BGH: Geo-Targeting kann irreführend sein, wenn es „Streuverluste“ aufweist.

Der Bundesgerichtshof hat vor kurzem (Urteil vom 28.04.2016, Az.: I ZR 23/15) entschieden, dass ein Geo-Targeting irreführend sein kann, wenn es Streuverluste aufweist, also Werbebanner im Rahmen eines Geo-Targetings aus Regionen abgerufen werden können, die außerhalb des jeweiligen Absatzgebietes des beworbenen Produktes sind. Der BGH liess noch nicht einmal einen Streuverlust von 5% zu.

Es ging in dem Fall darum, dass ein Anbieter von Internetanschlüssen ausschließlich in Baden-Württemberg tätig war. Er bewarb seine Produkte mit Werbebannern im Rahmen einer Geo-Targetingkampagne. Dabei beabsichtigte dieser Kabelnetzbetreiber seine Werbebanner nur an solche Kunden ausliefern zu lassen, die in Baden-Württemberg wohnten. Dennoch kam es dazu, dass aufgrund technischer Besonderheiten die fragliche Bannerwerbung auch außerhalb des Gebietes von Baden-Württemberg, wenn auch nur in einem kleinen Umfang von bis zu 5%, abgerufen werden konnten. Ein Mitbewerber dieses Unternehmens verklagte den Kabelnetzbetreiber aus Baden-Württemberg daraufhin wegen Irreführung der Verbraucher.

Der Bundesgerichtshof gab nunmehr in letzter Instanz dieser Klage Recht. Nach Ansicht des BGH sei ein Geo-Targeting irreführend, wenn die konkrete Werbung außerhalb des Absatzgebietes noch in einem spürbaren Umfang (hier: bis zu 5% der Abrufe) abrufbar bleibe. Denn nach § 5 UWG sei eine irreführende geschäftliche Handlung unlauter, wenn sie geeignet sei, den Verbraucher „… zu einer geschäftlichen Entscheidung zu veranlassen, die er anderenfalls nicht getroffen hätte. Erforderlich sei, dass die Werbung geeignet wäre, bei einem erheblichen Teil der umworbenen Verkehrskreise irrige Vorstellungen über marktrelevante Umstände hervorzurufen“. Diese Voraussetzungen seien hier erfüllt, denn die Werbung sei geeignet, die irregeführten Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die sie anderenfalls nicht getroffen hätten. Denn sie werden dazu veranlasst, sich durch Aufruf der Webseite des Werbetreibenden sich näher mit dessen Angebot zu befassen. Das reiche für eine „geschäftliche Entscheidung“ aus. Diese „Anlockwirkung“ entstehe bereits mit dem veröffentlichen des Werbebanners, selbst wenn davon auszugehen wäre, dass die Irreführung noch rechtzeitig vor einem Bestellvorgang ausgeräumt werde, wenn ein Verbraucher durch Klick auf den Banner dann auf der Webseite des Unternehmens landen würde. Unerheblich sei auch, dass nur 5% der angesprochenen Verbraucher möglicherweise in die Irre geführt würden, denn auch das sei „irrelevant“.

Was bedeutet das für die Praxis?

Zukünftig wird man bei Geo-Targetingkampagnen genauer hinschauen müssen. Gerade für Agenturen ist es daher wichtig, gegenüber den technischen Dienstleistern vertraglich sicher zu stellen, dass ein in Auftrag gegebenes Geo-Targeting gerade nicht die oben beschriebenen Streuverluste von „bis zu 5%“ besitzt. Vorsorglich sollte man auch in dem jeweiligen Vertrag eine Klausel mit aufnehmen, die sinngemäß darauf hinausläuft, dass der jeweilige Technologieanbieter und/oder Vermarkter sich verpflichtet, im Falle der Verletzung dieser Regeln die beauftragende Agentur und ihren Kunden von allen Ansprüchen Dritter freistellt. Sonst bleibt der schwarze Peter bei der Agentur und letztlich bei ihrem Kunden.

