Tracker, Scripte, Analytics: Blogger haften für

www.pr-doktor.de, 22. Februar 2011
Tracker, Scripte, Analytics: Blogger haften für
“eingeschleuste” Funktionen
Eher durch Zufall habe ich kürzlich entdeckt, dass in meinem Blog Google Analytics lief, das
ja bekanntlich sehr umstritten ist. Jedoch hatte ich es weder selbst installiert, noch weist
mein Impressum einen entsprechenden Vermerk auf. Es stellte sich heraus, dass ein Plugin
es ohne mein Wissen eingeschleust hatte. Ich habe das beseitigt. Aber so etwas kann ja
immer wieder passieren, selbst bei größter Sorgfalt und auch mit anderen Anwendungen.
Bin ich eigentlich als Blogbetreiber dafür verantwortlich, selbst wenn ich es nicht wusste und
auch nachweislich nicht so einfach feststellen konnte? Was könnten die Folgen sein? Und:
Würde es helfen, wenn ich vorsorglich Vermerke etwa zu Google Analytics ins Impressum
nehme? Was muss ich sonst beachten? – Das habe ich den Rechtsanwalt und Blogautor
Thomas Schwenke gefragt. (Kerstin Hoffmann)
Gastbeitrag von Rechtsanwalt Thomas Schwenke
Blogbetreiber sind als sogenannte
“Diensteanbieter” nach dem
Telemediengesetz für ihr Blog und die darin
eingesetzten Services und Plugins von
Drittanbietern (z.B. von Google, Facebook
oder WordPress) verantwortlich. Das
bedeutet, sie müssen dafür sorgen, dass ihr
Blog den Anforderungen das Datenschutzes
entspricht und können sich nicht auf
Unwissenheit oder die Verantwortung der
Drittanbieter berufen. Das gilt sowohl für
private wie für geschäftliche Blogs.
Die Folgen der Datenschutzverstöße können
Bußgelder oder Abmahnungen von
Konkurrenten sowie von Privatpersonen sein. Bußgelder sind bisher eine große Ausnahme,
Abmahnungen von Privatpersonen haben die höchste Erfolgsquote, sind aber sehr selten.
Die Konkurrentenabmahnungen sind bisher auch eher der Ausnahmefall gewesen, da das
Datenschutzrecht grundsätzlich Individuen und nicht den Wirtschaftsverkehr schützen soll.
Doch diese Lage ändert sich. So drohte der Hamburger Datenschutzbeauftragte unlängst
auch gegen einzelne Anbieter vorgehen zu wollen. Das ist im gewissen Umfang
nachvollziehbar, weil die Serviceanbeiter (z.B. Google oder Facebook) oft in den USA sitzen
und schwer zu belangen sind. Sie reagieren oft erst dann, wenn sich die Nutzer ihrer
Services wegen Bußgeldrisiken abwenden. Auch die Abmahnungen unter Konkurrenten sind
schon aufgetaucht. Und letztendlich wäre es jedem Konkurrenten möglich Mitbewerber nicht
über das eigene Unternehmen, sondern auch als Privatperson abzumahnen.
Zusammengefasst sehe ich zwar noch keine Abmahnungswelle auf uns zurollen, aber die
ersten Anzeichen, dass eine kommen könnte. Daher sollte jeder sein Blog
datenschutzrechtlich absichern und das insbesondere, wenn es geschäftlich genutzt wird.
Tracker, Scripte, Analytics: Blogger haften
für “eingeschleuste” Funktionen
Datenschutz, eine unmögliche Aufgabe?
Für die Praxis bedeutet dies, dass jeder Blogbetreiber sein Blog und die Plugins darauf
überprüfen muss, ob sie den gesetzlichen Anforderungen entsprechen. Das ist einfach
gesagt, aber schwer umzusetzen. Denn von allen gesetzlichen Regelungen, die einen
Blogger betreffen, sind die Datenschutzregeln wohl am schwierigsten zu verstehen. Dazu
kommt noch, dass viele Experten sich über einzelne Fragen streiten. Zum Beispiel, ob die
hohen Datenschutzanforderungen auch auf die IP-Adresse anwendbar sind (Tendenz: ja).
Schon der erste Blick auf die datenschutzrechtlichen Regeln zeugt von deren Komplexität:
1. Personenbezogene Daten dürfen grundsätzlich nur mit Einwilligung der Betroffenen
gespeichert und genutzt werden. Ausnahmsweise ist dies zulässig, wenn dies für den
Betrieb des Blogs erforderlich ist. Die Betroffenen sind darüber in einer
Datenschutzerklärung aufzuklären.
2. Personenbezogene Daten für statistische und Marktforschungszwecke dürfen ohne
Einwilligung pseudonymisiert gespeichert werden, wenn die Besucher dem
widersprechen können und darüber in einer Datenschutzerklärung belehrt werden.
3. Werden personenbezogene Daten ins EU-Ausland verbracht, bedarf es
der Einwilligung der Betroffenen, es sei denn man kann nachweisen, dass bei deren
Verarbeitung europäische Datenschutzstandards eingehalten werden.
