Tracker, Scripte, Analytics: Blogger haften für
Transcription
Tracker, Scripte, Analytics: Blogger haften für
www.pr-doktor.de, 22. Februar 2011 Tracker, Scripte, Analytics: Blogger haften für “eingeschleuste” Funktionen Eher durch Zufall habe ich kürzlich entdeckt, dass in meinem Blog Google Analytics lief, das ja bekanntlich sehr umstritten ist. Jedoch hatte ich es weder selbst installiert, noch weist mein Impressum einen entsprechenden Vermerk auf. Es stellte sich heraus, dass ein Plugin es ohne mein Wissen eingeschleust hatte. Ich habe das beseitigt. Aber so etwas kann ja immer wieder passieren, selbst bei größter Sorgfalt und auch mit anderen Anwendungen. Bin ich eigentlich als Blogbetreiber dafür verantwortlich, selbst wenn ich es nicht wusste und auch nachweislich nicht so einfach feststellen konnte? Was könnten die Folgen sein? Und: Würde es helfen, wenn ich vorsorglich Vermerke etwa zu Google Analytics ins Impressum nehme? Was muss ich sonst beachten? – Das habe ich den Rechtsanwalt und Blogautor Thomas Schwenke gefragt. (Kerstin Hoffmann) Gastbeitrag von Rechtsanwalt Thomas Schwenke Blogbetreiber sind als sogenannte “Diensteanbieter” nach dem Telemediengesetz für ihr Blog und die darin eingesetzten Services und Plugins von Drittanbietern (z.B. von Google, Facebook oder WordPress) verantwortlich. Das bedeutet, sie müssen dafür sorgen, dass ihr Blog den Anforderungen das Datenschutzes entspricht und können sich nicht auf Unwissenheit oder die Verantwortung der Drittanbieter berufen. Das gilt sowohl für private wie für geschäftliche Blogs. Die Folgen der Datenschutzverstöße können Bußgelder oder Abmahnungen von Konkurrenten sowie von Privatpersonen sein. Bußgelder sind bisher eine große Ausnahme, Abmahnungen von Privatpersonen haben die höchste Erfolgsquote, sind aber sehr selten. Die Konkurrentenabmahnungen sind bisher auch eher der Ausnahmefall gewesen, da das Datenschutzrecht grundsätzlich Individuen und nicht den Wirtschaftsverkehr schützen soll. Doch diese Lage ändert sich. So drohte der Hamburger Datenschutzbeauftragte unlängst auch gegen einzelne Anbieter vorgehen zu wollen. Das ist im gewissen Umfang nachvollziehbar, weil die Serviceanbeiter (z.B. Google oder Facebook) oft in den USA sitzen und schwer zu belangen sind. Sie reagieren oft erst dann, wenn sich die Nutzer ihrer Services wegen Bußgeldrisiken abwenden. Auch die Abmahnungen unter Konkurrenten sind schon aufgetaucht. Und letztendlich wäre es jedem Konkurrenten möglich Mitbewerber nicht über das eigene Unternehmen, sondern auch als Privatperson abzumahnen. Zusammengefasst sehe ich zwar noch keine Abmahnungswelle auf uns zurollen, aber die ersten Anzeichen, dass eine kommen könnte. Daher sollte jeder sein Blog datenschutzrechtlich absichern und das insbesondere, wenn es geschäftlich genutzt wird. Tracker, Scripte, Analytics: Blogger haften für “eingeschleuste” Funktionen Datenschutz, eine unmögliche Aufgabe? Für die Praxis bedeutet dies, dass jeder Blogbetreiber sein Blog und die Plugins darauf überprüfen muss, ob sie den gesetzlichen Anforderungen entsprechen. Das ist einfach gesagt, aber schwer umzusetzen. Denn von allen gesetzlichen Regelungen, die einen Blogger betreffen, sind die Datenschutzregeln wohl am schwierigsten zu verstehen. Dazu kommt noch, dass viele Experten sich über einzelne Fragen streiten. Zum Beispiel, ob die hohen Datenschutzanforderungen auch auf die IP-Adresse anwendbar sind (Tendenz: ja). Schon der erste Blick auf die datenschutzrechtlichen Regeln zeugt von deren Komplexität: 1. Personenbezogene Daten dürfen grundsätzlich nur mit Einwilligung der Betroffenen gespeichert und genutzt werden. Ausnahmsweise ist dies zulässig, wenn dies für den Betrieb des Blogs erforderlich ist. Die Betroffenen sind darüber in einer Datenschutzerklärung aufzuklären. 2. Personenbezogene Daten für statistische und Marktforschungszwecke dürfen ohne Einwilligung pseudonymisiert gespeichert werden, wenn die Besucher dem widersprechen können und darüber in einer Datenschutzerklärung belehrt werden. 