Onlinemarketingsrechts.