Wenn ich jetzt noch sage, dass diese Zusammenfassung vereinfacht ist, wird wohl jeder
Blogger die Hände über dem Kopf zusammenschlagen. Das kann ich sehr gut nachvollziehen
und gebe unumwunden zu, dass ich ohne Jurastudium selber Probleme hätte das
umzusetzen.
Ratschläge für die Praxis
Angesichts dieser Anforderungen wäre es praktischer und einfacher, wenn die Drittanbieter
auf den Datenschutz achten würden. Doch sitzen die großen Anbieter meistens im Ausland,
schließen jegliche Haftung aus und brauchen selbst keine Nachteile zu fürchten. Erst wenn
die Nutzer belangt werden, werden sie aktiv. Oder es handelt sich um private oder kleine
Plugin-Entwickler, die selbst nicht die Kapazitäten für eine datenschutzrechtliche Prüfung
haben.
Es hilft leider auch wenig eine pauschale Datenschutzerklärung zu erstellen, die alle
möglichen Datennutzungen abfängt. Denn eine Datenschutzerklärung muss deutlich und
konkret über die Datenerhebung sowie Nutzung aufklären. Ansonsten ist sie unwirksam.
Das ist sie auch, wenn sie falsch ist. Wer beispielsweise die Mustererklärung für GoogleAnalytics nutzt, in der vom Speichern gekürzter IP-Adressen die Rede ist, das Plugin aber
ungekürzte Adressen speichert, ist die Erklärung ohne Wirkung.
In einer solchen Situation ist das oberste Gebot sich zu informieren. Wer ein Plugin oder
einen anderen Dienst einsetzt, sollte eine Suchmaschine bemühen und neben dem
Pluginnamen die Begriffe „Datenschutz“ und „Probleme“ für den deutschen Raum sowie
„privacy“ und „issues“ für den englischsprachigen eingeben.
So können zum Beispiel unsere Anleitungen für Google-Analytics, den Like-Button oder das
„Wordpress.com-Stats“-Plugin gefunden werden.
2
Tracker, Scripte, Analytics: Blogger haften
für “eingeschleuste” Funktionen
Unbefriedigende Lage
Ich kann mir vorstellen, dass diese Vorschläge immer noch unbefriedigend sind. Denn es
gibt eine Vielzahl von Plugins, für die keine Anleitungen existieren. Hier bleibt es leider beim
persönlichen Risiko und allenfalls Hinweisen an die Anbieter. Wenn sie daran interessiert
sind, dass ihr Plugin genutzt wird, werden sie sich bemühen auch dem Datenschutz zu
genügen. So hat sich auf meine Kritik an dem beliebten „Wordpress.com-Stats“-Plugin der
CEO von Automattic, der Firma hinter WordPress, gemeldet und Nachbesserungen
versprochen.
Fazit & Appell
Blogbetreiber haften unabhängig von ihrer Kenntnis für eigene Datenschutzverstöße und die
der eingesetzten Software. Das Risiko von Bußgeldern oder Abmahnungen ist derzeit noch
gering, nimmt jedoch stetig zu. Daher sollte sich jeder Blogger informieren, ob die
eingesetzte Software nicht bereits wegen Datenschutzverstößen aufgefallen ist oder es
Anleitungen gibt, wie man sie datenschutzgerecht einsetzt.
Mein Appell an Plugin-Anbieter ist zu ihren Plugins nicht nur „FAQ, Install instructions &
Screenshots“ anzubieten, sondern auch passende Datenschutzhinweise und einen
Mustertext für die Datenschutzerklärung. Das klingt derzeit utopisch, aber ich rechne damit
fest in der Zukunft.
Da auch ich mir weiterhin eine rege Blogszene und viele neue Plugin-Entwicklungen
wünsche, möchte ich dazu beitragen. Daher werde ich in den kommenden Beiträgen
unseres Spreerecht.de-Blogs den Schwerpunkt auf Blogs & Datenschutzrecht legen. Für
Anregungen bin ich sehr dankbar.
Rechtsanwalt Thomas Schwenke, Dipl.FinWIrt(FH), LL.M. (Auckland) ist Partner der Kanzlei
Schwenke & Dramburg in Berlin und berät Unternehmen in Rechtsfragen beim Marketing,
Social Media, Community Management, Appdevelopment und Mobile Commerce sowie hält
Workshops und Vorträge zu diesen Themen. Vor seiner Niederlassung als Rechtsanwalt
leitete er eine Agentur für Onlinemarketing und Webdesign.
Kanzleiseite & Blog: spreerecht.de
Twitter: https://twitter.com/thsch
Xing: https://www.xing.com/profile/Thomas_Schwenke2
Facebook: http://www.facebook.com/schwenke.dramburg
Anmerkung von Kerstin Hoffmann: Bitte haben Sie Verständnis dafür, dass ich nicht auf
juristische Rückfragen antworten kann. Ich übernehme keine Verantwortung für die
sachliche Richtigkeit der Aussagen und auch nicht dafür, ob und wie Sie sie ggf. selbst
anwenden.
© Thomas Schwenke/Kerstin Hoffmann; erschienen in: http://www.pr-doktor.de
Weitergabe ausschließlich komplett und mit Quellenangabe. Jegliche Veröffentlichung und
Verwendung nur mit Genehmigung.
Foto: © Thomas Schwenke
3