 

 

Fehlerhafte Einbindung von Google Analytics ist rechtswidrig !

Das Landgericht Hamburg hat bereits mehrfach entschieden, dass die fehlerhafte Einbindung von Google Analytics rechtswidrig ist.

Jeder der also Google Analytics einsetzt, muss auf seiner Website auch in der Datenschutzerklärung darauf hinweisen. Diese Verpflichtung folgt aus § 13 TMG, darauf wies das LG Hamburg  (Beschluss v. 09.08.2016 – Az.: 406 HKO 120/16) jetzt erneut hin. Google stellt hierfür spezielle Textbausteine zur Verfügung, die in die Datenschutzerklärung aufgenommen werden sollten. Anderenfalls besteht die Gefahr, dass ein Mitbewerber eine einstweilige Verfügung erwirkt, wie im Fall des LG Hamburg geschehen.

Onlinewerbung für Kinder – wo sind die Grenzen?

Viele fragen sich derzeit, was sich im Bereich der Onlinewerbung für Kinder durch die neue Datenschutzgrundverordnung (DSGVO) ändern wird. Hierzu ist es wichtig kurz zu verstehen, wie die aktuelle Situation heute in Deutschland ist. Sie ist geprägt durch Bestimmungen des Bundesdatenschutzgesetzes (BDSG) und das Telemediengesetz (TMG). Diese Vorschriften besagen kurzgefasst, dass jede Verarbeitung von personenbezogenen Daten der vorherigen Zustimmung des Betroffenen und damit bei Kindern ggf. des Erziehungsberechtigten bedarf.

Faktisch wirkt sich dieser Grundsatz jedoch im Onlinebereich nicht aus. Denn nur die Verarbeitung von personenbezogenen Daten bedarf der Einwilligung, nicht aber die Verarbeitung von anonymen Daten. Anonyme Daten liegen dann vor, wenn die dahinterstehende natürliche Person nicht mehr ohne größeren Aufwand re-identifiziert werden kann.

Nach Auffassung der Onlinebranche ist das bei den meisten Online-Identifiern, die von der Branche eingesetzt werden, also z. B. Cookie-IDs, Advertiser-IDs, IDFA, nicht der Fall. Denn man sei nur anhand der Informationen in einem Cookie oder über die IDFA nicht in der Lage, die dahinterstehende Person wirklich zu re-anonymisieren. Deshalb betrachtet die Onlinebranche solche Daten als anonyme Daten, mit der Folge, dass die klassischen Werbemaßnahmen im Onlinebereich, also z. B. Online-Behavioral-Advertising, Re-Targeting, etc. nicht der Zustimmung der betroffenen Personen bedürfen, da es nur um die Verarbeitung von anonymen Daten gehe.

Die Frage, ob daher die betroffene Person ein Kind ist und wie alt dieses Kind ist, spielt deshalb in der Praxis kaum eine Rolle. Denn selbst wenn das hinter einem Online-Identifier stehende Kind nur 5 Jahre alt wäre, wäre es doch anonym, so dass gem. § 3 BDSG die erforderliche Einwilligung nicht notwendig ist. Das gilt erst Recht für solche Maßnahmen im Onlinemarketing, bei denen überhaupt keine Online-Identifier eingesetzt werden, also das klassische Umfeld-Targeting z. B. Werden also über Online-Kampagnen nur die Umfelder von speziellen Angeboten für Kinder gebucht, kommt es von vornherein nicht zur Verarbeitung von personenbezogenen Daten, so dass die oben dargestellte Diskussion um anonyme und personenbezogene Daten ohne Bedeutung ist.

In der zukünftigen DSGVO heißt es, dass im Art. 8 nunmehr wie folgt:

Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.