3. Werden personenbezogene Daten ins EU-Ausland verbracht, bedarf es der Einwilligung der Betroffenen, es sei denn man kann nachweisen, dass bei deren Verarbeitung europäische Datenschutzstandards eingehalten werden. Wenn ich jetzt noch sage, dass diese Zusammenfassung vereinfacht ist, wird wohl jeder Blogger die Hände über dem Kopf zusammenschlagen. Das kann ich sehr gut nachvollziehen und gebe unumwunden zu, dass ich ohne Jurastudium selber Probleme hätte das umzusetzen. Ratschläge für die Praxis Angesichts dieser Anforderungen wäre es praktischer und einfacher, wenn die Drittanbieter auf den Datenschutz achten würden. Doch sitzen die großen Anbieter meistens im Ausland, schließen jegliche Haftung aus und brauchen selbst keine Nachteile zu fürchten. Erst wenn die Nutzer belangt werden, werden sie aktiv. Oder es handelt sich um private oder kleine Plugin-Entwickler, die selbst nicht die Kapazitäten für eine datenschutzrechtliche Prüfung haben. Es hilft leider auch wenig eine pauschale Datenschutzerklärung zu erstellen, die alle möglichen Datennutzungen abfängt. Denn eine Datenschutzerklärung muss deutlich und konkret über die Datenerhebung sowie Nutzung aufklären. Ansonsten ist sie unwirksam. Das ist sie auch, wenn sie falsch ist. Wer beispielsweise die Mustererklärung für GoogleAnalytics nutzt, in der vom Speichern gekürzter IP-Adressen die Rede ist, das Plugin aber ungekürzte Adressen speichert, ist die Erklärung ohne Wirkung. In einer solchen Situation ist das oberste Gebot sich zu informieren. Wer ein Plugin oder einen anderen Dienst einsetzt, sollte eine Suchmaschine bemühen und neben dem Pluginnamen die Begriffe „Datenschutz“ und „Probleme“ für den deutschen Raum sowie „privacy“ und „issues“ für den englischsprachigen eingeben. So können zum Beispiel unsere Anleitungen für Google-Analytics, den Like-Button oder das „Wordpress.com-Stats“-Plugin gefunden werden. 2 Tracker, Scripte, Analytics: Blogger haften für “eingeschleuste” Funktionen Unbefriedigende Lage Ich kann mir vorstellen, dass diese Vorschläge immer noch unbefriedigend sind. Denn es gibt eine Vielzahl von Plugins, für die keine Anleitungen existieren. Hier bleibt es leider beim persönlichen Risiko und allenfalls Hinweisen an die Anbieter. Wenn sie daran interessiert sind, dass ihr Plugin genutzt wird, werden sie sich bemühen auch dem Datenschutz zu genügen. So hat sich auf meine Kritik an dem beliebten „Wordpress.com-Stats“-Plugin der CEO von Automattic, der Firma hinter WordPress, gemeldet und Nachbesserungen versprochen. Fazit & Appell Blogbetreiber haften unabhängig von ihrer Kenntnis für eigene Datenschutzverstöße und die der eingesetzten Software. Das Risiko von Bußgeldern oder Abmahnungen ist derzeit noch gering, nimmt jedoch stetig zu. Daher sollte sich jeder Blogger informieren, ob die eingesetzte Software nicht bereits wegen Datenschutzverstößen aufgefallen ist oder es Anleitungen gibt, wie man sie datenschutzgerecht einsetzt. Mein Appell an Plugin-Anbieter ist zu ihren Plugins nicht nur „FAQ, Install instructions & Screenshots“ anzubieten, sondern auch passende Datenschutzhinweise und einen Mustertext für die Datenschutzerklärung. Das klingt derzeit utopisch, aber ich rechne damit fest in der Zukunft. Da auch ich mir weiterhin eine rege Blogszene und viele neue Plugin-Entwicklungen wünsche, möchte ich dazu beitragen. Daher werde ich in den kommenden Beiträgen unseres Spreerecht.de-Blogs den Schwerpunkt auf Blogs & Datenschutzrecht legen. Für Anregungen bin ich sehr dankbar. Rechtsanwalt Thomas Schwenke, Dipl.FinWIrt(FH), LL.M. (Auckland) ist Partner der Kanzlei Schwenke & Dramburg in Berlin und berät Unternehmen in Rechtsfragen beim Marketing, Social Media, Community Management, Appdevelopment und Mobile Commerce sowie hält Workshops und Vorträge zu diesen Themen. Vor seiner Niederlassung als Rechtsanwalt leitete er eine Agentur für Onlinemarketing und Webdesign. Kanzleiseite & Blog: spreerecht.de Twitter: https://twitter.com/thsch Xing: https://www.xing.com/profile/Thomas_Schwenke2 Facebook: http://www.facebook.com/schwenke.dramburg Anmerkung von Kerstin Hoffmann: Bitte haben Sie Verständnis dafür, dass ich nicht auf juristische Rückfragen antworten kann. Ich übernehme keine Verantwortung für die sachliche Richtigkeit der Aussagen und auch nicht dafür, ob und wie Sie sie ggf. selbst anwenden. © Thomas Schwenke/Kerstin Hoffmann; erschienen in: http://www.pr-doktor.de Weitergabe ausschließlich komplett und mit Quellenangabe. Jegliche Veröffentlichung und Verwendung nur mit Genehmigung. Foto: © Thomas Schwenke 3