Dieser Artikel, den es in ähnlicher Form schon heute im deutschen BGB gibt, besagt also, dass Onlinemarketingmaßnahmen, bei denen es zur Verarbeitung von personenbezogenen Daten eines Kindes kommt – also z. B. beim Einsatz von Cookie-IDs, IDFAs, etc. – die Zustimmung des Kindes dann rechtmäßig ist, wenn das Kind das 16. Lebensjahr bereits vollendet hat. Hat das Kind dagegen das 16. Lebensjahr noch nicht vollendet, so ist die weitere Nutzung dieser Daten nur rechtmäßig, sofern die Einwilligung durch den jeweiligen Erziehungsberechtigten erteilt wurde. Die Mitgliedsstaaten können durch Rechtsvorschriften diese Altersgrenze von 16 auf max. 13 Jahre absenken. Ob der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch macht, wird derzeit diskutiert.

Für die Onlinebranche heißt das allerdings, dass sich durch die DSGVO in Deutschland nicht viel ändert. Während in vielen anderen europäischen Ländern eine solche Regelung nicht bekannt war, galt diese Regel in Deutschland sinngemäß schon immer. Neu wird in der DSGVO nur sein, dass die DSGVO Online-Identifier zukünftig nicht mehr als anonyme Daten betrachtet, sondern wahrscheinlich als personenbezogene Daten. Das ist aber ein Problem, dass nicht nur die Werbung für Kinder betrifft, sondern die gesamte Onlinemarketingbranche.

Unternehmen, die allerdings nur Umfeld-Targeting machen, ohne also mit Cookie-IDs u. ä. Online-Identifiern zu arbeiten, können sich beruhigt zurücklehnen. Für sie ändert sich nichts, auch nichts durch die neue DSGVO. Diese Formen der Onlinewerbung bleiben weiterhin zulässig, weil es hierbei nicht zu einer Verarbeitung von personenbezogenen Daten kommt.

Die Datenschutzgrundverordnung tritt heute in Kraft

Heute, am 25. Mai 2016, tritt die Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft.

Die Verordnung war am 14. April 2016 vom Europäischen Parlament beschlossen und am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht worden. Die Verordnung sieht eine Übergangszeit von zwei Jahren vor und gilt damit ab dem 25. Mai 2018 in der gesamten Europäischen Union direkt.

Die EU-Datenschutz-Grundverordnung ist mit 99 Artikeln und 173 sog. Erwägungsgründen deutlich umfangreicher als z. B. das deutsche Bundesdatenschutzgesetz. Die aktuelle Fassung ist hier abrufbar: link

 

 

 

IP-Adressen und der EugH. Der Tag der Entscheidung ist der 12.05.2016.

Der 12.5.2016 dürfte einer der wichtigsten Tage des Jahres für die Onlinebranche werden. Denn an diesem Tage werden vor dem europäischen Gerichtshof die sogenannten Schlussanträge im IP-Adressen Fall gestellt und damit auch veröffentlicht.

Der Politiker Patrick Breyer, Piratenpartei, klagte gegen die BRD. Er wollte dem Bund verbieten lassen, IP-Adressen von Besuchern auf Webseiten des Bundes über die Dauer der Nutzung hinaus speichern zu dürfen. Diese Speicherung der Daten würden gegen das BMG verstoßen. Der BGH legte daraufhin diesen Fall dem europäischen Gerichtshof vor. Er wollte zwei Fragen geklärt wissen:

a) Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr — Datenschutz-Richtlinie — dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt ?

b) Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann ?

Im Kern geht es also um die Frage, ob eine IP-Adresse ein personenbezogenes Datum ist oder nicht. Die Bedeutung des Rechtsstreites geht aber weit darüber hinaus: gelten dieselben Überlegungen auch für andere Online Identifier, wie zum Beispiel Cooki Id´s, User Id´s, Digitale Fingerprints, etc. ?

Alle Geschäftsmodelle der Onlinebranche stehen im Rahmen dieses Verfahrens auf dem Prüfstand. Es bleibt also abzuwarten wie der EuGH entscheiden wird in dieser so wichtigen Fragestellung.